[FUG-BR] [OFF] MD5 - BGP
Klaus Schneider
klausps em gmail.com
Sexta Novembro 5 17:41:30 BRST 2010
Em 28/10/2010 10:54, Renato Frederick escreveu:
> Obrigado :)
>
>
>
>
> -----Mensagem Original-----
> From: Klaus Schneider
> Sent: Wednesday, October 27, 2010 10:09 PM
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Subject: Re: [FUG-BR] [OFF] MD5 - BGP
>
> Em 27/10/2010 18:54, Renato Frederick escreveu:
>> Klaus, vc se recorda por alto se era esta solução?
>>
>> habilitar no kernel
>>
>> device crypto
>> options IPSEC
>> options TCP_SIGNATURE
>>
>> e depois fazer no /etc/ipsec.conf
>>
>> flush;
>> add ip.local ip.remoto tcp 0x1000 -A tcp-md5 "senha";
>>
>> no rc.conf ativar o ipsec.
>>
>> no quagga colocar:
>>
>> neighbour ip.local password senha
>>
>> Esta foi a mesma que ja discutiram aqui na lista, foi a mesma q encontrei
>> no
>> google, mas o povo falava de uma opcao TCPMD5 no make config do quagga,
>> pelo
>> que vi nos ports esta opcao foi incorporada(?) e nao tem mais.
>>
>>
>>
>>
>>
>> -----Mensagem Original-----
>> From: Klaus Schneider
>> Sent: Wednesday, October 27, 2010 6:36 PM
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> Subject: Re: [FUG-BR] [OFF] MD5 - BGP
>>
>> Em 27/10/2010 18:15, Renato Frederick escreveu:
>>>
>>> AProveitando que o assunto bgp apareceu na lista, me lembrei de algo:
>>>
>>> Alguém conseguiu fechar bgp + md5 com cisco usando o quagga + FreeBSD?
>>>
>>> Migrei do openbgpd + openbsd(que funcionam sem problemas com MD5) pro
>>> openbgpd + Freebsd e pelo que vi o openbgpd no free nao suportava.
>>> Até aí OK, mas vi boatos(inclusive histórico aqui da lista) de ativar o
>>> ipsec e usar o quagga.
>>>
>>> Fiz com o quagga, mas no tcpdump eu recebia mensagem que o md5 falhou da
>>> minha ponta e o cisco informava que do meu lado o MD5 falhou. VI que
>>> usando
>>> o Mikrotik deu certo, mas não tive como ir mais a fundo, optei por
>>> desabilitar o md5 no cisco e deixar prá brincar depois. :)
>>>
>>> Se alguém tiver relato e puder me falar.
>>>
>>> Abraços
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> Olha, eu fiz funcionar com Quagga+IPSEC, mas não lembro como era, mas
>> funcionou.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> A configuração era essa mesma.
> Quanto ao make config não me recordo, acredito que não precisava, nem
> configurar a senha no quagga, já que isso ficaria por conta do ipsec.
> Vou montar um lab aqui pra testar isso.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Cara, testei aqui com a versão 8.1... e adivinha?
hash failed
Lembro que quando testei era release 5 ou 6, quando ainda se usava o
FAST_IPSEC(kame project). Parece que o kame foi integrado ao kernel
"oficialmente" nas releases >=7 e virou somente IPSEC. "Teoricamente" é
o mesmo FAST_IPSEC, mas....
Vou testar novamente com uma versão 6.x. daqui uns dias, vamos ver no
que dá.
Mais detalhes sobre a lista de discussão freebsd