OSPF поверх IPSEC

[kharkov_max]

Добрый день господа.

Прошу помощи.
Решил поиграться с OSPF в IPSEC.
Цель, пока как минимум, отдать соседу маршрут.

Имеем freebsd8.2 на обоих концах, фаервол ipfw, ipsec-tools-0.8.0_3, quagga-0.99.22, gif интерфейсы на обоих роутерах для ipsec
Т.к. соседи должны находится в отдной подсети (это как я понял ospf) перенастроил gif и ipsec в тестовой связке.

gif:

Код: Выделить всё

gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet yyy.yyy.yyy.yyy --> xxx.xxx.xxx.xxx
        inet 192.168.200.2 --> 192.168.200.1 netmask 0xffffffff
        options=1<ACCEPT_REV_ETHIP_VER>

Политики ipsec:

Код: Выделить всё

spdadd 192.168.200.2/32 192.168.200.1/32 ipencap -P out ipsec ipcomp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require esp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 192.168.200.1/32 192.168.200.2/32 ipencap -P  in ipsec ipcomp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require esp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;

На другой стороне зеркально.
После того как туннель поднимается с обоих маршрутизаторов я как минимум вижу противоположные интерфейсы ipsec.
Т.е. можно считать что туннель работает.

Правила ipfw

Код: Выделить всё

${fw} add allow  all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx                             out via ${ext_if}
${fw} add allow  all from xxx.xxx.xxx.xxx to yyy.yyy.yyy.yyy                              in via ${ext_if}
${fw} add allow all from any to any via enc0
${fw} add allow all from any to any  via gif1

Сети за маршрутизаторами 192.168.1.0/24 и 192.168.2.0/24, собственно я эти сети хочу передать через OSPF.

Вот дальше немного начал путаться.
Установил quagga, сконфигурил

ospfd.conf:

Код: Выделить всё

hostname host2
password 8 xxxxx
enable password 8 xxxxx
log file /var/log/quagga/ospfd.log
service password-encryption
!
interface gif0
!
interface gif1
 description MKH
 ip ospf cost 10
 ip ospf mtu-ignore
! ip ospf network point-to-point
!
interface ipfw0
!
interface lo0
!
interface pflog0
!
interface pfsync0
!
interface re0
!
interface rl0
!
router ospf
 ospf router-id 192.168.200.2
 redistribute connected
 redistribute static
 neighbor 192.168.200.1
 network 192.168.2.0/24 area 0.0.0.0
!
line vty
!

zebra.conf

Код: Выделить всё

hostname office
password 8 bJkx0b/Pk09wQ
enable password 8 4DXNLRc1UB7Og
log file /var/log/quagga/zebra.log informational
service password-encryption
!
interface gif0
 ipv6 nd suppress-ra
!
interface gif1
 description host2
 ip address 192.168.200.2/32
 ipv6 nd suppress-ra
!
interface ipfw0
 ipv6 nd suppress-ra
!
interface lo0
!
interface pflog0
 ipv6 nd suppress-ra
!
interface pfsync0
 ipv6 nd suppress-ra
!
interface re0
 ipv6 nd suppress-ra
!
interface rl0
 ipv6 nd suppress-ra
!
ip forwarding
!
line vty
!

Со второй стороны зеркально.

При такой конфигурации соседи не видят друг друга, не могу понять в чем причина, то ли туннель криво строится, то ли ipfw блокирует, то ли quagga криво настроена (последнее более вероятно).
Т.е. show ip ospf neighbor не показывает соседа.

К сожалению настраиваю ospf первый раз, но думаю что не последний.
Подскажите куда можно покопать согласно конфигам, что бы поднять OSPF.

Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

Попробуйте прописать нетворк из p2p адресов. Можно еще глянуть аналог "sh ip ospf int bri".
И еще я не уверен что через иписек будет нормально мультикац ходить. Попробуйте пингануть 224.0.0.5, и посмотрите кто ответит. Такаже можно запустить отладку оспфа - для начала хелло пакетов, и посмотреть что там бегает.

[kharkov_max]

Попробуйте прописать нетворк из p2p адресов. Можно еще глянуть аналог "sh ip ospf int bri".
И еще я не уверен что через иписек будет нормально мультикац ходить. Попробуйте пингануть 224.0.0.5, и посмотрите кто ответит. Такаже можно запустить отладку оспфа - для начала хелло пакетов, и посмотреть что там бегает.

Спасибо за совет.

Все запустил, причина была в конфиге quagga, с ipsec и фаерволом все нормально.
Завел 2 роутера point-to-point.
Пока разбираюсь с остальными фичами.

[kharkov_max]

Возникли вопросы.

1. Есть 3 шлюза, все 3 смотрят в инет и имеют статические IP
Между шлюзами настроен IPSEC(транспорт) на gif, поверх пустил OSPF. (т.е. получился треугольник).
На данном этапе все работает, соседи видятся и маршруты передаются.

Теперь, к примеру хочу положить gif между 1м и 3м, но после этого хочу с 1го через 2й видеть 3й
Внимание !!! Это без бекап каналов...

Вот немонго не понимаю как это реализовать.

2. Не совем понятно что реализует демон zebra, на данный момент он работает, но его настройки дефолтные, т.е. провто прописаны интерфейсы и все.
Все что настраивал это ospfd, сети которые анонсирую и соседи ...
Можете на пальцах разъяснить необходимость zebra?

[kharkov_max]

По 1.
Вроде ни чего не нужно делать, собственно маршрутизация работает как нужно
Т.е. положил gi0, маршрут ушел на gif1, вот только пакеты между сетями не ходят.
Фильтрацию в фаерволена gif отключил, но видимо политики IPSEC теперь не пускают ...

Собственно какой выход?

П2 актуален ...

[lap]

Я видел схему на сиськах, где были натянуты жре (или просто ipip, я уже не помню) тоннели, которые шифровались (имеется ввиду что для иписека выглядело что траффик бегает только между двумя адресами - сорсами тунелей). А вот на самих тоннеля уже и оспф и все остальное. Ф этом случае иписеку побоку какие адреса у вас используются.

[kharkov_max]

Я видел схему на сиськах, где были натянуты жре (или просто ipip, я уже не помню) тоннели, которые шифровались (имеется ввиду что для иписека выглядело что траффик бегает только между двумя адресами - сорсами тунелей). А вот на самих тоннеля уже и оспф и все остальное. Ф этом случае иписеку побоку какие адреса у вас используются.

Похоже что Вы правы.
Ни чего не делал (отвлекли по др. делам) проверил позже - все летает.
Т.е. ложу одно ребро треугольника 1й-3й, пакеты начинают ходить с 1го роутера через 2й на 3й
Т.е. так как изменилась маршрутизация.

Чего не заработало сразу х.з.
Будем грешить на косяк какой-то ...

Изначально, когда не ходило, сбило с толку политики IPSEC и 2 я фаза racoon, там вроде привязано все к конкретным IP или сетям ...

[kharkov_max]

Вопрос, не хочу новую тему создавать.

Есть роутер А у который для роутера B хочет анонсировать несколько сетей.
Есть роутер С у который для роутера B хочет анонсировать несколько сетей.
Есть роутер B у который для роутера А и С хочет анонсировать несколько сетей.

Сети на 3х роутерах не пересекаются.
Есть задача не передавать маршруты из сети А в сеть С через B.

Собственно вопрос возможно ли на OSPF это реализовать?
Если да, намектните куда смотреть, что то совсем запутался ....

[lap]

Пошукай в сторону дистрибьют-листов. Возможно их можно применить к конкретному нейбору.