On 03-07-2015 12:40, Patrick Tracanelli wrote:
On 03/07/2015, at 10:22, Marcelo Gondim <gon...@bsdinfo.com.br> wrote:
On 02-07-2015 18:13, Felipe N. Oliva wrote:
On 7/2/15 18:08, Patrick Tracanelli wrote:
Felipe,
São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é
similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de
qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo
apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a
sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem
suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então
ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com
ipsec.
On 02/07/2015, at 16:20, Felipe N. Oliva <fel...@felipeoliva.eti.br> wrote:
Boa tarde pessoal,
Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".
Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro
Mikrotik, nada!
Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
Detalhe, FreeBSD 10.1-RELEASE-p14.
Passos que segui:
Kernel:
options IPSEC # SUPORTE A IPSEC (REQUER crypto)
device crypto # SUPORTE A CRIPTOGRAFIA
options TCP_SIGNATURE # SUPORTE A RFC 2385
ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246
group TESTE {
remote-as 65002
neighbor 192.168.88.245 {
descr "BGP2"
tcp md5sig password secret
}
}
/var/log/messages:
Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup
failed
No outro peer a mesma coisa, mas ao contrario.
Alguém vê o erro?
Desde já grato,
--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.
Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se
for possível reenvia.
Att,
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo
OpenBGP não tava funcionando ainda.
Ja mandei PR… ta la parado hehehe.
Alguém do pfSense tinha mandado também uma versão antes. Vários reports de
usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu
mando o proximo.
O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no
port mas ta la:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas
psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de
overhead causado pelas validações. ttl-security é mais simples e mais funcional
pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra
fechar peering que seja com assinatura, erroneamente chamada de chave ou
senha...
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
Pois é eu fechei sessão com os caras do Cymru [1] pra usar o UTRS e lá
eles exigem isso. Aí tive que fazer rsrsrsrsrsr
http://www.team-cymru.org/UTRS/
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
