Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> Et ensuite, le NAT va modifier la couche 7, virer l'IP du proxy pour mettre 
> son IP de brin, et torcher l'ensemble de la chaine.

Ça c'est une périphrase (c) Audiard !

> Pour le reste de cet échange hautement constructif, il me semble que c'est 
> une question de philosophie plus que de technique

+1

> L'éducation des enfants prouve qu'exempter constamment un individu des 
> conséquences de ses (in)actions est délétère pour ce dernier : le fait d'être 
> naturellement puni pour ce qu'il a fait permet à chacun de prendre conscience 
> (et de prendre au sérieux) le sujet, et d'y être donc attentif



-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[BRUYELLES ALEXANDRE]

Oui, oui :)

Deux faits pour soutenir ton point de vue:
- j'ai sous la main un routeur (un demi Tbps casé dans un RU): il y a un 
firewall stateful dessus, et pas de NAT. Je me demande si les mecs ont codés la 
fonctionnalité pour ensuite la désactiver avec un flag.
- j'ai un téléphone avec un abonnement grand publique sous la main, qui va sur 
internet sans NAT

Finalement, quand tu dis "tout le monde s'en sert", il serai plus juste de dire 
"tout mon monde s'en sert".

Bisou

De : Michel Py 
Envoyé : mercredi 10 février 2021 02:14:25
À : BRUYELLES ALEXANDRE; Erwan David; frnog@frnog.org
Objet : RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez 
pas l'expéditeur

> BRUYELLES ALEXANDRE a écrit :
> Une des mis-conceptions communes, y compris sur cette liste, c'est qu'un
> ALG read-only dispose d'une complexité équivalente à un ALG read-write

L'ALG read-only c'est le même code que l'ALG read-write avec un drapeau. Qui 
c'est qui écrirait du code qui ne supporterait pas NAT et installerait 2 
versions différentes ?

> Dire qu'un nat n'est pas tellement pire qu'un pare-feu à état, donc, c'est 
> peu sérieux.

C'est exactement la même chose sauf que ça ne change pas l'adresse ou le port, 
le même code, dans le même pare-feu. L'analyse pour savoir quels ports 
supplémentaires il faut ouvrir ne change pas. Il n'y a pas que NAT et pare-feu 
qui fonctionnent comme ça, d'ailleurs : les load-balanceurs c'est souvent le 
même principe.

> Quant aux avantages du nat, on les cherche encore.

Il n'y en a pas, c'est surement pour ça que tout le monde s'en sert, hein.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> BRUYELLES ALEXANDRE a écrit :
> Une des mis-conceptions communes, y compris sur cette liste, c'est qu'un
> ALG read-only dispose d'une complexité équivalente à un ALG read-write

L'ALG read-only c'est le même code que l'ALG read-write avec un drapeau. Qui 
c'est qui écrirait du code qui ne supporterait pas NAT et installerait 2 
versions différentes ?

> Dire qu'un nat n'est pas tellement pire qu'un pare-feu à état, donc, c'est 
> peu sérieux.

C'est exactement la même chose sauf que ça ne change pas l'adresse ou le port, 
le même code, dans le même pare-feu. L'analyse pour savoir quels ports 
supplémentaires il faut ouvrir ne change pas. Il n'y a pas que NAT et pare-feu 
qui fonctionnent comme ça, d'ailleurs : les load-balanceurs c'est souvent le 
même principe.

> Quant aux avantages du nat, on les cherche encore.

Il n'y en a pas, c'est surement pour ça que tout le monde s'en sert, hein.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[BRUYELLES ALEXANDRE]

Salut,

Une des mis-conceptions communes, y compris sur cette liste, c'est qu'un ALG 
read-only dispose d'une complexité équivalente à un ALG read-write

Dans le cadre du NAT, l'alg n'est pas passif, ce n'est pas anodin
Dire qu'un nat n'est pas tellement pire qu'un pare-feu à état, donc, c'est peu 
sérieux. Quant aux avantages du nat, on les cherche encore.

Je vais te raconter une histoire
C'est l'idée d'un monde en IPv4, avec des dizaines de milliards de devices pour 
seulement 4 milliards d'adresses théorique
Dans ce monde fabuleux vit Christian. Christian dispose d'une société de vente 
de béton. Il héberge un serveur FTP, utilisé par des gens pour échanger des 
données.
Considérant l'absence inéluctable de terminaison bout en bout, Christian met en 
place un NAT. Christian vit dans un monde de merde.

Pour diverses raisons, Christian dispose de plusieurs connexions internet, 
chacune ayant sa propre adresse globalement unique.

Problème: Christian travaille avec des gens qui ne sont pas suffisamment 
évolués pour gérer deux adresses pour un même service : il faut une adresse 
unique !
Du coup, Christian met en place un proxy, dans un environnement au taux de 
disponibilité nettement supérieur à ses locaux

Tu vois le problème ?
Au niveau du ftpd, tu spécifies l'adresse du proxy, que les clients vont 
utiliser.
Et ensuite, le NAT va modifier la couche 7, virer l'IP du proxy pour mettre son 
IP de brin, et torcher l'ensemble de la chaine.



Pour le reste de cet échange hautement constructif, il me semble que c'est une 
question de philosophie plus que de technique
L'éducation des enfants prouve qu'exempter constamment un individu des 
conséquences de ses (in)actions est délétère pour ce dernier : le fait d'être 
naturellement puni pour ce qu'il a fait permet à chacun de prendre conscience 
(et de prendre au sérieux) le sujet, et d'y être donc attentif

M'enfin

De : frnog-requ...@frnog.org  de la part de Michel Py 

Envoyé : mardi 9 février 2021 22:00:56
À : Erwan David; frnog@frnog.org
Objet : RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez 
pas l'expéditeur

> Erwan David a écrit :
> Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui
> laisse adresse et port inchangés. Ça s'appelle un firewall stateful

D'ailleurs c'est la moitié de la raison pour laquelle NAT n'a pas disparu : 
qu'est-ce qu'on met à la place de NAT : un pare-feu a état.

Les deux ennuis majeurs avec NAT, c'est :
- La réécriture de l'adresse et du port.
- L'état.

L'état, c'est pernicieux. Non seulement c'est complexe, des fois il y a des 
fuites de mémoire, en plus de le maintenir il faut aussi le synchroniser quand 
on est en HA, et il y a les ALG. Une des mis-conceptions communes, y compris 
sur cette liste, c'est que si on ne réécrit pas l'adresse ou le port, il n'y a 
pas besoin d'ALG. C'est faux : même si le protocole ne met pas l'adresse IP 
_et_ dans l'entête _et_ à l'intérieur du paquet, il y a d'autres cas ou l'ALG 
est nécessaire pour ouvrir les trous dans le pare-feu, les classiques étant 
SIP, PPTP, FTP, etc : dès qu'il y a un état, tout ce qui utilise plus qu'un 
port ou plus d'un protocole nécessite un ALG. Les protocoles qui ont du mal à 
traverser NAT ont généralement les mêmes problèmes à traverser les pare-feu a 
état.

NAT ce n'est pas tellement pire qu'un pare-feu a état donc, à tant qu'en avoir 
presque tous les ennuis, autant en avoir aussi les avantages, ce qui explique 
son succès.

> et ça marche très bien.

Il y en aura pour te dire que ça marche très mal ;-)


> Xavier Beaudouin a écrit :
> Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien...

C'est pas demain la veille que dual-stack va disparaitre.

Il n'y a pas qu'IOT qui comporte des risques, même avec Windows c'est pas glop. 
Je reconnais que M$ a fait des progrès, mais il reste encore un problème énorme 
: quand le PC demande à Claude Michu si le réseau c'est "public", "maison" ou 
"bureau" (je devine la traduction), elle va de bonne foi répondre "maison", et 
là ça ouvre plein de trucs qui ne seraient pas ouverts si c'était "public". Au 
passage, c'est une des raisons pour lesquelles on désactive IPv6 : quand Claude 
Michu branche son portable à la maison avec Free comme FAI, elle ne se retrouve 
pas à poil sur l'Internet.


> Et même quand j'essaye d'en faire avec des ESP12-F / ESP32, la dual stack v6 
> est quasi inexistante.

C'est la partie "quasi" qui me fait peur : pire que "pas du tout" :-(

Raspberry Pi zero w? 10 balles pièce.
https://www.raspberrypi.org/products/raspberry-pi-zero-w/
J'ai pas encore essayé (la version zero), mais sur le papier c'est sympa. Vrai 
OS, vraie pile réseau.

> Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te 
> tiens par les
>

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Erwan David a écrit :
> Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui
> laisse adresse et port inchangés. Ça s'appelle un firewall stateful

D'ailleurs c'est la moitié de la raison pour laquelle NAT n'a pas disparu : 
qu'est-ce qu'on met à la place de NAT : un pare-feu a état.

Les deux ennuis majeurs avec NAT, c'est :
- La réécriture de l'adresse et du port.
- L'état.

L'état, c'est pernicieux. Non seulement c'est complexe, des fois il y a des 
fuites de mémoire, en plus de le maintenir il faut aussi le synchroniser quand 
on est en HA, et il y a les ALG. Une des mis-conceptions communes, y compris 
sur cette liste, c'est que si on ne réécrit pas l'adresse ou le port, il n'y a 
pas besoin d'ALG. C'est faux : même si le protocole ne met pas l'adresse IP 
_et_ dans l'entête _et_ à l'intérieur du paquet, il y a d'autres cas ou l'ALG 
est nécessaire pour ouvrir les trous dans le pare-feu, les classiques étant 
SIP, PPTP, FTP, etc : dès qu'il y a un état, tout ce qui utilise plus qu'un 
port ou plus d'un protocole nécessite un ALG. Les protocoles qui ont du mal à 
traverser NAT ont généralement les mêmes problèmes à traverser les pare-feu a 
état.

NAT ce n'est pas tellement pire qu'un pare-feu a état donc, à tant qu'en avoir 
presque tous les ennuis, autant en avoir aussi les avantages, ce qui explique 
son succès.

> et ça marche très bien.

Il y en aura pour te dire que ça marche très mal ;-)


> Xavier Beaudouin a écrit :
> Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien...

C'est pas demain la veille que dual-stack va disparaitre.

Il n'y a pas qu'IOT qui comporte des risques, même avec Windows c'est pas glop. 
Je reconnais que M$ a fait des progrès, mais il reste encore un problème énorme 
: quand le PC demande à Claude Michu si le réseau c'est "public", "maison" ou 
"bureau" (je devine la traduction), elle va de bonne foi répondre "maison", et 
là ça ouvre plein de trucs qui ne seraient pas ouverts si c'était "public". Au 
passage, c'est une des raisons pour lesquelles on désactive IPv6 : quand Claude 
Michu branche son portable à la maison avec Free comme FAI, elle ne se retrouve 
pas à poil sur l'Internet.


> Et même quand j'essaye d'en faire avec des ESP12-F / ESP32, la dual stack v6 
> est quasi inexistante.

C'est la partie "quasi" qui me fait peur : pire que "pas du tout" :-(

Raspberry Pi zero w? 10 balles pièce.
https://www.raspberrypi.org/products/raspberry-pi-zero-w/
J'ai pas encore essayé (la version zero), mais sur le papier c'est sympa. Vrai 
OS, vraie pile réseau.

> Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te 
> tiens par les
> couilles dans un n-ieme cloud, clairement ils ont pas activé l'option sur 
> leur IDE Arduino

Ni carotte, ni bâton.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Philippe ASTIER via frnog]

Alors oui...

IPv6 est obligatoire pour tous les devices Apple HomeKit, sinon ils ne sont pas 
certifiés.
La plateforme commune CHIP (Apple, Amazon, Google, ZigBee) est sensée ne 
fonctionner qu’en IPv6 (mais on n’a encore rien vu).

Thread est basé sur IPv6 / 6LoWPAN (très succinct sur Wikipedia : 
https://en.wikipedia.org/wiki/Thread_(network_protocol)) 
.

J’ai pas dit qu’on avait ça dans les devices IoT no-name à 30€….

Je viens de vérifier chez moi : pont Philips Hue, passerelle Ikea Tradfri, 
ponts Eve, etc… tous font de l’IPv6. Bon, mon Frigo et les clims ne parlent 
encore que v4.

> Le 9 févr. 2021 à 13:06, Xavier Beaudouin  a écrit :
> 
> Hello,
> 
>> IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans 
>> NAT)
>> ça ne fait rien pour le PI du pauvre.
> 
> Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien... Et même quand j'essaye 
> d'en faire avec des ESP12-F / ESP32, la dual stack v6 est quasi inexistante.
> Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te 
> tiens par les couilles dans un n-ieme cloud, clairement ils ont pas activé 
> l'option sur leur IDE Arduino
> 
> /Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Xavier Beaudouin]

Hello,

> IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans 
> NAT)
> ça ne fait rien pour le PI du pauvre.

Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien... Et même quand j'essaye 
d'en faire avec des ESP12-F / ESP32, la dual stack v6 est quasi inexistante.
Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te 
tiens par les couilles dans un n-ieme cloud, clairement ils ont pas activé 
l'option sur leur IDE Arduino

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Erwan David]

Le 09/02/2021 à 03:43, Michel Py a écrit :


Sauf que dans la réalité c'est pire, il y a tellement de types de NATv6 
différents qu'on y perd la tête.

IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans 
NAT) ça ne fait rien pour le PI du pauvre.

Michel.



Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui 
laisse adresse et port inchangés.


Ça s'appelle un firewall stateful et ça marche très bien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

>> Michel Py a écrit :
>> Denis, si tu veux te débarrasser de NAT il faut que tu proposes un système 
>> qui apporte ses avantages
>> sans en avoir ses inconvénients. La sécurité même si elle n'est que basique, 
>> et surtout le fait que
>> NAT c'est le PI du pauvre. A part le marché résidentiel, dès que tu 
>> commences à taper dans la TPE ou
>> la PME, renuméroter c'est un emmerdement de taille; NAT ça te laisse garder 
>> ton réseau interne si tu
>> veux changer de FAI au lieu d'en être l'otage si tu utilises ses adresses. 
>> Et aussi ça te donne la
>> possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance. 
>> Quand tu es trop petit
>> pour avoir un AS et des PI, c'est bien pratique.

> Oliver varenne a écrit :
> Une solution acceptée de tous, c'est quelque chose qui peut être mis en place 
> rapidement,
> n'enlève pas des avantages des ancienne solutions, et peut être comprise 
> rapidement

Et que l'on cherche toujours.

> Au lieu de dire "on va faire disparaitre NAT"

Faire disparaitre NAT, en soi, c'est une idée louable. S'il y avait une 
solution valable, tout le monde l'aurait adoptée.


> dire "on va améliorer NAT avec IPV6" aurait sans doute été mieux je pense.

Sauf que dans la réalité c'est pire, il y a tellement de types de NATv6 
différents qu'on y perd la tête.

IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans 
NAT) ça ne fait rien pour le PI du pauvre.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Oliver varenne]

> Denis, si tu veux te débarrasser de NAT il faut que tu proposes un
> système qui apporte ses avantages sans en avoir ses inconvénients. La
> sécurité même si elle n'est que basique, et surtout le fait que NAT c'est le
> PI du pauvre. A part le marché résidentiel, dès que tu commences à taper
> dans la TPE ou la PME, renuméroter c'est un emmerdement de taille; NAT
> ça te laisse garder ton réseau interne si tu veux changer de FAI au lieu
> d'en être l'otage si tu utilises ses adresses. Et aussi ça te donne la
> possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance.
> Quand tu es trop petit pour avoir un AS et des PI, c'est bien pratique.
>

Voila.
Une solution acceptée de tous, c'est quelque chose qui peut être mis en place 
rapidement, n'enlève pas des avantages des ancienne solutions, et peut être 
comprise rapidement
Au lieu de dire "on va faire disparaitre NAT", dire "on va améliorer NAT avec 
IPV6" aurait sans doute été mieux je pense.

Apres, c'est mon avis de non expert. Je suis qu'un développeur apres tout 


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

>> Jonathan Roule a écrit :
>> Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur 
>> client soit à poil
>> sur le net auraient peut-être tenter plus des choses niveau sécurité. Je 
>> suis peut-être
>> candide en penssant ça, je l'avoue mais ton raisonnement me paraît un brin 
>> simplificateur.

> Denis Fondras a écrit :
> Genre Free qui a activé IPv6 par défaut sur ses boxes mais a "oublié" 
> d'activer le pare-feu...

Oh ça c'est récent mais hélas pas nouveau.
C'est une des raisons qui a fait le succès de NAT : en oubliant l'hérésie uPNP, 
même un branque ne pouvait pas enlever la "diode". Et la sécurité que ça 
apportait, même si imparfaite, était considérable (noter le temps passé). Avant 
Windows XP SP2, donc avant Windows firewall, il était impossible d'installer 
Windows sur un PC avec une IP publique sans se récolter un virus. Par le simple 
fait d'avoir la bécane à poil sur L'Internet avant d'avoir fini d'installer 
l'anti-virus et les rustines on était déjà vérolé. Et en plus, il y avait pas 
mal de FAI qui essayaient d'empêcher les gens de mettre un routeur ou pare-feu 
: il y avait un bridage sur l'adresse MAC qui se connectait au modem, c'est 
pour ça que sur les Linksys et autres de cette époque il y avait une config qui 
permettait d'imiter la MAC de ton PC.
La partie sécurité de NAT, c'est un mal nécessaire. Hier, parce que la sécurité 
de Windoze c'était de la merde, aujourd'hui parce que la sécurité des machins 
IOT avec du code écrit avec les pieds ce n'est pas mieux.

> Ca me coûte de donner raison à Michel Py sur ce point.

Whoa il va pleuvoir !

> Heureusement, il me reste assez de mauvaise foi pour affirmer que
> c'est à cause de NAT si on en arrive à ce genre de bavure :o

:P

Denis, si tu veux te débarrasser de NAT il faut que tu proposes un système qui 
apporte ses avantages sans en avoir ses inconvénients. La sécurité même si elle 
n'est que basique, et surtout le fait que NAT c'est le PI du pauvre. A part le 
marché résidentiel, dès que tu commences à taper dans la TPE ou la PME, 
renuméroter c'est un emmerdement de taille; NAT ça te laisse garder ton réseau 
interne si tu veux changer de FAI au lieu d'en être l'otage si tu utilises ses 
adresses. Et aussi ça te donne la possibilité (imparfaite, mais existante) 
d'avoir 2 FAI pour la redondance. Quand tu es trop petit pour avoir un AS et 
des PI, c'est bien pratique.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Denis Fondras]

Le Sun, Feb 07, 2021 at 09:06:56AM +0100, Jonathan Roule via frnog a écrit :
> Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur 
> client soit à poil sur le net auraient peut-être tenter plus des choses 
> niveau sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais 
> ton raisonnement me paraît un brin simplificateur.
> 

Genre Free qui a activé IPv6 par défaut sur ses boxes mais a "oublié" d'activer
le pare-feu...
Ca me coûte de donner raison à Michel Py sur ce point. Heureusement, il me reste
assez de mauvaise foi pour affirmer que c'est à cause de NAT si on en arrive à
ce genre de bavure :o


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Jonathan Roule a écrit :
> Je me demande si ton raisonnement n'est pas ici un poil naïf. Tu pars du 
> principe que dans un monde sans
> NAT, le pare-feu d'une box resterait une passoire mais personne ne sait si ce 
> serait vraiment le cas.

Ah, est-ce que tu as un exemple GP qui n'est pas une passoire, NAT ou pas NAT ?

> Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur 
> client soit à poil sur le net
> auraient peut-être tenter plus des choses niveau sécurité. Je suis peut-être 
> candide en penssant ça,

Plus qu'un peu. Tu crois que les FAI GP maitrisent ce genre de chose ?
Tiens je te donne un exemple : mon FAI c'est Comcast. J'ai, en plus de 
l'Internet, une ligne téléphonique. VOIP (naturellement) avec un port POTS FXS 
analogue. Eh bien j'ai 2 machinbox, une pour la voix et une pour l'Internet, et 
ce malgré que la machinbox pour l'Internet ait aussi 2 ports PORTS FXS 
analogues. Les 2 box ont la fonctionnalité ATA, et pourtant j'en ai 2. Sont pas 
foutus de faire tout marcher sur 1 box, tu crois qu'il peuvent faire du 
pare-feu ou de la sécurité ?

> je l'avoue mais ton raisonnement me paraît un brin simplificateur.

Je l'admets volontiers, car il ne faut pas généraliser. Ceci étant dit, il y a 
bien des cas ou c'est vrai.


> Xavier Beaudouin a écrit :
> Donc entre du NAT et un firewall statefull y a aucune différence à part la 
> réécriture de source.

Exactement, et les deux se traversent de la même façon.
 
> Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement 
> ce qui nécessaire
> d'exposer sur l'internet des méchants. (Je ne parle pas cette saloperie 
> d'UPNP qui a été ultra
> utilisé par les botnet et autres trucs pour justement bypasser cette 
> "protection").

Et maintenant, au lieu d'uPNP (qui n'est heureusement plus à la mode), on fait 
du slipstreaming. La diode, malheureusement elle reste relativement facile à 
ouvrir de l'intérieur. UPNP c'était facile, mais c'est pas parce que ça a 
pratiquement disparu qu'il faut crier victoire. Exposer les services internes, 
même sans uPNP, çà se fait toujours, surtout en UDP. Il y a de l'espoir, mais 
la route est longue.

NAT ou pas, le principe de tous les pare-feu a état est qu'ils ouvrent un ou 
plusieurs trous temporaires pour permettre au contenu de revenir vers 
l'utilisateur, et je suis convaincu que l'on n'en est qu'au début des 
techniques qui consistent à faire croire à l'état d'ouvrir les trous à des fins 
malicieuses. Tant qu'il y aura des protocoles comme SIP qui utilisent plusieurs 
ports (dont certains dynamiques), il y aura des ALG pour ouvrir les trous, 
l'état de la session autorisera plusieurs ports, et il y aura des petits malins 
qui comprendront comment un paquet correctement conçu peut ouvrir les trous.


> Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette 
> saloperie de NAT, et
> sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette 
> entre 4 planches.

NAT64, 464XLAT, CLAT, PLAT, MAP-E, MAP-T, RFC6877, RFC6145, RFC6146, DNS64. Et 
j'en oublie surement.
Je suis inquiet pour ta santé :P

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Xavier Beaudouin]

[En résumé]
le nat c'est une chienlit, avoir une ip publique c'est mieux, mais "cay pas 
sécurisay"
[/En résumé]

> Je me demande si ton raisonnement n'est pas ici un poil naïf.
> 
> Tu pars du principe que dans un monde sans NAT, le pare-feu d'une box 
> resterait
> une passoire mais personne ne sait si ce serait vraiment le cas. A l'heure
> actuelle, vu que le NAT permet une sécurité basique, effectivement, les box
> opérateurs ont des pare-feu rudimentaires mais rien ne permets d'affirmer que
> ça aurait été le cas sans NAT en fait.
> 
> Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur
> client soit à poil sur le net auraient peut-être tenter plus des choses niveau
> sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais ton
> raisonnement me paraît un brin simplificateur.

Alors je ne sais pas si Michel ou toi est un poil naïf. 
Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement ce 
qui 
nécessaire d'exposer sur l'internet des méchants. (Je ne parle pas cette 
saloperie
d'UPNP qui a été ultra utilisé par les botnet et autres trucs pour justement 
bypasser 
cette "protection").

Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette 
saloperie de NAT,
et sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette 
entre 4
planches.

Sur les FAI grand public et mobiles on a souvent une IPv6 global unicast, 
mais... il y a
un équipement : la machin box ou un routeur core, qui fait JUSTEMENT la même 
chose que le
NAT : un firewall statefull.

L'un des grands avantages de ce genre de choses c'est que par exemple mon 
préfixe v6 qui 
m'as été donné par mon ISP ne change pas (coucou a certains ISP qui n'ont pas 
compris
que de changer de préfixe IPv6 tous les 24h fait que les gens DÉSACTIVENT 
l'IPv6 chez eux),
je peux donc donner UNE ipv6 correspondant à UNE machine chez moi pour accéder 
a un certain
service (moyennant que l'user ai mis une ipv6 fixe a sa machine).

Donc entre du NAT et un firewall statefull y a aucune différence à part la 
réécriture de source.

Donc non le NAT n'apporte pas de fonctionalités supplémentaire et n'importe que 
ARM avec 4Mo 
de RAM est capable de faire ce truc de base. Donc l'argument les FAI feraient 
autre chose
n'est pas valable.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Jonathan Roule via frnog]

Michel,

Je me demande si ton raisonnement n'est pas ici un poil naïf.

Tu pars du principe que dans un monde sans NAT, le pare-feu d'une box resterait 
une passoire mais personne ne sait si ce serait vraiment le cas. A l'heure 
actuelle, vu que le NAT permet une sécurité basique, effectivement, les box 
opérateurs ont des pare-feu rudimentaires mais rien ne permets d'affirmer que 
ça aurait été le cas sans NAT en fait.

Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur 
client soit à poil sur le net auraient peut-être tenter plus des choses niveau 
sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais ton 
raisonnement me paraît un brin simplificateur.


7 févr. 2021, 08:15 de mic...@arneill-py.sacramento.ca.us:

>> Oliver Varenne a écrit :
>> Alors crier sur le NAT tout le temps, je conçois, mais ça n'est pas quelque 
>> chose qui va faire avancer le schmilblick.
>>
>
> En plus, il y a des cas ou NAT, ça fait un peu pour la sécurité.
>
> Pour simplifier, prenons l'exemple répandu d'un site PME avec 1 IP publique. 
> Généralement, ça serait plutôt 5 utilisables, mais 1 ça simplifie.
>
> Sur cette IP, il y a souvent un service ouvert vers l'extérieur : HTTPS 
> (souvent plus, mais je simplifie aussi).
> La réalité, c'est que le "pare-feu" est souvent la machinbox du FAI, qui ne 
> fait pas grand-chose à part la fonction "diode", et que "l'ingénieur réseau" 
> a ouvert le port 443 vers l'adresse du serveur qui fait Web/OWA/SSTP. Normal, 
> il faut que le serveur soit accessible de l'Internet. Et quand c'est pas la 
> machinbox, j'essaie de pas être méchant mais Linksys et Netgear, euh comme 
> pare-feu je passe.
>
> Là ou NAT aide : l'autre serveur interne (celui qui n'a pas le port "ouvert") 
> qui aussi a une page HTTPS, (je dévie : sans le certificat qui va, et que les 
> utilisateurs y sont tellement habitués qu'ils ne regardent même plus le 
> message qui dit que la sécurité est pas bonne), il n'est pas exposé.
>
> Pourquoi : parce que le port 443, avec NAT, il est configuré pour n'aller que 
> sur le serveur qui est exposé vers l'extérieur.
> Malgré tout ce que les merdiciels qui exposent les hôtes derrière NAT peuvent 
> faire, ils ne vont pas re-router le port configuré manuellement.
>
> Dans la pratique : Claude Michu a 1 adresse IP publique 30.123.123.123/32. 
> Tout est derrière NAT; a l'intérieur, le "routeur" a une IP de 192.168.1.1/24 
> et le serveur 192.168.1.2/24.
> L'ingénieur réseau a ouvert le port 443 dans le "routeur" pour permettre les 
> requêtes pour 30.123.123.123:443 d'être NATées sur 192.168.1.2:443. Tout le 
> monde est content.
>
> Là ou NAT ça aide un peu : l'autre serveur 192.168.1.3:443, il n'est pas 
> exposé. Pourquoi : à parce que le port 443, il a été configuré pour aller 
> vers 192.168.1.2:443, pas vers 192.168.1.3:443.
> Le serveur 192.168.1.3:443, comme il est "privé", la sécurité fait chier tout 
> le monde donc n'est pas sécurisé.
>
> Pourquoi NAT ça sert un peu encore à quelque chose : imaginons un monde sans 
> NAT, ou il n'y a pas de pénurie. Au lieu d'une IP publique, Claude Michu a un 
> /24 :
> 286.123.321.0/24. (*) Comme il n'y a pas de NAT, naturellement il n'y a plus 
> de RFC1918 et donc le serveur qui était 192.168.1.2 devient 286.123.321.2 et 
> le serveur qui était 192.168.1.3 devient 286.123.321.3.
> Pas de NAT, ça veut dire qu'on met une IP publique sur chaque machine. C'est 
> la raison de ne pas avoir NAT : traverser NAT c'est une chienlit, tout le 
> monde le sait. Donc au lieu de configurer le serveur avec une adresse 
> RFC1918, on lui donne une IP publique, unique, qui évite la chienlit de NAT 
> et les conflits quand les entreprises fusionnent. La raison de ne pas avoir 
> NAT, c'est d'éviter NAT, non ? plus de conflit d'adresse, plus d'ALG, plus de 
> chienlit avec les protocoles de merde qui encapsulent l'adresse à l'intérieur 
> du payload. Host-to-host direct, la transparence; NAT ça casse le modèle (**).
>
> Eh bien, sans NAT, le serveur 286.123.321.3 il est à poil sur l'Internet. 
> Avec une IP publique, sans pare-feu, c'est du suicide. Même si le pare-feu 
> interne à chaque machine a fait des progrès considérables, exposer un serveur 
> privé à l'Internet entier, c'est du suicide.
>
> Je vous vois venir : ah mais, Claude Michu, elle a un "pare-feu" (ouais, la 
> machinbox du FAI) qui interdit les connexions venant de l'extérieur.
> Faux. Utilisant exactement les mêmes outils qui exposent les services 
> derrière une IP privée à travers NAT (slipstream), l'attaqueur va exposer 
> l'autre serveur.
> Avec NAT, il n'y a qu'un seul hôte en interne qui est exposé; configuré 
> statiquement; 1 IP publique, 1 hôte vulnérable sur le port en entrée. Sans 
> NAT, si chaque hôte a une adresse publique, tous les merdiciels qui "ouvrent" 
> le NAT stateful diode vont exposer le port du machin IOT pas protégé.
>
> Le bousin IOT à 192.168.1.3:443, il est protégé par NAT si il y a un serveur 
> à 

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Oliver Varenne a écrit :
> Alors crier sur le NAT tout le temps, je conçois, mais ça n'est pas quelque 
> chose qui va faire avancer le schmilblick.

En plus, il y a des cas ou NAT, ça fait un peu pour la sécurité.

Pour simplifier, prenons l'exemple répandu d'un site PME avec 1 IP publique. 
Généralement, ça serait plutôt 5 utilisables, mais 1 ça simplifie.

Sur cette IP, il y a souvent un service ouvert vers l'extérieur : HTTPS 
(souvent plus, mais je simplifie aussi).
La réalité, c'est que le "pare-feu" est souvent la machinbox du FAI, qui ne 
fait pas grand-chose à part la fonction "diode", et que "l'ingénieur réseau" a 
ouvert le port 443 vers l'adresse du serveur qui fait Web/OWA/SSTP. Normal, il 
faut que le serveur soit accessible de l'Internet. Et quand c'est pas la 
machinbox, j'essaie de pas être méchant mais Linksys et Netgear, euh comme 
pare-feu je passe.

Là ou NAT aide : l'autre serveur interne (celui qui n'a pas le port "ouvert") 
qui aussi a une page HTTPS, (je dévie : sans le certificat qui va, et que les 
utilisateurs y sont tellement habitués qu'ils ne regardent même plus le message 
qui dit que la sécurité est pas bonne), il n'est pas exposé.

Pourquoi : parce que le port 443, avec NAT, il est configuré pour n'aller que 
sur le serveur qui est exposé vers l'extérieur.
Malgré tout ce que les merdiciels qui exposent les hôtes derrière NAT peuvent 
faire, ils ne vont pas re-router le port configuré manuellement.

Dans la pratique : Claude Michu a 1 adresse IP publique 30.123.123.123/32. Tout 
est derrière NAT; a l'intérieur, le "routeur" a une IP de 192.168.1.1/24 et le 
serveur 192.168.1.2/24.
L'ingénieur réseau a ouvert le port 443 dans le "routeur" pour permettre les 
requêtes pour 30.123.123.123:443 d'être NATées sur 192.168.1.2:443. Tout le 
monde est content.

Là ou NAT ça aide un peu : l'autre serveur 192.168.1.3:443, il n'est pas 
exposé. Pourquoi : à parce que le port 443, il a été configuré pour aller vers 
192.168.1.2:443, pas vers 192.168.1.3:443.
Le serveur 192.168.1.3:443, comme il est "privé", la sécurité fait chier tout 
le monde donc n'est pas sécurisé.

Pourquoi NAT ça sert un peu encore à quelque chose : imaginons un monde sans 
NAT, ou il n'y a pas de pénurie. Au lieu d'une IP publique, Claude Michu a un 
/24 :
286.123.321.0/24. (*) Comme il n'y a pas de NAT, naturellement il n'y a plus de 
RFC1918 et donc le serveur qui était 192.168.1.2 devient 286.123.321.2 et le 
serveur qui était 192.168.1.3 devient 286.123.321.3.
Pas de NAT, ça veut dire qu'on met une IP publique sur chaque machine. C'est la 
raison de ne pas avoir NAT : traverser NAT c'est une chienlit, tout le monde le 
sait. Donc au lieu de configurer le serveur avec une adresse RFC1918, on lui 
donne une IP publique, unique, qui évite la chienlit de NAT et les conflits 
quand les entreprises fusionnent. La raison de ne pas avoir NAT, c'est d'éviter 
NAT, non ? plus de conflit d'adresse, plus d'ALG, plus de chienlit avec les 
protocoles de merde qui encapsulent l'adresse à l'intérieur du payload. 
Host-to-host direct, la transparence; NAT ça casse le modèle (**).

Eh bien, sans NAT, le serveur 286.123.321.3 il est à poil sur l'Internet. Avec 
une IP publique, sans pare-feu, c'est du suicide. Même si le pare-feu interne à 
chaque machine a fait des progrès considérables, exposer un serveur privé à 
l'Internet entier, c'est du suicide.

Je vous vois venir : ah mais, Claude Michu, elle a un "pare-feu" (ouais, la 
machinbox du FAI) qui interdit les connexions venant de l'extérieur.
Faux. Utilisant exactement les mêmes outils qui exposent les services derrière 
une IP privée à travers NAT (slipstream), l'attaqueur va exposer l'autre 
serveur.
Avec NAT, il n'y a qu'un seul hôte en interne qui est exposé; configuré 
statiquement; 1 IP publique, 1 hôte vulnérable sur le port en entrée. Sans NAT, 
si chaque hôte a une adresse publique, tous les merdiciels qui "ouvrent" le NAT 
stateful diode vont exposer le port du machin IOT pas protégé.

Le bousin IOT à 192.168.1.3:443, il est protégé par NAT si il y a un serveur à 
192.168.1.2:443 configuré.
Peut-être pas à 100%, mais il y a du boulot, y compris que soudainement le 
serveur à 192.168.1.2:443 va plus marcher; que l'utilisateur moins con que la 
moyenne a changé admin/admin.

Le bousin IOT à 286.123.321.3:443, il n'est pas protégé par le pare-feu de 
merde que Claude Michu peut s'offrir; slipstream peut ouvrir le port, et en 
plus ça ne va pas tuer 286.123.321.2:443.

Michel.

(*) Attention aux commentaires négatifs à propos de cette adresse IP; ça fait 
assez longtemps que je fais du réseau. Un monde sans pénurie.
(**) Le FUD, ce n'est pas moi qui l'ai écrit mais j'y ai cru. Il y a longtemps.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 02/02/21 à 07:54, Adrien Rivas  a écrit :
> Je suis pas certain, déjà ils prennent leur rôle au sérieux et le
> remplissent correctement.
> 
> Après, pour le délire sécuritaire, ils fournissent un idéal à atteindre, et
> à toi de t'en approcher selon tes besoins / contraintes de temps, de
> compétences, de budget, d'équipe.

Et surtout du compromis confort / sécurité que tu es prêt à faire, en 
connaissance de cause
c'est mieux. D'où l'intérêt de rapports ANSSI en mode parano pour se faire une 
liste perso de
toutes les recommandations qu'on ne suit pas et voir si ça reste pertinent.

-- 
Daniel

Lorsque j'ai été kidnappé, ma mère a réagi tout de suite: elle a sous-loué ma 
chambre.
Woody Allen


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> David Ponzone a écrit :
> C’est pas exactement vrai, et donc je me corrige car les carriers américains, 
> dont ATT, délivraient du ISDN-PRI.

Peu car difficile à obtenir, par rapport à du T1 POTS. Je m'en rappelle assez 
bien, dans au tournant du millénaire je faisais en grande partie du DS-3 ISDN 
(28x PRI), et même en étant chez un carrier (MCI) on avait des difficultés à 
l'obtenir; tous les gros switch genre 5ESS n'en étaient pas forcément équipés 
(ça coutait un bras, les cartes de 5ESS et gros switch du même genre).
Physiquement un T1 POTS c'est pas différent d'un PRI, ce qui manquait ce 
n'était pas l'infrastructure physique mais la partie à quoi le connecter dans 
le gros switch. Un T1 avec 24 canaux de voix c'était considérablement plus 
facile à obtenir et nettement moins cher qu'un PRI. Il n'y avait pas de 
demande, tout le monde préférait le bon vieux CSU/DSU ou on pouvait utiliser 
certains canaux pour la voix et d'autres pour les données (il y avait encore 
pas mal de frame-relay). Très répandu en entreprise.

> Après, tous les choix US ne sont pas intelligents...

Il y a des fois ou c'est plus pragmatique; ce que les langues de p... disaient 
à l'époque :

It Still Does Nothing
Innovations Subscribers Don't Need
I Still Don't kNow
I Still Don't Need
I Smell Dollars Now

> A mon avis, juste une philosophie différente, car aux US, tu me corriges si 
> je me trompe, les services étaient délivrés en mode Centrex par le Public 
> Switch du CLEC.

Non pas vraiment, on ne peut pas généraliser.

> Echec, car effectivement, pas de besoin de 2 lignes en GP,

L'inverse ici, car même avant l'Internet c'était déjà courant d'avoir 2 lignes, 
1 pour les ados. Avant l'aDSL, j'avais comme tout le monde une 2ème ligne rien 
que pour le modem, le problème ici c'était plutôt que c'était pas toujours 
possible d'avoir plus que 2 lignes. L'ISDN aurait donc été utile, si le cout 
n'était pas prohibitif.


> Ceci dit, j’ai jamais dit que l’ISDN n’allait pas disparaitre, j’ai juste dit 
> qu’il était un peu exagéré de dire que ça avait foiré.

25 millions d'abonnés ISDN  au lieu de 1,3 milliard analogique, moins de 2%. Il 
te faut quoi pour dire "foiré" ?
https://en.wikipedia.org/wiki/Integrated_Services_Digital_Network

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[David Ponzone]

> Le 2 févr. 2021 à 13:25, Michel Py  a 
> écrit :
> 
>> David Ponzone a écrit :
>> Je pense qu’il parlait de son point de vue de ricain nombril du monde :)
>> Effectivement, aux US, l’ISDN n’a pas existé. L’analogique et le T1(DS-1) 
>> ont dominé.
> 
> Il n'y a pas qu'ici. Dans la vaste majorité du monde, la téléphonie est 
> restée POTS analogique. Va voir en Afrique et en Asie et montre moi de l'ISDN 
> ?

Oh si j’en crois Wikipedia, ça a quand même un peu existé au Japon et en Inde.
Et dans tous les pays scandinaves (des attardés notoires).

>> Chez nous, ça a été différent, ISDN a explosé, fortement poussé par France 
>> Telecom et ses opérations Numéris95/96/… 
> 
> C'est l'exception. ISDN est une de ces technologies qui sont dans les 
> oubliettes de l'histoire. Ici les opérateurs ont refusé de l'adopter, quitte 
> à payer les amendes de la FCC, et

C’est pas exactement vrai, et donc je me corrige car les carriers américains, 
dont ATT, délivraient du ISDN-PRI.
Après, sur le segment BRI, ok ils ont pas adopté.
Après, tous les choix US ne sont pas intelligents….
A mon avis, juste une philosophie différente, car aux US, tu me corriges si je 
me trompe, les services étaient délivrés en mode Centrex par le Public Switch 
du CLEC.
Chez nous, c’est plutôt à l’équipement terminal de fournir des services à 
valeur ajoutée (sauf les service de base qui existent depuis longtemps sur une 
ligne analogique).

> s'en sont félicités : ils ont fait l'investissement dans aDSL. Comme dans la 
> plupart du reste du monde, on est passé du modem directement à l'aDSL.
> 
> D'ailleurs, sur les machinbox de tous poils, même en France, la téléphonie 
> qui en sort, c'est toujours du POTS, non ? On peut y brancher un S63.

L’ISDN n’a jamais été poussé pour le Grand Public, malgré une tentative en 
95/96 sous le nom Numéris Duo (1 bus S0 et 2 prises Z/Analo).
Echec, car effectivement, pas de besoin de 2 lignes en GP, et une connexion 
Internet en 128Kbps, ça revenait cher à la minute pour Me.Michu.
Ceci dit, j’ai jamais dit que l’ISDN n’allait pas disparaitre, j’ai juste dit 
qu’il était un peu exagéré de dire que ça avait foiré.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

Le 02/02/2021 à 13:25, Michel Py a écrit :
>> David Ponzone a écrit :
>> Je pense qu’il parlait de son point de vue de ricain nombril du monde :)

Effectivement... Sortie du T1 et du pots... Cela dit... pourquoi pas...

> Il n'y a pas qu'ici. Dans la vaste majorité du monde, la téléphonie est 
> restée POTS analogique. Va voir en Afrique 

En afrique, montre moi les fils de cuivre :>
Du coup passés direct à la xG :)

> D'ailleurs, sur les machinbox de tous poils, même en France, la téléphonie 
> qui en sort, c'est toujours du POTS, non ? On peut y brancher un S63.

En Allemagne, les 'vieboites' locales, quand elles sont en version pro,
sortent... (genre les fritzbox pro)...

1 IP fixe de qualité GP avec la QOS habituelles sur 50...100 Mbps
1 IP fixe de qualité pro avec 5 à 10 vrais Mbps (bien meilleur que la
GP, en fait on était tout le temps sur l'IP pro...)
2 POTS
2 ISDN
1 DECT puissant
2 WIFI puissants

Et 120 pages de config web tout en allemand...

La béhème de la box... et stable en plus...

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> David Ponzone a écrit :
> Je pense qu’il parlait de son point de vue de ricain nombril du monde :)
> Effectivement, aux US, l’ISDN n’a pas existé. L’analogique et le T1(DS-1) ont 
> dominé.

Il n'y a pas qu'ici. Dans la vaste majorité du monde, la téléphonie est restée 
POTS analogique. Va voir en Afrique et en Asie et montre moi de l'ISDN ?

> Chez nous, ça a été différent, ISDN a explosé, fortement poussé par France 
> Telecom et ses opérations Numéris95/96/… 

C'est l'exception. ISDN est une de ces technologies qui sont dans les 
oubliettes de l'histoire. Ici les opérateurs ont refusé de l'adopter, quitte à 
payer les amendes de la FCC, et s'en sont félicités : ils ont fait 
l'investissement dans aDSL. Comme dans la plupart du reste du monde, on est 
passé du modem directement à l'aDSL.

D'ailleurs, sur les machinbox de tous poils, même en France, la téléphonie qui 
en sort, c'est toujours du POTS, non ? On peut y brancher un S63.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[David Ponzone]

> Le 2 févr. 2021 à 11:49, Stéphane Rivière  a écrit :
> 
>> ont lamentablement foiré : ADA, GOSIP, ISDN...
> 
> Arf, là je te coince en plein nawak...
> 
> ISDN a loyalement servi la première génération de téléphonie numérique

Je pense qu’il parlait de son point de vue de ricain nombril du monde :)
Effectivement, aux US, l’ISDN n’a pas existé. L’analogique et le T1(DS-1) ont 
dominé.

Chez nous, ça a été différent, ISDN a explosé, fortement poussé par France 
Telecom et ses opérations Numéris95/96/… 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

>> l'IPv4 ne fonctionne plus, et donc en tant que fournisseur de contenus je
> 
> Avant que l'IPv4 ne fonctionne *plus*, on commence par "il fonctionne *mal* 
> (de plus en plus mal)".

+1000

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> NAT ça se contourne, mais au moins ça a l'avantage de forcer un pare-feu 
> "diode" : tout qui sort, rien qui rentre.

D'un autre coté, le 'tout qui sort' est /aussi/ un vrai problème. Et
serait peut-être même la première chose à surveiller...

Chaque dispositif devrait être un tout en terme de sécu. Chaque intranet
devrait mater tout ce qui sort. Belles évidences théoriques certes...

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> ont lamentablement foiré : ADA, GOSIP, ISDN...

Arf, là je te coince en plein nawak...

ISDN a loyalement servi la première génération de téléphonie numérique
et Ada (c'est un prénom, pas un acronyme) est bien vivant et même en
plein essor, depuis que certains secteurs, comme l'automobile,
s'aperçoit que MISRA C, ça reste du C, etc. et que la programmation par
contrats avec Spark-Ada fait sa percée...

Heureusement pour la santé des passagers des 777, 787, TGV, Airbus,
métros automatiques, signalisations ferroviaires, tous les engins de
l'ESA, tout le module de service d'Orion (dérivé lui-même de l'ATV
européen, seul vaisseau non US autorisé à l'arrimage de l'ISS en
full-auto) et je ne te parles mêmes pas du coté de l'armement ou des
milliers de PME discrètes qui ont bien compris qu'utiliser ce langage
divisait les temps de devs par 3 et les bugs par 100.

> Ah, merci. Ce qui n'a pas toujours été le cas. Pour les plus jeunes, je 
> faisais déjà IPv6 le millénaire d'avant. J'ai configuré IPv6 sur un Cisco 
> 2500, j'étais sur le 6bone. J'ai enseigné IPv6 à l'université de Californie 
> au début des années 2000. Avant qu'il ne nous quitte, j'étais en bon termes 
> (on a bu des bons coups) avec le type qui a écrit la première pile IPv6 : Jim 
> Bound. J'étais un des bigots.

Ah toi aussi t'as été un jeune con ? C'était bien ce temps là, beaux et
cons, la combinaison gagnante de tous les temps :)))

> Avec le plus grand respect pour ton âge avancé, ça ne fait pas tellement de 
> temps que tu lis cette liste, 

J'ai dit état civil, pas ancienneté FRnOG, pas la médaille du
bannissement, tu le sais bien, sur cette ML, tu es le king des trolls
et, non, je n'ai aucun souhait de seulement tenter de rêver à te faire
concurrence.

> (*) Disclaimer : quand Stéphane et moi on arrête de s'étriper en public, les 
> lecteurs/lectrices de la liste se plaignent qu'ils n'ont pas fini le popcorn.

Ah, n'étale pas nos histoire de couple sur FRnOG :)))

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Oliver varenne]

J'ai mis des étoiles autour de 'certaine'
Et j'ai bien précisé en dessous qu'en réalité ça n'en apporte pas tant que ça, 
avec un exemple.

Cependant, entre un réseau ou tout est naté, avec des machines mal sécurisées 
derrière, et un réseau ou rien n'est naté, avec des machines mal sécurisées, 
ben je préfère l'option 1.
Alors tu vas dire "on a qu'a sécuriser les machines" !
Oui sauf que...
- on parle de logiciel, fait par des humains, avec des erreurs
- on parle de logiciel et de matériel à tenir à jour, donc avec des couts, que 
la plupart des entreprises ne veulent pas dépenser 
- on parle d'acteurs qui profitent de cela en te vendant des mises à jour, des 
patchs sécu, des outils de monitoring... etc. et qui n'ont AUCUN avantage à ce 
que ça soit sécurisé.

Alors crier sur le NAT tout le temps, je conçois, mais ça n'est pas quelque 
chose qui va faire avancer le schmilblick.


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 





> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Denis Fondras
> Envoyé : lundi 1 février 2021 20:21
> À : frnog@frnog.org
> Objet : Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous
> racontent
> 
> > Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité...
> > c'est quand même un avantage
> 
> Non, il faut absolument cesser de faire croire ca !
> Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne
> pas faire le minimum de sécurité (pas de correctifs de vulnerabilité,
> identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et
> ca couine...
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Tue, Feb 2, 2021, at 07:54, Adrien Rivas wrote:
> Je suis pas certain, déjà ils prennent leur rôle au sérieux et le 
> remplissent correctement. 

On peut le voir comme ca quand on fait de la securite pour faire de la securite 
et rien d'autre. La securite etant devenue aussi une religion ("tu fais ca et 
tout va bien se passer" - errr...). 
Pas mon metier, pas ma religion.
Dans mon travail je dois faire pour que la data peut se transmettre d'un point 
A a un point B. La securite a pour bout d'empecher ca, base sur des criteres 
parfois discutables.

> Après, pour le délire sécuritaire, ils fournissent un idéal à 
> atteindre, et à toi de t'en approcher selon tes besoins / contraintes 
> de temps, de compétences, de budget, d'équipe. 

Encore une fois, pour moi leur delire n'est pas un ideal, mais plutot un 
cauchemar qu'on risque de trouver de temps en temps/chez certains.

> Un de leurs derniers guides sur la passerelle internet sécurisée est 
> intéressant par exemple, même si tous les clients n'ont pas les moyens 
> d'avoir un Stormshield en périphérie et un palo en seconde ligne, et 
> que souvent, avoir un UTM type Sophos, c'est déjà bien.

Mais bien-sur. Confirmation a ce que j'ecrivais plus haut.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Adrien Rivas]

Je suis pas certain, déjà ils prennent leur rôle au sérieux et le
remplissent correctement.

Après, pour le délire sécuritaire, ils fournissent un idéal à atteindre, et
à toi de t'en approcher selon tes besoins / contraintes de temps, de
compétences, de budget, d'équipe.

Un de leurs derniers guides sur la passerelle internet sécurisée est
intéressant par exemple, même si tous les clients n'ont pas les moyens
d'avoir un Stormshield en périphérie et un palo en seconde ligne, et que
souvent, avoir un UTM type Sophos, c'est déjà bien.

Le mar. 2 févr. 2021 à 07:42, Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net> a écrit :

> On Mon, Feb 1, 2021, at 09:51, Oliver varenne wrote:
> > Pourquoi ?
> > Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi.
>
> Oui, ils le sont.
> C'est juste qu'en tant qu'Agence de "securite" (nationale en plus), il
> leur arrive d'aller trop loin (au moins a mon gout) dans certains de leurs
> delires securitaires. Au moins dans les discussions informelles.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Mon, Feb 1, 2021, at 15:57, Daniel Caillibaud wrote:
> Ce que je disais c'est qu'il faudra probablement assez longtemps avant que
> l'IPv4 ne fonctionne plus, et donc en tant que fournisseur de contenus je

Avant que l'IPv4 ne fonctionne *plus*, on commence par "il fonctionne *mal* (de 
plus en plus mal)".


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Mon, Feb 1, 2021, at 12:53, JCLB wrote:
> DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones 
> récents chez les opérateurs en dehors de Free.

Free compris. Normalement SFR aussi, mais je ne sais pas comment ca se passe 
la-bas.
Chez Free et chez Orange c'est la variete 464XLAT, et je ne vois pas de raison 
pour avoir autre chose chez les autres (B et S).

Les MVNO on les laisse de cote, ils n'ont pas les memes obligations, et ca 
depend fortement de ce qu'ils ont signe avec leurs HNO.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Mon, Feb 1, 2021, at 09:51, Oliver varenne wrote:
> Pourquoi ?
> Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi.

Oui, ils le sont.
C'est juste qu'en tant qu'Agence de "securite" (nationale en plus), il leur 
arrive d'aller trop loin (au moins a mon gout) dans certains de leurs delires 
securitaires. Au moins dans les discussions informelles.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Daniel Caillibaud a écrit :
> Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui 
> devront passer par une translation v6-v4
> qui va devenir plus pénalisante qu'aujourd'hui (parce que des acteurs qui 
> peuvent l'imposer l'auront décidé),

Même ces acteurs-là ils ont mis de l'eau dans leur vin. On est en 2021, et chez 
plusieurs vendeurs connus, l'option "IPv4 only" est bien présente, et je parle 
de la version 2021 de leur produit. Attention appât à troll : j'ai des captures 
d'écran. Vendeurs, contenez vos trolls et vos bigots.

> et qu'on devra s'y mettre pour éviter de trop détériorer leur accès, mais 
> même ça je pense que c'est
> pas pour tout de suite, on a le temps de changer de génération d'infra 
> plusieurs fois avant.

Précisément la raison pour laquelle il est urgent d'attendre. Ce que tu as très 
bien compris.

> C'est exactement ça, j'en ai déjà pour 4~5ans à éponger la todolist que l'asso
> m'a filé (la durée s'allonge au fil des années), et IPv6 n'est pas dedans.

C'est exactement la même chose pour les entreprises. A part de très rares 
exceptions, il n'y a jamais assez de temps ou d'argent pour faire tout ce qu'on 
voudrait. Même quand on a du fric à dépenser; il y une todolist pareil.

Je me rappelle de plein de sociétés qu'on considérait faire partie du paysage : 
IBM, Ashton-Tate, Borland, Compaq, Gateway, Computer Associates, Symantec, 
Novell, AOL, Nortel/Bay Networks, CII Honeywell-Bull, Aldus, NEC...
Ils avaient pas la bonne todolist.

> Pas sûr: pour rappel, de par l'ARCEP, les opérateurs mobiles 5G ont 
> obligation de rendre leur réseau compatible ipv6 et ce depuis fin 2020

Compatible IPv6, ca veut dire que ping6 marche. A part la liste au dessus, il y 
en a une autre a propos des technologies poussées par les gouvernements qui ont 
lamentablement foiré : ADA, GOSIP, ISDN...
Je fais du copier/coller de ce que j'ai déjà écrit il y a 10 ans. Ce n'est pas 
parque que les gouvernements et autres régulateurs obligent quelque chose que 
çà marche.

> À sa décharge, il a jamais dit impossible, Michel explique régulièrement 
> qu'IPv6 lui apporte du boulot
> et des ennuis en plus sans lui apporter de contrepartie, et qu'il préfère 
> donc faire l'impasse dessus.

Ah, merci. Ce qui n'a pas toujours été le cas. Pour les plus jeunes, je faisais 
déjà IPv6 le millénaire d'avant. J'ai configuré IPv6 sur un Cisco 2500, j'étais 
sur le 6bone. J'ai enseigné IPv6 à l'université de Californie au début des 
années 2000. Avant qu'il ne nous quitte, j'étais en bon termes (on a bu des 
bons coups) avec le type qui a écrit la première pile IPv6 : Jim Bound. J'étais 
un des bigots.


> Stéphane Rivière a écrit :
> Disclaimer - Je ne perçois aucun émoluments, salaires ou honoraires de la 
> part de Michel qui, d'ailleurs,
> me doit le respect, avec ou sans Winchester - j'ai une petite longueur 
> d'avance à l'état civil :>

(*) Lire le disclaimer

Avec le plus grand respect pour ton âge avancé, ça ne fait pas tellement de 
temps que tu lis cette liste, et, comme tu n'es pas le seul, peut-être 
serait-il bon de revenir un peu en arrière. J'ai enterré IPX et Appletalk. Il y 
a environ 10 ans, quand j'ai commencé à dire publiquement que dual-stack 
n'était pas une solution, je me suis fait traité de tous les noms, en 
particulier par les vendeurs de FUD et les bigots "IPv6 only dans 3 ans".

10 ans on passé. Le temps a passé et les archives travaillent pour moi. Ceux 
qui (particulièrement en entreprise), ont déployé IPv6 et se trainent le boulet 
dual-stack depuis 10 ans ont généralement pris une retraite prématurée ou se 
sont reconvertis. Ceux qui ne sont pas encore à la retraite ont généralement la 
bonne idée de ne pas se rappeler à mes mauvais souvenirs; c'est souvent mauvais 
pour leur carrière quand je ressors le FUD qu'ils ont produit. La station Mir 
n'est pas tombée sur Paris, l'Internet ne s'est pas arrêté.


Michel.

(*) Disclaimer : quand Stéphane et moi on arrête de s'étriper en public, les 
lecteurs/lectrices de la liste se plaignent qu'ils n'ont pas fini le popcorn.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

>> Denis Fondras a écrit :
>> Non, il faut absolument cesser de faire croire ca ! Combien 
>> d'"""administrateurs systeme""" se
>> reposent là-dessus pour ne pas faire le minimum de sécurité (pas de 
>> correctifs de vulnerabilité,
>> identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et 
>> ca couine...

> David Ponzone a écrit :
> Hé ho, il avait utilisé le joker guillemets.

NAT ça se contourne, mais au moins ça a l'avantage de forcer un pare-feu 
"diode" : tout qui sort, rien qui rentre.
Sans NAT avec la grande majorité des bouses "IOT" ça serait un carnage. Déjà 
qu'avec NAT c'est pas glop, heureusement que c'est pas à poil sur l'Internet.
NAT ou pas, slipstream ça expose aussi les machins qui sont derrière un 
pare-feu simple exactement de la même façon, pour la même raison : de la même 
façon que NAT stateful crée une association IP source / Port source / IP 
destination / Port destination, un pare-feu stateful fait la même chose sauf 
que l'adresse et le port ne changent pas.

S'il y a un ver à l'intérieur qui peut envoyer des paquets avec une IP qui est 
celle d'un poste qui n'est pas la sienne, dans bien des cas, un pare-feu ce 
n'est pas mieux que NAT.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[David Ponzone]

Hé ho, il avait utilisé le joker guillemets.


> Le 1 févr. 2021 à 20:21, Denis Fondras  a écrit :
> 
>> Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est 
>> quand même un avantage
> 
> Non, il faut absolument cesser de faire croire ca !
> Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne pas 
> faire
> le minimum de sécurité (pas de correctifs de vulnerabilité, identifiants par
> defaut, etc) ? Et un jour, NAT slipstream passe par là et ca couine...
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Denis Fondras]

> Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est 
> quand même un avantage

Non, il faut absolument cesser de faire croire ca !
Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne pas faire
le minimum de sécurité (pas de correctifs de vulnerabilité, identifiants par
defaut, etc) ? Et un jour, NAT slipstream passe par là et ca couine...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Nang Bat]

D'ailleurs ceci expliquant cela (le cout des mécanisme de NAT44 est pas
nécessairement élevé / user mais il est pas nul, donc tout ce que tu peux
passer en IPv6 te fais économiser un pouillème pour chaque subscribers) et
des gros opérateurs mobile y ont trouvé un intérêt au. Typiquement, Jio,
300Millions de subscribers en Inde, full IPv6 natif (y compris la VoLTE et
ca honnêtement j'aurai pas voulu être le premier à tester...)
https://conference.apnic.net/50/assets/files/APCS790/Harnessing-the-power-of-IPv6.pdf



Le lun. 1 févr. 2021 à 12:55, JCLB  a écrit :

> DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones récents
> chez les opérateurs en dehors de Free.
> Les utilisateurs subissent donc un NAT PAT stateful.
>
> Il faut toutefois relativiser, auparavant 100% de la data mobile subissait
> du NAT PAT 44.
> Aujourd'hui le trafic IPv6 natif sort en direct, et on peut supposer que
> 20 à 30% du trafic échappe donc à NAT64.
>
> Sur le fixe les mécanismes sont stateless avec des approches Adress+Port
> (4rd, MAP T/E,...)
>
> Au besoin la précédence des OS se configure si on a besoin de conserver la
> priorité IPv4 et d'outrepasser la RFC 6724.
> Voir ici pour Windows http://support.microsoft.com/kb/929852
> Et pour Linux GetAddressInfo /etc/gai.conf
>
> Attention, certaines applications comme les navigateurs implémentent leur
> propre priorisation de v6 sur v4, indépendante de la configuration du stack
> de l’OS. De plus l’implémentation du mécanisme Happy eyeballs 2 (RFC 8305)
> peut également varier. (Délai entre les requête DNS A et , temps
> d’attente du retour, délai de timeout du socket distant avec bascule…)
>
> Jean-Charles BISECCO
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Daniel Caillibaud
> Envoyé : lundi 1 février 2021 12:33
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
>
> Le 29/01/21 à 22h29, Laurent Barme <5...@barme.fr> a écrit :
> > Ce n'est par le client qui est en cause.
>
> Je parlais du client réseau, au sens client / serveur…
>
> > Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire,
> > demain j'anticipe que ce sera, parfois d'abord et toujours ensuite, la
> > seule disponible par défaut... et là, il faudra bien y passer.
>
> Je pense que ce sera peut-être après-demain, et je serai sûrement à la
> retraite avant ;-)
>
> Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui
> devront passer par une translation v6-v4 qui va devenir plus pénalisante
> qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront
> décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur
> accès, mais même ça je pense que c'est pas pour tout de suite, on a le
> temps de changer de génération d'infra plusieurs fois avant.
>
> --
> Daniel
>
> Si le temps vous semble long, prenez-le dans le sens de la largeur.
> Grégoire Lacroix
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 01/02/21 à 12h30, Daniel via frnog  a écrit :
> Pas sûr: pour rappel, de par l'ARCEP, les opérateurs mobiles 5G ont 
> obligation de rendre leur réseau compatible ipv6 et ce depuis fin 2020

Oui bien sûr, ça me paraît normal qu'un fournisseur de réseau (fixe ou
mobile) doive être compatible IPv6 en 2021.

Ce que je disais c'est qu'il faudra probablement assez longtemps avant que
l'IPv4 ne fonctionne plus, et donc en tant que fournisseur de contenus je
peux encore rester IPv4 only un moment.

Et peut-être qu'un jour, si la plupart des terminaux qui s'adressent à moi
tentent le le faire en v6 et que de passer par v4 les arrange pas, et que
l'on a envie d'être gentil avec eux, alors je me pencherai sur la question
de tout configurer en double.

-- 
Daniel

Tout a été dit ; mais comme personne n'écoute,
il faut toujours répéter.
André Gide


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Oliver varenne]

On en revient à: 

Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est quand 
même un avantage

Enfin, jusqu’à ce qu'un vilain pirate s'introduise dans le réseau du client... 
(arrivé deux fois en un mois, acces PPTP laissé ouvert par un prestataire, sans 
raison... bien sûr, une fois sur le LAN, tous les mots de passes des 
périphériques SIP sont "admin/admin")


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 





> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : lundi 1 février 2021 15:30
> À : Radu-Adrian Feurdean 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> 
> Tu prêches un convaincu.
> 
> J’aurais dû parler de la manière dont la sécurité d’IPv6 était perçue.
> Ici même, j’ai plusieurs fois lu qu’un préfixe IPv6 était trop grand pour
> être scanné.
> Moi j’y crois pas trop.
> Ça fait pourtant plusieurs siècles qu’il explose les limites qu’il se met à
> lui-même.
> Soit par la force, soit par l’intelligence.
> 
> 
> 
> > Le 31 janv. 2021 à 07:36, Radu-Adrian Feurdean  adrian.feurdean.net> a écrit :
> >
> > E, NON.
> > La securite de l'IPv6, comme celle de l'IPv4 repose sur le fait qu'il n'y a
> pas de de failles/trous/vulnerabilites . ce qui n'est pas exactement la
> situation dans la realite.
> > D'ailleurs la taille de l'espace d'adressage ne protege pas
> completement, ca fait juste augmenter (tres sensiblement) le niveau de
> motivation pour un attaque "au hasard". Si en IPv4 tout "skr1pt k1dd13"
> pouvait  se permettre de scanner l'internet, en v6 faut bien cibler (c'est
> meme essentiel) et avoir de la patience pour scanner un /64.
> >
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[David Ponzone]

Tu prêches un convaincu.

J’aurais dû parler de la manière dont la sécurité d’IPv6 était perçue.
Ici même, j’ai plusieurs fois lu qu’un préfixe IPv6 était trop grand pour être 
scanné.
Moi j’y crois pas trop.
Ça fait pourtant plusieurs siècles qu’il explose les limites qu’il se met à 
lui-même.
Soit par la force, soit par l’intelligence.



> Le 31 janv. 2021 à 07:36, Radu-Adrian Feurdean 
>  a écrit :
> 
> E, NON.
> La securite de l'IPv6, comme celle de l'IPv4 repose sur le fait qu'il n'y a 
> pas de de failles/trous/vulnerabilites . ce qui n'est pas exactement la 
> situation dans la realite. 
> D'ailleurs la taille de l'espace d'adressage ne protege pas completement, ca 
> fait juste augmenter (tres sensiblement) le niveau de motivation pour un 
> attaque "au hasard". Si en IPv4 tout "skr1pt k1dd13" pouvait  se permettre de 
> scanner l'internet, en v6 faut bien cibler (c'est meme essentiel) et avoir de 
> la patience pour scanner un /64.
> 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[JCLB]

DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones récents chez 
les opérateurs en dehors de Free.
Les utilisateurs subissent donc un NAT PAT stateful.

Il faut toutefois relativiser, auparavant 100% de la data mobile subissait du 
NAT PAT 44.
Aujourd'hui le trafic IPv6 natif sort en direct, et on peut supposer que 20 à 
30% du trafic échappe donc à NAT64.

Sur le fixe les mécanismes sont stateless avec des approches Adress+Port (4rd, 
MAP T/E,...)

Au besoin la précédence des OS se configure si on a besoin de conserver la 
priorité IPv4 et d'outrepasser la RFC 6724.
Voir ici pour Windows http://support.microsoft.com/kb/929852
Et pour Linux GetAddressInfo /etc/gai.conf

Attention, certaines applications comme les navigateurs implémentent leur 
propre priorisation de v6 sur v4, indépendante de la configuration du stack de 
l’OS. De plus l’implémentation du mécanisme Happy eyeballs 2 (RFC 8305) peut 
également varier. (Délai entre les requête DNS A et , temps d’attente du 
retour, délai de timeout du socket distant avec bascule…)

Jean-Charles BISECCO


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Daniel 
Caillibaud
Envoyé : lundi 1 février 2021 12:33
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

Le 29/01/21 à 22h29, Laurent Barme <5...@barme.fr> a écrit :
> Ce n'est par le client qui est en cause.

Je parlais du client réseau, au sens client / serveur…

> Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire, 
> demain j'anticipe que ce sera, parfois d'abord et toujours ensuite, la 
> seule disponible par défaut... et là, il faudra bien y passer.

Je pense que ce sera peut-être après-demain, et je serai sûrement à la retraite 
avant ;-)

Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui devront 
passer par une translation v6-v4 qui va devenir plus pénalisante qu'aujourd'hui 
(parce que des acteurs qui peuvent l'imposer l'auront décidé), et qu'on devra 
s'y mettre pour éviter de trop détériorer leur accès, mais même ça je pense que 
c'est pas pour tout de suite, on a le temps de changer de génération d'infra 
plusieurs fois avant.

--
Daniel

Si le temps vous semble long, prenez-le dans le sens de la largeur.
Grégoire Lacroix


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel via frnog]

Le 01/02/2021 à 11:33, Daniel Caillibaud a écrit :

[...]
Je pense que ce sera peut-être après-demain, et je serai sûrement à la
retraite avant ;-)

Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui
devront passer par une translation v6-v4 qui va devenir plus pénalisante
qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront
décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur
accès, mais même ça je pense que c'est pas pour tout de suite, on a le
temps de changer de génération d'infra plusieurs fois avant.
Pas sûr: pour rappel, de par l'ARCEP, les opérateurs mobiles 5G ont 
obligation de rendre leur réseau compatible ipv6 et ce depuis fin 2020


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 31/01/21 à  8h22, Stéphane Rivière  a écrit :
> > Rappelle-moi, c'est une asso (a.k.a "a but non-lucratif") ou une vraie
> > TPE déguisé en "asso" pour éviter quelques taxes ?  
> 
> L'idée qu'être en asso va t'éviter des taxes est une idée reçue. La
> plupart des assos (ce n'est pas obligatoire) ne récupèrent pas la TVA.
> Ce qu'il fait qu'elles sont pénalisées de 20% sur leurs investissements.
> 
> Et elles peuvent être contrôlées comme les sociétés et payent leurs
> charges sociales, impôts et autres comme les entreprises.

Ça dépend des assos.
Même une asso 1901 peut avoir des activités lucratives, qui du coup sont
imposées.

Si c'est non-lucratif (avec gestion désintéressée et qq autres
contraintes), alors tu peux quand même vendre des trucs et ne pas avoir
d'IS, et tu n'es pas assujetti à la TVA (y'a un plafond). Effectivement tu
peux pas la récupérer sur les achats mais t'as pas à la payer sur les
ventes et ça simplifie tellement la compta que c'est quand même tout bénéf
(et si tu veux récupérer la TVA alors tu demande à changer de case et tu
paies IS & TVA).

Ensuite, y'a "intérêt général" et "utilité publique", ça change certaines
règles fiscales (notamment la déduction de 60% de leurs impôts pour tes
donateurs).

Dans tous les cas les charges salariales sont évidemment exactement les
mêmes que pour n'importe quel employeur, heureusement pour les salariés (y'a
que les trucs genre UNESCO qui sont exemptées de cotisations salariales, et
je crois aussi de qq règles du droit du travail… comme le renouvellement
des CDD).

> > En tant qu'association tu devras etre dans une des meilleures positions
> > pour faire des experiments de ce type.  
> 
> Les assos sont comme les entreprises : manque de temps et de moyens.
> Elles ne sont pas en meilleure position, qu'il y ait des bénévoles ou
> pas. C'est la mission première de l'asso qui va déterminer les priorités.
> 
> Dans le cas de Daniel, sans m'avancer mais connaissant un peu
> l'activité, la priorité de son asso n'est probablement pas
> d'expérimenter ipv6 ;>

C'est exactement ça, j'en ai déjà pour 4~5ans à éponger la todolist que
l'asso m'a filé (la durée s'allonge au fil des années), et IPv6 n'est pas
dedans.

Pour les curieux l'asso en question est https://www.sesamath.net/

-- 
Daniel

Il est parfaitement monstrueux de s'apercevoir que les gens disent
dans notre dos des choses qui sont absolument et entièrement vraies.
Oscar Wilde


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Erwan David]

Le 01/02/2021 à 11:33, Daniel Caillibaud a écrit :
>
> Je pense que ce sera peut-être après-demain, et je serai sûrement à la
> retraite avant ;-)
>
> Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui
> devront passer par une translation v6-v4 qui va devenir plus pénalisante
> qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront
> décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur
> accès, mais même ça je pense que c'est pas pour tout de suite, on a le
> temps de changer de génération d'infra plusieurs fois avant.
>
J'ai bossé chez un fabricant de box de 2010 à 2017. Et il fallait des
réseaux IPv6 only pour certains clients cablo-opérateurs qui voulaient
valider les box dans ce contexte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 29/01/21 à 22h29, Laurent Barme <5...@barme.fr> a écrit :
> Ce n'est par le client qui est en cause.

Je parlais du client réseau, au sens client / serveur…

> Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire, demain 
> j'anticipe que ce sera, parfois d'abord et toujours ensuite, la seule
> disponible par défaut... et là, il faudra bien y passer.

Je pense que ce sera peut-être après-demain, et je serai sûrement à la
retraite avant ;-)

Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui
devront passer par une translation v6-v4 qui va devenir plus pénalisante
qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront
décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur
accès, mais même ça je pense que c'est pas pour tout de suite, on a le
temps de changer de génération d'infra plusieurs fois avant.

-- 
Daniel

Si le temps vous semble long, prenez-le dans le sens de la largeur.
Grégoire Lacroix


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Oliver varenne]

Pourquoi ?
Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi.
Seul bémol: c'est long. Mais bon... l'administration à la française quoi !

Mais y'a pire: faire un dossier de bien à double usage avec le SDBU


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 





> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Radu-Adrian Feurdean
> Envoyé : dimanche 31 janvier 2021 07:12
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> 
> On Fri, Jan 29, 2021, at 17:10, Cyrille JERABEK wrote:
> 
> > Une question un peu générale, excusez-moi si elle est trop basique
> > et/ou vaste et/ou mal posée :
> > comment on fait pour scanner les adresses exposées indûment en IPV6
> et
> > les ports ouverts illicitement ?
> 
> Faut demander a l'ANSSI. Par contre prepare le pop-corn pour les
> reponses.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> J'ai dépassé la quarantaine il y a un moment. Toujours est-il que je
> n'expose pas à longueur de journée ma haine pour 99% de la planète. Tout
> le monde ne peut pas être aussi génial que toi mais un peu d'empathie
> pour les autres te ferait pas de mal.

Si le CDCS est génial, c'est dans sa râlerie profonde et très française.

Je ne vois pas de haine dans ses envolées en mode Bacri (rip) ou ses
ventilations dispersantes (façon puzzle). Parfois, il se goure de cible
et se fait (justement) exclure un moment.

Sans ce poil à gratter, FRnOG perdrait de sa superbe mais également
quelques occasions de discussions endiablées.

En tout cas, j'apprends beaucoup ici et c'est toujours un plaisir de
lire des choses qui n'était comprises qu'à 10% et que je comprends
désormais à moitié (sic).

Vivement que je passe (non je plaisante, j'ai pas le temps) à ipv6, où
je ne manquerais pas de demander des conseils ici pour notre migration
(que l'on fera avec le sourire). Comme on dit, il faut vivre avec son temps.

Disclaimer - Je ne perçois aucun émoluments, salaires ou honoraires de
la part de Michel qui, d'ailleurs, me doit le respect, avec ou sans
Winchester - j'ai une petite longueur d'avance à l'état civil :>

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> Rappelle-moi, c'est une asso (a.k.a "a but non-lucratif") ou une vraie TPE 
> déguisé en "asso" pour éviter quelques taxes ?

L'idée qu'être en asso va t'éviter des taxes est une idée reçue. La
plupart des assos (ce n'est pas obligatoire) ne récupèrent pas la TVA.
Ce qu'il fait qu'elles sont pénalisées de 20% sur leurs investissements.

Et elles peuvent être contrôlées comme les sociétés et payent leurs
charges sociales, impôts et autres comme les entreprises.

> En tant qu'association tu devras etre dans une des meilleures positions pour 
> faire des experiments de ce type.

Les assos sont comme les entreprises : manque de temps et de moyens.
Elles ne sont pas en meilleure position, qu'il y ait des bénévoles ou
pas. C'est la mission première de l'asso qui va déterminer les priorités.

Dans le cas de Daniel, sans m'avancer mais connaissant un peu
l'activité, la priorité de son asso n'est probablement pas
d'expérimenter ipv6 ;>

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Fri, Jan 29, 2021, at 18:59, David Ponzone wrote:
> 
> > Pour avoir la liste des port "ouverts" il faut juste essayer, 
> > méthodiquement pour chaque port possible, d'utiliser le service qui est 
> > censé lui être associé. Il y a des outils (scanners) pour cela mais je n'ai 
> > pas d'expérience de leur utilisation.
> 
> En IPv6, on remarquera que le processus va prendre un certain temps 
> pour scanner même un « pauvre » /64 :)
> C’est d’ailleurs sur cette complexité que la sécurité d’IPv6 repose.

E, NON.
La securite de l'IPv6, comme celle de l'IPv4 repose sur le fait qu'il n'y a pas 
de de failles/trous/vulnerabilites . ce qui n'est pas exactement la 
situation dans la realite. 
D'ailleurs la taille de l'espace d'adressage ne protege pas completement, ca 
fait juste augmenter (tres sensiblement) le niveau de motivation pour un 
attaque "au hasard". Si en IPv4 tout "skr1pt k1dd13" pouvait  se permettre de 
scanner l'internet, en v6 faut bien cibler (c'est meme essentiel) et avoir de 
la patience pour scanner un /64.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Fri, Jan 29, 2021, at 17:51, Daniel Caillibaud wrote:
> pour une asso, 
...
> absolument pas rentable pour

Rappelle-moi, c'est une asso (a.k.a "a but non-lucratif") ou une vraie TPE 
déguisé en "asso" pour éviter quelques taxes ?

En tant qu'association tu devras etre dans une des meilleures positions pour 
faire des experiments de ce type.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Fri, Jan 29, 2021, at 17:10, Cyrille JERABEK wrote:

> Une question un peu générale, excusez-moi si elle est trop basique et/ou
> vaste et/ou mal posée :
> comment on fait pour scanner les adresses exposées indûment en IPV6 et les
> ports ouverts illicitement ?

Faut demander a l'ANSSI. Par contre prepare le pop-corn pour les reponses.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Daniel Caillibaud a écrit :
> Je suis dans le cas de Stéphane (quelques serveurs pour une asso, ça revient 
> à une
> TPE), pour le moment je vis très bien sans IPv6. [..] Pour le moment, 
> maintenir un
> infra v6 à coté de l'infra v4 est absolument pas rentable pour nous (ça coûte 
> sans
> rien rapporter, et ça ajoute du risque car je maîtrise pas assez le sujet, 
> risque
> de sécu ou simplement une anomalie qui resterait inaperçue), donc on reste v4 
> only.

Analyse classique, pareil ici. Du coté plus gros (plusieurs centaines de sites 
dans 6 fuseaux horaires) c'est la même analyse, sauf qu'on a un peu plus de 
moyens et qu'on désactive IPv6 partout, pour éviter la mésaventure de Laurent, 
plus bas.

Disable-NetAdapterBinding -name "*" -ComponentID ms_tcpip6

Ca réduit considérablement les anomalies inaperçues et les risques.

> Ça changera probablement le jour où les IPv4 vont vraiment devenir
> chères, avec des hébergeurs qui vont se mettre à le proposer en
> option hors de prix, ce jour là faudra migrer ou casser sa tirelire.

C'est le FUD qu'on nous raconte depuis 20 ans. "Il y a plus d'IP, ça va être la 
catastrophe".
Et en même temps "Dans 2 ans IPv6 sera déployé et plus personne n'utilisera 
IPv4". J'attends toujours.

Le prix des IP est à la hausse, ceci dit; faut allonger $25 en petite quantité, 
mais ça ne reste qu'une fraction minime comparé à la totalité de l'infra. Ca 
fait plusieurs années que je regarde le marché, toujours aucun signe de 
spéculation virulente. Des IPv4, il y en a plein en réserve dans les greniers 
de plein de gens.

C'est combien le mètre carré à Paris ? plus de 1 €. Est-ce que l'immobilier 
Parisien s'en porte mal ? non. Est-ce Paris a été déserté à cause des prix ? 
Non. Et comme, totalement par chance, la station Mir ne s'est pas écrasée 
pendant l'éclipse, Paris est toujours là. Pareil que l'Internet IPv4-only.

Pose toi la question suivante : pour ton asso, qui possiblement n'est pas 
riche, est-ce que tu paierais 25€ (une fois) pour avoir une IPv4 a toi ?
Je devine que oui, si tu as quelques serveurs 25€ ce n'est pas grand-chose.
Combien tu serais prêt à payer, par IPv4 ? Quelques serveurs, quelques IP, ton 
asso ne pourrait pas sortir quelques centaines d'euros ?
Tu es trop petit, mais quelques milliers d'euros pour une société un peu plus 
importante en région parisienne, c'est des cacahouètes.

A combien il faut qu'elle monte, l'IPv4, pour que çà équilibre le coût de faire 
du dual-stack pendant des années ?


> Laurent Barme a écrit :
> Lorsque mon client a créé son sous-domaine, IONOS lui a automatiquement 
> attribué,
> à son insu, une adresse IPv6 pointant sur l'hébergement mutualisé de son 
> domaine
> principal. Et comme il a par ailleurs activé, sur sa "Box", l'IPv6 de sa 
> connexion
> à internet, son DNS, privilégiant l'IPv6 disponible, se trompait de serveur...

Et qui c'est qui a gaspillé son temps à comprendre pourquoi ? Toi. Tu as perdu 
le temps nécessaire à comprendre le problème, et si tu ne peux pas le résoudre 
en enlevant le  qui en est à l'origine tu vas te trainer le boulet du 
dual-stack. Ça te plait, le travail gratuit inventé par quelqu'un d'autre ? 
Parce que c'est juste ce que tu viens de faire. Bienvenue au club, moi ça fait 
un petit moment que je me farcis ce genre de chose.

> Je crains que l'on soit obligé de passer à l'IPv6 assez rapidement, bon gré 
> mal gré.

Pas si ton business est sérieux. L'hébergement mutualisé presque gratuit, ça 
sert un segment du marché, tout comme Claude Michu qui est derrière CG-NAT; 
ceci dit, de l'hébergement/colo de qualité çà existe, y compris en France, et 
pour pas tellement plus cher. La réalité économique c'est que la masse de 
l'écosystème IPv4-only est bien plus importante que l'IPv6-only ou le 
dual-stack, la masse critique est stable : ce n'est pas parce que IPv6 augmente 
que IPv4 décline; dual-stack ça n'enlève pas IPv4. Si IPv4 était sur le déclin, 
le prix des IPv4 ne serait pas à la hausse.


Michel.

> Daniel Caillibaud a écrit :
> Pour qu'il y ait le moins de mécontents possible il faut toujours taper sur 
> les mêmes.
> devise Shadok

:-D


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Laurent Barme]

Le 29/01/2021 à 19:17, Daniel Caillibaud a écrit :

Le 29/01/21 à 18:11, Laurent Barme <5...@barme.fr> a écrit :

Ou alors le jour où y'aura des client en v6 only, que la translation vers v4 
sera vraiment
pénalisante pour eux, et qu'on décidera de s'intéresser à leur sort.

D'après ce que je viens de subir, je pense que c'est ce qui commence à poindre
et, en plus, indépendamment de la volonté de de nos clients.

Pas vraiment, ici tu as un client qui fait une requête , a une réponse et 
l'utilise.



Ce n'est par le client qui est en cause.

Ici ce serait plutôt un ensemble de facteurs indépendant de la volonté du 
client :
- l'attribution non demandée d'une  arbitraire lors de la création d'un 
sous-domaine,
- la disponibilité par défaut d'une double adresse IPv4 et IPv6 au niveau d'une 
connexion ADSL,

- la préférence donnée à l'IPv6 par le DNS du client.

Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire, demain 
j'anticipe que ce sera, parfois d'abord et toujours ensuite, la seule disponible 
par défaut... et là, il faudra bien y passer.


Note que je vois un avantages à l'IPv6 : si j'ai bien compris, on pourra savoir, 
pour chaque requête faite sur un serveur quelle est précisément le poste (et 
donc l'utilisateur) qui l'a faite. C'est peut-être pour ça qu'il y a si peu 
d'attaque en IPv6 ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[JCLB]

Bien sûr, je cite celui qui est probablement le plus répandu.
Mais le stateful n'en est pas pour autant nécessaire.

Ce qui obligatoire c'est soit d'avoir un mécanisme de traversée de NAT comme il 
en existe sur les applications grands public.
Ou en entreprise d'utiliser des Application Layer Gateway (ALG) qui truandent 
le payload à la volée à la condition qu'il ne soit pas chiffré.

Le stateful ou stateless ne joue que sur la consommation d'adresse VS le besoin 
de maintenir une table de session.

Quand 2 sociétés A et B exploitent le même plan d'adressage interne et que A 
doit accéder à des serveurs de B il est facile de faire du stateful comme ça on 
ne se pose plus de question. On peut aussi "publier" les serveurs de B avec des 
IP du plan de A, du masquerading statique.

Dans les 2 cas si le trafic est du SIP il faudra une ALG.

On a l'habitude du stateful en raison de l'accès à internet où on est limité en 
nombre d'IPv4 publiques.

L'ALG reste indépendante de ce choix.

Jean-Charles BISECCO

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Erwan David
Envoyé : vendredi 29 janvier 2021 20:10
À : frnog@frnog.org
Objet : Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous 
racontent

Le 29/01/2021 à 18:22, JCLB a écrit :
> Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en 
> interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment 
> de problème.


Y'a pas que SIP comme protocole qui met des adresses dans la payload :
rsh, ftp, h323 par exemple...

Et tous ces protocoles demanderont que la traduction soit stateful


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Remi Desgrange]

Stéphane Bortzmeyer en a parlé sur son blog. J'ai la flemme de chercher
mais ça a été documenté :-).

On Fri, Jan 29, 2021 at 7:00 PM David Ponzone 
wrote:

>
> > Pour avoir la liste des port "ouverts" il faut juste essayer,
> méthodiquement pour chaque port possible, d'utiliser le service qui est
> censé lui être associé. Il y a des outils (scanners) pour cela mais je n'ai
> pas d'expérience de leur utilisation.
>
> En IPv6, on remarquera que le processus va prendre un certain temps pour
> scanner même un « pauvre » /64 :)
> C’est d’ailleurs sur cette complexité que la sécurité d’IPv6 repose.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement, Rémi Desgrange

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 29/01/21 à 18:11, Laurent Barme <5...@barme.fr> a écrit :
> > Ou alors le jour où y'aura des client en v6 only, que la translation vers 
> > v4 sera vraiment
> > pénalisante pour eux, et qu'on décidera de s'intéresser à leur sort.  

> D'après ce que je viens de subir, je pense que c'est ce qui commence à 
> poindre 
> et, en plus, indépendamment de la volonté de de nos clients.

Pas vraiment, ici tu as un client qui fait une requête , a une réponse et 
l'utilise.

S'il n'avait pas eu de réponse il aurait cherché A, eu une réponse et aurait pu 
l'utiliser.

Le seul inconvénient est que ça fait 2 requête DNS pour les client "v6 first" 
vers les serveurs
"v4 only", mais ça reste anecdotique.

-- 
Daniel

Les avions sont des jouets sans aucune valeur militaire.
Maréchal Foch (1911)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Vincent Bernat]

 ❦ 29 janvier 2021 07:23 GMT, Michel Py:

> Ca n'a pas marché avec moi. La différence entre jeune et con et vieux
> et con : le vieux et con essaie d'expliquer au jeune et con de ne pas
> faire les mêmes conneries.
[...]

J'ai dépassé la quarantaine il y a un moment. Toujours est-il que je
n'expose pas à longueur de journée ma haine pour 99% de la planète. Tout
le monde ne peut pas être aussi génial que toi mais un peu d'empathie
pour les autres te ferait pas de mal.
-- 
Must I hold a candle to my shames?
-- William Shakespeare, "The Merchant of Venice"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Erwan David]

Le 29/01/2021 à 18:22, JCLB a écrit :
> Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en 
> interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment 
> de problème.


Y'a pas que SIP comme protocole qui met des adresses dans la payload :
rsh, ftp, h323 par exemple...

Et tous ces protocoles demanderont que la traduction soit stateful


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[David Ponzone]

> Pour avoir la liste des port "ouverts" il faut juste essayer, méthodiquement 
> pour chaque port possible, d'utiliser le service qui est censé lui être 
> associé. Il y a des outils (scanners) pour cela mais je n'ai pas d'expérience 
> de leur utilisation.

En IPv6, on remarquera que le processus va prendre un certain temps pour 
scanner même un « pauvre » /64 :)
C’est d’ailleurs sur cette complexité que la sécurité d’IPv6 repose.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Laurent Barme]

Le 29/01/2021 à 17:10, Cyrille JERABEK a écrit :

Bonjour,

Je voudrais attirer votre attention sur le tropisme franco/européen
concernant IPV6.
Je peux vous dire qu'en Asie-Pacifique ils sont hyper moteurs et convaincus
(et pour cause ils n'ont quasiment plus d'adresses IP V4 dispos).
Et bien, à voir les quelques milliers d'adresses IPv4 de pirates qui attaquent 
mes serveurs (pourtant sans grand intérêt), on pourrait en retrouver des 
adresses IPv4 disponibles pour un meilleur usage...

(cf : https://www.apnic.net/)

Une question un peu générale, excusez-moi si elle est trop basique et/ou
vaste et/ou mal posée :
comment on fait pour scanner les adresses exposées (--indûment--) en IPV6

Avec la commande dig  

  et les
ports ouverts illicitement ?

Techniquement, la notion "d'ouvert illicitement" pour un port serait 
inappropriée.

On a, ou pas, un service activé et accessible par un port.

Si l'accès au port est bloqué ou restreint (règle iptables ou firewall-cmd par 
exemples), à la rigueur on peur considérer que le port est "fermé".
Sinon, si il n'y a aucun service associé à ce port, il est juste inutilisé, peut 
importe qu'il soit bloqué ou non.
Un port "ouvert" serait alors un port associé à un service et accessible sans 
restriction mais ouvert "illicitement", je ne vois pas à quoi cela correspondrait.


Pour avoir la liste des port "ouverts" il faut juste essayer, méthodiquement 
pour chaque port possible, d'utiliser le service qui est censé lui être associé. 
Il y a des outils (scanners) pour cela mais je n'ai pas d'expérience de leur 
utilisation.


Bien cordialement,
Cyrille
06 72 76 59 27



Garanti
sans virus. www.avast.com

<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Le ven. 29 janv. 2021 à 17:01, Laurent Barme <5...@barme.fr> a écrit :


Le 29/01/2021 à 15:53, Stéphane Rivière a écrit :
...

je vais mettre 20 ans à virer ipv4, mais c'est une autre histoire.

...

Il est probable que tu sois plus rapide que cela.

Retour d'expérience tout fraîche (d'hier).

Je livre à un nouveau client une application spécifique installée sur un
nouveau
serveur acquis la veille pour cela. Ce serveur est par défaut configuré en
IPv4.
Le site est équipé d'un certificat SSL tout neuf valable un an pour le
sous
domaine créé spécifiquement pour l'application.

Mais mon client me rapporte le message d'erreur : "En suivant le lien
j’obtiens
le message « …Safari ne peut pas établir une connexion sécurisée au
serveur … » .".

Et pourtant, je n'observe sur son serveur aucune trace de connexion de sa
tentative d'accès à son application alors qu'il utilise bien le lien https
que
je lui ai fourni (et qui fonctionne bien évidemment pour moi, y compris
avec
Safari) !

L'explication ? L'origine du problème était relativement loin de ce que
laissait
croire le message d'erreur.

Lorsque mon client a créé son sous-domaine, IONOS lui a automatiquement
attribué, à son insu, une adresse IPv6 pointant sur l'hébergement
mutualisé de
son domaine principal. Et comme il a par ailleurs activé, sur sa "Box",
l'IPv6
de sa connexion à internet, son DNS, privilégiant l'IPv6 disponible, se
trompait
de serveur...

Je crains que l'on soit obligé de passer à l'IPv6 assez rapidement, bon
gré mal gré.





---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[JCLB]

La Translation de préfixe ne change que les 1ers bits de l'adresse.
Le port ne change pas et c'est stateless, quand même autre chose que le NAT44 
IPv4

1er cas d'usage
Imaginons une PME, elle se donne un adressage privé IPv6 (équivalent RFC 1918 
IPv4 car elle est trop petite pour demander ses IP au RIPE et faire du BGP, de 
plus elle ne veut pas dépendre du /48 que lui fourni son FAI et tout distribuer 
à coup de DHCPv6-Prefix Delegation car elle veut avoir des assets en fixe.

Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en 
interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment de 
problème.

2e cas d'usage
La multinationale "Bob a family company" déploie une solution campus 
permettant la sortie vers internet local pour des applications SaaS comme 
Office 365 sans repasser par le datacenter.
La société annonce en BGP un /32 IPv6 depuis ses datacenter.
Ses campus disposent tous d'un accès MPLS vers les DC et d'un accès internet 
local pro.
L'accès internet de chaque campus dispose d'un /48 qui appartient à l'opérateur.

Si un client du campus joint un site web "non sûr" il traverse le MPLS puis le 
proxy datacenter et sort via une IP appartenant à Bob
Si le client se connecte à MS Teams ou autre SaaS, son IP publique interne se 
fait NAT PT vers celle de l'opérateur local du site. Il sort donc avec une 
autre IP publique mais qui est directement routée depuis le site.

Jean-Charles BISECCO

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Stéphane 
Rivière Envoyé : vendredi 29 janvier 2021 18:13 À : frnog@frnog.org Objet : Re: 
[FRnOG] [MISC] Les âneries que les vendeurs nous racontent

>> Mais cette magie existe déjà (rfc6296) et le pire c'est que c'est
> probablement le genre de bazar qui risque d'être utilisé justement 
> dans la catégorie que tu cible :)

Parcouru https://tools.ietf.org/html/rfc6296

D'ailleurs ils appellent ça NPTv6 histoire de pas le nommer NATv6 :)

Selon https://tools.ietf.org/html/rfc6296#section-5 on dirait même que c'est à 
ne pas utiliser sans pince-nez pour l'odeur. Ça semble aller à l'envers de 
l'esprit ipv6 mais je suis un basique en réseau donc je dois pas comprendre 
l'intérêt d'un tel bidule.

Déjà qu'on a réussi à éviter le NAT sur notre infra ipv4 multi-DC, pas question 
que d'en avoir en ipv6.

--
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Laurent Barme]

Le 29/01/2021 à 17:51, Daniel Caillibaud a écrit :

Le 29/01/21 à 16:59, Laurent Barme <5...@barme.fr> a écrit :

Lorsque mon client a créé son sous-domaine, IONOS lui a automatiquement
attribué, à son insu, une adresse IPv6 pointant sur l'hébergement mutualisé de
son domaine principal.

Donc si tu gères tes dns tu peux encore vivre sans IPv6, suffit de pas créer 
d'entrée 

C'est tout à fait ça.



Je suis dans le cas de Stéphane (quelques serveurs pour une asso, ça revient à 
une TPE), pour le
moment je vis très bien sans IPv6.

Ça changera probablement le jour où les IPv4 vont vraiment devenir chères, avec 
des hébergeurs
qui vont se mettre à le proposer en option hors de prix, ce jour là faudra 
migrer ou casser sa
tirelire.

Ou alors le jour où y'aura des client en v6 only, que la translation vers v4 
sera vraiment
pénalisante pour eux, et qu'on décidera de s'intéresser à leur sort.
D'après ce que je viens de subir, je pense que c'est ce qui commence à poindre 
et, en plus, indépendamment de la volonté de de nos clients.



Pour le moment, maintenir un infra v6 à coté de l'infra v4 est absolument pas 
rentable pour
nous (ça coûte sans rien rapporter, et ça ajoute du risque car je maîtrise pas 
assez le
sujet, risque de sécu ou simplement une anomalie qui resterait inaperçue), donc 
on reste v4
only.

Et ça risque de durer…

On en reviens à Thomas Kuhn, pour qu'une (r)évolution s'impose faut qu'elle 
propose une sacrée
amélioration, sans détérioration et à "pas trop cher", si c'est juste un peu 
mieux avec pas mal
d'effort d'adaptation, elle n'est pas adoptée…

On peut appeler ça de la résistance au changement, des gaulois réfractaires, ou 
du
pragmatisme :-D




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 29/01/21 à 16:59, Laurent Barme <5...@barme.fr> a écrit :
> Lorsque mon client a créé son sous-domaine, IONOS lui a automatiquement 
> attribué, à son insu, une adresse IPv6 pointant sur l'hébergement mutualisé 
> de 
> son domaine principal.

Donc si tu gères tes dns tu peux encore vivre sans IPv6, suffit de pas créer 
d'entrée 

Je suis dans le cas de Stéphane (quelques serveurs pour une asso, ça revient à 
une TPE), pour le
moment je vis très bien sans IPv6.

Ça changera probablement le jour où les IPv4 vont vraiment devenir chères, avec 
des hébergeurs
qui vont se mettre à le proposer en option hors de prix, ce jour là faudra 
migrer ou casser sa
tirelire.

Ou alors le jour où y'aura des client en v6 only, que la translation vers v4 
sera vraiment
pénalisante pour eux, et qu'on décidera de s'intéresser à leur sort.

Pour le moment, maintenir un infra v6 à coté de l'infra v4 est absolument pas 
rentable pour
nous (ça coûte sans rien rapporter, et ça ajoute du risque car je maîtrise pas 
assez le
sujet, risque de sécu ou simplement une anomalie qui resterait inaperçue), donc 
on reste v4
only. 

Et ça risque de durer…

On en reviens à Thomas Kuhn, pour qu'une (r)évolution s'impose faut qu'elle 
propose une sacrée
amélioration, sans détérioration et à "pas trop cher", si c'est juste un peu 
mieux avec pas mal
d'effort d'adaptation, elle n'est pas adoptée…

On peut appeler ça de la résistance au changement, des gaulois réfractaires, ou 
du
pragmatisme :-D

-- 
Daniel

Pour qu'il y ait le moins de mécontents possible il faut toujours taper sur
les mêmes.
devise Shadok 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

>> Mais cette magie existe déjà (rfc6296) et le pire c'est que c'est
> probablement le genre de bazar qui risque d'être utilisé justement dans la
> catégorie que tu cible :)

Parcouru https://tools.ietf.org/html/rfc6296

D'ailleurs ils appellent ça NPTv6 histoire de pas le nommer NATv6 :)

Selon https://tools.ietf.org/html/rfc6296#section-5 on dirait même que
c'est à ne pas utiliser sans pince-nez pour l'odeur. Ça semble aller à
l'envers de l'esprit ipv6 mais je suis un basique en réseau donc je dois
pas comprendre l'intérêt d'un tel bidule.

Déjà qu'on a réussi à éviter le NAT sur notre infra ipv4 multi-DC, pas
question que d'en avoir en ipv6.

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Cyrille JERABEK]

Bonjour,

Je voudrais attirer votre attention sur le tropisme franco/européen
concernant IPV6.
Je peux vous dire qu'en Asie-Pacifique ils sont hyper moteurs et convaincus
(et pour cause ils n'ont quasiment plus d'adresses IP V4 dispos).
(cf : https://www.apnic.net/)

Une question un peu générale, excusez-moi si elle est trop basique et/ou
vaste et/ou mal posée :
comment on fait pour scanner les adresses exposées indûment en IPV6 et les
ports ouverts illicitement ?

Bien cordialement,
Cyrille
06 72 76 59 27



Garanti
sans virus. www.avast.com

<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Le ven. 29 janv. 2021 à 17:01, Laurent Barme <5...@barme.fr> a écrit :

>
> Le 29/01/2021 à 15:53, Stéphane Rivière a écrit :
> ...
> > je vais mettre 20 ans à virer ipv4, mais c'est une autre histoire.
> ...
>
> Il est probable que tu sois plus rapide que cela.
>
> Retour d'expérience tout fraîche (d'hier).
>
> Je livre à un nouveau client une application spécifique installée sur un
> nouveau
> serveur acquis la veille pour cela. Ce serveur est par défaut configuré en
> IPv4.
> Le site est équipé d'un certificat SSL tout neuf valable un an pour le
> sous
> domaine créé spécifiquement pour l'application.
>
> Mais mon client me rapporte le message d'erreur : "En suivant le lien
> j’obtiens
> le message « …Safari ne peut pas établir une connexion sécurisée au
> serveur … » .".
>
> Et pourtant, je n'observe sur son serveur aucune trace de connexion de sa
> tentative d'accès à son application alors qu'il utilise bien le lien https
> que
> je lui ai fourni (et qui fonctionne bien évidemment pour moi, y compris
> avec
> Safari) !
>
> L'explication ? L'origine du problème était relativement loin de ce que
> laissait
> croire le message d'erreur.
>
> Lorsque mon client a créé son sous-domaine, IONOS lui a automatiquement
> attribué, à son insu, une adresse IPv6 pointant sur l'hébergement
> mutualisé de
> son domaine principal. Et comme il a par ailleurs activé, sur sa "Box",
> l'IPv6
> de sa connexion à internet, son DNS, privilégiant l'IPv6 disponible, se
> trompait
> de serveur...
>
> Je crains que l'on soit obligé de passer à l'IPv6 assez rapidement, bon
> gré mal gré.
>
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Laurent Barme]

Le 29/01/2021 à 15:53, Stéphane Rivière a écrit :
...

je vais mettre 20 ans à virer ipv4, mais c'est une autre histoire.

...

Il est probable que tu sois plus rapide que cela.

Retour d'expérience tout fraîche (d'hier).

Je livre à un nouveau client une application spécifique installée sur un nouveau 
serveur acquis la veille pour cela. Ce serveur est par défaut configuré en IPv4. 
Le site est équipé d'un certificat SSL tout neuf valable un an pour le sous 
domaine créé spécifiquement pour l'application.


Mais mon client me rapporte le message d'erreur : "En suivant le lien j’obtiens 
le message « …Safari ne peut pas établir une connexion sécurisée au serveur … » .".


Et pourtant, je n'observe sur son serveur aucune trace de connexion de sa 
tentative d'accès à son application alors qu'il utilise bien le lien https que 
je lui ai fourni (et qui fonctionne bien évidemment pour moi, y compris avec 
Safari) !


L'explication ? L'origine du problème était relativement loin de ce que laissait 
croire le message d'erreur.


Lorsque mon client a créé son sous-domaine, IONOS lui a automatiquement 
attribué, à son insu, une adresse IPv6 pointant sur l'hébergement mutualisé de 
son domaine principal. Et comme il a par ailleurs activé, sur sa "Box", l'IPv6 
de sa connexion à internet, son DNS, privilégiant l'IPv6 disponible, se trompait 
de serveur...


Je crains que l'on soit obligé de passer à l'IPv6 assez rapidement, bon gré mal 
gré.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Damien Duransseau]

Le ven. 29 janv. 2021 à 15:56, Stéphane Rivière  a écrit :

> > Ou pas. Peut-être qu'ils vont réinventer du NAT en v6 ? ;>
>
> Mais cette magie existe déjà (rfc6296) et le pire c'est que c'est
probablement le genre de bazar qui risque d'être utilisé justement dans la
catégorie que tu cible :)

-- 
Damien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> La seule question qui reste est donc la suivante: pourquoi ce serai 
> mystérieusement "impossible" pour toi ?

Pas que pour le CDCS (Chasseur De Ciscos Sauvages). Et c'est pas une
"impossibilité" mais bien autre chose. Juste une histoire de KISS.

Modestement, je suis pas Netflix, ni Free, juste des WP, des WP et des
Dolibarrs et d'autres trucs dans le genre. Donc dans la catégorie TPE.

J'ai tout en ipv4 car il parait que l'internette, elle marche ainsi.

Certes, depuis le siècle dernier, j'ai vu (de très loin) une guerre âpre
et féroce, avec des bombes et des missiles, sur ce sujet. Y'a eu les 5
contre les 5.5. Et puis un jour, 5 + 5.5 = 6. Des maths modernes
certainement. C'est la décimale qui gratte. Mais bon.

Le jour où *je ne peux plus faire mon biz en ipv4* et seulement ce jour
là (dans mon use case, je le redis), alors je shifterai tout en ipv6.

Car au fond, ipv4, v6, je m'en tape. Sur le principe la disparition du
NAT santé bonheur. Que chaque objet puisse être accédé sans une boite
qui bloque tout devant. Extase certainement. Ça forcera la sécu des
endpoints. Ou pas. Peut-être qu'ils vont réinventer du NAT en v6 ? ;>

Maintenant, dans l'intranet, je vais mettre 20 ans à virer ipv4, mais
c'est une autre histoire.

Je crois que c'est juste un peu ce que le CDCS raconte. À sa manière. Et
sa manière, elle me fait marrer. Après il faut prendre les choses pas
trop au sérieux...

> Bisou

Un seul ?

Radin :>

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Daniel Caillibaud]

Le 29/01/21 à 12:50, BRUYELLES ALEXANDRE  a écrit :
> L'IPv6 en 2021, les gens l'ont deployés sur des millions
> d'utilisateur avec succès. Des entreprises du CAC40 en passant par des PME, 
> les boites qui le
> font sont légions.
> 
> La seule question qui reste est donc la suivante: pourquoi ce serai 
> mystérieusement
> "impossible" pour toi ?

À sa décharge, il a jamais dit impossible, Michel explique régulièrement 
qu'IPv6 lui apporte du
boulot et des ennuis en plus sans lui apporter de contrepartie, et qu'il 
préfère donc faire
l'impasse dessus.

(décision que je ne commenterait pas par manque de niveau et d'expérience pour 
avoir un avis
pertinent)

-- 
Daniel

Plus les galets ont roulés, plus ils sont polis. 
Pour les cochers, c'est le contraire.
Alphonse Allais


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[BRUYELLES ALEXANDRE]

Salut,

> Si t'étais aussi intelligent et capable que ce que tu prétends être, tu 
> serais milliardaire.
Tout le monde ne vit pas pour l'argent : certains valent mieux que ça.


Ton laïus de pseudo-gourou est relativement intéressant
Tout simplement, tu te cherches des excuses pour justifier ton échec

> Ca n'a pas marché avec moi.
Et ça marche avec d'autres.
Des choses "impossibles à faire", il y a régulièrement des gens qui arrivent à 
le faire.
Miraculeusement.

Par exemple, quand tu dit demande "d'arrêter de faire chier le petit peuple par 
ce que tu as misé sur le cheval qui a perdu la course", je comprends que tu 
parles de ton sujet de prédilection : l'IPv6 ?
L'IPv6 en 2021, les gens l'ont deployés sur des millions d'utilisateur avec 
succès.
Des entreprises du CAC40 en passant par des PME, les boites qui le font sont 
légions.

La seule question qui reste est donc la suivante: pourquoi ce serai 
mystérieusement "impossible" pour toi ?

Bisou

De : frnog-requ...@frnog.org  de la part de Michel Py 

Envoyé : vendredi 29 janvier 2021 08:23:17
À : 'Vincent Bernat'
Cc : Radu-Adrian Feurdean; frnog@frnog.org
Objet : RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez 
pas l'expéditeur

> Vincent Bernat a écrit :
> Ou alors, c'est une décision due au fait que de nos jours, les clients de 
> Cisco préfèrent utiliser de l'automatisation
> et/ou des overlays et n'ont plus besoin d'un protocole propriétaire de 
> propagation des VLANs. Du coup, Cisco ne
> développe pas une fonctionnalité qu'il faudra tester et supporter pendant des 
> années. On ne peut pas raisonnablement
> penser pouvoir acheter d'occasion et peser dans la roadmap du constructeur.

Ta logique ne tient pas la route. IBM a capoté de leur position de leader 
mondial indiscuté à moins que rien, qui ont vendu à perte l'IBM PC (le machin 
qui a défini l'industrie de la micro-informatique qui emploie la grande 
majorité des lecteurs et lectrices de cette liste) a Lenovo, probablement à 
perte.


> Et ce mépris continuel pour les autres... Le mec du marketing, il a jamais vu 
> un câble console, mais il sait ce que c'est VTP.

Le mec du marketing, c'est un emmerdement sans nom qui n'a jamais foutu la main 
dans le cambouis. De mon temps, on les appelait des "Paper CNE". Le mec ou la 
nana qui avait jamais vu un serveur mais qui avait une bonne mémoire et qui 
pouvait passer le test. Les cons qui me compliquent la vie.

Cà me fait mal de te contredire; tes contributions à l'informatique, au réseau, 
et à l'Internet avec un grand "I" sont tout à ton honneur.

Ceci étant dit, et en précisant que ce que je vais écrire est largement 
l'hopital qui se fout de la charité, il y a un truc que t'as toujours pas 
compris : si t'étais aussi intelligent et capable que ce que tu prétends être, 
tu serais milliardaire.

Je ne me fous pas de ta gueule; la différence entre toi et moi est que de jeune 
con tu crois que tu vas devenir vieux et moins con. Moi aussi, j'ai été jeune 
et con et j'ai cru que j'allais changer le monde.

Ta gloire, elle est au temps passé. T'as écrit le code "chaud" qui, en son 
temps, a fait bander le monde libre et semé la terreur chez Junisco. Mais 
c'était dans le temps.
Tu travailles pour qui, dernièrement ? J'avais IPv6 sur un Cisco 2500, et 
c'était bien avant Y2K. L mec qui a écrit la première pile IPv6 (Jim Bound), 
j'ai bu avec lui. Avant Y2K.

Arrêtes de faire chier le petit peuple par ce que tu as misé sur le cheval qui 
a perdu la course. Tu y as cru, tu as essayé, tout le monde le sait. Moi aussi. 
Avant toi.
J'étais comme toi, il y a 20 ans. Maintenant, l'hopital qui se fout de la 
charité (moi) essaie de te dire que tu devrais arrêter de croire aux conneries 
que tu racontes.

Ca n'a pas marché avec moi. La différence entre jeune et con et vieux et con : 
le vieux et con essaie d'expliquer au jeune et con de ne pas faire les mêmes 
conneries.
Cà ne marche pas, mais j'essaie quand même. Je me fais pas d'illusions. Dans 20 
ans, ça va te couter une fortune en pinard.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Vincent Bernat a écrit :
> Ou alors, c'est une décision due au fait que de nos jours, les clients de 
> Cisco préfèrent utiliser de l'automatisation
> et/ou des overlays et n'ont plus besoin d'un protocole propriétaire de 
> propagation des VLANs. Du coup, Cisco ne
> développe pas une fonctionnalité qu'il faudra tester et supporter pendant des 
> années. On ne peut pas raisonnablement
> penser pouvoir acheter d'occasion et peser dans la roadmap du constructeur.

Ta logique ne tient pas la route. IBM a capoté de leur position de leader 
mondial indiscuté à moins que rien, qui ont vendu à perte l'IBM PC (le machin 
qui a défini l'industrie de la micro-informatique qui emploie la grande 
majorité des lecteurs et lectrices de cette liste) a Lenovo, probablement à 
perte.


> Et ce mépris continuel pour les autres... Le mec du marketing, il a jamais vu 
> un câble console, mais il sait ce que c'est VTP.

Le mec du marketing, c'est un emmerdement sans nom qui n'a jamais foutu la main 
dans le cambouis. De mon temps, on les appelait des "Paper CNE". Le mec ou la 
nana qui avait jamais vu un serveur mais qui avait une bonne mémoire et qui 
pouvait passer le test. Les cons qui me compliquent la vie.

Cà me fait mal de te contredire; tes contributions à l'informatique, au réseau, 
et à l'Internet avec un grand "I" sont tout à ton honneur.

Ceci étant dit, et en précisant que ce que je vais écrire est largement 
l'hopital qui se fout de la charité, il y a un truc que t'as toujours pas 
compris : si t'étais aussi intelligent et capable que ce que tu prétends être, 
tu serais milliardaire.

Je ne me fous pas de ta gueule; la différence entre toi et moi est que de jeune 
con tu crois que tu vas devenir vieux et moins con. Moi aussi, j'ai été jeune 
et con et j'ai cru que j'allais changer le monde.

Ta gloire, elle est au temps passé. T'as écrit le code "chaud" qui, en son 
temps, a fait bander le monde libre et semé la terreur chez Junisco. Mais 
c'était dans le temps.
Tu travailles pour qui, dernièrement ? J'avais IPv6 sur un Cisco 2500, et 
c'était bien avant Y2K. L mec qui a écrit la première pile IPv6 (Jim Bound), 
j'ai bu avec lui. Avant Y2K.

Arrêtes de faire chier le petit peuple par ce que tu as misé sur le cheval qui 
a perdu la course. Tu y as cru, tu as essayé, tout le monde le sait. Moi aussi. 
Avant toi.
J'étais comme toi, il y a 20 ans. Maintenant, l'hopital qui se fout de la 
charité (moi) essaie de te dire que tu devrais arrêter de croire aux conneries 
que tu racontes.

Ca n'a pas marché avec moi. La différence entre jeune et con et vieux et con : 
le vieux et con essaie d'expliquer au jeune et con de ne pas faire les mêmes 
conneries.
Cà ne marche pas, mais j'essaie quand même. Je me fais pas d'illusions. Dans 20 
ans, ça va te couter une fortune en pinard.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stéphane Rivière]

> Et ce mépris continuel pour les autres... Le mec du marketing, il a
> jamais vu un cable console, mais il sait ce que c'est VTP.

C'est pas du mépris, c'est une périphrase (C) Audiard.

Mais t'as raison, le mec du marketing, il sait bien que VTP veux dire
Very Talented Person. Il le vérifie tous les matins en se rasant :>

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Vincent Bernat]

 ❦ 28 janvier 2021 21:52 GMT, Michel Py:

>> Tu veux le mouton a 5 pattes, faut sortir les billets.
>
> Normal, ce n'est pas ça dont je me plains. Ce qui me gonfle, c'est
> quand ils ne mettent pas (ou enlèvent) quelque chose banal pour forcer
> à acheter le modèle préconisé par le marketing.
> Exemple : Nexus il n'y a pas VTP (mode transparent seulement). C'est
> même pas dans le chipset, c'est logiciel dans le control-plane.
> Ca me crée du travail en plus de ne pas l'avoir alors que ça existe
> sur tous les Catalyst, et j'en ai plein les bottes que les marketeux
> décident à ma place ce que je peux et ne peux pas faire sur mon
> réseau. Pourquoi je peux pas mettre un Nexus dans mon réseau Catalyst
> avec VTP ? Parce qu'un glandu qui a jamais vu un cable console croit
> qu'il peut faire de l'architecture ou de l'ingénierie de réseau, sur
> mon réseau, unique comme beaucoup, et qui est au-delà de sa
> compréhension. Je demande pas un mouton à 5 pattes, je demande le
> produit que, si c'était un ingénieur qui l'avait conçu, j'aurais même
> pas besoin de demander car ça aurait ce dont j'ai besoin.

Ou alors, c'est une décision due au fait que de nos jours, les clients
de Cisco préfèrent utiliser de l'automatisation et/ou des overlays et
n'ont plus besoin d'un protocole propriétaire de propagation des VLANs.
Du coup, Cisco ne développe pas une fonctionnalité qu'il faudra tester
et supporter pendant des années. On ne peut pas raisonnablement penser
pouvoir acheter d'occasion et peser dans la roadmap du constructeur.

Et ce mépris continuel pour les autres... Le mec du marketing, il a
jamais vu un cable console, mais il sait ce que c'est VTP.
-- 
question = ( to ) ? be : ! be;
-- Wm. Shakespeare


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Radu-Adrian Feurdean a écrit :
> Tu veux le mouton a 5 pattes, faut sortir les billets.

Normal, ce n'est pas ça dont je me plains. Ce qui me gonfle, c'est quand ils ne 
mettent pas (ou enlèvent) quelque chose banal pour forcer à acheter le modèle 
préconisé par le marketing.
Exemple : Nexus il n'y a pas VTP (mode transparent seulement). C'est même pas 
dans le chipset, c'est logiciel dans le control-plane.
Ca me crée du travail en plus de ne pas l'avoir alors que ça existe sur tous 
les Catalyst, et j'en ai plein les bottes que les marketeux décident à ma place 
ce que je peux et ne peux pas faire sur mon réseau. Pourquoi je peux pas mettre 
un Nexus dans mon réseau Catalyst avec VTP ? Parce qu'un glandu qui a jamais vu 
un cable console croit qu'il peut faire de l'architecture ou de l'ingénierie de 
réseau, sur mon réseau, unique comme beaucoup, et qui est au-delà de sa 
compréhension. Je demande pas un mouton à 5 pattes, je demande le produit que, 
si c'était un ingénieur qui l'avait conçu, j'aurais même pas besoin de demander 
car ça aurait ce dont j'ai besoin.

D'ailleurs ça leur a pas porté bonheur : Cisco avec moi ils ont perdu le WiFi 
(maintenant je fais du Ubiquiti) et la voix (maintenant je fais de l'Asterisk). 
Cette année, je risque de donner les pare-feu a Palo (on est 2 ingés à prendre 
la décision avec le boss qui tranche si désaccord). Ils sont en train de faire 
la même connerie qu'IBM en son temps.


>> Ben voyons. Mon besoin, c'est moins d'obsolescence planifiée, moins de bugs, 
>> moins de trucs qui changent
>> tout le temps aux seules fins de renouveler le matériel, un support ou il 
>> faut pas perdre 3 jours avec le
>> niveau 1 à Tombouctou, du logiciel qui marche dès le départ au lieu de 
>> devoir mettre des rustines tous les
>> jours, et parfois, seulement parfois, une nouvelle fonctionnalité. Mon 
>> besoin, ils n'en ont rien à braire.

> Ca c'est tes contraintes. Ton besoin, tu n'a pas sorti un seul mot.

Rien qui n'existe pas déjà. Je ne fais pas de l'architecture de réseau sur la 
base de fonctionnalités qui sont en béta ou en prévision et dont on n'a aucune 
idée si elles seront là au prochain délire du marketing.
En plus, ça change tout le temps, mes CxO ils achètent et vendent des filiales 
comme ils changent de slip, et après l'acquisition qui peut être des dizaines 
de sites et des centaines d'employés est faite, je ne sais même pas la marque 
de leurs switchs et de leurs routeurs, qui maintenant sont les miens. Le 
besoin, c'est que quand je décide d'utiliser une fonctionnalité, elle marche.


>>> parfois parce-qu'ils n'ont aucune envie de le comprendre, de toute facon ils
>>> vendent a un de tes directeurs qui comprend lui non plus le vrai besoin).

>> C'est bien ce que je disais, ils vendent des buzzwords et du bullshit 
>> qui n'a rien ou très peu à voir avec ce que le vrai besoin est.

> Encore une fois, si tu n'exprimes pas un besoin technique, avec des mots 
> techniques, c'est mort.

Ca fait longtemps que je ne perds plus mon temps à essayer, c'est comme pisser 
dans un violon. Les techniciens à qui tu parles (coté vendeur), on ne les 
écoute pas plus que toi ou moi. En plus, dans ton cas, il faut que les techs de 
ton vendeur parlent aux techs qui font le chipset. Tu veux ta fonctionnalité ? 
faut dire à leur vendeur que si ils te la donnent tu vas acheter 1000 switches 
et peut-être qu'ils vont commencer à se remuer le popotin.


> Pareil, si la technique n'a pas son mot a dire, que c'est que les "decideurs"
> qui decident a base de "ROI", "investment protection" et autres bullshits
> qui collent a *leur* besoin (pas a celui de la technique), c'est mort.

Le ROI tu ne peux pas ignorer, c'est la nature de l'animal et l'argent ne 
pousse pas sur les arbres. Et moi je regarde le ROE : Return On Effort. Pour 
que je consacre des ressources, du temps, bref de l'effort à faire quelque 
chose, il faut que ça produise quelque chose en retour. Je ne vais pas perdre 
mon temps et aller demander de l'argent aux execs sans raison.
Au hasard : IPv6. Réseau 100% EIGRP, EIGRP avec IPv4 et dans le temps IPX et 
Appletalk, mais non pas d'EIGRP pour IPv6, bravo Cisco. Eh bien je vais pas 
déployer OSPF en plus que pour ça. ROE négatif, aucun gain et que des emmerdes, 
nyet.


> Les constructeurs, faut les faire comprendre que de base ils ont perdu, et 
> ils doivent venir
> avec quelque-chose qui repond au besoin *ET* aux contraintes s'ils veulent 
> ton argent.

La seule chose qu'ils comprennent, c'est quand tu changes de crèmerie et qu'il 
y a quelqu'un qui fait pas son quota et le boss qui n'a pas le bonus.
 
> Les decideurs, pareil: s'ils insistent de decider a la place de la technique 
> pour des choses
> techniques, faut pas hesiter a les faire planter (genre aller dans leur 
> direction, quitte a
> frapper le mur a pleine vitesse). C'est risque pour toi, mais pour lui encore 
> plus.

Le routeur, switch, pare-feu, et WiFi ce n'est pas moi qui paye, mais c'est moi 
qui 

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Nang Bat]

Dans la série des chips flexibles, Arista remballe du Tofino sur les 7170
ça rend abordable les couches bas niveau (en P4) par les clients sur du
matos industrialisables. Après clairement c'est pas abordable pour tout le
monde (loins de la), je suis pas super confiant de l'avenir réserver au
produit depuis le rachat par Intel (soupirs), ca permet virtuellement de
faire n'importe quoi mais pour reprendre l'exemple d'un trio ou d'un NP4 le
gap la il serait plutôt au niveau de la dispo des features

Le jeu. 28 janv. 2021 à 10:40, Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net> a écrit :

> On Thu, Jan 28, 2021, at 01:56, Michel Py wrote:
> > > Radu-Adrian Feurdean a écrit :
> > > Le x86 ce n'est pas de l'ASIC. C'est du CPU generique a tout faire,
> pas forcement le plus rapidement possible.
> >
> > Est-ce que c'est fondamentalement différent ? Ils en sont au Tomahawk
> > 4, au Trident 4 et au Jericho 2, chaque génération se bâtit sur les
> > bases des précédentes. En ce qui concerne le Jericho, ça fait 10 ans
> > que Broadcom a acquis Dune, c'est pas un nouveau produit non plus. Il
> > te manque quoi, sur quel chipset ?
>
> Un Broadcom par rapport a un CPU/NPU plus generique ? Il ont certes avance
> ces derniers annes (ce qui suppose avoir un equipement avec un chipset
> assez recent, pas avec Trident/Trident2), mais si les Broadcom (pue importe
> le modele) savait faire le meme chose qu'un FP4 (NokiALU) ou un Trio
> (Juniper), ca se saurait.
>
> Tu veux le mouton a 5 pattes, faut sortir les billets. A la limite meme
> etre content quand ils te sortent le modele de licencing qui te permet de
> passer de ultra-cher a "juste cher" (contraitement a certains qui passent
> directement de abominablement cher a inutilisable).
>
> > Ben voyons. Mon besoin, c'est moins d'obsolescence planifiée, moins de
> > bugs, moins de trucs qui changent tout le temps aux seules fins de
> > renouveler le matériel, un support ou il faut pas perdre 3 jours avec
> > le niveau 1 à Tombouctou, du logiciel qui marche dès le départ au lieu
> > de devoir mettre des rustines tous les jours, et parfois, seulement
> > parfois, une nouvelle fonctionnalité. Mon besoin, ils n'en ont rien à
> > braire.
>
> Ca c'est tes contraintes. Ton besoin, tu n'a pas sorti un seul mot.
> Tu ne serais pas en train de tomber dans le camp des CxO susceptibles au
> marketing-bullshit des constructeurs ?
>
> > > parfois parce-qu'ils n'ont aucune envie de le comprendre, de toute
> facon ils
> > > vendent a un de tes directeurs qui comprend lui non plus le vrai
> besoin).
> >
> > C'est bien ce que je disais, ils vendent des buzzwords et du bullshit
> > qui n'a rien ou très peu à voir avec ce que le vrai besoin est. Le
>
> Encore une fois, si tu n'exprimes pas un besoin technique, avec des mots
> techniques, c'est mort.
> Pareil, si la technique n'a pas son mot a dire, que c'est que les
> "decideurs" qui decident a base de "ROI", "investment protection" et autres
> bullshits qui collent a *leur* besoin (pas a celui de la technique), c'est
> mort.
> Les constructeurs, faut les faire comprendre que de base ils ont perdu, et
> ils doivent venir avec quelque-chose qui repond au besoin *ET* aux
> contraintes s'ils veulent ton argent.
> Les decideurs, pareil: s'ils insistent de decider a la place de la
> technique pour des choses techniques, faut pas hesiter a les faire planter
> (genre aller dans leur direction, quitte a frapper le mur a pleine
> vitesse). C'est risque pour toi, mais pour lui encore plus.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Thu, Jan 28, 2021, at 01:56, Michel Py wrote:
> > Radu-Adrian Feurdean a écrit :
> > Le x86 ce n'est pas de l'ASIC. C'est du CPU generique a tout faire, pas 
> > forcement le plus rapidement possible.
> 
> Est-ce que c'est fondamentalement différent ? Ils en sont au Tomahawk 
> 4, au Trident 4 et au Jericho 2, chaque génération se bâtit sur les 
> bases des précédentes. En ce qui concerne le Jericho, ça fait 10 ans 
> que Broadcom a acquis Dune, c'est pas un nouveau produit non plus. Il 
> te manque quoi, sur quel chipset ?

Un Broadcom par rapport a un CPU/NPU plus generique ? Il ont certes avance ces 
derniers annes (ce qui suppose avoir un equipement avec un chipset assez 
recent, pas avec Trident/Trident2), mais si les Broadcom (pue importe le 
modele) savait faire le meme chose qu'un FP4 (NokiALU) ou un Trio (Juniper), ca 
se saurait.

Tu veux le mouton a 5 pattes, faut sortir les billets. A la limite meme etre 
content quand ils te sortent le modele de licencing qui te permet de passer de 
ultra-cher a "juste cher" (contraitement a certains qui passent directement de 
abominablement cher a inutilisable).

> Ben voyons. Mon besoin, c'est moins d'obsolescence planifiée, moins de 
> bugs, moins de trucs qui changent tout le temps aux seules fins de 
> renouveler le matériel, un support ou il faut pas perdre 3 jours avec 
> le niveau 1 à Tombouctou, du logiciel qui marche dès le départ au lieu 
> de devoir mettre des rustines tous les jours, et parfois, seulement 
> parfois, une nouvelle fonctionnalité. Mon besoin, ils n'en ont rien à 
> braire.

Ca c'est tes contraintes. Ton besoin, tu n'a pas sorti un seul mot.
Tu ne serais pas en train de tomber dans le camp des CxO susceptibles au 
marketing-bullshit des constructeurs ?

> > parfois parce-qu'ils n'ont aucune envie de le comprendre, de toute facon ils
> > vendent a un de tes directeurs qui comprend lui non plus le vrai besoin).
> 
> C'est bien ce que je disais, ils vendent des buzzwords et du bullshit 
> qui n'a rien ou très peu à voir avec ce que le vrai besoin est. Le 

Encore une fois, si tu n'exprimes pas un besoin technique, avec des mots 
techniques, c'est mort.
Pareil, si la technique n'a pas son mot a dire, que c'est que les "decideurs" 
qui decident a base de "ROI", "investment protection" et autres bullshits qui 
collent a *leur* besoin (pas a celui de la technique), c'est mort.
Les constructeurs, faut les faire comprendre que de base ils ont perdu, et ils 
doivent venir avec quelque-chose qui repond au besoin *ET* aux contraintes 
s'ils veulent ton argent. 
Les decideurs, pareil: s'ils insistent de decider a la place de la technique 
pour des choses techniques, faut pas hesiter a les faire planter (genre aller 
dans leur direction, quitte a frapper le mur a pleine vitesse). C'est risque 
pour toi, mais pour lui encore plus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Vincent Bernat a écrit :
> Le 386SX avait un bus de données de 16 bits au lieu de 32 et le 386DX n'a pas 
> de copro intégré.

Exact, merci de corriger. Pourtant, je me rappelle de 386 avec copro intégré, 
je dois confondre. Cyrix ?

> Je ne vois pas de quoi il y a à s'indigner de la segmentation artificielle
> du marché. Que je sache, ce 486SX, il était vendu moins cher que le 486DX.

Uniquement parce qu'AMD avait cassé les prix, forçant Intel à cette pirouette.


> Vincent Bernat a écrit :
> Cela permet aussi de réduire les coûts en vendant les CPU avec un FPU 
> défectueux.
> Pierre DOLIDON a écrit :
> mieux vaut vendre un 4 core avec 1 core désactivé, moins cher que le 4 core 
> normal, mais moins cher,
> que de le balancer parce qu'il présente un tout petit défaut (lié au process 
> de fabrication des wafers !)

Ce n'est pas la même chose. Vendre un produit avec une fonctionnalité 
désactivée, parce qu'une partie n'a pas passé les tests, c'est à l'avantage de 
tout le monde.

 
> Jean-Yves LENHOF a écrit :
> Il y a pire, la gamme Power d'IBM... Il te faut une clé d'activation pour 
> déverrouiller des processeurs
> déjà présents dans le serveur que tu achètes ! Ca s'appelle du CuOD ! Sont 
> fort les marketeux !
> Philippe ASTIER a écrit :
> Il y a aussi les Jumbo Frames, option payante à plusieurs milliers de dollars 
> sur les serveurs SunOS à une
> époque... Et par carte d’interface s’il vous plait. Soi disant un driver 
> différent, cette bonne blague !

La liste est sans fin. Et l'erreur que font beaucoup de gens, c'est de croire 
que c'est celui qui paye l'option supplémentaire qui finance la chose. C'est 
faux.

Prenons l'exemple d'un chip avec 4 coeurs dont 2 activables.
Le chip avec 4 coeurs, ça coute 3 fois le prix d'un chip qui n'a que 2 coeurs, 
pour deux raisons :
- Le chip, ça se vend au à la surface, au millimètre carré. Un chip qui a 4 
coeurs, ça prend 2 fois plus de place que celui qui n'en a que 2, donc on en 
met 2 fois moins par wafer, donc c'est 2 fois plus cher.
- Le chip qui a 4 coeurs, mis à part la place, il a un rendement (yield) plus 
bas que celui qui n'en a que deux; pour se vendre à un certain prix, il faut 
que les 4 coeurs fonctionnent, ce qui est plus difficile à faire; plus la 
surface est importante, plus les chances d'avoir un défaut dessus augmentent et 
plus le yield en prend un coup.

Résultat des courses : ce n'est pas le client qui active les coeurs 
supplémentaires qui paye, c'est tout le monde, y compris celui qui ne les 
active pas. Il faut produire les 4 coeurs de toute façon, et il faut que les 4 
fonctionnent, ne pas confondre un chip a 4 coeurs dont 2 activables et un chip 
a 4 coeurs dont 2 morts, qui se vend au prix du 2 coeurs. Il te force à acheter 
un chip avec 4 coeurs qui sont bons, alors que tu te serais contenté d'un avec 
2 coeurs, ou d'un avec 4 coeurs dont 1 ou 2 morts, pour moins cher. Pareil pour 
les Jumbo frames quand tu n'en as pas besoin : tu les payes quand même. Pareil 
que les bouquets de chaines télé ou les options automobile : on te force à 
acheter quelque chose dont tu n'as pas besoin.

> Stanislas Garret a écrit :
> Après je me souviens aussi dans le début des années 90, d'un IBMer arriver 
> pour
> ajouter 8Mo de RAM à un IBM9370 avec juste sa malette d'outils. Oui, la 
> machine
> était déjà avec 16Mo, un coup de tournevis, reparamétrage reboot & le tour 
> est joué...

Et la mémoire en question, que tu as achetée sans le savoir avec 2 ans 
d'avance, tu l'as payée 2 fois le prix de ce qu'elle valait 2 ans plus tard et 
payé une 3ème fois pour que le tech vienne mettre un coup de tournevis.


> Vincent Bernat a écrit :
> Si Intel trouvait plus économique d'avoir un seul CPU à produire au final, ça 
> les regarde.

Ce n'est presque jamais le cas, lire plus haut.


> Radu-Adrian Feurdean a écrit :
> Le x86 ce n'est pas de l'ASIC. C'est du CPU generique a tout faire, pas 
> forcement le plus rapidement possible.

Est-ce que c'est fondamentalement différent ? Ils en sont au Tomahawk 4, au 
Trident 4 et au Jericho 2, chaque génération se bâtit sur les bases des 
précédentes. En ce qui concerne le Jericho, ça fait 10 ans que Broadcom a 
acquis Dune, c'est pas un nouveau produit non plus. Il te manque quoi, sur quel 
chipset ?


>> Le marketing de Junisco qui raconte des conneries, c'était prévisible. 
> Generalement, meme ces gens-la, ils raccontent des conneries uniquement quand 
> ils ne comprennent pas ton besoin

Ben voyons. Mon besoin, c'est moins d'obsolescence planifiée, moins de bugs, 
moins de trucs qui changent tout le temps aux seules fins de renouveler le 
matériel, un support ou il faut pas perdre 3 jours avec le niveau 1 à 
Tombouctou, du logiciel qui marche dès le départ au lieu de devoir mettre des 
rustines tous les jours, et parfois, seulement parfois, une nouvelle 
fonctionnalité. Mon besoin, ils n'en ont rien à braire.

> parfois parce-qu'ils n'ont aucune envie de le comprendre, de toute facon ils
> vendent a 

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Stanislas Garret]

Le mercredi 27 janvier 2021 à 04:24 +, Michel Py a écrit :
> > Radu-Adrian Feurdean a écrit :
> > Tu as chez certains constructeurs le meme os, mais avec des
> > fonctionalites qui dependent des ASICs qui sont mis dedans.
> 
> Petit retour en arrière :
> Il a 40 ans (début des années 80), le stockage d'un ordinateur
> personnel (ça a commencé avant qu'IBM ne sorte le PC), c'était la
> disquette; mieux que la K7 audio et nettement mieux que la bande
> papier perforée. Il y avait des lecteurs de disquettes simple face
> (dont le très répandu Apple Disk ][, 35 pistes, simple face, 143 KO)
> et des double face (dont le encore plus répandu IBM PC, 40 pistes,
> double face, 360 KO, un peu plus tard).
> Les vendeurs de disquettes, naturellement, avaient des disquettes
> simple face et des double face, qui évidemment coutaient nettement
> plus que les simple face.
> 
> Là ou ça devient intéressant : une disquette simple face, ça n'existe
> pas. Le processus de fabrication, par nature, couvrait les deux cotés
> du support en même temps.
> Tous les possesseurs d'Apple ][ ou //e se rappellent que le lecteur
> de disquette, n'ayant qu'une seule tête de lecture, n'allait pas
> miraculeusement doubler sa capacité; par contre, la disquette simple
> face, oui. Un coup de pince à tiercé (moins dangereux que le couteau
> de cuisine mal aiguisé) pour couper l'encoche de protection
> d'écriture du coté opposé et on pouvait retourner la disquette simple
> face et doubler "miraculeusement" sa capacité. Vu le prix des
> disquettes, tout le monde le faisait. Eh bien non, ça n'abime pas la
> partie interne de la disquette qui, malgré que l'enveloppe soit
> carrée, est ronde, car elle tourne.
> 
> Eh bien, un peu plus tard, quand l'IBM PC est sorti, et malgré qu'il
> ne fallait même plus modifier la disquette, les gens ont continué à
> acheter des disquettes double face, dont la seule différence avec les
> simple face était le prix.
> https://www.techno-science.net/glossaire-definition/Disquette.html
> https://fr.wikipedia.org/wiki/Disquette
> Comme quoi, hélas, les conneries que le marketing des fabricants
> racontent, ça marche :-(
> 
> 
> Maintenant parlons d'ASIC.
> Un peu plus tard (on passe directement du processeur 8 bits à 32
> bits), le 486SX. Le 80486 (le prédécesseur direct du Pentium), avait
> un coprocesseur mathématique intégré. Son prédécesseur, le 80386
> (même si certaines versions (386DX) avaient aussi le coprocesseur
> intégré) était généralement vendu comme 386SX (sans coprocesseur), et
> les utilisateurs qui voulaient la virgule flottante en hard
> ajoutaient le coprocesseur 80387. Il y avait un support sur la carte
> mère pour ça.
> 
> Le 486 a été conçu dès l'origine comme DX. Après-coup (la faute à
> AMD), Intel a décidé qu'une version moins chère, sans coprocesseur,
> était nécessaire. Là ou ça devient intéressant : le 486SX était un
> 486DX absolument complet avec coprocesseur, sauf que le coprocesseur
> était désactivé pendant une phase tardive de la fabrication. Ce n'est
> que bien après qu'ils ont finalement conçu un 486SX qui n'était pas
> un 486DX bridé, et ça n'a pas duré.
> https://micro.magnet.fsu.edu/optics/olympusmicd/galleries/chips/intel486sxa.html
> https://en.wikipedia.org/wiki/Intel_80486SX
> Tu disais quoi, à propos de la fonctionnalité pas dans le chip ?
> 
> 
> Encore plus récent, sur du Cisco 2800. Certaines cartes NM (une NM-
> 4E, si ma mémoire est bonne) qui ne rentrent pas dans le slot NM de
> droite, car soit disant c'est réservé pour autre chose (la voix ?) et
> il y a un détrompeur de 3mm en métal qui les empêche de rentrer. Eh
> bien en 30 secondes au Dremel, elles rentrent, et fonctionnent
> parfaitement, j'en ai une en prod depuis des années. Ah mais c'est
> pas supporté, tu peux pas faire ça, c'est interdit d'y aller au
> Dremel. Ben non ce n'est pas interdit. Ce matos est à moi, je l'ai
> acheté, il est plus sous garantie, si j'ai envie d'y aller au Dremel
> ou même au marteau, ce n'est pas plus interdit que de le repeindre.
> 
> 
> Radu tu m'excuseras, mais ça fait 40 ans que j'entends le bullshit du
> marketing des vendeurs et que je prouve que ce n'est pas fondé. Ce
> n'est pas parce que le marketing de Junisco me bassine que certaines
> fonctionnalités ne sont pas implémentées car le matériel ou l'ASIC ne
> le permet pas que je les crois. Par contre, brider ils savent faire;
> ce n'est pas qu'ils ne peuvent pas faire quelque chose, c'est qu'ils
> ne veulent pas. Le bullshit d'aujourd'hui il est encore plus
> sophistiqué et nettement moins vérifiable que celui d'hier. Aussi, ne
> pas oublier que dans une vie récente je fabriquais de l'ASIC.
> 
> Le marketing de Junisco qui raconte des conneries, c'était
> prévisible. Toi, c'est surprenant.
> 
> Michel.
> 
> 
> > Sébastien Lesimple a écrit :
> > Et la mini cooper 1000E de 84, ma première voiture, avec la synchro
> > de seconde HS que je vais m'offrire
> > pouir mes 50 ans!!! (Le BJ tourne a l'huile de Colza produite
> 

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Radu-Adrian Feurdean]

On Wed, Jan 27, 2021, at 05:24, Michel Py wrote:

> Maintenant parlons d'ASIC.
> Un peu plus tard (on passe directement du processeur 8 bits à 32 bits), 
> le 486SX. Le 80486 (le prédécesseur direct du Pentium), avait un 

Le x86 ce n'est pas de l'ASIC. C'est du CPU generique a tout faire, pas 
forcement le plus rapidement possible.

> Radu tu m'excuseras, mais ça fait 40 ans que j'entends le bullshit du 
> marketing des vendeurs et que je prouve que ce n'est pas fondé. Ce 
> n'est pas parce que le marketing de Junisco me bassine que certaines 
> fonctionnalités ne sont pas implémentées car le matériel ou l'ASIC ne 
> le permet pas que je les crois. 

Ca par contre tu peux le voir en regardant ce que font d'autres constructeurs 
avec le meme ASIC (la on parle du Broadcom).
Si 3 ou 4 te disent que ce n'est pas possible, c'est que c'est pas possible. 
Si sur le 4 il y a un qui le fait correctement, que 2 autres le font mal et le 
4eme le fait pas, c'est qu'il y a une complication quelque-part (coucou le bug 
parfaitement identique chez 2 constructeurs differents - meme ASIC a 
l'interieur).
Apres, il y a de la doc qui traine (ou pas, parfois ca va jusqu'a NDA) autre 
que le discours des venderurs de pompes. Et parfois elle est *TRES* poussee 
techniquement.

Dans ce cas precis on est pas sur un truc impossible techniquement, mais on 
touche les limites de la gamme (transport L2 "verbatim", ce n'est pas ce que 
les gens qui cherchent des switch datacenter attendent). Par contre faut pas 
s'etonner s'il y a des limitations qui peuvent avoir l'air con: c'est la gamme 
qui etait prevue pour autre chose.

> Le marketing de Junisco qui raconte des conneries, c'était prévisible. 

Generalement, meme ces gens-la, ils raccontent des conneries uniquement quand 
ils ne comprennent pas ton besoin (parfois parce-qu'ils n'ont aucune envie de 
le comprendre, de toute facon ils vendent a un de tes directeurs qui comprend 
lui non plus le vrai besoin).

En effet, chez un constructeur faut arriver a parler avec les gens techniques. 
Et des tres bons techniques ca existe chez tous les constructeurs. Ca peut 
arriver qu'on est pas d'accord a 100% avec eux non plus, mais avec eux tu as 
generalement une discussion constructive (qui souvent te permet aussi de 
comprendre pourquoi ils ont fait le choix qu'ils ont fait - meme si ce n'est 
pas a ton avantage).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Philippe ASTIER via frnog]

Il y a aussi les Jumbo Frames, option payante à plusieurs milliers de dollars 
sur les serveurs SunOS à une époque… Et par carte d’interface s’il vous plait.
Soi disant un driver différent, cette bonne blague !

Sur HP-UX en même temps, c’était gratuit mais fallait quand même appliquer un 
patch.

> Le 27 janv. 2021 à 10:53, David Ponzone  a écrit :
> 
>> Le 27 janv. 2021 à 10:32, Jean-Yves LENHOF  a écrit 
>> :
>> 
>> 
>> 
>> Il y a pire, la gamme Power d'IBM... Il te faut une clé d'activation pour 
>> déverrouiller des processeurs déjà présents dans le serveur que tu achètes ! 
>> Ca s'appelle du CuOD ! Sont fort les marketeux !
>> 
> 
> Ca se fait aussi dans l’automobile depuis pas mal de temps je crois, et je 
> crois que cela correspond à une réalité industrielle.
> Après, il y a toujours des gens qui veulent avoir tout pour pas cher, sans 
> comprendre (enfin, sans vouloir admettre plutôt) qu’ils ont accès à la 
> version pas chère parce qu’il y a un autre mec qui achète la version chère.
> Ca serait plus probablement plus compliqué de voyager en avion pour 300€ s’il 
> n'y avait pas des gens qui paient leur billet entre 3000€ et 5000€.
> Pourtant, à quelques détails anecdotiques près, c’est le même voyage.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[David Ponzone]

> Le 27 janv. 2021 à 10:32, Jean-Yves LENHOF  a écrit :
> 
> 
> 
> Il y a pire, la gamme Power d'IBM... Il te faut une clé d'activation pour 
> déverrouiller des processeurs déjà présents dans le serveur que tu achètes ! 
> Ca s'appelle du CuOD ! Sont fort les marketeux !
> 

Ca se fait aussi dans l’automobile depuis pas mal de temps je crois, et je 
crois que cela correspond à une réalité industrielle.
Après, il y a toujours des gens qui veulent avoir tout pour pas cher, sans 
comprendre (enfin, sans vouloir admettre plutôt) qu’ils ont accès à la version 
pas chère parce qu’il y a un autre mec qui achète la version chère.
Ca serait plus probablement plus compliqué de voyager en avion pour 300€ s’il 
n'y avait pas des gens qui paient leur billet entre 3000€ et 5000€.
Pourtant, à quelques détails anecdotiques près, c’est le même voyage.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Jean-Yves LENHOF]

Le 27/01/2021 à 05:24, Michel Py a écrit :

Radu-Adrian Feurdean a écrit :
Tu as chez certains constructeurs le meme os, mais avec des
fonctionalites qui dependent des ASICs qui sont mis dedans.

Petit retour en arrière :
Il a 40 ans (début des années 80), le stockage d'un ordinateur personnel (ça a 
commencé avant qu'IBM ne sorte le PC), c'était la disquette; mieux que la K7 
audio et nettement mieux que la bande papier perforée. Il y avait des lecteurs 
de disquettes simple face (dont le très répandu Apple Disk ][, 35 pistes, 
simple face, 143 KO) et des double face (dont le encore plus répandu IBM PC, 40 
pistes, double face, 360 KO, un peu plus tard).
Les vendeurs de disquettes, naturellement, avaient des disquettes simple face 
et des double face, qui évidemment coutaient nettement plus que les simple face.

Là ou ça devient intéressant : une disquette simple face, ça n'existe pas. Le 
processus de fabrication, par nature, couvrait les deux cotés du support en 
même temps.
Tous les possesseurs d'Apple ][ ou //e se rappellent que le lecteur de disquette, n'ayant 
qu'une seule tête de lecture, n'allait pas miraculeusement doubler sa capacité; par 
contre, la disquette simple face, oui. Un coup de pince à tiercé (moins dangereux que le 
couteau de cuisine mal aiguisé) pour couper l'encoche de protection d'écriture du coté 
opposé et on pouvait retourner la disquette simple face et doubler 
"miraculeusement" sa capacité. Vu le prix des disquettes, tout le monde le 
faisait. Eh bien non, ça n'abime pas la partie interne de la disquette qui, malgré que 
l'enveloppe soit carrée, est ronde, car elle tourne.

Eh bien, un peu plus tard, quand l'IBM PC est sorti, et malgré qu'il ne fallait 
même plus modifier la disquette, les gens ont continué à acheter des disquettes 
double face, dont la seule différence avec les simple face était le prix.
https://www.techno-science.net/glossaire-definition/Disquette.html
https://fr.wikipedia.org/wiki/Disquette
Comme quoi, hélas, les conneries que le marketing des fabricants racontent, ça 
marche :-(


Maintenant parlons d'ASIC.
Un peu plus tard (on passe directement du processeur 8 bits à 32 bits), le 
486SX. Le 80486 (le prédécesseur direct du Pentium), avait un coprocesseur 
mathématique intégré. Son prédécesseur, le 80386 (même si certaines versions 
(386DX) avaient aussi le coprocesseur intégré) était généralement vendu comme 
386SX (sans coprocesseur), et les utilisateurs qui voulaient la virgule 
flottante en hard ajoutaient le coprocesseur 80387. Il y avait un support sur 
la carte mère pour ça.

Le 486 a été conçu dès l'origine comme DX. Après-coup (la faute à AMD), Intel a 
décidé qu'une version moins chère, sans coprocesseur, était nécessaire. Là ou 
ça devient intéressant : le 486SX était un 486DX absolument complet avec 
coprocesseur, sauf que le coprocesseur était désactivé pendant une phase 
tardive de la fabrication. Ce n'est que bien après qu'ils ont finalement conçu 
un 486SX qui n'était pas un 486DX bridé, et ça n'a pas duré.
https://micro.magnet.fsu.edu/optics/olympusmicd/galleries/chips/intel486sxa.html
https://en.wikipedia.org/wiki/Intel_80486SX
Tu disais quoi, à propos de la fonctionnalité pas dans le chip ?


Encore plus récent, sur du Cisco 2800. Certaines cartes NM (une NM-4E, si ma 
mémoire est bonne) qui ne rentrent pas dans le slot NM de droite, car soit 
disant c'est réservé pour autre chose (la voix ?) et il y a un détrompeur de 
3mm en métal qui les empêche de rentrer. Eh bien en 30 secondes au Dremel, 
elles rentrent, et fonctionnent parfaitement, j'en ai une en prod depuis des 
années. Ah mais c'est pas supporté, tu peux pas faire ça, c'est interdit d'y 
aller au Dremel. Ben non ce n'est pas interdit. Ce matos est à moi, je l'ai 
acheté, il est plus sous garantie, si j'ai envie d'y aller au Dremel ou même au 
marteau, ce n'est pas plus interdit que de le repeindre.


Radu tu m'excuseras, mais ça fait 40 ans que j'entends le bullshit du marketing 
des vendeurs et que je prouve que ce n'est pas fondé. Ce n'est pas parce que le 
marketing de Junisco me bassine que certaines fonctionnalités ne sont pas 
implémentées car le matériel ou l'ASIC ne le permet pas que je les crois. Par 
contre, brider ils savent faire; ce n'est pas qu'ils ne peuvent pas faire 
quelque chose, c'est qu'ils ne veulent pas. Le bullshit d'aujourd'hui il est 
encore plus sophistiqué et nettement moins vérifiable que celui d'hier. Aussi, 
ne pas oublier que dans une vie récente je fabriquais de l'ASIC.

Le marketing de Junisco qui raconte des conneries, c'était prévisible. Toi, 
c'est surprenant.

Michel.



Il y a pire, la gamme Power d'IBM... Il te faut une clé d'activation 
pour déverrouiller des processeurs déjà présents dans le serveur que tu 
achètes ! Ca s'appelle du CuOD ! Sont fort les marketeux !


JYL





Sébastien Lesimple a écrit :
Et la mini cooper 1000E de 84, ma première voiture, avec la synchro de seconde 
HS que je vais m'offrire
pouir mes 50 ans!!! (Le 

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Pierre DOLIDON]

d'ailleurs, intel, amd, etc. et n'importe quel acteur qui fait fondre du 
microprocesseur font toujours cela... les cores désactivés sur les CPU 
par exemple, ou les unités de calcul désactivés sur les cartes graphiques...
ils ne s'en cachent d'ailleurs pas du tout ! mieux vaut vendre un 4 core 
avec 1 core désactivé, moins cher que le 4 core normal, mais moins cher, 
que de le balancer parce qu'il présente un tout petit défaut (lié au 
process de fabrication des wafers !)


Le 27/01/2021 à 08:55, Vincent Bernat a écrit :

  ❦ 27 janvier 2021 04:24 GMT, Michel Py:


Maintenant parlons d'ASIC. Un peu plus tard (on passe directement du
processeur 8 bits à 32 bits), le 486SX. Le 80486 (le prédécesseur
direct du Pentium), avait un coprocesseur mathématique intégré. Son
prédécesseur, le 80386 (même si certaines versions (386DX) avaient
aussi le coprocesseur intégré) était généralement vendu comme 386SX
(sans coprocesseur), et les utilisateurs qui voulaient la virgule
flottante en hard ajoutaient le coprocesseur 80387. Il y avait un
support sur la carte mère pour ça.

Le 386SX avait un bus de données de 16 bits au lieu de 32 et le 386DX
n'a pas de copro intégré.

Je ne vois pas de quoi il y a à s'indigner de la segmentation
artificielle du marché. Que je sache, ce 486SX, il était vendu moins
cher que le 486DX. Si Intel trouvait plus économique d'avoir un seul CPU
à produire au final, ça les regarde. Cela permet de ne faire payer la
R sur le FPU qu'à ceux qui achètent cette fonctionnalité. Cela permet
aussi de réduire les coûts en vendant les CPU avec un FPU défectueux.


Le marketing de Junisco qui raconte des conneries, c'était prévisible.
Toi, c'est surprenant.

Hôpital, charité, ...




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Vincent Bernat]

 ❦ 27 janvier 2021 04:24 GMT, Michel Py:

> Maintenant parlons d'ASIC. Un peu plus tard (on passe directement du
> processeur 8 bits à 32 bits), le 486SX. Le 80486 (le prédécesseur
> direct du Pentium), avait un coprocesseur mathématique intégré. Son
> prédécesseur, le 80386 (même si certaines versions (386DX) avaient
> aussi le coprocesseur intégré) était généralement vendu comme 386SX
> (sans coprocesseur), et les utilisateurs qui voulaient la virgule
> flottante en hard ajoutaient le coprocesseur 80387. Il y avait un
> support sur la carte mère pour ça.

Le 386SX avait un bus de données de 16 bits au lieu de 32 et le 386DX
n'a pas de copro intégré.

Je ne vois pas de quoi il y a à s'indigner de la segmentation
artificielle du marché. Que je sache, ce 486SX, il était vendu moins
cher que le 486DX. Si Intel trouvait plus économique d'avoir un seul CPU
à produire au final, ça les regarde. Cela permet de ne faire payer la
R sur le FPU qu'à ceux qui achètent cette fonctionnalité. Cela permet
aussi de réduire les coûts en vendant les CPU avec un FPU défectueux.

> Le marketing de Junisco qui raconte des conneries, c'était prévisible.
> Toi, c'est surprenant.

Hôpital, charité, ...
-- 
October 12, the Discovery.

It was wonderful to find America, but it would have been more wonderful to miss
it.
-- Mark Twain, "Pudd'nhead Wilson's Calendar"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Les âneries que les vendeurs nous racontent

[Michel Py]

> Radu-Adrian Feurdean a écrit :
> Tu as chez certains constructeurs le meme os, mais avec des
> fonctionalites qui dependent des ASICs qui sont mis dedans.

Petit retour en arrière :
Il a 40 ans (début des années 80), le stockage d'un ordinateur personnel (ça a 
commencé avant qu'IBM ne sorte le PC), c'était la disquette; mieux que la K7 
audio et nettement mieux que la bande papier perforée. Il y avait des lecteurs 
de disquettes simple face (dont le très répandu Apple Disk ][, 35 pistes, 
simple face, 143 KO) et des double face (dont le encore plus répandu IBM PC, 40 
pistes, double face, 360 KO, un peu plus tard).
Les vendeurs de disquettes, naturellement, avaient des disquettes simple face 
et des double face, qui évidemment coutaient nettement plus que les simple face.

Là ou ça devient intéressant : une disquette simple face, ça n'existe pas. Le 
processus de fabrication, par nature, couvrait les deux cotés du support en 
même temps.
Tous les possesseurs d'Apple ][ ou //e se rappellent que le lecteur de 
disquette, n'ayant qu'une seule tête de lecture, n'allait pas miraculeusement 
doubler sa capacité; par contre, la disquette simple face, oui. Un coup de 
pince à tiercé (moins dangereux que le couteau de cuisine mal aiguisé) pour 
couper l'encoche de protection d'écriture du coté opposé et on pouvait 
retourner la disquette simple face et doubler "miraculeusement" sa capacité. Vu 
le prix des disquettes, tout le monde le faisait. Eh bien non, ça n'abime pas 
la partie interne de la disquette qui, malgré que l'enveloppe soit carrée, est 
ronde, car elle tourne.

Eh bien, un peu plus tard, quand l'IBM PC est sorti, et malgré qu'il ne fallait 
même plus modifier la disquette, les gens ont continué à acheter des disquettes 
double face, dont la seule différence avec les simple face était le prix.
https://www.techno-science.net/glossaire-definition/Disquette.html
https://fr.wikipedia.org/wiki/Disquette
Comme quoi, hélas, les conneries que le marketing des fabricants racontent, ça 
marche :-(


Maintenant parlons d'ASIC.
Un peu plus tard (on passe directement du processeur 8 bits à 32 bits), le 
486SX. Le 80486 (le prédécesseur direct du Pentium), avait un coprocesseur 
mathématique intégré. Son prédécesseur, le 80386 (même si certaines versions 
(386DX) avaient aussi le coprocesseur intégré) était généralement vendu comme 
386SX (sans coprocesseur), et les utilisateurs qui voulaient la virgule 
flottante en hard ajoutaient le coprocesseur 80387. Il y avait un support sur 
la carte mère pour ça.

Le 486 a été conçu dès l'origine comme DX. Après-coup (la faute à AMD), Intel a 
décidé qu'une version moins chère, sans coprocesseur, était nécessaire. Là ou 
ça devient intéressant : le 486SX était un 486DX absolument complet avec 
coprocesseur, sauf que le coprocesseur était désactivé pendant une phase 
tardive de la fabrication. Ce n'est que bien après qu'ils ont finalement conçu 
un 486SX qui n'était pas un 486DX bridé, et ça n'a pas duré.
https://micro.magnet.fsu.edu/optics/olympusmicd/galleries/chips/intel486sxa.html
https://en.wikipedia.org/wiki/Intel_80486SX
Tu disais quoi, à propos de la fonctionnalité pas dans le chip ?


Encore plus récent, sur du Cisco 2800. Certaines cartes NM (une NM-4E, si ma 
mémoire est bonne) qui ne rentrent pas dans le slot NM de droite, car soit 
disant c'est réservé pour autre chose (la voix ?) et il y a un détrompeur de 
3mm en métal qui les empêche de rentrer. Eh bien en 30 secondes au Dremel, 
elles rentrent, et fonctionnent parfaitement, j'en ai une en prod depuis des 
années. Ah mais c'est pas supporté, tu peux pas faire ça, c'est interdit d'y 
aller au Dremel. Ben non ce n'est pas interdit. Ce matos est à moi, je l'ai 
acheté, il est plus sous garantie, si j'ai envie d'y aller au Dremel ou même au 
marteau, ce n'est pas plus interdit que de le repeindre.


Radu tu m'excuseras, mais ça fait 40 ans que j'entends le bullshit du marketing 
des vendeurs et que je prouve que ce n'est pas fondé. Ce n'est pas parce que le 
marketing de Junisco me bassine que certaines fonctionnalités ne sont pas 
implémentées car le matériel ou l'ASIC ne le permet pas que je les crois. Par 
contre, brider ils savent faire; ce n'est pas qu'ils ne peuvent pas faire 
quelque chose, c'est qu'ils ne veulent pas. Le bullshit d'aujourd'hui il est 
encore plus sophistiqué et nettement moins vérifiable que celui d'hier. Aussi, 
ne pas oublier que dans une vie récente je fabriquais de l'ASIC.

Le marketing de Junisco qui raconte des conneries, c'était prévisible. Toi, 
c'est surprenant.

Michel.


> Sébastien Lesimple a écrit :
> Et la mini cooper 1000E de 84, ma première voiture, avec la synchro de 
> seconde HS que je vais m'offrire
> pouir mes 50 ans!!! (Le BJ tourne a l'huile de Colza produite localement et 
> la Mini a l'éthanol)

J'ai un peu plus de bouteille que toi ; moi j'aimerais bien mettre mes mains 
sur une mobylette (on disait une meule) Peugeot 101 pour voir si débrider le 
carbu ça se