On 02-07-2015 18:13, Felipe N. Oliva wrote:
On 7/2/15 18:08, Patrick Tracanelli wrote:
Felipe,
São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a
proposta é similar o que o OpenBGP vai fazer pra você é instalar um
túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce
estiver em modo passivo apenas ipsec com cisco vai te atender, se
estiver ativo e voce quem inicia a sessão BGP pode precisar do
OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei
aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc
aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel
com ipsec.
On 02/07/2015, at 16:20, Felipe N. Oliva <fel...@felipeoliva.eti.br>
wrote:
Boa tarde pessoal,
Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com
"tcp md5sig".
Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e
fui pro Mikrotik, nada!
Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
Detalhe, FreeBSD 10.1-RELEASE-p14.
Passos que segui:
Kernel:
options IPSEC # SUPORTE A IPSEC (REQUER crypto)
device crypto # SUPORTE A CRIPTOGRAFIA
options TCP_SIGNATURE # SUPORTE A RFC 2385
ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246
group TESTE {
remote-as 65002
neighbor 192.168.88.245 {
descr "BGP2"
tcp md5sig password secret
}
}
/var/log/messages:
Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey
setup failed
No outro peer a mesma coisa, mas ao contrario.
Alguém vê o erro?
Desde já grato,
--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.
Lembro desse seu patch, mas não consegui pesquisar no histórico da
lista, se for possível reenvia.
Att,
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque
pelo OpenBGP não tava funcionando ainda.
Abração,
Gondim
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
