Ich versuche, OSPF auf einer Sophos UTM 9 auf einer LAN-Schnittstelle zu aktivieren, hinter der sich zwei weitere Router befinden, auf denen OSPF erfolgreich ausgeführt wird.
Meine Konfiguration ist wie folgt.
Schnittstellen und Routing --> Dynamisches Routing (OSPF)
- Allgemein
- OSPF-Status: Eingeschaltet (d. h. grün)
- Router-ID: 192.168.30.1 (also die IP-Adresse auf der LAN1-Schnittstelle)
- Bereich
- Name: normal 0.0.0.0
- Bereichs-ID: 0.0.0.0
- Flächentyp: Normal
- Auth-Typ: Aus
- Verbindung über Schnittstelle: LAN1
- Schnittstellen
- Name: LAN1
- Schnittstelle: LAN1
- Auth-Typ: Aus
- Kosten: 0
- Fortschrittlich
- Hallo Intervall: 10
- Neuübertragungsintervall: 5
- Totintervall: 40
- Priorität: 1
- Sendeverzögerung: 1
- Fortschrittlich
- Neu verteilen verbunden <-- Aktiviert
- Metrisch: 10
Um OSPF-Multicast-Nachrichten zuzulassen, ist die Firewall-Konfiguration wie folgt:
Netzwerkschutz --> Firewall
- LAN1 ----- (OSPF) -----> Multicast
- Ermöglicht
- Multicast ----- (OSPF) -----> LAN1
- Ermöglicht
Hier wird OSPF als Dienstdefinition mit den folgenden Eigenschaften definiert:
- Name: OSPF
- Art der Definition: IP
- Protokollnummer: 89
Dabei wird Multicast als Netzwerkdefinition mit folgenden Eigenschaften definiert:
- 224.0.0.0/4
- Schnittstelle: Beliebig
Wenn ich mich bei Sophos UTM 9 als Root anmelde und tcpdump auf der LAN1-Schnittstelle ausführe, sehe ich, dass OSPFv2-„Hello“-Nachrichten vom direkt angeschlossenen Router an die Multicast-Adresse 224.0.0.5 gesendet werden. Ich sehe jedoch nicht, dass Sophos UTM 9 irgendwelche OSPF-„Hello“-Nachrichten aussendet.
Eines ist mir aufgefallen: Es scheint, dass die Aktivierung von OSPF auf der betreffenden Schnittstelle diese Schnittstelle nicht bei den entsprechenden OSPF-Multicast-Gruppen abonniert: 224.0.0.5 und 224.0.0.6
Dies sollte keinen Einfluss habenausgehendAllerdings handelt es sich um Multicast-OSPF-Nachrichten (und hier sehe ich, wie gesagt, das Problem).
FüreingehendeNachrichten, wie ich oben angegeben habe, zeigt tcpdump an, dass sie die Netzwerkkarte erreichen, aber ich bezweifle, dass sie im TCP/IP-Stapel nach oben weitergeleitet werden, da kein Abonnement vorliegt.
my-utm:/root # ip maddr show eth0
2: eth0
link 33:33:00:00:00:01
link 33:33:00:00:00:02 users 2
link 01:00:5e:00:00:01
inet 224.0.0.1
inet6 ff05::2
inet6 ff01::2
inet6 ff02::2
inet6 ff02::1
inet6 ff01::1
Kann irgendjemand anhand der oben beschriebenen Konfiguration und Beobachtungen erkennen, was ich falsch mache?
Vielen Dank im Voraus.
BEARBEITET, UM HINZUZUFÜGEN: Mir ist auch aufgefallen, dass, obwohl ich OSPF explizit aktiviert habe, in der Prozessliste nichts steht, das offensichtlich wie ein Daemon zur Handhabung von Routing-Protokollen klingt. Ich bin mir nicht ganz sicher, was ich hier erwarten soll.
Antwort1
Dies war lediglich ein Fall eines fehlenden Häkchens in einem Kontrollkästchen. Ich hatte ein Kontrollkästchen mit dem „Mülleimer“-Symbol verwechselt, das man häufig in der UTM-Benutzeroberfläche sieht und das zum Löschen eines Elements verwendet wird.
Neben der Definition einer Schnittstelle muss auch pro Bereich angegeben werden, welche Schnittstellen zu diesem Bereich gehören sollen (was sinnvoll ist).
Nachdem dies erledigt ist, wird nun ein OSPFD-Daemon ausgeführt, die Netzwerkschnittstelle ist nun bei den Multicast-Gruppen 224.0.0.5 / 224.0.0.6 angemeldet und es werden Routen ausgetauscht.