Archiv für den Monat: Juli 2019

OPNsense: OpenVPN, FRR und OSPF (QAD)

Quick and Dirty Howto wie man einen OpenVPN Tunnel ins OSPF aufnimmt. In meiner Testumgebung bilden zwei OpenVPN Tunnel im TUN Mode die Area 0.0.0.0 und das jeweils dahinter liegende Testnetz 192.168.30.0/24 die Area 0.0.0.1 und 192.168.40/24 die Area 0.0.0.2.

Die beiden Tunnel nutzen das Netz 172.31.55.0/30 und 172.31.56.0/30. Leider ging es mit dem nächsten /30 Netz von 172.31.55 nicht. Es musste ein neues Netzsegment genutzt werden. Kann natürlich auch ein Bug in FRR sein. Jedenfalls wird ein „OpenVPN“ Interface in OPNsense erzeugt. In FRR muss dieses Interface mit in die OSPF Konfiguration:

Danach die Areas und die zu distributierenden Netzwerke definieren:

Und schon sieht man das gegenüberliegende Netz in der Routingtabelle:

Mimosa Wifi PTP Bridge Failover mit Mikrotik Router

In unserer Firmengruppe wurde eine Lagerhalle, die sich in Sichtweite auf einem anderen Grundstück befindet, mit einer Wifi Bridge ans Firmennetz angebunden. Eine schwache 1MBit VPN Leitung konnte damit abgelöst werden. Als primäre Bridge habe ich mich für Funktechnik von Mimosa entschieden. Diese schafft es auf 520MBit. Als Failover Richtfunkstrecke kommt günstigere Technik mit weniger Bandbreite von Mikrotik zum Einsatz. Beide Bridges waren direkt an Cisco Switche angeschlossen. Failover mit STP war möglich, aber bei kleinen „wacklern“ auf der Funkstrecke musste der STP jedesmal neu berechnet werden und hat zum Ausfall mehrerer Dienste geführt. LACP habe ich versucht, wurde aber eines Besseren belehrt was asynchrone Bandbreite und Latenzen im LACP so anstellt. Es ist einfach nicht möglich. Also musste etwas her das ich von Linux nativ als „Bonding Mode“ kenne. Mikrotik Routerboards können neben LACP (IEEE 802.3ad) auch die Linux Bonding Modes. Also zwei Routerboards gekauft und die zwei Richtfunkstrecken im Bonding-Mode in eine Software-Bridge gepackt. Läuft wunderbar im Aktiv/Passiv Modus und schaltet auch sehr schnell um. Somit kriegen die Cisco Switche und deren STP nichts von den „wacklern“ auf den Funkstrecken mit.