pomoc s natem pro dvě brány

[okoun]

ahoj, nastavuji novou věc a netuším jak moc na ní, budu mít paralelně zapojené brány kde jsou veřejné i privátní adresy a ty natujeme.

nat.jpg (82.21 KiB) Zobrazeno 1236 x

router R1 a R2 jsou brány do internetu tedy na WAN straně nahozeno BGP nějaké /24 a na druhém jiné /24. R1 R2 jsou vzájemě prpojeny pomocí OSPF nějakou spojovačkou /30.
R1 a R2 potom mají opět ospf propojení už někam dále do sítě kde jsou zákazníci a mají /32 adresy.

Problém je že pokud mi vypadne konektivita třeba na routeru R1 a zákazník se pomocí propoje přepne na R2 tak na R1 stále je v trackingu navázané spojení dokud ho nenaváži znova tak logicky nefunguje.
Na obou routerech používám pravidlo add action=masquerade chain=srcnat out-interface=ether1(wan) nevíte jak toto řešit?

[pgb]

Tu spojovačku si uděláš 2x (jednou na veřejkách a jednu pro lokalně). Mám to podobně R1 + R2 jsou PPPoE BRAS. Linku do netu z R1 mám jako hlavní, z R2 zálozní. Nasadíš PBR/VRF a data co ti přijdou na R2 pošleš na R1 lokálně, zanatuje se a pošle do netu nebo v případě výpadku přes veřejnou spojovačku na R2 a z toho záložní linkou do netu. Mám to funkční, odladěné, jediné s čím je trochu problém je adresace /30 klientů, aby jsi neměl po síti tisíce /30 z OSPF a zároveň CPE připojené na R2 dokázalo komunikovat s CPE na R1 => dá se to vyřešit trochou laborování s ospf filtrem a nastavování costů a pak ani nemusíš "skoro" nikde dávat nic staticky s nějakým ping/arp check na routě. Ve výsledku pokud nastavíš dostatečně citlivě timeouty na BGP, tak to funguje velmi rychle.

[okoun]

aha potom by tedy mělo stačit vyhodit ten privátní propoj /30 úplně a jen tam mít /30 na veřejkách a mělo by to už chodit i tak že? s tím VRF bych raději nenačínal...
ty zákaznické /30 bych filtroval potom až na prvním routeru, který je do brány napojen

[pgb]

Používám PBR + blackhooling aby mi něco neutíkalo a problémy nemám.

Katastrofické scénáře:
Když uděláš pouze jeden propoj, tak ti tam vzniká logická díra ... na R2 se připojí CPE a zanatuje se za nějaký rozsah a ten rozsah musí být fixně adresován na wan R2. Pokud routa z R1 na R2 není, tak R2 zanatuje, pošle do R1 kde už se znovu nenatuje(veřejky) data dorazí k cíli ale vracet se budou podle routy na R1 a tam musí být routa na R2, jinak se to ztratí. Díky tomuhle stavu se klientům v čase hlásí různé veřejné IP podle toho na kterém R1/R2 jsou CPE připojeni což nemají moc rádi.

Nehledě na stav, když přes PPPoE pošlu veřejnou ip/rozsah, tak prostě nemám jistotu ež se mi to vždy chytne na stejný BRAS ... a to je teprve ten správný problém

Když to uděláš s PBR, tak si nastavíš pravidlo lookup (a dáš mu tím jinou bránu) a v případě že ta brána umře, tak se použije brána z MAIN routovací tabulky (máš pravdu - není vhodné použít VRF nebo PBR lookup only pro tuto situaci).

Edit: vyřešeno