Страница 1 из 1
BGP сессия с любого адреса и определённой AS
Добавлено: 10 дек 2021, 20:20
Sir_Prikol
Доброго времени суток
Хочу реализовать схему, создать на головном бордере пира с RemoteAS 65402 и подключением из любой сети
На головном бордере создаю пира
Код: Выделить всё
/route bgp peer
add hold-time=1m in-filter=home.nets.in instance=home.nets keepalive-time=5s name=peer1 out-filter=home.nets.out remote-address=::ffff:0.0.0.0 remote-as=65402 ttl=default
Вроде всё логично, AS65402, с любого IP должна иметь соединение, но, соединение не происходит, на удалённом пире запись в логе вида
Код: Выделить всё
19:13:48 route,bgp,info TCP connection established
19:13:48 route,bgp,info RemoteAddress=100.64.0.1
19:13:48 route,bgp,info Connection closed
19:13:48 route,bgp,info RemoteAddress=100.64.0.1
19:14:08 route,bgp,info TCP connection established
19:14:08 route,bgp,info RemoteAddress=100.64.0.1
19:14:08 route,bgp,info Connection closed
19:14:08 route,bgp,info RemoteAddress=100.64.0.1
19:14:28 route,bgp,info TCP connection established
19:14:28 route,bgp,info RemoteAddress=100.64.0.1
19:14:28 route,bgp,info Connection closed
19:14:28 route,bgp,info RemoteAddress=100.64.0.1
Фаер отключён, при указании конкретного Remote Address на головном - всё естественно подключается
ROS v 6.48.6 longterm
Куда копать?
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 11 дек 2021, 21:19
Chupaka
Приветствую.
Копать в сторону RouterOS v7, там в BGP добавили шаблоны, которые динамически создают пиров с нужными адресами при входящем BGP-подключении
Да у v7 только появилась возможность сменить порт BGP. В версиях до шестой можно было указать удалённый порт, но локальный оставался 179. Похоже, эксперименты с множественными сессиями между двумя роутерами можно продолжить
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 11 дек 2021, 21:39
Sir_Prikol
С v7 есть глобальнейшая проблема
Мне сами микротовцы окирпичили пару железок, когда пытались на 7.1 BGP поднять
Более того CCR2004 уходт в бутлуп при рабочем капсмане.
Так-же на 7.1 перестало возможность прописывать подсеть в настройках пира (AS можно не указывать, а вот IP только /32) На какой-то бете работало полностью с определённой подсетью. Плюс в фильтрах недопилили джамп (Хоть все мои фильтра и перевели на версию 7 - часть стала не рабочими)
Это, конечно, не критично, можно и самому скрипт написать, который парсит лог и создаёт пира, но хотелось нативности
Будем ждать допила, пока не критично
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 11 дек 2021, 22:55
Chupaka
Да, тут понятно, что семёрку ещё пилить и пилить. Но - только так. Я во времена шестёрки искал подобную возможность - накопал только у Cumulus, кажется, и ещё кого-то.
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 12 дек 2021, 00:10
Sir_Prikol
Реализовать возможно и на 6-ке, с костылями, на BIRD реализовывается. Ну да ладно. Просто хотелось не создавать кучу одинаковых пиров, с отличным в единицу IP и AS, а создать одного и не парить голову внутри сети
Но тут вообще голову ломать придётся, ибо нормально теперь сеть менее /24 нормально не отанонсить, только через роут с типом блекхолл. Поэтому переезд точно откладывается на оооочень неопределённый срок
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 12 дек 2021, 01:38
Chupaka
Sir_Prikol писал(а): ↑12 дек 2021, 00:10
Но тут вообще голову ломать придётся, ибо нормально теперь сеть менее /24 нормально не отанонсить, только через роут с типом блекхолл.
М-м-м?..
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 12 дек 2021, 12:49
Sir_Prikol
Чтобы сделать анонс /32 сети в семёрке, нужно эту сеть создать в таблице маршрутов с ttl=255 и типом blackhole. В отличии от 6-ки, где все анонсируемые сети писались отдельно. А дальше уже фильтрами раскидывать кому и куда. Пока в таблице маршрутов нет сети - она не анонсится. Обещали допилить синтетические маршруты (их слова), но пока тишина. Просто из одной подсети (допустим /24, мне надо пиру отдать /32 или /25, но чтоб отдать - мне надо отдельно её прописать.
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 12 дек 2021, 15:43
Chupaka
Хм... Ну, эта фишка и в v6 есть, Synchronize называется. Просто её в v7 включили без возможности отключения. Но что-то мне казалось, что в v6 она работает, даже если статикой указать большую подсеть для всех роутов. Т.е. я создавал блэкхол на /23, а потом нормально анонсил две /24 из неё на разные аплинки...
Re: BGP сессия с любого адреса и определённой AS
Добавлено: 12 дек 2021, 15:52
Sir_Prikol
Код: Выделить всё
/ip route
add blackhole disabled=no distance=255 dst-address=192.168.222.1/32 gateway="" pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add blackhole disabled=no distance=255 dst-address=192.168.255.16/32 gateway="" pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
В таком виде анонсится, удалю их из таблицы - анонсов нет, не смотря на то, что они находятся в address-list (где, как было сказано, теперь прописываются сети для анонса)
Вообще, на сколько я понял, была задумана великая вещь, фаером ловишь тех кто сканит порты, они попадают в адреслист и запихиваешь их в блекхолл, но, из-за того что приходится прописывать отдельно маршрут в таблице - вся идея свалилась в никуда, только скриптовать, пока скриптовать, может сделают, по карйней мере обещали