Re: [FRnOG] [TECH] BGP et HSRP

2018-04-06 Par sujet David Ponzone 
Michel,

BGP n’implémente pas de HA (synchro d’état entre master et slave).
Donc ton routeur stand-by, quand il passe actif, il n’a pas la session BGP up.
Le routeur en face lui continue de balancer des paquets BGP de la session en 
cours au nouveau routeur, qui ne comprend pas parce qu’il est en train 
d’initier la session BGP.
Donc le temps que ça remonte, je vois mal comment la convergence BGP ne 
pourrait pas avoir d’impact.

David Ponzone



Le 7 avr. 2018 à 05:34, Michel Py  a écrit :
> 
> Temps de convergence. Parfois.
> Cas de figure : un des deux routeurs se plante, pour de bon, genre alim ou 
> autre, c'est pas a moitié mort, c'est mort.
> [c'est le cas facile; quand le routeur n'est "qu'à" moitié mort, tu es dans 
> la mouise]
> 
> Les timers de BGP sont lents, comparés à HSRP. Ton routeur principal meurt, 
> if faut quand même quelques minutes avant que tout le monde s'en aperçoive.
> Avec HSRP, le routeur de l'autre coté n'a pas besoin d'attendre que la 
> session BGP meure. De toute façon, il continue à envoyer à l'adresse 
> virtuelle, qui change de router quand un des deux se plante. Avec HSRP 
> (probablement VRRP aussi) quand il y a plantage, le routeur qui survit prend 
> la même adresse MAC pour l'IP virtuelle et envoie des gratuitous ARP; chaque 
> fois que j'ai essayé on perd un ping ou deux, pas plusieurs minutes.
> 
> Ce que HSRP te donne, c'est quelque(s) minute(s) de pas être dans le quand un 
> routeur meurt.
> 
> C'est la "High Availability" du pauvre, et ma boite est pauvre.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
>> Youssef Bengelloun-Zahr a écrit : 
>> Euh 3+2+2 = 8 !?!

> Manuel Guesdon a écrit :
> Mea culpa.
> Mais dans d'autre cas on n'a pas forecement envie de griller une IP 
> supplémentaire.

Une IP çà coute environ 10 € à acheter, dépendant de la taille du bloc. Moi, je 
ne me fais pas ch... pour si peu.
Surtout dans un /29. Quelles sont les alternatives ? /30 et un-numbered.

Un-numbered je ne fais plus. J'ai essayé, quand çà marche c'est sympa, et quand 
çà ne marche pas, pour économiser 20 € tu t'emmerdes pendant des heures ou des 
jours, pas glop.
/30 c'est bien, mais pas de redondance.
/29 pourquoi se faire ch... à économiser UNE p... d'IP ? t'en as 6 de toute 
façon, pourquoi s'emmerder à avoir la virtuelle qui est la même que ton routeur 
?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] BGP et HSRP

2018-04-06 Par sujet Michel Py 
>> Michel Py a écrit :
>> Comment vous faites par chez vous BGP et HSRP ?
>> On ne peut PAS avoir l'adresse virtuelle qui soit le router-ID.
>> Dont il faut une session 2 sessions BGP et set next-hop l'adresse virtuelle 
>> dans la route-map out.
>> R1 192.168.0.1  R3192.168.0.4
>> R2 192.268.0.2  <>  R4192.168.0.5
>> Virt   192.168.0.3  Virt  192.168.0.6
>> Une session BGP entre R1 et R3, une autre entre R2 et R4.

> Clément Guivy a écrit :
> bonjour, question peut-être bête,

Pas bête du tout, et tu n'es pas le premier à demander. C'est trolldi, merci de 
fouetter Michel si, comme d'ab, il ne raconte que des c


> Au pire en jouant sur la métrique de ton choix si tu tiens à faire passer le 
> trafic par certains routeurs en priorité.

J'inverse l'ordre des questions dans le fil, et la priorité n'a rien à voir. 
C'est la loi de Murphy : quelle que soit la priorité que tu définis, le premier 
routeur qui va planter est celui qui a la priorité la plus haute :P
Plus sérieusement :


> mais à quel besoin répond HSRP dans un scénario comme celui-là ? les deux 
> sessions BGP ne sont-elles pas suffisantes ?

Temps de convergence. Parfois.
Cas de figure : un des deux routeurs se plante, pour de bon, genre alim ou 
autre, c'est pas a moitié mort, c'est mort.
[c'est le cas facile; quand le routeur n'est "qu'à" moitié mort, tu es dans la 
mouise]

Les timers de BGP sont lents, comparés à HSRP. Ton routeur principal meurt, if 
faut quand même quelques minutes avant que tout le monde s'en aperçoive.
Avec HSRP, le routeur de l'autre coté n'a pas besoin d'attendre que la session 
BGP meure. De toute façon, il continue à envoyer à l'adresse virtuelle, qui 
change de router quand un des deux se plante. Avec HSRP (probablement VRRP 
aussi) quand il y a plantage, le routeur qui survit prend la même adresse MAC 
pour l'IP virtuelle et envoie des gratuitous ARP; chaque fois que j'ai essayé 
on perd un ping ou deux, pas plusieurs minutes.

Ce que HSRP te donne, c'est quelque(s) minute(s) de pas être dans le quand un 
routeur meurt.

C'est la "High Availability" du pauvre, et ma boite est pauvre.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
On Fri, 6 Apr 2018 22:21:02 +0200
Youssef Bengelloun-Zahr  wrote:
>| Euh 3+2+2 = 8 !?!

Mea culpa.


>| On utilise justement des /29 pour intercos avec des appliances sur le même 
>schéma (2 IPs physiques + 1 IP virtuelle), c’est juste le minimum pour que ça 
>passe.
>| 
>| 6 IPs utilisables (3+3) et deux inutilisables.

Ca dépend effectivement du contexte et du type d'interco: pour de la gw de
réseau interne genre 10.0.0.0/24 on n'est pas à une ip près. Pareil pour de
l'interco de deux équipements. Mais dans d'autre cas on n'a pas
forecement envie de griller une IP supplémentaire.

Manuel


--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] BGP et HSRP

2018-04-06 Par sujet Manuel Guesdon 
On Fri, 6 Apr 2018 20:36:24 +
Michel Py  wrote:
>| Comment vous faites par chez vous BGP et HSRP ?

Heu quel intéret de faire du BGP sur du HSRP ?

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] BGP et HSRP

2018-04-06 Par sujet Clément Guivy 

On 06/04/2018 22:36, Michel Py wrote:

Bonjour à tous,

Comment vous faites par chez vous BGP et HSRP ?

On ne peut PAS avoir l'adresse virtuelle qui soit le router-ID.
Dont il faut une session 2 sessions BGP et set next-hop l'adresse virtuelle 
dans la route-map out.

R1 192.168.0.1  R3192.168.0.4
R2 192.268.0.2  <>  R4192.168.0.5
Virt   192.168.0.3  Virt  192.168.0.6

Une session BGP entre R1 et R3, une autre entre R2 et R4.


bonjour, question peut-être bête, mais à quel besoin répond HSRP dans un 
scénario comme celui-là ? les deux sessions BGP ne sont-elles pas 
suffisantes ? Au pire en jouant sur la métrique de ton choix si tu tiens 
à faire passer le trafic par certains routeurs en priorité.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] BGP et HSRP

2018-04-06 Par sujet Michel Py 
Bonjour à tous,

Comment vous faites par chez vous BGP et HSRP ?

On ne peut PAS avoir l'adresse virtuelle qui soit le router-ID.
Dont il faut une session 2 sessions BGP et set next-hop l'adresse virtuelle 
dans la route-map out.

R1 192.168.0.1  R3192.168.0.4
R2 192.268.0.2  <>  R4192.168.0.5
Virt   192.168.0.3  Virt  192.168.0.6

Une session BGP entre R1 et R3, une autre entre R2 et R4.

J'ai vus des bidouilles avec une loopback qui a la même adresse sur les 2 
routeurs, çà me parait crade.

Vos avis ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
> Manuel Guesdon a écrit :
> Ben y'a serial-over-ssh pour ca et le port management. Après effectivement ca 
> depend du cadre.
> Le probleme avec 3 adresses c'est que tu en 'gaches'. Sur un /29, si tu 
> enleves network, bcast
> et 3 IPs de gw il te reste seulement 2 IPs 'utilisables'

En fait 3, car il y a 6 adresses utilisables dans un /29, donc tu peux faire 
2+1 + 2+1 des deux cotés.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Youssef Bengelloun-Zahr 
Euh 3+2+2 = 8 !?!

On utilise justement des /29 pour intercos avec des appliances sur le même 
schéma (2 IPs physiques + 1 IP virtuelle), c’est juste le minimum pour que ça 
passe.

6 IPs utilisables (3+3) et deux inutilisables.

My 2 cents.

Y.



> Le 6 avr. 2018 à 22:14, Manuel Guesdon  a écrit :
> 
> On Fri, 6 Apr 2018 15:04:12 +
> Michel Py  wrote:
> 
>> | > David Ponzone a écrit :
>> | > Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle 
>> identique à une des IP réelles.
>> | 
>> | Je continue à préférer l'ancien système : le stanby devient active 
>> (problème avec celui qui était active). Tu veux te connecter à celui qui a 
>> un problème, pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas 
>> glop, une IP par routeur plus la fantome. Bien plus simple.
> 
> Ben y'a serial-over-ssh pour ca et le port management. Après effectivement ca
> depend du cadre. Le probleme avec 3 adresses c'est que tu en 'gaches'. Sur
> un /29, si tu enleves network, bcast et 3 IPs de gw il te reste seulement 2
> IPs 'utilisables'
> 
> Manuel 
> 
> --
> __
> Manuel Guesdon - OXYMIUM
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Lags avec video - OVS-DPDK

2018-04-06 Par sujet Vincent JARDIN 
Si quelqu'un opère des réseaux avec des vidéos, pouvez vous me dire ça 
cette vidéo a du sens:

  https://www.youtube.com/watch?v=Z5M0Zl0uvj0
???

On y voit un vSwitch (OVS-DPDK) qui est incapable de tenir la charge 
quand le réseau est soumis à de nombreux flows... mais est-ce un cas réel?


merci,
  Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
> Guillaume Barrot a écrit :
> Ouais enfin entre temps Dieu a inventé la loopback, ou le port de management 
> dédié. "Il vit que cela était bon, et il alla trouver
> une solution aux problèmes des putains de 6500 qui pullulent encore trop chez 
> les SPs sans le sou. C'était le 27em jour."

Moi j'ai pas de problème avec mes 6500 et j'ai ai plein. Bon, si tu me donnes 
des Nexus neufs à la place je prends... Si t'as des sous en trop je les prends 
aussi, hein.

Le port de management dédié c'est pas l'idéal pour moi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Guillaume Barrot 
Le 6 avril 2018 à 17:04, Michel Py  a
écrit :

> Je continue à préférer l'ancien système : le stanby devient active
> (problème avec celui qui était active). Tu veux te connecter à celui qui a
> un problème, pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas
> glop, une IP par routeur plus la fantome. Bien plus simple.
>

Ouais enfin entre temps Dieu a inventé la loopback, ou le port de
management dédié. "Il vit que cela était bon, et il alla trouver une
solution aux problèmes des putains de 6500 qui pullulent encore trop chez
les SPs sans le sou. C'était le 27em jour."

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Guillaume Barrot 
Ca serait bien du coup, de demande à https://twitter.com/ericfreyss de
venir au prochain FRnog nous donner le point de vue de la Gendarmerie à ce
sujet...

Le 6 avril 2018 à 13:46, David Ponzone  a écrit :

> Il faudrait aussi aligner l'information auprès des forces de l'ordre en
> France, qui régulièrement demandent l'identification d'un utilisateur avec
> des éléments datant d'il y a plus de 2 ans.
> C'est quand même délicat de devoir leur répondre que c'est pas possible :)
>
> Le 6 avr. 2018 à 13:37, Solarus a écrit :
>
> >
> >
> > Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
> >> Bonjour,
> >>
> >> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> >> utilisateurs et une obligation de conserver les logs pendant une
> >> certaine durée.
> >>
> >> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> >> impose ou implique vis à vis du RGPD ?
> >>
> > Salut Jérôme.
> >
> > La RGPD s'applique aux acteurs privés dans les collectes à finalité
> > privée, pas aux obligations légales relatives à l'exercice de l'autorité
> > publique.
> > Dans le détail c'est un peu plus complexe, il y a toute un combat autour
> > de l'arrêt Télé 2 et de l'article 6 du RGPD.
> >
> > En l'état rien ne remet en cause la collecte des éléments demandés par
> > loi, dans le délai imposé par la loi (et strictement ces éléments là).
> > Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
> > de la loi française sur le droit européen (conservation d'1 an au lieu
> > de 2) mais ça n'est pas encore fait.
> >
> > Cordialement
> > Solarus
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet David Ponzone 
+1, on est des vieux


Le 6 avr. 2018 à 17:04, Michel Py a écrit :

>> David Ponzone a écrit :
>> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique à 
>> une des IP réelles.
> 
> Je continue à préférer l'ancien système : le stanby devient active (problème 
> avec celui qui était active). Tu veux te connecter à celui qui a un problème, 
> pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas glop, une IP 
> par routeur plus la fantome. Bien plus simple.
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Guillaume Barrot 
Techniquement, c'est plutot que tu n'as plus besoin d'IP sur réelle, car tu
peux répondre directement par la virtuelle (p-arp).
En théorie en tous cas, et sur Linux, après chez Cisco ... autre paire de
manches.

Le 6 avril 2018 à 09:17, David Ponzone  a écrit :

> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique
> à une des IP réelles.
> Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.
>
> Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :
>
> > Hello la liste,
> >
> > Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> > spécifique pour la virtuelle.
> >
> > Ça a l'air bien expliqué ici :
> > https://www.randco.fr/blog/2012/2045/
> >
> > En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui
> soit
> > définie.
> > En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> > pour ne pas avoir d'interruption de service le temps que la table ARP
> soit
> > refreshée.
> >
> > C'est expliqué au chapitre  8.1.2
> > . "Host ARP
> Requests",
> > ici :
> >
> > https://tools.ietf.org/html/rfc5798
> >
> >
> >
> > Pour éviter une blague en prod, je te recommande de vérifier la MAC
> address
> > table en face de chaque interface histoire de voir si tu as bien 3
> adresses
> > MAC en tout ; 2 physiques et 1 virtuelle.
> > Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> >
> >
> > Cordialement,
> > Cédric Houzé.
> >
> >
> >
> > Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a
> écrit :
> >
> >> Bonsoir,
> >> je me lance pour ma première réponse dans la mailing list :)
> >> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
> >> Nexus (jusque là c'est classique).
> >> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
> >> IP dans les familles d'adresses.
> >> En IPv4, il y a la primaire et la secondaire. La primaire sert
> uniquement
> >> de next hop, tous les paquets qui sont directement adressés à cette
> adresse
> >> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on
> veut
> >> causer directement à l'équipement.
> >> En IPv6, il faut configurer une adresse globale ET une adresse
> link-local
> >> qui servira de next-hop pour les hôtes.
> >> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
> >> template de conf trouvé dans le guide des Nexus 3000 :
> >>
> >> interface Vlan20
> >> vrrpv3 10 address-family ipv4
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address 20.1.1.1 primary
> >> address 20.1.1.5 secondary
> >> vrrpv3 10 address-family ipv6
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address fe80::1 primary
> >> address 2011::5
> >>
> >> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
> >>
> >>
> >> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/
> nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
> >>
> >> Cordialement,
> >>
> >> LECLERC Eric
> >>
> >> Mobile +33 6 95 07 88 59
> >>
> >> er.lecler...@gmail.com
> >>
> >> Le 5 avril 2018 à 22:58, Michel Py 
> a
> >> écrit :
> >>
>  David Ponzone a écrit :
>  Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
> >>> IP réelle par routeur, et une IP virtuelle flottante.
>  Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses
> IP.
>  Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
> >>> identique à une des IP réelles, mais cela me semble risquer.
> >>>
> >>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
> >>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes
> de
> >>> HSRP, pas VRRP).
> >>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
> David Ponzone a écrit :
> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique à 
> une des IP réelles.

Je continue à préférer l'ancien système : le stanby devient active (problème 
avec celui qui était active). Tu veux te connecter à celui qui a un problème, 
pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas glop, une IP par 
routeur plus la fantome. Bien plus simple.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Script mikrotik

2018-04-06 Par sujet Sébastien 65 
Parceque j'ai lu trop rapidement


Le print de i te donne vraiment rien ? Perso je fais plutôt ${i}


 Check_VARIABLE=(_VAL1_ _VAL2_ _VAL3_ _VAL4_ _)

for i in "${Check_VARIABLE[@]}"
do
if [ -z "${!i}" ] ; then
# ERREUR : FIN DU PROGRAMME
/bin/rm ${TASK_IN_LOAD}
exit
fi
done




De : Kevin Thiou 
Envoyé : vendredi 6 avril 2018 16:21:11
À : Sébastien 65
Cc : David Ponzone; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Script mikrotik

Pourquoi LD ?

mes valeurs de i sont LD1, LM1, LDV1, LV2, LM2, LDV2.

Cdt

Le 6 avril 2018 à 16:16, Sébastien 65 
> a écrit :

Essaye avec ${LD} ou "${LD}"


De : frnog-requ...@frnog.org 
> de la part de Kevin 
Thiou >
Envoyé : vendredi 6 avril 2018 15:52:26
À : David Ponzone
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Script mikrotik

J'ai réussi a mettre le $ devant mais je pense que le routerOS interprète
le $LD1 comme une valeur et pas comme une variable.

:foreach i in $LOGIN do={:global temp ("\$" . "$i"); :interface
pppoe-client monitor $i once do={:put $temp; :set ($temp->"operstatus")
$status}}

$LD1
  status: connected


Le 6 avril 2018 à 15:29, Kevin Thiou 
> a écrit :

> Je me doutais bien que c'était ca, j'ai essayé beaucoup de \$ "\$" "\$".
> ...
>
> mais pas encore trouvé.
>
> Merci
>
> Le 6 avril 2018 à 15:27, David Ponzone 
> > a écrit :
>
>> A priori, ton ($i->"operstatus") devient (LD1->"operstatus")
>>
>> Or pour faire un set dans l'array LD1, il faut que ça soit
>> ($LD1->"operstatus")
>> J'ai pas encore trouvé comment mettre le $ supplémentaire ceci dit, mais
>> ça te fait un bon sujet de recherche pour cette fin de journée :)
>>
>> Le 6 avr. 2018 à 14:40, Kevin Thiou a écrit :
>>
>> > bonjour,
>> >
>> > j'essai de faire un script qui récupère des infos sur les sessions
>> pppoe,
>> > pour les stocker dans un array.
>> >
>> > Déclaration de mes array
>> > :global LD1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LM1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LDV1 {user="" ; interface="ether1"; operstatus="" ;
>> admstatus="";
>> > upcounter=0}
>> > :global LV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LM2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LDV2 {user="" ; interface="ether1"; operstatus="" ;
>> admstatus="";
>> > upcounter=0}
>> >
>> > Déclaration d'un array rassemblant mes logins
>> > :global LOGIN {"LD1"; "LM1"; "LDV1"; "LV2"; "LM2"; "LDV2"}
>> >
>> > boucle pour récupérer les infos
>> > :foreach i in $LOGIN do={:interface pppoe-client monitor $i once
>> do={:set
>> > ($i->"operstatus") $status}}
>> >
>> > Résultat, rien, ça ne fonctionne pas
>> >
>> > Une idée ?
>> >
>> > Merci
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Script mikrotik

2018-04-06 Par sujet Sébastien 65 
Essaye avec ${LD} ou "${LD}"


De : frnog-requ...@frnog.org  de la part de Kevin 
Thiou 
Envoyé : vendredi 6 avril 2018 15:52:26
À : David Ponzone
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Script mikrotik

J'ai réussi a mettre le $ devant mais je pense que le routerOS interprète
le $LD1 comme une valeur et pas comme une variable.

:foreach i in $LOGIN do={:global temp ("\$" . "$i"); :interface
pppoe-client monitor $i once do={:put $temp; :set ($temp->"operstatus")
$status}}

$LD1
  status: connected


Le 6 avril 2018 à 15:29, Kevin Thiou  a écrit :

> Je me doutais bien que c'était ca, j'ai essayé beaucoup de \$ "\$" "\$".
> ...
>
> mais pas encore trouvé.
>
> Merci
>
> Le 6 avril 2018 à 15:27, David Ponzone  a écrit :
>
>> A priori, ton ($i->"operstatus") devient (LD1->"operstatus")
>>
>> Or pour faire un set dans l'array LD1, il faut que ça soit
>> ($LD1->"operstatus")
>> J'ai pas encore trouvé comment mettre le $ supplémentaire ceci dit, mais
>> ça te fait un bon sujet de recherche pour cette fin de journée :)
>>
>> Le 6 avr. 2018 à 14:40, Kevin Thiou a écrit :
>>
>> > bonjour,
>> >
>> > j'essai de faire un script qui récupère des infos sur les sessions
>> pppoe,
>> > pour les stocker dans un array.
>> >
>> > Déclaration de mes array
>> > :global LD1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LM1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LDV1 {user="" ; interface="ether1"; operstatus="" ;
>> admstatus="";
>> > upcounter=0}
>> > :global LV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LM2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LDV2 {user="" ; interface="ether1"; operstatus="" ;
>> admstatus="";
>> > upcounter=0}
>> >
>> > Déclaration d'un array rassemblant mes logins
>> > :global LOGIN {"LD1"; "LM1"; "LDV1"; "LV2"; "LM2"; "LDV2"}
>> >
>> > boucle pour récupérer les infos
>> > :foreach i in $LOGIN do={:interface pppoe-client monitor $i once
>> do={:set
>> > ($i->"operstatus") $status}}
>> >
>> > Résultat, rien, ça ne fonctionne pas
>> >
>> > Une idée ?
>> >
>> > Merci
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Script mikrotik

2018-04-06 Par sujet Kevin Thiou 
J'ai réussi a mettre le $ devant mais je pense que le routerOS interprète
le $LD1 comme une valeur et pas comme une variable.

:foreach i in $LOGIN do={:global temp ("\$" . "$i"); :interface
pppoe-client monitor $i once do={:put $temp; :set ($temp->"operstatus")
$status}}

$LD1
  status: connected


Le 6 avril 2018 à 15:29, Kevin Thiou  a écrit :

> Je me doutais bien que c'était ca, j'ai essayé beaucoup de \$ "\$" "\$".
> ...
>
> mais pas encore trouvé.
>
> Merci
>
> Le 6 avril 2018 à 15:27, David Ponzone  a écrit :
>
>> A priori, ton ($i->"operstatus") devient (LD1->"operstatus")
>>
>> Or pour faire un set dans l'array LD1, il faut que ça soit
>> ($LD1->"operstatus")
>> J'ai pas encore trouvé comment mettre le $ supplémentaire ceci dit, mais
>> ça te fait un bon sujet de recherche pour cette fin de journée :)
>>
>> Le 6 avr. 2018 à 14:40, Kevin Thiou a écrit :
>>
>> > bonjour,
>> >
>> > j'essai de faire un script qui récupère des infos sur les sessions
>> pppoe,
>> > pour les stocker dans un array.
>> >
>> > Déclaration de mes array
>> > :global LD1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LM1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LDV1 {user="" ; interface="ether1"; operstatus="" ;
>> admstatus="";
>> > upcounter=0}
>> > :global LV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LM2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
>> > upcounter=0}
>> > :global LDV2 {user="" ; interface="ether1"; operstatus="" ;
>> admstatus="";
>> > upcounter=0}
>> >
>> > Déclaration d'un array rassemblant mes logins
>> > :global LOGIN {"LD1"; "LM1"; "LDV1"; "LV2"; "LM2"; "LDV2"}
>> >
>> > boucle pour récupérer les infos
>> > :foreach i in $LOGIN do={:interface pppoe-client monitor $i once
>> do={:set
>> > ($i->"operstatus") $status}}
>> >
>> > Résultat, rien, ça ne fonctionne pas
>> >
>> > Une idée ?
>> >
>> > Merci
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Script mikrotik

2018-04-06 Par sujet Kevin Thiou 
Je me doutais bien que c'était ca, j'ai essayé beaucoup de \$ "\$" "\$". ...

mais pas encore trouvé.

Merci

Le 6 avril 2018 à 15:27, David Ponzone  a écrit :

> A priori, ton ($i->"operstatus") devient (LD1->"operstatus")
>
> Or pour faire un set dans l'array LD1, il faut que ça soit
> ($LD1->"operstatus")
> J'ai pas encore trouvé comment mettre le $ supplémentaire ceci dit, mais
> ça te fait un bon sujet de recherche pour cette fin de journée :)
>
> Le 6 avr. 2018 à 14:40, Kevin Thiou a écrit :
>
> > bonjour,
> >
> > j'essai de faire un script qui récupère des infos sur les sessions pppoe,
> > pour les stocker dans un array.
> >
> > Déclaration de mes array
> > :global LD1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> > upcounter=0}
> > :global LM1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> > upcounter=0}
> > :global LDV1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> > upcounter=0}
> > :global LV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> > upcounter=0}
> > :global LM2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> > upcounter=0}
> > :global LDV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> > upcounter=0}
> >
> > Déclaration d'un array rassemblant mes logins
> > :global LOGIN {"LD1"; "LM1"; "LDV1"; "LV2"; "LM2"; "LDV2"}
> >
> > boucle pour récupérer les infos
> > :foreach i in $LOGIN do={:interface pppoe-client monitor $i once do={:set
> > ($i->"operstatus") $status}}
> >
> > Résultat, rien, ça ne fonctionne pas
> >
> > Une idée ?
> >
> > Merci
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Script mikrotik

2018-04-06 Par sujet David Ponzone 
A priori, ton ($i->"operstatus") devient (LD1->"operstatus")

Or pour faire un set dans l'array LD1, il faut que ça soit ($LD1->"operstatus")
J'ai pas encore trouvé comment mettre le $ supplémentaire ceci dit, mais ça te 
fait un bon sujet de recherche pour cette fin de journée :)

Le 6 avr. 2018 à 14:40, Kevin Thiou a écrit :

> bonjour,
> 
> j'essai de faire un script qui récupère des infos sur les sessions pppoe,
> pour les stocker dans un array.
> 
> Déclaration de mes array
> :global LD1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> upcounter=0}
> :global LM1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> upcounter=0}
> :global LDV1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> upcounter=0}
> :global LV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> upcounter=0}
> :global LM2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> upcounter=0}
> :global LDV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
> upcounter=0}
> 
> Déclaration d'un array rassemblant mes logins
> :global LOGIN {"LD1"; "LM1"; "LDV1"; "LV2"; "LM2"; "LDV2"}
> 
> boucle pour récupérer les infos
> :foreach i in $LOGIN do={:interface pppoe-client monitor $i once do={:set
> ($i->"operstatus") $status}}
> 
> Résultat, rien, ça ne fonctionne pas
> 
> Une idée ?
> 
> Merci
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Script mikrotik

2018-04-06 Par sujet Kevin Thiou 
bonjour,

j'essai de faire un script qui récupère des infos sur les sessions pppoe,
pour les stocker dans un array.

Déclaration de mes array
:global LD1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
upcounter=0}
:global LM1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
upcounter=0}
:global LDV1 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
upcounter=0}
:global LV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
upcounter=0}
:global LM2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
upcounter=0}
:global LDV2 {user="" ; interface="ether1"; operstatus="" ; admstatus="";
upcounter=0}

Déclaration d'un array rassemblant mes logins
:global LOGIN {"LD1"; "LM1"; "LDV1"; "LV2"; "LM2"; "LDV2"}

boucle pour récupérer les infos
:foreach i in $LOGIN do={:interface pppoe-client monitor $i once do={:set
($i->"operstatus") $status}}

Résultat, rien, ça ne fonctionne pas

Une idée ?

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel schéma réseau

2018-04-06 Par sujet Felix Defrance 
Sinon, y'en a qui font des choses sympa avec inkscape aussi !

http://www.opensecurityarchitecture.org/cms/library/patternlandscape/275-pattern-email-transport-layer-security-tls

http://www.opensecurityarchitecture.org/cms/library/pattern-template



Le 04/04/2018 à 11:20, Michel 'ic' Luczak a écrit :
>
>> On 4 Apr 2018, at 11:04, Louis  wrote:
>>
>> quel logiciel utilisez-vous pour faire vos schémas réseaux ? 
> draw.io en version auto-hébergée via sandstorm
>
> ++ ic
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 
Félix Defrance
PGP: 0x0F04DC57


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel schéma réseau

2018-04-06 Par sujet Felix Defrance 
Merci pour le partage, j'aime bien les baies réseau!


Le 06/04/2018 à 11:38, Stéphane Rivière a écrit :
>> @stéphane, c'est presque alléchant ! La dernière fois que j'ai ouvert
>> dia pour designer des baies, le rendu était assez moche..
>
> Bon, voilà, des exemples de ce qu'on peut faire rapidement avec Dia.
>
> Le readme.txt précise le nom de la banque d'équipements pour les baies.
>
> https://stef.genesix.org/pub/dia-infra
>

-- 
Félix Defrance
PGP: 0x0F04DC57


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet David Ponzone 
Il faudrait aussi aligner l'information auprès des forces de l'ordre en France, 
qui régulièrement demandent l'identification d'un utilisateur avec des éléments 
datant d'il y a plus de 2 ans.
C'est quand même délicat de devoir leur répondre que c'est pas possible :)

Le 6 avr. 2018 à 13:37, Solarus a écrit :

> 
> 
> Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
>> Bonjour,
>> 
>> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
>> utilisateurs et une obligation de conserver les logs pendant une
>> certaine durée.
>> 
>> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
>> impose ou implique vis à vis du RGPD ?
>> 
> Salut Jérôme.
> 
> La RGPD s'applique aux acteurs privés dans les collectes à finalité
> privée, pas aux obligations légales relatives à l'exercice de l'autorité
> publique.
> Dans le détail c'est un peu plus complexe, il y a toute un combat autour
> de l'arrêt Télé 2 et de l'article 6 du RGPD.
> 
> En l'état rien ne remet en cause la collecte des éléments demandés par
> loi, dans le délai imposé par la loi (et strictement ces éléments là).
> Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
> de la loi française sur le droit européen (conservation d'1 an au lieu
> de 2) mais ça n'est pas encore fait.
> 
> Cordialement
> Solarus
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Solarus 


Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
> Bonjour,
>
> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> utilisateurs et une obligation de conserver les logs pendant une
> certaine durée.
>
> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> impose ou implique vis à vis du RGPD ?
>
Salut Jérôme.

La RGPD s'applique aux acteurs privés dans les collectes à finalité
privée, pas aux obligations légales relatives à l'exercice de l'autorité
publique.
Dans le détail c'est un peu plus complexe, il y a toute un combat autour
de l'arrêt Télé 2 et de l'article 6 du RGPD.

En l'état rien ne remet en cause la collecte des éléments demandés par
loi, dans le délai imposé par la loi (et strictement ces éléments là).
Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
de la loi française sur le droit européen (conservation d'1 an au lieu
de 2) mais ça n'est pas encore fait.

Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
On Thu, 5 Apr 2018 23:26:39 +0200
Eric LECLERC  wrote:
>| En IPv4, il y a la primaire et la secondaire. La primaire sert uniquement
>| de next hop, tous les paquets qui sont directement adressés à cette adresse
>| sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on veut
>| causer directement à l'équipement.

Tu as un lien/passage précis la dessus ?


>| En IPv6, il faut configurer une adresse globale ET une adresse link-local
>| qui servira de next-hop pour les hôtes.

Pareil, je suis preneur d'un lien si tu as pour l'obligation du link-local.


>| En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
>| 
>| 
>https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513

Merci; je l'ai hélas lu, relu et rerelu mais ca manque de détails :-(

Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
Bonjour,

On Fri, 06 Apr 2018 04:05:28 +
Cédric Houzé  wrote:
>| Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
>| spécifique pour la virtuelle.
>| 
>| Ça a l'air bien expliqué ici :
>| https://www.randco.fr/blog/2012/2045/
>| 
>| En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui soit
>| définie.
>| En cas de bascule, la MAC utilisée par la table ARP doit rester la même
>| pour ne pas avoir d'interruption de service le temps que la table ARP soit
>| refreshée.
>| 
>| C'est expliqué au chapitre  8.1.2
>| . "Host ARP Requests",
>| ici :
>| 
>| https://tools.ietf.org/html/rfc5798
>| 
>| 
>| 
>| Pour éviter une blague en prod, je te recommande de vérifier la MAC address
>| table en face de chaque interface histoire de voir si tu as bien 3 adresses
>| MAC en tout ; 2 physiques et 1 virtuelle.

un "sh vrrp" m'indique que tous est OK oui:
-- Router A --
Vlan60 - Group 60 - Address-Family IPv4
  State is MASTER
  State duration 13 weeks 2 days 22 hours
  Virtual IP address is 192.168.0.1
  Virtual MAC address is .5e00.013c
  Advertisement interval is 1000 msec
  Preemption enabled, delay min 30 secs (0 msec remaining)
  Priority is 255 (owner mode)
  Master Router is 192.168.0.1 (local), priority is 255
  Master Advertisement interval is 1000 msec (expires in 92 msec)
  Master Down interval is unknown

-- Router B --
Vlan60 - Group 60 - Address-Family IPv4
  State is BACKUP
  State duration 13 weeks 2 days 22 hours
  Virtual IP address is 192.168.0.1
  Virtual MAC address is .5e00.013c
  Advertisement interval is 1000 msec
  Preemption enabled, delay min 30 secs (0 msec remaining)
  Priority is 100
  Master Router is 192.168.0.1, priority is 255
  Master Advertisement interval is 1000 msec (learned)
  Master Down interval is 3609 msec (expires in 2850 msec)



>| Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)

Oui, j'avais fait mais c'est en creusant la partie v6 et la partie ajout d'un
autre network que j'ai fini par me poser des questions (et notament si mes
tests étaient vraiment concluants et que ca ne "tombait pas en marche" dans
mon cas pour une tierce raison, le vPC par exemple)

Bon, cela dit, il me reste des interrogations (ajout de network,
réutilisation du meme vrrp id, etc). Je vais essayer de tester ca...

Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
Bonjour,

On Fri, 6 Apr 2018 11:10:35 +0200
Jean-Baptiste COUPIAC  wrote:
>| Je me permet de rebontir car j'essai d'annoncer en OSPF un /16 dont la GW
>| serai une @IP vrrpv3 secondary.
>| J'ai pas l'impression que ca marche très bien ^^
>| 
>| *ip prefix-list Vlan176 seq 5 permit 10.76.0.0/24 *
>| *ip prefix-list Vlan176 seq 10 permit 10.77.0.0/16 *
>| 
>| *interface Vlan176*
>| *  no shutdown*
>| *  ip address 10.76.0.252/24 *
>| *  ip ospf passive-interface*
>| *  vrrpv3 2 address-family ipv4*
>| *address 10.76.0.254 primary*
>| *address 10.77.255.254 secondary*
>| 
>| * redistribute direct route-map routes-Vlan176*
>| 
>| La redistribution du 10.76 est fonctionnelle mais pas celle du 10.77. Suis
>| je obligé d'avoir une ip physique dans le range 10.77 pour redistribuer en
>| ospf ?

J'aurais tendance à penser qu'il faut que tu declares aussi le
10.77.0.0/16 au niveau du vlan (vu que l'ospf est au niveau du vlan).
D'autant plus que rien dans ta conf de vlan n'indique le masque de ton IP en
10.77.* Et du coup je ne suis pas sur que tu ais besoin des redistribute,
route-map et prefix lists.


Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Jérémie Libeau 
P.S. Je ne dis rien quant à la conformité de cette loi vis-à-vis du
droit européen.

Le 06/04/2018 à 12:01, Jérémie Libeau a écrit :
> Salut,
>
> Pour moi ça rentre dans la case "obligation légale" Article 6.1.c. Et
> bien sur dans le cas où cette collecte satisfait les principes énoncés à
> l'article 5, respect des finalités, fait de manière adéquate, limité
> dans le temps, données exactes, etc.
>
> J
>
> Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit :
>> Bonjour,
>>
>> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
>> utilisateurs et une obligation de conserver les logs pendant une
>> certaine durée.
>>
>> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
>> impose ou implique vis à vis du RGPD ?
>>
>> Plus spécifiquement, "Les données liées au terminal (MAC, IMEI,
>> IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y
>> a une exception "pour des motifs liés à la sécurité, à l’ordre
>> public, ou divers aspects techniques". L'obligation d'identification
>> fait-elle bien partie de ces exceptions ?
>>
>> Merci !
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Jérémie Libeau 
Salut,

Pour moi ça rentre dans la case "obligation légale" Article 6.1.c. Et
bien sur dans le cas où cette collecte satisfait les principes énoncés à
l'article 5, respect des finalités, fait de manière adéquate, limité
dans le temps, données exactes, etc.

J

Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit :
> Bonjour,
>
> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> utilisateurs et une obligation de conserver les logs pendant une
> certaine durée.
>
> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> impose ou implique vis à vis du RGPD ?
>
> Plus spécifiquement, "Les données liées au terminal (MAC, IMEI,
> IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y
> a une exception "pour des motifs liés à la sécurité, à l’ordre
> public, ou divers aspects techniques". L'obligation d'identification
> fait-elle bien partie de ces exceptions ?
>
> Merci !
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel schéma réseau

2018-04-06 Par sujet Stéphane Rivière 

@stéphane, c'est presque alléchant ! La dernière fois que j'ai ouvert
dia pour designer des baies, le rendu était assez moche..


Bon, voilà, des exemples de ce qu'on peut faire rapidement avec Dia.

Le readme.txt précise le nom de la banque d'équipements pour les baies.

https://stef.genesix.org/pub/dia-infra

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Jean-Baptiste COUPIAC 
Bonjour à tous,

Je me permet de rebontir car j'essai d'annoncer en OSPF un /16 dont la GW
serai une @IP vrrpv3 secondary.
J'ai pas l'impression que ca marche très bien ^^

*ip prefix-list Vlan176 seq 5 permit 10.76.0.0/24 *
*ip prefix-list Vlan176 seq 10 permit 10.77.0.0/16 *

*interface Vlan176*
*  no shutdown*
*  ip address 10.76.0.252/24 *
*  ip ospf passive-interface*
*  vrrpv3 2 address-family ipv4*
*address 10.76.0.254 primary*
*address 10.77.255.254 secondary*

* redistribute direct route-map routes-Vlan176*

La redistribution du 10.76 est fonctionnelle mais pas celle du 10.77. Suis
je obligé d'avoir une ip physique dans le range 10.77 pour redistribuer en
ospf ?

+

__
Jean-Baptiste


Le 6 avril 2018 à 09:17, David Ponzone  a écrit :

> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique
> à une des IP réelles.
> Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.
>
> Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :
>
> > Hello la liste,
> >
> > Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> > spécifique pour la virtuelle.
> >
> > Ça a l'air bien expliqué ici :
> > https://www.randco.fr/blog/2012/2045/
> >
> > En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui
> soit
> > définie.
> > En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> > pour ne pas avoir d'interruption de service le temps que la table ARP
> soit
> > refreshée.
> >
> > C'est expliqué au chapitre  8.1.2
> > . "Host ARP
> Requests",
> > ici :
> >
> > https://tools.ietf.org/html/rfc5798
> >
> >
> >
> > Pour éviter une blague en prod, je te recommande de vérifier la MAC
> address
> > table en face de chaque interface histoire de voir si tu as bien 3
> adresses
> > MAC en tout ; 2 physiques et 1 virtuelle.
> > Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> >
> >
> > Cordialement,
> > Cédric Houzé.
> >
> >
> >
> > Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a
> écrit :
> >
> >> Bonsoir,
> >> je me lance pour ma première réponse dans la mailing list :)
> >> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
> >> Nexus (jusque là c'est classique).
> >> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
> >> IP dans les familles d'adresses.
> >> En IPv4, il y a la primaire et la secondaire. La primaire sert
> uniquement
> >> de next hop, tous les paquets qui sont directement adressés à cette
> adresse
> >> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on
> veut
> >> causer directement à l'équipement.
> >> En IPv6, il faut configurer une adresse globale ET une adresse
> link-local
> >> qui servira de next-hop pour les hôtes.
> >> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
> >> template de conf trouvé dans le guide des Nexus 3000 :
> >>
> >> interface Vlan20
> >> vrrpv3 10 address-family ipv4
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address 20.1.1.1 primary
> >> address 20.1.1.5 secondary
> >> vrrpv3 10 address-family ipv6
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address fe80::1 primary
> >> address 2011::5
> >>
> >> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
> >>
> >>
> >> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/ne
> xus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
> >>
> >> Cordialement,
> >>
> >> LECLERC Eric
> >>
> >> Mobile +33 6 95 07 88 59
> >>
> >> er.lecler...@gmail.com
> >>
> >> Le 5 avril 2018 à 22:58, Michel Py 
> a
> >> écrit :
> >>
>  David Ponzone a écrit :
>  Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
> >>> IP réelle par routeur, et une IP virtuelle flottante.
>  Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses
> IP.
>  Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
> >>> identique à une des IP réelles, mais cela me semble risquer.
> >>>
> >>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
> >>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes
> de
> >>> HSRP, pas VRRP).
> >>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Jérôme Nicolle 
Bonjour,

En tant qu'opérateurs, on a une obligation de capacité à identifier nos
utilisateurs et une obligation de conserver les logs pendant une
certaine durée.

On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
impose ou implique vis à vis du RGPD ?

Plus spécifiquement, "Les données liées au terminal (MAC, IMEI,
IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y
a une exception "pour des motifs liés à la sécurité, à l’ordre
public, ou divers aspects techniques". L'obligation d'identification
fait-elle bien partie de ces exceptions ?

Merci !

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8360: Resource Public Key Infrastructure (RPKI) Validation Reconsidered

2018-04-06 Par sujet Stephane Bortzmeyer 
Petit assouplissement des règles de validation de la RPKI. La RPKI est
un ensemble de formats et de règles pour certifier qui est le
titulaire d'une ressource Internet, une ressource étant un préfixe
d'adresses IP, un numéro de système autonome, etc. La RPKI est
utilisée dans les mécanismes de sécurisation de BGP, par exemple pour
vérifier qu'un AS est bien autorisé à être à l'origine d'un préfixe
donné. Les règles initiales de la RPKI pour valider un certificat
était trop strictes et ce RFC les assouplit légèrement (normalement,
en gardant le même niveau de sécurité).

http://www.bortzmeyer.org/8360.html



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet David Ponzone 
Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique à 
une des IP réelles.
Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.

Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :

> Hello la liste,
> 
> Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> spécifique pour la virtuelle.
> 
> Ça a l'air bien expliqué ici :
> https://www.randco.fr/blog/2012/2045/
> 
> En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui soit
> définie.
> En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> pour ne pas avoir d'interruption de service le temps que la table ARP soit
> refreshée.
> 
> C'est expliqué au chapitre  8.1.2
> . "Host ARP Requests",
> ici :
> 
> https://tools.ietf.org/html/rfc5798
> 
> 
> 
> Pour éviter une blague en prod, je te recommande de vérifier la MAC address
> table en face de chaque interface histoire de voir si tu as bien 3 adresses
> MAC en tout ; 2 physiques et 1 virtuelle.
> Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> 
> 
> Cordialement,
> Cédric Houzé.
> 
> 
> 
> Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a écrit :
> 
>> Bonsoir,
>> je me lance pour ma première réponse dans la mailing list :)
>> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
>> Nexus (jusque là c'est classique).
>> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
>> IP dans les familles d'adresses.
>> En IPv4, il y a la primaire et la secondaire. La primaire sert uniquement
>> de next hop, tous les paquets qui sont directement adressés à cette adresse
>> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on veut
>> causer directement à l'équipement.
>> En IPv6, il faut configurer une adresse globale ET une adresse link-local
>> qui servira de next-hop pour les hôtes.
>> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
>> template de conf trouvé dans le guide des Nexus 3000 :
>> 
>> interface Vlan20
>> vrrpv3 10 address-family ipv4
>> timers advertise 1000
>> priority 100
>> preempt
>> match-address
>> no vrrpv2
>> address 20.1.1.1 primary
>> address 20.1.1.5 secondary
>> vrrpv3 10 address-family ipv6
>> timers advertise 1000
>> priority 100
>> preempt
>> match-address
>> no vrrpv2
>> address fe80::1 primary
>> address 2011::5
>> 
>> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
>> 
>> 
>> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
>> 
>> Cordialement,
>> 
>> LECLERC Eric
>> 
>> Mobile +33 6 95 07 88 59
>> 
>> er.lecler...@gmail.com
>> 
>> Le 5 avril 2018 à 22:58, Michel Py  a
>> écrit :
>> 
 David Ponzone a écrit :
 Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
>>> IP réelle par routeur, et une IP virtuelle flottante.
 Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses IP.
 Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
>>> identique à une des IP réelles, mais cela me semble risquer.
>>> 
>>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
>>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes de
>>> HSRP, pas VRRP).
>>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
>>> 
>>> Michel.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/