web-dev-qa-db-fra.com

Pourquoi BGP Open Message obtient-il la prise Connexion: Réinitialisation de la connexion par pair lorsque le nœud est sur un sous-réseau / passerelle différent

Ma configuration de réseau:

Configuration du réseau Kubettes

Avec cette configuration, seuls les nœuds sur le même sous-réseau peuvent établir une connexion BGP. Autres nœuds (qui effectuent une poignée de main TCP à 3 voies 3), répond au message Open HTE avec [FIN, ACK] puis une [RST] d'où la connexion réinitialisée par un message par pair dans mon calicoctl node status <- est sur le contrôleur 3 (10.0.3.100)

    IPv4 BGP status
+--------------+-------------------+-------+----------+--------------------------------+
| PEER ADDRESS |     PEER TYPE     | STATE |  SINCE   |              INFO              |
+--------------+-------------------+-------+----------+--------------------------------+
| 10.0.1.100   | node-to-node mesh | start | 07:12:01 | Connect Socket: Connection     |
|              |                   |       |          | closed                         |
| 10.0.2.100   | node-to-node mesh | start | 07:12:01 | Connect                        |
| 10.0.1.101   | node-to-node mesh | start | 07:12:01 | Connect Socket: Connection     |
|              |                   |       |          | reset by peer                  |
| 10.0.1.102   | node-to-node mesh | start | 07:12:01 | Connect Socket: Connection     |
|              |                   |       |          | reset by peer                  |
| 10.0.2.102   | node-to-node mesh | start | 07:12:01 | Connect Socket: Connection     |
|              |                   |       |          | reset by peer                  |
| 10.0.3.101   | node-to-node mesh | up    | 07:14:13 | Established                    |
| 10.0.3.102   | node-to-node mesh | up    | 07:12:02 | Established                    |
+--------------+-------------------+-------+----------+--------------------------------+

Ma vidage de Wireshark de la poignée de main + Message ouvert du contrôleur 3 (10.0.3.100) à Node4 (10.0.2.102)

Trace BGP Wireshark entre 10.0.3.100 et 10.0.2.102
[.____] Trace BGP Wireshark entre 10.0.0.4 (10.0.3.100) et 10.0.2.102
peut-être que le problème est que le nœud 4 voit les données provenant de 10.0.0.4 et non de 10.0.3.100?

Ce qui fonctionne

  1. Ping de tous les nœuds à tous les nœuds ok
  2. nC Port 179 à tous les nœuds réussit
  3. Wireshark affiche le fichier complet TCP Handshake à partir du contrôleur 3 au noeud 4

Installer

  1. Kubettes 1.21.1 (installé via Kubespray)
  2. Calico 3.9 (par défaut à Kubespray)
  3. Toutes les passerelles sont pfsense 2.5.x, la passerelle "Master" a des itinéraires statiques pour 10.0.1.0/24 via 10.0.0.2, 10.0.2.0/24 via 10.0.0.3 et 10.0.3.0/24 via 10.0.0.4.
  4. Les pare-feu sont désactivés sur les routeurs de datacenter sur WAN et LAN no NAT sont activés sur l'une des cases PFSEPE. (NAT for IPSec VPN est sur le port WAN pour la passerelle Master Gateway)
  5. Autant que je puisse dire, j'ai une connectivité IP complète entre tous les nœuds de tous les sous-réseaux
kubernetesbgpbare-metalcalico
1
tFlolo

J'ai à tort supposé que pfsense auto NAT était seulement pour ipsec Passtrough, lorsque j'ai désactivé tout sortit NAT = génération de règle, il a commencé à travailler comme prévu. Ma faute pour ne pas comprendre le Réglage dans mes routeurs PFSense.

0
tFlolo