[FUG-BR] OpenBGP tcp md5sig

Felipe N. Oliva felipe em felipeoliva.eti.br
Quinta Julho 2 18:13:54 BRT 2015 


On 7/2/15 18:08, Patrick Tracanelli wrote:
> Felipe,
>
> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec.
>
>
>
>> On 02/07/2015, at 16:20, Felipe N. Oliva <felipe em felipeoliva.eti.br> wrote:
>>
>> Boa tarde pessoal,
>>
>> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".
>>
>> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada!
>>
>> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
>>
>> Detalhe, FreeBSD 10.1-RELEASE-p14.
>>
>> Passos que segui:
>>
>> Kernel:
>> options     IPSEC            # SUPORTE A IPSEC (REQUER crypto)
>> device      crypto            # SUPORTE A CRIPTOGRAFIA
>> options     TCP_SIGNATURE         # SUPORTE A RFC 2385
>>
>> ipsec.conf:
>> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
>>
>> bgpd.conf:
>> AS 65001
>> router-id 192.168.88.246
>> listen on 192.168.88.246
>>
>> group TESTE {
>>     remote-as 65002
>>     neighbor 192.168.88.245 {
>>         descr "BGP2"
>>         tcp md5sig password secret
>>     }
>> }
>>
>> /var/log/messages:
>> Jul  2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed
>>
>> No outro peer a mesma coisa, mas ao contrario.
>>
>> Alguém vê o erro?
>>
>> Desde já grato,
>>
>> -- 
>> Felipe N. Oliva
>> Administração de Redes e Sistemas
>> Skype: felipe.no88
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.

Lembro desse seu patch, mas não consegui pesquisar no histórico da 
lista, se for possível reenvia.

Att,

-- 
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88

Mais detalhes sobre a lista de discussão freebsd