Bonjour à tous,
Encore merci à tout ceux qui m'ont aidé et qui ont pris le temps de me
répondre.
En retour, je vous donne le résultat car j'ai réussi.
J'ai pu valider 2 solutions :
- en utilisant le pare-feu de linux. ça marche parfaitement, mais je ne
trouve pas cette solution très "propre" au sens réseau du terme. De
plus, je n'ai pas pu tester l'impact sur la performance en mettant de la
translation à ce niveau.
- utilisation de route-maps ;
Voici la configuration pour ceux que ça interesse.
L'astuce est d'utiliser une route map au niveau protocole (ici la ligne
ip protocole bgp...)
J'ai remis à propre aussi les prefix-list en les utilisants dans des
route-map également car j'ai cru comprendre que c'était une meilleur
pratique.
Encore merci à tous
bgp04# sh run
Building configuration...
Current configuration:
!
frr version 8.4.4
frr defaults traditional
hostname bgp04
log syslog informational
no ipv6 forwarding
service integrated-vtysh-config
!
router bgp 65004
bgp router-id 192.168.254.4
no bgp suppress-duplicates
no bgp hard-administrative-reset
no bgp graceful-restart notification
neighbor 192.168.252.2 remote-as 65002
neighbor 192.168.252.2 description BGP02
neighbor 192.168.252.2 interface enp0s3
!
address-family ipv4 unicast
network 192.168.254.0/24
neighbor 192.168.252.2 route-map rm-in-bgp2 in
neighbor 192.168.252.2 route-map rm-out-bgp2 out
exit-address-family
exit
!
ip prefix-list Peering-Out-BGP02 seq 5 permit 192.168.254.0/24
ip prefix-list Peering-In-BGP02 seq 50 deny 0.0.0.0/0
ip prefix-list Peering-In-BGP02 seq 60 permit any
ip prefix-list int-bgp2 seq 5 deny 192.168.252.2/32
ip prefix-list int-bgp2 seq 10 permit any
!
route-map rm-in-bgp2 permit 10
match ip address prefix-list Peering-In-BGP02
exit
!
route-map rm-out-bgp2 permit 10
match ip address prefix-list Peering-Out-BGP02
exit
!
route-map rm-src-bgp2 permit 10
match ip address prefix-list int-bgp2
set src 192.168.254.4
exit
!
ip protocol bgp route-map rm-src-bgp2
!
end
bgp04#
Le 29/05/2024 à 09:05, David Ponzone a écrit :
Oui je crois qu’il avait précisé qu’il n’avait pas d’IP publique routée niveau
WAN d’interco (comme sur un IX).
Les seules IP publiques qu’il a sont sur le LAN de BGP02, donc il doit «
sourcer » avec ça.
Pour moi, la seule solution propre, c’est VRF de mgmt, qu’en plus on peut
rendre accessible depuis l’OOB.
David
Le 29 mai 2024 à 04:12, Willy Manga <wil...@manbene.net> a écrit :
Bonjour,
On 26/05/2024 13:56, Nicolas wrote:
Bonjour,
J'ai remonté une infra de test pour reproduire mon soucis.
L'architecture
PC de Test <--------------------------> Routeur BGP02
<-----------------------------------------------------> Routeur BGP01
<----------------------------------> Box
192.168.253.10 192.168.253.1 / 192.168.250.2
192.168/250.1 / 192.168.2.111
192.168.2.1
[...]
J'ai tâché de reproduire votre configuration à quelques exceptions près.
Pour que ça soit bien lisible j'ai collé toutes les configs et résultats ici
http://paste.debian.net/1318432/
Donc :
* Depuis le réseau 192.168.253.0/24 => accès internet ok
* depuis le routeur bgp01 => accès internet ok
* depuis le routeur bgp02 => Internet KO
En assumant que j'ai reproduis 'presque' à l'identique votre schéma et en 'simulant' une
adresse publique depuis la box, depuis bgp02 j'arrive bien à 'accéder à l'
"Internet" sans modifier les ip d'origine des paquets. A moins bien sur que je
me sois trompé quelque part dans mon modèle.
--
Willy Manga
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
