URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97073
[ Назад ]
Исходное сообщение
"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено mango , 14-Дек-17 08:47 
Всем привет.

Итак, имеем три виртуальных FreeBSD на KVM (Proxmox VE), две из них соединены туннелем, промежуточная работает "интернетом" (за схему извините):


(11.11.11.11/24) em1 | (gre0 10.0.0.1/30 | em0 1.1.1.2/24) server1 -- gateway -- server2 (em0 2.2.2.2/24 | gre0 10.0.0.2/30) | em1 (22.22.22.22/24)


На "серверах" gateway_enable=YES, frr_enable=YES, натянут туннель GRE с маской /30, концы пингуются с обеих сторон, статические маршруты через туннель работают, IPsec между внешними интерфейсами натянут в транспортном режиме. Стоит включить zebra с ospfd - и начинается магия:

  *  hello идут подряд по несколько штук в одну сторону, ответные же приходят примерно через dead interval секунд (хотя второй роутер в это время так же шлёт свои подряд в туннель, так же не получая hello от первого, пока не пройдёт dead interval);
  *  таблицы маршрутов, соответственно, обновляются невовремя, а также роутеры пропадают друг у друга из соседей;
  *  пинги до lan за туннелем вообще не идут, при этом маршрут до этой сети, если он приходил через OSPF, пропадает из таблицы, стоит запустить пинг;
  *  во время прохождения мультикастов пинги не идут даже до другого конца туннеля.

Всё это происходит с обеих сторон. Фаерволлы выключены, на промежуточном включен, но открыто всё.

Если убрать туннель, перенести OSPF на внешние интерфейсы и поднять OSPF на промежуточном gateway, маршрутизация идеально работает, hello ходят туда-сюда каждые 10 секунд, соседи видятся, связность какая положено и пингуется всё отовсюду.

Помогите найти, где зарыта собака - во мне или где-то ещё.
Спасибо.

Содержание
Сообщения в этом обсуждении
"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено ALex_hha , 14-Дек-17 14:55 
давно делал подобное но с openvpn, проблем не было

http://sys-adm.org.ua/net/quagga-ospf

"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено mango , 14-Дек-17 16:00 
> давно делал подобное но с openvpn, проблем не было
> http://sys-adm.org.ua/net/quagga-ospf

Вариант с OpenVPN я пробовал и он вроде работал, но не подошёл идеологически (клиент-сервер) + маршрут до сети за клиентом приходится писать руками через опцию iroute, иначе он не маршрутизирует несмотря на OSPF-связность. Мне же нужна полная автоматика в плане машрутов.

Схема вроде простая, но я не понимаю, в чём дело. Возможно, надо поднять эту схему на реальном железе.

"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено fantom , 15-Дек-17 00:18 
>> давно делал подобное но с openvpn, проблем не было
>> http://sys-adm.org.ua/net/quagga-ospf
> Вариант с OpenVPN я пробовал и он вроде работал, но не подошёл
> идеологически (клиент-сервер) + маршрут до сети за клиентом приходится писать руками
> через опцию iroute, иначе он не маршрутизирует несмотря на OSPF-связность. Мне
> же нужна полная автоматика в плане машрутов.
> Схема вроде простая, но я не понимаю, в чём дело. Возможно, надо
> поднять эту схему на реальном железе.

Классическая ошибка состоит в анонсе по ОСПФ маршрутов к сетям, на которые строится туннель,
Т.е. туннель "заворачивается сам в себя" т.к. DST туннеля становится доступен через туннель же...
Короче, выбросить из ОСПФ-а "внешние" сети/адреса
em0 1.1.1.2/24
и
em0 2.2.2.2/24
И вся ваша "магия" закончится :)
Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ"
И циска в лог даже специально фразу по этому поводу пишет...

"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено mango , 15-Дек-17 07:11 
>[оверквотинг удален]
> строится туннель,
> Т.е. туннель "заворачивается сам в себя" т.к. DST туннеля становится доступен через
> туннель же...
> Короче, выбросить из ОСПФ-а "внешние" сети/адреса
> em0 1.1.1.2/24
> и
> em0 2.2.2.2/24
> И вся ваша "магия" закончится :)
> Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ"
> И циска в лог даже специально фразу по этому поводу пишет...

Тааак... Спасибо за совет, попробую и отпишусь.

"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено mango , 15-Дек-17 07:39 
>[оверквотинг удален]
> строится туннель,
> Т.е. туннель "заворачивается сам в себя" т.к. DST туннеля становится доступен через
> туннель же...
> Короче, выбросить из ОСПФ-а "внешние" сети/адреса
> em0 1.1.1.2/24
> и
> em0 2.2.2.2/24
> И вся ваша "магия" закончится :)
> Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ"
> И циска в лог даже специально фразу по этому поводу пишет...

Огромное спасибо! Пока всё работает идеально, пинги ходят, а также hello здорового человека. Очень жаль, что не копнул сам и не догадался.

"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено fantom , 15-Дек-17 08:52 
>[оверквотинг удален]
>> туннель же...
>> Короче, выбросить из ОСПФ-а "внешние" сети/адреса
>> em0 1.1.1.2/24
>> и
>> em0 2.2.2.2/24
>> И вся ваша "магия" закончится :)
>> Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ"
>> И циска в лог даже специально фразу по этому поводу пишет...
> Огромное спасибо! Пока всё работает идеально, пинги ходят, а также hello здорового
> человека. Очень жаль, что не копнул сам и не догадался.

Если бы keepalive на туннеле добавили (только чтоб он падал быстрее, чем дединтервал ОСПФ), то увидели бы что туннель уходит в down как только поднимается OSPF и снова в up как только OSPF падает.

"Что за беда с OSPF over GRE на FreeBSD?"
Отправлено fantom , 15-Дек-17 08:53 
>[оверквотинг удален]
>> туннель же...
>> Короче, выбросить из ОСПФ-а "внешние" сети/адреса
>> em0 1.1.1.2/24
>> и
>> em0 2.2.2.2/24
>> И вся ваша "магия" закончится :)
>> Цисководы на эти грабли поголовно наступают при первом разе "ОСПФ овер ГРЕ"
>> И циска в лог даже специально фразу по этому поводу пишет...
> Огромное спасибо! Пока всё работает идеально, пинги ходят, а также hello здорового
> человека. Очень жаль, что не копнул сам и не догадался.

Всегда пожалуйста :)