OSPF zwischen OpnSense und Fortinet

[anpa]

Guten Tag,

hat jemand Erfahrungen, eine OSPF Beziehung zwischen der Fortinet und der OpnSense herzustellen? Beide Router sind in der selber Area. Die Fortinet hat eine funktionierende IPSec Verbindung zur OpnSense. Auf der Fortinet ist dem physischen (externen) Interface ein Tunnelinterface zugeordnet, welches aber auf der OpnSense-Seite kein Äquivalent hat.

IPSec funktioniert mit statischen Routen problemlos, nur benötige ich auf der OpnSense-Seite ebenfalls ein Tun-Interface auf der Basis von IPSec, was von OSPF benutzt werden soll.

Bisher habe ich nur OSPF-Beziehungen zwischen Fortinets hergestellt, was jetzt mit der OPnSense zum Problem geworden ist.

Nette Grüße
AnPa

[mimugmail]

Ja, da würde ich eher mit bgp arbeiten, geht besser

[anpa]

BGP ist derzeit keine Option, weil derzeit, über mehrere Standorte verteilt, alle Fortinetcluster über Ansible administriert sind und demzufolge die L3 Struktur (IPSec) übergreifend die Grundlage für OSPF ist. Dies wird ebenfalls via Ansible konfiguriert bzw. optimiert und läuft reibungslos. Der Fall der nun aktuell ist, ist die Fremdanbindung der OpnSense an einen der Fortinetcluster. Die momentan eine OpnSense soll im nächsten Schritt ebenfalls redundant werden. OSPF seitig wird die Priorität der Leitungswahl dann zwar über die Metriken gesteuert, doch spricht bisher nichts dagegen davon abzuweichen.
Dafür brauche ich aber auf der OpnSense ein (n) Tuninterface(s), welche auf IPSec basierend, das OSPF-Netz zum Routenaustausch ergibt. Und das bekomme ich auf der OpnSense nicht erstellt. Auf der Forti ist hingegen alles konfiguriert. Das Debugglog zeigt, das das Gegenüber nicht vorhanden ist.

Nette Grüße
anpa

[lilsense]

OSPF is highly not recommended for WAN connections due to the convergence design. Please use BGP.
If one fortinet starts flapping for 5 min all your network will be down.

Google Translate:

Aufgrund des Konvergenzdesigns wird OSPF für WAN-Verbindungen dringend empfohlen. Bitte verwenden Sie BGP.
Wenn ein Fortinet 5 Minuten lang zu flattern beginnt, ist Ihr gesamtes Netzwerk ausgefallen.

[mimugmail]

BGP ist derzeit keine Option, weil derzeit, über mehrere Standorte verteilt, alle Fortinetcluster über Ansible administriert sind und demzufolge die L3 Struktur (IPSec) übergreifend die Grundlage für OSPF ist. Dies wird ebenfalls via Ansible konfiguriert bzw. optimiert und läuft reibungslos. Der Fall der nun aktuell ist, ist die Fremdanbindung der OpnSense an einen der Fortinetcluster. Die momentan eine OpnSense soll im nächsten Schritt ebenfalls redundant werden. OSPF seitig wird die Priorität der Leitungswahl dann zwar über die Metriken gesteuert, doch spricht bisher nichts dagegen davon abzuweichen.
Dafür brauche ich aber auf der OpnSense ein (n) Tuninterface(s), welche auf IPSec basierend, das OSPF-Netz zum Routenaustausch ergibt. Und das bekomme ich auf der OpnSense nicht erstellt. Auf der Forti ist hingegen alles konfiguriert. Das Debugglog zeigt, das das Gegenüber nicht vorhanden ist.

Nette Grüße
anpa

Dann ist das ein falsches Design und die OPNsense sollte mit einer Forti ersetzt werden. Ansonsten hast du immer ne Sonderlocke in einem standardisierten Design.

[anpa]

Guten Morgen,

OSPF is highly not recommended for WAN connections due to the convergence design. Please use BGP.
If one fortinet starts flapping for 5 min all your network will be down.

@lilsense: Kannst du bitte die vollständige Quelle zu diesem Textfragment posten? Aus meiner Sicht kommt das Problem jedoch nur dann zum tragen, wenn eine Fortinet auf L1/2a via DSL o.ä. angebunden ist. Dies ist jedoch kein Problem, wenn standortübergreifende, multiredundante Standleitungen mit Active-Active Fortinetclustern verbunden sind. Generell gilt dann IPSec als Verbindungsschicht und OSPF als Routinginstanz, die über Metrikpriorisierungen pro externem Anschluss, Metriktypen und ggf. Filtern, sozusagen granuliert wird.

[anpa]

Dann ist das ein falsches Design und die OPNsense sollte mit einer Forti ersetzt werden. Ansonsten hast du immer ne Sonderlocke in einem standardisierten Design.

@mimugmail - Ja, eine "Sonderlocke" wird der Einsatz der OpnSenses sein. Dieses ist uns aber vorgegeben, leider. Allerdings ist aber OSPF ein standardisiertes Protokoll, auch das jeder Router eine ID im Sinne einer IP für die Kommunikation benötigt. Dies bildet, wie erwähnt das Tuninterface auf der Fortinetseite, wo ich mich auf der OpnSense nicht im Stande sehe, dies mit Bindung zum physischen Interface zu erzeugen.

Gegenwärtig arbeiten wir an einem Szenario was statische Routen zur OpnSense überträgt und diese via Filter im OSPF an andere Router propagiert. Im Ansible zieht das zumindest auf der Fortinetseite eine Erweiterung der Playbooks für das Routing nach sich. Ob und inwieweit OpnSense die Konfiguration via Ansible zulässt und ob die entsprechende Module existieren, entzieht sich meiner Kenntnis.
Genau hier gebe ich dir Recht, dass das Gesamtkonzept beginnt wackelig zu werden.

Best Grüße
AnPa

[mimugmail]

Das Thema kam schön öfters, ich glaube man braucht route based ipsec, interface zuweisen und dann bisschen tricksen. Such mal im Forum und den Tickets, eventuell bei pfsense. Glaube aber das multicast und freebsd mit ipsec nicht wirklich toll funktioniert