evolix/wiki
22
0
Fork 0
Code Releases Activity

Ajout rpki-client pour OpenBGPD

Browse source
This commit is contained in:
jdubois 2020-06-22 11:42:25 +02:00
parent a4074cd39b
commit 56da10c2f6
1 changed files with 22 additions and 1 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

23
HowtoROA.md
View file

@ -40,4 +40,25 @@ Depuis l'interface web, il est possible de mettre en place des alertes par mail
Le principal intérêt des ROA est de les utiliser afin de modifier les décisions de routage. Il faut utiliser pour cela le [RPKI Validator](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/tools-and-resources) qui permet de récupérer la base de données contenant le statut de toutes les ROA. Le routeur (qui doit être compatible RPKI) peut ensuite être configuré pour associer chaque route de sa table de routage avec son statut ROA et lui appliquer une caractéristique particulière : par exemple une localpref à 90 pour les ROA invalides (voire un refus de la route), 100 pour les ROA inconnues et 110 pour les valides. Le principal intérêt des ROA est de les utiliser afin de modifier les décisions de routage. Il faut utiliser pour cela le [RPKI Validator](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/tools-and-resources) qui permet de récupérer la base de données contenant le statut de toutes les ROA. Le routeur (qui doit être compatible RPKI) peut ensuite être configuré pour associer chaque route de sa table de routage avec son statut ROA et lui appliquer une caractéristique particulière : par exemple une localpref à 90 pour les ROA invalides (voire un refus de la route), 100 pour les ROA inconnues et 110 pour les valides.
Il est nécessaire que le routeur soit compatible RPKI : [Cisco et Juniper](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration), ainsi que les solutions libres telles que [Quagga ou Bird](http://rtrlib.realmv6.org/) proposent des solutions, mais rien n'est encore disponible sous [OpenBGPD](HowtoOpenBSD/OpenBGPD). Il est nécessaire que le routeur soit compatible RPKI : [Juniper, Cisco et Nokia](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration), ainsi que les solutions libres telles que [Quagga ou Bird](http://rtrlib.realmv6.org/) ou encore [OpenBGPD](http://man.openbsd.org/man8/rpki-client.8) proposent des solutions.
## Configuration sous OpenBGPD
[OpenBGPD](HowtoOpenBSD/OpenBGPD) dispose de [**rpki-client**](http://man.openbsd.org/man8/rpki-client.8), disponible depuis OpenBSD 6.7.
Pour s'en servir, un cron et une configuration dans `/etc/bgpd.conf` sont nécessaires :
Dans la crontab de root :
~~~
~ * * * * -ns rpki-client -v && bgpctl reload
~~~
Par défaut, rpki-client va écrire un fichier contenant toutes les ROA valides dans /var/db/rpki-client/openbgpd. À partir de ce fichier, BGP saurra si un préfixe reçu est valide, invalide ou inconnu.
Dans la configuration de BGP, on inclut ce fichier et on indique que faire avec les routes invalides :
~~~
include "/var/db/rpki-client/openbgpd"
deny quick from ebgp ovs invalid
~~~