[FUG-BR] OpenBGP tcp md5sig

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quinta Julho 2 18:08:10 BRT 2015 

Felipe,

São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec.



> On 02/07/2015, at 16:20, Felipe N. Oliva <felipe em felipeoliva.eti.br> wrote:
> 
> Boa tarde pessoal,
> 
> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".
> 
> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada!
> 
> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
> 
> Detalhe, FreeBSD 10.1-RELEASE-p14.
> 
> Passos que segui:
> 
> Kernel:
> options     IPSEC            # SUPORTE A IPSEC (REQUER crypto)
> device      crypto            # SUPORTE A CRIPTOGRAFIA
> options     TCP_SIGNATURE         # SUPORTE A RFC 2385
> 
> ipsec.conf:
> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
> 
> bgpd.conf:
> AS 65001
> router-id 192.168.88.246
> listen on 192.168.88.246
> 
> group TESTE {
>    remote-as 65002
>    neighbor 192.168.88.245 {
>        descr "BGP2"
>        tcp md5sig password secret
>    }
> }
> 
> /var/log/messages:
> Jul  2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed
> 
> No outro peer a mesma coisa, mas ao contrario.
> 
> Alguém vê o erro?
> 
> Desde já grato,
> 
> -- 
> Felipe N. Oliva
> Administração de Redes e Sistemas
> Skype: felipe.no88
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd