Mikrotik Routerboard + BGP + IPv6

16 jan 2015, 13:14

Beste WHT'ers,

Ik ben hier even aan het "spelen" met de ipv6 mogelijkheden op een Mikrotik Routerboard. Echter ... dit blijkt niet te lopen zoals het hoort... De door BGP aangemaakte route ::/0 naar 2a02:a013:c102:: blijkt niet te werken lijkt het althans...

Iemand een idee waar dit kan aan liggen?

De configuratie is als volgt:
- Remote address : 2a02:a013:c102::
- Local address : 2a02:a013:c102::1
- Announced subnets: 2a03

d0ff::/48, 2a03

d114::/48, 2a03

d1ff::/48, 2a03

d2ff::/48,
- Remote AS : 5488
- Local AS : 48260

De BGP sessie komt wel tot stand, en ik krijg de melding dat er updates gestuurd en ontvangen worden. De BGP sessie gebeurd op vlan 950 op poort 1 (VLAN Belgacom BGP).

Configuratie : http://ctrlv.it/id/MjAzMg==

[TWadmin@RTR DC Lokeren] /routing bgp peer> print
Flags: X - disabled, E - established
# INSTANCE REMOTE-ADDRESS REMOTE-AS
0 E ;;; Peer Proximus IPv6
BGP Proximus ... 2a02:a013:c102:: 5488

[TWadmin@RTR DC Lokeren] /ipv6 route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, o - ospf, b - bgp, U - unreachable
# DST-ADDRESS GATEWAY DISTANCE
0 Db ::/0 2a02:a013:c102:: 20
1 ADC 2a02:a013:c102::/127 VLAN Belgacom BGP 0
2 ADC 2a03

d0ff::/48 ether02 - BGC Server ... 0
3 ADC 2a03

d114::/48 ether02 - BGC Server ... 0
4 ADC 2a03

d1ff::/48 ether02 - BGC Server ... 0
5 ADC 2a03

d2ff::/48 ether02 - BGC Server ... 0

Telkens krijg ik "gateway unreachable".
Met dank!

Tomsworld · 16 jan 2015, 18:51

Het is een raar probleem, ik zie de routes via het level 3 netwerk van het as achter belgacom dat zit goed.

Krijg je nd resolving van het belgacom adres ?
Werkt dit al volledig op routeboards met global adressen ipv link local ?

Heb je toevallig al kunnen proberen met een andere router ? ( cisco / juniper / vtyatta ?)

Werkt je ipv4 sessie wel ?

driesp · 16 jan 2015, 19:22

Misschien heeft mikrotik last van omdat het een /127 prefix betreft.
Ik merk op dat in point to point verbindingen vaak een /126 prefix wordt gebruikt.

Beetje zoals je een /31 zou gaan gebruiken in ipv4, in plaats van een /30

rfc: https://tools.ietf.org/html/rfc6164

Ik weet alvast dat juniper niet (wil) werken met het ipv6 subnet adres.
cisco doet dit dan weer wel, hoewel het in de rfc staat dat het niet de bedoeling is.

Misschien is dit het probleem, ik weet het niet...
Probeer het te onderbouwen en aan bgc te vragen of je een /126 krijgt,
waarbij 2a02:a013:c102::1 dan belgacom gebruikt en 2a02:a013:c102::2 jezelf (of gewoon omgekeerd)

16 jan 2015, 21:03

Tomsworld schreef:Het is een raar probleem, ik zie de routes via het level 3 netwerk van het as achter belgacom dat zit goed.

Krijg je nd resolving van het belgacom adres ?
Werkt dit al volledig op routeboards met global adressen ipv link local ?

Heb je toevallig al kunnen proberen met een andere router ? ( cisco / juniper / vtyatta ?)

Werkt je ipv4 sessie wel ?

Mijn IPv4 sessie werkt perfect, deze is al een tijdje online (wel met een andere Mikrotik). Testen met een andere router gaat helaas niet...

driesp schreef:Misschien heeft mikrotik last van omdat het een /127 prefix betreft.
Ik merk op dat in point to point verbindingen vaak een /126 prefix wordt gebruikt.

Beetje zoals je een /31 zou gaan gebruiken in ipv4, in plaats van een /30

rfc: https://tools.ietf.org/html/rfc6164

Ik weet alvast dat juniper niet (wil) werken met het ipv6 subnet adres.
cisco doet dit dan weer wel, hoewel het in de rfc staat dat het niet de bedoeling is.

Misschien is dit het probleem, ik weet het niet...
Probeer het te onderbouwen en aan bgc te vragen of je een /126 krijgt,
waarbij 2a02:a013:c102::1 dan belgacom gebruikt en 2a02:a013:c102::2 jezelf (of gewoon omgekeerd)

Dat is inderdaad iets dat ik eveneens heb gelezen na het zetten van de eerste post. Zie onderander http://forum.mikrotik.com/viewtopic.php?f=2&t=79149.

Ziet er dus niet goed uit

(ps : zou een /126 wel werken? Kleinste dat een provider je moet geven in ipv6 is toch een /64?)

16 jan 2015, 22:40

Ja. Een /64 wordt default aanzien als 1 subnet. Kleiner geven kan voor problemen zorgen.
Een /31 bij ipv4 kan je niet uitdelen, want die heeft maar 2 ip adressen, en raakt er al 2 kwijt door netwerk adres en broadcast adres, vandaar dat de kleinste een /30 is, en er toch maar 2 bruikbare ips zijn.

[ Afbeelding

Post made via mobile device ]

Tomsworld · 16 jan 2015, 22:48

Ik heb er draaien in cisco op /127 idd, maar eigenlijk zeggen sommigen zelfs gewoon /64 gebruiken toch adressen genoeg en ptp zijn snel omgenummerd indien ooit nodig. Je zou aan proximus kunnen vragen om idd een groter blok op te zetten. Maar anderzijds is het raar dat je peering op komt en de ranges zichtbaar zijn ( of announce je ze nog vanaf een andere router ?)

Tomsworld · 16 jan 2015, 22:49

Als het nog niet gefixed heeft heeft dries gelijkt : http://forum.mikrotik.com/viewtopic.php?f=2&t=79149

Het zal niet gefixed worden als je het ziet : http://forum.mikrotik.com/viewtopic.php ... 49#p428644

Dus groter subnet zal de way to go zijn.

16 jan 2015, 23:07

I stand corrected: blijkbaar kan een /31 wel uitgedeeld worden, cf rfc3021.
Is al meer dan 10 jaar het geval en toch spreken nog alle tcp/ip cursussen die ik ken en/of waar ik mee in contact kom dat het absoluut kleinste subnet een /30 is. Zucht...

[ Afbeelding

Post made via mobile device ]

Tomsworld · 16 jan 2015, 23:16

Nee /31 is common in ipv4 meeste operating systemen < 5 jaar kunnen ermee overweg.

In de praktijk doe je het alleen als het echt in publiek moet of je bent een toko die zelfs privé adres gebruik wil optimaliseren, ikzelf neem vaak /28 of /29 voor interco's, vaak voor migraties etc handig als je iets parallel kan zetten.

Maar het zijn leuke opdrachtjes of vragen is /31 valid

.

Over die /127 is al wat geschreven bv RFC3627

https://tools.ietf.org/html/rfc3627

Use of /127 Prefix Length Between Routers Considered Harmful

Wel grappig dat je dan via https://tools.ietf.org/html/rfc6547 aan de 6164 komt die het dan weer aanbeveelt.

Maar wat er vaak is is de theorie <> de praktijk.

De cisco's en de juniper in deze wereld zullen het waarschijnlijk vlotter implementeren dan idd microtik.

( Het is wel te hopen dat het BGC provisioning proces voorzien is op uitzonderingen, ander ga je nog een leuke miserie meemaken. )

16 jan 2015, 23:46

In de primaire setup kregen we 2a02:a013:c102:: als remote en 2a02:a013:c102::1 als local. Als backup kregen we 2a02:a013:c102::2 als remote en 2a02:a013:c102::3 als local. Bizar, maar die backup config werkte ook niet (wss is dat een automatische failover oid?).

Anyway, ik stuur Belgacom even de link naar dit topic door. Hopelijk kunnen ze er iets mee

17 jan 2015, 00:35

Ja, al dat theoretisch gezaag over "kleine subnets", daar krijg ik het ook van.
Bij mij is de regel "als het een prive ip is (rfc1908 en opvolgers) blijven we bij een default subnet (/8, /16 of /24 naargelang)", anders wordt het verwarrend. Bij publieke ips ligt dat uiteraard anders.

[ Afbeelding

Post made via mobile device ]

18 jan 2015, 21:04

En op WHT kom ik dan weer de volgende post tegen...

http://www.webhostingtalk.nl/networking ... ost1296909

Ik vind die discussie niet zo overtuigend.
Sterker, ik citeer
https://tools.ietf.org/html/rfc6164

On inter-router point-to-point links, it is useful, for security and
other reasons, to use 127-bit IPv6 prefixes. Such a practice
parallels the use of 31-bit prefixes in IPv4. This document
specifies the motivation for, and usages of, 127-bit IPv6 prefix
lengths on inter-router point-to-point links.

En
https://tools.ietf.org/html/rfc6547

This document moves "Use of /127 Prefix Length Between Routers
Considered Harmful" (RFC 3627) to Historic status to reflect the
updated guidance contained in "Using 127-Bit IPv6 Prefixes on Inter-
Router Links" (RFC 6164). A Standards Track document supersedes an
informational document; therefore, guidance provided in RFC 6164 is
to be followed when the two documents are in conflict. This document
links the two RFCs so that the IETF's updated guidance on this topic
is clearer.

Kortom : /127 is goed en aanbevolen, en het zaak dat Microtik dat gaat supporten.

Tomsworld · 18 jan 2015, 21:18

Dat is wat ik ook poste, als je de rfc's leest zijn ze in een dikke 10 jaar veranderd, van niet doen, naar evil tot het is een best practice. Best wel grappig, volgens mij moet er idd iemand die microtik dev dat uitleggen.

Het verbaasd me dat ik het eerder nog niet gelezen had.

En als mt niet wil misschien is kijken naar die mooie edgeroutertjes van tegenwoordig.

driesp · 19 jan 2015, 14:09

driesp schreef:Ik merk op dat in point to point verbindingen vaak een /126 prefix wordt gebruikt.

Ik wil maar zeggen, misschien heeft het wel een reden...

laroyj · 19 jan 2015, 14:14

What's new in 6.25 (2015-Jan-19 10:11):

*) certificates - fix SCEP RA operation and SCEP client when operating with RA;
*) ppp - report authentication failure cause like in v6.6;
*) ovpn server - added support for address lists;
*) improved boot times;
*) api - fixed missing return values of some commands;
*) ntp - fixed vulnerabilities;
*) mpls/vpls have improved per core balancing on CCRs;
*) fixed queue tree no-mark matching (was broken since 6.24);
*) fixed nested simple queues (was broken since 6.24);
*) fixed occasional crash when ipv6 was used;
*) fixed route cache overflow (ipv4/ipv6 stops working) if ipsec is used;
*) fixed Omnitik upgrade from v5 where wireless config was not correctly saved
*) fixed Webfig Design Skin where some skin changes were not saved
*) WPS support added to CM2 wireless package

19 jan 2015, 15:00

Heb die mail ook gekregen, maar helaas zijn dat geen verbeteringen op vlak van BGP

Tomsworld · 19 jan 2015, 23:08

En nog kunnen testen met een /126 of /64 lost dat het probleem op ?

19 jan 2015, 23:21

Belgacom moet aanpassing nog maken, en dan moet ik nog doorvoeren

Hou jullie op de hoogte hierover!

Tomsworld · 20 jan 2015, 00:18

Ow ja sorry

ik was vergeten hoe snel de change machine bij bgc soms kan zijn

Alhoewel ip transit als je geluk hebt zit je bij de mensen van bics en dat is een totaal ander bedrijf

Tomsworld · 23 feb 2015, 23:26

Als netwerkmannetje ben ik nu wel benieuwd of dit het oploste ?

24 feb 2015, 11:09

Momenteel is het inderdaad volledig opgezet en werkende. Leuke is dat het werkt via 2 mikrotiks nu (main route en backup route).
Probleem is dus dat Mikrotik niet overweg kan met die /127. Daarom is er nu 2x een /126 genomen. En dat werkt wel!

Tomsworld · 24 feb 2015, 11:28

Goed nieuws krisken , eind goed al goed, zo'n problemen zijn vervelend om te troubleshooten. Leuk om te zien dat mensen in productie draaien op die grotere MT.

Die edgerouters zien er ook mooi uit en kunnen een full bgp table verdragen.

Tim.Bracquez · 24 feb 2015, 11:45

@Tomsworld: Hier draaien CRS'en en CCR's ook al enige tijd in productie, gaat goed

Tomsworld · 24 feb 2015, 12:23

@Tim nice, met full bgp feeds ?

Ik heb ook een hoopje mt's al draaien wel gewoon in kleine deployments, eentje die ik mis is een 951 met een cpu die 4x sneller is of ipsec in hardware, gewoon kleine doosjes die 50 Mbit ipsec done zou leuk zijn zonder naar de grote ccr's te moeten.

Maar we gaan serieus off topic nu.

24 feb 2015, 13:56

krisken schreef:Momenteel is het inderdaad volledig opgezet en werkende. Leuke is dat het werkt via 2 mikrotiks nu (main route en backup route).
Probleem is dus dat Mikrotik niet overweg kan met die /127. Daarom is er nu 2x een /126 genomen. En dat werkt wel!

Dan vraag ik me nu wel vurig af of ie overweg kan met een /31 ?
Zo'n protocol uitzondering die al 15 jaar bestaat en geen kat kent.

[ Afbeelding

Post made via mobile device ]

24 feb 2015, 16:46

Eveneens...nope

24 feb 2015, 17:38

En ik die dacht dat RFC compliance verplicht was

[

Post made via mobile device ]