[FUG-BR] [OFF] MD5 - BGP
Klaus Schneider
klausps em gmail.com
Quarta Outubro 27 22:09:07 BRST 2010
Em 27/10/2010 18:54, Renato Frederick escreveu:
> Klaus, vc se recorda por alto se era esta solução?
>
> habilitar no kernel
>
> device crypto
> options IPSEC
> options TCP_SIGNATURE
>
> e depois fazer no /etc/ipsec.conf
>
> flush;
> add ip.local ip.remoto tcp 0x1000 -A tcp-md5 "senha";
>
> no rc.conf ativar o ipsec.
>
> no quagga colocar:
>
> neighbour ip.local password senha
>
> Esta foi a mesma que ja discutiram aqui na lista, foi a mesma q encontrei no
> google, mas o povo falava de uma opcao TCPMD5 no make config do quagga, pelo
> que vi nos ports esta opcao foi incorporada(?) e nao tem mais.
>
>
>
>
>
> -----Mensagem Original-----
> From: Klaus Schneider
> Sent: Wednesday, October 27, 2010 6:36 PM
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Subject: Re: [FUG-BR] [OFF] MD5 - BGP
>
> Em 27/10/2010 18:15, Renato Frederick escreveu:
>>
>> AProveitando que o assunto bgp apareceu na lista, me lembrei de algo:
>>
>> Alguém conseguiu fechar bgp + md5 com cisco usando o quagga + FreeBSD?
>>
>> Migrei do openbgpd + openbsd(que funcionam sem problemas com MD5) pro
>> openbgpd + Freebsd e pelo que vi o openbgpd no free nao suportava.
>> Até aí OK, mas vi boatos(inclusive histórico aqui da lista) de ativar o
>> ipsec e usar o quagga.
>>
>> Fiz com o quagga, mas no tcpdump eu recebia mensagem que o md5 falhou da
>> minha ponta e o cisco informava que do meu lado o MD5 falhou. VI que
>> usando
>> o Mikrotik deu certo, mas não tive como ir mais a fundo, optei por
>> desabilitar o md5 no cisco e deixar prá brincar depois. :)
>>
>> Se alguém tiver relato e puder me falar.
>>
>> Abraços
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Olha, eu fiz funcionar com Quagga+IPSEC, mas não lembro como era, mas
> funcionou.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
A configuração era essa mesma.
Quanto ao make config não me recordo, acredito que não precisava, nem
configurar a senha no quagga, já que isso ficaria por conta do ipsec.
Vou montar um lab aqui pra testar isso.
Mais detalhes sobre a lista de discussão freebsd