Problemas com sumarização de Rotas (PPPoE + OSPF ) e FILTROS

[jilianocg]

Pessoal, Tenho o seguinte problema.

Primeiramente deixe explicar como está minha estrutura.

São 3 torres, cada uma possui uma RB750GL (com exceção de uma delas que uso duas RB) para rodar o OSPF e autenticar os clientes PPPoE. Na base eu tenho um servidor Radius (MK-AUTH), sendo que o link principal não parte da base, pois o meu link principal vem de outra cidade e por questões geográficas não posso telo diretamente na minha base.

Em nenhum dos roteadores existe NAT e nem distribui rotas conectadas (Com exceção do que tem o Load Balance PCC).

Criei uma range 10.10.0.0/21 (2046 Hosts) para os clientes PPPoE no roteador que distribui a rota default.
Em cada 1 dos roteadores eu criei as seguintes ranges:

*****************************************************

Roteador A (rota default - Load Balance PCC):
loopback (Bridge): 172.16.255.254/32
eth2 (Link1 - Cliente PPPoE [da operadora ])
eth3 (Link2 - Cliente PPPoE [da operadora])
eth5 (Enlace - Enlace Roteador B) - 172.16.0.1/30

*****************************************************

Roteador B :
loopback (Bridge): 172.16.255.1/32
loopback (Bridge [range dos Clientes PPPoE sumarizado, anunciado no loopback]): 10.10.0.1/23 [510 Hosts]
eth1 (Enlace Roteador A): 172.16.0.2/30
eth2 (Enlace Roteador C): 172.16.0.9/29
eth5 (Servidor PPPoE [2x Nano 5 e 1x NANO M2 em bridge conectando os clientes e dando comunicação com cada painel]): 172.16.0.33/30
172.16.0.37/30
172.16.0.41/30

******************************************************

Roteador C :
loopback (Bridge): 172.16.255.2/32
loopback (Bridge [range dos Clientes PPPoE sumarizado, anunciado no loopback]): 10.10.2.1/23 [510 Hosts]
eth1 (Enlace Roteador B): 172.16.0.12/29
eth2 (Enlace Roteador D): 172.16.0.17/29
eth5 (Servidor PPPoE [1x Nano M5 e 1x NANO M2 em bridge conectando os clientes e dando comunicação com cada painel]): 172.16.0.25/30
172.16.0.29/30

******************************************************

Roteador D :
loopback (Bridge): 172.16.255.3/32
loopback (Bridge [range dos Clientes PPPoE sumarizado, anunciado no loopback]): 10.10.4.1/23 [510 Hosts]
eth1 (Enlace SERVIDOR RADIUS [MK-AUTH]): 172.16.0.5/30
eth2 (Enlace Roteador C): 172.16.0.20/29
eth5 (Servidor PPPoE): * Sem nenhum radio para conectar os clientes neste local por enquanto.

******************************************************

Eu estava tentando rodar MPLS e VPLS para concentrar a autenticação dos clientes, mas tive que desativar da rede por causa da limitação de L2MTU que os radios que estou utilizando tem {WOM 5000}.

Estou começando meu provedor agora, mas já tenho experiência na área a bastante tempo.

Estruturei essa rede bem as pressas, pois comprei um provedor aqui já em funcionamento, e o mesmo trabalhava em bridge, como a mudança tinha que ser rápida, não tive tempo de documentar a rede e até mesmo efetuar um projeto distribuindo as ranges em conformidade, por isso algumas ficaram, digamos, "fora de ordem".

O PROBLEMA:

Tudo "funciona", a única coisa que está me deixando preocupado, é que os filtros de rota não estão filtrando os /32 dos clientes PPPoE conectados, ou seja, cada cliente que se conecta em qualquer um dos roteadores, as rotas estão sendo distribuidas como se eu usasse o "redistribuir rotas conectadas", coisa que não faço!

Todas as interfaces estão anunciadas no OSPF MANUALMENTE, usando criptografia MD5 para conexão OSPF, e as que não participam do roteamento dinamico, eu anuncio como passiva.

Estou criando os filtros nos padrões ospf out > accept para as que quero distribuir na tabela de roteamento e out> discard para todo o resto.

Segue abaixo o export de como criei os filtros no Roteador C como exemplo:

Código :

/routing filter
add action=accept chain=ospf-out comment=\
    "Aceita saida de Clientes PPPoE SUMARIZADO" prefix=10.10.2.0/23
add action=accept chain=ospf-out comment="Aceita saida de RANGE Router B" \
    prefix=172.16.0.8/29
add action=accept chain=ospf-out comment="Aceita saida de RANGE Router D" \
    prefix=172.16.0.16/29
add action=accept chain=ospf-out comment=\
    "Aceita saida RANGE UBIQUITI NANO M5" prefix=\
    172.16.0.24/30
add action=accept chain=ospf-out comment=\
    "Aceita saida RANGE UBIQUITI NANO M2" prefix=\
    172.16.0.28/30
add action=accept chain=ospf-out comment=\
    "Aceita saida  IP LOOPBACK   rb-po-engenho" prefix=172.16.255.2
add action=discard chain=ospf-out comment="DISCARTA TODO O RESTANTE"

Desculpem o tamanho do texto, mas eu queria ser o mais especifico possível para que possam entender, e ate mesmo se estou fazendo algo errado em minha estrutura, possam me dar conselhos de como melhorar.

Espero que possam me ajudar...

PS. Uso versão 6.1 Mikrotik nas RB's e Boot Loader atualizado em todas.

[gamineiro]

Bom dia.

Como está o Prefix-length desse filtro:

Código :

/routing filter add
action=accept chain=ospf-out comment="Aceita saida de Clientes PPPoE SUMARIZADO" prefix=10.10.2.0/23

Abraço

[jilianocg]

Bom dia.

Como está o Prefix-length desse filtro:

Código :

/routing filter add
action=accept chain=ospf-out comment="Aceita saida de Clientes PPPoE SUMARIZADO" prefix=10.10.2.0/23

Abraço

Bom dia Gamineiro!

Está em branco.

[gamineiro]

Coloque 23.

Refaça os testes e nos diga como se comportou.

Abraço

[jilianocg]

Coloque 23.

Refaça os testes e nos diga como se comportou.

Abraço

Boa Noite Gamineiro,
Fis os testes e continua sem filtrar os /32 dos clientes PPPoE conectados...

Segue abaixo como ficou:

Código :

/routing filter
add action=accept chain=ospf-out comment=\
    "Aceita saida de Clientes PPPoE SUMARIZADO" prefix=10.10.2.0/23 \
    prefix-length=23
add action=accept chain=ospf-out comment="Aceita saida de RANGE Roteador B" \
    prefix=172.16.0.8/29
add action=accept chain=ospf-out comment="Aceita saida de RANGE Roteador D" \
    prefix=172.16.0.16/29
add action=accept chain=ospf-out comment=\
    "Aceita saida RANGE UBIQUITI NANO M5 (5.8)" prefix=\
    172.16.0.24/30
add action=accept chain=ospf-out comment=\
    "Aceita saida RANGE UBIQUITI NANO M2 (2.4)" prefix=\
    172.16.0.28/30
add action=accept chain=ospf-out comment=\
    "Aceita saida  IP LOOPBACK  ROTEADOR C" prefix=172.16.255.2
add action=discard chain=ospf-out comment="DESCARTA TODO O RESTANTE"

Já estou quase acreditando em um possível bug com a versão 6.1 do ROS em relação aos filtros de rotas...

Você usa esta versão ai? Usa os filtros de rotas?

[gamineiro]

Boa noite,

No ultimo filtro (discard) coloque o prefixo 0.0.0.0/0, e em prefix-length coloque 0-32.

[trober]

Prezados,

Os filtros de roteamento OSPF, no MikroTik RouterOS, da versão 3.25 até a 5.25, só conseguem filtrar rotas de saída quando estas são externas (de outras áreas). Ou seja, aquelas que são vísíveis com o comando abaixo:

Código :

/routing ospf lsa print where type=as-external

Resumindo, filtros "ospf-out" não funcionam quando você só tem área "backbone". Assim como também não é possível fazer sumarização com uma só área.

Abaixo, compartilho porção de texto, da documentação oficial de MikroTik, que possui a informação[1]:

ospf-out - predefined filter chain for external routes redistributed via OSPF;

[1] http://wiki.mikrotik.com/wiki/Manual...ers#Properties

[jilianocg]

Boa noite,

No ultimo filtro (discard) coloque o prefixo 0.0.0.0/0, e em prefix-length coloque 0-32.

Não tem jeito Gamineiro, não filtra!

Conforme o Trober citou, deve ser porque uso a mesma área em todos os roteadores!

O engraçado, é que o pessoal que usa a versão 4.x afirma funcionar desta forma...

[jilianocg]

Prezados,

Os filtros de roteamento OSPF, no MikroTik RouterOS, da versão 3.25 até a 5.25, só conseguem filtrar rotas de saída quando estas são externas (de outras áreas). Ou seja, aquelas que são vísíveis com o comando abaixo:

Código :

/routing ospf lsa print where type=as-external

Resumindo, filtros "ospf-out" não funcionam quando você só tem área "backbone". Assim como também não é possível fazer sumarização com uma só área.

Abaixo, compartilho porção de texto, da documentação oficial de MikroTik, que possui a informação[1]:



[1] http://wiki.mikrotik.com/wiki/Manual...ers#Properties

Realmente trober, nenhuma das opções funcionam!

Então neste caso não resta fazer nada? Teria algum inconivente pra mim o tanto de atualizações de rotas que os clientes que se conectam geram na tabela? Pois pelo que vejo, a impressão que tenho é que está como se eu estivesse distribuindo rotas conectadas!

[trober]

O engraçado, é que o pessoal que usa a versão 4.x afirma funcionar desta forma...

Esse pessoal afirma "chutando" ou mostrando código de como fazer?

[jilianocg]

Esse pessoal afirma "chutando" ou mostrando código de como fazer?

hehehe, então trober, nunca vi o código dos indivíduos, eu vi este comentário na lista da ANID...

E quanto a pergunta que fiz, teria algum problema em deixar como está? ou seria ideal dividir cada torre em uma área e efetuar a sumarização?

[trober]

...nunca vi o código dos indivíduos, eu vi este comentário na lista da ANID...

Reforçando a documentação da MikroTik, apresento outras fontes[1][2][3][4] que informam a impossibilidade de filtrar rotas de saída, que não sejam externas.

Em outra documentação[5] oficial, também há informações sobre a funcionalidade do filtro de saída se aplicar somente à rotas externas.

E quanto a pergunta que fiz, teria algum problema em deixar como está? ou seria ideal dividir cada torre em uma área e efetuar a sumarização?

Minha sugestão é implementar MPLS na sua rede, e fazer o transporte transparente de seus clientes.

Mas, se quiser fazer algo que eu não faria, você pode:

Sugestão ruim 1:
Fazer uma área para cada[6] ponto de presença.

Sugestão ruim 2:
Filtrar na entrada.

Código :

/routing filter add action=discard chain=ospf-in prefix=10.50.50.0/24 prefix-length=32

[1] http://forum.mikrotik.com/viewtopic....=61178#p312697
[2] http://forum.mikrotik.com/viewtopic....=61178#p312745
[3] http://forum.mikrotik.com/viewtopic....=61178#p313024
[4] http://forum.mikrotik.com/viewtopic....=49971#p254215
[5] http://wiki.mikrotik.com/wiki/OSPF/S...omplex_example
[6] https://under-linux.org/showthread.p...298#post643298

[jilianocg]

Reforçando a documentação da MikroTik, apresento outras fontes[1][2][3][4] que informam a impossibilidade de filtrar rotas de saída, que não sejam externas.

Em outra documentação[5] oficial, também há informações sobre a funcionalidade do filtro de saída se aplicar somente à rotas externas.



Minha sugestão é implementar MPLS na sua rede, e fazer o transporte transparente de seus clientes.

Mas, se quiser fazer algo que eu não faria, você pode:

Sugestão ruim 1:
Fazer uma área para cada[6] ponto de presença.

Sugestão ruim 2:
Filtrar na entrada.

Código :

/routing filter add action=discard chain=ospf-in prefix=10.50.50.0/24 prefix-length=32

[1] http://forum.mikrotik.com/viewtopic....=61178#p312697
[2] http://forum.mikrotik.com/viewtopic....=61178#p312745
[3] http://forum.mikrotik.com/viewtopic....=61178#p313024
[4] http://forum.mikrotik.com/viewtopic....=49971#p254215
[5] http://wiki.mikrotik.com/wiki/OSPF/S...omplex_example
[6] https://under-linux.org/showthread.p...298#post643298

Entendi...

No caso da Implantação do MPLS, eu já tenho a nuvem criada entre todos os roteadores e o transporte das conexões via VPLS para o autenticador centralizado, em bancada funcionou normal, pois estava conectando via cabo, só que quando subi nos POP atras dos enlaces, me deparei com problemas de limitação de L2MTU que os radios que estavam fazendo as interconexões tinham. Por isso tive que apelar para a autenticação individual por POP.

Em suas sugestões fiquei com algumas dúvidas.

Sugestão ruim 1:
Fazer uma área para cada[6] ponto de presença.

Quais seriam as desvantagens que eu teria nesta forma? Seriam eu ter de implementar virtual Link entre as áreas ?


Sugestão ruim 2:
Filtrar na entrada.

Código :

/routing filter add action=discard chain=ospf-in prefix=10.50.50.0/24 prefix-length=32

Neste segundo caso, qual seria o meu maior problema?

Desde já, agradeço pela atenção que você e o gamineiro tem me dado!

[trober]

Quanto à "Sugestão ruim 1"

Quais seriam as desvantagens que eu teria nesta forma

Qualquer usuário de seu WISP, com um pouco de paciência e traceroute, pode mapear a infraestrutura de sua rede, e encontrar informações sensíveis, como, por exemplo, o PUF (Ponto Único de Falha). Afinal, você terá um cenário com comunicação fim-a-fim, em que cada salto é um roteador da sua rede, e todas as rotas estão anunciadas aos "n" roteadores.

Quanto à "Sugestão ruim 2"

Neste segundo caso, qual seria o meu maior problema?

Filtrar "na chegada" não fará que os anúncios sejam menores. O efeito é mais cosmético do que técnico. Afinal, as rotas foram anunciadas, tratadas apenas por "ospf-in". A tabela continua gigante, cheia de "/32" de clientes, quando tem-se apenas uma área.

Desde já, agradeço pela atenção que você e o gamineiro tem me dado!

Fico feliz em ter ajudado. Também transmito meus agradecimentos ao Gabriel, sempre tão prestativo também.

[jilianocg]

Realmente, dei um tracert para o host www.uol.com.br e tenho apenas 1 salto da maneira que está, sendo que estou passando por 3 roteadores de onde estou conectado para ter saída para a internet, mas derrepente pode estar acontecendo isso porque tenho um controle de tracert nos roteadores!

Agora só pra finalizar toda a situação e não ficar com dúvidas neste post...

Como não posso ativar o MPLS e o transporte dos clientes da maneira que estão minhas interconexões hoje, as perguntas são:

_ Deixo anunciado na loopback de cada roteador o /23 do pool dos clientes que tenho cadastrado em cada POP (conforme estou fazendo agora)?
_ Tiro o anuncio destes pool's da loopback e ativo a redistribuição de rotas conectadas, para que na tabela FIB não fiquem anunciados o x.x.x.x/23 mais os x.x.x.x/32 dos clientes?

[trober]

... e ativo a redistribuição de rotas conectadas...

Não recomendo redistribuir rotas conectadas. Tem post[1] meu abordando as razões, e tem post em foros[2] da Cisco.

[1] https://under-linux.org/showthread.p...044#post645044
[2] https://supportforums.cisco.com/thread/153064

[jilianocg]

Não recomendo redistribuir rotas conectadas. Tem post[1] meu abordando as razões, e tem post em foros[2] da Cisco.

[1] https://under-linux.org/showthread.p...044#post645044
[2] https://supportforums.cisco.com/thread/153064

Grato Trober,
Então deixarei como está!

Abraço a todos!

[tecnic]

Existe uma gambiarra que funciona, kkkk.
Adiciona o ip da rede que você quer sumarizar na interface do PPPOE, ou seja, se a rede dos clientes é 192.168.0.1/32 e assim por diante voce adiciona 192.168.0.0/24 na interface.
Retira o anuncio do OSPF dessa faixa, e repassa rotas conectadas no OSPF onde esta o PPPOE.
Aqui sumarizo assim. E funciona perfeitamente. Porem não estudei mais a fundo se causa algum problema repassar as rotas assim.

[xyunamx]

Boa tarde amigo,

Aqui também uso clientes PPPOE e não tive problemas com os filtro, mesmo sendo da mesma area mas mesmo assim por via das duvidas também filtrei a entrada, ou seja alem de filtrar o que ira ser divulgado tambem filtro o que sera aceito...

Segue como uso...
0 chain=OSPF-GTW-out prefix=x.x.x.x prefix-length=24 invert-match=no action=accept set-bgp-prepend-path=""


1 chain=OSPF-GTW-in prefix=0.0.0.0/0 prefix-length=0-30 invert-match=no action=accept set-pref-src=x.x.x.x set-route-comment="-----" set-check-gateway=ping set-bgp-prepend-path=""


2 chain=OSPF-GTW-in prefix=0.0.0.0/0 prefix-length=0-32 invert-match=no action=discard set-bgp-prepend-path=""


3 chain=OSPF-GTW-out prefix=0.0.0.0/0 prefix-length=0-30 invert-match=no action=accept set-bgp-prepend-path=""


4 chain=OSPF-GTW-out prefix=0.0.0.0/0 prefix-length=0-32 invert-match=no action=discard set-bgp-prepend-path=""

Dessa forma se por algum motivo for divulgado quem estiver recebendo dropa, e pra economizar regras como uso varios prefixos diferentes e so queria mesmo q n divulgasse os /31 e /32 usei o prefixo 0.0.0.0/0

[trober]

...quem estiver recebendo dropa...

Filtrar na entrada foi a "Sugestão ruim 2", destacada[1] abaixo. Cada cliente que conectar ou desconectar do PPPoE, alterará o hash da tabela de roteamento, gerando assim um novo update, não evitando que o anúncio seja propagado, informando assim todas as entradas dos clientes em /32, que tem como tamanho, no mínimo, seus "x" clientes + "y" enlaces.

Sugestão ruim 2:
Filtrar na entrada.

[1] https://under-linux.org/showthread.p...268#post676268