freebsd quagga

[morfey]

Настраиваем резерв + пиринг. Трафик побежал. Но отваливаются некоторые сети. Например local.com.ua . Траса проходит, пинг идет. При заходе на сайт присылаются заголовки ( connection reset by peer).

Если нужно, приведу конфиг.

[LV10]

А квагга тут причем?

[morfey]

Возможно и не причем. Думаю фря не знает с какого интерфейса брать маршрут etc.

В линуксе как я понял, можно полечить с помощью rp_filter аля анти ип спуфинг

[Mechanik]

так посмотрите этот маршрут в кваге, там видно через какого пира и какой интерфейс будет идти трафик

[KaYot]

Если пинг на хост идет - дело не в квагге и маршрутах. Ищите скорее в конфигах апача и фаерволе, в сторону разрешения трафика с новых интерфейсов.

[morfey]

та апач тут не причем, т.к. это наблюдается на множестве сайтов. Как только отключаю пира - все ок.

[KaYot]

Логично, немного напутал. Блок адресов старый, только пир новый?

[morfey]

Именно

[morfey]

# fetch http://local.com.ua

fetch: http://local.com.ua: Connection reset by peer

 

# ping local.com.ua

PING local.com.ua (194.0.88.26): 56 data bytes

64 bytes from 194.0.88.26: icmp_seq=0 ttl=58 time=4.766 ms

64 bytes from 194.0.88.26: icmp_seq=1 ttl=58 time=5.552 ms

64 bytes from 194.0.88.26: icmp_seq=2 ttl=58 time=4.706 ms

[maxx]

Ну так а какбе трассировка при включенном и выключенном пире отличается? Просто видимо что запрос идет по одному плечу а ответ приходит по второму на котором не ждется.

[morfey]

Никак не отличается

[KaYot]

Чудеса и только. Если б это действительно был spoof protect(включенный rp_filter в linux), никакого пинга б не было. Не может один протокол работать, а другой нет.. НАТа кривого нигде нет?

[morfey]

Да не, реальники...

[maxx]

Не может один протокол работать, а другой нет..

жестко плюсую.

[Ромка]

# fetch http://local.com.ua

fetch: http://local.com.ua: Connection reset by peer

 

# ping local.com.ua

PING local.com.ua (194.0.88.26): 56 data bytes

64 bytes from 194.0.88.26: icmp_seq=0 ttl=58 time=4.766 ms

64 bytes from 194.0.88.26: icmp_seq=1 ttl=58 time=5.552 ms

64 bytes from 194.0.88.26: icmp_seq=2 ttl=58 time=4.706 ms

а пинг действительно 5мс до локала? или тут что-то не так...

[morfey]

Да, при включенном пире, при отключенном - 2мс

[laffytaffy]

а трафик уходит и приходит через один и тот же пир, что при включенном "резерве", что без него?

[morfey]

угу.

но по ходу не весь доходит при вкл. резерве )

[nicelife]

Все таки есть подозрение что на одного пира вам нужно увеличить маршрут через AS-PREPEND. потому если трассировка показывает один маршрут - это не значит что пакет будет уходить и приходить только через одного пира.

какой то из бгп роутеров по маршруту при возврате пакета может решить что путь через второго пира короче, и пакет вернется через другого пира.

это нужно смотреть как минимум tcpdum`om.

вобщем, удлините маршрут на резервного пира, думаю в этом затык.

[LV10]

sh ip bgp 194.0.88.26

 

никому не интересен?

[morfey]

Стоит

route-map PEER-in permit 5

match ip address prefix-list default

set local-preference 50

set as-path prepend AS AS AS AS AS

[morfey]

Все так же, через основной аплинк

# sh ip bgp 194.0.88.26
BGP routing table entry for 194.0.88.0/23
Paths: (1 available, best #1, table Default-IP-Routing-Table)
 Not advertised to any peer
 48533 15645 29632 29107
xx.xx.xx.xx from xx.xx.xx.xx (10.0.132.1)
  Origin IGP, localpref 500, valid, external, best
  Last update: Mon Apr 23 21:59:13 2012

 

З.Ы. Возможна проблема в as-set'ах? А то я не вижу нашу ас в аплинке пира.

[KaYot]

Ну и не бежал бы трафик через него входящий да и все. Тут грабли где-то совсем в другом месте..

[Gang]

а фаерволл у Вас на этой машине есть? покажите его

 

Сети анонсируется обоим аплинкам?

 

 

sh ip bgp neighbors чч.чч.чч.чч advertised-routes

[morfey]

а фаерволл у Вас на этой машине есть? покажите его

 

Сети анонсируется обоим аплинкам?

 

 

sh ip bgp neighbors чч.чч.чч.чч advertised-routes

1. Фаервол отключал полностью.

2. Анонсируются 2 наши сети и дефолт.