Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 3420 views
  • Users 0 members are here
Options
Suggested

[8.281][QUESTION][CLOSED] BGP issues

mkleine
Greetings,

I've been running BGP for about a week or so with an AT&T APN connection and have just run though a 4 hour test. So far, so good, however I'm having trouble seeing the routing tables that I've received from AT&T. They are seeing the default routes that the Astaro sends them, however I can't seem to locate a way to display the routes that I've received.

The logs show a couple of updates have been received, but the buttons for Show IP BGP summary shows a default route, but the final statement is No BGP network exists.

I'm running 8.281, and I've set up Initiate IPSEC and we've been able to ping through from end-to-end, but haven't seen any traffic route.

Any pointers? 

Mark
  • 0
    Hi Mark,

    you running BGP over an IPSec Tunnel?
    BGP is probably not able to detect the nexthop, so BGP routes are not installed.

    Do you have a link with more information about the AT&T connection
    or a sample configuration?

    Cheers
     Ulrich
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.281
    Type: QUESTION
    State: CLOSED
    Reporter: mkleine
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Ulrich,

    I've sent a PM with the contact info.

    Thanks,

    Mark
  • 0
    BGP was not installing the routes because they were already installed by IPsec.

    At the moment BGP over IPSec is not fully supported. You can install one IPsec tunnel and let
    BGP announce your routes, so the remote side sees your router is alive and will send you packets.

    However you can't setup a second IPsec tunnel for redundancy, because IPSec can not
    setup tunnels with duplicate remote networks.

    You could abuse the Amazon VPC functionality to get full redundancy. Thats how amazon VPC
    actually works: It installs two virtual tunnel interfaces via two IPSec tunnels and routes BGP over it.
    But thats not officially supported...

    Cheers
     Ulrich
  • 0
    Mark, could you use failover instead of redundancy?

    Ulrich, should BGP function with a new tunnel established by Uplink Monitoring?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The problem here is, that there is only one Internet Uplink available.

    So you covering the redundancy of the remote side. They can offer you an availability of 100%
    while its still possible for them to shutdown one node for maintenance. BTW: Amazon VPC are doing the same.

    So automatic failover won't help you here, because your Uplink will always be UP. Otherwise
    both tunnels can't be established. You can configure the backup IPSec tunnel and do a manual takeover by turning one tunnel off and the other on. That should work.

    Please open feature requests for any feature which you think is useful:
     * Allow IPSec tunnels to be bound to secondary IP addresses
     * Allow to create redundant IPSec tunnels with duplicate local/remote networks
     * Allow to create virtual IPsec tunnel interfaces, which can by used by BGP (as done for Amazon BPG)

    Cheers
     Ulrich
  • 0
    Yes, but he maybe could change from the default to have some other IP monitored that would give him the functionality he wants???

    Cheers -  Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes you could try that. Activate Internet Monitoring, deactivate automatic monitoring and enter the IP address of the remote side.
    Then one Action deactivating the primary IPSec tunnel and another Action activating the secondary IPsec tunnel.

    However the configuration I saw had different local IP addresses for each Tunnel.
    Its not possible to bind to secondary IP addresses.

    If there is a unused Interface, you could try to configure the IP address with netmask 32
    on the unused Interface and bind the IPSec tunnel to that interface...

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    In my case, we're using one interface for both legs of the redundant tunnel, as a temporary setup until the we get a secondary physical circuit. AT&T's setup was built to handle two legs, and there test setup was built before our physical network was built. I'll move the second link to the new physical link and then the troubles will be solved.

    However, I've still got a question about VLAN interfaces and if they will bind to an IPSEC tunnel? If that's the case, I'll VLAN the external interface, and we'll be able to bind away.

    I've got a couple other tunnels that I'd like to move this way if it works. I guess I'll just have to build a setup and see if it works...

    The BGP is doing what it's supposed to and is keeping AT&T's system informed of our status, and should be allowing bits to transfer.

    I'll go vote for multiple ip addresses in one interface to be bound to different IPSEC tunnels...

    Thanks,

    Mark
  • 0
    FWIW, this 'bug' can be closed as 'notabug'. The real issue is that the bgp protocol is working fine. IPSEC had provided the routing, and there isn't a bgp route to be transferred, since IPSEC had done the job already. BGP simply reports no network because it didn't build the network, IPSEC did.

    Thanks Ulrich.
Unfiltered HTML