AS207036 – Por qué y para qué?

AS207036 – Por qué y para qué?

El título de esta entrada tiene una razón de ser.

Porque existe AS207036 ?

Simple, leyendo RFC1925 encontraremos el siguiente párrafo:

The Twelve Networking Truths, Section 2.4:

Some things in life can never be fully appreciated nor understood unless experienced firsthand. Some things in networking can never be fully understood by someone who neither builds commercial networking equipment nor runs an operational network.

Operational Network:

https://aanetworks.org/

Esta es la diferencia entre correr routers en GNS3 y correr routers con un propósito, en los últimos años he operado AS207036 y cada día que pasa se vuelve parte esencial de mi red operacional, primero vamos a listar que hace AS207036.

1 – Anunciar vía BGP prefijos IPv4

2 – Anunciar vía BGP prefijos IPv6

https://bgp.he.net/AS207036

Hace unos días solicite que el CountryCode fuera cambiado de Germany (DE) a Dominican Republic (DO), ahora soy “The King of the Hill” …..

El LIR en RIPE que tengo es lo mejor!! https://asn.servperso.net/

Lo importante aquí es todo lo que puedo hacer usando esas direcciones IP de las cuales tengo total control y no dependo de NAT para tener servicios como servidores web (donde estas leyendo este post), VPN, email server y otros.

Y ya que en .DO aun no se brinda conectividad a Internet vía IPv6, tengo acceso a Internet usando direcciones IPv6.

Al final del día que he ganado con toda esta configuración y complejidad?

Experiencia!!!

IPv6 en la casa, al estilo Homelab!

Hablar de IPv6 es como tirarle piedras a la Luna. Estuve cerca??

nota: esto no es un tutorial, es solo una descripción del enredo al cual llamo “Conexión IPv6”.

Ahora en serio, no voy a decir que en .DO no se está haciendo nada, a nivel residencial y a nivel empresarial creo que menos. Pero en el ámbito educativo podemos ver a PUCMM como el número uno en .DO con relación a conectividad IPv6, creo que al menos el 70% de sus servicios son accesibles vía IPv6, y esto lo digo por el simple hecho de que he intentado usar esos servicios y responden.

Vamos al tema, ya que los proveedores no se han decidido a llevar IPv6 a las casas, tuve que salir a buscar IPv6 por mi cuenta. Ya desde hace años estaba jugando con el “nuevo” direccionamiento gracias a un túnel, TunnelBroker de Hurricane Electric para ser exacto. Y el problema con este era que mi dirección IPv4 en la casa no es fija y sé que tienen un método para poder establecer el túnel con direcciones dinámicas pero ya era un poco complicado simplemente mantener el túnel, además de esto se sumó que servicios como Netflix comenzaron a bloquear esas direcciones IPv6 de HE cuando detectaban que eran parte de TunnelBroker.

Después de un tiempo sin tener conectividad de IPv6 de juguete en la casa me topé con que podía hacerme de un numero autónomo (ASN) y de un IPv6 PA.

Let’s the game begins!!

 

Según HE, soy mi propio ISP.

 

Lo primero fue registrar una organización en RIPE:

Luego realizar el proceso necesario para la asignación de ASN, para esto tenemos que enviar copias de documentos personales al LIR.

 

En este punto ya tenemos el numero autónomo (ASN) que es el pilar de todo el proceso que realizaremos más adelante. Nos toca conseguir un /48 de IPv6 para poder anunciarlo, cualquier asignación más grande de 48 será filtrada por los proveedores de upstream, puede ser que tu peer directo la deje pasar pero es posible que sea filtrada más adelante y no llegue al DFZ de IPv6.

Yo adquirí un /44 con SnapServ del cual solo estoy anunciando un /48 por el momento.

https://www.snapserv.ch/pricing.html

 

Pasemos inventario:

Tenemos número autónomo.

Tenemos direcciones IPv6 para anunciar.

 

Ahora necesitamos routers donde realizar las configuraciones de lugar y que todo este enredo funcione!

En mi caso fue bastante fácil ya que tenía equipos haciendo BGP con otros routers desde hace tiempo gracias a DN42.net, inicialmente lo que hice fue detener el proceso Quagga(BGPd), editar el archivo de configuración y cambiar 64635 -> 207036, reiniciar el proceso y listo!

En caso de ser desde cero, lo primero sería instalar un motor de enrutamiento dinámico (en el caso que sea Linux el router) o habilitar/configurar esta funcionalidad en el router o router que planeemos usar.

Linux – he decidido usar Quagga por la similitud que tienen con el CLI de Cisco.

Mikrotik RouterOS – en la casa tengo varios de estos equipos que soportan BGP.

 

Como se conectan estos equipos y pueden establecer una sesión BGP?

VPN!

En mi caso particular al estar usando el mismo ASN en todos los nodos, estos deben tener la habilidad de alcanzarse mutuamente, quiere decir que deben estar en Mesh. La primera vez que intente esto lo hice usando OpenVPN, que desastre, tenía que establecer alrededor de 6 túneles en cada máquina con Debian. Buscando alternativas me encontré con Tinc, muy buen software con el que dure bastante tiempo en uso hasta que me topé con Zerotier.

https://www.zerotier.com/

Usando zerotier puedo tener una VPN tipo mesh. En otras palabras, mi VPN funciona como un Switch Layer 2. Todas las maquinas tienen un IP de la misma subred y así puedo hacer sesiones BGP entre ellas sin tener que conectarlas directamente.

 

Y así termine con direcciones IPv6 accesibles globalmente en los equipos de mi casa. Pensé que este artículo terminaría como un paso a paso pero me di cuenta de que este enredo es más complicado de lo que pensé. En los próximos días dividiré cada sección y si podre crear un paso a paso.

 

Aventuras con BGP.

Cuanto tiempo!  Algunos me han preguntado que si ya no planeaba escribir más en el blog (no muchos, pero si me han preguntado.).

Por cuestiones de trabajo, poco a poco fui descuidando el blog a un punto que ahora veo que se han perdido imágenes de algunas entradas, eso me pasa por usar Dropbox como proveedor de contenidos. Eso es algo que puedo arreglar más adelante, ahora al tema de la entrada.

A mediados de 2016 pude notar que viarios participantes de dn42 estaban usando ASN públicos asignados por ARIN, que chulo no? así que comencé a investigar y termine adquiriendo un Numero Autónomo público. Para que se preguntaran algunos, la respuesta es que desde hace mucho tiempo tengo una adicción al routing a un nivel que en mi pequeña red de la casa estoy corriendo BGP + OSPF para distribuir las rutas internamente.

Después de varios meses de jugar con el ASN y cambiar todos los Debian + Quagga que tenían ASN privado (64635 – 64714) al nuevo y reluciente ASN público (207036), comenzar a anunciar asignaciones de IPv6 (ya casi todo esta dual-stack, yija!!!!), termine con una asignación /22 de IPv4.

Entonces, como esta aaNetworks al día de hoy con relación a networking?

https://aanetworks.org/

 

 

 

 

 

 

 

 

Se puede conseguir más información en BGP.he.net

http://bgp.he.net/AS207036

HomeLAB

Ariel Antigua Networks – (aaNetworks)

aaNetworks

homelab infrastructura.

homelab for 20231208

Iniciemos con el hardware.

networking:

En esta sección tenemos varios routers y switches.

    -   WAN1 – este es el equipo que la mayoría tenemos en casa, es asignado por CLARO para los clientes con Fibra Óptica, mi velocidad de internet actual es 300Mbps/75Mbps.
    -   WAN2 – Internet de Orbit Cable, entregado vía Fibra Óptica. Solo tiene 10Mbps/5Mbps, lamentablemente esta detrás de CGNAT.
    -   firewall01 - Peplink Balance 20X
    -   firewall02 – Sophos XG 115 corriendo opnSense 27
    -   nixon – Mikrotik RB3011-RM – este equipo forma parte de una nube MPLS y es un router de borde.
    -   zapp – Mikrotik RB2011-RM – este es el route principal de la red.
    -   lrrr –   Mikrotik RB493AH – router para pruebas de PPPoE, MPLS y VPLS.
    -   brrr –  Mikrotik RB750Gr3 – router para pruebas de PPPoE, MPLS y VPLS.
    -   ndnd – Mikrotik RB2011L-RM – router para pruebas de PPPoE, MPLS y VPLS.
    -   elzar – Mikrotik RB2011-RM – router para pruebas de PPPoE, MPLS y VPLS.
    -   CORE0 – Zyxel GS-1900 – Switch principal de la red.
    -   CORE02 - Ubiquiti Aggreation - 10Gbe switch for vSAN/vMotion and Data Traffic
    -   Atlas1 – RIPE Atlas sensor (Probe #28779) – este equipo directamente no se controla, es parte del proyecto Atlas de RIPE NCC. (¡¡¡4 anos en funcionamiento !!!)
    -   Atlas2 – RIPE Atlas Sensor (Probe #51981) – este sensor reporta estadísticas usando el internet de CLARO.
    -   Atlas3 – RIPE Atlas Sensor (Probe #XXXXX ) – este sensor reporta estadísticas usando el internet de ORBIT.
    -   Ubiquiti UCK – Generación 1 cloud key.

servers:

Supermicro decomisionado.

    -   Intel(R) Atom(TM) CPU D2500 @ 1.86GHz
    -   6GB de RAM
    -   SSD 60GB Sandisk
    -   2x 1Gb NIC

2x HP Z440

    -   Intel Xeon E5-2640 v4
    -   128GB of DDR4
    -   1 Samsung SSD 970 EVO 1TB
    -   1 Kingston SSD 240G (ESXi installed here)
    -   1 Intel SSD DC S3700 1.6TB
    -   1 10Gb Dual port SFP+ HP NC560


store – unRAID 6 – almacenamiento centralizado para las necesidades de File Services. Además de storage con unRAID se tiene la facilidad de correr Docker/VM. Alguno de los contenedores corriendo aquí son Plex, Syncthing, Sonarr, Radarr y algún otro que olvide ahora mismo.

    -   Ahora es una VM en ESXi7.0 (esxi1)
    -   Supermicro X9SRL
    -   Intel Xeon E5-2680 v2
    -   128GB de RAM
    -   2x 2TB Hard disks
    -   2x 4TB Hard disks
    -   2x 3TB Hard disks
    -   1x Intel SSD PCIe 1.6 TB
    -   More SSDs for VMs….
    -   2x 1Gb NIC
    -   10Gb NIC – aún no se ha conectado, el CRS cuenta con dos puertos 10GB.
    -   Rosewill RSV-L4000 – 4U

Equipos que no estan en el rack.

2x HP Proliant EC200a

    -   Intel(R) Xeon(R) CPU D-1518 @ 2.20GHz
    -   64GB de RAM
    -   1x SSD 240GB
    -   1 Intel SSD DC S3700 1.6TB
    -   1x M.2 NVMe 500GB

homelab for 20231208