Hallo,
ich habe das Problem, dass OSPF keine statischen Routen redistributiert, die auf ein Wireguard Tunnelinterface zeigt. Setze ich die statische Route auf ein anderes Gateway, wird das Netz direkt redistributiert.
Dem WG Tunnel habe ich ein separates Interface zugewiesen, das automatische setzen der Route innerhalb der WG Instanz deaktiviert und die Route manuell gesetzt. Aber auch wenn ich den Haken nicht setze und alles automatisch setzen lasse, funktioniert es nicht.
Einzig die IP Adresse des Tunnelinterface wird redistributiert, aber die ist ja directly connected.
Und da es sich hierbei um eine Site2Site Verbindung handelt, nützt auch das Netz des Tunnelinterface nichts, da es ein Transfernetz ist.
Ist das ein Bug, oder ein Feature?
Building configuration...
Current configuration:
!
frr version 8.5.4
frr defaults traditional
hostname myfw.local
log syslog
!
interface igc3
ip ospf area 0.0.0.0
ip ospf network point-to-point
exit
!
router rip
default-metric 10
redistribute connected
redistribute kernel
redistribute static
version 2
exit
!
router ospf
ospf router-id 100.64.65.2
log-adjacency-changes
redistribute kernel
redistribute connected
redistribute static
exit
!
end
Routing Eintrag...
ipv4 192.168.115.1 link#25 UHS NaN 1420 wg1
VG
Rubinho
Mach doch ne prefix liste, route map verlinken und redistribute
Hi mimugmail
danke für die Info, aber ...
1. Wollte ich das manuelle einrichten einer Route im OSPF vermeiden, da ich sonst auch den Eintrag statisch auf der anderen Sense machen kann.
2. Bin ich wohl noch zu doof dafür, da ich die Logik nicht versetehe. Egal was ich eintrage, es wird maximal weniger redistributiert :)
Ich erstelle ein Prefix (z.b. das 192.168.115.0er Netz) und verknüpfe eine neu erstellte Routemap mit dieser Routemap. Danach verknüpfe ich diese Map mit der Redistribution Map.
Aber da mache ich wohl was falsch.
Kannst du das mal aufzeichnen? Also ich hab das vor ein paar Wochen noch erfolgreich getestet
Gut, hier eine schematische Zeichnung (Grober Auszug) meines Aufbaus.
Darunter die aktuelle Konfig.
Was mich aber irritiert, ist dein Vorschlag mit dem Aufbau von Prefixlisten. Die dienen in der Regel als Filter.
Es werden nur die Netze übermittelt, die auch mit dem Filter übereinstimmen.
Ich glaube unter Network könnte man Netze einbinden, aber da bekomme ich Fehlermeldungen. (Im Log)
Den klassischen Network Spruch bekomme ich momentan nicht implementiert.
Achso, nur zur Info.
Den ganzen Aufbau mache ich, um meine alte PFsense abzulösen, so sanft wie möglich, in dem ich ein Netz nach dem anderen umziehe.
Tunnel X
|
Internet |
|
^ | Tunnel Y
| | |
| | |
| | |
| | |
+-----+---+--+----+ +---------------------+ +---------------------+
| Pfsense (legacy)| | Opnsense (new) | | Fritzbox |
| | Transfernet | | Wireguard | |
| +---------------+ +-----------+ Network |
| | OSPF | | Tunnel | 192.168.115.0/24 |
| | | | | |
| | | | +---------------------+
+-+---------------+ +---+----+--+---------+
| | | |
| | | |
| | | LAN
| | |
| |
| | Testlab1 192.168.155.0/28
Lan
Testlab2 172.21.35.0/24
Building configuration...
Current configuration:
!
frr version 8.5.4
frr defaults traditional
hostname fw.illtalnet.de
log syslog
!
interface igc3
ip ospf area 0.0.0.0
ip ospf network point-to-point
exit
!
router ospf
ospf router-id 100.64.65.2
redistribute kernel route-map Redistrimap
redistribute connected route-map Redistrimap
redistribute static route-map Redistrimap
exit
!
ip prefix-list Test seq 10 permit 192.168.115.0/24
ip prefix-list Test seq 11 permit 172.21.35.0/24
ip prefix-list Test seq 12 permit 192.168.155.0/28
ip prefix-list Test seq 13 permit 10.11.11.0/28
!
route-map Redistrimap permit 10
match ip address prefix-list Test
exit
!
end
-- Update --
Mit dem Problem des Network Spruchs bin ich nicht alleine....
z.B. hier .. https://forum.opnsense.org/index.php?topic=30032.0
oder hier ... https://forum.opnsense.org/index.php?topic=17629.0
Ich habe das Problem vorerst mit BGP umgangen.
Die statische Route in Richtung Wireguard Tunnel Interface wird bei BGP zwar auch nicht erkannt (Ist womöglich ein darüber gelagerter Prozess für beide Routing Protokolle), aber bei BGP funktioniert zumindest der Network Eintrag und ich kann wie mimugmail vorgeschlagen hat, das Netzwerk manuell hinzufügen.
Ich kenne zwar keine Details um das Plugin FFR, aber meiner Meinung nach ist es schon etwas buggy.
Wenn man auf dynamisches Routing angewiesen ist, macht das bestimmt keinen Spaß.
Aber egal, ich hab erstmal eine funktionierende Lösung, sollte einer die Erleuchtung haben, darf er (oder sie) sich gerne melden. :)
Schönes WE.
VG
Rubinho
Man darf die area nur im network Tab eintragen, nicht bei interfaces + network, das beisst sich.
Ok, das war der Trick.
Muss wohl doch wieder die Grundlagen von OSPF auffrischen.
Was mir allerdings bei OSPF nicht gelingt, ist eine Nachbarschaft über einen Wireguard Tunnel aufzubauen und das ohne Area Angabe in den Interfaces.
Wenn ich die Area unter Interfaces angebe, wird eine Nachbarschaft zur gegenüberliegenden Opnsense aufgebaut. Aber dann kann ich kein manuelles Netzwerk anlegen.
Zur Vervollständigung, ich habe noch eine Sense in der Hetzner Cloud, die hällt auch einige Tunnel und die wollte ich in den dynamischen Prozess mit einbinden.
Mit BGP klappt das alles, aber wenn es mit OSPF auch gehen würde, wäre das der favorisierte Weg, da weniger Einstellmöglichkeiten (Weniger was man kaputt machen kann :) )
VG
Rubinho
Ich bevorzuge auch BGP und OSPF nur intern und nur Backbone.
Bei wireguard war der Trick interface assignen, network auf nbma (oder so) und keine Area in interface