2 pfSense e 2 BGP



  • Olá,

    tenho uma duvida que gostaria de saber se alguém sabe me ajudar…

    Tenho a estrutura que coloquei em anexo no post.

    Resumindo: 2 ISPs, 2 Routers, 2 PFSense... os Routers fazem eBGP com os ISPs e iBGP entre eles, o Gateway dos PF1 e PF2 são o Router 1, e eles são ligados com CARP... sendo assim, apenas 1 está ativo de cada vez.

    Se o Gateway dos PFSenses é o Router1, toda a saída vai ser pelo Router1 e, se for o caso, vai ser passado ao Router2 e para fora pelo iBGP (é como está hoje e funciona).

    O que eu queria é que o PFSense usasse os dois Routers para a saida.

    Posso pensar em 2 maneiras de fazer isso:

    1 - Colocar os 2 Gateways com balanceamento de carga nos PFSenses
    Problema: O tráfego do Router1 para o Router2 e vice-versa permaneceria
    2 - Tirar o iBGP entre os routers e fazer esse iBGP instalando o openBGPD no PFsense
    Problema: Nunca instalei o openBGPD no PFSENSE e não sei como nem se funciona

    Bom... talvez a questão não seja diretamente de PFSense, por isso talvez seja classificada como OFF-TOPIC, mas como tem PFSense envolvido, resolvi perguntar aqui...

    Se alguem puder me dar uma dica sobre qual a estrutura julga ser a melhor ou até sugerir algo diferente, sou todo ouvidos (ou olhos)

    Um abraço

    Luiz

    ![Sem título.png](/public/imported_attachments/1/Sem título.png)
    ![Sem título.png_thumb](/public/imported_attachments/1/Sem título.png_thumb)



  • Olá!

    Me diga uma coisa, a rede atrás dos seus dois PFSense usa blocos IPv4 de Internet ou são redes internas, dentro dos blocos RFC?

    Se você possui rede interna, instale o Quagga no PFSense, além do grupo de roteamento que você mesmo já pensou, isso fará o PFSense não só interagir com os Routers como saber qual a melhor rota e balancear as conexões.



  • Além do que o LFCavalcanti já postou, você pode fazer um simples grupo de gateways e definir nas regras da lan que vão para a internet.

    uso o método mais simples(grupo de gateway).

    LFCavalcanti, você tem o quagga trabalhando como você descreveu? Sempre quis usar assim ma esbarro em alguns pontos não técnicos.



  • @marcelloc:

    Além do que o LFCavalcanti já postou, você pode fazer um simples grupo de gateways e definir nas regras da lan que vão para a internet.

    uso o método mais simples(grupo de gateway).

    LFCavalcanti, você tem o quagga trabalhando como você descreveu? Sempre quis usar assim ma esbarro em alguns pontos não técnicos.

    Olá!

    Você fala os pontos referentes a colaboração dos ISP? É dificil.

    Eu tenho o Quagga pra gerenciar rotas com VPNs IPSEC, uma por MPLS e outra via Link Rádio, mas acredito que o mesmo principio seja aplicável ao caso.

    Quando configurei da primeira vez usei esse tutorial como base: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/

    Tem esse tópico na comunidade do Spiceworks que também é útil: http://community.spiceworks.com/how_to/show/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf

    Pelo que entendi da topologia acima, já há BGP entre os dois routers, e provavelmente troca de tráfego. Me pergunto se já não há um "Fail Over" embutido. No caso dele, se quer aproveitar apenas a velocidade de banda dos dois ISP, um grupo de Gateways e regras de Firewall pra direcionar o tráfego para o grupo já bastariam.

    Eu corrigi minha postagem acima, porque no caso dele, se a rede atrás dos PFSense for da faixa "privada", RFC e etc, BGP no PFSense não fucionaria, já que ele não têm redes a publicar. O OSPF ajudaria ele a criar regras de roteamento aproveitando o BPG dos routers.

    Se ele tiver uma rede com bloco válido atrás do PFSense, vale 100% colocar BGP no PFSense e transformar ele num AS. Assim o balanceamento fica 100%.



  • Olá,

    Sim, existe um fail-over embutido, como tu diz… A questão é que o PF1 e PF2 tem como gateway ROUTER1, sendo assim, se ROUTER1 cair, eu vou ter que, manualmente, mover o gateway para o ROUTER2, o que eu nao queria... dá pra fazer um grupo de gateway, mas tambem não sei se essa é a melhor solução...

    Por isso pensei justamente em colocar um BGP nos PFSense e fazer um iBGP entre os 4 (PF1, PF2, ROUTER1 E ROUTER2) que, pelo que entendi, foi o que tu recomendou fazer, correto ?

    Atrás do PFSense tenho uma rede privada, mas com vários Port Forwarding configurados... Não entendi onde isso seria um problema para o BGP...

    Obrigado

    Luiz



  • @lczancanella:

    Olá,

    Sim, existe um fail-over embutido, como tu diz… A questão é que o PF1 e PF2 tem como gateway ROUTER1, sendo assim, se ROUTER1 cair, eu vou ter que, manualmente, mover o gateway para o ROUTER2, o que eu nao queria... dá pra fazer um grupo de gateway, mas tambem não sei se essa é a melhor solução...

    Por isso pensei justamente em colocar um BGP nos PFSense e fazer um iBGP entre os 4 (PF1, PF2, ROUTER1 E ROUTER2) que, pelo que entendi, foi o que tu recomendou fazer, correto ?

    Atrás do PFSense tenho uma rede privada, mas com vários Port Forwarding configurados... Não entendi onde isso seria um problema para o BGP...

    Obrigado

    Luiz

    Olá!

    No seu caso, um grupo de gateways é suficiente para usar os dois, se você quiser um Fail Over apenas e não balanceamento, use a opção Member Down.

    Sobre o BGP, lembre, BGP é um protocolo de borda entre redes na internet. O seu PFSense é a borda entre a sua rede e a do provedor. Os routers dos provedores utilizam BGP porque eles fazem troca de tráfego entre si, assim os routers também são bordas das redes deles.

    Como seu PFSense é borda entre uma rede privada e a Internet(na rede de dois ISP), o BGP não possui redes para publicar, no seu caso você poderia implantar o OSPF através do pacote QUAGGA e configurar algumas redes que você deseja monitorar as rotas.



  • @LFCavalcanti:

    Quando configurei da primeira vez usei esse tutorial como base: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/

    Tem esse tópico na comunidade do Spiceworks que também é útil: http://community.spiceworks.com/how_to/show/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf

    Fixei os links nos tutoriais, obrigado pela contribuição.

    @LFCavalcanti:

    Você fala os pontos referentes a colaboração dos ISP? É dificil.

    Além dos ISPs, existe o "medo gerencial" de usar uma ferramente que os ISPs não tem conhecimento ou não dão suporte. Neste caso específico, qualquer problema de roteamento a culpa vai ser da solução opensouce, independente da besteira que o provedor tenha feito.
    Já passei por casos onde o provedor "decidiu" não publicar mais a faixa do bgp por conta própria, demoramos muito tempo para perceber a alteração.



  • @marcelloc:

    Além dos ISPs, existe o "medo gerencial" de usar uma ferramente que os ISPs não tem conhecimento ou não dão suporte. Neste caso específico, qualquer problema de roteamento a culpa vai ser da solução opensouce, independente da besteira que o provedor tenha feito.
    Já passei por casos onde o provedor "decidiu" não publicar mais a faixa do bgp por conta própria, demoramos muito tempo para perceber a alteração.

    Entendo, é que eles querem sempre forçar você a adquirir alguma solução deles ou com um parceiro deles.

    Quantas vezes vendedor da Algar/CTBC ou da Vivo Fibra tentavam me convencer a comprar dois links deles pra fazer Fail Over, eu sinceramente dava uma risada na cara deles.

    Em casos com infra mais "refinada", eu levanto os principais sites e serviços, crio ALIASE no PFSense e instalo o QUAGGA pra deixar o gerenciamento de rota mais inteligente.


Log in to reply