Auteur Sujet: question option IP config orange + config routage VPN (Lu 1769 fois)

abtt · « **le:** 13 juin 2022 à 11:05:21 »

créer 4 VLAN locaux ( Donnée, ToIP, WIFI, Tech)
   Vlan 10
Name Donnees
Vlan 20
   Name ToIP
Vlan 30
   Name Wifi
Vlan 40
   Name Technique

Interface Vlan10
   Ip address 10.60.133.253 255.255.255.0
Interface Vlan20
   Ip address 10.61.133.253 255.255.255.0
Interface Vlan30
   Ip address 10.62.133.253 255.255.255.0
Interface Vlan40
   Ip address 10.63.133.253 255.255.255.0
créer un domaine VTP local au site ( différent de celui du site central)
activer le routage par defaut "ip routing"
mettre une route par défaut : Ip route 0.0.0.0 0.0.0.0 10.60.133.254 ==>10.60.133.254, c'est l'IP de bvi 1 ( pas sur de savoir ce que àa signifie)sur le routeur Orange se trouvant sur site B, je n'ai pas la main sur ces routeurs, mais depuis l'extranet orange, je peux visualiser les interfaces
j'ai donc une interface : Bvi 1 10.60.133.254 YES up up *** LAN CLIENT ***
GigabitEthernet 0/1 <unassigned> YES up up *** LAN CLIENT *** ==>c'est ce port du routeur qui est branhcé actuellement à mon switch sur site B

et une interface
passer le lien entre mon switch et le routeur orange en trunk
Sur mon Core switch, qui se trouve sur site A, ajouter 3 routes statiques
ip route 10.60.133.0 255.255.255.0 10.39.6.20 ==>Cette route est déjà existante, c'est la prod actuelle, donc à destination du sous réseau 10.60.133.0 en /24, je passe par 10.39.6.20 ( c'est l'adresse de passerelle du routeur Orange VPN central)
ip route 10.61.133.0 255.255.255.0 10.39.6.20
ip route 10.62.133.0 255.255.255.0 10.39.6.20
ip route 10.63.133.0 255.255.255.0 10.39.6.20

Demander à l'opérateur, sur le routeur central de A, de m'ajouter des routes
route 10.60.133.0 255.255.255.0 10.60.133.254 ==> Qui doit exister puisque c'est la prod actuel
route 10.61.133.0 255.255.255.0 10.60.133.254
route 10.62.133.0 255.255.255.0 10.60.133.254
route 10.63.133.0 255.255.255.0 10.60.133.254
Ajouter les échanges DHCP ( ajout des ip helper adress de nos 2 serveur DHCP? 10.39.1.223 et 10.39.1.224
je suis pas sur qu'Orange passe par des routes statiques, mais pour mon maquettage de site, c'est ce que je voudrais

"

En faisant la demande sur l'extranet orange, ils me font cette réponse :

L'adresse next-hop 10.60.133.254 n'est pas valide car il s'agit de l'adresse IP du LAN DATA du site B

Du coup, j'ai un doute sur le next hop que je dois leur donner?

petrus · « **Réponse #1 le:** 16 juin 2022 à 11:25:24 »

Citation de: abtt le 13 juin 2022 à 11:05:21

En faisant la demande sur l'extranet orange, ils me font cette réponse :

L'adresse next-hop 10.60.133.254 n'est pas valide car il s'agit de l'adresse IP du LAN DATA du site B

Du coup, j'ai un doute sur le next hop que je dois leur donner?

C'est logique, car un next-hop n'est pas récursif. Tu dois faire pointer la route vers l'ip du PE de raccordement, pas vers l'ip distante. Le PE du siège lui aura comme next-hop le PE distant, et enfin le PE distant aura comme next-hop l'ip d'interco du routeur du site, mais pas son ip lan quoi qu'il en soit.

Donc ici le next-hop c'est 81.52.27.8 (une ip virtuelle présente sur tous les PE de raccordement c2e). Mais au vu de ta topologie, tes routes actuelles sont déjà annoncées et apprises en bgp, il faudrait continuer ainsi et ne pas mettre de routes statiques si on peut éviter.

Cause-en avec ton RAC pour implémenter ces modifs.

abtt · « **Réponse #2 le:** 16 juin 2022 à 12:29:43 »

Merci de tes précisions.

j'ai eu un retour tou à l'heure d'Orange :

Au vu des informations fournies, voici ce qui a été réalisé :Routage vers l'équipement 10.39.6.254, déjà utilisé pour les réseaux 0.0.0.0/0 et 10.39.0.0/26 :

ip route 10.61.133.0 255.255.255.0 10.39.6.254
ip route 10.62.133.0 255.255.255.0 10.39.6.254
ip route 10.63.133.0 255.255.255.0 10.39.6.254

Diffusion dans le MPLS :

router bgp 65102
network 10.61.133.0/24
network 10.62.133.0/24
network 10.63.133.0/24
exit

Manque de bol, dans la foulée, le réseau est tombé sur ce site distant, je leur ai demandé via le ticket de remettre à l'état initial....j'attends leur retour.

abtt · « **Réponse #3 le:** 16 juin 2022 à 13:24:03 »

Effectivement, quand je fais un traceroute depuis le site central vers d' autres sites distants reliés en VPN MPLS Orange, j'ai en 3 ème saut toujours cette IP : 81.52.27.8

1 1 ms <1 ms <1 ms 10.239.11.254
2 <1 ms <1 ms <1 ms 10.39.6.21
3 3 ms 2 ms 2 ms 81.52.27.8
4 28 ms 30 ms 26 ms 10.60.102.254

J'ai pas encore de retour d'Orange, je sais pas si c'est l'ajout de ces routes statiques qui ont mis le bazar? le sous réseau de prod en 10.60.133.0 n'est plus joignable alors que la modif était pas censé le concerner?

abtt · « **Réponse #4 le:** 16 juin 2022 à 13:27:00 »

Et quand je fais un traceroute vers le site en question, depuis que ça a planté, on dirait que ça boucle :

1 <1 ms 1 ms <1 ms 10.239.11.254
2 <1 ms <1 ms <1 ms 10.39.6.21
3 35 ms 9 ms 1 ms 10.39.6.254
4 1 ms <1 ms 1 ms 10.39.6.21
5 1 ms <1 ms 1 ms 10.39.6.254
6 <1 ms <1 ms <1 ms 10.39.6.21
7 1 ms 1 ms <1 ms 10.39.6.254
8 <1 ms <1 ms <1 ms 10.39.6.21

abtt · « **Réponse #5 le:** 16 juin 2022 à 15:02:31 »

Citation de: petrus le 16 juin 2022 à 11:25:24

C'est logique, car un next-hop n'est pas récursif. Tu dois faire pointer la route vers l'ip du PE de raccordement, pas vers l'ip distante. Le PE du siège lui aura comme next-hop le PE distant, et enfin le PE distant aura comme next-hop l'ip d'interco du routeur du site, mais pas son ip lan quoi qu'il en soit.

Donc ici le next-hop c'est 81.52.27.8 (une ip virtuelle présente sur tous les PE de raccordement c2e). Mais au vu de ta topologie, tes routes actuelles sont déjà annoncées et apprises en bgp, il faudrait continuer ainsi et ne pas mettre de routes statiques si on peut éviter.

Cause-en avec ton RAC pour implémenter ces modifs.

Chez Orange, c'est via une demande en ligne, le technicien a remis la conf initial suite à la coupure qu'il y a eu en fin de matinée.

Du coup, je ne sais pas comment demander sans passer par du routage statique, l'ingé avant vente ne me répond pas.

petrus · « **Réponse #6 le:** 16 juin 2022 à 15:35:09 »

Il faut des routes statiques sur le routeur du site distant sur lequel tu veux implémenter les nouveaux réseaux, dont le next-hop est ton routeur derrière (si j'ai bien suivi), et ensuite une modif dans la conf bgp comme indiquée sur le routeur de l'as 65102 pour annoncer ces réseaux dans le vpn.

De là, les routes seront apprises sur tous les sites distants.

Si c'est bien fait ça ne doit pas faire tomber le réseau nul part.

abtt · « **Réponse #7 le:** 16 juin 2022 à 17:39:04 »

Citation de: petrus le 16 juin 2022 à 15:35:09

Il faut des routes statiques sur le routeur du site distant sur lequel tu veux implémenter les nouveaux réseaux, dont le next-hop est ton routeur derrière (si j'ai bien suivi), et ensuite une modif dans la conf bgp comme indiquée sur le routeur de l'as 65102 pour annoncer ces réseaux dans le vpn.

De là, les routes seront apprises sur tous les sites distants.

Si c'est bien fait ça ne doit pas faire tomber le réseau nul part.

Citation de: petrus le 16 juin 2022 à 15:35:09

Il faut des routes statiques sur le routeur du site distant sur lequel tu veux implémenter les nouveaux réseaux, dont le next-hop est ton routeur derrière (si j'ai bien suivi), et ensuite une modif dans la conf bgp comme indiquée sur le routeur de l'as 65102 pour annoncer ces réseaux dans le vpn.

De là, les routes seront apprises sur tous les sites distants.

Si c'est bien fait ça ne doit pas faire tomber le réseau nul part.

D'accord, je n'avais pas compris les choses comme ça. Les modif ont été appliquées sur le routeur du site central.
Les 3 nouveaux sous réseaux ( 10.61.133.0, 10.62.133.0, 10.63.133.0) + celui existant déjà 10.60.133.0 je les ai créé ( 4 VLAN sur le futur switch L3 qui sera sur le site distant, pas encore en prod actuellement). Donc 4 VLAN locaux aux site distant ( avec pour IP chacun, 10.61.133.253, 10.62.133.253 etc...).
J'avais pu obtenir le *.txt de conf du routeur du site distant ( on va l'appeler site B)il y a quelques semaines, et en routes statiques, j'avais ça :

ip route 0.0.0.0 0.0.0.0 *DEL-OBS********************************* ==>Route par défaut pour tout les réseaux ? ( je ne sais pas à quoi correspond *DEL-OBS********)
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route 193.252.4.0 255.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.128 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.192 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.240 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.248 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.255 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.254 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.252 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.224 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************

Du côté du site central A, en terme de routage statique, j'avais ( ou j'avais, le *.txt date de quelques semaines) :

ip route 0.0.0.0 0.0.0.0 10.39.6.254 ==>Donc une route par defaut, ip route [réseau de destination, donc ici toute les destinations] [masque du réseau destination][Interface de sortie, ici 10.39.6.254 donc l'adresse du VLAN routeur sur le coeur de réseau ]
ip route 10.39.0.0 255.255.0.0 10.39.6.254 ==>Notre VLAN "serveur" est en 10.39.1.0 /24 donc là tout ce qui est à destination de 10.39.0.0 , passe par 10.39.6.254
ip route 172.17.128.0 255.255.255.0 10.39.6.5
ip route 172.17.129.0 255.255.255.0 10.39.6.5
ip route 172.17.130.0 255.255.255.0 10.39.6.5
ip route 172.17.131.0 255.255.255.0 10.39.6.5
ip route 192.168.1.0 255.255.255.0 10.39.6.254
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route 193.252.4.0 255.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.128 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.192 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.240 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.248 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.255 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.254 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.252 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.224 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************

Je vais faire un schéma rapide et simplifié avec packet tracer, je le posterai demain matin, si tu as 2 mn à un moment, en cas, merci bcp de ton aide, c'est très sympa! et ça m'aide à mieux comprendre.

petrus · « **Réponse #8 le:** 16 juin 2022 à 18:29:16 »

Citation de: abtt le 16 juin 2022 à 17:39:04

D'accord, je n'avais pas compris les choses comme ça. Les modif ont été appliquées sur le routeur du site central.

Il faut faire 2 modifs, quelque soit la technique :

Soit routes statiques, auquel cas il faut 1 route statique par réseau sur le routeur central avec pour next-hop le PE de raccordement, et rebelote sur le site distant 1 route statique par réseau avec next-hop ton switch L3
Soit on utilise bgp, auquel cas modifs uniquement sur le site distant, ajout de routes statiques avec ton switch L3 en next-hop et ensuite redistribution static to bgp, ou moins optimal un ajout de "network <subnet>" par réseau dans la conf bgp du routeur distant

L'avantage de la technique n°2 c'est que tu fais la modif à un seul endroit et tous tes sites distants vont apprendre la route.

Citation de: abtt le 16 juin 2022 à 17:39:04

Les 3 nouveaux sous réseaux ( 10.61.133.0, 10.62.133.0, 10.63.133.0) + celui existant déjà 10.60.133.0 je les ai créé ( 4 VLAN sur le futur switch L3 qui sera sur le site distant, pas encore en prod actuellement). Donc 4 VLAN locaux aux site distant ( avec pour IP chacun, 10.61.133.253, 10.62.133.253 etc...).
J'avais pu obtenir le *.txt de conf du routeur du site distant ( on va l'appeler site B)il y a quelques semaines, et en routes statiques, j'avais ça :

ip route 0.0.0.0 0.0.0.0 *DEL-OBS********************************* ==>Route par défaut pour tout les réseaux ? ( je ne sais pas à quoi correspond *DEL-OBS********)

route par défaut oui, le *DEL-OBS* correspond à des valeurs censurées par l'outil. Ici une adresse IP, probablement 81.52.27.8.

Citation de: abtt le 16 juin 2022 à 17:39:04

Du côté du site central A, en terme de routage statique, j'avais ( ou j'avais, le *.txt date de quelques semaines) :

ip route 0.0.0.0 0.0.0.0 10.39.6.254 ==>Donc une route par defaut, ip route [réseau de destination, donc ici toute les destinations] [masque du réseau destination][Interface de sortie, ici 10.39.6.254 donc l'adresse du VLAN routeur sur le coeur de réseau ]

Oui route par défaut vers ton lan sur le site central, c'est cohérent et souvent rencontré.

Citation de: abtt le 16 juin 2022 à 17:39:04

ip route 10.39.0.0 255.255.0.0 10.39.6.254 ==>Notre VLAN "serveur" est en 10.39.1.0 /24 donc là tout ce qui est à destination de 10.39.0.0 , passe par 10.39.6.254

Dans l'absolu redondant avec la route par défaut, mais ça permet de mieux gérer les redistributions et d'annoncer le /16 dans le backbone (même si au final une default doit être probablement annoncée).

Citation de: abtt le 16 juin 2022 à 17:39:04

ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route 193.252.4.0 255.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.128 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.192 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.240 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.248 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.255 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.254 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.252 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.224 *DEL-OBS*********************************
ip route *DEL-OBS*********************************.255.255.0 *DEL-OBS*********************************

des routes internes, genre réseaux d'admins etc. Chose intéressante l'outil n'a pas considéré 193.252.4.0 comme étant à censurer, probablement parce qu'il s'agit d'un préfixe Orange France et non OBS.

abtt · « **Réponse #9 le:** 21 juin 2022 à 17:10:20 »

Citation de: petrus le 16 juin 2022 à 18:29:16

Il faut faire 2 modifs, quelque soit la technique :
Soit routes statiques, auquel cas il faut 1 route statique par réseau sur le routeur central avec pour next-hop le PE de raccordement, et rebelote sur le site distant 1 route statique par réseau avec next-hop ton switch L3
Soit on utilise bgp, auquel cas modifs uniquement sur le site distant, ajout de routes statiques avec ton switch L3 en next-hop et ensuite redistribution static to bgp, ou moins optimal un ajout de "network <subnet>" par réseau dans la conf bgp du routeur distant

L'avantage de la technique n°2 c'est que tu fais la modif à un seul endroit et tous tes sites distants vont apprendre la route.

route par défaut oui, le *DEL-OBS* correspond à des valeurs censurées par l'outil. Ici une adresse IP, probablement 81.52.27.8.

Oui route par défaut vers ton lan sur le site central, c'est cohérent et souvent rencontré.

Dans l'absolu redondant avec la route par défaut, mais ça permet de mieux gérer les redistributions et d'annoncer le /16 dans le backbone (même si au final une default doit être probablement annoncée).

des routes internes, genre réseaux d'admins etc. Chose intéressante l'outil n'a pas considéré 193.252.4.0 comme étant à censurer, probablement parce qu'il s'agit d'un préfixe Orange France et non OBS.

Merci.

Donc si l'on parle de l'option 2, l'annonce BGP doit se faire ici ( sur le routeur Central, site A) :

router bgp 65102
bgp router-id *DEL-OBS************************************
network 0.0.0.0/0
network 10.39.0.0/16
network 10.39.6.0/24
network 10.60.133.0/24
network 10.61.133.0/24
network 10.62.133.0/24
network 10.63.133.0/24
network 172.17.128.0/24
network 172.17.129.0/24
network 172.17.130.0/24
network 172.17.131.0/24
network 192.168.1.0/24
neighbor 10.153.153.2
remote-as 65102
description iBGP peering with neighbor 10.153.153.2
next-hop-self
exit

Ajout de 3 network ( en rouge) C'est ce que le tech orange avait fait ( avant que je demande un retour arrière car plantage de la prod actuelle). Donc, cette partie serait bonne.

Par contre, c'est les routes statiques qu'il a ajouté que je ne comprends pas trop :

Citer

Au vu des informations fournies, voici ce qui a été réalisé :Routage vers l'équipement 10.39.6.254, déjà utilisé pour les réseaux 0.0.0.0/0 et 10.39.0.0/26 :

ip route 10.61.133.0 255.255.255.0 10.39.6.254
ip route 10.62.133.0 255.255.255.0 10.39.6.254
ip route 10.63.133.0 255.255.255.0 10.39.6.254

Donc, il faudrait plutot faire cela ( sur le routeur Orange Site B ) :

ip route 10.61.133.0 255.255.255.0 10.61.133.253 (==>10.61.133.253, c'est l'IP du VLAN 20)
ip route 10.62.133.0 255.255.255.0 10.62.133.253 (==> IP VLAN 30)
ip route 10.63.133.0 255.255.255.0 10.63.133.253 (==>IP VLAN 40)

Pour l'instant, sur le routeur du site distant B, j'ai une route statique :
ip route 0.0.0.0 0.0.0.0 *DEL-OBS********************************* ( du coup, le next hop est censuré, je sais pas ce que c'est), cela ne suffirait il pas? ( sans ajouter de nouvelles routes statiques)?

J'ai attaché un schéma en pièce jointe, avec les conf des interfaces côté ISP

par contre, si on parle de l'option 1 :

Citer

1 route statique par réseau sur le routeur central avec pour next-hop le PE de raccordement

le next Hop, du coup, je ne le connais pas? Pour moi, sur le schéma c'est le port gi1/0, le port WAN du routeur B?

petrus · « **Réponse #10 le:** 28 juin 2022 à 11:07:49 »

j'ai pas regardé tout dans le détail, mais les déclarations network doivent se faire là où tu veux annoncer les réseaux qui sont connectés, donc si c'est le lan d'un site distant c'est sur le routeur de ce site que tu dois ajouter ça.