> On Jul 3, 2015, at 12:40, Patrick Tracanelli <eks...@freebsdbrasil.com.br>
> wrote:
>
>
>
>
>> On 03/07/2015, at 10:22, Marcelo Gondim <gon...@bsdinfo.com.br> wrote:
>>
>> On 02-07-2015 18:13, Felipe N. Oliva wrote:
>>>
>>>
>>> On 7/2/15 18:08, Patrick Tracanelli wrote:
>>>> Felipe,
>>>>
>>>> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a
>>>> proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel
>>>> ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo
>>>> passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce
>>>> quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas
>>>> seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra
>>>> corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf
>>>> do OpenBGP e faz apenas em kernel com ipsec.
>>>>
>>>>
>>>>
>>>>> On 02/07/2015, at 16:20, Felipe N. Oliva <fel...@felipeoliva.eti.br>
>>>>> wrote:
>>>>>
>>>>> Boa tarde pessoal,
>>>>>
>>>>> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp
>>>>> md5sig".
>>>>>
>>>>> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui
>>>>> pro Mikrotik, nada!
>>>>>
>>>>> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
>>>>>
>>>>> Detalhe, FreeBSD 10.1-RELEASE-p14.
>>>>>
>>>>> Passos que segui:
>>>>>
>>>>> Kernel:
>>>>> options IPSEC # SUPORTE A IPSEC (REQUER crypto)
>>>>> device crypto # SUPORTE A CRIPTOGRAFIA
>>>>> options TCP_SIGNATURE # SUPORTE A RFC 2385
>>>>>
>>>>> ipsec.conf:
>>>>> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
>>>>>
>>>>> bgpd.conf:
>>>>> AS 65001
>>>>> router-id 192.168.88.246
>>>>> listen on 192.168.88.246
>>>>>
>>>>> group TESTE {
>>>>> remote-as 65002
>>>>> neighbor 192.168.88.245 {
>>>>> descr "BGP2"
>>>>> tcp md5sig password secret
>>>>> }
>>>>> }
>>>>>
>>>>> /var/log/messages:
>>>>> Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey
>>>>> setup failed
>>>>>
>>>>> No outro peer a mesma coisa, mas ao contrario.
>>>>>
>>>>> Alguém vê o erro?
>>>>>
>>>>> Desde já grato,
>>>>>
>>>>> --
>>>>> Felipe N. Oliva
>>>>> Administração de Redes e Sistemas
>>>>> Skype: felipe.no88
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> --
>>>> Patrick Tracanelli
>>>>
>>>> FreeBSD Brasil LTDA.
>>>> Tel.: (31) 3516-0800
>>>> 316...@sip.freebsdbrasil.com.br
>>>> http://www.freebsdbrasil.com.br
>>>> "Long live Hanin Elias, Kim Deal!"
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> Valeu Patrick, eu consegui.
>>>
>>> Lembro desse seu patch, mas não consegui pesquisar no histórico da lista,
>>> se for possível reenvia.
>>>
>>> Att,
>>>
>> Po Patrick,
>>
>> Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
>> Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo
>> OpenBGP não tava funcionando ainda.
>>
>
> Ja mandei PR… ta la parado hehehe.
>
> Alguém do pfSense tinha mandado também uma versão antes. Vários reports de
> usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
>
> Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu
> mando o proximo.
>
> O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no
> port mas ta la:
>
> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
>
> Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas
> psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de
> overhead causado pelas validações. ttl-security é mais simples e mais
> funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que
> “exige” pra fechar peering que seja com assinatura, erroneamente chamada de
> chave ou senha...
Eu inclusive mandei um email pro hrs@ perguntando se ele nao vai commitar
aquele PR e oferecendo ajuda.
Vou tentar mais uma vez… :)
--
Renato Botelho
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
