Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[François Otho]

> 
> > François Otho a écrit :
> > # vi /etc/postfix/header_checks
> 
> Comment on fait quand on utilise m$ exchange ;-?
> Aie aie pas taper, pas taper !

je ne suis pas religieux pour un sou !

> Sérieusement, c'est quand même malheureux qu'on soit obligé de faire
> çà, l'obscurantisme c'est bon pour personne. En plus, ce genre de
> bidouille, les spammeurs professionnels connaissent déjà, les seuls
> que çà emmerde c'est les petits.
> 
> Michel.

On se prend un serveur VPS à 10 euros par mois chez OVH (placement pub !^^)
avec ubuntu (ou debian ou ...)
on installe postfix, on l'ouvre en relais de l'ip de l'exchange
(éventuellement saslauthd), on adapte son TXT-SPF sur son DNS et roule.

Ce meme serveur peut servir plusieurs Xchanges, why not...

Francois





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP VPN Encryption HC-7825 Enterprise

[Choukou Moun]

Très intéressant. Merci pour ton partage d'expérience.

Le mer. 28 mars 2018 à 20:45, Nathan Delhaye  a
écrit :

> Hello,
>
> Perso j'ai laissé tombé tous les truc propriétaire depuis longtemps pour
> les VPN : c'est chiant a gérer, et faut se taper de la doc dès que t'as
> besoin d'une petite feature en plus.
>
> Au niveau fiabilité pour du lien persistant, je l'ai mis en place a 3
> reprises :
> - en L2 sur mes 3 kimsufi perso y'a 5 an pour palier au manque de réseau
> de back-end (tourne toujours)
> - en L3 @job pour avoir une IP de sortie statique pour les remotes et les
> bureaux
> - en L3 lors d'une migration de DC d'un des plus gros sites média de
> France pour faire passer le réseau de prod et les migrations de VM d'un ESX
> a l'autre
>
> Dans les 3 cas j'ai jamais eu de merde avec la solution en elle  même.
> Alors même que j'ai du drop de ouf sur les connexion TCP @job (SFR home
> pour un bâtiment de +-150 personnes)
>
> Le mer. 28 mars 2018 20:25, Choukoumoun  a écrit :
>
>> Bonjour,
>>
>>
>> Je cherche des solutions pour remplacer chez un de mes clients ce systéme:
>>
>>
>> *IP VPN Encryption HC-7825 Enterprise*
>>
>> A cause de sa :
>>
>> https://www.schneier.com/blog/archives/2008/01/nsa_backdoors_i.html
>>
>> Le but serai de faire de interconnection entre plusieurs site en VPN.
>>
>>
>> Je pense faire de l'Openvpn.
>>
>> Qu'en penser vous ?
>>
>>
>> **
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[Michel Py]

> François Otho a écrit :
> # vi /etc/postfix/header_checks

Comment on fait quand on utilise m$ exchange ;-?
Aie aie pas taper, pas taper !

Sérieusement, c'est quand même malheureux qu'on soit obligé de faire çà, 
l'obscurantisme c'est bon pour personne. En plus, ce genre de bidouille, les 
spammeurs professionnels connaissent déjà, les seuls que çà emmerde c'est les 
petits.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[Michel Py]

>>> François Otho a écrit :
>>> Je reconnais qu'on perd le "traçage" mais en réalité c'est un vrai faux 
>>> problème.
>>> On peut tracer de toute façon car que perd-on ? Les traces dans ses propres 
>>> serveurs.
 
>> Michel Py a écrit : 
>> Ca peut être utile des fois.

> La seule information que l'on perde est la "pile" de received.
> Je conçois que ça puisse gêner mais est-ce vraiment si indispensable ?

Tout dépend de ta situation. Le problème, c'est quand tu héberges un spammeur 
(sans le savoir) et que le spammeur se sert de ton smarthost pour envoyer. 
Quand ton IP se retrouve blacklistée (pour une raison légitime), c'est quand 
même pratique d'avoir la trace dans les entêtes pour dégager le spammeur 
rapidement. On peut recouper avec l'ID et le journal de réception, mais c'est 
pas forcément évident.

> Je vous assure que la perte de cette pile n'est rien au regard du confort 
> apporté à
> nos clients qui peuvent expédier leurs emails à travers "le monde" sans jamais
> râler, surtout sans jamais râler auprès de notre assistance ! ^^

Oh je te crois sur parole !

>> Est-ce que quelqu'un a essayé de remplacer "Received" par quelque chose 
>> d'autre ?

> Excellente question et par idiot du tout ^^ 

J'avais commencé à explorer d'autres trucs du genre replacer l'IP 
216.93.213.202 par Z|6-93-Z|3-ZoZ dans les entêtes, mais jamais déployé.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] IP VPN Encryption HC-7825 Enterprise

[Choukoumoun]

Bonjour,


Je cherche des solutions pour remplacer chez un de mes clients ce systéme:


*IP VPN Encryption HC-7825 Enterprise*

A cause de sa :

https://www.schneier.com/blog/archives/2008/01/nsa_backdoors_i.html

Le but serai de faire de interconnection entre plusieurs site en VPN.


Je pense faire de l'Openvpn.

Qu'en penser vous ?


**


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[François Otho]

> > La seule solution est :
> > 
> > /^Received: .*/ IGNORE
> > 
> > J'en suis à deux mois de retour d'expérince depuis cette adaptation
> > et ça fait
> > deux mois que je dors comme un bébé; non seulement avec MS mais
> > par extension, avec les autres opérateurs de messagerie (comme par
> > 'magie')
> 
> Merci pour le truc, j'y aurais pas songé...
> 
> > PS : je n'ai indiqué qu'une partie de la solution ! Faut pas croire
> > que ça peut tomber
> > tout cru tout le temps ! ^^ A vous de chercher la deuxième
> > partie...
> 
> Est-ce en relation avec /^Received: .*/ IGNORE (genre gérer à la fois
> pour les headers 7bits et les headers MIME) ou cela n'a t-il rien à
> voir ?
> 

pas grand chose à voir, non.


> Parce que si ça n'a rien à voir, ça serait bien de laisser un indice
> ;)
> 
> A vot' bon coeur...
> 
> --
> Stéphane Rivière
> Ile d'Oléron - France

Bon, allez contre une bourriche je suis prêt à tout ... ^^

# vi /etc/postfix/header_checks
  ajouter une ligne :
  /^Received: .*/ IGNORE

# vi /etc/postfix/main.cf , 
  ajouter une ligne :
  header_checks = regexp:/etc/postfix/header_checks

# postfix stop; postfix start




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[François Otho]

> De: "Michel Py" 
> 
> >>> François Otho a écrit :
> >>> Combien de received: de ma part (je veux dire émis par "ma
> >>> messagerie") avant d'arriver sur le MX du destinataire ?
>  
> >> Michel Py a écrit :
> >> Tu supprimes les traces des serveurs intermédiaires ? Le message
> >> apparait comme venant directement du dernier serveur qui l'envoie
> >> ?
> 
> > François Otho a écrit :
> > Tout à fait.
> > Et dans ce cas, tu peux même envoyer des emails non respectueux des
> > SPF/DKIM
> > notamment ils arrivent toujours ... en tout cas avec MS. J'ai fais
> > suffisament
> > de tests fin janvier avec "exemples" et "contre-exemples"; ça s'est
> > toujours vérifié.
> 
> Cà ne m'étonne pas, je me rappelle que regarder l'avant-dernier hop
> ainsi que le dernier contre les RBL courantes çà améliorait bien la
> détection du spam.
> 
> > Je reconnais qu'on perd le "traçage" mais en réalité c'est un vrai
> > faux problème.
> > On peut tracer de toute façon car que perd-on ? Les traces dans ses
> > propres serveurs.
> 
> Ca peut être utile des fois.
> 

La seule information que l'on perde est la "pile" de received.

Je conçois que ça puisse gêner mais est-ce vraiment si indispensable ?

Je vous assure que la perte de cette pile n'est rien au regard du confort 
apporté à nos
clients qui peuvent expédier leurs emails à travers "le monde" sans jamais 
râler,
surtout sans jamais râler auprès de notre assistance ! ^^


> > Stéphane Cottin a écrit :
> > Sur nos postfix on a ça, c moins violent, car ne supprime pas toute
> > la
> > chaine des relais, bien utile pour tracer, on masque juste l'ip
> > d'origine. /^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1]
> > (localhost [127.0.0.1])$2
> 
> Est-ce que quelqu'un a essayé de remplacer "Received" par quelque
> chose d'autre ?

Excellente question et par idiot du tout ^^ 

Mais perso, je ne suis pas chaud pour un test à grande échelle.

Le calme relatif qu'apporte, pour l'instant, la solution 
indiquée est tellement appréciable.

Vous avez peut-être vu pour quelle type de clientèle je travaille. 
J'aime autant vous dire qu'un mail qui n'arrive pas, ça prend des proportions 
assez dramatiques.

François

> 
> Michel.
> 
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 fullview bgp

[Alexandre DERUMIER]

Bonjour,

quelqu'un aurait-il un retour d'experience sur les arista 7280R (ou R2),

comme routeur bgp edge avec 4 fullview bgp ?

(Surtout au niveau cpu, nombre de routes (apparement 1million -> 2millions (R2))

Fiabilité, stabilité (bug, ralentissements ou autres ...)

Merci D'avance.

Cordialement,

Alexandre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[Stéphane Rivière]

La seule solution est :

/^Received: .*/ IGNORE

J'en suis à deux mois de retour d'expérince depuis cette adaptation et ça fait
deux mois que je dors comme un bébé; non seulement avec MS mais
par extension, avec les autres opérateurs de messagerie (comme par 'magie')


Merci pour le truc, j'y aurais pas songé...


PS : je n'ai indiqué qu'une partie de la solution ! Faut pas croire que ça peut 
tomber
tout cru tout le temps ! ^^ A vous de chercher la deuxième partie...


Est-ce en relation avec /^Received: .*/ IGNORE (genre gérer à la fois 
pour les headers 7bits et les headers MIME) ou cela n'a t-il rien à voir ?


Parce que si ça n'a rien à voir, ça serait bien de laisser un indice ;)

A vot' bon coeur...

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[Michel Py]

>>> François Otho a écrit :
>>> Combien de received: de ma part (je veux dire émis par "ma
>>> messagerie") avant d'arriver sur le MX du destinataire ?
 
>> Michel Py a écrit :
>> Tu supprimes les traces des serveurs intermédiaires ? Le message 
>> apparait comme venant directement du dernier serveur qui l'envoie ?

> François Otho a écrit :
> Tout à fait.
> Et dans ce cas, tu peux même envoyer des emails non respectueux des SPF/DKIM
> notamment ils arrivent toujours ... en tout cas avec MS. J'ai fais suffisament
> de tests fin janvier avec "exemples" et "contre-exemples"; ça s'est toujours 
> vérifié.

Cà ne m'étonne pas, je me rappelle que regarder l'avant-dernier hop ainsi que 
le dernier contre les RBL courantes çà améliorait bien la détection du spam.

> Je reconnais qu'on perd le "traçage" mais en réalité c'est un vrai faux 
> problème.
> On peut tracer de toute façon car que perd-on ? Les traces dans ses propres 
> serveurs. 

Ca peut être utile des fois.

> Stéphane Cottin a écrit :
> Sur nos postfix on a ça, c moins violent, car ne supprime pas toute la 
> chaine des relais, bien utile pour tracer, on masque juste l'ip 
> d'origine. /^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1] 
> (localhost [127.0.0.1])$2

Est-ce que quelqu'un a essayé de remplacer "Received" par quelque chose d'autre 
?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[François Otho]

J'avais testé cette chose moins violente mais pas de succés à 100% fiable 
pour autant.

(j'ai vraiment vraiment beaucoup testé les deux dernières semaines
de janvier avec un compte vierge chez MS)

Je reconnais qu'on perd le "traçage" mais en réalité c'est un vrai faux 
problème.

On peut tracer de toute façon car que perd-on ? Les traces dans ses propres 
serveurs.
Restent toujours les IDs.

Francois Otho 


- Mail original -
> De: "Stéphane Cottin" 
> À: "François Otho" 
> Cc: "Christophe Moille" , frnog@frnog.org
> Envoyé: Mercredi 28 Mars 2018 19:24:19
> Objet : Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.
> 
> 
> 
> 
> 
> Sur nos postfix on a ça, c moins violent, car ne supprime pas toute
> la chaine des relais, bien utile pour tracer, on masque juste l'ip
> d'origine. /^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1]
> (localhost [127.0.0.1])$2
> 
> On 28 Mar 2018, at 19:07, François Otho wrote:
> 
> 
> 
> 
> Pas de souci,
> 
> Regarde l'header d'un de mes emails.
> 
> Combien de received: de ma part (je veux dire émis par "ma
> messagerie") avant d'arriver sur le MX du destinataire ?
> 
> Un seul (le premier de la liste depuis le 'bas') :
> 
> "Received: from mxsmtp3.adwinfrance.com (mxsmtp3.adwinfrance.com
> [5.196.16.163])
> by cabale.usenet-fr.net (Postfix) with ESMTP id 629C098A50F4
> for ; Wed, 28 Mar 2018 18:28:24 +0200 (CEST)"
> 
> 
> Francois Otho
> 
> - Mail original -
> 
> 
> 
> De: "Christophe Moille" 
> À: frnog@frnog.org
> Envoyé: Mercredi 28 Mars 2018 19:00:41
> Objet : Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.
> 
> Le mercredi 28 mars 2018 à 18:26:56 (+0200), François Otho a écrit :
> 
> 
> 
> La seule solution est :
> 
> /^Received: .*/ IGNORE
> 
> Bonjour,
> 
> Est-ce que t peux expliciter ce que ça veut dire et ce que c'est
> sensé
> corriger ? C'est un peu short comme contribution.
> 
> --
> "La vie se développe. La mort impose ses limites. Quand les deux
> forces sont en
> équilibre, une riche diversité de formes de vies peut exister. La
> mort est un
> facteur limitant qui soutien la possibilité d'une nouvelle vie."
> - Starhawk
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[François Otho]

Tout à fait.

Et dans ce cas, tu peux même envoyer des emails non respectueux des SPF/DKIM 
notamment
ils arrivent toujours ... en tout cas avec MS. J'ai fais suffisament de tests 
fin janvier
avec "exemples" et "contre-exemples"; ça s'est toujours vérifié.

Francois Otho 

- Mail original -
> De: "Michel Py" 
> À: "François Otho" , "Christophe Moille" 
> Cc: frnog@frnog.org
> Envoyé: Mercredi 28 Mars 2018 19:17:44
> Objet : RE: [FRnOG] [TECH] encore et toujours l'antispam microsoft.
> 
> > François Otho a écrit :
> > Combien de received: de ma part (je veux dire émis par "ma
> > messagerie")
> > avant d'arriver sur le MX du destinataire ?
> 
> Tu supprimes les traces des serveurs intermédiaires ? Le message
> apparait comme venant directement du dernier serveur qui l'envoie ?
> 
> Michel.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[Michel Py]

> François Otho a écrit :
> Combien de received: de ma part (je veux dire émis par "ma messagerie")
> avant d'arriver sur le MX du destinataire ?

Tu supprimes les traces des serveurs intermédiaires ? Le message apparait comme 
venant directement du dernier serveur qui l'envoie ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[Christophe Moille]

Le mercredi 28 mars 2018 à 18:26:56 (+0200), François Otho a écrit :
> 
> La seule solution est : 
> 
> /^Received: .*/ IGNORE

Bonjour,

Est-ce que t peux expliciter ce que ça veut dire et ce que c'est sensé
corriger ? C'est un peu short comme contribution.

-- 
"La vie se développe. La mort impose ses limites. Quand les deux forces sont en
équilibre, une riche diversité de formes de vies peut exister. La mort est un
facteur limitant qui soutien la possibilité d'une nouvelle vie."
- Starhawk


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] encore et toujours l'antispam microsoft.

[François Otho]

Salut,

Vous voulez la solution à votre problème ? 

En plus, si je ne me trompe, vous utilisez postfix pour envoyer 
vers "l'extérieur" donc vous pourrez tester en deux x deux.

D'ailleurs, je suis intervenu sur cette liste à deux reprises par le passé pour
tenter de trouver des explications à ces mystères MS.

Mais, début février, j'ai fini par trouver; d'ailleurs grâce au support niveau 
1 (mais assistéE en loose-D d'un niveau sup). de MS.

La seule solution est : 

/^Received: .*/ IGNORE

J'en suis à deux mois de retour d'expérince depuis cette adaptation et ça fait
deux mois que je dors comme un bébé; non seulement avec MS mais 
par extension, avec les autres opérateurs de messagerie (comme par 'magie')

++

Francois Otho 

PS : je n'ai indiqué qu'une partie de la solution ! Faut pas croire que ça peut 
tomber
tout cru tout le temps ! ^^ A vous de chercher la deuxième partie...

PS-2 : vous avez beau adapter DKIM/SPF/DMARC/TLS, avec MS, c'est la seule 
solution.


- Mail original -
> De: "Pierre Colombier" 
> À: frnog@frnog.org
> Envoyé: Vendredi 16 Mars 2018 14:27:40
> Objet : [FRnOG] [TECH] encore et toujours l'antispam microsoft.
> 
> Je profite que c'est trolldi pour poster un petit mail rageux mais
> qui
> est aussi un appel au secours.
> 
> 
> MS m'envoie des mails dans ce genre
> 
>  >Nous avons terminé de vérifier la ou les adresses IP que vous nous
> avez envoyées. Le tableau suivant contient les résultats de notre
> investigation.
>  >
>  >Ne peut pas être débloqué
>  >XXX.XXX.XXX.XXX
>  >Notre investigation a déterminé que les adresses IP ci-dessus ne
> peuvent pas être débloquées.
>  >
>  >Merci de vous assurer que vos emails respectent les stratégies,
> pratiques et directives d’Outlook.com 
> disponibles
> ici : http://mail.live.com/mail/policies.aspx.
> 
> Alors c'est bien gentil mais il se trouve que
> J’ai lu la charte ,
> Les enregistrement DKIM,SPF et DMARC sont valides et passent les
> vérifications.
> Je suis inscrit sur à leurs  programme JMRP et SNDS ET vérifie bien
> tous
> les rapports de spam qui me sont envoyés ( qui sont bien souvent des
> communication légitimes).
> 
> Le contenu qui transite à partir de l'IP en question ne provient que
> de
> comptes professionnels identifiés et dont la communication est
> vérifié.
> Il a pu arriver que des mot de passe d'utilisateurs soient usurpés
> mais
> ce sont des choses qui sont corrigées très rapidement.
> 
> Si je post ici, c'est parce que je passe mon temps a me faire
> délister
> de leurs anti-spam alors même qu’il n’y a rien de suspect et que ca
> commence à m’agacer.
> Ce sont LES SEULS qui posent autant de problèmes, et suite à leur
> politique de migration des domaines vers 365 ou exchange online, ils
> sont malheureusement incontournables...
> 
> Mais en fait, le pire, c'est qu'ils "acceptent" les mails et les
> jettent
> ensuite silencieusement, ce qui fait que l'expéditeur ne sait pas que
> son message n'a pas été délivré.
> Mince! on est pas sur de la boite perso gratuite là !
> La moindre des choses pour un service qui se prétends "professionnel"
> serait de respecter les RFC et de ne pas rejeter silencieusement des
> E-mails !
> L'air de rien, le fait que les expéditeur ne soient pas informés que
> leurs messages n’ont pas été délivrés peut provoquer de gros dégât
> dans
> le monde professionnel.
> 
> Et c'est malheureusement sur le FAI que les clients gueulent. Jamais
> ils
> ne peuvent admettre que ça soit la faute de MS. Au final, ce sont
> LEURS
> problèmes qui consomment MON temps.
> Je fait comment ? j'envoie la facture à MS ? Je dis à mon client de
> se
> démerder avec eux ? Bonne blague !
> 
> Je ne pense pas être le seul dans cette situation.
> Quelqu'un a-t-il une stratégie à proposer ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur Mikrotik CRS317-1G-16S+RM

[Hugues Voiturier]

Il m’a l’air Linerate pourtant, tant que tu restes en Layer2 (Bon après j’ai 
pas analysé en détail, juste survolé)

On pense en prendre 2 pour faire de l’agreg peering/transit derrière des Mkt 
10(09|72) ici. Vu le prix, c’est canon. (D’ailleurs y’en a un déjà commandé, je 
ferai un REX ici ) 

Hugues (AS57199)
Sent from my iPhone



Sent from my iPhone
> On 27 Mar 2018, at 17:57, Guillaume Barrot  wrote:
> 
> Juste une question, mais vos relevés en prod sont ils cohérents avec les
> tests de perf de Mikrotik ?
> 
> (https://mikrotik.com/product/crs317_1g_16s_rm#fndtn-testresults)
> 
> Parce que si j'en crois cette page, c'est tout sauf line rate comme
> équipement.
> Du coup si le besoin c'est réellement du full 10G ... c'est peut être pas
> le bon plan.
> 
> Y a une différence de budget évidemment, mais sinon, en 18 x 10G (enfin
> 10/25G pour le coup, et linerate) y a ça :
> 
> http://www.mellanox.com/blog/2017/11/mellanox-sn2010-the-best-hyperconverged-infrastructure-switch/
> 
> c'est pas le même prix, c'est sur, mais bon, ça tient vraiment la perf par
> contre.
> 
>> Le 27 mars 2018 à 17:44, Guillaume Esnault  a écrit :
>> 
>> Bonjour à tous,
>> Nous en avons une dizaine de déployé. Pas de SwOS (Trop limité). Nous
>> en sommes très content, surtout depuis la maj. 6.41 de Router0S.Ça sait
>> presque tout faire et c'est administrable par ssh. Cpdt, le truc est
>> touffu et un peu abscons.
>> Enfin, c'est pas cher du tout.
 Le mardi 27 mars 2018 à 17:29 +0200, Julien Escario a écrit :
 Le 27/03/2018 à 17:10, Frank ALEXIS a écrit :
 Bonjour à vous, les experts LAN/WAN, dont je bois les emails avec
 plaisir (pas de truc tordus hein !),
 
 J'aimerai avoir vos avis sur ce Mikrotik CRS317-1G-16S+RM
>>> 
>>> Je n'ai qu'une première impression à te fournir puisqu'on vient d'en
>>> déployer un
>>> pour de l'interco entre noeuds de stockage. Ca fait quelques semaines
>>> qu'il
>>> tournait en lab.
>>> A priori, il faut impérativement le passer en SwOS. D'ailleurs, j'ai
>>> réussi à
>>> péter sa partie RouterOS dans l'opération, jamais pu le faire
>>> redémarrer avec ça
>>> mais je n'ai pas creuser.
>>> 
>>> Sinon, ca tient la route, latence tout à fait dans la norme, quasi-
>>> invisible par
>>> rapport à la latence en SFP+ coax direct.
>>> 
>>> La redondance d'alim fonctionne bien, je l'ai triturée dans tous les
>>> sens.
>>> 
>>> En terme de fonctionnalités, il ne faut en attendre la lune et
>>> typiquement swOS,
>>> c'est le genre de firmware que je ne mettrais pas en direct
>>> accessible sur le
>>> net (http only :-( ).
>>> Donc typiquement à n'accéder qu'au travers d'un VPN ou en direct sur
>>> le LAN.
>>> 
>>> Julien
>> --
>> Guillaume Esnault
>> Mobile: +33 688 226 902
>> Fixe: +33 290 096 224
>> 
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> 
> -- 
> Cordialement,
> 
> Guillaume BARROT
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] AMD EPYC 128 PCIe lanes

[Guillaume Barrot]

PS : aux dernières nouvelles, c'est 128 lanes PCI. Mais Gen3 uniquement
bridé par le code, c'est à dire que dès que la Gen4 est UP, ils suffiraient
de mettre à jour les firmwares des CM pour avoir 128 lanes PCIe4.0.
J'attends de voir.

Le 28 mars 2018 à 15:51, Guillaume Barrot  a
écrit :

> 0 cartes en prod sur de la marque générique, toutes les cartes denses en
> PCI sont des cartes dédiées au mining, donc des PCI 1x en pagaille.
>
> Si 6 slots PCI 16x te suffisent, il y a Dell R7425 qui a un riser dédié 6
> x 16x (MP pour que je te fasse une quote).
> J'ai un point prévu sur le sujet pour avoir du matos de test, et
> bizarrement devine avec quel soft ? :)
>
> Faudrait voir avec Supermicro, Quanta ou Lanher s'ils ont du 8 x 16x mono
> proc ou du 16 x 16x dual proc dans le pipe, mais bon courage, j'ai eu
> aucune réponse de mon coté.
> Après le form factor en 16 x 16x, ça doit être assez ... déroutant :)
>
> Le 28 mars 2018 à 12:09, Kavé Salamatian 
> a écrit :
>
>> Tiens on a quelque chose comme ca chez les partenaires de l’académie des
>> sciences en Chine. Mais on a une fait une carte maison. On y plugs des
>> cartes Tilera  et/ou Intel.  J’attends aussi de voir des serveurs
>> commerciaux, même si je ne suis pas sur que ca revienne moins que nos
>> cartes maison …
>>
>> A+
>>
>> Kv
>>
>> > Le 28 mars 2018 à 11:43, Vincent JARDIN  a
>> écrit :
>> >
>> > Qui connaît un fournisseur de serveurs "production ready" avec des EPYC
>> et 7~8 slots en PCIe gen3 afin de stresser leurs fameuses 128 PCIe Gen3
>> lanes?
>> >
>> > J'attends d'en obtenir 300 Mpps à 500 Mpps en routage si de tels
>> serveurs existent:
>> >  - y mettre 7 cartes 100Gbps de Mellanox,
>> >  - pousser notre vRouter,
>> >  - stresser avec un tgen à la hauter.
>> >
>> > merci,
>> >  Vincent
>> >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
>
> --
> Cordialement,
>
> Guillaume BARROT
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] AMD EPYC 128 PCIe lanes

[Guillaume Barrot]

0 cartes en prod sur de la marque générique, toutes les cartes denses en
PCI sont des cartes dédiées au mining, donc des PCI 1x en pagaille.

Si 6 slots PCI 16x te suffisent, il y a Dell R7425 qui a un riser dédié 6 x
16x (MP pour que je te fasse une quote).
J'ai un point prévu sur le sujet pour avoir du matos de test, et
bizarrement devine avec quel soft ? :)

Faudrait voir avec Supermicro, Quanta ou Lanher s'ils ont du 8 x 16x mono
proc ou du 16 x 16x dual proc dans le pipe, mais bon courage, j'ai eu
aucune réponse de mon coté.
Après le form factor en 16 x 16x, ça doit être assez ... déroutant :)

Le 28 mars 2018 à 12:09, Kavé Salamatian  a
écrit :

> Tiens on a quelque chose comme ca chez les partenaires de l’académie des
> sciences en Chine. Mais on a une fait une carte maison. On y plugs des
> cartes Tilera  et/ou Intel.  J’attends aussi de voir des serveurs
> commerciaux, même si je ne suis pas sur que ca revienne moins que nos
> cartes maison …
>
> A+
>
> Kv
>
> > Le 28 mars 2018 à 11:43, Vincent JARDIN  a
> écrit :
> >
> > Qui connaît un fournisseur de serveurs "production ready" avec des EPYC
> et 7~8 slots en PCIe gen3 afin de stresser leurs fameuses 128 PCIe Gen3
> lanes?
> >
> > J'attends d'en obtenir 300 Mpps à 500 Mpps en routage si de tels
> serveurs existent:
> >  - y mettre 7 cartes 100Gbps de Mellanox,
> >  - pousser notre vRouter,
> >  - stresser avec un tgen à la hauter.
> >
> > merci,
> >  Vincent
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur Mikrotik CRS317-1G-16S+RM

[Frank ALEXIS]

Ça c'est la "Killer Feature" !!!

J'achète direct juste pour faire baver mes barbus ;-)

Merci pour vos retours.
Je vais tester le truc, en n'exposant pas le port 80 comme un n00bs sur 
l'internet-NSAiffié (oups !)

Frank

> Le 28 mars 2018 à 09:34, Julien Escario  a écrit :
> 
> Le 27/03/2018 à 18:07, David Ponzone a écrit :
>> Je confirme :)
>> C'est redoutable.
>> Le language de scripting permet de faire des trucs sioux.
> 
> Y compris des trucs indispensables comme leur faire jour Thunderstruck. Testé 
> et
> approuvé, y compris en cluster avec synchro NTP. Bon, le son n'est pas au 
> mieux.
> 
> Oui, je sais, on dirait que j'ai du temps à perdre comme ça.
> 
> Julien
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Coordonnées Câbleur

[Sylvain Vallerot]

Salut,

J'ai un gros client qui bosse beaucoup avec la société BUGS,
j'ai toujours trouvé leur travail sérieux, donc je t'invite à 
contacter de ma part

Philippe PELLETIER

bugs-pellet...@orange.fr

Bonne journée,
Sylvain


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] AMD EPYC 128 PCIe lanes

[Kavé Salamatian]

Tiens on a quelque chose comme ca chez les partenaires de l’académie des 
sciences en Chine. Mais on a une fait une carte maison. On y plugs des cartes 
Tilera  et/ou Intel.  J’attends aussi de voir des serveurs commerciaux, même si 
je ne suis pas sur que ca revienne moins que nos cartes maison …

A+

Kv

> Le 28 mars 2018 à 11:43, Vincent JARDIN  a écrit :
> 
> Qui connaît un fournisseur de serveurs "production ready" avec des EPYC et 
> 7~8 slots en PCIe gen3 afin de stresser leurs fameuses 128 PCIe Gen3 lanes?
> 
> J'attends d'en obtenir 300 Mpps à 500 Mpps en routage si de tels serveurs 
> existent:
>  - y mettre 7 cartes 100Gbps de Mellanox,
>  - pousser notre vRouter,
>  - stresser avec un tgen à la hauter.
> 
> merci,
>  Vincent
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] AMD EPYC 128 PCIe lanes

[Vincent JARDIN]

Qui connaît un fournisseur de serveurs "production ready" avec des EPYC 
et 7~8 slots en PCIe gen3 afin de stresser leurs fameuses 128 PCIe Gen3 
lanes?


J'attends d'en obtenir 300 Mpps à 500 Mpps en routage si de tels 
serveurs existent:

  - y mettre 7 cartes 100Gbps de Mellanox,
  - pousser notre vRouter,
  - stresser avec un tgen à la hauter.

merci,
  Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Audit Wifi

[Arnaud Mombrial]

Bonjour la liste,

Dans le cadre de l'emménagement dans nos futurs bureaux parisiens, nous
aurions besoin d'un accompagnement sur le wifi.

Concernant le projet, il s'agit d'un bâtiment d'un peu plus de 5000m2 sur 8
étages, et nous souhaitons que le wifi soit le médium d'accès principal à
Internet pour les différentes populations de l'immeuble.

Nos problématiques sont multiples, en vrac :

Besoin d'une prestation de planification (survey planner) afin d'indiquer
le plus précisément possible aux ouvriers où implanter les points d'accès
wifi. Pour cette partie, il me semble que le seul soft techno-agnostique
soit Ekahau. Avez-vous des expériences en la matière, et connaissez-vous
des prestataires compétents sur ce sujet ?

Montée en compétences de nos équipes techniques sur cette techno. On a pour
l'instant réussi à mettre en place du wifi qui "fonctionne" au sein de nos
différentes filiales, pour autant, on sent bien qu'il y a une différence
nette entre la couverture d'un open-space et d'un bâtiment de plusieurs
étages.

Choix de la techno. Aujourd'hui nous avons de l'expérience sur de l'Unifi
et du Meraki principalement. Pour autant, on aimerait pouvoir avoir un
retour sur d'autres vendeurs, type AeroHive qui revient souvent sur le
tapis dans les discussions qu'on a par ailleurs.

Merci !

--
Arnaud

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur Mikrotik CRS317-1G-16S+RM

[Julien Escario]

Le 27/03/2018 à 18:07, David Ponzone a écrit :
> Je confirme :)
> C'est redoutable.
> Le language de scripting permet de faire des trucs sioux.

Y compris des trucs indispensables comme leur faire jour Thunderstruck. Testé et
approuvé, y compris en cluster avec synchro NTP. Bon, le son n'est pas au mieux.

Oui, je sais, on dirait que j'ai du temps à perdre comme ça.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur Mikrotik CRS317-1G-16S+RM

[Julien “JaXX” Banchet]

Oui alors sans prendre la défense de Mikrotik, c’est patché, et ça ne 
n’injectait des DLL pourries que sur les devices non firewallés exposant le 
port 80
https://forum.mikrotik.com/viewtopic.php?t=131748
https://www.wired.com/story/router-hacking-slingshot-spy-operation-compromised-more-than-100-targets/

On pourra dire plein de choses de RouterOS, mais niveau sécu, ils sont pas pire 
que les autres



On 28 Mar 2018 at 08:08 +0200, Erik FREE , wrote:
> Avec la decouverte de SlingShot, j'y réfléchirais à deux fois.
>
> http://www.lemagit.fr/actualites/252437373/Slingshot-le-renseignement-americain-grille-plus-vite-quavec-Stuxnet
>
> Le 27 mars 2018 17:11:40 Frank ALEXIS  a écrit :
>
> > Bonjour à vous, les experts LAN/WAN, dont je bois les emails avec plaisir
> > (pas de truc tordus hein !),
> >
> > J'aimerai avoir vos avis sur ce Mikrotik CRS317-1G-16S+RM
> >
> > J'envisage d'en faire une d'interconnexion de 2 baies (10m) en SFP+ 10Gb
> > Fibre LC avec les miniGbic qui vont bien, en trunk (2x10 ou 4x10) et
> > quelques miniGbic RJ45 10Gb pour des postes users direct sur le coeur
> > réseau (des gourmands de montage vidéo 4k direct sur NAS 2x10Gb)
> >
> > J'avais envisagé du Ubiquiti Unifi 16XG (US16XG) pour l'outil de management
> > tout joli/tout beau/tout facile (pour les captures écran au client : Whaou
> > c'est chouette ;-) !)
> >
> > Merci.
> >
> > Frank ALEXIS
> >
> > néoIP
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur Mikrotik CRS317-1G-16S+RM

[Erik FREE]

Avec la decouverte de SlingShot, j'y réfléchirais à deux fois.

http://www.lemagit.fr/actualites/252437373/Slingshot-le-renseignement-americain-grille-plus-vite-quavec-Stuxnet

Le 27 mars 2018 17:11:40 Frank ALEXIS  a écrit :

Bonjour à vous, les experts LAN/WAN, dont je bois les emails avec plaisir 
(pas de truc tordus hein !),


J'aimerai avoir vos avis sur ce Mikrotik CRS317-1G-16S+RM

J'envisage d'en faire une d'interconnexion de 2 baies (10m) en SFP+ 10Gb 
Fibre LC avec les miniGbic qui vont bien, en trunk (2x10 ou 4x10) et 
quelques miniGbic RJ45 10Gb pour des postes users direct sur le coeur 
réseau (des gourmands de montage vidéo 4k direct sur NAS 2x10Gb)


J'avais envisagé du Ubiquiti Unifi 16XG (US16XG) pour l'outil de management 
tout joli/tout beau/tout facile (pour les captures écran au client : Whaou 
c'est chouette ;-) !)


Merci.

Frank ALEXIS

néoIP


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/