subject:"Re\: \[FRnOG\] \[TECH\] Aruba non conciliant avec les VLAN attribués par freeradius"

RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-09 Par sujet Lionel Sani

Bonjour à tous,

Une piste très intéressante aussi c'est la solution Aerohive. Qui propose une 
solution à management dans le cloud (à ne pas confondre avec contrôleur dans le 
cloud). En d'autre terme c'est une vraie solution "controller less"
Si le client n'est pas fan du cloud public, Aerohive propose en VM sa solution 
de management (Hivemanager) qui peut être déployée en Cloud privée. L'avantage 
étant que l'interface d'admin et les fonctionnalités sont identiques et on peut 
passer du cloud public ou cloud privée de façon transparente (export/import de 
la conf).
Avec Aerohive pas de souci de licensing. Si le client ne renouvelle pas les 
licences, les AP continuent de fonctionner sans problème. Ce que le client 
perd, c'est le management centralisé des AP.
En terme de fonctionnalités pour l'aspect gestion fine des VLAN notamment, 
Aerohive est très en avance.

Lionel SANI

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Arnaud Launay
Envoyé : dimanche 8 mai 2016 19:12
À : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par 
freeradius

Le Sun, May 08, 2016 at 06:08:43PM +0200, David Ponzone a écrit:
> Avec Meraki, il reste le problème de licensing qui t’oblige à dire au 
> client qu’il devra repayer toutes les X années pour que les AP 
> marchent.

C'est un peu le gros reproche que je leur fais. Non seulement tu payes le 
matériel aussi cher que les autres, mais en plus, si tu ne veux pas repayer 
après, tu te retrouves avec un presse-papier.

Si tu ne payes plus, que tu n'aies pas accès aux dernières màj, soit, ça ne me 
choque pas. Que ça se transforme purement et simplement en presse-papier du 
jour au lendemain, ça l'est.

Ou alors, il faut qu'ils mettent le matériel en leasing, support compris, et 
que tu ne deviennes jamais propriétaire du presse-papier.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-08 Par sujet Michel Py

> Arnaud Launay a écrit :
> Si tu ne payes plus, que tu n'aies pas accès aux dernières màj, soit, ça ne 
> me choque pas. Que
> ça se transforme purement et simplement en presse-papier du jour au 
> lendemain, ça l'est.

Je plussoie aussi. C'est le business du cloud : tu ne possèdes plus rien.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-08 Par sujet David Ponzone

Je plussoie...

David Ponzone



> Le 8 mai 2016 à 19:12, Arnaud Launay  a écrit :
> 
> Le Sun, May 08, 2016 at 06:08:43PM +0200, David Ponzone a écrit:
>> Avec Meraki, il reste le problème de licensing qui t’oblige à
>> dire au client qu’il devra repayer toutes les X années pour que
>> les AP marchent.
> 
> C'est un peu le gros reproche que je leur fais. Non seulement tu
> payes le matériel aussi cher que les autres, mais en plus, si tu
> ne veux pas repayer après, tu te retrouves avec un presse-papier.
> 
> Si tu ne payes plus, que tu n'aies pas accès aux dernières màj,
> soit, ça ne me choque pas. Que ça se transforme purement et
> simplement en presse-papier du jour au lendemain, ça l'est.
> 
> Ou alors, il faut qu'ils mettent le matériel en leasing, support
> compris, et que tu ne deviennes jamais propriétaire du presse-papier.
> 
>Arnaud.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-08 Par sujet Arnaud Launay

Le Sun, May 08, 2016 at 06:08:43PM +0200, David Ponzone a écrit:
> Avec Meraki, il reste le problème de licensing qui t’oblige à
> dire au client qu’il devra repayer toutes les X années pour que
> les AP marchent.

C'est un peu le gros reproche que je leur fais. Non seulement tu
payes le matériel aussi cher que les autres, mais en plus, si tu
ne veux pas repayer après, tu te retrouves avec un presse-papier.

Si tu ne payes plus, que tu n'aies pas accès aux dernières màj,
soit, ça ne me choque pas. Que ça se transforme purement et
simplement en presse-papier du jour au lendemain, ça l'est.

Ou alors, il faut qu'ils mettent le matériel en leasing, support
compris, et que tu ne deviennes jamais propriétaire du presse-papier.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-08 Par sujet David Ponzone

En terme de pricing, si tu revends, tu devrais avoir accès à un tarif dealreg.
Avec Meraki, il reste le problème de licensing qui t’oblige à dire au client 
qu’il devra repayer toutes les X années pour que les AP marchent.
Tu peux le faire passer en support obligatoire mais c’est pas toujours possible 
avec tous les types de client.



> Le 8 mai 2016 à 09:45, Antoine Benkemoun-André  a écrit 
> :
> 
> Ruckus est effectivement sur ma liste de fournisseurs à tester. J’attends de 
> voir ce que Meraki vont nous proposer en termes de pricing et en fonction on 
> verra.
> 
> Le contrôleur dans le cloud ca me plait sans me plaire vraiment mais disons 
> que le niveau de fonctionnalité/analyse est vraiment impressionant.
> 
> En terme de nombre de clients, ca ne devrait pas être un soucis pour nous. On 
> doit être à 10 clients par AP max.
> 
>> Le 7 mai 2016 à 21:24, David Ponzone  a écrit :
>> 
>> La prochaine fois, tu essaieras Ruckus, ça existe maintenant sans contrôleur 
>> et niveau features, c'est complet. Et les perfs, rien à dire.
>> Après, effectivement, quand on est pas dérangé à l'idée d'avoir des AP 
>> contrôlées par le cloud constructeur, Meraki, c'est que du bonheur.
>> Attention aux perfs avec beaucoup de clients, c'était leur point faible sur 
>> les anciens AP. Pour les nouveaux, je n'ai pas trouvé de benchmark.
>> 
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 7 mai 2016 à 19:02, Antoine Benkemoun-André  a 
>>> écrit :
>>> 
>>> Le plus gros problème avec les Aironet c’est qu’ils dépendent énormément du 
>>> contrôleur. Sans ça, rien ne fonctionne. On souhaitait aussi passer au 
>>> 802.11ac et doubler la zone de couverture. Financièrement, c’était moins 
>>> cher de refaire en Aruba controller-less que de doubler le contrôleur Cisco 
>>> et acheter de nouveaux AP.
>>> 
>>> On a déployé une dizaine d’Aruba sur tous nos bureaux à l’étranger en WPA 
>>> tout bête avec succès donc on était pas mal en confiance. On s’est joliment 
>>> pris un gros mur.
>>> 
>>> Ubiquiti Unifi c’est pas mal, c’est ce que j’ai chez moi. Le soucis c’est 
>>> que c’est vraiment très très léger niveau fonctionnalités et configuration. 
>>> L’AP que j’ai chez moi est même pas assez intelligent pour changer de 
>>> fréquence pour éviter la bande de fréquences du pont wifi (Ubiquiti 
>>> Nanostation) qui est juste à coté (<1m). Habitant à la campagne, c’est 
>>> vraiment pas un environnement RF complexe, il n’y a que ça à éviter. Leur 
>>> interface de gestion avec MongoDB me refroidit pas mal aussi.
>>> 
>>> Deux mois c’est long effectivement… J’irais pas jusqu’à dire que tous les 
>>> supports ne valent rien même si je peux comprendre l’exaspération. On a de 
>>> bonnes expériences avec le support Dell qui s’est très fortement amélioré 
>>> depuis fin 2015. Quelques bonnes expériences avec VMware aussi.
>>> 
>>> J’ai fait un test avec un Cisco Meraki et paf ça a fonctionné directement 
>>> avec 802.1X et allocation de VLAN dynamique. On a encore pas mal de tests à 
>>> faire. Ca fait toujours que 3 mois que ça devrait être en production :P
>>> 
>>> Antoine
>>> 
>>> 
 Le 6 mai 2016 à 19:01, Michel Py  a 
 écrit :
 
>> Antoine Benkemoun-André a écrit :
>> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco 
>> Aironet 2609.
 
 Par curiosité, pourquoi tu voulais remplacer les Cisco Aironet ?
 J'ai déployé récemment 3 UniFi AC Pro avec du WPA tout bête, çà marche 
 pour moi. Radius pas encore testé.
 
> On vient de passer deux mois avec leur support outsourcé en Inde qui n’a 
> jamais réussi à avancer
> sur le sujet et avec leurs développeurs chinois qui parlent à peine 
> anglais. On jette l’éponge :)
 
 Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
 jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(
 
 Michel.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-08 Par sujet Antoine Benkemoun-André

Ruckus est effectivement sur ma liste de fournisseurs à tester. J’attends de 
voir ce que Meraki vont nous proposer en termes de pricing et en fonction on 
verra.

Le contrôleur dans le cloud ca me plait sans me plaire vraiment mais disons que 
le niveau de fonctionnalité/analyse est vraiment impressionant.

En terme de nombre de clients, ca ne devrait pas être un soucis pour nous. On 
doit être à 10 clients par AP max.

> Le 7 mai 2016 à 21:24, David Ponzone  a écrit :
> 
> La prochaine fois, tu essaieras Ruckus, ça existe maintenant sans contrôleur 
> et niveau features, c'est complet. Et les perfs, rien à dire.
> Après, effectivement, quand on est pas dérangé à l'idée d'avoir des AP 
> contrôlées par le cloud constructeur, Meraki, c'est que du bonheur.
> Attention aux perfs avec beaucoup de clients, c'était leur point faible sur 
> les anciens AP. Pour les nouveaux, je n'ai pas trouvé de benchmark.
> 
> 
> David Ponzone
> 
> 
> 
>> Le 7 mai 2016 à 19:02, Antoine Benkemoun-André  a 
>> écrit :
>> 
>> Le plus gros problème avec les Aironet c’est qu’ils dépendent énormément du 
>> contrôleur. Sans ça, rien ne fonctionne. On souhaitait aussi passer au 
>> 802.11ac et doubler la zone de couverture. Financièrement, c’était moins 
>> cher de refaire en Aruba controller-less que de doubler le contrôleur Cisco 
>> et acheter de nouveaux AP.
>> 
>> On a déployé une dizaine d’Aruba sur tous nos bureaux à l’étranger en WPA 
>> tout bête avec succès donc on était pas mal en confiance. On s’est joliment 
>> pris un gros mur.
>> 
>> Ubiquiti Unifi c’est pas mal, c’est ce que j’ai chez moi. Le soucis c’est 
>> que c’est vraiment très très léger niveau fonctionnalités et configuration. 
>> L’AP que j’ai chez moi est même pas assez intelligent pour changer de 
>> fréquence pour éviter la bande de fréquences du pont wifi (Ubiquiti 
>> Nanostation) qui est juste à coté (<1m). Habitant à la campagne, c’est 
>> vraiment pas un environnement RF complexe, il n’y a que ça à éviter. Leur 
>> interface de gestion avec MongoDB me refroidit pas mal aussi.
>> 
>> Deux mois c’est long effectivement… J’irais pas jusqu’à dire que tous les 
>> supports ne valent rien même si je peux comprendre l’exaspération. On a de 
>> bonnes expériences avec le support Dell qui s’est très fortement amélioré 
>> depuis fin 2015. Quelques bonnes expériences avec VMware aussi.
>> 
>> J’ai fait un test avec un Cisco Meraki et paf ça a fonctionné directement 
>> avec 802.1X et allocation de VLAN dynamique. On a encore pas mal de tests à 
>> faire. Ca fait toujours que 3 mois que ça devrait être en production :P
>> 
>> Antoine
>> 
>> 
>>> Le 6 mai 2016 à 19:01, Michel Py  a 
>>> écrit :
>>> 
> Antoine Benkemoun-André a écrit :
> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco 
> Aironet 2609.
>>> 
>>> Par curiosité, pourquoi tu voulais remplacer les Cisco Aironet ?
>>> J'ai déployé récemment 3 UniFi AC Pro avec du WPA tout bête, çà marche pour 
>>> moi. Radius pas encore testé.
>>> 
 On vient de passer deux mois avec leur support outsourcé en Inde qui n’a 
 jamais réussi à avancer
 sur le sujet et avec leurs développeurs chinois qui parlent à peine 
 anglais. On jette l’éponge :)
>>> 
>>> Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
>>> jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(
>>> 
>>> Michel.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-07 Par sujet David Ponzone

La prochaine fois, tu essaieras Ruckus, ça existe maintenant sans contrôleur et 
niveau features, c'est complet. Et les perfs, rien à dire.
Après, effectivement, quand on est pas dérangé à l'idée d'avoir des AP 
contrôlées par le cloud constructeur, Meraki, c'est que du bonheur.
Attention aux perfs avec beaucoup de clients, c'était leur point faible sur les 
anciens AP. Pour les nouveaux, je n'ai pas trouvé de benchmark.


David Ponzone



> Le 7 mai 2016 à 19:02, Antoine Benkemoun-André  a écrit 
> :
> 
> Le plus gros problème avec les Aironet c’est qu’ils dépendent énormément du 
> contrôleur. Sans ça, rien ne fonctionne. On souhaitait aussi passer au 
> 802.11ac et doubler la zone de couverture. Financièrement, c’était moins cher 
> de refaire en Aruba controller-less que de doubler le contrôleur Cisco et 
> acheter de nouveaux AP.
> 
> On a déployé une dizaine d’Aruba sur tous nos bureaux à l’étranger en WPA 
> tout bête avec succès donc on était pas mal en confiance. On s’est joliment 
> pris un gros mur.
> 
> Ubiquiti Unifi c’est pas mal, c’est ce que j’ai chez moi. Le soucis c’est que 
> c’est vraiment très très léger niveau fonctionnalités et configuration. L’AP 
> que j’ai chez moi est même pas assez intelligent pour changer de fréquence 
> pour éviter la bande de fréquences du pont wifi (Ubiquiti Nanostation) qui 
> est juste à coté (<1m). Habitant à la campagne, c’est vraiment pas un 
> environnement RF complexe, il n’y a que ça à éviter. Leur interface de 
> gestion avec MongoDB me refroidit pas mal aussi.
> 
> Deux mois c’est long effectivement… J’irais pas jusqu’à dire que tous les 
> supports ne valent rien même si je peux comprendre l’exaspération. On a de 
> bonnes expériences avec le support Dell qui s’est très fortement amélioré 
> depuis fin 2015. Quelques bonnes expériences avec VMware aussi.
> 
> J’ai fait un test avec un Cisco Meraki et paf ça a fonctionné directement 
> avec 802.1X et allocation de VLAN dynamique. On a encore pas mal de tests à 
> faire. Ca fait toujours que 3 mois que ça devrait être en production :P
> 
> Antoine
> 
> 
>> Le 6 mai 2016 à 19:01, Michel Py  a 
>> écrit :
>> 
 Antoine Benkemoun-André a écrit :
 Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco 
 Aironet 2609.
>> 
>> Par curiosité, pourquoi tu voulais remplacer les Cisco Aironet ?
>> J'ai déployé récemment 3 UniFi AC Pro avec du WPA tout bête, çà marche pour 
>> moi. Radius pas encore testé.
>> 
>>> On vient de passer deux mois avec leur support outsourcé en Inde qui n’a 
>>> jamais réussi à avancer
>>> sur le sujet et avec leurs développeurs chinois qui parlent à peine 
>>> anglais. On jette l’éponge :)
>> 
>> Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
>> jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(
>> 
>> Michel.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-07 Par sujet Olivier Varenne

> Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
> jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(


C’est mal de mettre tout le monde dans le même panier 
Certains essayent de fournir un bon service support a leurs clients…

Envoyé de mon téléphone Windows 10

De : Michel Py
Envoyé le :vendredi 6 mai 2016 19:02
À : 'Antoine Benkemoun-André'; frnog-t...@frnog.org
Objet :RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par 
freeradius

>> Antoine Benkemoun-André a écrit :
>> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco 
>> Aironet 2609.

Par curiosité, pourquoi tu voulais remplacer les Cisco Aironet ?
J'ai déployé récemment 3 UniFi AC Pro avec du WPA tout bête, çà marche pour 
moi. Radius pas encore testé.

> On vient de passer deux mois avec leur support outsourcé en Inde qui n’a 
> jamais réussi à avancer
> sur le sujet et avec leurs développeurs chinois qui parlent à peine anglais. 
> On jette l’éponge :)

Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-07 Par sujet Antoine Benkemoun-André

Le plus gros problème avec les Aironet c’est qu’ils dépendent énormément du 
contrôleur. Sans ça, rien ne fonctionne. On souhaitait aussi passer au 802.11ac 
et doubler la zone de couverture. Financièrement, c’était moins cher de refaire 
en Aruba controller-less que de doubler le contrôleur Cisco et acheter de 
nouveaux AP.

On a déployé une dizaine d’Aruba sur tous nos bureaux à l’étranger en WPA tout 
bête avec succès donc on était pas mal en confiance. On s’est joliment pris un 
gros mur.

Ubiquiti Unifi c’est pas mal, c’est ce que j’ai chez moi. Le soucis c’est que 
c’est vraiment très très léger niveau fonctionnalités et configuration. L’AP 
que j’ai chez moi est même pas assez intelligent pour changer de fréquence pour 
éviter la bande de fréquences du pont wifi (Ubiquiti Nanostation) qui est juste 
à coté (<1m). Habitant à la campagne, c’est vraiment pas un environnement RF 
complexe, il n’y a que ça à éviter. Leur interface de gestion avec MongoDB me 
refroidit pas mal aussi.

Deux mois c’est long effectivement… J’irais pas jusqu’à dire que tous les 
supports ne valent rien même si je peux comprendre l’exaspération. On a de 
bonnes expériences avec le support Dell qui s’est très fortement amélioré 
depuis fin 2015. Quelques bonnes expériences avec VMware aussi.

J’ai fait un test avec un Cisco Meraki et paf ça a fonctionné directement avec 
802.1X et allocation de VLAN dynamique. On a encore pas mal de tests à faire. 
Ca fait toujours que 3 mois que ça devrait être en production :P

Antoine


> Le 6 mai 2016 à 19:01, Michel Py  a écrit 
> :
> 
>>> Antoine Benkemoun-André a écrit :
>>> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco 
>>> Aironet 2609.
> 
> Par curiosité, pourquoi tu voulais remplacer les Cisco Aironet ?
> J'ai déployé récemment 3 UniFi AC Pro avec du WPA tout bête, çà marche pour 
> moi. Radius pas encore testé.
> 
>> On vient de passer deux mois avec leur support outsourcé en Inde qui n’a 
>> jamais réussi à avancer
>> sur le sujet et avec leurs développeurs chinois qui parlent à peine anglais. 
>> On jette l’éponge :)
> 
> Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
> jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-06 Par sujet Michel Py

>> Antoine Benkemoun-André a écrit :
>> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco 
>> Aironet 2609.

Par curiosité, pourquoi tu voulais remplacer les Cisco Aironet ?
J'ai déployé récemment 3 UniFi AC Pro avec du WPA tout bête, çà marche pour 
moi. Radius pas encore testé.

> On vient de passer deux mois avec leur support outsourcé en Inde qui n’a 
> jamais réussi à avancer
> sur le sujet et avec leurs développeurs chinois qui parlent à peine anglais. 
> On jette l’éponge :)

Deux mois, tu es plus patient que moi. C'est malheureux à dire, mais ces 
jour-ci on peut rarement se fier au support, quel que soit le vendeur :-(

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-05-06 Par sujet Antoine Benkemoun-André

Un petit retour pour la postérité si quelqu’un tombe plus tard sur ce thread.

Nous avons eu un fix version d’Aruba qui a réparé le soucis de VLAN mais qui en 
a créé de nombreux autres. Avec une ubuntu qui télécharge en tache de fond sur 
un poste client, on crée des drops de sessions TCP/UDP de 5-10 minutes toutes 
les 15 à 45 minutes.

Je pense que le mode sans contrôleur est la source du problème car il semble 
être limité à une utilisation pour juste quelques APs. On a quelques 
installations à 2 AP et juste du WPA tout bête alors que là on en avait 4 avec 
du 802.1X.

On vient de passer deux mois avec leur support outsourcé en Inde qui n’a jamais 
réussi à avancer sur le sujet et avec leurs développeurs chinois qui parlent à 
peine anglais. On jette l’éponge :)

Antoine

> On 08 Mar 2016, at 12:41, Antoine Benkemoun-André  
> wrote:
> 
> Bonjour à tous,
> 
> Je vous fais un retour rapide de sorte à ce que si quelqu’un retombe sur ces 
> messages ultérieurement, il aura au moins une piste.
> 
> Après avoir posté sur le forum d’Aruba, nous avons eu accès à leur support et 
> ils nous ont aidé à troubleshooter tout ca. Le résultat est que c’est un bug 
> dans le firmware et ils vont le réparer. La nouvelle version sortira mi-Mars 
> et devrait résoudre ce bug.
> 
> Bonne journée,
> 
> Antoine
> 
>> On 29 Feb 2016, at 17:30, Antoine Benkemoun  
>> wrote:
>> 
>> Bonjour à tous,
>> 
>> Cette requête serait idéalement dirigée vers le support Aruba/HP mais nous
>> sommes en train d'essayer de nous démêler au niveau de nos contrats avec
>> eux et donc nous sommes coincés en attendant. C'est assez fou comment
>> obtenir du support pour des équipements achetés par les canaux officiels du
>> constructeur peut être compliqué... Bref.
>> 
>> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco
>> Aironet 2609. Une de ces bornes est master des autres.
>> 
>> Nous avons fait la configuration du freeradius pour qu'il fasse
>> l'authentification des clients en 802.1X via le NTLM et qu'il fasse ensuite
>> un lookup LDAP pour envoyer des attributs en fonction de la présence de
>> l'utilisateur dans un groupe donné. On a essayé d'utiliser les attributs
>> vendor-specific Aruba-User-Vlan et Aruba-User-Role ainsi que les attributs
>> Tunnel de Microsoft.
>> 
>> Cette partie-là fonctionne car dans le freeradius -X les attributs
>> s'affichent correctement et sur la capture Wireshark les attributs sont
>> bien présents dans les paquets.
>> 
>> Néanmoins, lorsque l'Aruba reçoit ces attributs, il n'en fait rien 2 fois
>> sur 3. Avec certains utilisateurs, 2 de leurs équipements sont dans le VLAN
>> par défaut et 1 équipement est dans le bon VLAN. Pour les autres, c'est
>> apparemment aléatoire.
>> 
>> On a sorti le débug des AP et on remarque que lorsque ca fonctionne on a la
>> ligne suivante :
>> 
>> <501142>  <172.17.16.2 84:D4:7E:C0:A0:FA>  Derive user vlan:
>> 98:e0:d9:ae:83:29 Derive user Vlan 1700 from VSA
>> 
>> Lorsque ca ne fonctionne pas, on a quelque chose comme ca à la place :
>> 
>> <172.17.16.2 84:D4:7E:C0:A0:FA> stm[1852]:
>> VLAN_HIGHER_PRECEDENCE_THAN_STORED: 1064: vlan_rule_index=ff,
>> sap_sta->vlanhow=ff, precedence_result=1
>> <172.17.16.2 84:D4:7E:C0:A0:FA> stm[1852]: __HIGHER_PRECEDENCE_COMPARE:
>> 1041: matched_rule_index=37fff, sap_sta->acl_rule_index=0,
>> precedence_result=1
>> stm[1852]: <501146>  <172.17.16.2 84:D4:7E:C0:A0:FA>  Derive user
>> role: cc:20:e8:b9:45:43 Match user role  acl 136 rule_index 0x37fff
>> 
>> On dirait donc qu'il trouve le rôle ailleurs lorsque ca ne fonctionne pas
>> mais la question est où ?
>> 
>> Évidemment quand on faisait les tests dans le lab, ça fonctionnait tout à
>> fait correctement sinon c'est pas rigolo !
>> 
>> Si quelqu'un a déjà rencontré ce problème ou un problème similaire, nous
>> sommes donc preneurs de retour :-)
>> 
>> Merci par avance,
>> 
>> Antoine
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

2016-03-08 Par sujet Antoine Benkemoun-André

Bonjour à tous,

Je vous fais un retour rapide de sorte à ce que si quelqu’un retombe sur ces 
messages ultérieurement, il aura au moins une piste.

Après avoir posté sur le forum d’Aruba, nous avons eu accès à leur support et 
ils nous ont aidé à troubleshooter tout ca. Le résultat est que c’est un bug 
dans le firmware et ils vont le réparer. La nouvelle version sortira mi-Mars et 
devrait résoudre ce bug.

Bonne journée,

Antoine

> On 29 Feb 2016, at 17:30, Antoine Benkemoun  
> wrote:
> 
> Bonjour à tous,
> 
> Cette requête serait idéalement dirigée vers le support Aruba/HP mais nous
> sommes en train d'essayer de nous démêler au niveau de nos contrats avec
> eux et donc nous sommes coincés en attendant. C'est assez fou comment
> obtenir du support pour des équipements achetés par les canaux officiels du
> constructeur peut être compliqué... Bref.
> 
> Nous avons 5 bornes Aruba IAP-205 qui vont remplacer nos bornes Cisco
> Aironet 2609. Une de ces bornes est master des autres.
> 
> Nous avons fait la configuration du freeradius pour qu'il fasse
> l'authentification des clients en 802.1X via le NTLM et qu'il fasse ensuite
> un lookup LDAP pour envoyer des attributs en fonction de la présence de
> l'utilisateur dans un groupe donné. On a essayé d'utiliser les attributs
> vendor-specific Aruba-User-Vlan et Aruba-User-Role ainsi que les attributs
> Tunnel de Microsoft.
> 
> Cette partie-là fonctionne car dans le freeradius -X les attributs
> s'affichent correctement et sur la capture Wireshark les attributs sont
> bien présents dans les paquets.
> 
> Néanmoins, lorsque l'Aruba reçoit ces attributs, il n'en fait rien 2 fois
> sur 3. Avec certains utilisateurs, 2 de leurs équipements sont dans le VLAN
> par défaut et 1 équipement est dans le bon VLAN. Pour les autres, c'est
> apparemment aléatoire.
> 
> On a sorti le débug des AP et on remarque que lorsque ca fonctionne on a la
> ligne suivante :
> 
> <501142>  <172.17.16.2 84:D4:7E:C0:A0:FA>  Derive user vlan:
> 98:e0:d9:ae:83:29 Derive user Vlan 1700 from VSA
> 
> Lorsque ca ne fonctionne pas, on a quelque chose comme ca à la place :
> 
> <172.17.16.2 84:D4:7E:C0:A0:FA> stm[1852]:
> VLAN_HIGHER_PRECEDENCE_THAN_STORED: 1064: vlan_rule_index=ff,
> sap_sta->vlanhow=ff, precedence_result=1
> <172.17.16.2 84:D4:7E:C0:A0:FA> stm[1852]: __HIGHER_PRECEDENCE_COMPARE:
> 1041: matched_rule_index=37fff, sap_sta->acl_rule_index=0,
> precedence_result=1
> stm[1852]: <501146>  <172.17.16.2 84:D4:7E:C0:A0:FA>  Derive user
> role: cc:20:e8:b9:45:43 Match user role  acl 136 rule_index 0x37fff
> 
> On dirait donc qu'il trouve le rôle ailleurs lorsque ca ne fonctionne pas
> mais la question est où ?
> 
> Évidemment quand on faisait les tests dans le lab, ça fonctionnait tout à
> fait correctement sinon c'est pas rigolo !
> 
> Si quelqu'un a déjà rencontré ce problème ou un problème similaire, nous
> sommes donc preneurs de retour :-)
> 
> Merci par avance,
> 
> Antoine
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

[TECH] RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius

12 matches

Site Navigation

Mail list logo

Footer information