Настройка Quagga

[luckys]

Всем доброго времени суток.

Есть проблема следующего характера.

Сервер с OS FreeBSD 8.1-RELEASE-p2 на котором установлена quagga-0.99.17_4 и подняты bgpd и zebra. Данная железка используется в качестве пограничного маршрутизатора. Есть 2-е BGP-сессии с ISP.
1 - Мир (AS100, сеть 1.1.1.0/24),
2 - UA-IX (AS100, сеть 1.1.1.0/24).
С машин из моей AS-ки (AS 200, сеть 2.2.2.0/24) трафик бегает в любом направлении, а с BGP-сервера трафик в направлении мировой сессии не идет т.к. пакет имеет source-ip пиринговый адрес 1.1.1.2, который блокируется нашим ISP, который посоветовал не использовать этот адрес.

Конфиги:
bgpd.conf

Код: Выделить всё

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname example.com
password ******
enable password ******
log file /var/log/bgpd.log
!
router bgp 200
 bgp router-id 2.2.2.9
 network 2.2.2.0/24
!
 neighbor 1.1.1.1 remote-as 100
 neighbor 1.1.1.1 description WORLD
 neighbor 1.1.1.1 update-source 1.1.1.2
 neighbor 1.1.1.1 soft-reconfiguration inbound
 neighbor 1.1.1.1 route-map FULL-WORLD in
 neighbor 1.1.1.1 route-map MY-NETS out
!
 neighbor 1.1.1.5 remote-as 100
 neighbor 1.1.1.5 description UAIX
 neighbor 1.1.1.5 update-source 1.1.1.6
 neighbor 1.1.1.5 soft-reconfiguration inbound
 neighbor 1.1.1.5 route-map UA-ISP in
 neighbor 1.1.1.5 route-map MY-NETS-UA out
!
 access-list 90 permit 0.0.0.0
 access-list MY_NETWORK permit 2.2.2.0/24
 access-list MY_NETWORK  deny any
 access-list any permit any
!
 route-map FULL-WORLD permit 10
  match ip address any
!
 route-map MY-NETS permit 10
  match ip address MY_NETWORK
!
 route-map MY-NETS deny 20
  match ip address any
!
 route-map UA-ISP permit 10
  match ip address any
!
 route-map MY-NETS-UA permit 10
  match ip address MY_NETWORK
!
 route-map MY-NETS-UA deny 20
  match ip address any
!
line vty
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Конфиг zebra.conf

Код: Выделить всё

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname example.com
password ********
enable password *********
log file /var/log/zebra.log
!
interface em0
 no multicast
!
interface em1
 no multicast
!
interface lo0
!
interface vlan14
 no multicast
!
interface vlan15
 no multicast
!

line vty
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Подскажите как сделать так, чтобы пакеты, которые уходият с BGP-сервера в сторону интернета имели адрес отправителя из моей сети, а не пиринговые.
Заранее благодарен!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

а с BGP-сервера трафик в направлении мировой сессии не идет т.к. пакет имеет source-ip пиринговый адрес 1.1.1.2

а что это за глупость такая?
айпи вашего сервера должен принадлежать вашей сети а не сети провайдера

[luckys]

На внешнем интерфейсе стоит IP из сети провайдера 1.1.1.2/30 для построения BGP-сессии. На внутреннем стоят IP из моей AS 2.2.2.0/24

[Гость]

На внешнем интерфейсе стоит IP из сети провайдера 1.1.1.2/30 для построения BGP-сессии.

пусть провайдер спустится с небес
и уберет бред который он у себя нагородил на этот тунель
иначе никак

полагаю когда провайдер выдавал этот тунель он расчитывал что там будет стоят какая нибудь циска
а циске в инет ходить не обязательно

[rmn]

при текущей конфигурации можно, к примеру, пустить через НАТ пакеты, идущие от шлюза:

Код: Выделить всё

# пропускаем bgp
add 1000 allow ip from any 179 to any via ${ext_if}
add 1001 allow ip from any to any 179 via ${ext_if}
# все остальное натим
nat 1 config ip 2.2.2.x log same_ports deny_in redirect_addr 1.1.1.2  2.2.2.x
add 10002 nat 1 ip from 1.1.1.2 to any out xmit ${ext_if}
add 10003 nat 1 ip from any to 1.1.1.2 in recv ${ext_if}

[Гость]

rmn, не надо людей приучать к плохому)
пусть все правильно там настроят
без всяких натов

[lap]

Подскажите как сделать так, чтобы пакеты, которые уходият с BGP-сервера в сторону интернета имели адрес отправителя из моей сети, а не пиринговые.

Помоему по умолчанию при наличии нескольких интерфейсов, сорсом должен подставвиться адрес исходящего интерфейса? и что за пакеты уходят с бгп сервера? нельзяли сделать привязку требуемой апликухи к определенному адресу.

какойнибудь аналог сквидовскго:

Код: Выделить всё

http_port ip.ip.ip.ip:3128
tcp_outgoing_address ip.ip.ip.ip

[Гость]

чет мне думается что человека не сквид интересует
а наличие как минимум делать trace с сервера

[rmn]

реквестирую от Гостя правильную настройку без ната для:

Код: Выделить всё

lan -> gw -> inet

где, gw -> inet идет через 5 пиров, каждый из которых выдает (сейчас) /30 (частный случай у топикстартера)

причем, не вариант отдавать 20 своих адресов на пиринг.

не подъеба ради, просто интересно...

[luckys]

Подскажите как сделать так, чтобы пакеты, которые уходият с BGP-сервера в сторону интернета имели адрес отправителя из моей сети, а не пиринговые.

Помоему по умолчанию при наличии нескольких интерфейсов, сорсом должен подставвиться адрес исходящего интерфейса? и что за пакеты уходят с бгп сервера? нельзяли сделать привязку требуемой апликухи к определенному адресу.

какойнибудь аналог сквидовскго:

Код: Выделить всё

http_port ip.ip.ip.ip:3128
tcp_outgoing_address ip.ip.ip.ip

Правильно. Подставляется адрес исходящего интерфейса. Трафик с БГП сервера нужен для обновления софта и ОСи, например.

[luckys]

чет мне думается что человека не сквид интересует
а наличие как минимум делать trace с сервера

Совершенно верно.

[lap]

Подскажите как сделать так, чтобы пакеты, которые уходият с BGP-сервера в сторону интернета имели адрес отправителя из моей сети, а не пиринговые.

Помоему по умолчанию при наличии нескольких интерфейсов, сорсом должен подставвиться адрес исходящего интерфейса? и что за пакеты уходят с бгп сервера? нельзяли сделать привязку требуемой апликухи к определенному адресу.

какойнибудь аналог сквидовскго:

Код: Выделить всё

http_port ip.ip.ip.ip:3128
tcp_outgoing_address ip.ip.ip.ip

Правильно. Подставляется адрес исходящего интерфейса. Трафик с БГП сервера нужен для обновления софта и ОСи, например.

Тоесть обновлялка выкидывает пакеты с сорсом из сети IX в сторону IXа? Или как? И почему оператор обязан принимать от вас пакеты с непонятным сорсом?
Какой смысл делать трейс с сорсом из сети IXа? Сеть смотрящая в IX может вообще дальше роутера на котором она живет никуда не уходить.

ЗЫЫ: не отвлекайтесь на сквид, это просто первая попавшаяся картинка к фразе "сделать привязку требуемой апликухи к определенному адресу". Много всякого софта умеют привязываться к любому адресу живущему на машине.

[luckys]

Подскажите как сделать так, чтобы пакеты, которые уходият с BGP-сервера в сторону интернета имели адрес отправителя из моей сети, а не пиринговые.

Помоему по умолчанию при наличии нескольких интерфейсов, сорсом должен подставвиться адрес исходящего интерфейса? и что за пакеты уходят с бгп сервера? нельзяли сделать привязку требуемой апликухи к определенному адресу.

какойнибудь аналог сквидовскго:

Код: Выделить всё

http_port ip.ip.ip.ip:3128
tcp_outgoing_address ip.ip.ip.ip

Правильно. Подставляется адрес исходящего интерфейса. Трафик с БГП сервера нужен для обновления софта и ОСи, например.

Тоесть обновлялка выкидывает пакеты с сорсом из сети IX в сторону IXа? Или как? И почему оператор обязан принимать от вас пакеты с непонятным сорсом?
Какой смысл делать трейс с сорсом из сети IXа? Сеть смотрящая в IX может вообще дальше роутера на котором она живет никуда не уходить.

ЗЫЫ: не отвлекайтесь на сквид, это просто первая попавшаяся картинка к фразе "сделать привязку требуемой апликухи к определенному адресу". Много всякого софта умеют привязываться к любому адресу живущему на машине.

Пакет от БГП сервера уходит с IP-адресом интерфейса с которого он уходит. В данном случае это IP выданный провайдерами на внешний интерфейс для создания БГП-сессии. Почему же тогда для прова этот адрес является непонятным?

Какой софт может привязать пакет к любому адресу живущему на машине? О каком софте идет речь?

[lap]

Эм.. я несовсем корректоно воспринял фразу "а с BGP-сервера трафик в направлении мировой сессии не идет т.к. пакет имеет source-ip пиринговый адрес 1.1.1.2, который блокируется нашим ISP". Под пиринговым адресом я упорно пытался считать адрес в сторону IXа %).
Если адрес на "мировой" сессии висит публичный, то впринципе можно погрызть мозг оператору на тему WTF. Или хотябы объяснят почему так категорично нет.