Вопросы по Quagga OSPFd (sendmsg in ospf_write failed to 224.0.0.5)

timon12

Добрый день! Настроил между двумя офисами 2 OpenVPN Site-to-Site , с обоих сторон pfsense (по резервному и основному каналах связи (физически разные линки)). Настраивал по манам: https://forum.pfsense.org/index.php?topic=58846.0 и http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/. Все получилось, поднялось и работает.

Но вот вчера упал основной канал, и при этом автоматически не переключилась маршрутизация на резервный, при этом на обоих pfsense одна и таже ошибка в логах: ospfd[82599]: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 64, interface ovpnsX, mtu 1500: No buffer space available.

Помогло только остановка ovpnsX основного канала на обоих pfsense, маршрутизация по резервному каналу поднялась моментально. После того, как провайдер починил основной канал связи, включил на обоих pfsense ovpnsX и маршрутизация автоматом снова пошла по основному каналу без всяких ошибок в логах.

Прошу помочь разобраться в чем проблема, что за ошибка.

werter

Доброе.
Версия pf ?

timon12

Обе

2.2.6-RELEASE (amd64)
built on Mon Dec 21 14:50:08 CST 2015
FreeBSD 10.1-RELEASE-p25

werter

https://forum.pfsense.org/index.php?topic=61564.0

sorry for my late response, but i have figured out where my problem was
on the site with the 2 wans i made a gateway-group and set this on the default-lan to everywhere rule as gateway, as soon as i changed it back to the default gateway preference all works

then you can fix it easy

we setup a "private" alias with all internal networks (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16) and set on each LAN a first "external" route:
allow any any to !private any over gateway group (with traffic limiter)

timon12

Благодарю за ответ! Я видел данный пост, не совсем мой случай.

sorry for my late response, but i have figured out where my problem was
on the site with the 2 wans i made a gateway-group and set this on the default-lan to everywhere rule as gateway, as soon as i changed it back to the default gateway preference all works

У меня нет gateway-group. На обоих pf есть по 3 канала - 1.интернет (он используеться и как резервный впн) 2. Транспортный канал (прямая оптика без доступа в мир, там только pf-ки и все) - основной впн и 3.LAN у каждой pf (между которыми должен быть постянный коннект).

we setup a "private" alias with all internal networks (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16) and set on each LAN a first "external" route:
allow any any to !private any over gateway group (with traffic limiter)

А вот это не совсем понял, что пытались сделать.

timon12

Все добрый день! Разобрался в проблеме, правильно было написано в https://forum.pfsense.org/index.php?topic=61564.0

Then you must open traffic on OpenVPN Interfaces for OSPF hosts, too… not only your needed networks but also the 2 broadcast IPs for OSPF 224.0.0.5 and 224.0.0.6 (and all your source firewall IPs for secuity even if doubled defined).

Добавил в правила Firewall - Rules - OpenVPN "Allow all for OSPF protocol"

ошибки в логах исчезли, переключение автоматом работает как часы.
Всем спасибо!

werter

Доброе.
А что за правила fw на OpenVPN инт. у Вас до этого были ??
Спрашиваю, потому как на время тестов разрешаю всё всем и по всем протоколам\портам.

timon12

В ВПН вначале было разрешено все - выдавало ошибку. Добавил еще правило разрешить все для ospf и заработало. Вчера протестил 4 раза - и отлично работат, без ошибок в логах.

werter

Там еще

… (and all your source firewall IPs for secuity even if doubled defined).

timon12

Добавил только то, что на скрине, и больше ничего. У меня помимо ВПН-ов которые обеспечивают два офисса связью между собой есть еще 2 ВПН-а для мобильных пользователей.

Screenshot.png_thumb

werter

Хм, странно.
Ведь 1-е правило перекрывает 2-е. Зачем явно указывать ospf, если ***** в 1-м уже вкл. ospf.

timon12

Как найду причину, отпишусь.