From 56da10c2f66f898f8b1206106a15bef7396d3b00 Mon Sep 17 00:00:00 2001
From: jdubois <jdubois+gitit@evolix.fr>
Date: Mon, 22 Jun 2020 11:42:25 +0200
Subject: [PATCH] Ajout rpki-client pour OpenBGPD

---
 HowtoROA.md | 23 ++++++++++++++++++++++-
 1 file changed, 22 insertions(+), 1 deletion(-)

diff --git a/HowtoROA.md b/HowtoROA.md
index ad5c4f50..ec7e459f 100644
--- a/HowtoROA.md
+++ b/HowtoROA.md
@@ -40,4 +40,25 @@ Depuis l'interface web, il est possible de mettre en place des alertes par mail
 
 Le principal intérêt des ROA est de les utiliser afin de modifier les décisions de routage. Il faut utiliser pour cela le [RPKI Validator](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/tools-and-resources) qui permet de récupérer la base de données contenant le statut de toutes les ROA. Le routeur (qui doit être compatible RPKI) peut ensuite être configuré pour associer chaque route de sa table de routage avec son statut ROA et lui appliquer une caractéristique particulière : par exemple une localpref à 90 pour les ROA invalides (voire un refus de la route), 100 pour les ROA inconnues et 110 pour les valides.
 
-Il est nécessaire que le routeur soit compatible RPKI : [Cisco et Juniper](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration), ainsi que les solutions libres telles que [Quagga ou Bird](http://rtrlib.realmv6.org/) proposent des solutions, mais rien n'est encore disponible sous [OpenBGPD](HowtoOpenBSD/OpenBGPD).
+Il est nécessaire que le routeur soit compatible RPKI : [Juniper, Cisco et Nokia](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration), ainsi que les solutions libres telles que [Quagga ou Bird](http://rtrlib.realmv6.org/) ou encore [OpenBGPD](http://man.openbsd.org/man8/rpki-client.8) proposent des solutions.
+
+## Configuration sous OpenBGPD
+
+[OpenBGPD](HowtoOpenBSD/OpenBGPD) dispose de [**rpki-client**](http://man.openbsd.org/man8/rpki-client.8), disponible depuis OpenBSD 6.7.
+
+Pour s'en servir, un cron et une configuration dans `/etc/bgpd.conf` sont nécessaires :
+
+Dans la crontab de root :
+
+~~~
+~     *       *       *       *       -ns rpki-client -v && bgpctl reload                                                                                                                                                                                                                                                   
+~~~
+
+Par défaut, rpki-client va écrire un fichier contenant toutes les ROA valides dans /var/db/rpki-client/openbgpd. À partir de ce fichier, BGP saurra si un préfixe reçu est valide, invalide ou inconnu.
+
+Dans la configuration de BGP, on inclut ce fichier et on indique que faire avec les routes invalides :
+
+~~~
+include "/var/db/rpki-client/openbgpd"                                                                                                                                                                                                                                                                                       
+deny quick from ebgp ovs invalid
+~~~
\ No newline at end of file