RPKI

In diesem Artikel möchte ich kurz die Filter für den Import von Routen von Transit-Providern, Peerings und Kunden beschreiben. Diese Filterbasis verwende ich u.a. für das AS209844 und AS209238. Die Policy für Transit-Partner umfasst die folgenden Prüfkriterien. Eigene und Downstream Netzwerke verwerfen Bogon AS-Nummern verwerfen AS-Pfadlängen >100 verwerfen Erste ASN muss Peer-AS entsprechen Next-Hop IP muss korrekt sein, sonst verwerfen spezifische Routen verwerfen (spezifischer als /24 bei IPv4 und /48 bei IPv6) Bogon/Martian Netzwerke und ggf....

In diesem Artikel möchte ich kurz mein Routinator Setup für meine dn42 Router beschreiben. Die Routinator Instanz validiert lediglich eine Liste der aktuellen dn42 Netze. Öffentliche Netze werden weder importiert noch validiert, sodass Ressourcen gespart werden können. Ich verwende zum Starten der Routinator Instanz folgende Konfigurationsdatei. Wichtig ist, dass die Verzeichnisse „repository“ und „tal“ leer sind, sodass keine öffentlichen RPKI Informationen geladen werden. Die dn42 spezifischen Informationen werden als Ausnahme eingebunden, das notwendige Dateiformat nennt sich SLURM und ist im RFC 8416 definiert....

Seit der VyOS Version 1.2.0-rc11 ist es möglich Routen, die per BGP ausgetauscht werden, auf Basis des RPKI Status zu filtern. Warum RPKI wichtig ist erklärt Cloudflare sehr ausführlich in Ihrem Blog. Um RPKI basierte Filter einsetzen zu können ist es notwendig einen RPKI Validator zu betreiben, der die Kryptographie und den Abgleich der Netze mit den AS Nummern übernimmt. Softwareseitig kann aktuell zwischen dem von der RIPE NCC entwickelte RPKI Validator oder die ressourcensparendere Variante Routinator von den NLnetLabs entschieden werden....