Problème de BGP avec un VPN site-to-site GCP pas de routes annoncées

Question

Hello team ! On essaie de mettre en place un VPN IPsec site-to-site entre notre datacenter on-prem et GCP. Le tunnel IPsec est up, la session BGP entre notre routeur et le cloud router GCP est up aussi. Par contre on arrive pas à annoncer nos routes on-prem vers GCP. Côté GCP on reçoit rien. Et depuis GCP vers on-prem les routes sont ok. J'ai checké l'ASN tout est bon. Des idées ?
# Ex. de conf BGP on-prem
router bgp 65000
 neighbor 169.254.1.2 remote-as 65001
 address-family ipv4
  network 10.10.0.0 mask 255.255.0.0
  network 172.16.0.0 mask 255.255.0.0
  neighbor 169.254.1.2 activate

olivier-lucie · Answer

Salut ! T'as bien vérifié que tes réseaux 10.10.0.0/16 et 172.16.0.0/16 sont bien dans la table de routage de ton routeur on-prem avant d'être annoncés par BGP ? Si le routeur ne connaît pas la route localement, il ne l'annoncera pas.

lefort-susan · Answer

Oui oui ils sont bien là, c des interfaces locales du routeur

tristan-morin · Answer

dans gcp, sur ton cloud router, t'as une section "exported routes" ou "advertised routes". vérifie si le bgp session status affiche que des routes sont bien reçues du peer on-prem. des fois le tunnel est up mais gcp ne reçoit rien.

lefort-susan · Answer

Côté GCP, le "received routes" est vide pour le peer on-prem. Par contre le "sent routes" montre bien nos préfixes GCP

olivier-lucie · Answer

y'a pas un outbound route-map ou un filtre de prefix-list sur ton routeur on-prem qui bloquerait l'annonce de tes réseaux vers le neighbor bgp de gcp ? c'est une erreur classique

lefort-susan · Answer

j'ai pas de route-map en place. la conf est simplifiée comme l'exemple. on a d'autres vpn bgp vers d'autres cloud providers avec la même config et ça marche

apetitjean · Answer

gcp ne recevrait-il pas les routes mais les ignorerait ? par exemple, si tu annonces des routes trop spécifiques (genre /32) et que ton cloud router est configuré pour ne pas les accepter. ou si l'asn on-prem n'est pas le même que celui attendu par gcp sur cette session bgp spécifique (même si tu dis que c'est bon, ça vaut le coup de revérifier sur la console gcp)

lefort-susan · Answer

non c'est des /16 donc pas trop spécifiques. et l'asn on-prem est bien 65000, gcp attend 65000 et le sien c'est 65001. tout est ok de ce côté

tristan-morin · Answer

Et si tu fais un "show ip bgp neighbors 169.254.1.2 advertised-routes" sur ton routeur on-prem, qu'est-ce qu'il te dit ? Est-ce que tes préfixes sont bien listés comme étant annoncés ?

lefort-susan · Answer

Ah ! Le "show ip bgp neighbors 169.254.1.2 advertised-routes" ne montre que les routes 10.10.0.0/16. Le 172.16.0.0/16 est manquant ! Putain j'ai dû faire une faute de frappe dans la config ou un truc du genre. Je re-check la conf network.

lefort-susan · Answer

OMG c'était un espace en trop avant le "network 172.16.0.0" dans ma conf qui faisait que la ligne n'était pas parsée. Le routeur l'ignorait silencieusement. J'ai corrigé ça et les routes tombent côté GCP ! Merci pour la patience les gars c'était une connerie de ma part !

Problème de BGP avec un VPN site-to-site GCP pas de routes annoncées

Commentaires

Laisser une réponse

Fonctionnement et manipulation des images Docker

Comment se préparer à la certification AWS Solution Architecte Associate + Cheat Sheet

Fonctionnement et manipulation des conteneurs Docker

Rejoindre la communauté