2 pfSense e 2 BGP
-
Olá,
tenho uma duvida que gostaria de saber se alguém sabe me ajudar…
Tenho a estrutura que coloquei em anexo no post.
Resumindo: 2 ISPs, 2 Routers, 2 PFSense... os Routers fazem eBGP com os ISPs e iBGP entre eles, o Gateway dos PF1 e PF2 são o Router 1, e eles são ligados com CARP... sendo assim, apenas 1 está ativo de cada vez.
Se o Gateway dos PFSenses é o Router1, toda a saída vai ser pelo Router1 e, se for o caso, vai ser passado ao Router2 e para fora pelo iBGP (é como está hoje e funciona).
O que eu queria é que o PFSense usasse os dois Routers para a saida.
Posso pensar em 2 maneiras de fazer isso:
1 - Colocar os 2 Gateways com balanceamento de carga nos PFSenses
Problema: O tráfego do Router1 para o Router2 e vice-versa permaneceria
2 - Tirar o iBGP entre os routers e fazer esse iBGP instalando o openBGPD no PFsense
Problema: Nunca instalei o openBGPD no PFSENSE e não sei como nem se funcionaBom... talvez a questão não seja diretamente de PFSense, por isso talvez seja classificada como OFF-TOPIC, mas como tem PFSense envolvido, resolvi perguntar aqui...
Se alguem puder me dar uma dica sobre qual a estrutura julga ser a melhor ou até sugerir algo diferente, sou todo ouvidos (ou olhos)
Um abraço
Luiz
 -
Olá!
Me diga uma coisa, a rede atrás dos seus dois PFSense usa blocos IPv4 de Internet ou são redes internas, dentro dos blocos RFC?
Se você possui rede interna, instale o Quagga no PFSense, além do grupo de roteamento que você mesmo já pensou, isso fará o PFSense não só interagir com os Routers como saber qual a melhor rota e balancear as conexões.
-
Além do que o LFCavalcanti já postou, você pode fazer um simples grupo de gateways e definir nas regras da lan que vão para a internet.
uso o método mais simples(grupo de gateway).
LFCavalcanti, você tem o quagga trabalhando como você descreveu? Sempre quis usar assim ma esbarro em alguns pontos não técnicos.
-
Além do que o LFCavalcanti já postou, você pode fazer um simples grupo de gateways e definir nas regras da lan que vão para a internet.
uso o método mais simples(grupo de gateway).
LFCavalcanti, você tem o quagga trabalhando como você descreveu? Sempre quis usar assim ma esbarro em alguns pontos não técnicos.
Olá!
Você fala os pontos referentes a colaboração dos ISP? É dificil.
Eu tenho o Quagga pra gerenciar rotas com VPNs IPSEC, uma por MPLS e outra via Link Rádio, mas acredito que o mesmo principio seja aplicável ao caso.
Quando configurei da primeira vez usei esse tutorial como base: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/
Tem esse tópico na comunidade do Spiceworks que também é útil: http://community.spiceworks.com/how_to/show/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf
Pelo que entendi da topologia acima, já há BGP entre os dois routers, e provavelmente troca de tráfego. Me pergunto se já não há um "Fail Over" embutido. No caso dele, se quer aproveitar apenas a velocidade de banda dos dois ISP, um grupo de Gateways e regras de Firewall pra direcionar o tráfego para o grupo já bastariam.
Eu corrigi minha postagem acima, porque no caso dele, se a rede atrás dos PFSense for da faixa "privada", RFC e etc, BGP no PFSense não fucionaria, já que ele não têm redes a publicar. O OSPF ajudaria ele a criar regras de roteamento aproveitando o BPG dos routers.
Se ele tiver uma rede com bloco válido atrás do PFSense, vale 100% colocar BGP no PFSense e transformar ele num AS. Assim o balanceamento fica 100%.
-
Olá,
Sim, existe um fail-over embutido, como tu diz… A questão é que o PF1 e PF2 tem como gateway ROUTER1, sendo assim, se ROUTER1 cair, eu vou ter que, manualmente, mover o gateway para o ROUTER2, o que eu nao queria... dá pra fazer um grupo de gateway, mas tambem não sei se essa é a melhor solução...
Por isso pensei justamente em colocar um BGP nos PFSense e fazer um iBGP entre os 4 (PF1, PF2, ROUTER1 E ROUTER2) que, pelo que entendi, foi o que tu recomendou fazer, correto ?
Atrás do PFSense tenho uma rede privada, mas com vários Port Forwarding configurados... Não entendi onde isso seria um problema para o BGP...
Obrigado
Luiz
-
Olá,
Sim, existe um fail-over embutido, como tu diz… A questão é que o PF1 e PF2 tem como gateway ROUTER1, sendo assim, se ROUTER1 cair, eu vou ter que, manualmente, mover o gateway para o ROUTER2, o que eu nao queria... dá pra fazer um grupo de gateway, mas tambem não sei se essa é a melhor solução...
Por isso pensei justamente em colocar um BGP nos PFSense e fazer um iBGP entre os 4 (PF1, PF2, ROUTER1 E ROUTER2) que, pelo que entendi, foi o que tu recomendou fazer, correto ?
Atrás do PFSense tenho uma rede privada, mas com vários Port Forwarding configurados... Não entendi onde isso seria um problema para o BGP...
Obrigado
Luiz
Olá!
No seu caso, um grupo de gateways é suficiente para usar os dois, se você quiser um Fail Over apenas e não balanceamento, use a opção Member Down.
Sobre o BGP, lembre, BGP é um protocolo de borda entre redes na internet. O seu PFSense é a borda entre a sua rede e a do provedor. Os routers dos provedores utilizam BGP porque eles fazem troca de tráfego entre si, assim os routers também são bordas das redes deles.
Como seu PFSense é borda entre uma rede privada e a Internet(na rede de dois ISP), o BGP não possui redes para publicar, no seu caso você poderia implantar o OSPF através do pacote QUAGGA e configurar algumas redes que você deseja monitorar as rotas.
-
Quando configurei da primeira vez usei esse tutorial como base: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/
Tem esse tópico na comunidade do Spiceworks que também é útil: http://community.spiceworks.com/how_to/show/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf
Fixei os links nos tutoriais, obrigado pela contribuição.
Você fala os pontos referentes a colaboração dos ISP? É dificil.
Além dos ISPs, existe o "medo gerencial" de usar uma ferramente que os ISPs não tem conhecimento ou não dão suporte. Neste caso específico, qualquer problema de roteamento a culpa vai ser da solução opensouce, independente da besteira que o provedor tenha feito.
Já passei por casos onde o provedor "decidiu" não publicar mais a faixa do bgp por conta própria, demoramos muito tempo para perceber a alteração. -
Além dos ISPs, existe o "medo gerencial" de usar uma ferramente que os ISPs não tem conhecimento ou não dão suporte. Neste caso específico, qualquer problema de roteamento a culpa vai ser da solução opensouce, independente da besteira que o provedor tenha feito.
Já passei por casos onde o provedor "decidiu" não publicar mais a faixa do bgp por conta própria, demoramos muito tempo para perceber a alteração.Entendo, é que eles querem sempre forçar você a adquirir alguma solução deles ou com um parceiro deles.
Quantas vezes vendedor da Algar/CTBC ou da Vivo Fibra tentavam me convencer a comprar dois links deles pra fazer Fail Over, eu sinceramente dava uma risada na cara deles.
Em casos com infra mais "refinada", eu levanto os principais sites e serviços, crio ALIASE no PFSense e instalo o QUAGGA pra deixar o gerenciamento de rota mais inteligente.
