BGP сессия с любого адреса и определённой AS

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

BGP сессия с любого адреса и определённой AS

Сообщение Sir_Prikol »

Доброго времени суток

Хочу реализовать схему, создать на головном бордере пира с RemoteAS 65402 и подключением из любой сети

На головном бордере создаю пира

Код: Выделить всё

/route bgp peer
add hold-time=1m in-filter=home.nets.in instance=home.nets keepalive-time=5s name=peer1 out-filter=home.nets.out remote-address=::ffff:0.0.0.0 remote-as=65402 ttl=default
Вроде всё логично, AS65402, с любого IP должна иметь соединение, но, соединение не происходит, на удалённом пире запись в логе вида

Код: Выделить всё

19:13:48 route,bgp,info TCP connection established 
19:13:48 route,bgp,info     RemoteAddress=100.64.0.1 
19:13:48 route,bgp,info Connection closed 
19:13:48 route,bgp,info     RemoteAddress=100.64.0.1 
19:14:08 route,bgp,info TCP connection established 
19:14:08 route,bgp,info     RemoteAddress=100.64.0.1 
19:14:08 route,bgp,info Connection closed 
19:14:08 route,bgp,info     RemoteAddress=100.64.0.1 
19:14:28 route,bgp,info TCP connection established 
19:14:28 route,bgp,info     RemoteAddress=100.64.0.1 
19:14:28 route,bgp,info Connection closed 
19:14:28 route,bgp,info     RemoteAddress=100.64.0.1 
Фаер отключён, при указании конкретного Remote Address на головном - всё естественно подключается

ROS v 6.48.6 longterm
Куда копать?
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Chupaka »

Приветствую.

Копать в сторону RouterOS v7, там в BGP добавили шаблоны, которые динамически создают пиров с нужными адресами при входящем BGP-подключении :)

Да у v7 только появилась возможность сменить порт BGP. В версиях до шестой можно было указать удалённый порт, но локальный оставался 179. Похоже, эксперименты с множественными сессиями между двумя роутерами можно продолжить :)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Sir_Prikol »

С v7 есть глобальнейшая проблема :) Мне сами микротовцы окирпичили пару железок, когда пытались на 7.1 BGP поднять :) Более того CCR2004 уходт в бутлуп при рабочем капсмане.

Так-же на 7.1 перестало возможность прописывать подсеть в настройках пира (AS можно не указывать, а вот IP только /32) На какой-то бете работало полностью с определённой подсетью. Плюс в фильтрах недопилили джамп (Хоть все мои фильтра и перевели на версию 7 - часть стала не рабочими)

Это, конечно, не критично, можно и самому скрипт написать, который парсит лог и создаёт пира, но хотелось нативности :)

Будем ждать допила, пока не критично :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Chupaka »

Да, тут понятно, что семёрку ещё пилить и пилить. Но - только так. Я во времена шестёрки искал подобную возможность - накопал только у Cumulus, кажется, и ещё кого-то.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Sir_Prikol »

Реализовать возможно и на 6-ке, с костылями, на BIRD реализовывается. Ну да ладно. Просто хотелось не создавать кучу одинаковых пиров, с отличным в единицу IP и AS, а создать одного и не парить голову внутри сети :) Но тут вообще голову ломать придётся, ибо нормально теперь сеть менее /24 нормально не отанонсить, только через роут с типом блекхолл. Поэтому переезд точно откладывается на оооочень неопределённый срок :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Chupaka »

Sir_Prikol писал(а): 12 дек 2021, 00:10 Но тут вообще голову ломать придётся, ибо нормально теперь сеть менее /24 нормально не отанонсить, только через роут с типом блекхолл.
М-м-м?..
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Sir_Prikol »

Чтобы сделать анонс /32 сети в семёрке, нужно эту сеть создать в таблице маршрутов с ttl=255 и типом blackhole. В отличии от 6-ки, где все анонсируемые сети писались отдельно. А дальше уже фильтрами раскидывать кому и куда. Пока в таблице маршрутов нет сети - она не анонсится. Обещали допилить синтетические маршруты (их слова), но пока тишина. Просто из одной подсети (допустим /24, мне надо пиру отдать /32 или /25, но чтоб отдать - мне надо отдельно её прописать.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Chupaka »

Хм... Ну, эта фишка и в v6 есть, Synchronize называется. Просто её в v7 включили без возможности отключения. Но что-то мне казалось, что в v6 она работает, даже если статикой указать большую подсеть для всех роутов. Т.е. я создавал блэкхол на /23, а потом нормально анонсил две /24 из неё на разные аплинки...
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: BGP сессия с любого адреса и определённой AS

Сообщение Sir_Prikol »

Код: Выделить всё

/ip route
add blackhole disabled=no distance=255 dst-address=192.168.222.1/32 gateway="" pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add blackhole disabled=no distance=255 dst-address=192.168.255.16/32 gateway="" pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
В таком виде анонсится, удалю их из таблицы - анонсов нет, не смотря на то, что они находятся в address-list (где, как было сказано, теперь прописываются сети для анонса)

Вообще, на сколько я понял, была задумана великая вещь, фаером ловишь тех кто сканит порты, они попадают в адреслист и запихиваешь их в блекхолл, но, из-за того что приходится прописывать отдельно маршрут в таблице - вся идея свалилась в никуда, только скриптовать, пока скриптовать, может сделают, по карйней мере обещали
Дома: CCR2004 (7-ISP(GPON)белый IP)
Ответить