[GTER] Link aggregation com PBR ou VRF em FreeBSD 10

Rafael Possamai rafael at gav.ufsc.br
Tue Mar 18 13:17:48 -03 2014 

Michel,

O servidor que esta rodando o FreeBSD usa um chipset mais novo da Intel e
as NICs são i354, porem a versão 2.1.1 do pfSense com suporte a essas
placas não lançou ainda, então fui direto pro 10 a fazer na mão mesmo.

Marcelo, agradeço, vou passar um diagrama pra você em pvt. O esquema eh
assim: tenho 2 links, um deles em modo residencial, com IP dinâmico, e o
outro eh um link empresarial que se voce conectar por DHCP, o modem serve
de roteador e passa um IP local via DHCP e ai pro public ele faz NAT.
Quando precisar usar estático, eh soh configurar com o gateway e o netmask
do bloco no cliente.

O link residencial eh mais para tirar trafego do link empresarial, navegar
web/email, e deixar livre pra outros aplicativos mais importantes estilo
nuvem e monitoramento.

Grato,
Rafael




2014-03-18 7:35 GMT-05:00 Michel L. M. B. Perez <michelmbperez at gmail.com>:

> Porque você não usa o pfSense como Firewall? Isso já vem habilitado
> default, só precisa configurar, mas é bem simples via interface gráfica.
>
> :)
>
> --
> Michel Perez
> Skype: michelmbperez
> michelmbperez at gmail.com
> http://br.linkedin.com/in/michelmbperez
>
>
> Em 18 de março de 2014 00:42, Rafael Possamai <rafael at gav.ufsc.br>
> escreveu:
>
> > Marcelo,
> >
> > Acho que não, pois o downlink para a LAN tem IP 192.168.0.1, mas posso
> > perguntar. O gateway do bloco fica no modem, e ele não tem muitas
> opções. O
> > que da pra fazer eh mudar o tipo de roteamento, com ou sem NAT, ou em
> modo
> > ponte com IP dinâmico ou estatico, porem não os dois juntos. Isso
> descobri
> > depois de um bom tempo no telefone com o ISP.
> >
> > Grato,
> > Rafael
> >
> >
> >
> > 2014-03-17 20:33 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
> >
> > > Em 17/03/14 20:57, Rafael Possamai escreveu:
> > >
> > >  Marcelo,
> > >>
> > >> Seria correto utilizar NAT no bloco /29 do link empresarial? O bloco
> eh
> > >> publico. Sobre o roteamento, neste caso imagino que seria IGP, pois
> são
> > >> rotas internas, ai pensei em usar RIP, porem o FreeBSD eh um roteador
> > >> standalone, atras dele só tem um switch com clientes, e na frente o
> > >> proximo
> > >> salto eh pro ISP (os modens estao em ponte com as placas WAN). Mas
> mesmo
> > >> assim, RIP com somente um roteador na rede não faz sentido pra mim
> neste
> > >> momento.
> > >>
> > >> Grato novamente,
> > >> Rafael
> > >>
> > > Não serial legal usar NAT realmente. No ISP você não consegue colocar
> uma
> > > rota estática desse bloco /29 jogando para a interface correta?
> > >
> > >
> > >
> > >>
> > >>
> > >>
> > >> 2014-03-17 17:12 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
> > >>
> > >>  Em 17/03/14 18:28, Rafael Possamai escreveu:
> > >>>
> > >>>   Fazia um bom tempo que estava atras disto, grato pelas respostas!
> > >>>
> > >>>> Como tenho dois downlinks para lan (igb2 e igb3), haveria algo a
> fazer
> > >>>> para
> > >>>> corrigir os pacotes que voltam?
> > >>>>
> > >>>> O ideal seria que se o pacote saiu pelo gateway 1 por exemplo,
> > voltasse
> > >>>> para a rede local pela lan 1, e se saiu pelo gateway 2, voltasse
> pela
> > >>>> lan
> > >>>> 2. Ai eu estaria utilizando os downlinks pro switch de forma
> > eficiente,
> > >>>> fazendo com que cada rede local tenha o seu link gigabit dedicado.
> > >>>>
> > >>>>  Aí o retorno vai depender.  :)  NAT seria o jeito mais simples mas
> > >>> todos
> > >>> os blocos sairiam com o IP daquela interface.
> > >>>
> > >>> Nesse caso sem o NAT teria que ver no próximo router de especificar
> > rotas
> > >>> estáticas de retorno para um IP ou bloco. Fora isso tudo aí acredito
> > que
> > >>> só
> > >>> trabalhando com um BGP da vida. :)
> > >>>
> > >>>
> > >>>
> > >>>  Grato,
> > >>>> Rafael
> > >>>>
> > >>>>
> > >>>>
> > >>>> 2014-03-17 15:36 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
> > >>>>
> > >>>>   Opa Rafael,
> > >>>>
> > >>>>> Em 17/03/14 15:52, Rafael Possamai escreveu:
> > >>>>>
> > >>>>>   Boa tarde,
> > >>>>>
> > >>>>>> Estou roteando duas subnets locais /24 por dois uplinks docsis,
> alem
> > >>>>>> de
> > >>>>>> um
> > >>>>>> bloco /29 estático provisionado pelo ISP no link empresarial.
> > >>>>>>
> > >>>>>> Todo trafego normal passa por NAT e sai pelo default gateway que
> > seria
> > >>>>>> um
> > >>>>>> link residencial comum, com IP via dhcp. Todo trafego do bloco /29
> > >>>>>> sairia
> > >>>>>> pelo link empresarial.
> > >>>>>>
> > >>>>>> Cada subnet tem seu uplink pro roteador em uma interface GigE
> > >>>>>> separada,
> > >>>>>> e
> > >>>>>> junto com os dois uplinks pra WAN, a box tem quatro NICs. A
> > >>>>>> distribuição
> > >>>>>> na
> > >>>>>> segunda camada eh feita por um Cisco SG200-26.
> > >>>>>>
> > >>>>>> Nessa solucao estou utilizando o FreebSD que sozinho ja faz muita
> > >>>>>> coisa,
> > >>>>>> alem de seu ipfw para NAT e firewall.
> > >>>>>>
> > >>>>>> Meu problema esta em utilizar PBR/VRF para fazer com que o trafego
> > >>>>>> saindo
> > >>>>>> da rede /29 use o uplink correto (empresarial) em vez de o default
> > >>>>>> gateway
> > >>>>>> (residencial), e também que volte para o cliente por uma rota
> > >>>>>> adequada.
> > >>>>>>
> > >>>>>> Aqui vai uns dados extraídos do roteador:
> > >>>>>> http://pastebin.com/qxDtYerh
> > >>>>>>
> > >>>>>> Alguém teria experiencia com este tipo de configuração? Estive
> > >>>>>> procurando
> > >>>>>> bastante sobre ipfw e tudo mais, mas a quantidade de exemplos eh
> > pouca
> > >>>>>> e a
> > >>>>>> maioria eh feita em configurações um pouco mais simples, como 2
> NICs
> > >>>>>> somente, sem necessidade de LB.
> > >>>>>>
> > >>>>>> Grato desde já,
> > >>>>>>
> > >>>>>> Rafael
> > >>>>>> --
> > >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>>>>>
> > >>>>>>    Tenho um cliente aqui que tem 2 links, um com a Embratel e
> outro
> > >>>>>> com a
> > >>>>>>
> > >>>>>>  GVT. Nas regras dele tenho algo assim:
> > >>>>>
> > >>>>> # Rede GVT
> > >>>>> ipfw add setfib 1 ip from "table(97)" to any via em2
> > >>>>> ipfw add setfib 1 ip from any to any via em0
> > >>>>>
> > >>>>> # Rede Embratel
> > >>>>> ipfw add setfib 2 ip from any to any via em1
> > >>>>> ipfw add setfib 2 ip from "table(98)" to any via em2
> > >>>>>
> > >>>>> No caso acima o servidor tem 3 interfaces de rede sendo a em0 com a
> > >>>>> GVT e
> > >>>>> a em1 com a Embratel.
> > >>>>> O setfib 1 possui gateway saindo pela GVT e o setfib 2 possui
> gateway
> > >>>>> saindo pela Embratel. Quando eu jogo um IP para a table 97, ele sai
> > >>>>> pela
> > >>>>> GVT e quando eu jogo um IP na table 98, o acesso sai pela Embratel.
> > >>>>>
> > >>>>> Para ter 2 FIBs você precisa compilar seu kernel com:
> > >>>>>
> > >>>>> options         ROUTETABLES=2
> > >>>>>
> > >>>>> Você pode setar inclusive serviços para rodarem em fibs diferentes
> > >>>>> fazendo
> > >>>>> por exemplo:
> > >>>>>
> > >>>>> /usr/sbin/setfib 1 /usr/sbin/sshd -f /etc/ssh/sshd_config_fib1
> > >>>>> /usr/sbin/setfib 2 /usr/sbin/sshd -f /etc/ssh/sshd_config_fib2
> > >>>>>
> > >>>>> Fazendo as rotas default:
> > >>>>>
> > >>>>> /usr/sbin/setfib 1 route add default 177.xxx.xxx.185
> > >>>>> /usr/sbin/setfib 2 route add default 200.xxx.xxx.129
> > >>>>>
> > >>>>> Bem, vê se é isso que você tá precisando.  :)
> > >>>>>
> > >>>>> []'s
> > >>>>> Gondim
> > >>>>>
> > >>>>
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list