Subnets.ru

[plastilin]

Интересует собственно как под фрёй правильно собрать кваггу чтобы работала md5 авторизация при соединении с bgp нейборами на циске и квагге. Какой патч нужно установить и каким образом настраивать?

[root]

сам не делал никогда, но где то читал, что не работает это на quagga.... экспериментальная штука....
погугли, т.к. могло уже измениться, сам не интересовался этим вопросом
потом можем вместе покумекать

[plastilin]

Давай покумекаем - соберу на днях на виртуалках макет, попробую....

[root]

ну как ?
есть новости ?

[plastilin]

Сейчас пока нету... Загрузили другой фигней...

[plastilin]

Ну что ж разобрался... Частично...

Тестировалось на двух виртуальных машинах под управлением FreeBSD 7.1. и порта Quagga версии quagga-0.99.11_1

1. Пересобираем ядро с опциями:

Код: Выделить всё

options TCP_SIGNATURE
options IPSEC
device crypto
device cryptodev

2. Запускаем IPSEC при старте системы и добавляем ключи

Файл /etc/rc.conf

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"

Файл /etc/ipsec.conf

Код: Выделить всё

flush;
add x.x.x.x y.y.y.y tcp 0x1000 -A tcp-md5 "*********";

Где:
x.x.x.x - Локальный IP адрес для BGP соединения
y.y.y.y - Удаленный IP адрес для BGP соединения
********* - Пароль

3. Устанавливаем квагу из портов, оставляя конфиг меню по умолчанию, а самое главное не выбирая для установки BGP MD5 PATCH, потому что реализация md5 авторизации в этой сборке уже заложена разработчиками в исходный код

Код: Выделить всё

cd /usr/ports/net/quagga
make && make install && make clean

4. Настраиваем и запускаем Quagga

5. В режиме конфигурирования протокола BGP включаем md5 авторизацию для пира

Код: Выделить всё

quagga-router(config-router)# neighbor x.x.x.x password ********

После этих манипуляций должно работать. НО! Я меня пиры соединялись почему то при включенной авторизации на одной стороне и выключенной на другой, хотя такого быть не должно. Даже маршруты сливались... Что здесь не так пока не знаю... разбираюсь дальше.

[root]

хотя такого быть не должно

ага, странно, точно не должно быть такого
а если пароль на одной из сторон указать не верный ?

разбираюсь дальше

удачи, ждем результата

З.Ы. За уже написанное все равно спасибо, для других уже как минимум не с нуля, а есть отправная точка.

[plastilin]

Соединяется даже если и пароль не верный и даже если его нет ....

[root]

значит не работает.....
ковыряй дальше...

[plastilin]

Вообщем после долгой и напряженной переписки в рассылке http://lists.quagga.net/pipermail/quagga-users/2009-April/010536.html квагги я понял, что фича md5 авторизации не просто не работает корректно, а даже до конца не реализована. Ситуация складывается таким образом: Генерация md5 хешей в квагге базируется на возможностях системы, а БСД вроде бы может генерировать md5 только для исходящих пакетов, а для входящих не умеет пока что. Поэтому функционал обрыва соединения и его не установления с бгп пиром в случае если не совпадает пароль, либо же отсутствует на одной из сторон, как в циско - НЕ РАБОТАЕТ.

Закинул тему в лист рассылки FreeBSD... Посмотрим что разработчики ядра скажут....