Bonsoir,
L'intérêt de ce filtrage, d'après l'intervenant de chez agrume France est
d'assurer que les paquets sortant sur "l'internet" aient une source appartenant
aux blocs IP du client pour faciliter son identification.
Ça sent le bull$hit...mais le blocage lui est bien là.
Le seul changement
Bonjour,
Le 20/06/2024 à 11:19, Laurent CARON a écrit :
Bonjour,
J'ai eu le cas la semaine dernière chez l'agrume (5511).
Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est
systématiquement menteur (toutes les destinations sont directement
connectées au nexthop), seul port no
Bonjour,
J'ai eu le cas la semaine dernière chez l'agrume (5511).
Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est
systématiquement menteur (toutes les destinations sont directement
connectées au nexthop), seul port non filtré en sortie tcp/179 (bgp).
En entrée en revanche,
Bonjour à tous,
Encore merci à tout ceux qui m'ont aidé et qui ont pris le temps de me
répondre.
En retour, je vous donne le résultat car j'ai réussi.
J'ai pu valider 2 solutions :
- en utilisant le pare-feu de linux. ça marche parfaitement, mais je ne
trouve pas cette solution très "propre"
Oui je crois qu’il avait précisé qu’il n’avait pas d’IP publique routée niveau
WAN d’interco (comme sur un IX).
Les seules IP publiques qu’il a sont sur le LAN de BGP02, donc il doit «
sourcer » avec ça.
Pour moi, la seule solution propre, c’est VRF de mgmt, qu’en plus on peut
rendre accessibl
Bonjour,
On 26/05/2024 13:56, Nicolas wrote:
Bonjour,
J'ai remonté une infra de test pour reproduire mon soucis.
L'architecture
PC de Test <--> Routeur BGP02
<-> Routeur BGP01
<--> B
On Mon, May 27, 2024, at 20:42, Nicolas wrote:
> ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24
> ip prefix-list Transit-In seq 35 permit any
> !
> route-map rm-Transit-In permit 1
> match ip address prefix-list Transit-In
> on-match next
> set src 192.168.253.1
> exit
> !
> r
J'ai modifié la conf de BGP02 pour mettre en place les route-map comme
conseillé.
Résultat : je sort toujours en 192.168.253.2
Mais pas mieux, j'ai loupé un truc ?
router bgp 65001
bgp router-id 192.168.250.2
neighbor 192.168.250.1 remote-as 65000
neighbor 192.168.250.1 description BGP01
ne
On Mon 27 May 2024 08:29:31 GMT, Raphael Mazelier wrote:
> Ok mais dans ce cas pourquoi pas en privé ? (ok cela évite d'avoir a
> se mettre d'accord sur un plan d’adressage).
Tu as ta réponse.
--
Alarig
---
Liste de diffusion du FRnOG
http://www.frnog.org/
On Mon, May 27, 2024, at 14:42, Nicolas de Brou wrote:
> Si je mets une ip (publique) sur ma loopback je ne pourrais plus
> accéder à mon réseau interne non (même subnet) ?
Sur la Loopback tu mets surtout une IP dans ton plan d'adressage a toi !
Et de maniere generale, le loopback sert aussi a
Sur la loopback, on met un /32, par exemple pris dans un subnet dédié à ça.
Tu as quoi comme préfixes publics dispo ?
Si tu as juste le /29 fourni par le FAI, ça va être tendu.
De toute façon, si tu ne sais pas comment altérer l’IP source, ça ne réglera
pas ton problème.
Tu as essayé la directive
On 27/05/2024 14:42, Nicolas de Brou wrote:
> Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à
> mon réseau interne non (même subnet) ?
>
> Et oui j’ai bien désactivé l’urographie
Rien ne t'empeche d'avoir plusieurs loopback.
La topologie classique d'un cœur réseau c'e
Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à mon
réseau interne non (même subnet) ?
Et oui j’ai bien désactivé l’urographie
> Le 27 mai 2024 à 14:24, Radu-Adrian Feurdean
> a écrit :
>
> On Sun, May 26, 2024, at 11:56, Nicolas wrote:
>
>> neighbor 192.168.250
On Sun, May 26, 2024, at 11:56, Nicolas wrote:
> neighbor 192.168.250.1 prefix-list Transit-In in
> neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out
> neighbor 192.168.251.1 prefix-list Transit-In in
> neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out
Hello,
De maniere
io,
> On 16 May 2024, at 18:04, Nicolas de Brou wrote:
>
> Hello
>
> Je me suis mal exprimé, désolé
>
> On a deux transitaire et ça fonctionne
> Le routeur « route » et les majs bgp fonctionne
tu as bien désactivé urpf sur ton linux sous-jacent ?
++ ic
---
Liste d
On 26/05/2024 21:34, Jérôme Marteaux wrote:
> Cette astuce permet de réduire la surface d'attaque mais n'est pas aisé
> pour troubleshooter si on ne se trouve pas à l'intérieur de l'un des
> deux réseaux impliqués. Ce n'est pas très répandu, mais c'est encore
> pratiqué.
Ok mais dans ce cas pourq
Le Sun, May 26, 2024 at 06:46:07PM +0200, Lucas REYMOND a écrit :
> Salut,
>
> Je me plante peut être mais ton problème n'est pas lié au fait que ton
> routeur tourne Frr. Mais plutôt aux applications sous jacente (mettre à
> jour).
>
C'est un peu tot pour vendredi mais ça n'arriverai pas avec I
On Sun 26 May 2024 17:07:18 GMT, Raphael Mazelier wrote:
> Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu
> pratique et étonnant.
Bah ça évite de se faire DDoS son interco. C’est plutôt une bonne
pratique quand on peut se le permettre.
--
Alarig
-
Le 26/05/2024 à 19:07, Raphael Mazelier a écrit :
On 26/05/2024 18:33, Nicolas wrote:
Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où
mon pb
Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu pratique
et étonnant.
Cette astuce permet de réduire l
Ouais, faut quand même qu’il fasse gaffe à pas natter le traffic vers le peer
BGP.
David
> Le 26 mai 2024 à 19:07, Raphael Mazelier a écrit :
>
> On 26/05/2024 18:33, Nicolas wrote:
>
>> Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où
>> mon pb
>
> Des ip(s) d'interc
On 26/05/2024 18:33, Nicolas wrote:
> Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où
> mon pb
Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu pratique
et étonnant.
Sinon à partir du moment ou tu as une IPs (une loopback ?) publique
correctement ro
Influencing Linux Source Address Selection on routes installed by bird and FRRblog.sdn.clinicC’est très contre intuitif.Il semble qu’il faille modifier le paramètre src sur les routes apprises.Sinon méthode: tu utilises un proxy interne.David PonzoneLe 26 mai 2024 à 18:33, Nicolas a écrit :Non, m
Salut,
Je me plante peut être mais ton problème n'est pas lié au fait que ton
routeur tourne Frr. Mais plutôt aux applications sous jacente (mettre à
jour).
Une méthode pas très propre serait de faire un SNAT sur ton pare feu pour
les packet généré localement afin d'éviter qu'il source avec une i
Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où
mon pb
Le 26/05/2024 à 17:25, David Ponzone a écrit :
Et ton lien avec ton opérateur de transit est en IP privée ?
David
Le 26 mai 2024 à 16:44, Nicolas a écrit :
Dans mon cas réel, BGP01 est le routeur de mon opérate
Et ton lien avec ton opérateur de transit est en IP privée ?
David
> Le 26 mai 2024 à 16:44, Nicolas a écrit :
>
> Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit : donc je
> n'ai pas accès.
>
>
>
> Le 26/05/2024 à 12:20, David Ponzone a écrit :
>> Tu peux pas faire en s
Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit :
donc je n'ai pas accès.
Le 26/05/2024 à 12:20, David Ponzone a écrit :
Tu peux pas faire en sorte que bgp01 natte 250.2 ?
Sinon la méthode propre est d’avoir une interface de chaque routeur dans un vrf
de management qui p
Tu peux pas faire en sorte que bgp01 natte 250.2 ?
Sinon la méthode propre est d’avoir une interface de chaque routeur dans un vrf
de management qui peut sortir.
David Ponzone
> Le 26 mai 2024 à 11:56, Nicolas a écrit :
>
> Bonjour,
>
> J'ai remonté une infra de test pour reproduire mon s
Bonjour,
J'ai remonté une infra de test pour reproduire mon soucis.
L'architecture
PC de Test <--> Routeur BGP02
<-> Routeur BGP01
<--> Box
192.168.253.10 192.168.253
.
On 17/05/2024 13:19, Nicolas de Brou wrote:
Bonjour
J’ai identifié mon interface
Que je force ou pas l’ip source, je passe toujours par ce
Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet
opérateur avant de perdre la suite.
Sans aucune donnée réelle, je dirais d
Bonjour
J’ai identifié mon interface
Que je force ou pas l’ip source, je passe toujours par ce
Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet
opérateur avant de perdre la suite.
> Le 17 mai 2024 à 07:36, Willy Manga a écrit :
>
> Bonjour,
>
>> On 16/05/2024
Bonjour,
On 16/05/2024 20:04, Nicolas de Brou wrote:
Hello
Je me suis mal exprimé, désolé
On a deux transitaire et ça fonctionne
Le routeur « route » et les majs bgp fonctionne
C’est le Linux qui lui n’accède pas à internet
Alors que je peux me connecter dessus à distance…
Il faudrait p
Hello,
Certains opérateurs te fournissent des blocs d'interco IP non routables.
Ainsi tu peux te connecter sur ton routeur avec les IPs de ton asn, mais
si le linux essaye de sortir sur internet via cette interco, possible
qu'il utilise la mauvaise IP source.
Dans ce cas, tente un ping et
Le 16/05/2024 à 18:04, Nicolas de Brou a écrit :
Hello
Je me suis mal exprimé, désolé
On a deux transitaire et ça fonctionne
Le routeur « route » et les majs bgp fonctionne
C’est le Linux qui lui n’accède pas à internet
Alors que je peux me connecter dessus à distance…
Cela m'évoque un prob
Hello
Je me suis mal exprimé, désolé
On a deux transitaire et ça fonctionne
Le routeur « route » et les majs bgp fonctionne
C’est le Linux qui lui n’accède pas à internet
Alors que je peux me connecter dessus à distance…
Merci
> Le 16 mai 2024 à 17:41, Raphael Mazelier a écrit :
>
> Hello
Hello la liste,
Quand tu dis fait bien son travail que veut tu dire ?
Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des
routes et une default il va router. Mais tu n'auras pas trop d'update :)
--
Raph
On 16/05/2024 16:53, Nicolas de Brou wrote:
> Bonjour,
>
> Je che
Bonjour,
Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de
perdre une heure Max pour comprendre pourquoi mon routeur fait bien son
travaille mais que depuis la cli je ne puisse pas accéder aux ressource
(exemple mise à jour)
Merci d’avance
---
36 matches
Mail list logo
