RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

J'avais essayé sur quagga2 de rajouter ip route ip_dummy du quagga1 vers l'IP 
d'interco de l'ospf/ibgp mais cela ne change rien...

De : David Ponzone <david.ponz...@gmail.com>
Envoyé : vendredi 11 août 2017 15:12:44
À : Antoine DURANT
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Donc A.A.A.A ne connaît pas la route retour pour l'adresse publique de la dummy 
de quagga1. Ou alors c'est Quagga2 (improbable).

David Ponzone



Le 11 août 2017 à 20:10, Antoine DURANT 
<anto.duran...@outlook.fr<mailto:anto.duran...@outlook.fr>> a écrit :


David,


>Si tu ping avec une IP privée comme source,ça  marche pas.

Je suis d'accord  Mais le pb n'est pas ici.

>Si tu ping avec dummy/loop back comme source, ça marche non ?

Non cela ne fonctionne pas depuis quagga1; quagga2 est OK...


Le préfixe A.A.A.A/24 est directement connecté à quagga2 via son upstream. 
Depuis quagga2 je peux effectivement pinguer A.A.A.A


Depuis qagga1 qui ne connait pas A.A.A.A/24 via son upstream il le connait via 
ibgp/ospf.

A.A.A.0/24 est physiquement dans la table de routage de quagga1 mais il ne peut 
pas pinguer A.A.A.A même en utilisant la dummy du ibgp.


Est-ce que tu comprends mieux mon problème ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

IP forward est bien activé sur les 2 quagga

De : frnog-requ...@frnog.org  de la part de Laurent 
CARON 
Envoyé : vendredi 11 août 2017 15:55:49
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Le 11/08/2017 à 15:12, David Ponzone a écrit :
> Donc A.A.A.A ne connaît pas la route retour pour l'adresse publique de la 
> dummy de quagga1. Ou alors c'est Quagga2 (improbable).
>
> David Ponzone
>

Vendredi style ?|

sysctl -w net.ipv4.ip_forward=1

Si vous me cherchez... -> []
|

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

David,


>Si tu ping avec une IP privée comme source,ça  marche pas.

Je suis d'accord  Mais le pb n'est pas ici.

>Si tu ping avec dummy/loop back comme source, ça marche non ?

Non cela ne fonctionne pas depuis quagga1; quagga2 est OK...


Le préfixe A.A.A.A/24 est directement connecté à quagga2 via son upstream. 
Depuis quagga2 je peux effectivement pinguer A.A.A.A


Depuis qagga1 qui ne connait pas A.A.A.A/24 via son upstream il le connait via 
ibgp/ospf.

A.A.A.0/24 est physiquement dans la table de routage de quagga1 mais il ne peut 
pas pinguer A.A.A.A même en utilisant la dummy du ibgp.


Est-ce que tu comprends mieux mon problème ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

J'ai dit une bêtise en disant que depuis le 3750 ca fonctionne

Je tourne en rond je ne comprend pas pourquoi j'ai ca . Pas besoin de forcer 
une route vers la /32 des dummy car via ospf l'IP est connue depuis et vers les 
2 quagga.

Envoyé à partir de Outlook

De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Antoine 
DURANT <anto.duran...@outlook.fr>
Envoyé : jeudi 10 août 2017 22:13:25
À : Louinel ORIENTAL
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Faut que je vérifie mais en montant une eth avec 172.16.1.1/30 sur le quagga1 
avec un 3750 en ip routing je peux pinguer A.A.A.A.

A.A.A.A ne peut avoir connaissance de 192.168.1.1 car IP RFC non routable. De 
plus il s'agit d'une interco interne non publique.

De : Louinel ORIENTAL <loui...@gmail.com>
Envoyé : jeudi 10 août 2017 21:53:20
À : Antoine DURANT
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Hello,

Problème de route retour, j'imagine que A.A.A.A ne sait pas joindre 192.168.1.1 
ip utilisé comme source pour ton ping.


Le 10 août 2017 20:34, "Antoine DURANT" 
<anto.duran...@outlook.fr<mailto:anto.duran...@outlook.fr>> a écrit :
Bonjour,


J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream 
différent.


Via l’ibgp je vois bien les prefixes des différents upstream sur chaque 
routeur, par contre si le prefixe A.A.A.A/24 est plus court via 
provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela 
ne fonctionne pas.

Depuis quagga2 le ping vers A.A.A.A passe sans encombre !


interco OSP/BGP : quagga1 
(ETH1=192.168.1.1/30<http://192.168.1.1/30>)<>(ETH1=192.168.1.1/30<http://192.168.1.1/30>)
 quagga2


Sur quagga1 j’ai une dummy avec la conf suivante :

Dummy0 = C.C.C.1/32
neighbor C.C.C.1 remote-as 1
 neighbor C.C.C.1 update-source dummy0
 neighbor C.C.C.1 next-hop-self
 neighbor C.C.C.1  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 200, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   192.168.1.2, via eth1



Sur quagga2 j’ai une dummy avec la conf suivante :
Dummy0 = C.C.C.100/32
neighbor C.C.C.100 remote-as 1
 neighbor C.C.C.100 update-source dummy0
 neighbor C.C.C.100 next-hop-self
 neighbor C.C.C.100  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 20, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   X.X.X.67, via eth2


Est-ce un comportement normal ?

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

Faut que je vérifie mais en montant une eth avec 172.16.1.1/30 sur le quagga1 
avec un 3750 en ip routing je peux pinguer A.A.A.A.

A.A.A.A ne peut avoir connaissance de 192.168.1.1 car IP RFC non routable. De 
plus il s'agit d'une interco interne non publique.

De : Louinel ORIENTAL <loui...@gmail.com>
Envoyé : jeudi 10 août 2017 21:53:20
À : Antoine DURANT
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Hello,

Problème de route retour, j'imagine que A.A.A.A ne sait pas joindre 192.168.1.1 
ip utilisé comme source pour ton ping.


Le 10 août 2017 20:34, "Antoine DURANT" 
<anto.duran...@outlook.fr<mailto:anto.duran...@outlook.fr>> a écrit :
Bonjour,


J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream 
différent.


Via l’ibgp je vois bien les prefixes des différents upstream sur chaque 
routeur, par contre si le prefixe A.A.A.A/24 est plus court via 
provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela 
ne fonctionne pas.

Depuis quagga2 le ping vers A.A.A.A passe sans encombre !


interco OSP/BGP : quagga1 
(ETH1=192.168.1.1/30<http://192.168.1.1/30>)<>(ETH1=192.168.1.1/30<http://192.168.1.1/30>)
 quagga2


Sur quagga1 j’ai une dummy avec la conf suivante :

Dummy0 = C.C.C.1/32
neighbor C.C.C.1 remote-as 1
 neighbor C.C.C.1 update-source dummy0
 neighbor C.C.C.1 next-hop-self
 neighbor C.C.C.1  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 200, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   192.168.1.2, via eth1



Sur quagga2 j’ai une dummy avec la conf suivante :
Dummy0 = C.C.C.100/32
neighbor C.C.C.100 remote-as 1
 neighbor C.C.C.100 update-source dummy0
 neighbor C.C.C.100 next-hop-self
 neighbor C.C.C.100  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 20, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   X.X.X.67, via eth2


Est-ce un comportement normal ?

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

Non pas de vrf, juste une conf standard...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

J'ai essayé de faire un ping -I dummy0 A.A.A.A cela ne change rien. Même chose 
avec l'eth du ibgp/ospf.


ip route get A.A.A.A
A.A.A.A via 192.168.1.2 dev eth1  src 192.168.1.1
cache

J'ai vraiment du mal à comprendre, j'ai aussi essayé ebgp-multihop 2 sur 
quagga2 au cas ou mais pas mieux !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

Bonjour,


J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream 
différent.


Via l’ibgp je vois bien les prefixes des différents upstream sur chaque 
routeur, par contre si le prefixe A.A.A.A/24 est plus court via 
provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela 
ne fonctionne pas.

Depuis quagga2 le ping vers A.A.A.A passe sans encombre !


interco OSP/BGP : quagga1 (ETH1=192.168.1.1/30)<>(ETH1=192.168.1.1/30) 
quagga2


Sur quagga1 j’ai une dummy avec la conf suivante :

Dummy0 = C.C.C.1/32
neighbor C.C.C.1 remote-as 1
 neighbor C.C.C.1 update-source dummy0
 neighbor C.C.C.1 next-hop-self
 neighbor C.C.C.1  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 200, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   192.168.1.2, via eth1



Sur quagga2 j’ai une dummy avec la conf suivante :
Dummy0 = C.C.C.100/32
neighbor C.C.C.100 remote-as 1
 neighbor C.C.C.100 update-source dummy0
 neighbor C.C.C.100 next-hop-self
 neighbor C.C.C.100  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 20, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   X.X.X.67, via eth2


Est-ce un comportement normal ?

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] quagga et adressage interfaces

[Antoine DURANT]

Si le demon zebbra tombe... les IP ajoutées sur l'interface avec vtysh vont 
disparaître non ?

De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Alarig Le 
Lay <ala...@swordarmor.fr>
Envoyé : lundi 31 juillet 2017 21:49:56
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] quagga et adressage interfaces

Hello,

On lun. 31 juil. 17:15:00 2017, Antoine DURANT wrote:
> Car si j'utilise une IP en dur dans /etc/network/interfaces celle-ci
> n'est pas affichée par vtysh lors d'un show conf... Donc pas top lors
> de la lecture d'une conf bgp ospf par exemple.
>
> Comment faites vous ?

Je n’utilise pas debian ? :D
Sinon, comme le /etc/network/interfaces a tendance par me sortir par les
yeux, j’aurais tendance à mettre les IPs dans la conf quagga.

--
alarig

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] quagga et adressage interfaces

[Antoine DURANT]

Hello,

Quel est la bonne méthode concernant l'adressage IP des interfaces ?

Utiliser /etc/network/interfaces ou vtysh via conf t ou les deux ??

Car si j'utilise une IP en dur dans /etc/network/interfaces celle-ci n'est pas 
affichée par vtysh lors d'un show conf... Donc pas top lors de la lecture d'une 
conf bgp ospf par exemple.

Comment faites vous ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RE: 3750G ipv6 route floating/track

[Antoine DURANT]

Hello,


Personne ne peut me donner une information 


Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] 3750G ipv6 route floating/track

[Antoine DURANT]

Hello,


Avec un 3750G IOS c3750-ipservicesk9-mz.150-2.SE10a je crois qu'il n'est pas 
possible d'utiliser l'objet track pour  ipv6 route ::/0 2000:0:CCC::2 TRACK 10.


La seule façon que j'ai trouvé est d'utiliser AD avec une floating route :

ipv6 route ::/0 2000:0:DDD::2 10
ipv6 route ::/0 2000:0:CCC::2

Cela est basé sur le port UP/DOWN, j'aurais préféré faire un echo-ping d'une 
ipv6 mais cela ne fonctionne pas !! Limitation IOS peut être ?

De plus le icmp-echo est complétement faux, je débranche le port qui permet de 
joindre 2000:0:CCC::2 est il me dit que le track est UP lol

!
track 10 ip sla 10 reachability
!
ip sla 10
 icmp-echo 2000:0:CCC::2
 threshold 500
 timeout 500
 frequency 3
ip sla schedule 10 life forever start-time now
!
Switch#sh track
Track 10
  IP SLA 10 reachability
  Reachability is Up
5 changes, last change 01:58:27
  Latest operation return code: OK
  Latest RTT (millisecs) 1

J'ai regardé EEM script mais il ne gère pas event track ...

Avez-vous une solution ou astuce ?





---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Une petite question concernant l'adressage ip entre 2 BGP et un routeur de 
distribution avec une ip failover...

Actuellement j'ai ça : 

A.A.A.0/24 bloc annoncé BGP
80.X.X.X ip d'interco routeurs

R1 => 80.0.0.1/29 :: ip route A.A.A.1/32 80.0.0.5
R2 => 80.0.0.2/29 :: ip route A.A.A.1/32 80.0.0.5
IP fail Gateway : 80.0.0.6/29
R3 => 80.0.0.5/29
R4 => A.A.A.1/32

R1--OSPF/BGP---R2
|-80.0.0.6/29--|
   |
   |
   R3
    80.0.0.5/29
dans R3 : ip route A.A.A.1/32 192.168.1.1
 ip route 0.0.0.0 0.0.0.0 80.0.0.6
  |
R4
 192.168.1.1 / A.A.A.1
dans R4 : ip route 0.0.0.0 0.0.0.0 192.168.1.2

  

Pour joindre A.A.A.1 depuis R1 il faut passer par 80.0.0.1  > 80.0.0.5 > 
192.168.1.1
Pour joindre A.A.A.1 depuis R2 il faut passer par 80.0.0.2  > 80.0.0.5 > 
192.168.1.1
Pour joindre 8.8.8.8 depuis R4 il faut passer par 192.168.1.2 > 80.0.0.6 > R1 
>Transit1 (car je préfère R1/Transit1 pour cette route)

J'ai voulu utiliser un /29 entre R1,R2 et R3 pour que depuis les transits de 
R1/R2 ils puissent joindre R3 (80.0.0.6).

Mon pb est que si j'utilise une ip fail Gateway avec un /30 si l'ip fail est 
montée sur R1 et que j'ai un trafic résiduel qui arrive sur R2, celui-si ne 
pourra pas joindre R3.

Est-ce qu'il y a une autre solution ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

OK, donc local-pref de 50 sur transit2 et local-pref de 100 sur transit dans 
une route-map IN, permet de laisser prioritaire transit1.

Sur le transit2 faire un prepend dans une route-map OUT afin que le trafic 
passe plutôt par transit1.


J'avais appliqué cela dans ma conf envoyée précédemment, je n'ai pas encore eu 
la validation des experts :D


Michel : J'utilise 2 serveurs linux avec Quagga pour faire bgp/ospf.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Voici la configuration des 2 routeurs avec un ibgp. R1 est connecté à AS100 
transit primaire et R2 est connecté à AS200 transit de backup.


Sur la route-map IN du router2 j'ai ajouté un set local-preference (pref 50) 
inférieur au routeur1 (pref 100). Egalement sur le routeur2 j'ai ajouté un 
prepend sur la route-map out.


Est-ce que cela ressemble à quelque chose de valable pour le mode transit  
Primaire/BACKUP ou je dois encore relire les docs Cisco ?


#Router1 => AS100 (Transit Primaire)

router bgp 10
 bgp router-id A.A.A.1
 network A.A.A.0 mask 255.255.255.0
 neighbor 1.1.1.100 remote-as 100
 neighbor 1.1.1.100 soft-reconfiguration inbound
 neighbor 1.1.1.100 route-map map-in in
 neighbor 1.1.1.100 route-map map-out out
 neighbor 1.1.1.100 filter-list 1 out
 neighbor A.A.A.2 remote-as 100
 neighbor A.A.A.2 update-source Loopback0
 neighbor A.A.A.2 next-hop-self
!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 100 permit ^100_
!
ip prefix-list filterv4_in seq 5 deny A.A.A.0/24
ip prefix-list filterv4_in seq 10 deny 0.0.0.0/0
ip prefix-list filterv4_in seq 15 deny 0.0.0.0/8 le 32
ip prefix-list filterv4_in seq 20 deny 10.0.0.0/8 le 32
ip prefix-list filterv4_in seq 25 deny 127.0.0.0/8 le 32
ip prefix-list filterv4_in seq 30 deny 169.254.0.0/16 le 32
ip prefix-list filterv4_in seq 35 deny 172.16.0.0/12 le 32
ip prefix-list filterv4_in seq 40 deny 192.0.2.0/24 le 32
ip prefix-list filterv4_in seq 45 deny 192.168.0.0/16 le 32
ip prefix-list filterv4_in seq 50 deny 224.0.0.0/3 le 32
ip prefix-list filterv4_in seq 55 permit 0.0.0.0/0 le 32
!
ip prefix-list filterv4_out seq 5 permit A.A.A.0/24
ip prefix-list filterv4_out seq 10 deny any
!
route-map map-in deny 10
 match ip address prefix-list filterv4_in
!
route-map map-in permit 20
 match as-path 100
 set local-preference 100
!
route-map map-out permit 10
 match ip address prefix-list filterv4_out
!

#Router2 => AS200 (Transit Backup)

router bgp 10
 bgp router-id A.A.A.2
 network A.A.A.0 mask 255.255.255.0
 neighbor 2.2.2.200 remote-as 200
 neighbor 2.2.2.200 soft-reconfiguration inbound
 neighbor 2.2.2.200 route-map map-in in
 neighbor 2.2.2.200 route-map map-out out
 neighbor 2.2.2.200 filter-list 1 out
 neighbor A.A.A.1 remote-as 100
 neighbor A.A.A.1 update-source Loopback0
 neighbor A.A.A.1 next-hop-self
!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 200 permit ^200_
!
ip prefix-list filterv4_in seq 5 deny A.A.A.0/24
ip prefix-list filterv4_in seq 10 deny 0.0.0.0/0
ip prefix-list filterv4_in seq 15 deny 0.0.0.0/8 le 32
ip prefix-list filterv4_in seq 20 deny 10.0.0.0/8 le 32
ip prefix-list filterv4_in seq 25 deny 127.0.0.0/8 le 32
ip prefix-list filterv4_in seq 30 deny 169.254.0.0/16 le 32
ip prefix-list filterv4_in seq 35 deny 172.16.0.0/12 le 32
ip prefix-list filterv4_in seq 40 deny 192.0.2.0/24 le 32
ip prefix-list filterv4_in seq 45 deny 192.168.0.0/16 le 32
ip prefix-list filterv4_in seq 50 deny 224.0.0.0/3 le 32
ip prefix-list filterv4_in seq 55 permit 0.0.0.0/0 le 32
!
ip prefix-list filterv4_out seq 5 permit A.A.A.0/24
ip prefix-list filterv4_out seq 10 deny any
!
route-map map-in deny 10
 match ip address prefix-list filterv4_in
!
route-map map-in permit 20
 match as-path 200
 set local-preference 50
!
route-map map-out permit 10
 match ip address prefix-list filterv4_out
!
route-map map-out permit 20
 set as-path prepend 10 10 10
!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

J'ai 2 transitaires différents AS100 et AS200 pour reprendre ma conf du début.


Comme vous avez pu le voir dans mon post de la semaine dernière, je suis en 
train de mettre un ibgp entre les deux routeurs afin de voir la table de 
routage de AS100/AS200 sur les deux routeurs...


Si j'ai bien compris :

- le trafic entrant qui vient du transitaire vers mon AS est à configurer en 
OUT sur mon routeur

- le trafic sortant de mon AS vers le transitaire est à configurer en IN sur 
mon routeur


BGP sélectionne automatique le chemin le plus court pour joindre un réseau, 
donc si AS100 et AS200 connaisses tout deux la destination mon routeur 
sélectionnera celui ou il y a moins de hop, je me trompe pas ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Je nage dans le flou lol !


une route map OUT peut-elle utiliser des local-preference ?


!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 1 permit ^(10_)*$
 ip as-path access-list 100 permit ^100_[0-9]*$
 ip as-path access-list 101 permit ^100_
 ip as-path access-list 200 permit ^200_[0-9]*$
 ip as-path access-list 201 permit ^200_
!
route-map map-out permit 10
 match as-path 100
 set local-preference 100
!
route-map map-out permit 20
 match as-path 101
 set local-preference 100
!
route-map map-out permit 30
 match as-path 200
 set local-preference 100
!
route-map map-out permit 40
 match as-path 201
 set as-path prepend 10 10 10 10
!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Tu as raison, je cherche à faire cette manip pour IN/OUT...


Pour l'entrant et/ou le sortant : si un réseau est directement connecté à l'AS 
du transitaire comment faire pour que celui-ci passe directement par le 
transitaire sur lequel il est connecté ?


Je pense que cela est maitrisable en OUT via mon AS mais pas forcément 
maitrisable dans l'AS du transitaire qui lui à son tour peut préférer renvoyer 
vers une route différente. Je me trompe ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Merci pour les infos 


Est-ce que je m'approche de la vérité avec la conf suivante :


router bgp 10
 bgp router-id A.A.A.1
 network A.A.A.0 mask 255.255.255.0
 neighbor 1.1.1.100 remote-as 100
 neighbor 1.1.1.100 soft-reconfiguration inbound
 neighbor 1.1.1.100 route-map map-in in
 neighbor 1.1.1.100 route-map map-out out
 neighbor 1.1.1.100 filter-list 1 out
 neighbor 2.2.2.200 remote-as 200
 neighbor 2.2.2.200 soft-reconfiguration inbound
 neighbor 2.2.2.200 route-map map-in in
 neighbor 2.2.2.200 route-map map-out out
 neighbor 2.2.2.200 filter-list 1 out
!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 1 permit ^(10_)*$
 ip as-path access-list 100 permit ^100_[0-9]*$
 ip as-path access-list 200 permit ^200_[0-9]*$
!
ip prefix-list filterv4 seq 5 deny A.A.A.0/24
ip prefix-list filterv4 seq 10 deny 0.0.0.0/0
ip prefix-list filterv4 seq 15 deny 0.0.0.0/8 le 32
ip prefix-list filterv4 seq 20 deny 10.0.0.0/8 le 32
ip prefix-list filterv4 seq 25 deny 127.0.0.0/8 le 32
ip prefix-list filterv4 seq 30 deny 169.254.0.0/16 le 32
ip prefix-list filterv4 seq 35 deny 172.16.0.0/12 le 32
ip prefix-list filterv4 seq 40 deny 192.0.2.0/24 le 32
ip prefix-list filterv4 seq 45 deny 192.168.0.0/16 le 32
ip prefix-list filterv4 seq 50 deny 224.0.0.0/3 le 32
ip prefix-list filterv4 seq 55 permit 0.0.0.0/0 le 32
!
route-map map-in permit 10
 match as-path 100
 set local-preference 100
!
route-map map-in permit 20
 match as-path 200
 set local-preference 100
!
route-map map-in permit 30
 match ip address prefix-list filterv4
 set local-preference 100
!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Hello,


Je voudrais avoir un conseil/exemple sur l'optimisation d'une configuration de 
routage des flux bgp avec 2 transits.


Transit 100 (majoritaire) 100M

Transit 200 (secondaire - backup) 50M


Donner une préférence pour transit1 plus élevée que transit2 en IN/OUT via 
route-map.


Par contre si le réseau D.D.D.0/24 est directement connecté au Transit2 et que 
depuis Transit1 je dois passer dans 2 autre AS pour pouvoir le joindre, comment 
dire via route-map que le transit2 serait plus optimum ?


En gros l'idée de dire que tous les réseaux directement connecté a l'AS du 
transitaire est à privilégier est elle une bonne idée ?


Comment feriez vous dans cette configuration ?


Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RE: BGP et OSPF avec dummy/loopback sous linux

[Antoine DURANT]

Si j'utilise A.A.A.1/32 et A.A.A.2/32 le bloc A.A.A.0/24 n'est pas annoncé aux 
upstream.


Lorsque je regarde neighbor advertises-routes il n'y a rien, dès que je passe 
en /24 le bloc est annoncé directement.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] BGP et OSPF avec dummy/loopback sous linux

[Antoine DURANT]

Hello,

Je rencontre une difficulté en portant une config bgp/ospf cisco fonctionnelle 
sur du linux quagga. Je pense que mon problème vient de la gestion loopback ou 
dummy sous linux par rapport au lo traditionnel du cisco !

Le bloc annoncé en bgp est A.A.A.0/24. Sur chaque quagga j'ai monté une dummy 
A.A.A.1/24 et A.A.A.2/24.

Je veux mettre en place un ibgp entre 2 quagga. Si j'utilise une adresse privé 
sur eth0 entre les 2 quagga 192.168.1.1/30 et 192.168.1.2/30 pour l'ospf la 
session bgp ne monte pas... Je ne peux pas joindre l'ip de l'interface dummy 
dans face depuis les 2 quagga.


#quagga 1 = eth0
router bgp 10
 bgp router-id A.A.A.1
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.2 remote-as 10
 neighbor A.A.A.2 update-source eth0
 neighbor A.A.A.2 next-hop-self
 neighbor A.A.A.2 soft-reconfiguration inbound

router ospf
 ospf router-id 192.168.1.1
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0

#quagga 2  = eth0
router bgp 10
 bgp router-id A.A.A.2
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.1 remote-as 10
 neighbor A.A.A.1 update-source eth0
 neighbor A.A.A.1 next-hop-self
 neighbor A.A.A.1 soft-reconfiguration inbound
-
router ospf
 ospf router-id 192.168.1.2
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0

Si je met directement une ip du bloc annoncé en bgp j'ai pas de problème l'ibgp 
monte bien via ospf...

#quagga 1 = eth0
router ospf
 ospf router-id A.A.A.1
 network A.A.A.0/24 area 0.0.0.0
#quagga 2  = eth0
router ospf
 ospf router-id A.A.A.2
 network A.A.A.0/24 area 0.0.0.0

Qui est familier de ce genre de configuration ospf/bgp avec quagga ?

Si je me trompe pas il n'est pas conseillé d'utiliser une ip du bloc dans 
l'interface de liaison ospf car si elle est off bgp n'annoncera pas le réseau à 
son peer ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] bgp/ospf et loopback dummy sous linux

[Antoine Durant]

 Hello,
Je rencontre une difficulté en portant une config bgp/ospf cisco fonctionnelle 
sur du linux quagga. Je pense que mon problème vient de la gestion loopback ou 
dummy sous linux par rapport au lo traditionnel du cisco !
Le bloc annoncé en bgp est A.A.A.0/24. Sur chaque quagga j'ai monté une dummy 
A.A.A.1/24 et A.A.A.2/24.
Je veux mettre en place un ibgp entre 2 quagga. Si j'utilise une adresse privé 
sur eth0 entre les 2 quagga 192.168.1.1/30 et 192.168.1.2/30 pour l'ospf la 
session bgp ne monte pas... Je ne peux pas joindre l'ip de l'interface dummy 
dans face depuis les 2 quagga.

#quagga 1 = eth0router bgp 10
 bgp router-id A.A.A.1
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.2 remote-as 10
 neighbor A.A.A.2 update-source eth0
 neighbor A.A.A.2 next-hop-self
 neighbor A.A.A.2 soft-reconfiguration inboundrouter ospf
 ospf router-id 192.168.1.1
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0
#quagga 2  = eth0router bgp 10
 bgp router-id A.A.A.2
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.1 remote-as 10
 neighbor A.A.A.1 update-source eth0
 neighbor A.A.A.1 next-hop-self
 neighbor A.A.A.1 soft-reconfiguration inbound-router ospf
 ospf router-id 192.168.1.2
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0
Si je met directement une ip du bloc annoncé en bgp j'ai pas de problème l'ibgp 
monte bien via ospf...
#quagga 1 = eth0router ospf
 ospf router-id A.A.A.1
 network A.A.A.0/24 area 0.0.0.0#quagga 2  = eth0router ospf
 ospf router-id A.A.A.2
 network A.A.A.0/24 area 0.0.0.0
Qui est familier de ce genre de configuration ospf/bgp avec quagga ? 
Si je me trompe pas il n'est pas conseillé d'utiliser une ip du bloc dans 
l'interface de liaison ospf car si elle est off bgp n'annoncera pas le réseau à 
son peer ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Matériel pour LNS/LAC

[Antoine Durant]

Emerick, Jérôme et Lucas merci pour vos retours ;)

Je pense que je vais être sage et partir sur du Cisco 7301 éprouvé selon vos 
expériences!

Le besoin est celui exprimé par Jérôme !

Donc dans un premier temps je n'ai besoin qu'un LNS et option serveur Radius ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Matériel pour LNS/LAC

[Antoine Durant]

  Hello,Je me penche sur le sujet de monter un tronc Adsl L2TP. Existe-t-ilun 
boitier all-in-one faisant office de LNS/LAC/Radius ? J’avais crucomprendre que 
Mikrotic est un truc du genre, non ?Chez Cisco en occasion quel produit peut 
faire du LNS/LAC enactivant vpdn et en le couplant à un FreeRadius ?Quel 
constructeur/référence me recommanderiez-vous pourdémarrer ?Merci.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Match ipv4 et ipv6 trafic

[Antoine Durant]

Hello et bonne année 2017 à tous !!

En suivant l'exemple Cisco (
http://slaptijack.com/cisco-catalyst-2960-inbound-rate-limiting-example/)
je voudrais aussi inclure le trafic ipv6.

Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ?

J'ai essayé :
Class-map match all v4v6
match access-group name aclv4
match access-group name aclv6

policy-map Test
Class v4v6
Police   exceed-action drop

IP access-list extended aclv4
permit IP host 192.168.1.1 any
deny IP any any

IP acces-list aclv6
permit ipv6 host ::::x any
deny ipv6 any any

Quand j'attache service-policy input Test je n'ai pas d'erreur, par contre
quand je fais un show run je ne vois pas de service-police sur l'interface
:(


Quelqu'un peut me dire ou je fais erreur ?

Merci !!!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Match ipv4 et ipv6 trafic

[Antoine Durant]

 
| Hello et bonne année 2017 à tous !!

En suivant l'exemple Cisco 
(http://slaptijack.com/cisco-catalyst-2960-inbound-rate-limiting-example/) je 
voudrais aussi inclure le trafic ipv6.

Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ?

J'ai essayé :
Class-map match all v4v6
 match access-group name aclv4
 match access-group name aclv6

policy-map Test
 Class v4v6
 Police   exceed-action drop

IP access-list extended aclv4
 permit IP host 192.168.1.1 any
 deny IP any any

IP acces-list aclv6
 permit ipv6 host ::::x any
 deny ipv6 any any

Quand j'attache service-policy input Test je n'ai pas d'erreur, par contre 
quand je fais un show run je ne vois pas de service-police sur l'interface :(

Quelqu'un peut me dire ou je fais erreur ?

Merci !!! |



   
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Match ipv4 et ipv6 trafic

[Antoine Durant]

Hello,

En suivant l'exemple Cisco 
(http://slaptijack.com/cisco-catalyst-2960-inbound-rate-limiting-example/) je 
voudrais aussi inclure le trafic ipv6.

Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ?

J'ai essayé :
Class-map match all v4v6
 match access-group name aclv4
 match access-group name aclv6

policy-map Test
 Class v4v6
  Police   exceed-action drop

IP access-list extended aclv4
 permit IP host 192.168.1.1 any
 deny IP any any

IP acces-list aclv6
 permit ipv6 host ::::x any
 dent ipv6 any any

Quand j'attache service-policy input Test je n'ai pas d'erreur, par contre 
quand je vais un show run je ne vois pas de service-police sur l'interface :(

Quelqu'un peut me dire ou je fais erreur ?

Merci !!!
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Matches all IPv4 and IPv6 traffic

[Antoine Durant]

 Hello,
En suivant l'exemple Cisco Catalyst 2960 Inbound Rate Limiting Example | 
Slaptijack je voudrais aussi inclure le trafic ipv6.
Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ? Si 
j'utilise le match cos 0 Est-ce que j'englobe le trafic v4+v6 ?
class-map match-any v4v6   match cos 0 Merci !!!

  
|  
|   
|   
|   ||

   |

  |
|  
|   |  
Cisco Catalyst 2960 Inbound Rate Limiting Example | Slaptijack
 This is the full text rate limiting example that accompanies my Catalyst rate 
limiting post. This example was de...  |   |

  |

  |

 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : RE: Re : Re: [FRnOG] [TECH] police cir vs shape average qos

[Antoine Durant]

Je vais voir ça merci !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : Re: [FRnOG] [TECH] police cir vs shape average qos

[Antoine Durant]

Lol bête et discipliné japplique la formule donné par le constructeur mais 
en fait cest bugué... Rolala cest pas simple de suivre ! Aspirine !!!

Est-ce que cette formule nest plutôt pas pour brider la bp sur un lien, 
par exemple jai un car de 10Mb que je découpe en 2Mb, en incluant la 
gestion des burst ?? Donc a utiliser plutôt pour police cir que shape average ?

Je vais essayer avec shape average comme je lavais préciser dans mon 
exemple 2 :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : Re: [FRnOG] [TECH] police cir vs shape average qos

[Antoine Durant]

 Je ne comprends pas ton exemple cisco avec la formule de ton lien...

Le CAR est de 210 non ?
Normal burst = 210 * (1byte)/(8bits) * 1.5 seconds
Extented burst = 2 * Normal burst

Donc le shape selon la formule devrait être :

shape average 210 393750 787500

Cest quoi le truc ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : Re: [FRnOG] [TECH] police cir vs shape average qos

[Antoine Durant]

Merci à tous. Le shape average serait la meilleure solution selon vos retours 
et ce que jai pu lire sur Google...

David, pourquoi le shape est à 210 et non pas à 20 ?

Concernant le burst quel est la façon de le calculer ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] police cir vs shape average qos

[Antoine Durant]

 Hello,
En essayant d’approfondir les méthodes de qos cisco pour la VOIP je me demande 
quel est la meilleure méthode entre police cir et shape average concernant une 
qos voix…
Lequel est préférable d’utiliser ?
Je prends l’exemple d’une fibre 20M dans laquelle je souhaite réserver de la BW 
pour 4 canaux (priority 320).
--- Exemple 1 -
class-map match-any MatchVOIP
 match protocol rtcp
 match protocol rtp
 match protocol sip
!
policy-map VOIP
 class class-default
  police cir 2000
policy-map WAN
 class MatchVOIP
  priority 320
  set dscp ef
  service-policy VOIP
 class class-default
  fair-queue
  random-detect
!
interface FastEthernet4
 service-policy output WAN
 
--- Exemple 2 -
 class-map match-any MatchVOIP
 match protocol rtcp
 match protocol rtp
 match protocol sip
!
policy-map VOIP
  class MatchVOIP
   priority 320
  class class-default
   fair-queue   random-detect
policy-map WAN
 class class-default
  shape average 2000
   service-policy VOIP
!
interface FastEthernet4
 service-policy output WAN
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

J'ai bien oublié de coller la routemap ! Merci pour ton retour Thibaut ;)
  De : GAGNAIRE Thibaut <tgagna...@novenci.fr>
 À : Frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Jeudi 21 juillet 2016 13h18
 Objet : RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip 
nat inside
   
Il manque la route-map dans ton mail.


route-map NO_Private_SNAT permit 10

match ip address NO_Private_SNAT





Thibaut GAGNAIRE

Ingénieur Système et Reseaux



tgagna...@novenci.fr<mailto:tgagna...@novenci.fr>

www.idline.fr<http://www.idline.fr/>





[cid:image001.jpg@01D03BAF.8148ECA0]



De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Antoine Durant
Envoyé : jeudi 21 juillet 2016 13:07
À : Frnog-tech <frnog-t...@frnog.org>
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Bonjour,

Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/
Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur 
le site distant.

En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.

Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip nat
Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat 
je ne peux pas utiliser le service web (172.16.1.33).

J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :

ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable

ip access-list extended RM1
 deny  ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

David, j'ai droit au fouet oui oui... Hier je bricolais avec site1 et ca merdé 
grave ! 
J'ai tout rebranché correctement sur un joli switch des deux côtés avec maj ios 
+ formatage de la config et c'est là... non pas la tête que j'ai vu "arf ya oun 
vpn"
Bon je pense que la bonne route map doit être :
ip access-list extended RM1
deny  ip 172.16.1.0 0.0.255.255 anydeny  ip 172.16.2.0 0.0.255.255 any
permit ip any any

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Jeudi 21 juillet 2016 13h17
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une 
subtilité/un détail sur la conf que tu n’omets pas de nous donner ? »  n’était 
pas concerné par un VPN ? :)


> Le 21 juil. 2016 à 13:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour,
> Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
> résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que 
> je rajoute une règle ip nat Inside sur le site distant.
> En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
> et pas en passant par le vpn.
> Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
> interne même avec la regle ip natLe problème est depuis le site 2 
> (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le 
> service web (172.16.1.33).
> J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne 
> pas mieux depuis le site 2 :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
> extendable
> ip access-list extended RM1
>  deny  ip 172.16.0.0 0.0.255.255 any
>  permit ip any any
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Bonjour,
Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que 
je rajoute une règle ip nat Inside sur le site distant.
En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.
Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) 
lorsque j'active la règle ip nat je ne peux pas utiliser le service web 
(172.16.1.33).
J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable
ip access-list extended RM1
 deny   ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Oui je peux aussi faire ça ! 
Je vais en premier lieu faire une maj ios et écraser la configuration !
Merci David pour l'aide ;)



  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mercredi 20 juillet 2016 11h46
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Tu peux aussi faire un autre truc amusant.
Tu mets tes 2 règles donc .10 peut plus accéder à .33:80.
Tu débranches le Cisco du switch.
Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local.
Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la 
devinette de l’été.


> Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai 
> branché un switch qui connecte mon serveur web et mon pc.
> 
> Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
> était connecté derrière le Cisco avant de passer sur le switch...
> 
> Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
> 
> Je vais reprendre la configuration du Cisco à zéro et écraser la conf.
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Frnog-tech <frnog-t...@frnog.org>
> Envoyé le : Mercredi 20 juillet 2016 11h25
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse 
> MAC qu’elle a pour l’autre est bien l’autre :)
> En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de 
> .33, et pas un méchant qui se fait passer pour elle, et inversement.
> Vire toute règle de firewall/iptables/etc.. sur .33.
> Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par 
> le Cisco, sauf config tordue.
> Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
> matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
> voir si le compteur s’incrémente).
> 
> T’es sûr qu’il y a pas une subtilité dans la conf ?
> 
> 
> 
>> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> a écrit :
>> 
>> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>> >172.16.1.10 ?
>> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
>> dans une règle ip nat
>> 
>> >.10 et .33 ont le Cisco comme route par défaut ?
>> Oui
>> 
>> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
>> Oui le ping passe avec les règles ou meme sans
>> 
>> >Si non, je te recommande de revoir toute la configuration (netmask, 
>> >proxy-arp, ….) car c’est juste pas possible.
>> Le netmask est conforme, le proxy-arp est off
>> 
>> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
>> archi simple...
>> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché 
un switch qui connecte mon serveur web et mon pc.
Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
était connecté derrière le Cisco avant de passer sur le switch...
Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
Je vais reprendre la configuration du Cisco à zéro et écraser la conf. 

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mercredi 20 juillet 2016 11h25
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC 
qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC 
que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer 
pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur 
.33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas 
par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur 
l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 
(tu les acceptes, c’est juste pour voir si le compteur s’incrémente).
T’es sûr qu’il y a pas une subtilité dans la conf ?




Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Salut alarig,
Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change 
pas mon problème d'accès depuis le lan

  De : Alarig Le Lay <ala...@swordarmor.fr>
 À : frnog@frnog.org 
 Envoyé le : Mercredi 20 juillet 2016 11h06
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:
>  Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?

-- 
alarig

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Heu non David.
J'ai activé ces 2 règles pour que le service web soit joignable depuis 
l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux 
pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide...
Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
depuis le wan (normal) :)

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mercredi 20 juillet 2016 10h42
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
X.Y.Z.1:80 ?
Alors là, magie!


> Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> mouline et je n’y accède pas. 
> Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> 
> Est-ce que mes règles sont mal construites ?
> 
> Merci pour le coup de pouce ;)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

 Bonjour,
J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle 
ip nat inside.
J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
depuis l’extérieur via IP wan :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
mouline et je n’y accède pas. 
Si j’enlève les règles du dessus ça fonctionne depuis le lan.

Est-ce que mes règles sont mal construites ?

Merci pour le coup de pouce ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Incompréhension DHCP Cisco

[Antoine Durant]

Oui c'est pas génial je dois dire là ! 
Mais bon avec ma technique via DHCP binding j'arrive à me débrouiller mais il 
faut que je m'y prenne en deux fois quoi :\

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mardi 28 juin 2016 13h48
 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
   
Ouais, c’est ce que je disais: DHCP sur Cisco, faut oublier.
David Ponzone  Direction Techniqueemail: david.ponzone@ipeva.frtel:      01 74 
03 18 97gsm:   06 66 98 76 34
Service Client IPevatel:      0811 46 26 26www.ipeva.fr  -   
www.ipeva-studio.com
Ce message et toutes les pièces jointes sont confidentiels et établis à 
l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non 
autorisée est interdite. Tout message électronique est susceptible 
d'altération. IPeva décline toute responsabilité au titre de ce message s'il a 
été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, 
merci de le détruire immédiatement et d'avertir l'expéditeur.




Le 28 juin 2016 à 13:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
Non car le fait d'utiliser host 192.168.1.1 255.255.255.255 ne plait pas !
J'avais essayé de mettre client-id + hw-add mais il garde la dernière commande 
enregistrée. Donc c'est l'un ou l'autre

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mardi 28 juin 2016 13h18
 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
  
Ben tu peux pas mettre les 2 dans un pool /32 ?Ou sinon tu peux pas faire 2 
pool /32 pour la même IP, un avec client-id et l’autre avec hw-add ?J’avoue que 
je joue pas trop avec ça, les limitations du DHCP de Cisco me dépriment. Même 
un Technicolor à 30€ en fait 5 fois plus.


Le 28 juin 2016 à 13:15, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
Oui c'est vraiment pénible :) 
En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais 
je ne suis pas vraiment tombé sur un article détaillé...
Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur 
fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute 
le pool en fonction de ce que me retourne ip DHCP binding (Client ou 
hardware)
Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la 
réservation


   



   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Incompréhension DHCP Cisco

[Antoine Durant]

Non car le fait d'utiliser host 192.168.1.1 255.255.255.255 ne plait pas !
J'avais essayé de mettre client-id + hw-add mais il garde la dernière commande 
enregistrée. Donc c'est l'un ou l'autre

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mardi 28 juin 2016 13h18
 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
   
Ben tu peux pas mettre les 2 dans un pool /32 ?Ou sinon tu peux pas faire 2 
pool /32 pour la même IP, un avec client-id et l’autre avec hw-add ?J’avoue que 
je joue pas trop avec ça, les limitations du DHCP de Cisco me dépriment. Même 
un Technicolor à 30€ en fait 5 fois plus.


Le 28 juin 2016 à 13:15, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
Oui c'est vraiment pénible :) 
En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais 
je ne suis pas vraiment tombé sur un article détaillé...
Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur 
fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute 
le pool en fonction de ce que me retourne ip DHCP binding (Client ou 
hardware)
Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la 
réservation


   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Incompréhension DHCP Cisco

[Antoine Durant]

Oui c'est vraiment pénible :) 
En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais 
je ne suis pas vraiment tombé sur un article détaillé...
Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur 
fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute 
le pool en fonction de ce que me retourne ip DHCP binding (Client ou 
hardware)
Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la 
réservation


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Incompréhension DHCP Cisco

[Antoine Durant]

 Bonjour :)
Je n'arrive pas à figer une adresse ip sur le Cisco en utilisant 
hardware-address d'un PC sous Windows 7.
ip dhcp pool portable-acer
 host 192.168.1.1 255.255.255.0
 hardware-address e840.f2ab.5db8
Le routeur ne me donne pas l'adresse 192.168.1.1 mais la suivante 192.168.1.2.
La sortie du ip DHCP binding est la suivante :
192.168.1.1 e840.f2ab.5db8  Infinite    Manual
192.168.1.2 01e8.40f2.ab5d.b8   Jun 29 2016 11:07 AM    Automatic
Si j'utilise client-identifier 01e8.40f2.ab5d.b8 me semble que je vais pas 
avoir de pb. J'ai du mal à comprendre hardware-address vs client-identifier
Comment faire pour utiliser l'adresse MAC pour la réservation d'adresse ?
Merci


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

David : Merci mais cela ne fonctionne toujours pas depuis le lan, j'ai même 
essayé de mettre l'IP du ROUTEUR-NAT (anciennement NAT)
Michel :Le routeur R1 a une loopback avec une ip public, je souhaite depuis le 
lan R1 (192.168.1.X/24) utiliser l'ip public 1.1.1.1 afin d'accéder au serveur 
web en 192.168.1.1.=> ip nat inside source static tcp 192.168.1.1 80 interface 
Loopback0 80
Depuis le Lan R1 si je tape http://192.168.1.1/ ca marche mais pas 
http://1.1.1.1/. Par contre depuis le lan du routeur R2 si je tape 
http://1.1.1.1/ ca fonctionne, donc depuis l'extérieur pas de problème. 
J'ai juste un problème de NAT hairpin en interne du lan R1 a régler, mais je 
n'y arrive pas 

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Lundi 18 avril 2016 14h31
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro 
n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. 
Pas que Cisco.

Pour la conf, c’est pas ça.
C’est plutôt:

interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set ip next-hop 
! 
ip access-list extended HOST-NAT
 permit ip 192.168.1.0 0.0.0.255 any


Mais vraiment, aucune garantie.

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode 
bidouille pour faire ça :(
Est-ce que cette configuration te semble bonne pour le PBR ?
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set interface Loopback0
! 
ip access-list extended HOST-NAT
 permit ip any host 1.1.1.1

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Lundi 18 avril 2016 12h26
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu peux tenter avec le PBR mais bon, on est dans la bidouille.



> Le 18 avr. 2016 à 12:24, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Ma demande initiale a bien changé c'est vrai.
> Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque 
> je suis en ip nat inside afin de permettre au lan d'utiliser le service web 
> en ip public ?
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Lundi 18 avril 2016 11h54
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Oui c’est normal. On a probablement pas été assez clair.
> Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> ton paquet entre dans le routeur par l’interface qui est en « ip nat outside 
> ».
> Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Ma demande initiale a bien changé c'est vrai. Dans le second cas, il n'est pas 
possible de faire ce que je cherche lorsque je suis en ip nat inside afin de 
permettre au lan d'utiliser le service web en ip public ? 


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Lundi 18 avril 2016 11h54
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Oui c’est normal. On a probablement pas été assez clair.
Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton 
paquet entre dans le routeur par l’interface qui est en « ip nat outside ».
Ce qui n’est pas le cas quand tu arrives depuis le LAN.
Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Même sans PBR je n'arrive pas à utiliser l'IP public sur loopback de R1 depuis 
le réseau lan du même routeur. Par exemple depuis R2 j'ai pas de problème pour 
utiliser l'ip public loopback de R1...
J'ai quelque chose de particulier à faire pour le lan ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Dimanche 17 avril 2016 13h46
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que j’ai 
suggéré.L’un ou l’autre.




Le 17 avr. 2016 à 13:42, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
une loopback de R1 et meme chose pour R2.
Est-ce que ta manip est la même à faire sur R1 ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Dimanche 17 avril 2016 11h00
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
  
Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
appliquer un set ip next-hop 
https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing

David Ponzone


Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :


J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
déclarer forfait...
Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR 
correspond à l'adresse 1.1.1.1 de mon loopback ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Mercredi 13 avril 2016 22h58
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
  
Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>        
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

   


   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
une loopback de R1 et meme chose pour R2.
Est-ce que ta manip est la même à faire sur R1 ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Dimanche 17 avril 2016 11h00
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
appliquer un set ip next-hop 
https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing

David Ponzone


Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :


J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
déclarer forfait...
Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR 
correspond à l'adresse 1.1.1.1 de mon loopback ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Mercredi 13 avril 2016 22h58
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
  
Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>        
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

   


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
déclarer forfait...
Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR 
correspond à l'adresse 1.1.1.1 de mon loopback ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Mercredi 13 avril 2016 22h58
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>        
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même une 
question que je n'arrive pas à résoudre/comprendre :
Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis mon 
poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté vers 
192.168.1.1 ?
Possible à faire en utilisant ip nat out/in ou pas??
Merci pour l'explication

    
Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
routeurs ?

Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 via 
un ip route.
Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
conserves ton ip nat outside et ip nat Inside.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Oui cela ne fonctionne pas mieux !
Est-ce que en utilisant ip nat Inside/outise il est possible de faire du nat 
reflexion en utilisant depuis le lan l'ip public du loopback afin de revenir 
sur l'IP du lan ?
J'ai essayé plusieurs conf mais rien ne fonctionne depuis l'interne, cela 
mouline puis fini par un timeout, par contre depuis l'extérieur ca passe !

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
 Envoyé le : Samedi 9 avril 2016 11h51
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Avec nat nvi, on arrive vite à des confs ingérables...

David Ponzone


Le 9 avr. 2016 à 10:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :


Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a 
disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort 
avec l'IP public n°2.
NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne 
fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une 
adresse située sur le ROUTEUR-TEST.
Je suis bloqué, je n'arrive pas a résoudre ce problème.
 


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a 
disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort 
avec l'IP public n°2.
NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne 
fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une 
adresse située sur le ROUTEUR-TEST.
Je suis bloqué, je n'arrive pas a résoudre ce problème.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

OK, mais la j'essaye d'abord de faire un ping depuis vlan102 (ou R2) vers le 
routeur ROUTEUR-TEST. Ca ne passe pas !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

En fait ip nat enable n'est pas si magique que ça... Sur ROUTEUR-NAT j'ai bien 
activé "ip nat enable" sur toute les interfaces en lieu et place des 
Inside/outside
J'ai changé les access-list ansi que ip nat Inside par :
ip nat source list 10 interface FastEthernet4 overloadip nat source static 
10.0.1.1 1.1.1.1 extendable
ip nat source static 10.0.1.5 1.1.1.2 extendableaccess-list 10 permit 10.0.1.4 
0.0.0.3

Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je 
peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102
Est-ce que j'ai un problème dans mon access-list/ip nat source ?  


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
 Envoyé le : Vendredi 8 avril 2016 14h29
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en 
plus.
C’est justement là qu’il faut utiliser le NAT NVI et son:
ip nat enable
magique.

Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention…

Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur 
ASR par exemple).



> Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 
> et vlan102 ca va passer ?
> 
> NAT NVI je ne connais pas je vais regarder Google !
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 14h13
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Ton problème est vieux comme le monde :)
> Ca s’appelle le NAT HAIRPINNING.
> 
> Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
> 1-to-1:
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
> l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
> va le modifier en 192.168.1.1 (server0).
> Le paquet retour va partir de 192.168.1.1 (server0) à destination de 
> 10.0.1.5, R1 va changer l’IP source en 10.0.1.1.
> Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
> VLAN101 vers VLAN102.
> Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
> envoyé un paquet à 1.1.1.1.
> 
> En fait, c’est le problème fondamental qui consiste à accéder à une IP 
> publique qui donne accès à une ressource interne grâce à du NAT, en étant 
> soi-même pas de l’autre côté du NAT, mais en interne.
> 
> Prends de l’aspirine et:
> 
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning<https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
> 
> Pour moi tu as 2 solutions:
> -DNS split-horizon
> -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu 
> d’aspirine pour par pondre une grosse bouse
> 
> 
> > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour David,
> > 
> > Je comprend ta remarque et me doute bien que vous avez tous des 
> > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à 
> > frnog pour avoir un coup de pouce...
> > 
> > Voici le schéma : 
> > http://hpics.li/82254e6<http://hpics.li/82254e6><http://hpics.li/82254e6<http://hpics.li/82254e6>>
> > 
> > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> > connecté derrière R1, donc le NAT/access-list fonctionne.
> > 
> > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon 
> > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à 
> > résoudre ça :(
> > 
> > Merci d'avance à tous.
> > 
> > 
> > 
> > De : David Ponzone <david.ponz...@gmail.com 
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> 
> > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" 
> > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Vendredi 8 avril 2016 12h48
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Antoine,
> > 
> > je pense que plusieurs sur cette liste pourront te régler ce problème en 
> > 3/5 minutes max, mais ils ont c

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Bonjour Xavier,
Je vais dans un premier temps éviter le VPN, je suis en train de regarder NAT 
NVI comme suggéré par David...mais c'est assez compliqué au premier abord...
Je vais avoir besoin de plusieurs boites d'aspirines !!!

  De : Xavier ROCA <x.r...@sdi.fr>
 À : frnog-t...@frnog.org 
 Envoyé le : Vendredi 8 avril 2016 15h04
 Objet : RE: [FRnOG] [TECH] IP Nat sur Cisco
   
Bonjour,

Je ne sais pas ton objectif final donc voici une idée mais pas forcément 
adaptée mais relativement simple.
VPN entre R1 et R2.
Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait.

Xavier



-Message d'origine-
De : Antoine Durant [mailto:antoine.duran...@yahoo.fr] 
Envoyé : vendredi 8 avril 2016 14:23
À : David Ponzone
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco

J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et 
vlan102 ca va passer ?
NAT NVI je ne connais pas je vais regarder Google !

      De : David Ponzone <david.ponz...@gmail.com>  À : Antoine Durant 
<antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>  
Envoyé le : Vendredi 8 avril 2016 14h13  Objet : Re: [FRnOG] [TECH] IP Nat sur 
Cisco
  
Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING.

Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet 
est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, 
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
envoyé un paquet à 1.1.1.1.

En fait, c’est le problème fondamental qui consiste à accéder à une IP publique 
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas 
de l’autre côté du NAT, mais en interne.

Prends de l’aspirine et:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine 
pour par pondre une grosse bouse


> Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour David,
> 
> Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour 
> avoir un coup de pouce...
> 
> Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6>
> 
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> connecté derrière R1, donc le NAT/access-list fonctionne.
> 
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 
> j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème 
> est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je 
> n'arrive pas à résoudre ça :(
> 
> Merci d'avance à tous.
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant 
> <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : 
> Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Antoine,
> 
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
> 
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> schéma par exemple ?
> 
> 
> > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :R1 => LAN_1
> > :R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je 
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui 
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> > insid

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et 
vlan102 ca va passer ?
NAT NVI je ne connais pas je vais regarder Google !

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
 Envoyé le : Vendredi 8 avril 2016 14h13
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Ton problème est vieux comme le monde :)
Ca s’appelle le NAT HAIRPINNING.

Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable
L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, 
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
envoyé un paquet à 1.1.1.1.

En fait, c’est le problème fondamental qui consiste à accéder à une IP publique 
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas 
de l’autre côté du NAT, mais en interne.

Prends de l’aspirine et:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine 
pour par pondre une grosse bouse


> Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour David,
> 
> Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour 
> avoir un coup de pouce...
> 
> Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6>
> 
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> connecté derrière R1, donc le NAT/access-list fonctionne.
> 
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis 
> situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça 
> :(
> 
> Merci d'avance à tous.
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 12h48
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Antoine,
> 
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
> 
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> schéma par exemple ?
> 
> 
> > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :R1 => LAN_1
> > :R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je 
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui 
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> > inside/access-list. 
> > Une petite idée ? j'ai épuisé toute mes solutions... Merci
> >  ROUTEUR-TEST 
> > interface FastEthernet4
> >  ip address 172.16.3.30 255.255.255.252
> >  no ip redirects
> >  no ip unreachables
> >  no ip proxy-arp
> >  duplex auto
> >  speed auto
> > !
> > interface Vlan1
> >  ip address 1.1.1.100 255.255.255.128
> > !
> > ip forward-protocol nd
> > no ip http server
> > no ip http secure-server
> > !
> > ip route 1.1.1.1 255.255.255.255 172.16.3.29
> > ip route 1.1.1.2 255.255.255.255 172.16.3.29
> >  ROUTEUR-NAT 
> > interface Loopback0
> >  ip address 1.1.1.1 255.255.255.255
> > !
> > interface Loopback1
> >  ip addr

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Bonjour David,
Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour avoir 
un coup de pouce...
Voici le schéma : http://hpics.li/82254e6
Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
connecté derrière R1, donc le NAT/access-list fonctionne.
Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis 
situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça :(
Merci d'avance à tous.


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
 Envoyé le : Vendredi 8 avril 2016 12h48
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Antoine,

je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
pour comprendre l’archi, ça prend tout de suite un peu plus de temps.

Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
schéma par exemple ?


> Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs 
> pour le test :
> ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> :
> ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> :R1 => LAN_1
> :R2 => LAN_2
> Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais 
> accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir 
> via 1.1.1.2.
> Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> inside/access-list. 
> Une petite idée ? j'ai épuisé toute mes solutions... Merci
>  ROUTEUR-TEST 
> interface FastEthernet4
>  ip address 172.16.3.30 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  duplex auto
>  speed auto
> !
> interface Vlan1
>  ip address 1.1.1.100 255.255.255.128
> !
> ip forward-protocol nd
> no ip http server
> no ip http secure-server
> !
> ip route 1.1.1.1 255.255.255.255 172.16.3.29
> ip route 1.1.1.2 255.255.255.255 172.16.3.29
>  ROUTEUR-NAT 
> interface Loopback0
>  ip address 1.1.1.1 255.255.255.255
> !
> interface Loopback1
>  ip address 1.1.1.2 255.255.255.255
> !
> interface FastEthernet0
>  description * UPLINK R1 *
>  switchport access vlan 101
>  no ip address
> !
> interface FastEthernet1
>  description * UPLINK R2 *
>  switchport access vlan 102
>  no ip address
> !
> interface FastEthernet4
>  description ** UPLINK ROUTEUR-TEST **
>  ip address 172.16.3.29 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface Vlan101
>  ip address 10.0.1.2 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
> !
> interface Vlan102
>  ip address 10.0.1.6 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
> !
> ip forward-protocol nd
> no ip http server
> no ip http secure-server
> !
> ip nat inside source list 101 interface Loopback0 overload
> ip nat inside source list 102 interface Loopback1 overload
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> ip nat inside source static 10.0.1.5 1.1.1.2 extendable
> ip route 0.0.0.0 0.0.0.0 172.16.3.30
> !
> access-list 101 permit ip 10.0.1.0 0.0.0.3 any
> access-list 102 permit ip 10.0.1.4 0.0.0.3 any
>  R1 
> ip dhcp pool LOCAL-192.168.1.0
>  network 192.168.1.0 255.255.255.0
>  default-router 192.168.1.254
>  domain-name lan1.local
>  lease infinite
> !
> ip cef
> no ip bootp server
> no ip domain lookup
> no ipv6 cef
> !
> interface FastEthernet0/0
>  ip address 10.0.1.1 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface FastEthernet0/1
>  ip address 192.168.1.254 255.255.255.0
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
>  duplex auto
>  speed au

[FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

 Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs 
pour le test :
ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
:
ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
:R1 => LAN_1
:R2 => LAN_2
Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au serveur 
web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais accéder au 
serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir via 1.1.1.2.
Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
inside/access-list. 
Une petite idée ? j'ai épuisé toute mes solutions... Merci
 ROUTEUR-TEST 
interface FastEthernet4
 ip address 172.16.3.30 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 duplex auto
 speed auto
!
interface Vlan1
 ip address 1.1.1.100 255.255.255.128
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 1.1.1.1 255.255.255.255 172.16.3.29
ip route 1.1.1.2 255.255.255.255 172.16.3.29
 ROUTEUR-NAT 
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface Loopback1
 ip address 1.1.1.2 255.255.255.255
!
interface FastEthernet0
 description * UPLINK R1 *
 switchport access vlan 101
 no ip address
!
interface FastEthernet1
 description * UPLINK R2 *
 switchport access vlan 102
 no ip address
!
interface FastEthernet4
 description ** UPLINK ROUTEUR-TEST **
 ip address 172.16.3.29 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Vlan101
 ip address 10.0.1.2 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan102
 ip address 10.0.1.6 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Loopback0 overload
ip nat inside source list 102 interface Loopback1 overload
ip nat inside source static 10.0.1.1 1.1.1.1 extendable
ip nat inside source static 10.0.1.5 1.1.1.2 extendable
ip route 0.0.0.0 0.0.0.0 172.16.3.30
!
access-list 101 permit ip 10.0.1.0 0.0.0.3 any
access-list 102 permit ip 10.0.1.4 0.0.0.3 any
 R1 
ip dhcp pool LOCAL-192.168.1.0
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254
 domain-name lan1.local
 lease infinite
!
ip cef
no ip bootp server
no ip domain lookup
no ipv6 cef
!
interface FastEthernet0/0
 ip address 10.0.1.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80
ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22
ip route 0.0.0.0 0.0.0.0 10.0.1.2
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
 R2 
ip dhcp pool LOCAL-192.168.1.0
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254
 domain-name lan2.local
 lease infinite
!
ip cef
no ip bootp server
no ip domain lookup
no ipv6 cef
!
interface FastEthernet0/0
 ip address 10.0.1.5 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 10.0.1.6
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

La QOS pour le débit descendant  Internet > Routeur CPE est à appliquer par le 
FAILa QOS pour le débit montant CPE > Internet est à appliquer par moi via 
l'interface fa4 c'est bien ca ?

Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 
16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien 
(1843000) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Salut,
Je dois en conclure que j'ai juste, ou, alors tout faux ?
C'est pas évident de trouver une autocorrection sur le web car il y a plein de 
choses contradictoires. Il est difficile de me faire une idée si j'ai bon ou 
pas...
Merci

  
Hello,
Suite à vos différentes remarques et conseils, voici la configuration que je 
vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711.
!
class-map match-all VOIP_AUDIO
 match access-group name AUDIO
class-map match-all VOIP_SIGNALING
 match access-group name SIGNALING
!
policy-map QOS
 class VOIP_AUDIO
  set ip dscp ef
  priority 320
 class VOIP_SIGNALING
  set ip dscp af31
  bandwidth 16
 class class-default
  fair-queue
!
interface FastEthernet4
 service-policy output QOS
!
ip access-list extended AUDIO
 permit udp any any range 16384 32767
ip access-list extended SIGNALING
 permit tcp any any range 2000 2002
 permit tcp any any range 5060 5061
 permit udp any any range 5060 5061
!
Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du 
fournisseur pour le sens PE > CPE
Merci et bonne journée à tous !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Bonjour Saïd,
Merci pour ton aide. Pour le moment je suis sur une sdsl de 2M.
Quand tu me dit de rajouter policy-map WANshape_Qos sur l'interface interface 
FastEthernet4, j'ai déjà un service Policy il n'est pas possible d'en avoir 
deux non ?
Si je fais ca est-ce que c'est bon ?
policy-map QOS
  class VOIP_AUDIO
   set ip dscp ef
   priority 320
  class VOIP_SIGNALING
   set ip dscp af31
   bandwidth 16
  class class-default   --->shape average 1843000
   fair-queue

  De : Said Ahmed Sambe <said.sa...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Jeudi 11 février 2016 11h29
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Bonjour,

A première lecture ton implémentation me semble correcte en tout cas pour
la gestion de la COS pour les flux voix.

Seule remarque ton CBR en sortie de ton port interface fastEthernet 0 est
il de 10 M 100 M ou 2 M ou autres. Si oui faudra adapter ton policy-map en
définissant la vraie valeur sur laquelle sera appliquée la politique de
 (QOS)  en cas de congestion. Ce la reviendrait à faire du HFQ.

exemple tu crées un policy-map parent dans lequel tu appelles ta politique
QOS

exemple

policy-map WANshape_Qos
 class class-default
  shape average 1843000  <-- la bande passante de mon interface de
sortie est de 1,8M et poussière
  service-policy WANoutQoS


Le 11 février 2016 à 10:53, Antoine Durant <antoine.duran...@yahoo.fr> a
écrit :

> Salut,
> Je dois en conclure que j'ai juste, ou, alors tout faux ?
> C'est pas évident de trouver une autocorrection sur le web car il y a
> plein de choses contradictoires. Il est difficile de me faire une idée si
> j'ai bon ou pas...
> Merci
>
>
> Hello,
> Suite à vos différentes remarques et conseils, voici la configuration que
> je vais mettre en place concernant la QOS pour 4 appels utilisant le codec
> g711.
> !
> class-map match-all VOIP_AUDIO
>  match access-group name AUDIO
> class-map match-all VOIP_SIGNALING
>  match access-group name SIGNALING
> !
> policy-map QOS
>  class VOIP_AUDIO
>  set ip dscp ef
>  priority 320
>  class VOIP_SIGNALING
>  set ip dscp af31
>  bandwidth 16
>  class class-default
>  fair-queue
> !
> interface FastEthernet4
>  service-policy output QOS
> !
> ip access-list extended AUDIO
>  permit udp any any range 16384 32767
> ip access-list extended SIGNALING
>  permit tcp any any range 2000 2002
>  permit tcp any any range 5060 5061
>  permit udp any any range 5060 5061
> !
> Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du
> fournisseur pour le sens PE > CPE
> Merci et bonne journée à tous !
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 


Saïd Ahmed SAMBE.

Ingénieur Support Technique VPN- Data - Bouygues Telecom
1 B, rue Achille Martinet 75018 Paris
Tel: 06 69 31 98 27

"Be not afraid of greatness : some are born great, some achieve greatness,
and some have greatness thrust upon them." William Shakespeare

"If you see me in a fight with the bear, pray for the bear". Kobe Briant

---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

D'accord oui je vois le truc !
Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 
16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien 
(1843000) ?


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Said Ahmed Sambe <said.sa...@gmail.com>; frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Jeudi 11 février 2016 12h15
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Non, je crois que c’est obligatoirement l’inverse, comme Saïd t’a dit parce que 
le Cisco ne peut faire de QoS que sur une interface dont il gère le shaping.
C’est expliqué plus ou moins bien sur des documents de Cisco.

Donc:

policy-map WANshape_Qos
class class-default
  shape average 1843000
  service-policy QOS

policy-map QOS
  class VOIP_AUDIO
  set ip dscp ef
  priority 320
  class VOIP_SIGNALING
  set ip dscp af31
  bandwidth 16
  class class-default
  fair-queue

Et tu appliques WANshape_Qos sur FE4.


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Hello,
Suite à vos différentes remarques et conseils, voici la configuration que je 
vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711.
!
class-map match-all VOIP_AUDIO
 match access-group name AUDIO
class-map match-all VOIP_SIGNALING
 match access-group name SIGNALING
!
policy-map QOS
 class VOIP_AUDIO
  set ip dscp ef
  priority 320
 class VOIP_SIGNALING
  set ip dscp af31
  bandwidth 16
 class class-default
  fair-queue
!
interface FastEthernet4
 service-policy output QOS
!
ip access-list extended AUDIO
 permit udp any any range 16384 32767
ip access-list extended SIGNALING
 permit tcp any any range 2000 2002
 permit tcp any any range 5060 5061
 permit udp any any range 5060 5061
!
Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du 
fournisseur pour le sens PE > CPE
Merci et bonne journée à tous !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour 
Stars Wars 7 :D
Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du 
switch vers les sous switchs non manageable.
Il faut aussi que j'applique cette police en input sur le switch non ?
   De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Jeudi 5 novembre 2015 10h43
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas 
parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera 
la casse pour ce qui est de TCP :)




Le 5 nov. 2015 à 10:38, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
>Ensuite sur le routeur, je ferais du « shape average » de la data en output 
>sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va 
>vers le switch (ce qui correspond à l’INPUT du WAN).
Je reprends le point ci-dessus... Je dois appliquer le shape average en output 
sur l'interface WAN via 
!
interface WAN
 mls qos trust cos
 service-policy output QOS!
et sur l'interface du routeur qui connecte le switch via 
!
interface LAN
 mls qos trust cos
 service-policy input QOS
!

C'est bien ça ?
   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

>Ensuite sur le routeur, je ferais du « shape average » de la data en output 
>sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va 
>vers le switch (ce qui correspond à l’INPUT du WAN).
Je reprends le point ci-dessus... Je dois appliquer le shape average en output 
sur l'interface WAN via 
!
interface WAN
 mls qos trust cos
 service-policy output QOS!
et sur l'interface du routeur qui connecte le switch via 
!
interface LAN
 mls qos trust cos
 service-policy input QOS
!

C'est bien ça ?
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

David, je crois que l'on est pas sur la même longueure d'onde :\
Un accès internet 4M est partagé entre deux bureaux.
J'ai un routeur cisco qui est connecté à un switch 2960 port fa0/24. Sous le 
2960 sur le port fa0/1 j'ai un switch non manageable du bureau 1 
(192.168.1.0/24) et sur le port fa0/2 un switch non manageable du bureau 2 
(192.168.2.0/24).
Les deux bureaux n'ont pas à se voir ou échanger des données entre eux (VLAN 10 
-> Bureau1 / VLAN 11 -> Bureau2).
Dans chaque bureau ils peuvent échanger entre eux à 100M via leur switch non 
manageable.
Dans chaque bureau il faut limiter la bande passante vers le routeur pour 
l'accès internet 2Mb UP/2Mb Down.
Pour cela sur le switch 2960 sur le port fa0/1 (idem pour fa0/2) j'ai :
!
mls qos
!
class-map match-all UP
 match access-group name ACLUP2M
class-map match-all DOWN
 match access-group name ACLDOWN2M
!
policy-map BP_UP
 class-map match-all ACLUP2M
 police 200 100 exeed-action drop
policy-map BP_DOWN
 class-map match-all ACLDOWN2M
 police 200 100 exeed-action drop
!
interface Fa0/1
 swicthport access vlan 10
 switchport mode access
 swicthport nonegociate
 spanning-tree portfast
 service-policy input BP_UP
!
interface Fa0/24
 swicthport trunk allowed vlan 10,11
 switchport mode trunk
 swicthport nonegociate
 spanning-tree portfast
 service-policy input BP_DOWN
!
ip access-list extended ACLUP2M
permit ip any 192.168.1.0 0.0.0.255
permit ip any 192.168.2.0 0.0.0.255
deny ip any any
ip access-list extended ACLDOWN2M
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
deny ip any any
!
Donc maintenant, je me demande s'il ne faut pas AUSSI rajouter une QOS pour la 
VOIX sur fa0/1,fa0/2 et fa0/24 afin de ne pas avoir un problème de saturation 
via les uplink du 2960...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

> B oui mais pas pour limiter à 4mbps! Celle-là, c’est pour éviter la 
> saturation du switch lors d’un gros échange data entre 2 ports, mais bon, ça 
> devrait pas saturer un switch récent correct.
Saturation tout dépend de comment on l'interprète... J'ai un lien internet 4Mb; 
j'ai deux sous-switch non manageable sur le quel je veux limiter l'accès 
internet a 2Mb en UP et 2M en down. Je me sert donc du switch 2960 pour faire 
la limitation de BP, maintenant je veux que l'uplink entre le siwtch 2960 et 
les switchs non manageable soit pas impactés pour la VOIX

> Normalement, demander au switch de respecter la COS des paquets voix sur tous 
> les ports devait suffire.Oui en activant mls qos trust cos sur les ports 
> uplink du 2960 raccordant les sous switchs (qui eux ne taguent rien...)
>Tu peux en plus activer les mécanismes de storm control et autres du 
>switch.Oui mais je ne sais pas trop quelle valeur du level est à mettre quand 
>on limite la BP à 2Mb sur un port...



    



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

En fait c'est la question que je me pose !
A) Faut-il appliquer la QOS (en input) sur le port switch connecté au port du 
routeur LAN (qui lui aura la QOS en output) ?B) Faut-il appliquer la QOS (en 
input) sur e port du switch connecté au port du sous-switch non manageable ?
Faire A et B ?
   De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Jeudi 5 novembre 2015 10h58
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
INPUT venant du routeur ?Pas trop la peine puisque tu as limité côté routeur en 
OUTPUT.




Le 5 nov. 2015 à 10:53, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour 
Stars Wars 7 :D
Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du 
switch vers les sous switchs non manageable.
Il faut aussi que j'applique cette police en input sur le switch non ?
   De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Jeudi 5 novembre 2015 10h43
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas 
parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera 
la casse pour ce qui est de TCP :)




Le 5 nov. 2015 à 10:38, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
>Ensuite sur le routeur, je ferais du « shape average » de la data en output 
>sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va 
>vers le switch (ce qui correspond à l’INPUT du WAN).
Je reprends le point ci-dessus... Je dois appliquer le shape average en output 
sur l'interface WAN via 
!
interface WAN
 mls qos trust cos
 service-policy output QOS!
et sur l'interface du routeur qui connecte le switch via 
!
interface LAN
 mls qos trust cos
 service-policy input QOS
!

C'est bien ça ?
   



   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

"-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, 
voir impossible sur du trafic UDP"Parceque sur le switch il n'est pas possible 
de faire en OUPUT...
"-tu « polices »  l’AUDIO ? Généralement, l’idée est plutôt de « policer »  le 
reste pour être sur que l’audio ait de la place"Oui, j'ai lu cela à plusieurs 
reprise sur des configurations Donc à la place de POLICE il faut utiliser 
quoi alors ? une réservation de bande passante ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Mardi 3 novembre 2015 19h15
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
2 commentaires:
-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, voir 
impossible sur du trafic UDP-tu « polices »  l’AUDIO ? Généralement, l’idée est 
plutôt de « policer »  le reste pour être sur que l’audio ait de la place


> Le 3 nov. 2015 à 19:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonsoir :)
> Voici la configuration que je pense être "bonne", est-ce que pour vous cela 
> semble OK pour la QOS VOIX ??
> Le port fa0/1 est un uplink connecté à un switch non managable (sur celui-ci 
> il ya des postes + téléphone IP non cisco)le port fa0/10 est l'uplink vers le 
> routeur internet
> 
> !mls qos
> !
> class-map match-all SIGNALING
>  match access-group name SIGNALING
> class-map match-all AUDIO
>  match access-group name AUDIO
> !
> policy-map QOS
> class AUDIO
>    set ip dscp ef
>    police 48000 8000 exceed-action drop
> class SIGNALING
>    set ip dscp af31
>    police 1 8000 exceed-action drop
> !
> interface FastEthernet0/1
> description * uplink sous-switch *
> switchport access vlan 10
> switchport mode access
> switchport nonegotiate
> mls qos trust cos
> spanning-tree portfast
> service-policy input QOS
> !
> interface FastEthernet0/10
> description * uplink vers ROUTEUR WAN *
> switchport trunk allowed vlan 10,11
> switchport mode trunk
> mls qos trust cos ??
> spanning-tree portfast
> service-policy input QOS
> !
> ip access-list extended AUDIO
> permit udp any any range 16384 32767
> ip access-list extended SIGNALING
> permit tcp any any range 2000 2002
> permit tcp any any range 5060 5061
> !
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

J'ai pas tout compris :\
"Presque ça, sauf que là, tu shapes le trafic voix à 2Mbps :)Ce que tu veux, 
c’est shaper ta data à 200*0.9 par exemple, donc 1.8Mbps, pour laisser 
200Kbps minimum pour la voix."Oui je veux limiter la data pour laisser place à 
la voix. par exemple sur un lien 4M je veux laisser 2M pour la voix. Comment tu 
fais le shape pour exclure la data pour laisser prio la voix ?
A quoi correspond le 0.9 ?

"Les Service Policy de Cisco, c’est quand même un gros gros bordel, il y a X 
manières de faire les choses, dont un certain nombre qui ne marchent pas sur 
tel ou tel hardware et/ou IOS."Oui la je m'arrache le peu de cheveux qui me 
reste

"Personnellement, je vais au plus simple."C'est quoi alors le plus simple selon 
toi?


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

"Sur le switch, je pense que je me contenterais de faire du trust cos sur tous 
les postes, si bien entendu les flux SIGNALING et AUDIO sont correctement 
taggés par tes endpoints."Donc si je comprend ton avis, il faut que j'active 
*mls qos trust cos* sur tout les ports du switch à conditions que mes 
téléphones taguent bien le COS/SDCP ??
"Ensuite sur le routeur, je ferais du « shape average » de la data en output 
sur le lien WAN afin de garder X% pour la voix, et de même sur le port qui va 
vers le switch (ce qui correspond à l’INPUT du WAN)."Comment tu réalise le 
shape average sur le routeur ?? 

!
mls qos
!
class-map match-all SIGNALING
  match access-group name SIGNALING
class-map match-all AUDIO
  match access-group name AUDIO
!
policy-map QOS
class AUDIO
   set ip dscp ef  
   shape average 200
class SIGNALING
   set ip dscp af31
   shape average 200
!
ip access-list extended AUDIO
permit udp any any range 16384 32767
ip access-list extended SIGNALING
permit tcp any any range 2000 2002
permit tcp any any range 5060 5061
!
interface WAN
 mls qos trust cos
 service-policy output QOS
!



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

"Tu fais une ACL basée sur des deny, plutôt que des permit."OK... Je vois ! 
Quelque chose comme ça alors ??
!
mls qos
!
class-map match-all VOIP
  match access-group name SIGNALING
  match access-group name AUDIO
!
ip access-list extended AUDIO
permit udp any any range 16384 32767
ip access-list extended SIGNALING
permit tcp any any range 2000 2002
permit tcp any any range 5060 5061
!
policy-map wan-queue-policy
 class VOIP
  priority 180
 class class-default
  fair-queue
  random-detect
!
policy-map wan-shape-policy
 class class-default
  shape average 200
   service-policy wan-queue-policy
!
interface WAN
 service-policy out wan-shape-policy
!

"J’ai pris une valeur d’exemple, qui consisterait à limiter la data à 90% du 
lien."D'accord oui c'est fonction du nombre d'appel que je veux pouvoir assurer 
sur le lien.


"Certains diraient qu’on perd de la capa max pour la data, même quand il n’y a 
pas d’appels VoIP."Ha ha je savais pas !? Donc en fait la QOS n'est pas 
dynamique, c'est à dire que à un instant X si pas de VOIP il ne sera pas 
possible d'utiliser toute la capacité du tuyau ?





  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Quel soft existe pour tester si la réservation de la QOS VOIX est fonctionnelle 
??

Je pensai lancer un iperf pour monopoliser le lien en data mais ensuite je ne 
sais pas comment lancer le test pour la VOIX  Je suis en test je ne touche 
pas encore au matos de production!
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Hello,
Que me conseillez-vous comme orientation sur le choix de la configuration ?
QOS sur le routeur ou QOS sur les uplink du switch ?
A++
   De : Antoine Durant <antoine.duran...@yahoo.fr>
 À : Simon Perreault <sperrea...@jive.com>; David Ponzone 
<david.ponz...@gmail.com> 
Cc : frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Mardi 27 octobre 2015 16h46
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; 
fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers 
connectés sur les sous-switch non managable.
Pour info je me suis servie du post FRNOG pour la limitation de trafic 
http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960
Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les 
ports uplink afin que la voix soit prioritaire par rapport au flux donnée.
Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de 
récupérer un cisco 1800 série si besoin...
Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les 
ports uplink ?

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Bonjour,


Je veux appliquer une QOS voix sur un switch cisco 2960 avec l’IOS 15.


Le contexte est le suivant :


1)le 2960 est connecté sur le routeur internet

2) j’ai plusieurs petits switch (non managable) sur les quels il y a PC et 
téléphones de connectés.

3)les petits switch sont connectés sur le cisco (fa0/1 => switch 1 ; fa0/2 => 
switch2)


Comment faire pour appliquer la QOS lorsqu’il y a trafic data+voix sur le port 
« uplink » (fa0/1 ; fa0

/2 ) du 2960 ?

Un exemple de configuration et retour d’expérience serait la bienvenue.

En vous remerciant.

A+
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; 
fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers 
connectés sur les sous-switch non managable.
Pour info je me suis servie du post FRNOG pour la limitation de trafic 
http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960
Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les 
ports uplink afin que la voix soit prioritaire par rapport au flux donnée.
Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de 
récupérer un cisco 1800 série si besoin...
Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les 
ports uplink ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Salut,
Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
vais rien toucher sur le Cisco...



  De : David Ponzone <david.ponz...@gmail.com>
 À : Duchet Rémy <r...@duchet.eu> 
Cc : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org> 
 Envoyé le : Vendredi 9 octobre 2015 18h45
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
+1
Mais si ça fonctionne aussi en le désactivant, je le vire.

Le 9 oct. 2015 à 18:31, Duchet Rémy <r...@duchet.eu> a écrit :

> Salut, 
> 
> J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
> SIP ne le supporte pas.
> ‎Si ça fonctionne, pourquoi changer ? 
> 
> Rémy
>  Message d'origine  
> De: Antoine Durant
> Envoyé: vendredi 9 octobre 2015 18:22
> À: frnog-t...@frnog.org
> Répondre à: Antoine Durant
> Objet: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut !
> Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
> routeurs : 
> http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> chercher/connecter l'ASTERISK.
> Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> avec mon ASTERISK...
> Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> Bon WE :)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Salut,
C'est justement ma question... En faisant une recherche sur gooogle on trouve 
que notamment sur les Cisco il le désactive...
J'ai du mal à cerner quand faut t'il le désactiver...
   De : Duchet Rémy <r...@duchet.eu>
 À : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org> 
 Envoyé le : Vendredi 9 octobre 2015 18h31
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
Salut, 

J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
SIP ne le supporte pas.
‎Si ça fonctionne, pourquoi changer ? 

Rémy
  Message d'origine  
De: Antoine Durant
Envoyé: vendredi 9 octobre 2015 18:22
À: frnog-t...@frnog.org
Répondre à: Antoine Durant
Objet: [FRnOG] [TECH] SIP ALG sur routeur

Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

 Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Intéressant ! Quel  est la valeur du timeout UDP ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] fibre versus agrégat adsl

[Antoine Durant]

 Hello,
J’ai une question auquel je n’arrive pas vraiment à trouver de réponse dans ma 
quête pour avoir du haut débit ! 
J’ai le choix entre deux techno : cuivre/fibre optique.
Cas n°1 :
Deux ADSL que j’agrège, pour obtenir un débit théorique de presque 40M en 
réception et 2M en émission. Cas n°2 :
Une fibre 10M symétrique.
Sur le papier je vois 40M contre 10M, donc le choix peut être fait rapidement 
!!! Mais….
Moi j’aime bien le n°2 car moins de latence que le cuivre, plus grande 
stabilité, j’en oublie…
Quelle solution prendriez-vous et pourquoi l'une plutôt que l'autre ?
Bonne soirée !!
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fibre versus agrégat adsl

[Antoine Durant]

>Et pas de souci de contention dès que tu uploades des donnéesQue veux tu dire 
>par contention ?

>C'est aussi une question de pérennité. Perso je n'ai jamais vraiment
>trop fait confiance au cuivre pour transporter de l'ADSL, et ça va sans
>doute pas s'améliorer avec le temps.Je plussoii 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fibre versus agrégat adsl

[Antoine Durant]

EFM c'est de la Sdsl ?
>A moins que tu ne sois en train de regarder des offres résidentielles, auquel 
>cas ce n'est pas mon métier.Je regarde les deux...Chui pas fermé :p

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Hello :)
On va partir sur pour l'aventure ubiquiti, quelle boutique en ligne vous me 
recommanderiez afin de passer commande ?
J'ai regardé le site ubnt.com pour la france, lequel revendeur vous me 
conseillez ?
Je vais avoir besoin de cable réseau extérieur anti_UV, ou faut-il se fournir ?
Merci.
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Si tu te tiens dans un rayon de 1km et que tout est à vue, les
Nanostations seront amplement suffisantes. Evite les Nanobeam M5-16 et
19 comme la peste, c'est plus joli et pratique à poser mais ça chie dans
les grandes largeurs.
Je vais regarder les nanostations, tu parles bien de 
https://www.ubnt.com/airmax/nanostationm/ ??
Si tu as besoin de  100Mbps, oriente toi vers les Nanobeam 5AC.Est-ce le 
modèle suivant : https://www.ubnt.com/airmax/nanobeam-ac/ ??

Si tu dois faire du backhaul  3km, airgrid M5-HP (s'il y a bcp de 
vent)https://www.ubnt.com/airmax/airgridm/ ??

ou Nanobeam M5-400 (si ça souffle pas)https://www.ubnt.com/airmax/litebeam-m5/ 
??

Il y a plusieurs modèles que se soit en 2.4 ou 5, je ne voudrais pas me 
tromper, c'est pour cela que je demande confirmation afin de ne pas acheter un 
truc qui va pas marcher :\

Après, c'est pas une obligation, mais te rapprocher de www.ffdn.org
pourrait être bénéfique pour tous :) 
Oui c'est une bonne idée !
Merci :)


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Salut !
 
@antoine
Si tu as des infos sur le choix ou orientation vers les équipements fait moi 
signe stp.
@SébastienOn me conseille largement d'utiliser du matériel ubiquity notamment 
la gamme des antennes airMax Sector et des nanoStation CPE.
https://www.ubnt.com/products/
@TousSi je veux diffuser la connexion SDSL depuis chez moi vers le clocher 
(point haut) quelle antenne dois-je mettre chez moi ?SDSL===UBNT(lequel 
??)===AIRMAX-Sector===nanoStation

Faut t'il faire une déclaration à la préfecture concernant l'existence des 
antennes ? La l33.1 est elle exigée afin de pouvoir faire ça ?Légalement que 
dois-je faire pour être en conformité avec la loi  (asso minimum?) ?

A+
   
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Saut,
Je vais regarder pour le GMAP, mais en attendant j'aurais bien aimé avoir une 
idée du matos pouvant faire l'affaire, ce ci afin de me documenter sur les 
produits et de faire un estimatif du prix.
Ensuite la solution du clochet n'est pas définitive car je ne sais pas encore 
si l'accès au clochet nous sera autorisé (j'anticipe les solutions).
Seconde solution est de chercher la maison la plus proche du NRA afin de 
reproduire le système clochet de mon image d'hier.
Que ce soit le clochet/maison émettrice, nous sommes dans une grandeur de 500m 
à 1Km pour le raccordement des abonnées


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Bonsoir et merci pour les infos :)
Je vais me tourner vers du matériel UBNT car tout le monde me le conseille ! 
Si j'utilise du matériel UBNT 5Ghz je suis en mode HIPERLAN ou pas du tout ? 
Est-ce la même chose ?
J'ai regardé les produits UBNT, il y en a beaucoup, je suis un peu perdu sur 
mes choix...
Quel matériel utiliseriez vous (de préférence en 5Ghz ou vu des 
recommandations) pour le cas pratique (voir image du schéma) suivant : 
http://www.ariase.com/fr/guides/media/reseau/wifi.png
= Quel matériel mettre en antenne émettrice du clochet  en haut à gauche ?= 
Quel matériel mettre en antenne relais wifi du clochet en bas à droite ?= Quel 
matériel mettre sur les abonnées en bas à droite ?
L'idée est quand même d'avoir du bon matériel wifi, car nous allons essayer de 
monter des SDSL et ou VDSL :)
Merci et bonne soirée


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Bonsoir la liste,
Avec un groupe d’ami et de personne nous allons monter pendant nos vacances un 
réseau wifi afin de pouvoir nous connecter à internet en haut débit (trop la 
classe !!).  Etant dans une zone blanche en campagne, l’arrivée de la fibre 
n’est pas prévu, donc on se débrouille comme on peut. La techno du wifi à donc 
pour nous du sens et surtout de pouvoir espérer plus de 2M...
Nous allons agréger plusieurs abonnements ADSL afin de les diffuser via le wifi 
sur un point central situé en hauteur.
Nous avons certaines maisons à « connecter » qui se trouve dans un rayon de 500 
m.
= Faut-t’il mettre une antenne qui arrose à 360° ou alors faire du point à 
point avec plusieurs antennes émettrices ?= Quel matériel vous me conseillez 
pour ce genre de pratique ainsi que son prix d'achat ?
= Préférez-vous utiliser du wifi 2.4Ghz ou du 5Ghz ?
Merci pour vos retours d’expérience et astuce.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl

[Antoine Durant]

Hello :) Merci pour les retours.  Je cherche à monter une solution CISCO car je 
ne veux pas m'embêter à monter un PC ou autre chose pour réaliser ça. En tout 
cas les solutions sont pertinentes !! Le VPN est configuré dans la box 
d'orange. L'ADSL risque de migrer sur une SDSL ou une fibre quand cela sera 
possible, donc c'est pour cela que je préfère aussi monter un router un peu de 
marque pour ne pas avoir de problème dans le futur...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl

[Antoine Durant]

Bonjour,

Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre 
bureau afin d'utiliser les ressources de là bas. Le problème est que de temps 
en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps.

Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le 
surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée 
pour le reste du trafic.

Déjà est-ce que cela est possible a faire ? 
Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin 
de créer une route VPN vers la BOX1 et le reste vers la BOX2.

Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit 
budget - de 500€)

Merci pour vos retours.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

Bonjour, Voici le contexte :Une box ADSL connecté (192.168.1.1) sur un switch 
2960Le switch 2960 à deux VLAN :vlan1 = 192.168.1.0/24vlan2 = 192.168.2.0/24 
Sur le switch 2960 j'ai changé le sdm pour le routing, j'ai activé le mode ip 
routing sur le switch. Mon problème est que le vlan2 ne peux pas sortir sur 
internet depuis une adresse 192.168.2.XDepuis le switch pas de problème je ping 
une adresse internet (ip route 0.0.0.0 0.0.0.0 192.168.1.1)Je ne peux rien 
toucher sur la box ADSL... Je me dis que cela est normal le 2960 étant un 
layer2 il n'est pas possible de faire du NAT pour faire sortir 192.168.2.X via 
192.168.1.X. Au cas ou, je pose la question, est-ce possible de faire quelque 
chose (ACL? autre...) pour que le vlan2 puisse surfer ? Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre 
un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec 
le VLAN2.     
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

Oui c'est bien ce que je me disais aussi...  Le 2960 ne sait pas faire du NAT 
non plus :\ 
  De : David Ponzone david.ponz...@gmail.com
 À : Antoine Durant antoine.duran...@yahoo.fr 
Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech 
frnog-t...@frnog.org 
 Envoyé le : Mardi 21 juillet 2015 20h06
 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
   
Aucune chance alors, il te faut du NAT pour 192.168.2.0/24





Le 21 juil. 2015 à 20:04, Antoine Durant antoine.duran...@yahoo.fr a écrit :

Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre 
un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec 
le VLAN2.     
---
Liste de diffusion du FRnOG
http://www.frnog.org/




  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

MDR ! Oui bonne idée, par contre je cherche le 6500 au format 1U... 
  De : David Ponzone david.ponz...@gmail.com
 À : Antoine Durant antoine.duran...@yahoo.fr 
Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech 
frnog-t...@frnog.org 
 Envoyé le : Mardi 21 juillet 2015 20h21
 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
   
non, tu achètes un 6500, qqun en vendait un pour pas cher il y a quelques jours 
sur la liste :)



Le 21 juil. 2015 à 20:09, Antoine Durant antoine.duran...@yahoo.fr a écrit :

Oui c'est bien ce que je me disais aussi...  Le 2960 ne sait pas faire du NAT 
non plus :\ 
  De : David Ponzone david.ponz...@gmail.com
 À : Antoine Durant antoine.duran...@yahoo.fr 
Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech 
frnog-t...@frnog.org 
 Envoyé le : Mardi 21 juillet 2015 20h06
 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
   
Aucune chance alors, il te faut du NAT pour 192.168.2.0/24





Le 21 juil. 2015 à 20:04, Antoine Durant antoine.duran...@yahoo.fr a écrit :

Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre 
un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec 
le VLAN2.     
---
Liste de diffusion du FRnOG
http://www.frnog.org/




   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Doublon dans règle NAT CISCO ??

[Antoine Durant]

Bonjour, Il me semble que j’ai un doublon sur une règle de NAT concernant les 
règles suivantes : = ip nat inside source list 101 interface Loopback0 overload
= access-list 101 permit ip 172.16.1.252 0.0.0.3 any
ET
= ip nat inside source static 172.16.1.253 192.168.1.10 extendable A mon avis 
si je laisse la règle :
= ip nat inside source static 172.16.1.253 192.168.1.10 extendable
Et que je supprime les deux :
= ip nat inside source list 101 interface Loopback0 overload
= access-list 101 permit ip 172.16.1.252 0.0.0.3 any
est-ce que cela reviendrait t’il pas au même  Pour schématiser le routeur 
172.16.1.254 envoi tout le trafic sur le pare-feux 172.16.1.253 et 
inverssement. Il n'y a que deux hotes dans le réseau 172.16.1.252/30 Config du 
Cisco :
!
interface Loopback0
 ip address 192.168.1.10 255.255.255.255
!
interface FastEthernet4
 ip address 10.0.0.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip verify unicast reverse-path
!
interface Vlan1
 ip address 172.16.1.254 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 ip verify unicast reverse-path
!
ip nat inside source list 100 interface Loopback0 overload
ip nat inside source list 101 interface Loopback0 overload
ip nat inside source static 172.16.1.253 192.168.1.10 extendable
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!
access-list 100 deny   ip 10.0.0.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 100 permit ip 10.0.0.0 0.0.0.3 any
access-list 101 permit ip 172.16.1.252 0.0.0.3 any Merci pour le retour :)
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/