Print Page - BGP mit IPSec

Title: BGP mit IPSec
Post by: Ruddimaster on November 25, 2017, 07:21:01 PM

Hallo,

zu meiner betreuten Infrastruktur gehört ein 2 node cluster (CARP) mit pfSense und OpenBGP (eigenes AS).

Nun klebe ich seit etwa 2 Jahren an der Version 2.2.6 da es erheblich Probleme mit BGP (scheinbar egal welche Software) in Verbindung mit IPSec.
https://forum.pfsense.org/index.php?topic=109908.0
https://redmine.pfsense.org/issues/6223 (da war auch noch CB mit im Boot :-/ )

Ich habe seit Beginn die Entwicklung von opnsense mit Interesse beobachtet, jedoch den Aufwand (15 Nics, ca 25 VLANs, 50 IPSec-Tunnel, 10 OpenVPN) und den eventuellen Ärger gescheut.
Da jetzt neue Hardware angeschafft wird, liebäugle ich wieder. Mittlerweile ist ja mit Quagga auch BGP dabei.

Gibt es in der Kombination BGP (Quagga) mit IPSec auch hier Probleme. In den Foren bin ich auf jeden Fall nicht fündig geworden.
Bei pfSense gibt es bei der Kombination von BGP und CARP die Option, daß der BGP-Deamon beim inaktiven Knoten unten ist/bleibt. Ist dies auch hier irgendwie konfigurierbar?
Gibt es Migrationstools, oder ist es immer noch möglich die Sicherung zu importieren? Bei meiner Komplexität wohl eher nicht.

Title: Re: BGP mit IPSec
Post by: mimugmail on November 25, 2017, 08:02:30 PM

Da BGP rein TCP ist sollte es keine Probleme mit IPSec haben, ist mir nix bekannt. BGP mit Carp ist eher unüblich. Normalerweise macht man 2 Neighbor und nur intern Carp (oder Ospf)

Title: Re: BGP mit IPSec
Post by: JeGr on November 26, 2017, 11:37:41 PM

> Mittlerweile ist ja mit Quagga auch BGP dabei.

Und egal welche Sense sollte man m.W. Quagga inzwischen ad acta legen, da das Projekt ja auch den halben Entwicklungstod gestorben ist. Soweit ich weiß konzentriert sich die Entwicklungspower inzwischen bei FRR, weshalb das Paket ja inzwischen alternativ zu Quagga bei pfSense mit drin ist.

Title: Re: BGP mit IPSec
Post by: mimugmail on November 27, 2017, 06:20:14 AM

Meinst du vielleicht das da mit IPSEC?

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=223835

Title: Re: BGP mit IPSec
Post by: franco on November 27, 2017, 07:32:39 AM

Quote from: JeGr on November 26, 2017, 11:37:41 PM
Und egal welche Sense sollte man m.W. Quagga inzwischen ad acta legen, da das Projekt ja auch den halben Entwicklungstod gestorben ist. Soweit ich weiß konzentriert sich die Entwicklungspower inzwischen bei FRR, weshalb das Paket ja inzwischen alternativ zu Quagga bei pfSense mit drin ist.

Wir wollen mittelfristig auch wechseln, Diskussion läuft schon seit geraumer Zeit und wir haben auch schon ein FRR Update für FreeBSD Ports übergeben. :)

https://github.com/opnsense/plugins/issues/230

Da der Switch aber von Quagga auf FRR vollzogen wird ohne beide Plugins zu behalten, um Energie/Bugs zu sparen, sind wir etwas vorsichtiger.

Grüsse
Franco

Title: Re: BGP mit IPSec
Post by: Ruddimaster on November 30, 2017, 10:57:36 AM

Quote from: mimugmail on November 25, 2017, 08:02:30 PM
Da BGP rein TCP ist sollte es keine Probleme mit IPSec haben, ist mir nix bekannt.

Meines Wissens geht es um nicht um TCP selber, sondern um das Routing...
Scheinbar kommt die Routingtabelle mit den SAs ins gehege... so mein Halbwissen.

Quote from: mimugmail on November 25, 2017, 08:02:30 PM
BGP mit Carp ist eher unüblich. Normalerweise macht man 2 Neighbor und nur intern Carp (oder Ospf)

Ja, das kann ich mir vorstellen, jedoch ist dies historisch gewachsen und bis jetzt mit dem System (active/passiv-Cluster) sind wir gut gefahren. Ich wüsste auch nicht, wie ich dies jetzt aufdröseln kann/soll.
z.B. Ich mach nicht nur Routing, sondern auch Firewall, IPSec, NAT und Reverse Proxy.

Quote from: mimugmail on November 27, 2017, 06:20:14 AM
Meinst du vielleicht das da mit IPSEC?
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=223835

Wenn Du mich mit der Frage ansprichtst... Ich meine das
https://sysadminblog.net/2016/05/pfsense-2-3-ipsec-dropouts/ (https://sysadminblog.net/2016/05/pfsense-2-3-ipsec-dropouts/)
Ich weiss jetzt nicht, ob das ein reines Problem in der Kombination von OpenBGPD und Strongswan, oder generell Routing und IPSec.

Gruß
Dirk

Title: Re: BGP mit IPSec
Post by: mimugmail on November 30, 2017, 02:56:46 PM

Hm, dann wenn möglich vorab testen. SA sollten wir irgendwie schon hin bekommen, da mach ich mir keine Sorgen, aber CARP IP mit BGP, da hab ich Bauchschmerzen.

Title: Re: BGP mit IPSec
Post by: Ruddimaster on November 30, 2017, 06:52:01 PM

vom Prinzip ist das bei pfsense ziemlich simpel gestrickt
(https://forum.opnsense.org/index.php?action=dlattach;topic=6477.0;attach=2697;image)
Es wird der Status einer VIP überprüft und je nach dem wird der Deamon rauf oder herunter gefahren. Wenn alles in Ordnung ist, habe ich zwar auf dem Backupserver einen roten Lutscher beim BGP-Service, aber das ist in OK....

...mit Unterstützung würde ich das auch bestimmt über ein shell script hinbekommen...

Title: Re: BGP mit IPSec
Post by: fabian on November 30, 2017, 07:03:10 PM

Wir haben hier kein OpenBGPd sondern quagga bzw. frr (migration Richtung 18.1 geplant). Die konfiguration ist über die API sowie über die config.xml möglich, wobei ich eher zu ersterem raten würde, da ich mir nicht so sicher bin, ob es eine gute idee ist, XML mit einem sh Skript zu bearbeiten. Schlussendlich werden es auch nicht mehr als 2-3 curl-Befehle sein, die notwendig sind.

Am besten richtest du deine Fragen bezüglich BGP an mimugmail, da er der Maintainer für BGP ist.

Title: Re: BGP mit IPSec
Post by: Ruddimaster on November 30, 2017, 07:27:19 PM

Danke... das hört sich doch gut an.
Mitte Dezember bekomme ich wahrscheinlich die HW und Ende März werde ich wohl umziehen. Also relativ ausreichend Zeit einen Migrationsprozess zu erarbeiten.

Bis jetzt sehe ich noch keinen Showstopper (z.B. kein BGP)... zwar viel Handarbeit, aber OK... Vor einem Jahr sah das noch anders aus. Das Projekt hat sich richtig gemacht.

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Ruddimaster on November 25, 2017, 07:21:01 PM