Re: [FUG-BR] Discas para o FreeBSD + OpenBGP fechando com PTT
Em 12/05/14 13:57, Samuel Peres escreveu: On 5/12/2014 1:40 PM, Fernando Gilli wrote: Meu openbgpd está aparecendo a seguinte mensagem: bgpd[1092]: no kernel support for PF_KEY -- Fernando Gilli - Histórico: http://antispam.univox.com.br/canit/urlproxy.php?q=aHR0cDovL3d3dy5mdWcuY29tLmJyL2hpc3Rvcmljby9odG1sL2ZyZWVic2Qvr=bWlndGVsZWNvbQ%3D%3D Sair da lista: http://antispam.univox.com.br/canit/urlproxy.php?q=aHR0cHM6Ly93d3cuZnVnLmNvbS5ici9tYWlsbWFuL2xpc3RpbmZvL2ZyZWVic2Q%3Dr=bWlndGVsZWNvbQ%3D%3D Boa tarde, Já tive esse warning uma vez, resolvi compilando o kernel com a opção TCP_SIGNATURE. Para sessões BGP que utilizam md5, tem que ter essa opção. Se não for seu caso, pode ignorar, não vai afetar em nada. Quanto as dicas do Gondim quanto a configuração de BGP com o PTT, comentei uma vez na thread abaixo, que o problema relatado na mesma não tinha nada haver com limite de mac-address no FreeBSD. Valeu por ter documentado isso Gondim, eu sofri com isso uns 2 dias seguidos na época, quando mandei essa dica para a lista eu tinha quase certeza que o problema do colega não era limite de mac-address e sim a sysctl net.inet.icmp.icmplim. http://www.fug.com.br/historico/html/freebsd/2013-07/msg5.html Samuel Peres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Isso mesmo que o Samuel colocou. Eu aqui tenho essa mensagem mas eu ignoro porque não uso o md5. :) []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Discas para o FreeBSD + OpenBGP fechando com PTT
- Original Message - From: Marcelo Gondim gon...@bsdinfo.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, May 10, 2014 5:57 PM Subject: [FUG-BR] Discas para o FreeBSD + OpenBGP fechando com PTT Olá pessoal, Hoje ativei o PTT-SP e nesse período de testes passei por alguns problemas mas que foram fáceis de resolver. Resolvi então fazer um post [1] explicando o que tive que fazer para fechar as sessões BGP e finalmente virar um participante do PTT. [1] http://www.bsdinfo.com.br/2014/05/10/freebsd-openbgp-ptt-dicas-uteis/ Espero que ajude aqueles que ainda pretendem entrar no PTT mas agora também só vão conseguir depois do período de congelamento. []'s Gondim Caro Gondim, muito obrigado por compartilhar, ainda mais por se tratar do OpenBGP. Infelizmente, neste mundo do BGP, as pessoas gostam de esconder as coisas. []´s Edinilson -- ATINET Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Discas para o FreeBSD + OpenBGP fechando com PTT
Em 12/05/14 14:26, Marcelo Gondim escreveu: Isso mesmo que o Samuel colocou. Eu aqui tenho essa mensagem mas eu ignoro porque não uso o md5. :) []'s Gondim tentei usar senha na sessão bgp fechando com cisco e não deu. Pelo que vi na época, só no openbsd. Mas como qualquer operadora é só pedir para tirar a senha, não pesquisei mais. senha na sessão bgp não garante mais segurança em minha opiniao, basta limitar o mac local e remoto, limitar os hops que fica quase impossivel um man in the midle. Quanto ao limit de mac-address, quase 100% dos problemas que tive era com a operadora de trânsito que normalmente usando clear-channel, tem no meio algum switch que limita mac, aí quando aprende as centenas de parceiros do ptt, bloqueia e normalmente só volta com um up/down na interface. Muitas vezes o problema é fazer a operadora admitir que o clearchannel tem n switches no meio e que o problema não é seu e nem no ptt. Normalmente se pedir pro ptt deixar a vlan em quarentena(que tem 3 mac só) a sessão nunca mais cai, provando que nao tem problema de mac no free e nem no ptt. []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Discas para o FreeBSD + OpenBGP fechando com PTT
Em 12 de maio de 2014 16:00, Renato Frederick ren...@frederick.eti.brescreveu: Em 12/05/14 14:26, Marcelo Gondim escreveu: Isso mesmo que o Samuel colocou. Eu aqui tenho essa mensagem mas eu ignoro porque não uso o md5. :) []'s Gondim tentei usar senha na sessão bgp fechando com cisco e não deu. Pelo que vi na época, só no openbsd. Mas como qualquer operadora é só pedir para tirar a senha, não pesquisei mais. senha na sessão bgp não garante mais segurança em minha opiniao, basta limitar o mac local e remoto, limitar os hops que fica quase impossivel um man in the midle. Tem como usar senha MD5 no Freebsd, mas é chato de fazer [1]: habilitar no kernel device crypto options IPSEC options TCP_SIGNATURE E depois: e depois fazer no /etc/ipsec.conf flush; add ip.local ip.remoto tcp 0x1000 -A tcp-md5 senha; no rc.conf ativar o ipsec. no quagga colocar: neighbour ip.remoto password senha Referência: [1] http://www.fug.com.br/historico/html/freebsd/2010-11/msg00078.html -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Discas para o FreeBSD + OpenBGP fechando com PTT
Em 12/05/14 17:26, Eduardo Schoedler escreveu: Tem como usar senha MD5 no Freebsd, mas é chato de fazer [1]: habilitar no kernel device crypto options IPSEC options TCP_SIGNATURE Foi este mesmo tutorial que tentei, não deu não, postei aqui em 2010 meu problema [1]. No caso, tive que sair do openbsd porque na época ele não detectava mais de 1 núcleo de um Dell Xeon. Copiei e colei as conf do openbgd do openbsd + compilei o kernel + ipsec do freebsd como no tutorial que você enviou e não deu. Havia 2 sessões, 1 com caixa cisco e outra juniper, ambas com senha e falharam, informavam erros de md5. Eu também estava com urgência e foi mais rápido tirar a senha(sessão fechou na hora), talvez foi algum erro meu devido a urgencia. Você tem esta conf em produção com senha? Se tiver e puder enviar a configuração da outra ponta, seria interessante. [1] http://www.fug.com.br/historico/html/freebsd/2010-10/msg00477.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
