Re: [FUG-BR] Placa de Rede 10Gbits
On 03-07-2015 16:17, Fernando Perassoli wrote: Boa tarde. Gostaria de saber sobre a compatibilidade e desempenho das interfaces de rede INTEL X520-DA2 10GBE DUAL ( E10G42BTDA ) com o FreeBSD. Desde já agradeço. Att" Fernando Opa Fernando, Essa não usei mas uso a X520-SR2 perfeitamente com o FreeBSD 10.1-STABLE revisão 281235. Inclusive segurando tráfego de quase 5Gbps atualmente. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Placa de Rede 10Gbits
Boa tarde. Gostaria de saber sobre a compatibilidade e desempenho das interfaces de rede INTEL X520-DA2 10GBE DUAL ( E10G42BTDA ) com o FreeBSD. Desde já agradeço. Att" Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
On 03-07-2015 12:40, Patrick Tracanelli wrote: On 03/07/2015, at 10:22, Marcelo Gondim wrote: On 02-07-2015 18:13, Felipe N. Oliva wrote: On 7/2/15 18:08, Patrick Tracanelli wrote: Felipe, São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec. On 02/07/2015, at 16:20, Felipe N. Oliva wrote: Boa tarde pessoal, Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig". Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada! Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada. Detalhe, FreeBSD 10.1-RELEASE-p14. Passos que segui: Kernel: options IPSEC# SUPORTE A IPSEC (REQUER crypto) device crypto# SUPORTE A CRIPTOGRAFIA options TCP_SIGNATURE # SUPORTE A RFC 2385 ipsec.conf: add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret"; bgpd.conf: AS 65001 router-id 192.168.88.246 listen on 192.168.88.246 group TESTE { remote-as 65002 neighbor 192.168.88.245 { descr "BGP2" tcp md5sig password secret } } /var/log/messages: Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed No outro peer a mesma coisa, mas ao contrario. Alguém vê o erro? Desde já grato, -- Felipe N. Oliva Administração de Redes e Sistemas Skype: felipe.no88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Valeu Patrick, eu consegui. Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se for possível reenvia. Att, Po Patrick, Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :) Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo OpenBGP não tava funcionando ainda. Ja mandei PR… ta la parado hehehe. Alguém do pfSense tinha mandado também uma versão antes. Vários reports de usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu mando o proximo. O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no port mas ta la: https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2 Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de overhead causado pelas validações. ttl-security é mais simples e mais funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra fechar peering que seja com assinatura, erroneamente chamada de chave ou senha... -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" Pois é eu fechei sessão com os caras do Cymru [1] pra usar o UTRS e lá eles exigem isso. Aí tive que fazer rsrsrsrsrsr http://www.team-cymru.org/UTRS/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
> On Jul 3, 2015, at 12:40, Patrick Tracanelli > wrote: > > > > >> On 03/07/2015, at 10:22, Marcelo Gondim wrote: >> >> On 02-07-2015 18:13, Felipe N. Oliva wrote: >>> >>> >>> On 7/2/15 18:08, Patrick Tracanelli wrote: Felipe, São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec. > On 02/07/2015, at 16:20, Felipe N. Oliva > wrote: > > Boa tarde pessoal, > > Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp > md5sig". > > Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui > pro Mikrotik, nada! > > Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada. > > Detalhe, FreeBSD 10.1-RELEASE-p14. > > Passos que segui: > > Kernel: > options IPSEC# SUPORTE A IPSEC (REQUER crypto) > device crypto# SUPORTE A CRIPTOGRAFIA > options TCP_SIGNATURE # SUPORTE A RFC 2385 > > ipsec.conf: > add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret"; > > bgpd.conf: > AS 65001 > router-id 192.168.88.246 > listen on 192.168.88.246 > > group TESTE { > remote-as 65002 > neighbor 192.168.88.245 { > descr "BGP2" > tcp md5sig password secret > } > } > > /var/log/messages: > Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey > setup failed > > No outro peer a mesma coisa, mas ao contrario. > > Alguém vê o erro? > > Desde já grato, > > -- > Felipe N. Oliva > Administração de Redes e Sistemas > Skype: felipe.no88 > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> Valeu Patrick, eu consegui. >>> >>> Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, >>> se for possível reenvia. >>> >>> Att, >>> >> Po Patrick, >> >> Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :) >> Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo >> OpenBGP não tava funcionando ainda. >> > > Ja mandei PR… ta la parado hehehe. > > Alguém do pfSense tinha mandado também uma versão antes. Vários reports de > usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D > > Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu > mando o proximo. > > O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no > port mas ta la: > > https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2 > > Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas > psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de > overhead causado pelas validações. ttl-security é mais simples e mais > funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que > “exige” pra fechar peering que seja com assinatura, erroneamente chamada de > chave ou senha... Eu inclusive mandei um email pro hrs@ perguntando se ele nao vai commitar aquele PR e oferecendo ajuda. Vou tentar mais uma vez… :) -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
> On 03/07/2015, at 10:22, Marcelo Gondim wrote: > > On 02-07-2015 18:13, Felipe N. Oliva wrote: >> >> >> On 7/2/15 18:08, Patrick Tracanelli wrote: >>> Felipe, >>> >>> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta >>> é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de >>> qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo >>> apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia >>> a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP >>> esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no >>> OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz >>> apenas em kernel com ipsec. >>> >>> >>> On 02/07/2015, at 16:20, Felipe N. Oliva wrote: Boa tarde pessoal, Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig". Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada! Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada. Detalhe, FreeBSD 10.1-RELEASE-p14. Passos que segui: Kernel: options IPSEC# SUPORTE A IPSEC (REQUER crypto) device crypto# SUPORTE A CRIPTOGRAFIA options TCP_SIGNATURE # SUPORTE A RFC 2385 ipsec.conf: add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret"; bgpd.conf: AS 65001 router-id 192.168.88.246 listen on 192.168.88.246 group TESTE { remote-as 65002 neighbor 192.168.88.245 { descr "BGP2" tcp md5sig password secret } } /var/log/messages: Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed No outro peer a mesma coisa, mas ao contrario. Alguém vê o erro? Desde já grato, -- Felipe N. Oliva Administração de Redes e Sistemas Skype: felipe.no88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> -- >>> Patrick Tracanelli >>> >>> FreeBSD Brasil LTDA. >>> Tel.: (31) 3516-0800 >>> 316...@sip.freebsdbrasil.com.br >>> http://www.freebsdbrasil.com.br >>> "Long live Hanin Elias, Kim Deal!" >>> >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> Valeu Patrick, eu consegui. >> >> Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se >> for possível reenvia. >> >> Att, >> > Po Patrick, > > Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :) > Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo > OpenBGP não tava funcionando ainda. > Ja mandei PR… ta la parado hehehe. Alguém do pfSense tinha mandado também uma versão antes. Vários reports de usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu mando o proximo. O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no port mas ta la: https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2 Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de overhead causado pelas validações. ttl-security é mais simples e mais funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra fechar peering que seja com assinatura, erroneamente chamada de chave ou senha... -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenBGP tcp md5sig
On 02-07-2015 18:13, Felipe N. Oliva wrote: On 7/2/15 18:08, Patrick Tracanelli wrote: Felipe, São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec. On 02/07/2015, at 16:20, Felipe N. Oliva wrote: Boa tarde pessoal, Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig". Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada! Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada. Detalhe, FreeBSD 10.1-RELEASE-p14. Passos que segui: Kernel: options IPSEC# SUPORTE A IPSEC (REQUER crypto) device crypto# SUPORTE A CRIPTOGRAFIA options TCP_SIGNATURE # SUPORTE A RFC 2385 ipsec.conf: add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret"; bgpd.conf: AS 65001 router-id 192.168.88.246 listen on 192.168.88.246 group TESTE { remote-as 65002 neighbor 192.168.88.245 { descr "BGP2" tcp md5sig password secret } } /var/log/messages: Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed No outro peer a mesma coisa, mas ao contrario. Alguém vê o erro? Desde já grato, -- Felipe N. Oliva Administração de Redes e Sistemas Skype: felipe.no88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Valeu Patrick, eu consegui. Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se for possível reenvia. Att, Po Patrick, Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :) Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo OpenBGP não tava funcionando ainda. Abração, Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd