OSPF zwischen OpnSense und Fortinet

Started by anpa, June 07, 2023, 03:56:43 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 07, 2023, 03:56:43 PM
Guten Tag,

hat jemand Erfahrungen, eine OSPF Beziehung zwischen der Fortinet und der OpnSense herzustellen? Beide Router sind in der selber Area. Die Fortinet hat eine funktionierende IPSec Verbindung zur OpnSense. Auf der Fortinet ist dem physischen (externen) Interface ein Tunnelinterface zugeordnet, welches aber auf der OpnSense-Seite kein Äquivalent hat.

IPSec funktioniert mit statischen Routen problemlos, nur benötige ich auf der OpnSense-Seite ebenfalls ein Tun-Interface auf der Basis von IPSec, was von OSPF benutzt werden soll.

Bisher habe ich nur OSPF-Beziehungen zwischen Fortinets hergestellt, was jetzt mit der OPnSense zum Problem geworden ist.

Nette Grüße
AnPa
June 07, 2023, 11:04:53 PM #1
Ja, da würde ich eher mit bgp arbeiten, geht besser
June 08, 2023, 08:02:49 AM #2
BGP ist derzeit keine Option, weil derzeit, über mehrere Standorte verteilt, alle Fortinetcluster über Ansible administriert sind und demzufolge die L3 Struktur (IPSec) übergreifend die Grundlage für OSPF ist. Dies wird ebenfalls via Ansible konfiguriert bzw. optimiert und läuft reibungslos. Der Fall der nun aktuell ist, ist die Fremdanbindung der OpnSense an einen der Fortinetcluster. Die momentan eine OpnSense soll im nächsten Schritt ebenfalls redundant werden. OSPF seitig wird die Priorität der Leitungswahl dann zwar über die Metriken gesteuert, doch spricht bisher nichts dagegen davon abzuweichen.
Dafür brauche ich aber auf der OpnSense ein (n) Tuninterface(s), welche auf IPSec basierend, das OSPF-Netz zum Routenaustausch ergibt. Und das bekomme ich auf der OpnSense nicht erstellt. Auf der Forti ist hingegen alles konfiguriert. Das Debugglog zeigt, das das Gegenüber nicht vorhanden ist.

Nette Grüße
anpa
June 08, 2023, 05:41:19 PM #3
OSPF is highly not recommended for WAN connections due to the convergence design. Please use BGP.
If one fortinet starts flapping for 5 min all your network will be down. :D

Google Translate:

Aufgrund des Konvergenzdesigns wird OSPF für WAN-Verbindungen dringend empfohlen. Bitte verwenden Sie BGP.
Wenn ein Fortinet 5 Minuten lang zu flattern beginnt, ist Ihr gesamtes Netzwerk ausgefallen. :D
June 08, 2023, 05:57:08 PM #4
Quote from: anpa on June 08, 2023, 08:02:49 AM
BGP ist derzeit keine Option, weil derzeit, über mehrere Standorte verteilt, alle Fortinetcluster über Ansible administriert sind und demzufolge die L3 Struktur (IPSec) übergreifend die Grundlage für OSPF ist. Dies wird ebenfalls via Ansible konfiguriert bzw. optimiert und läuft reibungslos. Der Fall der nun aktuell ist, ist die Fremdanbindung der OpnSense an einen der Fortinetcluster. Die momentan eine OpnSense soll im nächsten Schritt ebenfalls redundant werden. OSPF seitig wird die Priorität der Leitungswahl dann zwar über die Metriken gesteuert, doch spricht bisher nichts dagegen davon abzuweichen.
Dafür brauche ich aber auf der OpnSense ein (n) Tuninterface(s), welche auf IPSec basierend, das OSPF-Netz zum Routenaustausch ergibt. Und das bekomme ich auf der OpnSense nicht erstellt. Auf der Forti ist hingegen alles konfiguriert. Das Debugglog zeigt, das das Gegenüber nicht vorhanden ist.

Nette Grüße
anpa

Dann ist das ein falsches Design und die OPNsense sollte mit einer Forti ersetzt werden. Ansonsten hast du immer ne Sonderlocke in einem standardisierten Design.
June 09, 2023, 07:03:57 AM #5
Guten Morgen,

QuoteOSPF is highly not recommended for WAN connections due to the convergence design. Please use BGP.
If one fortinet starts flapping for 5 min all your network will be down.

@lilsense: Kannst du bitte die vollständige Quelle zu diesem Textfragment posten? Aus meiner Sicht kommt das Problem jedoch nur dann zum tragen, wenn eine Fortinet auf L1/2a via DSL o.ä. angebunden ist. Dies ist jedoch kein Problem, wenn standortübergreifende, multiredundante Standleitungen mit Active-Active Fortinetclustern verbunden sind. Generell gilt dann IPSec als Verbindungsschicht und OSPF als Routinginstanz, die über Metrikpriorisierungen pro externem Anschluss, Metriktypen und ggf. Filtern, sozusagen granuliert wird.
June 09, 2023, 07:29:03 AM #6
QuoteDann ist das ein falsches Design und die OPNsense sollte mit einer Forti ersetzt werden. Ansonsten hast du immer ne Sonderlocke in einem standardisierten Design.

@mimugmail - Ja, eine "Sonderlocke" wird der Einsatz der OpnSenses sein. Dieses ist uns aber vorgegeben, leider. Allerdings ist aber OSPF ein standardisiertes Protokoll, auch das jeder Router eine ID im Sinne einer IP für die Kommunikation benötigt. Dies bildet, wie erwähnt das Tuninterface auf der Fortinetseite, wo ich mich auf der OpnSense nicht im Stande sehe, dies mit Bindung zum physischen Interface zu erzeugen.

Gegenwärtig arbeiten wir an einem Szenario was statische Routen zur OpnSense überträgt und diese via Filter im OSPF an andere Router propagiert. Im Ansible zieht das zumindest auf der Fortinetseite eine Erweiterung der Playbooks für das Routing nach sich. Ob und inwieweit OpnSense die Konfiguration via Ansible zulässt und ob die entsprechende Module existieren, entzieht sich meiner Kenntnis.
Genau hier gebe ich dir Recht, dass das Gesamtkonzept beginnt wackelig zu werden.

Best Grüße
AnPa
June 09, 2023, 07:51:30 AM #7
Das Thema kam schön öfters, ich glaube man braucht route based ipsec, interface zuweisen und dann bisschen tricksen. Such mal im Forum und den Tickets, eventuell bei pfsense. Glaube aber das multicast und freebsd mit ipsec nicht wirklich toll funktioniert
Print
Go Up Pages1
User actions