Re: [FUG-BR] OpenBGP tcp md5sig

Thu, 02 Jul 2015 14:14:29 -0700 


On 7/2/15 18:08, Patrick Tracanelli wrote:

Felipe,

São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é 
similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de 
qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo 
apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a 
sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem 
suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então 
ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com 
ipsec.




On 02/07/2015, at 16:20, Felipe N. Oliva <fel...@felipeoliva.eti.br> wrote:

Boa tarde pessoal,

Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".

Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro 
Mikrotik, nada!

Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.

Detalhe, FreeBSD 10.1-RELEASE-p14.

Passos que segui:

Kernel:
options     IPSEC            # SUPORTE A IPSEC (REQUER crypto)
device      crypto            # SUPORTE A CRIPTOGRAFIA
options     TCP_SIGNATURE         # SUPORTE A RFC 2385

ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";

bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246

group TESTE {
    remote-as 65002
    neighbor 192.168.88.245 {
        descr "BGP2"
        tcp md5sig password secret
    }
}

/var/log/messages:
Jul  2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup 
failed

No outro peer a mesma coisa, mas ao contrario.

Alguém vê o erro?

Desde já grato,

--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Valeu Patrick, eu consegui.


Lembro desse seu patch, mas não consegui pesquisar no histórico da 
lista, se for possível reenvia.


Att,

--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd






















					Responder a