[FUG-BR] BGP e RFC 2385 (TCPMD5)
Edinilson J. Santos
edinilson em atinet.com.br
Sex Fev 16 08:33:52 BRST 2018
Em 15/02/2018 17:25, Felipe N. Oliva escreveu:
> Boa tarde senhores,
>
> Aproveitando que a lista voltou ao normal...
>
> Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus
> cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156),
> até o 10.3 estava normal.
>
> Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google.
>
> /etc/ipsec.conf:
>
> add -4 <meu_ip> 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha";
> add -4 <meu_ip> 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha";
>
> add -6 <meu_ip6> 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha";
> add -6 <meu_ip6> 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha";
>
> Kernel:
>
> options IPSEC
>
> options TCP_SIGNATURE
>
>
> Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO
> habilitado nas interfaces, o que não é o meu caso.
>
> Alguém enfrentando o mesmo problema?
>
Você compilou um kernel personalizado ou está usando o GENERIC do 11 ?
Pergunto pois, no GENERIC do 11 já vem ativado por padrao o suporte ao
IPsec [1] , com as opçoes:
options IPSEC
device crypto
CASO esteja utilizando um kernel personalizado, seria bom seguir as
recomendacoes em [2], onde se inclui o GENERIC no seu kernel e desativa
ou ativa opções.
Outro detalhe que deve observar é no rc.conf se está:
ipsec_enable="YES"
além de outras variaveis como:
ipsec_program
ipsec_file
Edinilson
[1] https://www.freebsd.org/doc/handbook/ipsec.html
[2] https://www.freebsd.org/doc/handbook/kernelconfig-config.html
Mais detalhes sobre a lista de discussão freebsd