Re: [FUG-BR] OpenBGP tcp md5sig
On 02-07-2015 18:13, Felipe N. Oliva wrote:
On 7/2/15 18:08, Patrick Tracanelli wrote:
Felipe,
São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a
proposta é similar o que o OpenBGP vai fazer pra você é instalar um
túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce
estiver em modo passivo apenas ipsec com cisco vai te atender, se
estiver ativo e voce quem inicia a sessão BGP pode precisar do
OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei
aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc
aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel
com ipsec.
On 02/07/2015, at 16:20, Felipe N. Oliva fel...@felipeoliva.eti.br
wrote:
Boa tarde pessoal,
Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com
tcp md5sig.
Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e
fui pro Mikrotik, nada!
Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
Detalhe, FreeBSD 10.1-RELEASE-p14.
Passos que segui:
Kernel:
options IPSEC# SUPORTE A IPSEC (REQUER crypto)
device crypto# SUPORTE A CRIPTOGRAFIA
options TCP_SIGNATURE # SUPORTE A RFC 2385
ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 secret;
bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246
group TESTE {
remote-as 65002
neighbor 192.168.88.245 {
descr BGP2
tcp md5sig password secret
}
}
/var/log/messages:
Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey
setup failed
No outro peer a mesma coisa, mas ao contrario.
Alguém vê o erro?
Desde já grato,
--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.
Lembro desse seu patch, mas não consegui pesquisar no histórico da
lista, se for possível reenvia.
Att,
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque
pelo OpenBGP não tava funcionando ainda.
Abração,
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
On 03-07-2015 12:40, Patrick Tracanelli wrote:
On 03/07/2015, at 10:22, Marcelo Gondim gon...@bsdinfo.com.br wrote:
On 02-07-2015 18:13, Felipe N. Oliva wrote:
On 7/2/15 18:08, Patrick Tracanelli wrote:
Felipe,
São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é
similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de
qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo
apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a
sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem
suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então
ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com
ipsec.
On 02/07/2015, at 16:20, Felipe N. Oliva fel...@felipeoliva.eti.br wrote:
Boa tarde pessoal,
Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com tcp md5sig.
Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro
Mikrotik, nada!
Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
Detalhe, FreeBSD 10.1-RELEASE-p14.
Passos que segui:
Kernel:
options IPSEC# SUPORTE A IPSEC (REQUER crypto)
device crypto# SUPORTE A CRIPTOGRAFIA
options TCP_SIGNATURE # SUPORTE A RFC 2385
ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 secret;
bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246
group TESTE {
remote-as 65002
neighbor 192.168.88.245 {
descr BGP2
tcp md5sig password secret
}
}
/var/log/messages:
Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup
failed
No outro peer a mesma coisa, mas ao contrario.
Alguém vê o erro?
Desde já grato,
--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.
Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se
for possível reenvia.
Att,
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo
OpenBGP não tava funcionando ainda.
Ja mandei PR… ta la parado hehehe.
Alguém do pfSense tinha mandado também uma versão antes. Vários reports de
usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu
mando o proximo.
O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no
port mas ta la:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas
psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de
overhead causado pelas validações. ttl-security é mais simples e mais funcional
pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra
fechar peering que seja com assinatura, erroneamente chamada de chave ou
senha...
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
Pois é eu fechei sessão com os caras do Cymru [1] pra usar o UTRS e lá
eles exigem isso. Aí tive que fazer rsrsrsrsrsr
http://www.team-cymru.org/UTRS/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
On 03/07/2015, at 10:22, Marcelo Gondim gon...@bsdinfo.com.br wrote:
On 02-07-2015 18:13, Felipe N. Oliva wrote:
On 7/2/15 18:08, Patrick Tracanelli wrote:
Felipe,
São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta
é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de
qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo
apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia
a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP
esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no
OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz
apenas em kernel com ipsec.
On 02/07/2015, at 16:20, Felipe N. Oliva fel...@felipeoliva.eti.br wrote:
Boa tarde pessoal,
Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com tcp
md5sig.
Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui
pro Mikrotik, nada!
Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
Detalhe, FreeBSD 10.1-RELEASE-p14.
Passos que segui:
Kernel:
options IPSEC# SUPORTE A IPSEC (REQUER crypto)
device crypto# SUPORTE A CRIPTOGRAFIA
options TCP_SIGNATURE # SUPORTE A RFC 2385
ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 secret;
bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246
group TESTE {
remote-as 65002
neighbor 192.168.88.245 {
descr BGP2
tcp md5sig password secret
}
}
/var/log/messages:
Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup
failed
No outro peer a mesma coisa, mas ao contrario.
Alguém vê o erro?
Desde já grato,
--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.
Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se
for possível reenvia.
Att,
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo
OpenBGP não tava funcionando ainda.
Ja mandei PR… ta la parado hehehe.
Alguém do pfSense tinha mandado também uma versão antes. Vários reports de
usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu
mando o proximo.
O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no
port mas ta la:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas
psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de
overhead causado pelas validações. ttl-security é mais simples e mais funcional
pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra
fechar peering que seja com assinatura, erroneamente chamada de chave ou
senha...
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
On Jul 3, 2015, at 12:40, Patrick Tracanelli eks...@freebsdbrasil.com.br
wrote:
On 03/07/2015, at 10:22, Marcelo Gondim gon...@bsdinfo.com.br wrote:
On 02-07-2015 18:13, Felipe N. Oliva wrote:
On 7/2/15 18:08, Patrick Tracanelli wrote:
Felipe,
São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a
proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel
ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo
passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce
quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas
seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra
corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf
do OpenBGP e faz apenas em kernel com ipsec.
On 02/07/2015, at 16:20, Felipe N. Oliva fel...@felipeoliva.eti.br
wrote:
Boa tarde pessoal,
Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com tcp
md5sig.
Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui
pro Mikrotik, nada!
Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
Detalhe, FreeBSD 10.1-RELEASE-p14.
Passos que segui:
Kernel:
options IPSEC# SUPORTE A IPSEC (REQUER crypto)
device crypto# SUPORTE A CRIPTOGRAFIA
options TCP_SIGNATURE # SUPORTE A RFC 2385
ipsec.conf:
add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 secret;
bgpd.conf:
AS 65001
router-id 192.168.88.246
listen on 192.168.88.246
group TESTE {
remote-as 65002
neighbor 192.168.88.245 {
descr BGP2
tcp md5sig password secret
}
}
/var/log/messages:
Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey
setup failed
No outro peer a mesma coisa, mas ao contrario.
Alguém vê o erro?
Desde já grato,
--
Felipe N. Oliva
Administração de Redes e Sistemas
Skype: felipe.no88
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Valeu Patrick, eu consegui.
Lembro desse seu patch, mas não consegui pesquisar no histórico da lista,
se for possível reenvia.
Att,
Po Patrick,
Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo
OpenBGP não tava funcionando ainda.
Ja mandei PR… ta la parado hehehe.
Alguém do pfSense tinha mandado também uma versão antes. Vários reports de
usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu
mando o proximo.
O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no
port mas ta la:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas
psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de
overhead causado pelas validações. ttl-security é mais simples e mais
funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que
“exige” pra fechar peering que seja com assinatura, erroneamente chamada de
chave ou senha...
Eu inclusive mandei um email pro hrs@ perguntando se ele nao vai commitar
aquele PR e oferecendo ajuda.
Vou tentar mais uma vez… :)
--
Renato Botelho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Placa de Rede 10Gbits
On 03-07-2015 16:17, Fernando Perassoli wrote: Boa tarde. Gostaria de saber sobre a compatibilidade e desempenho das interfaces de rede INTEL X520-DA2 10GBE DUAL ( E10G42BTDA ) com o FreeBSD. Desde já agradeço. Att Fernando Opa Fernando, Essa não usei mas uso a X520-SR2 perfeitamente com o FreeBSD 10.1-STABLE revisão 281235. Inclusive segurando tráfego de quase 5Gbps atualmente. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Placa de Rede 10Gbits
Boa tarde. Gostaria de saber sobre a compatibilidade e desempenho das interfaces de rede INTEL X520-DA2 10GBE DUAL ( E10G42BTDA ) com o FreeBSD. Desde já agradeço. Att Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
