11 commentaires
Salut ! T'as bien vérifié que tes réseaux 10.10.0.0/16 et 172.16.0.0/16 sont bien dans la table de routage de ton routeur on-prem avant d'être annoncés par BGP ? Si le routeur ne connaît pas la route localement, il ne l'annoncera pas.
Oui oui ils sont bien là, c des interfaces locales du routeur
dans gcp, sur ton cloud router, t'as une section "exported routes" ou "advertised routes". vérifie si le bgp session status affiche que des routes sont bien reçues du peer on-prem. des fois le tunnel est up mais gcp ne reçoit rien.
Côté GCP, le "received routes" est vide pour le peer on-prem. Par contre le "sent routes" montre bien nos préfixes GCP
y'a pas un outbound route-map ou un filtre de prefix-list sur ton routeur on-prem qui bloquerait l'annonce de tes réseaux vers le neighbor bgp de gcp ? c'est une erreur classique
j'ai pas de route-map en place. la conf est simplifiée comme l'exemple. on a d'autres vpn bgp vers d'autres cloud providers avec la même config et ça marche
gcp ne recevrait-il pas les routes mais les ignorerait ? par exemple, si tu annonces des routes trop spécifiques (genre /32) et que ton cloud router est configuré pour ne pas les accepter. ou si l'asn on-prem n'est pas le même que celui attendu par gcp sur cette session bgp spécifique (même si tu dis que c'est bon, ça vaut le coup de revérifier sur la console gcp)
non c'est des /16 donc pas trop spécifiques. et l'asn on-prem est bien 65000, gcp attend 65000 et le sien c'est 65001. tout est ok de ce côté
Et si tu fais un "show ip bgp neighbors 169.254.1.2 advertised-routes" sur ton routeur on-prem, qu'est-ce qu'il te dit ? Est-ce que tes préfixes sont bien listés comme étant annoncés ?
Ah ! Le "show ip bgp neighbors 169.254.1.2 advertised-routes" ne montre que les routes 10.10.0.0/16. Le 172.16.0.0/16 est manquant ! Putain j'ai dû faire une faute de frappe dans la config ou un truc du genre. Je re-check la conf network.
OMG c'était un espace en trop avant le "network 172.16.0.0" dans ma conf qui faisait que la ligne n'était pas parsée. Le routeur l'ignorait silencieusement. J'ai corrigé ça et les routes tombent côté GCP ! Merci pour la patience les gars c'était une connerie de ma part !
Laisser une réponse
Vous devez être connecté pour poster un message !
Hello team ! On essaie de mettre en place un VPN IPsec site-to-site entre notre datacenter on-prem et GCP. Le tunnel IPsec est up, la session BGP entre notre routeur et le cloud router GCP est up aussi. Par contre on arrive pas à annoncer nos routes on-prem vers GCP. Côté GCP on reçoit rien. Et depuis GCP vers on-prem les routes sont ok. J'ai checké l'ASN tout est bon. Des idées ?