Forum Debian Users Gang

kayo · 2011-08-31 21:52:48

Czy w quagga z debianowego repozytorium stable ma wsparcie do MD5? Z tego co widzę kernel z repo ma w konfiguracji

Kod:

CONFIG_TCP_MD5SIG=y

czyli wsparcie od tej strony jest.
W samym configu bgp.conf dałem

Kod:

neighbor x.x.x.x password tajnehaslo

Chyba ta linijka jest poprawna, żadnego błędu w logach nie mam. Jednak tcpdump wypluwa

Kod:

md5shared secret not supplied with -M, can't check

Pomysły i uwagi mile widziane.

ba10 · 2011-09-01 13:50:14

kayo napisał(-a):
Pomysły i uwagi mile widziane.

Fajnie by było jakby był schemat sieci.
Dobrze przedstawić pliki konfiguracyjne routerów.
Nie wiadomo o jakich logach piszesz, podejżewam, że o /var/log/quagga/bgpd.log i /var/log/quagga/zebra.log
Sprawdź po zalogowaniu się przez telnet do bgp ( 2605), w trybie uprzywilejowanym co tam "słychać" w bgp czyli :

Kod:

sh ip bgp
sh ip bgp neighbors
sh ip bgp summary

Zapuśc debugowanie :

Kod:

debug bgp events 
debug bgp zebra

będziesz miał mase informacji więc z tym debugowaniem to bardzo, bardzo ostroźnie. Wyłączenie debugowania :

Kod:

undebug all

Podobnie możesz sprawdzić logując się do zebry ( 2601) :

Kod:

debug zebra events

Oczywiście hasła są te same na routerach ?
Pod x.x.x.x kryje się adres ip sąsiada ? :)

Ostatnio edytowany przez ba10 (2011-09-01 14:11:25)

kayo · 2011-09-18 23:06:50

Kod:

hostname mojrouter
password haslo
enable password bardziejtajnehaslo
log file /var/log/quagga/quagga.log debugging
log trap debugging
log record-priority
service password-encryption
!
router bgp mojnras
bgp router-id 94.xx.xx.xx
network 94.xx.xx.0/21
neighbor 4.xx.xx.xx remote-as bbbbb
neighbor 4.xx.xx.xx password tajnehaslo
neighbor 4.xx.xx.xx prefix-list 10 in
neighbor 4.xx.xx.xx route-map localonly out
neighbor 77.xx.xx.xx remote-as aaaaa
neighbor 77.xx.xx.xx prefix-list 10 in
neighbor 77.xx.xx.xx route-map localonly out
!
ip prefix-list 10 seq 10 deny 0.0.0.0/0
!
ip as-path access-list 50 permit ^$
!
route-map localonly permit 10
match as-path 50

Konfguracja banalna do multihomingu. Od drugiego peera dostaję wszystkie dane. Z pierwszym nie moge sie polączyc. Debugowanie bgp nie daje konkretnych informacji. Dodam że router peera akceptuje 16-bitowe numery AS. Oczywiście pod iksami są odpowiednie numery

ba10 · 2011-09-19 17:01:25

Więc skonstruowałem laba : 2 routery cisco jako oddzielni isp podłaczeni do jednego routera-komputera ( tak wywnioskowałem z opisu, bo nie było schematu ) na debianie z kernelem 2.6.32-5-686, quagga wersji 0.99.17-2+squeeze2. Machnąłem najprostsze BGP jakie może być (bez żadnych list ACL by najpierw na czysto mieć działające BGP, a dopiero później dokładać kolejne rzeczy ) :

ISP1

Kod:

router bgp 6001
 no synchronization
 bgp log-neighbor-changes
 neighbor 1.1.1.2 remote-as 6003
 neighbor 1.1.1.2 password tajnehaslo1

ISP2

Kod:

router bgp 6002
 no synchronization
 bgp log-neighbor-changes
 neighbor 2.2.2.2 remote-as 6003
 neighbor 2.2.2.2 password tajnehaslo2

ROUTER-LINUX
bgpd.conf

Kod:

router bgp 6003
neighbor 1.1.1.1 remote-as 6001
neighbor 1.1.1.1 password tajnehaslo1
neighbor 2.2.2.1 remote-as 6002
neighbor 2.2.2.1 password tajnehaslo2

Na jednym sesja się ustanowiła, a na drugim miałem problem właśnie z md5 i otrzymywałem na konsoli różne komunikaty np.

Kod:

%TCP-6-BADAUTH: Invalid MD5 digest from

Kod:

bgpd# sh ip bgp summ
BGP router identifier 192.168.33.1, local AS number 6003
RIB entries 0, using 0 bytes of memory
Peers 2, using 5040 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
1.1.1.1         4  6001       5       6        0    0    0 00:03:37        0
2.2.2.1         4  6002       0       0        0    0    0 never    Active     

Total number of neighbors 2

Zacząłem szukać i znalazłem by na interfejsie danym wydać polecenia :

Kod:

ethtool -k eth0
Offload parameters for eth0:
rx-checksumming: on
tx-checksumming: on
scatter-gather: on
tcp-segmentation-offload: on
udp-fragmentation-offload: off
generic-segmentation-offload: on
generic-receive-offload: off
large-receive-offload: off
ntuple-filters: off
receive-hashing: off

ethtool -K eth0 tso off
ethtool -K eth0 sg off

Niestety u mnie one nic nie dały.
Dokopałem się poprzez google, że to jakiś bug w cisco tzn. wystepuje on gdy łaczone są routery cisco z nie-routerami cisco (bug CSCsb51019, nie sprawdzałem dokładnie o co chodzi ).
Po zmianie IOSa na routerze cisco wszystko było ok.

Kod:

bgpd# sh ip bgp summ
BGP router identifier 192.168.33.1, local AS number 6003
RIB entries 0, using 0 bytes of memory
Peers 2, using 5040 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
1.1.1.1         4  6001       6       7        0    0    0 00:04:19        0
2.2.2.1         4  6002       2       3        0    0    0 00:00:15        0

Total number of neighbors 2

Zapewne nie masz możliwości zmiany iosa na przyłączonym routerze do Ciebie, więc więcej nie mam jak pomóc, ale może coś Ciebie nakieruje i rozwiążesz problem. Powodzenia :)

Ostatnio edytowany przez ba10 (2011-09-20 15:46:35)

kayo · 2011-09-20 14:09:33

Dzięki Ci serdeczne, raczej na routerze LEVEL3 nic nie zmienię;) Jak na razie to mogę powiedzieć że:

Kod:

md5shared secret not supplied with -M, can't check

to błąd użytkownika tcpdump - czyli mój (RTFM!!!) - po przełączniku M w tcpdump powinienem podać hasło podane przez dostawcę łącza.
- LEVEL3 nie ma natywnej obsługi ASN 32 bit przez co jest AS_TRANS
- czekam na odpowiedź od LEVEL3 na to:

Kod:

Notification Message (3), length: 23, OPEN Message Error (2),
subcode Bad Peer AS (2)

EDYTA

Kod:

If you look closely, the 
Cisco is actually keeping the packet in FIN_WAIT1 state.   It *should* 
timeout the connection by itself, but it seems to be using the unsigned 
RST's as a keepalive.   The bug in IOS is CSCsb51019 which refers to 
Junipers but is also true for Linux boxes with the RFC2385 patch.

Ostatnio edytowany przez kayo (2011-09-20 14:30:13)

kayo · 2011-09-20 14:20:16

This page is intentionally left blank ;-)

Ostatnio edytowany przez kayo (2011-09-20 14:29:59)

ba10 · 2011-09-20 15:43:21

Ha, czyli osławiony bug CSCsb51019 o którym pisałem wcześniej :D
O i lekturka rfc 2385, nie pomyslałem, żeby poczytać rfc :)

Ostatnio edytowany przez ba10 (2011-09-20 15:45:01)

Forum Debian Users Gang

Ogłoszenie

#1 2011-08-31 21:52:48

kayo - Członek DUG

BGP z TCP_MD5

Kod:

Kod:

Kod:

#2 2011-09-01 13:50:14

ba10 - Członek DUG

Re: BGP z TCP_MD5

kayo napisał(-a):

Kod:

Kod:

Kod:

Kod:

#3 2011-09-18 23:06:50

kayo - Członek DUG

Re: BGP z TCP_MD5

Kod:

#4 2011-09-19 17:01:25

ba10 - Członek DUG

Re: BGP z TCP_MD5

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#5 2011-09-20 14:09:33

kayo - Członek DUG

Re: BGP z TCP_MD5

Kod:

Kod:

Kod:

#6 2011-09-20 14:20:16

kayo - Członek DUG

Re: BGP z TCP_MD5

#7 2011-09-20 15:43:21

ba10 - Członek DUG

Re: BGP z TCP_MD5

Stopka forum