Re: [FRnOG] Re: [TECH] Re: [Racine du DNS] Un serveur en retard

[Phil Regnauld]

Radu-Adrian Feurdean (frnog) writes:
> 
> C'est une liste de NS, donc le concept d'operateur n'existe pas.

C'était pour donner du contexte - en effet, les NS en train
d'éxécuter une requête récursive n'ont pas de notion d'opérateur.

> Les lettres c'est juste pour faire plus "neutre"/joli/gerable. Et Verisign 
> gere 2 lettres (A et J)

1997 - il y a 24 ans. Postel avait demandé l'ajout de J,K et L,M pour
augmenter la distribution côté Est/Ouest. NSI s'occupera de J quand 
Postel
meurt avant d'avoir désigné un opérateur pour J et L. Verisign rachète
NSI en 2000 et garde J. C'est avant la généralisation d'anycast.
B-root ne l'a fait qu'en 2017 (!)
https://labs.ripe.net/author/giovane_moura/turning-on-anycast-on-b-root/

> Et oui, il y a eu (en plus de changements d'IP):
>  - renommage de l'ensemble des serveurs (passage vers les X.root-servers.net)

1995 - 29 ans. Ça facilitera la compression des noms (déjå dans la 1035,
publiée 8 ans plus tôt).

>  - ajout de nouveaux serveurs (et operateurs) : de J a M

Cf ci-dessus.

>  - si on compte que les ancêtres des D et G avaient passe de 2 IP (v4) a 1, 
> on peut aussi parler de retrait.
> Ca date du siècle dernier, mais la liste peut changer.

Le commentaire de Stéphane reste valide:

"C'est pour cela que la liste est figée depuis très longtemps." -- on
parle de 25 ans, une éternité dans le monde du DNS.

Ça ne contredit pour autant ta réponse ("la liste peut changer").
ça va dépendre de ce qu'on considère ce qui fait partie de la liste:
les NS, ou les NS + IP (root hints) ?

En effet, du point de vue d'un serveur récursif qui lance ses requêtes
d'initialisation, un changement d'IPv(4|6) implique un changement de
la liste, mais on à pas bougé depuis 1997 pour la liste des NS de la
racine.

> Un peu d'historique : 
> https://www.icann.org/en/system/files/files/rssac-023-04nov16-en.pdf
Très bonne lecture par ailleurs.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Re: [Racine du DNS] Un serveur en retard

[Phil Regnauld]

Changer la liste == ajouter/supprimer un opérateur, c'est a dire une lettre 
à la liste (ajout de N ou disparition d'une lettre). Outre changement d'IP, 
il y a eu des consolidations et des reprises au niveau 
administratif/commercial des opérateurs, mais pas de changement de la liste 
de noms elle-même.


On May 25, 2024 11:46:33 "Radu-Adrian Feurdean" 
 wrote:



On Thu, May 23, 2024, at 09:02, Stephane Bortzmeyer wrote:


Techniquement, il y a bien quelqu'un qui ajoute les serveurs sur la
liste des serveurs racines.


Justement non. C'est pour cela que la liste est figée depuis très
longtemps.


Errr nope !
- 2023-11 : B-Root IP change
- 2015-12 : H-root IP change
- 2013-01 : D-root IP change
- 2007-10 : L-root IP change
Et ca c'est que les 20 derniers années ...

Donc oui, il est possible de changer la liste, mais:
- il doit y avoir un bon raison pour qu'un des operateurs inite le 
changement pour le root-ns qu'il gere lui-meme

- soit il y a un consensus pour faire le changement.
- ca ne risque pas d'etre rapide

Pour ce cas precis, je suppose que Cogent n'a pas foire suffisamment fort 
pour qu'il y a consensus.



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> 
> 
> Suffit d’un téléphone IP et d’un bouffon qui trouve dommage que son port PC 
> soit pas dans une prise murale.

C'est pas ça qu'on appelle la boucle locale ? :D

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

[Phil Regnauld]

Fabien Sirjean (fsirjean) writes:
> Bonjour la liste !
> 
> Ça fait maintenant quelques semaines qu'on se gratte la tête avec les
> collègues, alors je viens ici chercher des avis éclairés.
> 
> On exploite une infra campus, de type 3 tiers (core/aggreg/access), en pur
> layer 2 (des VLAN propagés entre l'edge et le core) en multi-constructeurs
> (HP procurve, Extreme, Cisco 2960X...).


Ne pas faire du 3 tiers en pur L2 ? Je sais, c'est pas au programme :)


> On est en train de reprendre la config de nos switchs (refonte totale du
> parc, on déploie du 2060X refurbished) et on se pose une question bête :
> spanning-tree or not spanning tree ?

MSTP si possible.

> techno du diable, on a pas très envie de faire un seul arbre spanning-tree à
> l'échelle de notre infra.

Bonne idée.

> On a vécu des changements de topologie incessants, avec des temps de
> convergence infinis, et on a pas très envie de recommencer. Mais c'est ce
> que nous préconise un presta, alors on doute de nos choix.

Si on contrôle bien les liens infra et on est quasi sûr que personne
ne va faire des boucles à ce niveau, on peut décider de fermer les ports
manuellement. Ou voir si il y a des options vPC / MLAG pour utiliser des
liens redondants de manière efficace (moins certain quand on fait du
multi-vendeur bien évidemment).

> Bien sur la meilleure réponse est de tout passer en L3 et de faire du
> routage, mais... C'est pas au programme pour l'instant ;-)

Mais y réfléchir fortement - et ça ne nécessite pas forcément
une transition complète du réseau en une seule étape.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Hébergeur Mail Perso : Bien choisir

[Phil Regnauld]

Samuel Mesguich (samuelmesguich) writes:
> 
> D'un point de vue fonctionnel, rien d'exceptionnel, au moins 2 NDD
> personnalisés, 1 boite partagés, gestion des alias '+', Catch-All, au moins
> 2 email / users, 5Go mini, et si possible un support des standards mails
> simili exchange (synchro mail + agenda, contact et notes, à la Krosof't,
> Googleuh, iPomme)

Je peux recommander FastMail. On a passé tout le mail d'une NGO
dessus il y a quelques mois, et ils ont un support top, le prix
n'est pas excessif, et le mode "privacy" empêche même un rôle
administrateur d'accéder au mail des utilisateurs si ils le désirent
(au détriment de pouvoir faire une sauvegarde de ces comptes).

https://www.fastmail.com/pricing/

Il y a un mode "essai gratuit" 30 jours il me semble.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] ASR-9006-V2

[Phil Regnauld]

[off topic, somewhat]

Rod Beck (rod.beck) writes:
> 
> It is a politically correct product because the owner is a naturalized 
> American citizen from China. As long as you wrap your body in red, white, and 
> blue, you are one of us. 

It's FrNOG, not Stars-and-Stripes-NOG. So Blue, White and Red.

> It's Thanksgiving so I am out of here. We call it Thanksgiving because we are 
> thankful we only have to have dinner with our relatives once a year. 

We also pardon the Turkeys in France by not eating them at Thanksgiving.

Phil


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM

[Phil Regnauld]

Sinon, j'avais créé cette liste à une époque - y'a sûrement des trucs qui
n'existent plus. Corrections/ajouts bienvenus :)

https://gist.github.com/regnauld/63866f968d6cf55f29845a6d896b5b65

Rostan Nawer KEZAL via frnog (frnog) writes:
> Merci pour les retours ! Ca match ce que je recherche :)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> > Et pas sous le même domaine (parceque si on perd ce domaine là...)
> 
> Pas faux mais c'est plus complexe que ça. (La recommandation
> officielle de l'ANSSI est au contraire de mettre tous les serveurs
> sous le nom qu'ils servent.)

https://kindns.org/other-sld-zones/ - Practice 5 :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le Cloud

[Phil Regnauld]

Stéphane Rivière (stef) writes:
> 
> Bacula stocke t-il toujours ses journaux de sauvegarde séparément ?

Le catalog ? On peut à partir d'une "archive" (disque ou bande)
faire un bscan et recréer le catalogue, voir faire un bextract
directement depuis une archive pour en extraire le contenu, mais
c'est en cas de non disponibilité du catalogue (SQL en rade, panne
complète).

> Comment sauve t'on alors ces données indispensables pour la restauration ?

Le catalogue lui-même fait l'objet d'un backup, et on peut commencer
par le restaurer dans la base (et le reste de la config). Mais encore
une fois, uniquement en cas de reprise après sinistre.

> Une sauvegarde ne devrait-elle pas se suffire à elle-même ?

Ça dépend des objectifs.

> Plus de détails ici...
> 
> https://burp.grke.org/why.html

Il parait que c'est bien, je me dit que je dois regarder ça depuis
longtemps, mais on utilise encore des bandes magnétiques pour 
l'archivage
avec Bacula.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le Cloud

[Phil Regnauld]

Config identique ici (y compris bacula). PBS et ProxMox en v7, ça marche
juste. Encore du vmware en prod, mais on est en train de finir de migrer
ça vers le proxmox.

Nicolas (ndebrou) writes:
> Bonjour,
> 
> De notre côté nous utilisons le couple Proxmox + CEPH + Promox Backup
> Serveur et du bacula pour des sauvegardes granulaires
> 
> => top
> 
> La dédup fonctionne très bien, et il est même possible de dupliquer des
> datastores de sauvagardes vers une autre unité ce qui permet de copier ses
> sauvegardes dans un autre DC.
> 
> Bref, pas mal d'avanatages.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Un peu d'humour

[Phil Regnauld]

Daniel via frnog (frnog) writes:
> Il semble que sous windows cela fonctionne. Linux "Nous ne parvenons pas à
> trouver ce site"

Sous OS X:
Chrome OK
Safari OK

Pas essayé Firefox.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Lancement de l'initiative KINDNS (bonnes pratiques et sécurité DNS)

[Phil Regnauld]

(KINDNS hat: on)

Bonjour à tous,

KINDNS signifie "Partage des connaissances et instanciation des normes
pour la sécurité du DNS et des noms de domaine". Il s'agit d'un programme
approuvé par l'ICANN avec pour but de développer et promouvoir un espace
pour favoriser les bonnes pratiques les plus pertinentes autour de
l'exploitation et de la sécurisation du DNS, y compris des exemples
opérationnels.

L'annonce officielle:

https://www.icann.org/en/announcements/details/icann-launches-the-kindns-initiative-to-promote-dns-security-best-practices-06-09-2022-en

Si vous souhaitez rejoindre le programme, vous trouverez toutes les
informations (en Anglais) sur le site le site Web qui vient d'être lancé :

https://kindns.org/

Le site comprend un mécanisme d'auto-évaluation pour rejoindre et participer
au programme.

Nous espérons que cela se révèlera être une ressource utile à la communauté
technique et des opérateurs en général !

Nous invitons également tous ceux qui souhaitent s'inscrire à la liste des
échanges et discussion (kindns-discuss), en bas de la page :
https://kindns.org/support-engage/

Les commentaires et contributions sur le site et sur les informations
concernant le programme sont les bienvenus.

Merci!

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Attaque des extra-terrestres contre l'Internet

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> communications. On nous montre et on nous explique le rôle du 60
> Houston, et on voit les extra-terrestres le détruire (et, de plus
> loin, on voit une attaque contre le Telehouse 2 à Paris).

C'est 60 Hudson, mais si des extra terrestres voulaient détruire
le Texas, ça me surprendrait pas en fait.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Machine de calcul ARM

[Phil Regnauld]

Santiago Ruano Rincón (santiago.ruano-rincon) writes:
> À voir si ça rentre dans votre budget, Equinix propose ceci pour
> USD 1,405.25/an à Paris :

Par *mois* sur un contrat d'un an. Ça tombe à ~1000 pour un contrat
de trois ans.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Test de connectivité

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> Lu sur la liste NANOG, une proposition de réserver le nom de domaine
> "internet", et qu'il ait des enregistrements  et A qui répondent à
> ICMP echo, de manière à ce qu'on puisse taper :
> 
> ping internet
> 
> pour vérifier sa connectivité.

Et on anycaste le tout ? Et qui annonce ça ? :)

Et puis on peut ajouter:

smtp.internet qui répond sur le port 25 tcp ?
http.internet qui... Bon j'arrête.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Guide de déploiement IPv6 en entreprise

[Phil Regnauld]

JCLB (JC) writes:
> Vous le trouverez ici en V1.1
> https://www.arcep.fr/uploads/tx_gspublication/guide-entreprises-comment-deployer-IPv6-novembre-2021.pdf

Ouah!

> Vos retours, idées d'ajout et commentaires sont les bienvenus.
> Le document a vocation à être mis à jour au moins 2 fois par an.
> 
> Je travaille en ce moment à la mise en forme de la version anglaise qui sera 
> mise en ligne à la rentrée.

Rentrée - c'est quand ? Y'a une version draft dispo en Anglais ?
Je connais plus d'une personne qui serait intéressée de passer
ça en revue.

Joli travail!

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Apprentissage du CIDR en SNT au Lycée....

[Phil Regnauld]

Michel Py via frnog (frnog) writes:
> 
> Class A : 0x...
> Class B : 10...
> Class C : 11...
> 
> Masque /8  : |..
> Masque /16 : .|.
> Masque /24 : ..|

Hahaha, trop facile. Revenons au masques non-contigus.


https://www.prado.it/2016/05/21/yet-another-post-about-ipv4-subnetting-non-contiguous-bits-version/

Faut pas oublier que CIDR n'est devenu possible que parce qu'on s'est
mis d'accord que les masques non contigus c'était l'apocalypse.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Carte réseau supportant virtio

[Phil Regnauld]

Remi Desgrange (remi.desgrange) writes:
> Bonjour,
> 
> J'ai regardé ce talk (3h, j'ai mis un timecode pour l'endroit qui
> m'intéresse ici) : https://youtu.be/As44YzdnqqE?t=10030. Ils parlent de
> cartes réseaux qui supporteraient directement virtio, j'ai rien trouvé de
> probant sur google, même si c'est "bleeding edge" je trouve ça intéressant,
> des gens avec plus de skillz sur google que moi?

https://www.silicom.dk/product-details/silicom-c5010x-data-center-nic/

"Silicom C5010X is operated using stock virtio and NVMe drivers, 
implementing a true hardware virtio and NVMe PCIe interface"
...
"Silicom C5010X can be deployed as a virtio network accelerator"

Voir aussi

https://lwn.net/Articles/805235/


https://kvmforum2019.sched.com/event/TmxF/virtio-without-the-virt-towards-implementations-in-hardware-michael-tsirkin-red-hat


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [NXOS] Comment afficher tous les membres d'un vpc

[Phil Regnauld]

Michel Py via frnog (frnog) writes:
> Bonjour à toutes et à tous,
> 
> J'ai gouglé mais je n'ai pas trouvé, est-ce qu'il y a quelqu'un qui connait 
> une combine pour faire un "show port-channel summary" qui affiche les deux 
> switches qui composent le vpc, pas seulement le switch sur lequel on tape la 
> commande ? Vpc ce n'est pas comme VSS : il y a 2 switches indépendants.

Pas mieux - seul truc qui se rapproche un peu:

show vpc consistency-parameters interface port-channel 102


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [TECH] ATS + UPS = cdhsjkezlkezllksq

[Phil Regnauld]

Michel Py via frnog (frnog) writes:
> 
> Des ATS qui m'ont pété dans les mains, j'en ai eu 2;

Bienvenu au club, un des deux ATS (Eaton, mais ça ressemble fortement
à un APC) dans un de nos racks a pété subitement, au bout de 3 ans
d'utilisation. Pour la prochaine install pas d'ATS. Double alim dans
tous les serveurs et switches de coeur de toute façon. Et c'est arrivé
subitement, sans coupure ni rien. On avait un ATS de remplacement,
mais c'est la dernière fois.

> Tu coupes le jus pendant la fermeture, juste au moment ou il était en train 
> d'écrire la moitié de la FAT encore en mémoire, bonsoir Clara.

FAT ? Y'avait encore des dinosaures dans les salles machines à l'époque 
?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Cisco] vPC sans LACP sur Nexus 9500

['Phil Regnauld']

Michel Py (michel) writes:
> Merci à tout le monde pour vos contributions respectives.
> 
> > Phil Regnauld a écrit :
> > On peut activer créer un port-channel et le forcer en mode "on" sans 
> > négotiation, mais on m'a déconseillé.
> 
> C'était quoi la logique de ne pas le faire (s'il y en avait une, ce qui n'est 
> pas nécessaire) ?

Faut que je retrouve les pointeurs, il y avait une discussion
ici:


https://www.reddit.com/r/vmware/comments/51898u/lacp_and_vpc_question_for_esxi_60/

... mais à mon souvenir, le sujet avait été évoqué sur 
communities.vmware.com
(recherche: esxi vpc without port-channel).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Cisco] vPC sans LACP sur Nexus 9500

[Phil Regnauld]

Alexis Lameire (alexis.lameire) writes:
> Je suis un peu rouillé sur vmWare mais je comprends bien le souci
> 
> Déjà il faut passer au dvswitch, donc avoir la licence la plus chère.
> 
> Ensuite ça implique la migration du truc, et en cas de souci du vcenter
> c’est juste impossible de récupérer la conf

Oui :)

> Alexis )traumatisé du dvswitch)

Pareil :)

Et avec un petit script genre 
https://www.networkoc.net/using-powercli-to-add-vlan-to-multiple-esxi-hosts/
on peut rapidement pré-provisionner les VLANs sur les nouveaux nodes.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Cisco] vPC sans LACP sur Nexus 9500

['Phil Regnauld']

Michel Py (michel) writes:
> > Phil Regnauld a écrit :
> > - 2 x 3064PQ
> 
> Qui c'est qui n'a _pas_ (encore) de 3064PQ acheté en broke ;-)
> Comme ToR c'est vachement sympa.

Le Arista DCS-7050QX-32/S se trouve à 1000-1300 € aussi, en 40 GB.

> > Côté NXOS ça veut dire qu'on ne définit *pas* de port-channel por les ESXi, 
> > les interfaces sont
> > juste configurées en mode trunk, de façon identique sur chaque commutateur. 
> > ESXi fait le reste.
> 
> Quel est l'intérêt de faire ça ? intellectuellement, je préfère LACP. 
> L'implémentation VMWare a plein de limitations y compris license, d’où l'idée 
> de faire sans. Mais de la à ne pas faire de port-channel, pourquoi ?

Parce que je n'ai pas la license pour faire du LACP (et que les 
immortels
du vmware me disent que LACP n'est pas nécessaire). On peut activer 
créer
un port-channel et le forcer en mode "on" sans négotiation, mais on m'a
déconseillé. Côté ESXi, on configure chaque interface en mode trunk et
ça suffit, avec une politique "route based on physical NIC load".

Vieille discussion (2013) 


https://communities.vmware.com/t5/vSphere-vNetwork-Discussions/LACP-or-no-LACP-that-is-the-question/td-p/440768

... si on un vDC et LACP, alors c'est autre chose.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Cisco] vPC sans LACP sur Nexus 9500

[Phil Regnauld]

Et pour comparer:

- 2 x 3064PQ avec vPC sous NX-OS 7.x -- c'est différent entre NXOS 7 et 9 au
  fait (*)
- Une dizaine de machines (mélange ProxMox et ESXi), 2 x 10 GBit/s / host
- ProxMox en bond 802.3ad (LACP)
- ESXi sous vSphere 7 (Essentials+, donc pas de DVswitch, trop cher mon fils)

On se passe très bien du LACP avec VMware, l'OS se débrouille pour faire de 
l'équilibrage entre les NICs définis dans un groupe.

Côté NXOS ça veut dire qu'on ne définit *pas* de port-channel por les ESXi,
les interfaces sont juste configurées en mode trunk, de façon identique
sur chaque commutateur. ESXi fait le reste.

(*) Sous NXOS 9, y'a plus de peer-link physique, ça simplifie et ça élimine
certains pièges.

https://blogs.cisco.com/datacenter/change-is-the-only-constant-vpc-with-fabric-peering-for-vxlan-evpn

P.


Gary BLUM via frnog (frnog) writes:
> Hello
> Je réponds a la moitié de tes critères,
> 
> 1 Nexus 3064
> 8 hôtes ESXi en cluster
> Une NIC deux ports par hôte, en LACP sur le Nexus
> L'ensemble en DVSwitch
> Géré par un vCenter
> 
> Si besoin.
> 
> --
> Gary 
> 
> > -Message d'origine-
> > De : frnog-requ...@frnog.org  De la part de Michel
> > Py via frnog
> > Envoyé : mercredi 18 août 2021 00:06
> > À : frnog-t...@frnog.org
> > Objet : [FRnOG] [TECH] [Cisco] vPC sans LACP sur Nexus 9500
> > 
> > Bonjour la liste,
> > 
> > Est-ce que quelqu'un ici a déjà fait des vPC sur Nexus 9500 sans LACP ?
> > C'est pour brancher des hôtes ESXi 7 avec un channel sur 2 châssis physiques
> > différents.
> > 
> > LACP sur VMWare ça a pas l'air glop. La peinture est pas sèche, ils ont 2 
> > versions
> > (LACP v1 et LACP v2) dont personne en dehors de VMWare n'a jamais entendu
> > parler, et ça a une petite odeur d'usine à gaz avec les switch distribués 
> > au lieu
> > des vSwitch classiques.
> > On a des châssis blade HPE qui gèrent le LACP mais on veut aussi mettre des
> > serveurs classiques. Quand on fait ça sur du Catalyst (mono- châssis sur 2 
> > cartes
> > différentes) on mets le channel en mode non-LACP (channel-group xxx mode on)
> > alors que de switch-à-switch on le met en mode LACP (channel-group yyy mode
> > active).
> > 
> > channel-group xxx mode on sur un vPC sur du Nexus c'est une combinaison que
> > j'ai jamais fait, c'est "recommandé" d'utiliser LACP.
> > 
> > Des idées ?
> > 
> > Michel.
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> On Tue, Jun 08, 2021 at 12:17:17PM +0200,
> > Vous avez plus d'infos ?
> 
> Fastly est HS. Ça donne des résultats amusants quand on peut récupérer
> une partie seulement d'un site.

https://docs.fastly.com/en/guides/fastlys-network-status

... oscille entre "Guru meditation" (varnish) et une page de Décembre 
2020.

Amazon.com ressemble à une page vue avec Mosaic 1.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Câble ethernet facile à planquer le long d'une plinthe

['Phil Regnauld']

Michel Py (michel) writes:
> 
> Et, torsadé ou pas, le câble plat même quand c'est du Jadaol, c'est du 30 
> AWG. Moins de 2 fois le diamètre, 5 fois la résistance.

[...]

> Le dire et le répéter : Un bon câble Cat6, c'est du 23 AWG.

Y'a bien du quasi-plat en 24 AWG, mais c'est 340 USD pour 75 mètres - 
aïe:


https://www.discount-low-voltage.com/Cable/Cat6-UTP-Low-Voltage-Ethernet-Cable/Cat6-under-carpet-1499539-1

https://www.youtube.com/watch?v=Yzvg-vWaQwE

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Câble ethernet facile à planquer le long d'une plinthe

[Phil Regnauld]

Michel Py (michel) writes:
> 
> Publicité mensongère : ceci n'est pas du Cat6 (ni du Cat5, d'ailleurs). C'est 
> du Cat3. Lire les normes, TIA/EIA 568-c.2 par exemple.


https://forums.anandtech.com/threads/does-it-matter-if-you-use-flat-or-round-ethernet-cables.2550691/#post-39491356

C'est du CAT 6, torsadé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] De HDD à SSD dans un cluster ceph ?

[Phil Regnauld]

Hugo Waltsburger via frnog (frnog) writes:
> Pour le usecase c'est du ceph NFS sur de la virt openstack. Les liens sont
> 10 ou 40G. Pour les applications c'est ~300-400 VMs, principalement des
> sites web, avec quelques applications plus gourmandes en I/O
> (BDD/Mail/DHCP) mais qui ne représentent qu'une poignée de service :)

Ça semble tout indiqué pour du SSD. Pour la transition, vaut mieux
être sur une version récente de CEPH (12, 14 mieux) - idéalement avec
un nouveau pool et on bouge les VMs une par une.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] De HDD à SSD dans un cluster ceph ?

[Phil Regnauld]

Hugo Waltsburger via frnog (frnog) writes:
> 
> On envisage de mettre des SSDs à la place parce qu'on a un peu de budget en
> rab, mais on n'a aucune expérience de prod avec des SSDs, d'où la question
> : à votre avis, des SSDs dans un cluster ceph, pertinent ou
> casse-gueule/overkill ? Quelles marques/modèles marchent bien/pas bien ?
> Quelles sont vos expériences de SSDs sur de la virt/prod de façon générale
> ?
> 
> Au plaisir de vous lire :)

Samsung PM883 en prod ici, avec du HDD (HGST 6-8 To, avec du nvme en
log/db devant). Pas overkill du tout, ça va bien sûr dépendre de
l'application principale. C'est pour faire RBD/S3/iscsi/nfs/... ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Phil Regnauld]

Pierrick CHOVELON (pierrick.chovelon) writes:
> Salut,
> 
> Les premiers tests avec bind selon vos réponses sont concluants. Merci !
> 
> Quels seraient les bonnes manières pour faire tourner un bind dns en prod ?
> -> 1 master avec plusieurs slaves qui partagerait une VIP histoire d'avoir
> de la redondances ?
> -> 1 seul master avec 1 seul slave ?

N serveurs faisant autorité, le plus simple étant 1 primaire et 1
secondaire (master/slave en ancienne terminologie). Des IP dans des
préfixes distincts d'un point de vue de BGP (AS différentes).
Une VIP c'est deux oeufs dans le même panier, et ça introduit une
complexité inutile.

> -> Faut-il plutôt gérer une zone* domaine.fr * ou plutôt
> à chaque fois gérer la zone spéfifique *application.domaine.fr
> * ? J'aurai tendance à dire la première.

Ça dépend :)

> -> Des outils pour gérer tous les fichiers de zones ? Des astuces pour
> rendre cette gestion le plus logique/simple possible ?

PowerDNS et PowerAdmin mais c'est pas BIND :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le pétaoctet du pauvre

[Phil Regnauld]

Michel Py (michel) writes:
> La partie client me fait peur. NFS, iSCSI et SMB tout le monde comprend et 
> c'est testé depuis la nuit des temps. J'ai pas envie d'essuyer les plâtres à 
> tester un truc genre SMB Gateway pour Ceph.

Pas obligé de faire du CephFS, tu peux avoir une VM ou un serveur
physique qui monte une image RBD (CEPH block device), tu formates
ça en ZFS ou ce que tu veux, et tu colles Samba dessus.

Faut jamais exposer CephFS directement aux utilisateurs finaux de
toute façon.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le pétaoctet du pauvre

[Phil Regnauld]

Michel Py (michel) writes:
> 
> > En fonction du besoin, fe ferais deux machines et du ZFS avec répliction 
> > croisées.
> 
> Avec quel logiciel ?

/bin/sh et HuileDeCoude :) Ou le ZFS/HA cité plus tôt maintenant que je
connais.

> > Si on veut vraiment 1 TO de stockage contigu/agregé,
> 
> J'ai pas besoin de contigu. Un RAID60 / RAIDZ2 stripe de 300TO c'est 
> suffisant pour moi.

C'est pour faire de la VM ? Du stockage object ? Archiver FRNOG ?

> > faut regarder CEPH plutôt
> 
> J'ai regardé, pas encore essayé. Cà a l'air un peu usine à gaz sur les bords.

Ça l'est, mais ça peut valoir le temps de s'y investir, encore une fois,
en fonction du besoin.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le pétaoctet du pauvre

[Phil Regnauld]

Michel 'ic' Luczak (lists) writes:
> > 
> > Oui, ça marche, si on veut mettre tous ses oeufs dans un seul panier :)
> 
> Sinon...
> 
> https://github.com/ewwhite/zfs-ha/wiki 
> 

Ah c'est pas mal ça :) Merci du pointeur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le pétaoctet du pauvre

[Phil Regnauld]

Michel Py (michel) writes:
> 
> Est-ce que çà marche ? c'est trolldi !!!

Oui, ça marche, si on veut mettre tous ses oeufs dans un seul panier :)

En fonction du besoin, fe ferais deux machines et du ZFS avec répliction
croisées.

Si on veut vraiment 1 TO de stockage contigu/agregé, faut regarder
CEPH plutôt (soit en replication 3x ou en EC avec parité). Mais ça
dépend de l'usage et des besoins en perfs. Un pool 1 TO de SSD avec
des concat. de raidz3, ça va plutôt vite :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'Internet Society vient de vendre le registre .org

[Phil Regnauld]

Bill Woodcock (woody) writes:
> 
> Il est probable que le coût des noms de domaine .org augmentera. Peut-être 
> autant que 2 à 5 USD / an. Je pense que cela ne posera aucun problème sérieux 
> à personne.

Probable -> certain:

https://www.techradar.com/news/icann-lifts-price-caps-on-org-domains

> D'autre part, l'avantage de cet accord est immense. Il supprime l'ISOC du 
> contrôle du gouvernement américain et l'ISOC de la politique des gTLD. ISOC 
> ne sera plus responsable des intérêts d'autrui et sera libre de poursuivre la 
> politique Internet de manière neutre.

En principe oui :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RE: Conseil switchs 10G

[Phil Regnauld]

Hervé BRY (herve.bry) writes:
> 
> Les DAC que j'utilise (de chez FS.com) sont plus fins et plus souples que
> la plupart des câbles réseau Cat6, ça n'est donc pas une gêne à l'arrière
> des baies.

Ça me tente d'y passer, j'ai acheté chez FlexOptix à l'époque, et
c'est rigide et galère à gérer.

> Un point en faveur des DAC c'est le moindre risque de panne puisqu'il
> s'agit d'un câble passif, vis à vis d'une fibre avec des optiques à chaque
> bout et donc deux composants actifs qui peuvent potentiellement lâcher ou
> dysfonctionner.

Oui, j'ai vu plusieurs designs comme ça récemment - le multi-mode est
à la mode (sans jeu de mot) dans les DC.

> Niveau coût aussi, pour une liaison de 3m on s'en sort pour plus de 35€
> pour 2 optiques SR + une fibre mais seulement 13€ pour un DAC, soit près de
> 3x moins cher.

https://www.fs.com/fr/products/30889.html ?

C'est tout intégré mais ça reste 33 EUR / pièce...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Questions sur Proxmox/Ceph

[Phil Regnauld]

Michel Py (michel) writes:
> > Quentin Leconte a écrit :
> > Je laisse Guillaume te répondre, il sera plus à même de te donner des 
> > détails, il était en première ligne.
> > Mais disons que ça ne fait jamais plaisir de perdre plusieurs 10aines de To 
> > en prod. ;)
> 
> Je lirai avec intérêt la suite. J'étais justement en train de regarder vers 
> Ceph, pas pour ProxMox mais possiblement pour VMware et stockage de fichiers 
> générique, j'avais l'impression que c'était super-robuste, ce qui n'a pas 
> l'air d'être le cas.

Si c'est pour faire du vmware, regarder du côté de 
http://www.petasan.org/,
qui est une distro de CEPH orientée iSCSI et plus simple à déployer 
qu'un
CEPH traditionnel.

(VMware sait faire iSCSI et NFS entre autres, mais ne cause pas RBD).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Phil Regnauld]

Stéphane Rivière (stef) writes:
> 
> stretch-backports (admin): cluster virtualization manager
> 2.16.0-1~bpo9+1: all
> 
> Cette 2.16.0 'beta' est ok pour la prod ou tu tournes dans une autre version
> qui a ta préférence - genre la 2.15 stable ?

Je suis en 2.15 sur 3 des 4 clusters, et en 2.16-rc2 depuis 1 an sur
le dernier site.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Phil Regnauld]

Jonathan Leroy (jonathan) writes:
> Le mar. 28 mai 2019 à 10:10, Laurent Coustet  a écrit :
> > Regarde aussi ganeti, il y a des choses intéressantes.
> 
> Merci.
> J'ai regardé rapidement, mais :
>  - On est loiiin d'une install avec un coup d'apt comme avec Proxmox.
> Sur le principe ça ne me dérange pas trop, mais ça veut dire passer un
> certains temps sur l'install.

20 minutes pour deployer un cluster environ, après installation de l'OS.

C'est apt-get, un truc à modifier dans /etc/modrobe.d/drbd, et
ensuite gnt-cluster init...

Bon, faut aussi prévoir la config réseau etc.

Inconvénient: pas d'IU graphique - c'est du pur ligne de commande.

>  - La dernière version stable date de 2015 ? Les autres releases que
> je vois sont labellisées RC ou Beta.

Les packages sont à la traine suite à la transition Google -> public.

La 2.16.1 est sortie en avril, mais Debian était en freeze alors
pas de paquet tout de suite.

C'est sûr, c'est pas pour tout le monde, et si je devais commencer à
0 aujourd'hui, je prendrais probablement oVirt (voire proxmox, mais
j'avait été découragé par les upgrade qui semblaient nécessiter un
abonnement).

Mais c'est imbattable pour faire de la redondance avec seulement 2
machines et un petit budget.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Phil Regnauld]

Stéphane Rivière (stef) writes:
> Merci de tes réponses Phil.
> 
> Quelques questions subsidiaires, puisque tu m'y autorises...
> 
> > - DRBD (la force de ganeti)
> 
> Combien de serveurs pour un cluster DRDB avec Ganeti ? J'en étais resté à
> deux max avec DRDB (hors Ganeti), avec pb de sync si bascule mal gérée en
> pseudo HA classique avec pacemaker, heartbeat (*).

Bin j'ai environ 9 serveurs dans le plus gros cluster, et ils font
tous du DRBD.

Le basculement est manuel, on a regardé avec harep mais on préfère
gérer ça manuellement. 

> Cette limite de deux serveurs avec DRDB n'existe plus ?

Ah je viens de comprendre la question. DRBD fonctionne (par défaut) en
paire, oui, mais ça veut juste dire que les VMs on un noeud primaire et
un noeud secondaire. On peut tojours déplacer le secondaire vers une 
autre secondaire en tache de fond, basculer primaire/secondaire
(migration KVM), et ainsi de suite.

> Ces problèmes de synchro n'existent plus avec Ganeti ?

On n'a pas eu de problème de synchro de ce type. 

Si il est question de faire des scénario plus évolués, du style
DRBD vers un stack de deux autre machines (1 -> 2) cf.

https://www.suse.com/documentation/sle-ha-12/book_sleha/data/sec_ha_drbd_resource-stacking.html,
alors non, on ne fait pas, c'est hors scope de ce que Ganeti propose,
et c'est de toute façon suffisant.

> > - un cluster CEPH sur un des sites.
> 
> En deux mots pros/cons DRDB/CEPH ? J'avais retenu CEPH ok pour n serveurs
> (pas limité à 2) et pas de pb de synchro... Autre chose ?

DRBD: pro: performance, c'est du storage local, ça va vite, surtout si 
on
change le prootocole de synchro en B (semi-synchrone). Inconvénient: on
ne peut jamais avoir plus de stockage pour 1 seule VM, que ce que la
machine a en stockage interne/directement attaché.

CEPH: pro: dimensionnement absurdement aisé, fiabilité. Incovénient: 
investissement initial (on peut démarrer plus petit bien sûr), latence
de plusieurs ms même avec du SSD, courbe d'apprentissage initiale,
consommation électrique non négligeable quand on grossit le cluster.

> Ubuntu pour des versions plus à jour je suppose ?

C'est quasi pareil maintenant, mais on fait tourner la plupart de
nos VM sous 16.04/18.04 avec LXC/LXD, donc on trouvait ça bête
de continuer avec Debian sur le métal.

> Ubuntu préférable avec Ganeti ?

C'est pareil je dirais.

On a même un cluster avec un mélange de debian et ubuntu. Pas
conseillé :)

> https://wiki.xenproject.org/wiki/Remus : Passionnant, grosses compils, temps
> passé de fou, quand ça marche c'est magique et... lent... (réplication
> permanente des 2 serveurs à travers deux ETH 1 Gbps bindées cul à cul).
> 
> Les deux servs étaient de toutes petites configs de test avec 3 ETH chaque.
> La lenteur était "garantie" par le backplane PCI pourri des petites CM et le
> faible lien direct de 2 Gbps entre les serveurs...

Ça semble surcompliqué :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Phil Regnauld]

Stéphane Rivière (stef) writes:
> 
> Ton expérience m'intéresse beaucoup car Ganeti et Xen font bon ménage...
> 
> Tes clusters sont fondés sur quoi ?

KVM :) Pour le matos c'est un mélange. En stockage on fait:

- de plus en plus de SSD
- plain sur LVM local
- DRBD (la force de ganeti)
- des serveurs NFS (FreeBSD)
- un cluster CEPH sur un des sites.


> Je savais même pas que Ganeti tourniquait avec CEPH...

C'est supporté deuis pas mal de temps, apparemment.

> Ici c'est Debian/Xen/RAIDsoft/LVM ou Debian/Xen/DRDB+LVM pour l'instant

Nous on a du Debian et du Ubuntu en prod (de + en + d'Ubuntu).

Je donne volontier plus de détails si il y a des questions sur des
points particuliers.

Noter qu'après la transtion post-Google, ça a stagné pendant 18 mois, 
mais
là ça reprend sérieux.

Le truc qui nous manque:

1. multi-tenant avec possibilité de redémarrer les VMs pour les clients
(Faisable avec l'API mais bon faut tout faire ou utiliser un 
truc
semi abandonné comme ganetimgr/ganeti-manager -- ou Synnefo)

2. stockage hybride sur les VM (genre, disque 1 OS sur SSD en local,
disque 2 sur CEPH)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Phil Regnauld]

Laurent Coustet (ed) writes:
> 
> Regarde aussi ganeti, il y a des choses intéressantes.

+1, j'utilise en prod depuis 7 ans (4+ clusters, une 30aine de serveurs,
quelques centaines de VM).

Ça marche avec du LVM, DRBD+LVM (HA), du NFS, du iSCSI, du CEPH, ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Phil Regnauld]

Vincent (l) writes:
> 
> Valable aussi avec zfs, plus facile à appréhender pour des proxmox seul
> ou en petit cluster que ceph mais sans le côté HA qu'apporte ceph. En
> bref, les gestionnaires de volumes permettent de grandement facilité les
> backups et facilité les migrations.
> 
> J'ai pas d'outils de backup pour zfs tout prêt, mais il ne m'a pas été
> difficile d'adapter nos scripts de backup déjà basé sur zfs pour proxmox.

Pour ZFS, on peut éviter le iSCSI en faisant un FS / VM (avantage: on
n'a pas le problème avec les ZVOLs décrit ici:
http://brian.candler.me/posts/why-zvols-are-good-after-all/), et en
utilisant NFSv4 - on peut exporter des centaines de FS ZFS côté serveur,
mais n'avoir qu'un seul point de montage côté client, et le montage des
sous-FS se fait automatiquement quand on ouvre le chemin.

Avantage: accès facile à une image raw, tout en bénéficiant du lz4, et
on peut accéder aux snapshots via 
/zfs/vms/windows_machin/.zfs/snapshots/...

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> 
> Hmm pour l’avoir fait quelques fois, une sauvegarde full étant l’image 
> complète du disque, il y a toujours un moyen en CLI de la monter où on veut 
> pour aller y prendre le fichier qu’on veut:
> 
> http://alexeytorkhov.blogspot.com/2009/09/mounting-raw-and-qcow2-vm-disk-images.html

Ou utiliser guestfish / libguestfs:

http://libguestfs.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SMTP, TLS v1.2 et Orange

[Phil Regnauld]

Bonjour et bonne année à tous!

Un hébergeur et client ici (Danemark) a des soucis avec son service
antispam, lorsque les clients finaux sont derrière Orange.

En gros, depuis le 1er Janvier il est obligatoire d'utiliser TLS v1.2
(aussi bien en tant que client SMTP qu'en tant que serveur) si on veut
émettre ou recevoir des mail contenant des données personnelles (y compris
GDPR).

Texte (en Danois) en question de la Danish Data Protection Agency:

https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/

Y'a-t-il quelqu'un ici qui bosse chez Orange, et qui pourrait voir si il est
possible d'activer TLS v1.2 ? En passant, si vous êtes hébergeur ou client
final SMTP, pensez à mettre à jour aussi :)

Par exemple, smtp-in.orange.fr, extrait de testssl.sh:

--8<--8<--8<--8<---

 Testing protocols via sockets

 SSLv2  not offered (OK)
 SSLv3  offered (NOT ok)
 TLS 1  offered
 TLS 1.1not offered
 TLS 1.2not offered
 TLS 1.3not offered

--8<--8<--8<--8<---

TLS 1, c'est 1999 quand même.


Cordialement,
Phil


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] solution serveur IM/chat libre

[Phil Regnauld]

Michel Py (michel) writes:
> 
> Question bête : çà marche comment derrière NAT ? faut ouvrir combien de ports 
> ?

C'est du https. 1 port.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] solution serveur IM/chat libre

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> ircd

CMCM.

> ejabberd

Ouais, ensuite tu passes 1 journée un client pas pourri qui marche 
encore.

> Pas mal de gens aiment Matrix 
> et son interface
> Riot

Trop nouveau, je connais pas.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Acquisition IPv4 /22

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> Je crois que j’ai suivi la méthode 2.

C'est bien ce qu'ils confirment:

> However if you prefer having an additional LIR Account activated for
> this you will need to apply to become a new LIR with the same company 
name
> using a different regID.

> 
> 
> > Le 30 nov. 2018 à 13:28, Phil Regnauld  a écrit :
> > 
> > Cf. 
> > https://www.ripe.net/publications/news/about-ripe-ncc-and-ripe/creating-additional-lir-accounts
> > 
> > Mais, en pratique, c'est:
> > 
> > - se loger sous son ID RIPE habituel, et puis:
> > 
> > https://www.ripe.net/participate/member-support/become-a-member 
> > ou bien
> > 
> > - créer un nouveau compte, et donner les même infos que pour le LIR 
> > existant ?
> > 
> > Phil
> > 
> > David Ponzone (david.ponzone) writes:
> >> Autant que tu veux.
> >> Tant que tu paies les frais RIPE pour chaque LIR, pendant 2 ans. Après, tu 
> >> peux fusionner les LIR.
> >> 
> >>> Le 28 nov. 2018 à 10:57, Pierre-Loïc Carette - ALPESYS 
> >>>  a écrit :
> >>> 
> >>> Ok
> >>> Et peut on avoir 2 LIR sur la même entité juridique ?
> >>> 
> >>> Cdt
> >>> 
> >>> -Message d'origine-
> >>> De : frnog-requ...@frnog.org  De la part de 
> >>> Baptiste Chappe
> >>> Envoyé : mercredi 28 novembre 2018 10:23
> >>> À : h...@d6bell.net
> >>> Cc : matth...@pragma-security.com; Clement Cavadore 
> >>> ; frnog@frnog.org
> >>> Objet : Re: [FRnOG] [BIZ] Acquisition IPv4 /22
> >>> 
> >>> Bonjour,
> >>> 
> >>> Je vous confirme que l'attribution d'un /22 est toujours dispo. J'ai reçu 
> >>> ce matin un nouveau range en tant que nouveau LIR.
> >>> 
> >>> Baptiste,
> >>> 
> >>> Le mar. 27 nov. 2018 à 11:07, Yannis Aribaud  a écrit :
> >>> 
> >>>> Au temps pour moi.
> >>>> 
> >>>> Le RIPE a encore quelques blocs récupérés dispo:
> >>>> 
> >>>> https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exh
> >>>> austion
> >>>> 
> >>>> Cordialement,
> >>>> 
> >>>> 
> >>>> 26 novembre 2018 22:03 "Matthieu Texier" 
> >>>>  a
> >>>> écrit:
> >>>> 
> >>>>> Bop bop bop …
> >>>>> 
> >>>>> J’ai eu le mien en Septembre: avec une demande pour le moins légère 
> >>>>> en
> >>>> justification !
> >>>>> 
> >>>>> Qui paye sa Dime et sa Gabelle, reçoit ses IP’s …
> >>>>> 
> >>>>> Matthieu.
> >>>>> 
> >>>>>> On 26 Nov 2018, at 20:23, Yannis Aribaud  wrote:
> >>>>>> 
> >>>>>> Hello,
> >>>>>> 
> >>>>>> Malheureusement c'est fini depuis un petit moment.
> >>>>>> Le RIPE n'a plus aucun bloc v4 à distribuer, même aux nouveaux LIR.
> >>>>>> 
> >>>>>> Cordialement,
> >>>>>> 
> >>>>>> 23 novembre 2018 19:22 "Clement Cavadore"  a
> >>>> écrit:
> >>>>>> 
> >>>>>>> Hello,
> >>>>>>> 
> >>>>>>> Ouvre un LIR :-)
> >>>>>>> 
> >>>>>>> Clément
> >>>>>>> 
> >>>>>>> On Fri, 2018-11-23 at 19:23 +0100, MERCKEL Aurélien wrote:
> >>>>>> 
> >>>>>> Bonjour à toute la liste.
> >>>>>> 
> >>>>>> Il me semble que ce sujet a été posté à plusieurs reprises.
> >>>>>> Nous recherchons à acquérir un bloc ipv4 /22.
> >>>>>> 
> >>>>>> En vous remerciant par avance pour vos retours.
> >>>>>> Cordialement.
> 

-- 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Acquisition IPv4 /22

[Phil Regnauld]

Cf. 
https://www.ripe.net/publications/news/about-ripe-ncc-and-ripe/creating-additional-lir-accounts

Mais, en pratique, c'est:

- se loger sous son ID RIPE habituel, et puis:

https://www.ripe.net/participate/member-support/become-a-member 
ou bien

- créer un nouveau compte, et donner les même infos que pour le LIR existant ?

Phil

David Ponzone (david.ponzone) writes:
> Autant que tu veux.
> Tant que tu paies les frais RIPE pour chaque LIR, pendant 2 ans. Après, tu 
> peux fusionner les LIR.
> 
> > Le 28 nov. 2018 à 10:57, Pierre-Loïc Carette - ALPESYS 
> >  a écrit :
> > 
> > Ok
> > Et peut on avoir 2 LIR sur la même entité juridique ?
> > 
> > Cdt
> > 
> > -Message d'origine-
> > De : frnog-requ...@frnog.org  De la part de 
> > Baptiste Chappe
> > Envoyé : mercredi 28 novembre 2018 10:23
> > À : h...@d6bell.net
> > Cc : matth...@pragma-security.com; Clement Cavadore ; 
> > frnog@frnog.org
> > Objet : Re: [FRnOG] [BIZ] Acquisition IPv4 /22
> > 
> > Bonjour,
> > 
> > Je vous confirme que l'attribution d'un /22 est toujours dispo. J'ai reçu 
> > ce matin un nouveau range en tant que nouveau LIR.
> > 
> > Baptiste,
> > 
> > Le mar. 27 nov. 2018 à 11:07, Yannis Aribaud  a écrit :
> > 
> >> Au temps pour moi.
> >> 
> >> Le RIPE a encore quelques blocs récupérés dispo:
> >> 
> >> https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exh
> >> austion
> >> 
> >> Cordialement,
> >> 
> >> 
> >> 26 novembre 2018 22:03 "Matthieu Texier" 
> >>  a
> >> écrit:
> >> 
> >>> Bop bop bop …
> >>> 
> >>> J’ai eu le mien en Septembre: avec une demande pour le moins légère 
> >>> en
> >> justification !
> >>> 
> >>> Qui paye sa Dime et sa Gabelle, reçoit ses IP’s …
> >>> 
> >>> Matthieu.
> >>> 
>  On 26 Nov 2018, at 20:23, Yannis Aribaud  wrote:
>  
>  Hello,
>  
>  Malheureusement c'est fini depuis un petit moment.
>  Le RIPE n'a plus aucun bloc v4 à distribuer, même aux nouveaux LIR.
>  
>  Cordialement,
>  
>  23 novembre 2018 19:22 "Clement Cavadore"  a
> >> écrit:
>  
> > Hello,
> > 
> > Ouvre un LIR :-)
> > 
> > Clément
> > 
> > On Fri, 2018-11-23 at 19:23 +0100, MERCKEL Aurélien wrote:
>  
>  Bonjour à toute la liste.
>  
>  Il me semble que ce sujet a été posté à plusieurs reprises.
>  Nous recherchons à acquérir un bloc ipv4 /22.
>  
>  En vous remerciant par avance pour vos retours.
>  Cordialement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] solution gestion zones et serveurs DNS

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> > D'après mes recherches un tel outil en l'état n'existe pas.
> 
> Idem pour les particuliers, d'ailleurs
> 

Outil, non, service gratuit sans obligation ni restriction aucune,
gratisdns.dk au Danemark fait ça depuis 1999 -- malheureusement, les
pages ne sont pas encore toutes en Anglais :( Avec hébergement de
la zone chez eux ou en secondaire d'un SOA géré soi-même, et DNSSEC
est intégré.

https://admin.gratisdns.com/ 
https://web.gratisdns.dk/

Ça remplit le cahier des charges de Stéphane, sauf un mode "simple"
avec juste le A/ pour le site web, par exemple.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

[Phil Regnauld]

Philippe Bourcier (philippe) writes:
> 
> A quel moment quelqu'un peut se dire que c'est plus sympa d'installer une
> puce dans un serveur qui va modifier un software plutôt que de modifier
> directement le software en question ?

Surtout, ça c'est déjà fait:


https://www.cnet.com/news/nsa-reportedly-installing-spyware-on-us-made-hardware/

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Recherche formation « crash course » BGP efficace en IdF

[Phil Regnauld]

Emmanuel Halbwachs (Emmanuel.Halbwachs) writes:
> 
> Je n'ai pas envie de cramer de l'argent et du temps malheureusement
> rares dans une formation bidon. :-)

Réponse tardive mais peut-être utile - les supports de cours de Philip
Smith sont incontournables:

http://www.bgp4all.com.au/dokuwiki/workshops/start

C'est un ancien de chez Cisco, maintenant indépendant et - disclaimer -
un collègue. Mais c'est probablement la meilleure formation BGP et
routage dynamique qu'on puisse suivre. À defaut d'y assister en 
personne,
les supports de courts ci-dessus + dynamips/dynagen/gns3 et c'est parti.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] letsencrypt.org a disparu

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> On Mon, Jul 30, 2018 at 09:33:27PM +,
>  Michel Py  wrote 
>  a message of 11 lines which said:
> 
> > Ah la vache 20 secondes j'avais jamais osé quelque chose comme çà.
> 
> Rappel de pourquoi c'est irresponsable :
> 

Tu un executive summary, ou faut lire tout le papier ? En traversant
rapidement, je ne vois pas où il est dit que les TTLs courts sont
satan incarné..

P.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> On Tue, Jun 26, 2018 at 01:46:04PM +0200,
>  Solarus  wrote 
>  a message of 15 lines which said:
> 
> > Il y a quelque chose à faire dans Bind et Unbound niveau conf ?
> 
> Un exemple de configuration Unbound qui marche figure à la fin de :
> 
> https://dns-resolver.yeti.eu.org/
> 
> [À noter que ce site Web n'est pas utilisable avec les machines du XXe
> siècle.]

Oui, c'est de la discrimination anti v4.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] réplication de données

[Phil Regnauld]

Anthony Frnog (anth.frnog) writes:
> Oui, justement j utilise drdb.
> Et mon but est de répliquer 2 drdb sur 2 datacenters différents
> 
> Ou tout du moins répliquer les bits qui ont été modifiés d un de mes nas
> vers un autre.

ZFS pourrait être une bonne solution (pas de temps réel, mais snapshots
et réplication toutes les X minutes, par exemple).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel de topologie réseau

[Phil Regnauld]

Netdot et Netdisco2.

pascal.val...@free.fr (pascal.valois) writes:
> ahahah, le saint graal ... avec tous la prise en charge de snmp, telnet, ssh
> au cas ou pour les switchs, et puis aussi du finger printing os, et la
> detection des vlans, et savoir aussi l'age des administrateurs en fonction
> du nombre de fois ou on trouve un perso de naruto comme mot de passe !
> 
> Bref, oui, tout le monde le cherche 
> 
> Le 28/05/2018 à 03:23, Michel Py a écrit :
> > > François Dumond a écrit :
> > > Je cherche un logiciel de topologie réseau. Je m'explqiue: je fais 
> > > régulièrement des
> > > audits réseaux et je cherche un logiciel qui me permet de scanner le 
> > > réseau, de me
> > > sortir un max d'infos sur les switch, ainsi que les port d'interconnexion.
> > Tout le monde le cherche.
> > 
> > > et pour couronné le tout en logiciel libre, simple d'utilisation, 
> > > tournant sous windows
> > Faut que çà fasse le café aussi ?
> > 
> > Michel.
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Phil Regnauld]

Et Letsencrypt avec DNS + wildcard...

Laurent (laurent) writes:
> Merci pour toutes ces réponses. Je retiens :
> 
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> n'est pas faisable comme indiqué dans mon message initial).
> 
> À bientôt.
> 
> L.
> 
> Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> écrit :
> 
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> > >> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> > tu
> > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > serveur
> > >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> > ton serveur
> > >> privé quand celle-ci change.
> > > Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de
> > Bind).
> > > D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard
> > avec L.E.
> > >
> > > Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > ta zone. ;)
> >
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> > parfaitement d’accord).
> >
> > Bruno
> >
> >
> >
> >
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Réputation d'un bloc d'IP.

[Phil Regnauld]

Michel Py (michel) writes:
> Bonjour à tous,
> 
> Suite au billet de David récemment,
> Quand vous achetez un bloc d'IP, quels sont les outils que vous utilisez pour 
> savoir si le bloc est propre ou s'il va falloir se décarcasser à le délister 
> et le débogoniser ?

passivetotal.org / seclytics.com par exemple. La plupart de ces sites on
des comptes gratuits pour faire des recherches en petite quantité.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] NAS en logiciel libre

[Phil Regnauld]

Antonin BOLLIN (contact) writes:
> Bonjour,
> 
> N'oubliez pas btrfs qui sera de mon point de vue plus performant qu'un zfs 
> avec déduplication car la déduplication fera inexorablement chuter les 
> performances sur le zfs.

btrfs est "deprecated":

https://lwn.net/Articles/729488/

> De plus avec ZFS il y a un ratio de ram à respecter et surtout de la ECC 
> sinon c'est une galère...

Le checksum marche sans ECC, mais c'est vrai que c'est mieux avec du 
ECC.

> Et je privilégierai toujours le raid  soft au raid hard au moins on peut 
> modifier un minimum le hard sans soucis, j'ai déjà eu le cas d'un pool raid 
> matériel illisible avec la même carte raid même version de firmware... et 
> dans ces cas là merci les sauvegarde depuis je ne fait que du raid soft et je 
> n'ai jamais eu de soucis.

Oui, tout à fait.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Outil ITSM open source...

[Phil Regnauld]

Liste de CMDB/gestion d'inventaire que je maintiens:

https://gist.github.com/regnauld/63866f968d6cf55f29845a6d896b5b65


Jean-Yves LENHOF (jean-yves) writes:
> 
> Hello,
> 
> opendcim est peut-être une autre piste...
> Perso, le plus sérieux pour moi serait iTop, mais effectivement c'est à toi
> de l'alimenter
> 
> Cdlt,
> 
> JYL
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] NAS en logiciel libre

[Phil Regnauld]

Florian Haller-Casagrande (florian.haller-casagrande) writes:
> Hello,
> 
> 
> A noter aussi la possibilité de partir sur une base Debian (Stretch),
> avec noyau récent et compatibilité tout à fait honorable avec le parc
> actuel, et de récuperer ZFS dans les backports (version 0.7.6,
> parfaitement production-ready).

Et avec normalement le support pour le chiffrement en natif.


https://datacenteroverlords.com/2017/12/17/zfs-on-linux-with-encryption-part-2/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DHCP IPV6/DNS sur Mikrotik

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> PS : comme le note David Ponzone, SLAAC marche en général mieux.

Il y a plein de bonnes raison (et sûrement des mauvaises aussi :)
de préférer DHCPv6 à SLAAC dans certains cas.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Panne OVH

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> > Surtout qu'en multipliant le nombre de secondaires
> > indépendants, on augmente le risque de panne pour manque de
> > synchronisation
> 
> Mouais, ça, ce sont des pannes très rares, alors que les pannes
> électriques / clim / routage sont fréquentes.

Rares si l'opérateur connait son boulot. J'aide régulièrement des
TLD avec leurs problèmes de secondaires, c'est encore pire avec
DNSSEC.

> >   Et bien sûr c'est en supposant qu'on aura une zone valide
> > syntaxiquement, non tronquée, avec les bonnes signatures,
> > etc...
> 
> Ça, c'est indépendant du nombre de secondaires.

Bien sûr - c'est juste pour illustrer que ça ne sert à rien de redonder
un système qui sert des données invalides.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Panne OVH

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> Si on a deux hébergeurs low cost et que chacun est en panne 1 % du
> temps, ce qui est beaucoup, s'ils sont totalement indépendants (ce
> qu'il faut vérifier), il y aura une fiabilité à quatre neuf. À six si
> on a trois hébergeurs. Et cela coûtera bien moins cher qu'un hébergeur
> ayant cinq neuf.
> 
> Bien sûr, c'est un calcul sommaire. L'ingéniérie de la robustesse est
> plus compliquée que cela, mais nous le savons tous, non ?

Surtout qu'en multipliant le nombre de secondaires indépendants,
on augmente le risque de panne pour manque de synchronisation/perte
de service de la zone, ce qui peut facilement faire passer les 5
9 à 1 :) Et bien sûr c'est en supposant qu'on aura une zone valide
syntaxiquement, non tronquée, avec les bonnes signatures, etc...
On peut repousser le point de défaillance unique, mais on ne peut
pas l'éliminier.

Sans parler des pannes sur les systèmes de redondance automatisée
qui ne marchent jamais comme prévu. "Failover: it fails, and then
it's over" (™ moi).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion SNMP / Syslog / Graphes

[Phil Regnauld]

Dominique Rousseau (d.rousseau) writes:
> Mais tu peux tout à fait stocker un échantillon toutes les 10s pendant 1
> mois si tu veux, dans un RRD. Il faut juste créer la base comme ça et
> dire à ton poller d'interroger la source de données toutes les 10s.

Et la tailler sera conséquente puisqu'elle est préallouée sur disque.

Un peu dans le contexte, et très intéressant:

https://www.timescale.com/

Postgres optimisé pour stocker les time series.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion SNMP / Syslog / Graphes

[Phil Regnauld]

norujames (norujames) writes:
> Bonjour
> 
> Je pencherai pour libreNMS, nouveau design, plus sympa et semble t'il plus
> stable.

Et surtout, vraiment libre (Observium est semi fermé, et en effet,
LibrNMS est plus sympa comme équipe).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Matériel pour un liaison radio

[Phil Regnauld]

Earendil - FRNOG (earendil+frnog) writes:
> Bonjour,
> 
> On doit monter une liaison radio de 200~300M entre 2 bâtiments en vus
> directs.
> 
> Pour l'instant, on serait parti sur du Wifi avec antenne directionnelle ?
> Vous me conseilleriez quoi comme matériel pour ce type de besoin ?
> Ou comme autre techno si vous pensez qu'il y a mieux ?

https://www.ubnt.com/products/#airfiber

... 700 Mbit/s - 2 Gbit/s en fonction du modèle, pour pas très cher.

C'est quoi le besoin en BP ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] postfix - archivage des queues pour rejeu en cas d'incident

[Phil Regnauld]

Vincent Bernat (bernat) writes:
> 
> Pour ce qui est de stocker tous les mails, c'est possible en utilisant
> "always_bcc" vers un utilisateur local. Les mails seront alors
> disponibles au format mbox.

Ou maildir, hein, histoire d'utiliser un format semi moderne.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] postfix - archivage des queues pour rejeu en cas d'incident

[Phil Regnauld]

DELMAS JACQUES (jacques.delmas) writes:
> 
> Je souhaiterai mettre en place sur mes frontaux postfix un système de 
> sauvegarde des emails afin d'être capable de rejouer certains mails sur 
> quelques jours.

Salut,

Définir "rejouer" ? Réinjecter dans la queue des mails ?

> Il existe une option alway_bcc mais cette option duplique le mail vers une 
> autre boite ce qui n'est pas exactement mon objectif (rendant le rejeu 
> laborieux)

Avec formail (qui fait partie de procmail) et un always_bcc vers
un Maildir, c'est assez trivial d'archiver et expirer automatiquement
(find . -type f -mtime +7d -delete, par exemple).

> Si quelqu'un a une idée voir même une solution je suis plus que preneur.

Comme décrit ci-dessous, sinon un quelconque filtre milter devrait
faire l'affaire (ou un content_filter à la amavisd avec deux smtpd
(un pre-filter, un post-filter, mais c'est plus de boulot et IO/2)

http://www.findbestopensource.com/product/milter-archiver

"Rejouer" est le mot clé.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] conseil sur un password manager

[Phil Regnauld]

Théo Baudesson (theo.baud) writes:
> Bonjour,
> 
> 
> C'est mon premier mail sur FRnog donc je pense que je devrais me présenter : 
> Théo, étudiant, stagiaire admin syst/réseau.
> 
> 
> Je vous écris pour avoir votre avis sur le choix d'un Password Manager. 
> J'entends du bien de LastPass et Dashlane. Auriez-vous d'autres suggestions ?

https://www.passwordstore.org/

Git + ssh + PGP, le tout en libre.

Clients GUI si on aime ça, et clients IOS, Android avec gestion d'une 
clé
séparée.

Adopté ici pour les trucs privé mais aussi au sein d'une équipe de
sysadmins.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pur cas théorique : un canal CWDM pour faire du DWDM

[Phil Regnauld]

Julien Escario (escario) writes:
> Bonjour,
> Je 'découvre' aujourd'hui qu'il est théoriquement possible d'utiliser un canal
> CWDM (20nm) pour y insérer 8 canaux DWDM séparés de 0.1/0.2/0.4 nm.
> Les canaux CWDM utilisable et la densité par canal semble dépendre de chaque
> constructeur.

C'est pas ce que fait PacketLight ?

http://www.packetlight.com/technology/dwdm-over-cwdm/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Nagios (etait: Supervision réseau)

[Phil Regnauld]

Un pas encore cité: http://mathias-kettner.com/check_mk.html

GUI + CLI Nagios, CLI, instantiation multi-site en une seule commande,
Assez bien fichu. NagVis, PNP4Nagios, nouvel outil de config (WATO).


David Ponzone (david.ponzone) writes:
> Oui tu as complètement raison, mais je crois que je suis aussi Nagios-Bored :)
> Sensu a l’air sympa, je pense que je vais faire une essai.
> 
> > Le 21 nov. 2016 à 10:07, Dominique Rousseau  a écrit :
> > 
> > Le Mon, Nov 21, 2016 at 09:07:58AM +0100, David Ponzone 
> > [david.ponz...@gmail.com] a écrit:
> > [...]
> >> Dans le template, l???idéal est qu???il y ait les éléments à
> >> superviser (RTT ICMP, variables SNMP à vérifier, etc???) et les
> >> actions à déclencher en cas de dépassement de seuil.
> >> Je fais ça très bien avec Centreon/Nagios, mais j???en ai marre de
> >> l???interface (ça existe ça comme maladie, GUI-bored ?).
> > 
> > J'allais te dire qu'avec Nagios, c'est pas bien compliqué d'avoir des
> > templates et que l'ajout d'un host ce soit un fichier de 5 lignes
> > contenant un identifiant et une adresse IP :)
> > 
> > Et pour l'UI, c'est pas ce qui manque des frontends aux Nagios-like.
> > (web, gui, cli, etc.)
> > 
> > -- 
> > Dominique Rousseau 
> > Neuronnexion, Prestataire Internet & Intranet
> > 21 rue Frédéric Petit - 8 Amiens
> > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Sondage : Changer sa solution de mail

[Phil Regnauld]

Guillaume LAPOUGE (guillaume.lapouge) writes:
> 
> Utilisez vous une solution mail permettant de faire à minima de l'active
> sync et du webmail différente d'exchange et qui reste abordable (comparé +
> exchange + win srv + cals) ? Une intégration a outlook est franchement pas
> obligatoire.

Zimbra.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switchs Ubiquity

[Phil Regnauld]

Raphael Jacquot (sxpert) writes:
> 
> 
> Le 14/11/2016 à 20:29, Phil Regnauld a écrit :
> > Quel modèle exactement ? 16-XG ?
> >
> > http://m.theregister.co.uk/2016/10/27/ubiquiti_edgeswitch_review/
> >
> > Ils se sont pris une fessée pour ce modèle.
> 
> la fessée est bien maigre, elle consiste a dire que les câbles direct attach
> sont pas super supportés... ce qui est loin d'être le use-case principal
> pour ces engins...

"Unfortunately, the current firmware in the EdgeSwitches is outright
unstable, at least if you are using the GUI to manage the units. I
managed to crash one switch trying to perform basic VLAN operations and
completely cratered the other trying to get Link Aggregation to work.
A reboot of the switch restored the one I was testing VLANs on, but
did not save my settings. The Link Aggregation one had to be manually
reset."

Moi j'attendrais que la peinture soit sèche :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switchs Ubiquity

[Phil Regnauld]

Guillaume Barrot (guillaume.barrot) writes:
> Hello
> 
> Certain d'entres vous ont-il déjà travaillé avec la gamme de switch
> d'Ubiquity ?

Oui.

> Que pensez vous de leur modèle 16x10G pour du pur switching, environnement
> bureautique, équipement core (vlans traditionnels, un peu de QoS, du 802.1X
> - bref un switch pour centraliser 4-5 switchs giga, y connecter un NAS pour
> du partage de fichier, ce genre de chose) ?

Quel modèle exactement ? 16-XG ?

http://m.theregister.co.uk/2016/10/27/ubiquiti_edgeswitch_review/

Ils se sont pris une fessée pour ce modèle.

Sinon, Ça Juste Marche™.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Câbles SFP+ à vendre

[Phil Regnauld]

Jérôme Nicolle (jerome) writes:
> Plop,
> 
> à $74 sans chercher longtemps
> (https://www.amazon.com/StarTech-com-Compatible-SFP-H10GB-CU2M-10GBASE-CU-SFPCMM2M/dp/B00B3T6BFU)
> 
> 
> mais seulement 13€ l'équivalent neuf ultra-low-cost
> (http://www.fs.com/products/39290.html), si tu en tires 10€ pièce c'est
> un coup de chance.

C'est 45 € chez Direktronik en Suède (qui livre partout en Europe
en UPS), avec custom flash. Donc en effet 100 € ça va pas le faire :(


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quand des petites caméras IP font des gros DDoS chez OVH

[Phil Regnauld]

Gaetan Allart (gaetan) writes:
> Bonsoir,
> 
> La très grande majorité des devices ioT et caméras IP étant cachés
> dans des réseaux avec NAT/PAT en sortie (donc sans accès public
> direct), comment cela est-il possible ?

https://www.shodan.io/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SFP encoding

[Phil Regnauld]

Pierre Colombier (pcdwarf) writes:
> 
> Le problème va maintenant être de savoir quoi écrire dedans...

Oui, ça coûte 2 zéros :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Coût d'implantation d'un mât

[Phil Regnauld]

Thomas Pedoussaut (thomas) writes:
> Si tu prend un poteau en acier galvanisé, avec un pivot au sol pour
> intervenir sur la tête sans avoir a prendre une nacelle, les fondations
> sons tres simples a poser, avec des tiges filletées a sceller a 60cm de
> profondeur, le reste c'est une grosse clef a choc de 32.

Et pas de haubans ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Remplacement de switchs top of rack

[Phil Regnauld]

Julien Escario (escario) writes:
> 
> Ah oui, c'est plutôt tentant. Si le firmware est aussi propre que sur les AP
> wifi, ca peut être sympa. D'autant qu'on peut faire double alim du pauvre avec
> l'entrée DC. C'est bonus.
> 
> Je pensais qu'ils n'avaient que du POE, mal regardé.

C'est un peu le bordel chez Ubiquiti. EdgeSwitch a du PoE et du 
standard,
(ES-48-750), y'a du UnifiSwitch aussi, firmware différent 
(US-48-250/500/
750). Sans parler des EdgeRouter. Ça fait paraître Cisco quasi homogène 
:D


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Remplacement de switchs top of rack

[Phil Regnauld]

Julien Escario (escario) writes:
> 
> Cahier des charges rapide :
> 48 ports giga + SFP (SFP+ en bonus)
> Accepte des SFP sans discrimination (donc pas HP ni Cisco)
> Interface CLI
> Du VLAN, si possible 4096
> Adressable en ipv6 (pas envie de mobiliser de l'ipv4 pour ça)
> 
> Rien de bien compliqué en somme. On a pas besoin de routage, on a des routeurs
> pour ça.
> 
> Est-ce que certains d'entre vous on une marque à conseiller les yeux fermés 
> avec
> une expérience nickel depuis 10 ans ?
> Je prends tout, y compris les petites marques 'challenger', j'ai même peut 
> être
> un faible pour ceux là. Le but étant que la peinture soit bien sèche sur le
> firmware.

Je prendrais sans hésistation ça - 52 ports, dont 2 SFP et 2 SFP+.


https://www.amazon.fr/Ubiquiti-ES-48-LITE-48-port-Gigabit-switch/dp/B0151HJYTO

Firmware plutôt sec, mais y'a pas 10 ans d'expérience.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM

[Phil Regnauld]

Michel Py (michel) writes:
> 
> Il est plus éclairé que celui de ceux qui n'ont pas répondu :P
> 
> Dans le genre "pas usine à gaz", j'aimerais bien entendre d'autres avis aussi 
> éclairés que le tien.
> Je suis devenu petit : j'ai un peu plus de 100 VLANs / Subnets à gérer en 
> interne. Mieux que Excel oui, usine à gaz non.
> 
> Michel.

Franchement, Netbox a l'air pas mal, même si il n'y a pas (encore)
d'intégration vers les services tiers (dns/dhcp), comme, par exemple,
avec Netdot.

Phil


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM

[Phil Regnauld]

Julien Schafer (j.schafer) writes:
> Bonjour
> 
> Je voudrais savoir si certains ont un avis éclairé sur les solutions 
> disponibles sur le marché (sachant qu'il y a du GPL, du payant etc)

J'ai fini par compiler une liste des différents outils, avec des
commentaires perso (en anglais), y compris des outils plus complets
de gestion d'inventaire/configuration/data center.

J'ai pas tout regardé, mais je retiens:

- GestioIP
- Ralph 3
- phpIPAM
- opennetadmin
- nocproject (usine à ga^H^Hplutonium)
- NetDot (que je connais bien)

# IPAM and CMDB software

## IPAM

* HaCi http://haci.larsux.de/ - 2015-03

- IPAM only, v4/v6, multiple POPs, uses templates, space visualization

* GestioIP  http://haci.larsux.de/ - 2016-02

- IPAM w/ VLAN management, subnet disco. via SNMP, space visualization
- BIND zone file generator fwd/ptr
- Integration OCS Inventory NG

* TeemIP - http://www.combodo.com/teemip-194 (2015-03), part of iTop or alone

- request management w/portal systen for requestors
- DNS
- extensible

* Subnetsmgt http://sourceforge.net/projects/subnetsmngr/ - 2013-05

- IPAM
- PowerDNS integration

* phpIPAM - http://phpipam.net - 2016-02

VLAN, VRF, visualization, RIPE, host scanning, etc...
IP request form

* netmagis - http://netmagis.org - 2015-09

Split DNS support
DHCP/DNS integration
VLAN maanagement
Generate traffic graphs

## Inventory management / CMDB (possibly including IPAM)

* iTop https://wiki.openitop.org/doku.php - 2014 (w/updates 2016)

- Modular CMDB
- Modules like TeemIP

* Netdot - https://osl.uoregon.edu/redmine/projects/netdot - 2015-01

- great for campus networks
- no overlapping IP/VLAN support - yet!
- no VRF support
- great integration to third party tools
- actively maintained

* Racktables - http://racktables.org/ - 2016-02 - active

- Rack/DC specific (objects / IP / vlan / asset tags)
- no built-in DNS integration

* glpi - http://www.glpi-project.org - 2016-04 - active

- Full fledged asset/inventory management
- Modular, including Puppet integration
- ITILish

* OCS inventory-ng

- Inventory / deployment
- Integrates with GLPI
- Lots of typos on website...
- Download requires filling out a form, but it's on github

* Ralph 3 - http://allegro.tech/ralph/ - 2016 - active

- rack/asset mgmt
- rack visualization
- review 
http://blog.admin-linux.org/pilotage/ralph-systeme-de-gestion-d-actifs-pour-datacenter-cmdb-dcim

* OpenDCIM - http://www.opendcim.org/ - 

- DC physical inventory
- multi site support
- calculate center of gravity for rack (!)
- PDU integration

* opennetadmin http://opennetadmin.com - 2016-03 - active

- modular
- support for hooks/host actions
- config. backup
- VLAN, etc.
- CLI for interacting with system
- DNS view support

* nocproject - https://kb.nocproject.org/display/SITE/NOC - 2015-05 / active

- this thing is in another class - it does *everything*,
  from configuration management to outage planning to
  inventory, provisioning, etc... 50 vendors+ supported
- around for some years, written by Russians with
  some documentation in English, and even more in Russian
- 120 people on the Telegram chat room!

- for the new version, they built a deployment system called
  "Tower" just to manage Noc installations, based around ansible:

https://bitbucket.org/nocproject/noc-tower

* cmbuild http://www.cmdbuild.org/en/prodotti/cmdbuild - 2016-06 / active

- this is a toolkit for building your own ITIL compliant
  CMDB
- probably overkill for anyone

Others:

* tipp - https://github.com/tobez/tipp - 2014

- IPAM and only IPAM 
- In production for some years

* ipplan (iptrack) http://iptrack.sourceforge.net/ - 2010

- dead ?
- v6 support added later


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Gabriel De Miranda (gzigoto) writes:
> Au final je me dis que la bonne granularité, c'est un vlan par stack,
> associé à un /23.

Bonne règle à mon avis. +1, quoi :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Youssef Ghorbal (youssef.ghorbal) writes:
> 
> On s'est pose les memes questions en terme de decoupage reseau : par
> batiment ? par entite ?

Si on veut regarder vers l'avenir, c'est par bâtiment, je dirais.

Le concept du domaine de diffusion comme frontière du groupe
de travail est mort...

> Par contre, il faut accepter (et faire accepter) que les
> protocoles en broadcast ne vont pas fonctionner (entre batiment
> j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un
> serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien
> marche pour les membres de l'entite qui sont dans le meme batiment
> mais pas pour les autres, ca peut creer de la confusion (et de
> l'incomprehension des utilisateurs)

Malheureusement, oui - mais ça devient un cauchemard au niveau
gestion si il faut tenir compte de ça. En théorie, l'appartenance
dynamique à un VLAN basée sur une authentification 802.1x / EAP/TLS
va permettre ce genre de découpage, mais bonjour les problèmes
d'interopérabilité et le débuggage...

> Il faut aussi prendre en compte
> que ds ce scenario si tu envisage de faire qq filtrage par IP (genre
> authoriser le service bidule a acceder au site machin, ou interdire le
> service truc a acceder au serveur toto) la il faut avoir un sous
> reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca
> passe, mais si tu as 250 entites et 50 batiments la gymnastique
> devient complexe.

Ça ne fonctionne en pratique nulle part (de ce que j'ai pu voir).

> Autre piste, tu met tous les postes du batiment A ds
> le meme VLAN
> (et tu passes sur un filtrage par utilisateur, groupes, ce qui est un
> autre debat)

Le filtrage au niveau IP est peu fiable, ça fait longtemps qu'on ne
peut plus se permettre d'associer une IP à un utilisateur. Il faut
faire confiance à une forte authentification au niveaux des services
et applications.

> - Decoupage par entite/service : ca necessite un LAN etendu sur tous
> le "campus", tous les vlans sont sur toutes les stacks. Les protocoles
> de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN
> (etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus
> de 50 batiments.

Et (question honnête) - est-ce que vous pensez pouvoir continuer
avec ce modèle si le réseau grandit 2-3 fois ?

> de tous les postes, gerer une base radius avec etc etc (PacketFence &
> consors). Pareil, si tu gere que des postes fixes, tu peux faire les
> confs sur les switchs en statiques et a la mimine, mais des que tu as
> une grande volatilite (des postes et des entites) ca devient
> ingerable.

Au revoir le mobile office...

> Qq remarques :
> - L'experience montre que tot ou tard tu vas tomber sur un use case ou
> ton decoupage par batiment ne fera pas l'affaire et que tois le
> "porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais
> ca peut arriver.

C'est souvent inévitable, mais tenter d'en faire une exception plutôt
que la règle.


> - Le fait de devoir creer les VLANs sur tous les switchs peut etre
> alleger par les fonctionnalites que peuvent proposer les swicths. Par
> exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui
> coller les uplinks) quand un poste est authorise sur le reseau (le
> Radius envoie cette infos) mais ca creer une adherence par rapport au
> constructeur ce qui n'est pas toujours souhaitable si tu as un mix de
> constructeur sur ton reseau.

Cf. interop. ci-dessus.

Et, ça peut effondrer le coeur (ou vous rendre plus vulnérable à
$bigvendeur qui va tenter de vous convaincre d'acheter un truc à
10x le prix et surdimensionné pour pouvoir continuer à évoluer
avec cette architecture).

> Pour le moment, nous somme dans le scenario 2 (decoupage par entite)
> on a un LAN etendu et de l'attribution dynamique de  VLAN base sur
> adresse MAC (et de l'auto creation de VLAN parce que le constructeur
> sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la
> totalite du parc. On utilise des outils maison pour gere cette base
> d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche
> de type IPAM ne gerent malheureusement pas ce use case (aucun ne
> supporte du L2, les VLANs, Radius etc)

Intéressant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> Et dans chaque bâtiment, tous les
> VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments dans 
> le backbone.

Ça revient à faire la base de planification des bâtiments/sites
avec un préfixe (2xy) - mais on peut en effet faire ça avec le même
VLAN présent à plusieurs endroits. Il vaut mieux préserver l'unicité
des VLAN ids.

C'est dommage pour faire une topologie automatique par contre.

> Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en 
> promenant le chien donc j'ai pu oublier quelque chose :)

:)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> Oui, la question dans le cas présent, c’est combien de services y a-t-il et à 
> quel point sont-ils éparpillés sur le campus ?
> Donc en clair, si généralement un service est dans un bâtiment, sauf quelques 
> exceptions, et qu’il y a15-20 services, je pense que ça reste maitrisé, et il 
> y a peu de chance que ça change radicalement.
> Si par contre, c’est plutôt 50 services tous présents dans les 30 bâtiments, 
> avec une politique mobile-office (pas mal de gens qui se baladent un peu 
> partout sur le campus, ou qui changent de bâtiments sans changer de service), 
> alors là, c’est peut-être un peu plu délicat.

Oui, on est bien d'accord. La solution du mobile office c'est justement
(à mon avis) de traiter tout le monde pareil et ne pas espérer avoir
une politique trop dynamique - ça casse souvent, et vouloir mettre
des ACLs interservice dans ce contexte: AIE!)

Voir PacketFence, par exemple, pour ce genre de chose, mais c'est
pas exactement léger :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> 
> Quand je pensais à diviser par service je pensais plus à un vlan par
> Direction ce qui me fait une dizaine de vlan clients..

Ok - en gros, la division par VLAN c'est:

- essayer de limiter à maximum 200 clients / VLAN

- si le découpage administratif s'aligne plus ou moins sur
  le découpage géographique -> pas de problème

- tenter d'avoir le(s) même(s) vlans partout c'est chercher les
  emmerdes

- plutôt avoirs une classification de vlans, par exemple 1xx = 
  postes, 2xx = téléphonie, 3xx = serveurs, 4xx = wifi, ...

- ensuite si on a un bâtiment A et B avec des postes câblés, du wifi,
  des serveurs (normalement prêt du coeur), du wifi, ... on pourra
  alors définir ses VLANs comme suit:

 A   B
  postes11x 12x
  tlf   21x 22x
  wifi  41x 42x

  Le second chiffre sera le site/location/bâtiment
  Le dernier chiffre peut servir pour un bâtiment avec plusieurs étages
  (par exemple)

- faire attention à ne pas surdécouper! 4 VLANs / location c'est
  peut-être trop, et 1 VLAN peut tout à fait suffir dans un campus 
petit,
  mais laisser la place pour grandir!

- si on a des étages avec un grand nombre d'utilisateurs, on peut
  choisir de faire un VLAN / étage - mais probablement pas besoin si
  on a par exemple un un bâtiment de 4 étages et 50 postes / étage.

Mais bon, venant du milieu universitaire j'ai peut-être une vision
simpliste :)

Pour le contexte, voici le genre de formation qu'on effectue sur
la conception des réseaux de campus:

https://nsrc.org/workshops/2016/nsrc-tein-mmren/wiki/Agenda

(Lundi - Mercredi sont pertinents)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> Salut !
> 
> Tu penses qu'en multipliant les Vlan's on diminue les perfs ??
> C'est le contraire normalement non ? Car on diminue les domaines de
> diffusion.

Je me suis mal expliqué je pense - je veux dire qu'avoir un même
VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire
du L2 au travers du coeur. Ça va augmenter la quantité de traffic
(domaines de diffusion justement) que le coeur va voir, au lieu de
se limiter à router.

Ça demande plus au coeur de devoir traiter N vlans en L2 que de
faire du OSPF (ou IS-IS) - voir du statique si c'est une simple
topo en étoile avec 1 statique vers chaque équipement au bord.

Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc
éviter de le traîner partout dans le campus.

Maintenant, Olivier parlait de séparation par services ce que j'ai
peut-être mal interprété, mais souvent j'ai vu cette recommandation
être implémenté par une utilisation inapproprié des VLANs. Il faut
essayer de limiter le nombre de VLANs qui traversent le coeur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Olivier Doucet (webmaster) writes:
> 
> Pour répondre à Phil sur les perfs, il me semble que cela dépend beaucoup
> des équipements et de la connectivité entre les bâtiments non ?

Oui bien sûr! Je voulais juste souligner que, si on pense que le réseau
va grandir beaucoup, on risque de se retrouver coincé par le choix 
de l'architecture initiale, et on finit par acheter les solutions
rustines de $bigvendor pour continuer à fonctionner.

L'avantage de l'approche classique avec routage dans le coeur est 
qu'elle
ne fait pas appel à des fonctionnalités avancées et/ou propriétaires.

Ensuite ça dépend tu type de réseau, mais souvent je vois des clients
installer des ACLs un peu partout dans le réseau, sans vraiment avoir
une bonne explication de pourquoi ils ont besoin de ça. Surtout quand
il n'y a pas de politique sécurité bien définie, ni les outils 
appropriés
pour gérer ça.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> Salut !
> Merci pour ta réponse.
> Quand tu dis «Cela te permettra d'isoler les ressources non partagées entre
> services justement : des partages réseaux, ce genre de choses... » tu
> penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par
> défaut si le routage intervlan est activé, les ressources seront quand même
> accessibles par tout le monde.

Yep - ACLs au bord, routage inter-vlan dans le coeur, pas de L2 au 
travers
du réseau si possible, et coupe-feu devant les services critiques, mais
pas dans le coeur ou au bord.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Olivier Doucet (webmaster) writes:
> 
> > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service
> > ou par batiment ?
>
> IMO plutôt un découpage par service. Ta config sera un peu plus compliquée
> certes, mais si tu arrives à ranger les postes bureautiques comme il faut
> avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les
> ressources non partagées entre services justement : des partages réseaux,
> ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a
> accès a plus de choses que les autres :)

Au delà d'une certaine taille (et 1500 postes c'est pas rien), le 
découpage
par VLANs / service (dynamique ou pas) devient un vrai tas de 
spaghetti, et
la performance tend à s'effondrer. Ça reste plus facile à dimensionner 
vers
le haut en restant à un découpage par location/bâtiments/étage.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Discussion technique

[Phil Regnauld]

ousmanegu...@free.fr (ousmanegueye) writes:
> hello tout le monde,
> 
> Je fais appel à vous pour un retour d'expérience sur les cisco sg550 vs 2960.

Cisco SG500 ? Le SG550 c'est autre chose:

https://en.wikipedia.org/wiki/SIG_SG_550

:)

> Je souhaiterais surtout savoir si en N2, les sg550 sont aussi fiables que les 
> 2960 car en terme de prix il n'y a pas de comparaison possible.

Bin si c'est pour faire tu top of rack ou du edge ça marche
bien, oui, mais côté fiabilité matérielle, les 29xx peuvent
prendre une alim redondante externe au cas où, mais en gros
pour le prix j'achèterais 2 x SG500 avec un en standby si y'a
la place.

Pour L2 de base, vlans, etc. pas de problème avec les SG.

J'auras probablement pris du HP ou Ubiquiti mais bon :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Adresses RFC 1918 dans l'infrastructure

[Phil Regnauld]

Kave Salamatian (kave.salamatian) writes:
> Très utilisé en Iran, Chine, Russie. bref tout pays qui souhaiterait pouvoir 
> basculer son réseau "internet" en intranet rapidement. Pour l'Iran bonne 
> étude faite par Collin Anderson http://arxiv.org/abs/1209.6398

Comptons le Danemark parmi ces démocraties alors - la 1ère IP non 
RFC1918
chez mon fournisseur (câblo opérateur) au hop 7. J'ai bien une IP 
publique
sur l'extérieur du 1.

 1. 192.168.168.254   0.0% 13.4   3.4   3.4   3.4   0.0
 2. 10.200.24.1   0.0% 19.0   9.0   9.0   9.0   0.0
 3. 10.242.20.14  0.0% 19.6   9.6   9.6   9.6   0.0
 4. 10.0.20.1 0.0% 19.4   9.4   9.4   9.4   0.0
 5. 10.0.20.2 0.0% 19.7   9.7   9.7   9.7   0.0
 6. 10.0.50.130   0.0% 19.0   9.0   9.0   9.0   0.0
 7. 212.98.127.85 0.0% 18.9   8.9   8.9   8.9   0.0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Collecteurs IPFIX en logiciel libre

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> On Tue, Apr 26, 2016 at 01:10:09PM +0200,
>  Stephane Bortzmeyer  wrote 
>  a message of 19 lines which said:
> 
> > Mais, pour l'instant, il est méchant avec moi, il n'accepte pas le
> > template par défaut du Juniper :
> > 
> > DEBUG ( default/core ): Discarded NetFlow v9/IPFIX packet (R: unknown 
> > template 256 [10.10.80.30:32768])
> 
> J'étais trop impatient, le Juniper a fini par envoyer le paquet de
> description du template et tout va bien.

Classique, change l'intervalle. Et le message est trompeur :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Collecteurs IPFIX en logiciel libre

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> [Après, je m'occupe du truc DNSSEC chez Free, promis.]
> 
> Qu'est-ce que vous utilisez/recommandez en ce moment comme collecteurs
> IPFIX avec deux exigentes importantes :
> 
> - vraiment IPFIX, pas Netflow (version >= 10)
> - logiciel libre, tournant sur Unix
> 
> À part pmacct , ya quoi ?

nfsen ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Difficile recherche de switch 8/16 ports avec SFP

[Phil Regnauld]

François Lacombe (fl.infosreseaux) writes:
> Bonjour la liste,
> 
> Je suis à la recherche de switch gigebit Ethernet, et j'ai bien de la
> peine à trouver un modèle qui convienne à quelques critères.
> A savoir :
> 
> 8 à 16 ports gigE électriques
> 1 ou 2 cages SFP
> Bonne mise à la masse (important), donc boitier métal.
> Pas de PoE
> Alimenté en 5,12 ou 24 VDC (surtout pas d'alternatif)
> 
> Le plus proche que j'ai trouvé reste le DLink DGS-1210ME - donc ca
> existe - mais semble-t-il introuvable en Europe (outdaté ?).
> Beaucoup sont PoE donc ont des alims puissantes le plus souvent en
> AC... et je n'en veut pas :)

Cisco WS-C3560CG-8PC-S

Également très bien en couche 3, je m'en sert pour comme CPE pour
la fibre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] OpenDNS - Retour d'experience

[Phil Regnauld]

Guillaume GARNIER (guillaume.garnier) writes:
> Bonjour,
> j'ai utilisé ce service quelques temps, il y a quelques années...
> J'en suis revenu car chez eux un domaine inexistant est vu comme un domaine
> potentiellement disponible, et opendns renvoie donc dans ce cas une réponse
> (faussement) positive.

C'était débrayable (ajout des plages IP à exclude sur demande), et
depuis ils ont complètement arrêté ce "service".

https://www.opendns.com/no-more-ads/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> Surtout qu'ici, il ne s'agit pas de serveurs faisant autorité mais de
> résolveurs (la fonction qu'assure OpenDNS).

Le genre de trucs où il faut faire un effort pour que ça
tombe en panne (enfin, vaut mieux quand même vérifier qu'il
est pas ouvert à 0/0 en récursif).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Questionnement sur du matériel radio 5GHz

[Phil Regnauld]

David ALLARD (david.allard) writes:
>  
> J'aimerais savoir si quelqu'un a déjà eu à comparer un
> réseau hertzien fonctionnant avec du matériel Cambium et du matériel
> Ubiquiti. C'est pour un réseau fournissant du "haut-débit" dans des
> zones blanches. 
> 
> On me dit ( :-) ) que le premier c'est du matériel
> professionnel qui marchera à tous les coups et le second un truc pas pro
> du tout qui va pas marcher du tout. 

Euh, ça dépend vraiment du type d'application. C'est du backhaul 
point-à-
point ? De l'accès en intérieur ?

J'ai déployé du Ubiquiti dans les deux cas, y compris en afrique sub-
saharienne, et le matériel extérieur fonctionne parfaitement après
deux ans, en p-à-p, avec des débits variant entre 100 et 700 Mbps,
sur des distances allant de 3 à 50 km.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/