[GTER] Link aggregation com PBR ou VRF em FreeBSD 10

Tue Mar 18 09:35:45 -03 2014

Porque você não usa o pfSense como Firewall? Isso já vem habilitado
default, só precisa configurar, mas é bem simples via interface gráfica.

:)

--
Michel Perez
Skype: michelmbperez
michelmbperez at gmail.com
http://br.linkedin.com/in/michelmbperez

Em 18 de março de 2014 00:42, Rafael Possamai <rafael at gav.ufsc.br> escreveu:

> Marcelo,
>
> Acho que não, pois o downlink para a LAN tem IP 192.168.0.1, mas posso
> perguntar. O gateway do bloco fica no modem, e ele não tem muitas opções. O
> que da pra fazer eh mudar o tipo de roteamento, com ou sem NAT, ou em modo
> ponte com IP dinâmico ou estatico, porem não os dois juntos. Isso descobri
> depois de um bom tempo no telefone com o ISP.
>
> Grato,
> Rafael
>
>
>
> 2014-03-17 20:33 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
>
> > Em 17/03/14 20:57, Rafael Possamai escreveu:
> >
> >  Marcelo,
> >>
> >> Seria correto utilizar NAT no bloco /29 do link empresarial? O bloco eh
> >> publico. Sobre o roteamento, neste caso imagino que seria IGP, pois são
> >> rotas internas, ai pensei em usar RIP, porem o FreeBSD eh um roteador
> >> standalone, atras dele só tem um switch com clientes, e na frente o
> >> proximo
> >> salto eh pro ISP (os modens estao em ponte com as placas WAN). Mas mesmo
> >> assim, RIP com somente um roteador na rede não faz sentido pra mim neste
> >> momento.
> >>
> >> Grato novamente,
> >> Rafael
> >>
> > Não serial legal usar NAT realmente. No ISP você não consegue colocar uma
> > rota estática desse bloco /29 jogando para a interface correta?
> >
> >
> >
> >>
> >>
> >>
> >> 2014-03-17 17:12 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
> >>
> >>  Em 17/03/14 18:28, Rafael Possamai escreveu:
> >>>
> >>>   Fazia um bom tempo que estava atras disto, grato pelas respostas!
> >>>
> >>>> Como tenho dois downlinks para lan (igb2 e igb3), haveria algo a fazer
> >>>> para
> >>>> corrigir os pacotes que voltam?
> >>>>
> >>>> O ideal seria que se o pacote saiu pelo gateway 1 por exemplo,
> voltasse
> >>>> para a rede local pela lan 1, e se saiu pelo gateway 2, voltasse pela
> >>>> lan
> >>>> 2. Ai eu estaria utilizando os downlinks pro switch de forma
> eficiente,
> >>>> fazendo com que cada rede local tenha o seu link gigabit dedicado.
> >>>>
> >>>>  Aí o retorno vai depender.  :)  NAT seria o jeito mais simples mas
> >>> todos
> >>> os blocos sairiam com o IP daquela interface.
> >>>
> >>> Nesse caso sem o NAT teria que ver no próximo router de especificar
> rotas
> >>> estáticas de retorno para um IP ou bloco. Fora isso tudo aí acredito
> que
> >>> só
> >>> trabalhando com um BGP da vida. :)
> >>>
> >>>
> >>>
> >>>  Grato,
> >>>> Rafael
> >>>>
> >>>>
> >>>>
> >>>> 2014-03-17 15:36 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
> >>>>
> >>>>   Opa Rafael,
> >>>>
> >>>>> Em 17/03/14 15:52, Rafael Possamai escreveu:
> >>>>>
> >>>>>   Boa tarde,
> >>>>>
> >>>>>> Estou roteando duas subnets locais /24 por dois uplinks docsis, alem
> >>>>>> de
> >>>>>> um
> >>>>>> bloco /29 estático provisionado pelo ISP no link empresarial.
> >>>>>>
> >>>>>> Todo trafego normal passa por NAT e sai pelo default gateway que
> seria
> >>>>>> um
> >>>>>> link residencial comum, com IP via dhcp. Todo trafego do bloco /29
> >>>>>> sairia
> >>>>>> pelo link empresarial.
> >>>>>>
> >>>>>> Cada subnet tem seu uplink pro roteador em uma interface GigE
> >>>>>> separada,
> >>>>>> e
> >>>>>> junto com os dois uplinks pra WAN, a box tem quatro NICs. A
> >>>>>> distribuição
> >>>>>> na
> >>>>>> segunda camada eh feita por um Cisco SG200-26.
> >>>>>>
> >>>>>> Nessa solucao estou utilizando o FreebSD que sozinho ja faz muita
> >>>>>> coisa,
> >>>>>> alem de seu ipfw para NAT e firewall.
> >>>>>>
> >>>>>> Meu problema esta em utilizar PBR/VRF para fazer com que o trafego
> >>>>>> saindo
> >>>>>> da rede /29 use o uplink correto (empresarial) em vez de o default
> >>>>>> gateway
> >>>>>> (residencial), e também que volte para o cliente por uma rota
> >>>>>> adequada.
> >>>>>>
> >>>>>> Aqui vai uns dados extraídos do roteador:
> >>>>>> http://pastebin.com/qxDtYerh
> >>>>>>
> >>>>>> Alguém teria experiencia com este tipo de configuração? Estive
> >>>>>> procurando
> >>>>>> bastante sobre ipfw e tudo mais, mas a quantidade de exemplos eh
> pouca
> >>>>>> e a
> >>>>>> maioria eh feita em configurações um pouco mais simples, como 2 NICs
> >>>>>> somente, sem necessidade de LB.
> >>>>>>
> >>>>>> Grato desde já,
> >>>>>>
> >>>>>> Rafael
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>>    Tenho um cliente aqui que tem 2 links, um com a Embratel e outro
> >>>>>> com a
> >>>>>>
> >>>>>>  GVT. Nas regras dele tenho algo assim:
> >>>>>
> >>>>> # Rede GVT
> >>>>> ipfw add setfib 1 ip from "table(97)" to any via em2
> >>>>> ipfw add setfib 1 ip from any to any via em0
> >>>>>
> >>>>> # Rede Embratel
> >>>>> ipfw add setfib 2 ip from any to any via em1
> >>>>> ipfw add setfib 2 ip from "table(98)" to any via em2
> >>>>>
> >>>>> No caso acima o servidor tem 3 interfaces de rede sendo a em0 com a
> >>>>> GVT e
> >>>>> a em1 com a Embratel.
> >>>>> O setfib 1 possui gateway saindo pela GVT e o setfib 2 possui gateway
> >>>>> saindo pela Embratel. Quando eu jogo um IP para a table 97, ele sai
> >>>>> pela
> >>>>> GVT e quando eu jogo um IP na table 98, o acesso sai pela Embratel.
> >>>>>
> >>>>> Para ter 2 FIBs você precisa compilar seu kernel com:
> >>>>>
> >>>>> options         ROUTETABLES=2
> >>>>>
> >>>>> Você pode setar inclusive serviços para rodarem em fibs diferentes
> >>>>> fazendo
> >>>>> por exemplo:
> >>>>>
> >>>>> /usr/sbin/setfib 1 /usr/sbin/sshd -f /etc/ssh/sshd_config_fib1
> >>>>> /usr/sbin/setfib 2 /usr/sbin/sshd -f /etc/ssh/sshd_config_fib2
> >>>>>
> >>>>> Fazendo as rotas default:
> >>>>>
> >>>>> /usr/sbin/setfib 1 route add default 177.xxx.xxx.185
> >>>>> /usr/sbin/setfib 2 route add default 200.xxx.xxx.129
> >>>>>
> >>>>> Bem, vê se é isso que você tá precisando.  :)
> >>>>>
> >>>>> []'s
> >>>>> Gondim
> >>>>>
> >>>>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>