[FUG-BR] BGP e RFC 2385 (TCPMD5)
Felipe N. Oliva
felipe em felipeoliva.eti.br
Sex Fev 16 08:41:27 BRST 2018
Em 2/16/18 8:33 AM, Edinilson J. Santos escreveu:
> Em 15/02/2018 17:25, Felipe N. Oliva escreveu:
>> Boa tarde senhores,
>>
>> Aproveitando que a lista voltou ao normal...
>>
>> Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus
>> cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156),
>> até o 10.3 estava normal.
>>
>> Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google.
>>
>> /etc/ipsec.conf:
>>
>> add -4 <meu_ip> 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha";
>> add -4 <meu_ip> 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha";
>>
>> add -6 <meu_ip6> 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha";
>> add -6 <meu_ip6> 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha";
>>
>> Kernel:
>>
>> options IPSEC
>>
>> options TCP_SIGNATURE
>>
>>
>> Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO
>> habilitado nas interfaces, o que não é o meu caso.
>>
>> Alguém enfrentando o mesmo problema?
>>
>
> Você compilou um kernel personalizado ou está usando o GENERIC do 11 ?
> Pergunto pois, no GENERIC do 11 já vem ativado por padrao o suporte ao
> IPsec [1] , com as opçoes:
> options IPSEC
> device crypto
>
> CASO esteja utilizando um kernel personalizado, seria bom seguir as
> recomendacoes em [2], onde se inclui o GENERIC no seu kernel e
> desativa ou ativa opções.
>
> Outro detalhe que deve observar é no rc.conf se está:
> ipsec_enable="YES"
>
> além de outras variaveis como:
> ipsec_program
> ipsec_file
>
>
> Edinilson
>
> [1] https://www.freebsd.org/doc/handbook/ipsec.html
> [2] https://www.freebsd.org/doc/handbook/kernelconfig-config.html
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Edinilson, sim todas as entradas referentes ao IPSEC estão no kernel
inclusive, como mensionei, o "options TCP_SIGNATURE".
O comando "setkey -D" mostra que as configuração do /etc/ipsec.conf
estão subindo.
Grato,
--
Felipe N. Oliva
NetAdmin/SysAdmin
BSDA BSDDCG-ID: 2016144190112430459
Mais detalhes sobre a lista de discussão freebsd