{"id":3052,"date":"2021-01-23T13:03:12","date_gmt":"2021-01-23T17:03:12","guid":{"rendered":"http:\/\/arielantigua.com\/weblog\/?p=3052"},"modified":"2021-01-23T13:04:34","modified_gmt":"2021-01-23T17:04:34","slug":"vrf-en-linux-con-bird-para-ospf-bgp","status":"publish","type":"post","link":"https:\/\/arielantigua.com\/weblog\/2021\/01\/vrf-en-linux-con-bird-para-ospf-bgp\/","title":{"rendered":"VRF en Linux con BIRD para OSPF\/BGP"},"content":{"rendered":"

VRF en Linux con BIRD para OSPF\/BGP.<\/p>\n

Desde hace mucho tiempo estoy jugando con BGP, inicialmente ten\u00eda BGP en pfSense, algo sencillo y con solo algunas rutas, eso fue en los tiempos de dn42.<\/p>\n

En el 2016 encontr\u00e9 una comunidad de varios entusiastas de redes al nivel de Internet y pude conseguir un ASN registrado en RIPE.<\/p>\n

Muchas cosas han cambiado desde esos d\u00edas, he aprendido y experimentado, aprender es la raz\u00f3n de ser de aaNetworks<\/a>. Lo complicado de mi red con direcciones IP Publicas y ASN<\/a> es que localmente en mi casa no hay forma posible de tener una sesi\u00f3n BGP y publicar los prefijos desde ah\u00ed (imag\u00ednate que CLARO te permita hacer un t\u00fanel L2TP a un router con BGP!), dependo de VPS con Linux y BIRD.<\/p>\n

<\/p>\n

<\/p>\n

Estado actual.<\/strong><\/p>\n

Usando wireguard se interconectan 4<\/em> VPS y 1<\/em> servidor f\u00edsico en mi casa<\/a>, todos ejecutan BIRD, de esta manera pueden establecer sesiones BGP tanto internas (iBGP) como externas (eBGP) para anunciar los prefijos.<\/p>\n

Con OSPF se distribuyen direcciones de enlaces (\/30) y direcciones en lo (loopback con \/32), es m\u00e1s f\u00e1cil montar una sesi\u00f3n BGP apuntando a las direcciones en la loopback, se elimina tener que crear una inmensidad de sesiones ya que la direcci\u00f3n en loopback puede ser alcanzada por cualquiera de los routers en el \u00e1rea de OSPF.<\/p>\n

El problema que \u00faltimamente tengo es cuando la mejor ruta para alc\u00e1zar uno de los VPS es aprendida por iBGP, esto significa el doble de perdida de paquetes y latencia. Investigando y probando mucho, decid\u00ed que la mejor manera de \u201csolucionar el problema\u201d era usando tablas de rutas dedicadas (Policy Based Routing), una para los enlaces wireguard y otra para las rutas aprendidas en BGP. Esto resolv\u00eda el problema, pero introdujo unos nuevos que no son de mi agrado.<\/p>\n

Nuevos problemas.<\/strong><\/p>\n

    \n
  1. De manera manual ten\u00eda que introducir los origines o destinos de mi red interna en ambas tablas.<\/li>\n
  2. Se debe agregar otra IP \/32 en la loopback para poder monitorear los VPS.<\/li>\n
  3. La tabla para las rutas aprendidas por OSPF deb\u00edan ser copiadas a la tabla donde se guardaban las rutas aprendidas por BGP.<\/li>\n
  4. \u00a0En el traceroute salen asteriscos\u2026 GRAVE!!<\/li>\n<\/ol>\n

    Soluci\u00f3n.<\/strong><\/p>\n

    VRF en Linux ya lleva un tiempo algo estable y gracias al trabajo mayormente realizado por Cumulus Network esto ha mejorado bastante. Esta funcionalidad esta lista para ser usada en las distribuciones recientes de Linux, en mi caso he usado Ubuntu y Debian.<\/p>\n

    Procedemos a inicializar un VRF con el comando:<\/p>\n

    ip link add name vrf_mesh type vrf table 10<\/pre>\n
    Activamos el VRF:<\/p>\n
    ip link set dev vrf_mesh up<\/pre>\n
    Ya contamos con un VRF e incluso tenemos una interface disponible para asignar un IP, esta interface es utilizada cuando queremos hacer route leaking de un VRF a otro.<\/p>\n
    Si hacemos: ip vrf show<\/pre>\n
    <\/p>\n
    Para tener consistencia con relaci\u00f3n al VRF y las tablas de enrutamiento de Linux, debemos definir una entrada en \/etc\/iproute2\/rt_tables<\/pre>\n
    <\/p>\n
    Hasta este punto se podr\u00eda decir que todo es igual a PBR, la diferencia est\u00e1 en los pr\u00f3ximos pasos donde movemos interfaces hacia el VRF, este proceso autom\u00e1ticamente asigna todas las rutas existentes al VRF, incluso la direcci\u00f3n IP deja de estar disponible en la tabla main, si existen servicios que usan estas IP directamente, fallaran ya que la IP no est\u00e1 disponible.<\/p>\n
    ip link set dev enp2s0 vrf vrf_mesh up<\/pre>\n
    Lo revisamos con<\/p>\n
    ip -br link show type vrf<\/pre>\n
    <\/p>\n
    ip link show<\/pre>\n
    Nos mostrara todas las interfaces en el servidor, adem\u00e1s nos deja ver cuales est\u00e1n en un VRF<\/p>\n
    <\/p>\n
    master vrf_mesh<\/em><\/pre>\n
    Es lo que queremos ver!<\/p>\n
    Un cambio realizado por esta configuraci\u00f3n est\u00e1 en las reglas que controlan donde se buscara el pr\u00f3ximo salto para alcanzar un host.<\/p>\n
    <\/p>\n
    L3mdev-table fue agregado cuando creamos nuestro VRF, la idea es primero buscar dentro de esta tabla dependiendo del estado de la interface, si esta es parte de un VRF o no. Otro cambio que se debe hacer y este es de forma manual, es mover el lookup local hacia abajo, esto evitara que se haga la b\u00fasqueda en la tabla main y posiblemente enviar el tr\u00e1fico a la tabla equivocada, es muy \u00fatil cuando se tienen varios VRF y prefijos duplicados.<\/p>\n
    Listo, ahora le toca a BIRD llevar sus rutas al VRF.<\/strong><\/p>\n
    Esta configuraci\u00f3n fue la m\u00e1s complicada ya que el soporte de VRF en BIRD no est\u00e1 muy bien documentado y todo fue basado en prueba y error.<\/p>\n
    Gran parte de la configuraci\u00f3n de BIRD ya ten\u00eda definida tablas de enrutamiento para funcionar con PBR, lo que hice fue cambiarlo todo a una misma tabla, en este caso la tabla 10.<\/p>\n
    Algo que confunde un poco es que en BIRD se deben definir tabla para IPv4 e IPv6 pero no pueden tener el mismo nombre, es algo interno de BIRD y no refleja que en el Kernel podemos tener rutas de IPv4 e IPv6 en la misma tabla.<\/p>\n
    El cambio es simple. Luego que se entiende que se debe hacer, debemos agregar vrf \u201cnombre_vrf\u201d en todas las entradas de protocol que queremos que participen del VRF, dentro de cada versi\u00f3n de IP se debe agregar la tabla donde se colocaran las rutas aprendidas, esa es la raz\u00f3n por la que se definen dos tablas en la configuraci\u00f3n. Otro proceso adicional es usar el protocol kernel para copiar las rutas que se agregaron a las tablas internas de BIRD a la tabla 10 del kernel, esa es la tabla que en mi caso usa el VRF.<\/p>\n
    <\/p>\n
    Una de las limitantes de BIRD y VRF es que BIRD desconoce que existe un VRF en Linux y no tienen integraci\u00f3n. Se dice que en nuevas versiones esto mejorara.<\/p>\n
    Ya tengo rutas en mi VRF, cual es la diferencia?<\/p>\n
    Anteriormente no pod\u00eda hacer tareas tales como ping o traceroute desde las direcciones IP que usando rules estaban dentro de una de las tablas de enrutamiento. Con VRF es mucho m\u00e1s sencillo.<\/p>\n
    ip vrf exec vrf_mesh traceroute 1.1.1.1<\/pre>\n
    <\/p>\n
    En la tabla main del equipo solo se puede observar la ruta por defecto que es usada para subir los t\u00faneles wireguard.<\/p>\n
    <\/p>\n
    Si consulto la tabla 10 donde est\u00e1 funcionando el VRF.<\/p>\n
    <\/p>\n
    Demasiadas rutas para mostrar en un screenshot, vamos a contarlas.<\/p>\n
    <\/p>\n
    Al final todo esto es para que mis VM\/contenedores con direcciones ip publicas puedan llegar a Internet y ser alcanzados desde Internet.<\/p>\n
    referencias:<\/p>\n
    Stefan’s Blog – Using VRF (Virtual Routing and Forwarding) on Linux<\/a><\/p>\n
    Virtual Routing and Forwarding (VRF) \u00b7 Mellanox\/mlxsw Wiki \u00b7 GitHub<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
    VRF en Linux con BIRD para OSPF\/BGP. Desde hace mucho tiempo estoy jugando con BGP, inicialmente ten\u00eda BGP en pfSense, algo sencillo y con solo algunas rutas, eso fue en los tiempos de dn42. En el 2016 encontr\u00e9 una comunidad de varios entusiastas de redes al nivel de Internet y pude conseguir un ASN registrado […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,24,7,33,34,124],"tags":[142,138],"class_list":["post-3052","post","type-post","status-publish","format-standard","hentry","category-bgp","category-debian","category-general","category-ipv6","category-networking","category-ubuntu","tag-bgp","tag-ipv6"],"_links":{"self":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/3052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/comments?post=3052"}],"version-history":[{"count":0,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/3052\/revisions"}],"wp:attachment":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/media?parent=3052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/categories?post=3052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/tags?post=3052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}