2
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
Guten Abend alle zusammen,
ich habe ein kleines Problem beim Routing in pfSense.
Mein aktuelles Aufbau ist folgenden:
Ich habe eine pfSense-VM und zwei Kubernetes-Nodes die für diesen Aufbau von Bedeutung sind.
Die pfSense ist ans WAN- und LAN-Netzwerk angeschlossen, die Kubernetes-Nodes nur ans LAN-Netzwerk.
pfSense hat neben seiner öffentlichen IP-Adresse noch weitere öffentliche IP-Adresse. Diese sind zur Zeit als Virtuelle IP-Adresse eingereichten und auch erreichbar. Ich möchte nun bestimme öffentliche IP-Adresse in Kubernetes nutzen, dazu habe ich BGP (FRR in pfSense und MetalLB im Kubernetes-Cluster) eingerichtet.
In Kubernetes richte ich die öffentliche IP-Adresse ein und veröffentliche diese Route/Adresse per BGP (MetalLB).
In pfSense sehe ich nun auch diese veröffentlichen Routen von MetalLB.
Ich möchte nun das pfSense den ankommenden Traffic von der veröffentlichen öffentliche IP-Adresse am WAN-Port an das Kubernetes-Cluster weiterleitet, weiß aber nicht wie ich dies konfiguriere.
Ich hoffe ihr könnt mir da den Weg weisen.
Vielen Dank euch und falls Infos fehlen, werde ich diese nachliefern.
Beste Grüße
jeschero
ich habe ein kleines Problem beim Routing in pfSense.
Mein aktuelles Aufbau ist folgenden:
Ich habe eine pfSense-VM und zwei Kubernetes-Nodes die für diesen Aufbau von Bedeutung sind.
Die pfSense ist ans WAN- und LAN-Netzwerk angeschlossen, die Kubernetes-Nodes nur ans LAN-Netzwerk.
pfSense hat neben seiner öffentlichen IP-Adresse noch weitere öffentliche IP-Adresse. Diese sind zur Zeit als Virtuelle IP-Adresse eingereichten und auch erreichbar. Ich möchte nun bestimme öffentliche IP-Adresse in Kubernetes nutzen, dazu habe ich BGP (FRR in pfSense und MetalLB im Kubernetes-Cluster) eingerichtet.
In Kubernetes richte ich die öffentliche IP-Adresse ein und veröffentliche diese Route/Adresse per BGP (MetalLB).
In pfSense sehe ich nun auch diese veröffentlichen Routen von MetalLB.
Ich möchte nun das pfSense den ankommenden Traffic von der veröffentlichen öffentliche IP-Adresse am WAN-Port an das Kubernetes-Cluster weiterleitet, weiß aber nicht wie ich dies konfiguriere.
Ich hoffe ihr könnt mir da den Weg weisen.
Vielen Dank euch und falls Infos fehlen, werde ich diese nachliefern.
Beste Grüße
jeschero
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 659888
Url: https://administrator.de/contentid/659888
Printed on: April 24, 2024 at 06:04 o'clock
2 Comments
Latest comment
A) Wieso ausgerechnet BGP?
In internen Netzen ist OSPF deutlich flexibler.
B) Solange die IP-Adressen als virtuelle Adressen auf der pfSense selbst gebunden sind, greifen die BGP-Routen nicht. Lösche die virtuellen Adressen, dann klappt es auch mit der BGP-Route.
Sobald die Route per BGP empfangen wird, wird der Traffic automatisch "weitergeleitet", denn das ist ja, wozu BGP erfunden wurde.
In internen Netzen ist OSPF deutlich flexibler.
B) Solange die IP-Adressen als virtuelle Adressen auf der pfSense selbst gebunden sind, greifen die BGP-Routen nicht. Lösche die virtuellen Adressen, dann klappt es auch mit der BGP-Route.
Sobald die Route per BGP empfangen wird, wird der Traffic automatisch "weitergeleitet", denn das ist ja, wozu BGP erfunden wurde.
Weil MetalLB nur BGP unterstützt, ansonsten wird bei mir im Netzwerk auch OSPF genutzt.
Funktioniert jetzt, vielen Dank dir.
Hatte erst ein Tippfehler in der WAN-Regel, aber nachdem ich dies korrigiert habe funktioniert es einwandfrei.
B) Solange die IP-Adressen als virtuelle Adressen auf der pfSense selbst gebunden sind, greifen die BGP-Routen nicht. Lösche die virtuellen Adressen, dann klappt es auch mit der BGP-Route.
Sobald die Route per BGP empfangen wird, wird der Traffic automatisch "weitergeleitet", denn das ist ja, wozu BGP erfunden wurde.
Die Virtuelle-IP-Adresse wurde entfernt, am WAN-Port wurde der Traffic für die IP-Adresse erlaubt.Sobald die Route per BGP empfangen wird, wird der Traffic automatisch "weitergeleitet", denn das ist ja, wozu BGP erfunden wurde.
Funktioniert jetzt, vielen Dank dir.
Hatte erst ein Tippfehler in der WAN-Regel, aber nachdem ich dies korrigiert habe funktioniert es einwandfrei.
