[FUG-BR] OpenBGP tcp md5sig
Marcelo Gondim
gondim em bsdinfo.com.br
Sexta Julho 3 11:22:26 BRT 2015
On 02-07-2015 18:13, Felipe N. Oliva wrote:
>
>
> On 7/2/15 18:08, Patrick Tracanelli wrote:
>> Felipe,
>>
>> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a
>> proposta é similar o que o OpenBGP vai fazer pra você é instalar um
>> túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce
>> estiver em modo passivo apenas ipsec com cisco vai te atender, se
>> estiver ativo e voce quem inicia a sessão BGP pode precisar do
>> OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei
>> aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc
>> aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel
>> com ipsec.
>>
>>
>>
>>> On 02/07/2015, at 16:20, Felipe N. Oliva <felipe em felipeoliva.eti.br>
>>> wrote:
>>>
>>> Boa tarde pessoal,
>>>
>>> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com
>>> "tcp md5sig".
>>>
>>> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e
>>> fui pro Mikrotik, nada!
>>>
>>> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
>>>
>>> Detalhe, FreeBSD 10.1-RELEASE-p14.
>>>
>>> Passos que segui:
>>>
>>> Kernel:
>>> options IPSEC # SUPORTE A IPSEC (REQUER crypto)
>>> device crypto # SUPORTE A CRIPTOGRAFIA
>>> options TCP_SIGNATURE # SUPORTE A RFC 2385
>>>
>>> ipsec.conf:
>>> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
>>>
>>> bgpd.conf:
>>> AS 65001
>>> router-id 192.168.88.246
>>> listen on 192.168.88.246
>>>
>>> group TESTE {
>>> remote-as 65002
>>> neighbor 192.168.88.245 {
>>> descr "BGP2"
>>> tcp md5sig password secret
>>> }
>>> }
>>>
>>> /var/log/messages:
>>> Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey
>>> setup failed
>>>
>>> No outro peer a mesma coisa, mas ao contrario.
>>>
>>> Alguém vê o erro?
>>>
>>> Desde já grato,
>>>
>>> --
>>> Felipe N. Oliva
>>> Administração de Redes e Sistemas
>>> Skype: felipe.no88
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> --
>> Patrick Tracanelli
>>
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 em sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> Valeu Patrick, eu consegui.
>
> Lembro desse seu patch, mas não consegui pesquisar no histórico da
> lista, se for possível reenvia.
>
> Att,
>
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque
pelo OpenBGP não tava funcionando ainda.
Abração,
Gondim
Mais detalhes sobre a lista de discussão freebsd