EVPN keine Verbindung zu den anderen Nodes

[MLO]

Hallo,

wir versuchen zwischen drei Nodes ein EVPN zu spannen und es möchte nicht so recht klappen. Zwei Container im selben Netz können sich nur anpingen, wenn diese auf dem selben Node sind, aber nicht wenn sie auf unterschiedlichen liegen. Wir bekommen auch keinen Connect für das iBGP, obwohl die auf den Schnittstellen SYN-Pakete rausgehen.

Spoiler: /etc/pve/sdn/controller.cfg

evpn: c-dmz
        asn 65000
        peers 10.255.24.50,10.255.24.51,10.255.24.52

bgp: bgppve0
        asn 65000
        node pve0
        peers 10.255.129.1,10.255.129.2,10.255.129.3
        bgp-multipath-as-path-relax 0
        ebgp 1
        ebgp-multihop 20
        loopback 10.255.129.50

bgp: bgppve1
        asn 65000
        node pve1
        peers 10.255.129.1,10.255.129.2,10.255.129.3
        bgp-multipath-as-path-relax 0
        ebgp 1
        ebgp-multihop 20
        loopback 10.255.129.51

bgp: bgppve2
        asn 65000
        node pve2
        peers 10.255.129.1,10.255.129.2,10.255.129.3
        bgp-multipath-as-path-relax 0
        ebgp 1
        ebgp-multihop 20
        loopback 10.255.129.52

Spoiler: /etc/pve/sdn/zones.cfg

evpn: DMZ
        controller c-dmz
        vrf-vxlan 10000
        advertise-subnets 1
        exitnodes pve0
        exitnodes-primary pve1
        ipam pve

Das grundlegende Problem ist das das BGP nicht funktioniert. Komischerweise können wir die Neigbors vom eBGP wunderbar erreichen und das funktioniert auf Anhieb, aber alles was iBGP ist funktioniert nicht. Die SYN-Pakete verlassen zwar die Schnittstelle und verschwinden im Nirvana. Dazwischen befindet sich aber nichts. Nur ein Switch.

Spoiler: sh bgp summary

IPv4 Unicast Summary (VRF default):
BGP router identifier 10.255.24.51, local AS number 65000 vrf-id 0
BGP table version 100
RIB entries 96, using 18 KiB of memory
Peers 3, using 2174 KiB of memory
Peer groups 2, using 128 bytes of memory

Neighbor          V         AS   MsgRcvd   MsgSent   TblVer  InQ OutQ  Up/Down State/PfxRcd   PfxSnt Desc
ro0(10.255.129.1) 4      65255        70        69        0    0    0 00:02:47           49       49 N/A
ro1(10.255.129.2) 4      65255       107       108        0    0    0 00:04:37           49       49 N/A
10.255.129.3      4      65255       112       110        0    0    0 00:04:43           49       49 N/A

Total number of neighbors 3

L2VPN EVPN Summary (VRF default):
BGP router identifier 10.255.24.51, local AS number 65000 vrf-id 0
BGP table version 0
RIB entries 5, using 960 bytes of memory
Peers 2, using 1449 KiB of memory
Peer groups 2, using 128 bytes of memory

Neighbor        V         AS   MsgRcvd   MsgSent   TblVer  InQ OutQ  Up/Down State/PfxRcd   PfxSnt Desc
10.255.24.50    4      65000         0         0        0    0    0    never      Connect        0 N/A
10.255.24.52    4      65000         0         0        0    0    0    never      Connect        0 N/A

Total number of neighbors 2

Mit Telnet kann ich vom jeweils anderen Host den offenen Port 179 erreichen und gegenseitig anpingen. Aber es kommt keine Verbindung per BGP zustande. Wie kann das sein? Jemand eine Idee?

Grüße

 

[MLO]

Konnten das Problem selbst lösen: Wir haben die Firewall Global aktiviert und hatten zwar eine Accept-Rule für unser gesamtes Subnetz, allerdings keine für das Loopback-Interface. Somit wurden eingehend als auch ausgehend zur Loopback-Adresse alles blockiert. Wussten nicht das es nötig war. Es muss explizit genau dafür eine Rule, z.B. im Datacenter-Kontext, vorhanden sein.