[vpn] Exterior vs. Interior Routing?

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
So Okt 19 15:04:28 CEST 2014 

Hallo bodems!

Am Samstag, den 18.10.2014, 09:39 +0000 schrieb bodems: 
> Hallo Bernd,
> wenn das zweite Gateway ins ICVPN soll, muss zwischen den beiden
> Gateways auf jedenfall per iBGP (interrior-BGP, eine BGP-Session, bei
> der beide Peers dieselbe ASN benutzen) geroutet werden. Zwischen den
> BGP-Gateways muss ein full-mesh bestehen, siehe [1]. 

Wenn ich das richtig verstehe, kann ich allein iBGP nutzen, um die
Routen weiterzuverteilen. Ein "Interior Gateway Protocol" ist überhaupt
nicht notwendig. Prinzipiell besteht zwischen allen Gateways eine
fastd-VPN-Verbindung, so dass sich eine Vollvermaschung ohne weiteres
realisieren lässt. Wir müssten nur auf jedem der Gateways einen
Routing-Dämonen installieren. Die Skalierbarkeit sollte gegenwärtig noch
kein Problem darstellen.

> Um die Routen auch
> zu anderen Gateways zu verteilen, kann man OSPF benutzen. Man sollte
> aber nicht die Routen von BGP für OSPF importieren (und auf keinen Fall
> die Routen wieder von OSPF nach BGP exportieren, dann macht man die
> AS-Pfadlängen kaputt), sondern das IGP nur für Routen von Subnetzen des
> eigenen Netzes und eine default-Route benutzen. 

Das hört sich schon so kompliziert an, dass ich gar nicht erst auf die
Idee gekommen wäre das Problem auf diese Weise zu lösen :-D

> Default-Traffic wird
> dann zum nächsten BGP-Router geroutet, der dann per BGP den besten weg
> kennt. Anstatt der Defaultroute kann man im ICVPN auch 10.0.0.0/8 und
> 172.16.0.0/12 benutzen. Das hat auch den Vorteil, dass die Größe der
> Routingtabelle auf den nicht-BGP-Gateways kleingehalten wird.

Mein VPN-Anbieter nutzt ein 10.X.Y.0/24-Netzwerk für die
Tunnelverbindungen. Könnte dies zu Problemen führen, wenn ich eine Route
für 10.0.0.0/8 setze? Oder "schlägt" ein spezifischerer Eintrag immer
den unspezifischeren?

> So, ich hoffe ich hab nichts vergessen und es war jetzt nicht zu viel
> auf einmal.

Optimale Antwort. Ich bin schon etwas schlauer und werde in Kürze einen
Versuch mit iBGP unternehmen. Vielen Dank!

LG,

Bernd

Mehr Informationen über die Mailingliste vpn