[GTER] Problema com rede e pfsense com openBGP

[Luiz Otavio O Souza]

On Mar 3, 2012, at 10:41 AM, Lista wrote:

> Olá, não conheço os *BSD, mas no linux desligando o rp_filter tudo volta a
> funcionar. Isso porque o pacote saí por uma interface e tenta voltar pela
> outra.
> 
> Em 2 de março de 2012 17:21, Ricardo Barbosa <spiderslack at yahoo.com.br>escreveu:
> 
>> Ola pessoal,
>> 
>> Tenho uma rede com ASN sem ser um AS de transito, faço peer com 2
>> operadoras(embratel e Oi) e as vezes acontece de cair toda a rede. O ping
>> não vai e os pacotes param dentro da rede de cada operadora. Estou usando
>> full-route, pensei que fosse algo com loop de roteamento mas não sou AS de
>> transito, creio que o problema pode ser anuncios da minha redes dentro do
>> AS de cada operadora. Alguém teve algum problema parecido. Já abri chamado
>> em cada operadora mas gostaria de alguns relatos externos.
>> 
>> Att.
>> 

No *BSD (FreeBSD ao menos - que é também o caso do pfsense), não existe esse filtro de 'reverse path'. Isso quando necessário, é feito através do firewall (1 linha no pf: antispoof on lo0).

O problema no *BSD é na hora dele selecionar o IP de origem para fazer o 'ping'...

Quando você executa simplesmente 'ping www.uol.com.br' o sistema tenta encontrar o melhor IP de origem com base no IP de destino através da tabela de rotas (qual rota mais especifica para atingir o destino xxx.yyy.www.zzz).

Quando você esta em um roteador BGP, essa consulta vai direcionar você para a interface onde esta conectado o seu upstream e vai utilizar como IP de origem o IP dessa interface. Como geralmente o ponto-a-ponto fechado com o upstream utiliza IPs do upstream e não os seus, você acaba não recebendo de volta os pings (sem falar nos filtros que podem estar ativos nesse IP da operadora - que deveria ser utilizado apenas para fechar a sessão BGP).

Você resolve isso simplesmente fornecendo o IP de origem para o ping:

# ping -S meu.proprio.ip www.uol.com.br


Att.,
Luiz