Subnets.ru

Интересует собственно как под фрёй правильно собрать кваггу чтобы работала md5 авторизация при соединении с bgp нейборами на циске и квагге. Какой патч нужно установить и каким образом настраивать?

сам не делал никогда, но где то читал, что не работает это на quagga.... экспериментальная штука....
погугли, т.к. могло уже измениться, сам не интересовался этим вопросом
потом можем вместе покумекать

Давай покумекаем - соберу на днях на виртуалках макет, попробую....

ну как ?
есть новости ?

Сейчас пока нету... Загрузили другой фигней...

Ну что ж разобрался... Частично...

Тестировалось на двух виртуальных машинах под управлением FreeBSD 7.1. и порта Quagga версии quagga-0.99.11_1

1. Пересобираем ядро с опциями:

Код: Выделить всё

options TCP_SIGNATURE
options IPSEC
device crypto
device cryptodev

2. Запускаем IPSEC при старте системы и добавляем ключи

Файл /etc/rc.conf

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"

Файл /etc/ipsec.conf

Код: Выделить всё

flush;
add x.x.x.x y.y.y.y tcp 0x1000 -A tcp-md5 "*********";

Где:
x.x.x.x - Локальный IP адрес для BGP соединения
y.y.y.y - Удаленный IP адрес для BGP соединения
********* - Пароль

3. Устанавливаем квагу из портов, оставляя конфиг меню по умолчанию, а самое главное не выбирая для установки BGP MD5 PATCH, потому что реализация md5 авторизации в этой сборке уже заложена разработчиками в исходный код

Код: Выделить всё

cd /usr/ports/net/quagga
make && make install && make clean

4. Настраиваем и запускаем Quagga

5. В режиме конфигурирования протокола BGP включаем md5 авторизацию для пира

Код: Выделить всё

quagga-router(config-router)# neighbor x.x.x.x password ********

После этих манипуляций должно работать. НО! Я меня пиры соединялись почему то при включенной авторизации на одной стороне и выключенной на другой, хотя такого быть не должно. Даже маршруты сливались... Что здесь не так пока не знаю... разбираюсь дальше.

plastilin писал(а):хотя такого быть не должно

ага, странно, точно не должно быть такого
а если пароль на одной из сторон указать не верный ?

plastilin писал(а):разбираюсь дальше

удачи, ждем результата

З.Ы. За уже написанное все равно спасибо, для других уже как минимум не с нуля, а есть отправная точка.

Соединяется даже если и пароль не верный и даже если его нет ....

значит не работает.....
ковыряй дальше...

Вообщем после долгой и напряженной переписки в рассылке http://lists.quagga.net/pipermail/quagga-users/2009-April/010536.html квагги я понял, что фича md5 авторизации не просто не работает корректно, а даже до конца не реализована. Ситуация складывается таким образом: Генерация md5 хешей в квагге базируется на возможностях системы, а БСД вроде бы может генерировать md5 только для исходящих пакетов, а для входящих не умеет пока что. Поэтому функционал обрыва соединения и его не установления с бгп пиром в случае если не совпадает пароль, либо же отсутствует на одной из сторон, как в циско - НЕ РАБОТАЕТ.

Закинул тему в лист рассылки FreeBSD... Посмотрим что разработчики ядра скажут....