Re: [FUG-BR] BGP e RFC 2385 (TCPMD5)
Em 2/16/18 8:33 AM, Edinilson J. Santos escreveu: Em 15/02/2018 17:25, Felipe N. Oliva escreveu: Boa tarde senhores, Aproveitando que a lista voltou ao normal... Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156), até o 10.3 estava normal. Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google. /etc/ipsec.conf: add -4 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha"; add -4 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha"; Kernel: options IPSEC options TCP_SIGNATURE Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO habilitado nas interfaces, o que não é o meu caso. Alguém enfrentando o mesmo problema? Você compilou um kernel personalizado ou está usando o GENERIC do 11 ? Pergunto pois, no GENERIC do 11 já vem ativado por padrao o suporte ao IPsec [1] , com as opçoes: options IPSEC device crypto CASO esteja utilizando um kernel personalizado, seria bom seguir as recomendacoes em [2], onde se inclui o GENERIC no seu kernel e desativa ou ativa opções. Outro detalhe que deve observar é no rc.conf se está: ipsec_enable="YES" além de outras variaveis como: ipsec_program ipsec_file Edinilson [1] https://www.freebsd.org/doc/handbook/ipsec.html [2] https://www.freebsd.org/doc/handbook/kernelconfig-config.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Edinilson, sim todas as entradas referentes ao IPSEC estão no kernel inclusive, como mensionei, o "options TCP_SIGNATURE". O comando "setkey -D" mostra que as configuração do /etc/ipsec.conf estão subindo. Grato, -- Felipe N. Oliva NetAdmin/SysAdmin BSDA BSDDCG-ID: 2016144190112430459 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BGP e RFC 2385 (TCPMD5)
Em 15/02/2018 17:25, Felipe N. Oliva escreveu: Boa tarde senhores, Aproveitando que a lista voltou ao normal... Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156), até o 10.3 estava normal. Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google. /etc/ipsec.conf: add -4 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha"; add -4 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha"; Kernel: options IPSEC options TCP_SIGNATURE Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO habilitado nas interfaces, o que não é o meu caso. Alguém enfrentando o mesmo problema? Você compilou um kernel personalizado ou está usando o GENERIC do 11 ? Pergunto pois, no GENERIC do 11 já vem ativado por padrao o suporte ao IPsec [1] , com as opçoes: options IPSEC device crypto CASO esteja utilizando um kernel personalizado, seria bom seguir as recomendacoes em [2], onde se inclui o GENERIC no seu kernel e desativa ou ativa opções. Outro detalhe que deve observar é no rc.conf se está: ipsec_enable="YES" além de outras variaveis como: ipsec_program ipsec_file Edinilson [1] https://www.freebsd.org/doc/handbook/ipsec.html [2] https://www.freebsd.org/doc/handbook/kernelconfig-config.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BGP e RFC 2385 (TCPMD5)
Boa tarde senhores, Aproveitando que a lista voltou ao normal... Não estou conseguindo usar o TCPMD5 pra fechar sessão BGP(meus cenários com openbgp) no FreeBSD 11.1-p6 e no 11.1-STABLE(r329156), até o 10.3 estava normal. Eu uso o IPSec pra fazer isso, um caso clássico é sessão com o Google. /etc/ipsec.conf: add -4 187.16.216.55 tcp 0x1000 -A tcp-md5 "senha"; add -4 187.16.218.58 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::55 tcp 0x1000 -A tcp-md5 "senha"; add -6 2001:12f8::218:58 tcp 0x1000 -A tcp-md5 "senha"; Kernel: options IPSEC options TCP_SIGNATURE Existe um bug relatado sobre algo semelhante, mas sem TSO e LRO habilitado nas interfaces, o que não é o meu caso. Alguém enfrentando o mesmo problema? -- Felipe N. Oliva NetAdmin/SysAdmin BSDA BSDDCG-ID: 2016144190112430459 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
