BGP mit IPSec

Started by Ruddimaster, November 25, 2017, 07:21:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 25, 2017, 07:21:01 PM
Hallo,

zu meiner betreuten Infrastruktur gehört ein 2 node cluster (CARP) mit pfSense und OpenBGP (eigenes AS).

Nun klebe ich seit etwa 2 Jahren an der Version 2.2.6 da es erheblich Probleme mit BGP (scheinbar egal welche Software) in Verbindung mit IPSec.
https://forum.pfsense.org/index.php?topic=109908.0
https://redmine.pfsense.org/issues/6223 (da war auch noch CB mit im Boot :-/ )

Ich habe seit Beginn die Entwicklung von opnsense mit Interesse beobachtet, jedoch den Aufwand (15 Nics, ca 25 VLANs, 50 IPSec-Tunnel, 10 OpenVPN) und den eventuellen Ärger gescheut.
Da jetzt neue Hardware angeschafft wird, liebäugle ich wieder. Mittlerweile ist ja mit Quagga auch BGP dabei.


  • Gibt es in der Kombination BGP (Quagga) mit IPSec auch hier Probleme. In den Foren bin ich auf jeden Fall nicht fündig geworden.
  • Bei pfSense gibt es bei der Kombination von BGP und CARP die Option, daß der BGP-Deamon beim inaktiven Knoten unten ist/bleibt. Ist dies auch hier irgendwie konfigurierbar?
  • Gibt es Migrationstools, oder ist es immer noch möglich die Sicherung zu importieren? Bei meiner Komplexität wohl eher nicht.

November 25, 2017, 08:02:30 PM #1
Da BGP rein TCP ist sollte es keine Probleme mit IPSec haben, ist mir nix bekannt. BGP mit Carp ist eher unüblich. Normalerweise macht man 2 Neighbor und nur intern Carp (oder Ospf)
November 26, 2017, 11:37:41 PM #2
> Mittlerweile ist ja mit Quagga auch BGP dabei.

Und egal welche Sense sollte man m.W. Quagga inzwischen ad acta legen, da das Projekt ja auch den halben Entwicklungstod gestorben ist. Soweit ich weiß konzentriert sich die Entwicklungspower inzwischen bei FRR, weshalb das Paket ja inzwischen alternativ zu Quagga bei pfSense mit drin ist.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
November 27, 2017, 06:20:14 AM #3
Meinst du vielleicht das da mit IPSEC?

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=223835

November 27, 2017, 07:32:39 AM #4
Quote from: JeGr on November 26, 2017, 11:37:41 PM
Und egal welche Sense sollte man m.W. Quagga inzwischen ad acta legen, da das Projekt ja auch den halben Entwicklungstod gestorben ist. Soweit ich weiß konzentriert sich die Entwicklungspower inzwischen bei FRR, weshalb das Paket ja inzwischen alternativ zu Quagga bei pfSense mit drin ist.

Wir wollen mittelfristig auch wechseln, Diskussion läuft schon seit geraumer Zeit und wir haben auch schon ein FRR Update für FreeBSD Ports übergeben. :)

https://github.com/opnsense/plugins/issues/230

Da der Switch aber von Quagga auf FRR vollzogen wird ohne beide Plugins zu behalten, um Energie/Bugs zu sparen, sind wir etwas vorsichtiger.


Grüsse
Franco
November 30, 2017, 10:57:36 AM #5
Quote from: mimugmail on November 25, 2017, 08:02:30 PM
Da BGP rein TCP ist sollte es keine Probleme mit IPSec haben, ist mir nix bekannt.
Meines Wissens geht es um nicht um TCP selber, sondern um das Routing...
Scheinbar kommt die Routingtabelle mit den SAs ins gehege... so mein Halbwissen.

Quote from: mimugmail on November 25, 2017, 08:02:30 PM
BGP mit Carp ist eher unüblich. Normalerweise macht man 2 Neighbor und nur intern Carp (oder Ospf)
Ja, das kann ich mir vorstellen, jedoch ist dies historisch gewachsen und bis jetzt mit dem System (active/passiv-Cluster) sind wir gut gefahren. Ich wüsste auch nicht, wie ich dies jetzt aufdröseln kann/soll.
z.B. Ich mach nicht nur Routing, sondern auch Firewall, IPSec, NAT und Reverse Proxy.


Quote from: mimugmail on November 27, 2017, 06:20:14 AM
Meinst du vielleicht das da mit IPSEC?
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=223835
Wenn Du mich mit der Frage ansprichtst... Ich meine das
https://sysadminblog.net/2016/05/pfsense-2-3-ipsec-dropouts/
Ich weiss jetzt nicht, ob das ein reines Problem in der Kombination von OpenBGPD und Strongswan, oder generell Routing und IPSec.

Gruß
Dirk
November 30, 2017, 02:56:46 PM #6
Hm, dann wenn möglich vorab testen. SA sollten wir irgendwie schon hin bekommen, da mach ich mir keine Sorgen, aber CARP IP mit BGP, da hab ich Bauchschmerzen.
November 30, 2017, 06:52:01 PM #7
vom Prinzip ist das bei pfsense ziemlich simpel gestrickt

Es wird der Status einer VIP überprüft und je nach dem wird der Deamon rauf oder herunter gefahren. Wenn alles in Ordnung ist, habe ich zwar auf dem Backupserver einen roten Lutscher beim BGP-Service, aber das ist in OK....

...mit Unterstützung würde ich das auch bestimmt über ein shell script hinbekommen...
November 30, 2017, 07:03:10 PM #8 Last Edit: November 30, 2017, 07:04:51 PM by fabian
Wir haben hier kein OpenBGPd sondern quagga bzw. frr (migration Richtung 18.1 geplant). Die konfiguration ist über die API sowie über die config.xml möglich, wobei ich eher zu ersterem raten würde, da ich mir nicht so sicher bin, ob es eine gute idee ist, XML mit einem sh Skript zu bearbeiten. Schlussendlich werden es auch nicht mehr als 2-3 curl-Befehle sein, die notwendig sind.

Am besten richtest du deine Fragen bezüglich BGP an mimugmail, da er der Maintainer für BGP ist.
November 30, 2017, 07:27:19 PM #9
Danke... das hört sich doch gut an.
Mitte Dezember bekomme ich wahrscheinlich die HW und Ende März werde ich wohl umziehen. Also relativ ausreichend Zeit einen Migrationsprozess zu erarbeiten.

Bis jetzt sehe ich noch keinen Showstopper (z.B. kein BGP)... zwar viel Handarbeit, aber OK... Vor einem Jahr sah das noch anders aus. Das Projekt hat sich richtig gemacht.
Print
Go Up Pages1
User actions