BGP Prefix Lists filtern

Started by Crunk_Bass, Today at 12:37:27 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 12:37:27 AM
Um mehrere Firewalls und deren Netze zu verbinden, habe ich mir gedacht ich spiele mal ein bisschen mit Routing Protokollen rum.

Momentan sieht mein Testaufbau so aus:
Firewall 1 stellt einen OpenVPN Server bereit, zu dem sich Firewall 2 verbindet.
Auf beiden Firewalls ist FRR installiert und BGP konfiguriert.

Mit der Einstellung Connected routes (directly attached subnet or host) für Route Redistribution gibt es folgendes Probmlem:
Es werden sowohl die Route für lokale Subnetze als auch die WAN Adressen per BGP ausgetauscht.
Das führt dann dazu, dass die VPN Verbindung abbricht, weil die Firewalls ihre WAN IPs über den VPN Tunnel ansprechen möchten.

Von der Logik her dachte ich mir gut, dann lege ich einfach Prefix Lists an, um die ausgetauschten Routen auf RFC1918 Adressen zu beschränken.
Allerdings werden dann alle Prefixe blockiert und keine Routen mehr ausgetauscht.
Code Select
prefixStats
    inboundFiltered : 21
    aspathLoop : 0
    originatorLoop : 0
    clusterLoop : 0
    invalidNextHop : 0
    withdrawn : 0
    attributesDiscarded : 0
Wahrscheinlich habe ich in der Konfiguration nur einen Anfängerfehler und sehe ihn nicht.

Kann hier bitte mal jemand mit mehr Ahnung drüber schauen?

Konfiguration Firewall 1:
Code Select
Building configuration...

Current configuration:
!
frr version 10.5.0
frr defaults traditional
hostname firewall1.test.lan
log syslog notifications
!
ip prefix-list RFC1918 seq 10 permit 10.0.0.0/8 le 16
ip prefix-list RFC1918 seq 11 permit 172.16.0.0/12 le 20
ip prefix-list RFC1918 seq 12 permit 192.168.0.0/16 le 24
!
router bgp 65001
 bgp log-neighbor-changes
 no bgp ebgp-requires-policy
 no bgp default ipv4-unicast
 bgp graceful-restart
 neighbor 10.1.2.2 remote-as 65002
 !
 address-family ipv4 unicast
  redistribute connected
  neighbor 10.1.2.2 activate
  neighbor 10.1.2.2 soft-reconfiguration inbound
  neighbor 10.1.2.2 prefix-list RFC1918 in
  neighbor 10.1.2.2 prefix-list RFC1918 out
 exit-address-family
 !
 address-family ipv6 unicast
  redistribute connected
  neighbor 10.1.2.2 activate
  neighbor 10.1.2.2 soft-reconfiguration inbound
  neighbor 10.1.2.2 prefix-list RFC1918 in
  neighbor 10.1.2.2 prefix-list RFC1918 out
 exit-address-family
exit
!
end
Konfiguration Firewall 2:
Code Select
Building configuration...

Current configuration:
!
frr version 10.5.0
frr defaults traditional
hostname firewall2.test.lan
log syslog notifications
!
router bgp 65002
 no bgp ebgp-requires-policy
 no bgp default ipv4-unicast
 bgp graceful-restart
 neighbor 10.1.2.1 remote-as 65001
 !
 address-family ipv4 unicast
  redistribute connected
  neighbor 10.1.2.1 activate
  neighbor 10.1.2.1 soft-reconfiguration inbound
 exit-address-family
 !
 address-family ipv6 unicast
  redistribute connected
  neighbor 10.1.2.1 activate
  neighbor 10.1.2.1 soft-reconfiguration inbound
 exit-address-family
exit
!
end
Die auszutauschenden Routen liegen alle in 10.0.0.0/8 und es sind /24 Netze.
Print
Go Up Pages1
User actions