Re: [FRnOG] [ALERT] Incident éléctrique TH2
Si c'est l'explication, c'est foireux. Un client qui fait péter toute l'infra, ca sous entend que l'infra est mal concue :) Bah au 1er étage de TH2 c'est pas la 1ere fois que cela arrive. Un équipement qui fuit, et plouf gros dijonctage. Maintenant c'est que l'infra électrique du 1er est ancienne, et surtout il n'y a pas de double arrivée dans les baies... -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Th2 1er étage down en partie
FYI TH2 1er étage zone 11 down électriquement. Pas mal d'impact de collecte SFR et autre... -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le silence des réseaux
Le 11/04/2012 11:12, Stephane Bortzmeyer a écrit : Paradoxalement, il y a moins de discussions sur Frnog lorsqu'il y a un vrai gros problème opérationnel :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ Ou que la liste est down :p -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] interco ss7
Le 07/05/2012 20:26, ml-frnog a écrit : Bonjour, Pouvez vous m éclairer de vos lumières. Nous souhaitons gérer nos propres ressources en numérotation. Acquérir une tranche de numéros... rien de plus simple que l'envoi du formulaire de commande par courier postal à L ARCEP ... La ou ca se complique ... c'est coté interco. ... 1/ Devons nous obligatoirement nous interconnecter à FT. Non et heureusement car une interco avec FT, c'est encore obligatoirement des E1 cuivres et SS7 obligatoire. N'importe quel autre opérateur fera l'affaire, en SIP, ISDN voir SS7 si vous êtes motivés. 2/ Quel sont les prérequis minimums Un contrat avec un opérateur ? un trunk sip ? 3/ Quel sont les couts moyen fixe/variable d'une interco entre de gamme Quelques milliers d'euros par mois, pareil dépendant de l'opérateur. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Préco pour un LNS - Solution libre ?
Je serais intéressé par les raisons qui font qu'une telle solution n'est justement pas envisagée. Si tu lis le mail initial tu verras que l'on parle de MPLS, et peut être d'ATM. Donc déjà c'est mort pour faire tourner ça sur un serveur en soft sous linux (ou autre). 2000 lignes cela commence à être un peu juste sur un seul serveur aussi. En revanche effectivement cela va couter 10x plus cher. Coté solution hardware, perso feedback très moyen sur du redback (se400), process qui partent en vrille, etc... Feedback plutôt bon sur les juniper serie E en revanche, mais je ne sais plus si c'est encore d'actualité. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] TH2 1ere étage ouest down
Comme d'habitude j'aurais envie de dire... -- Raphaël Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne SFR ? Courbevoie ? Ailleurs ?
Le 10/09/2012 12:25, Jérémy Martin a écrit : Bof, on surveille ça de loin car pas impacté. Mais ça semble être assez impactant pour plein de choses. Le callcenter SFR à l'étage d'au dessus semble submergé d'appels, y doit y avoir de l'ADSL touché... Cordialement, Jérémy Martin Oui en effet, nos collecte ont fait du yoyo cette nuit. Ça a l'air stable ce matin, touchons du bois. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Annonce d'emplois developpeur web
Concernant le salaire du poste en C.D.I. il devrait avoisiner 34 k€ et pour les stagiaires cela dépendra de la convention de stage mais le minimum légal sera assuré. A ce prix là et vu les compétences demandés, bon courage. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch pour GIX local
C'est du vrai TRILL chez Brocade ? J'avais cru comprendre que c'était un truc propriétaire basé sur FSPF ? (Donc pas d'interop possible avec le reste des constructeurs ...) Il y a t'il un constructeur qui implémente du vrai trill ? cisco ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gestions de vos câbles, racks...
Le 26/09/2012 11:40, Matthias GOUPIL a écrit : Pour ma part, nous utilisons racktables et il nous convient parfaitement pour ce dont tu cites. Seule chose qui manquerait, serait la gestion du Spare. D'ailleurs si certains ont de bons conseils/outils opensource, je suis preneur! +1 pour racktables. Nous découvrons tout les jours de nouvelles possibilités de cet outil. Tiens question en passant qui rejoint un peu celle de Mathias : est ce que quelqu'un a trouvé comment gérer proprement des APC zéro U ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Client sous Unix/linux pour du vpn ssl
Le 24/10/2012 15:27, Rémy Pons a écrit : Merci mais je cherchais un client capable de gérer un vpn SSL (niveau 4) pas un tunnel IPsec. Cordialement, Rémy Le 24 octobre 2012 15:13, Guillaume Tournat guilla...@ironie.org a écrit : Le problème c'est que chaque constructeur fait son vpn ssl à sa sauce. Au final c'est toujours du ppp over ssl, mais pour le protocole pour négocier les sessions diffère à chaque fois. A ma connaissance il existe un client opensource pour cisco pix/asa, une implémentation python pour du F5 firepass, on peut utiliser le client juniper sa en cli pure (il doit même trainer une version non java). Pour fortinet en revanche je n'ai rien trouvé, en meme temps comme j'en ai pas j'ai pas beaucoup cherché. A noter qu'a priori cela ne doit pas être bien dur à reverser/coder, mais c'est comme tout il faut prendre le temps de le faire. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Authentification administrateur radius sur smartedge
Le 31/10/2012 14:16, Olivier Benghozi a écrit : La doc vient avec le dictionnaire radius, pourtant. Deux VSA VendorSpecific Integer: 72 TTY-Level-Start 73 TTY-Level-Max, à mettre à 15 (par exemple et pour faire simple). Effectivement je les avait vu, mais mal interprété. En mettant les deux à 15 cela fonctionne. Merci. -- Raphaël Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.
Le 15/11/2012 19:36, Xavier Beaudouin a écrit : Est-ce que SFR Courbevoie est devenue vraiment la cour des miracles, car c'est de plus en plus n'importe nawak la bas... NetCenter cela a toujours été du grand n'importe quoi. J'ai des dizaines d'anecdotes plus ou moins rigolotes sur ce DC : - le fameux incendie des moteurs de la climatisation de 2005, plus de 60degré dans notre suite, et des gens qui ramenaient des clims mobiles en catastrophes. On s'en était bien sorti, mais d'autre non (genre un AS400 cramé) - le dé-cablage (très propre j'admets) de notre déport de 16E1 9C, sur demande d'une société qui n'avait rien à voir. Evidement c’était pas les bon câbles... heureusement qu'on s'en est aperçu très vite et qu'on a pu récupérer les torrons quelques mètres plus loin. - dans une salles mutualisé, les câbles électriques fondu sur la porte arrière d'une de nos baies tellement il faisait chaud (et surtout ils mettaient des portes pleines, argh) - plus drôle, pour dire comment s'est bien géré : on a gardé une baie complète (avec la collecte 9C, et DF associé) sans aucun problème pendant plus de 2ans 1/2 après sa résiliation. Je crois qu'on avait même encore nos accès. Je parle pas même pas des dizaines de coupures électriques (en moyenne une toutes les 6/7 mois)... Concernant les accès physiques : - dans les salles mutu la moitié des baies étaient ouvertes, voire sans porte, ou sans montant sur les cotés (à ce sujet une société que je ne nommerais pas en profitais pour entasser ses serveurs dans des baies qui ne lui appartenait pas ; moi même j'ai du utiliser des baies vides comme rangement pour du spare) - en 2006 pendant 2 mois, tout le système de badgage était HS, et toutes les portes étaient ouvertes depuis l'extérieur jusqu'aux équipements. Très sérieux et secure. Bref avec le recul ça m'amuse, mais jamais je n'irais mette de la prod (ni même du perso) la bas :) A ta place je fuirai (mais on a pas toujours le choix). -- Raphaël Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ]Vends Juniper SSG-320
Le 26/11/2012 10:08, Pierre-Yves Maunier a écrit : Juste pour info, les SSG-320 se transforment en J2320 quand on upgrade de ScreenOS à Junos. Tout à fait, mais attention de base il n'y a que 4 ports. Hors si on veut les mettre en cluster, il ne reste plus qu'une interface utilisable ce qui est très peu pratique. Sinon en release 11 pas de problème particulier. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Security advisory Cisco/Juniper
Hello, Je me demandais si par hasard Cisco ou Juniper n'aurait pas communiqué un security advisory aux gros opérateurs car j'ai mes deux transitaires (Tinet et Tsystem) qui planifient des upgrades en mode urgent, coup sur coup. Si c'est le cas je m'attends pas à ce que l'on me donne les détails du trucs, mais juste une idée de ce qui nous attends. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Sécurité du routage BGP et Avenir de la Télématique
Le 08/01/2013 16:42, Stephane Bortzmeyer a écrit : POur une fois, ce ne sont pas les chinois qui font du détournement BGP ! Cocorico, le Redressement Productif est en route : http://www.bgpmon.net/accidentally-stealing-the-internet/ Sérieusement, l'originalité de ce détournement est que l'origine n'a *pas* été changée et que donc les techniques d'authentification de la l'origine (comme les ROA) n'auraient pas aidé. Celui la il est énorme. Je savais bien que le minitel avait de l'avenir. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forwarding de session L2TP
Bonjour, Je vois bien le truc techniquement parlant, mais quel est l’intérêt d'un tel setup ? Pourquoi ne pas vouloir annoncer ces lns ? Cdt, -- Raphael Mazelier Le 08/01/2013 21:04, Laurent Cima a écrit : Bonsoir, Il te faut la feature vpdn multihop. Coté radius, tu utilises l'attribut 'vpdn:vpdn-redirect-id' pour orienter ta session vers le LNS de ton choix. Laurent Le 08/01/2013 20:37, Olivier CALVANO a écrit : Bonsoir, Une petite question: Il est possible de forwarder une session L2TP (une connexion Adsl France Telecom) sur un autre routeur sans que celui si soit annoncé a FT ? Adsl == Tronc de Collect IP FT Adsl == Forwarder Cisco == Routeur Final terminant le tunnel. Le Forwarder a les sessions BGP avec FT mais annonce que sa loopback et les radius. Si oui, comment on s'y prends ? faut réécrire les requêtes radius ? Merci pour votre aide Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Routage/Route leaking entre VRF et la global table
Bonjour, Une petite question technique pour changer. (Un truc qui me rend fou) J'ai un cpe cisco 887 avec une vrf dessus. J'aurai besoin de pouvoir router des paquets entre un vlan qui est dans la global et un vlan qui est dans la VRF. J'aimerais éviter de terminer avec du MPBGP et deux VRF (d'autant que ça risque d’être compliqué de bouger toute mes interfaces sans me couper la main). En gros je voudrais juste deux routes, une (GLB)subnetB - VRF_B et (VRF_B) subnetA - GLB. Sauf que cela ne semble pas possible simplement. J'ai terminé avec une conf chelou du style : ip vrf VPN rd 1:1 ! interface Loopback1 ip vrf receive VPN ip address 1.1.1.1 255.255.255.255 ip policy route-map TO_VPN ! interface Vlan10 ip address 192.168.31.1 255.255.255.0 ! interface Vlan20 ip vrf forwarding VPN ip address 172.20.1.1 255.255.255.0 ! ip route 172.20.1.0 255.255.255.0 Loopback1 ip route vrf INTV_VPN 192.168.31.0 255.255.255.0 Loopback1 1.1.1.1 ! route-map TO_VPN permit 10 set vrf VPN Mon problème c'est que cela marche dans un sens a savoir : CPE1# ping 172.20.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.20.1.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms mais pas dans l'autre : CPE1# ping vrf VPN 192.168.31.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.31.1, timeout is 2 seconds: Je suis preneur de tout conseil. Cdt, -- Raphaël Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routage/Route leaking entre VRF et la global table
Salut Mitch et bonne année aussi. Alors si même toi tu n'as pas trouvé de conf propre j'ai peu d'espoir :) Pour tester j'ai finalement décider de bouger toutes mes interfaces de la global vers une vrf MAIN. En mettant des routes statiques transitant par la globale mon routage inter vrf marche avec des statiques. Mais bon a ce stade autant enabler MPBGP et faire du route leaking inter vrf normal. Le problème maintenant c'est que quand tu fais ca tu doit dire à tout tes services qui utilisent la global d'utiliser une autre vrf (ip sla, dhcp, dns, ntp). Tout marche ... sauf que j'initiais des tunnels l2tp depuis ce routeur. (sic) Et ça c'est pas prévu... Des fois je hais cisco (remarque sur du juniper j'ai eu récemment le même genre de blague pour le dhcp) Bref vu que j'ai deux cpe relié en back to back je sens que ça va se terminer en routage croisé entre les deux. Je te rassure il s'agit d'une configuration ponctuelle et hautement exotique :/ Le 09/01/2013 20:00, Michel Moriniaux a écrit : Hello Raph, bonne année! on avait essayé ça en 2007 pour qui tu sais sans succes. Je ne sais plus comment et si je l'avais fait fonctionner mais ce n'etait pas satisfaisant pour du mass rollout. Ca revient toujours au meme pour ce genre de choses: boucle externe d'un port a un autre, sur le 887 ça te bouffe 50% des ports et comme ce sont des ports switchés il doit y avoir une difficulté supplémentaire (genre un couple de ports par vrf a importer etc...). il y a peut etre des nouvelles fonctionnalités chez chicco la dessus, ça ne va pas t'aider mais ça existe sur brocade depuis la 5.4: essaye de chercher si tu as une commande du genre vrf toto rd 1:1 import routes vrf default-vrf route-map tata ! ++ MM -- Raphaël Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Frnog et profs/chercheurs/écoles [Was: Le routage, enjeu de cyberstratégie]
Le 10/01/2013 13:39, Christophe Baegert a écrit : Moi j'ai toujours en mémoire cet enseignant parait-il réputé qui m'a dit il y a quelques mois : le level 2 en inter-sites, ça se fait pas Théoriquement il n'a pas complétement tord. Après en pratique on sait tous ce qu'il en est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routage/Route leaking entre VRF et la global table
Bon et bien après avoir tourné le problème dans tous les sens la conclusion c'est effectivement de faire transiter les flux entre mes 2 cpe(s) d'une vrf vers la globale de l'autre et vice et versa. C'est dégueu mais au moins, ça ne bouffe pas plus de port que nécessaire, et cela laisse la configuration relativement compréhensible. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Agregation de liens internet
Le 23/01/2013 17:55, Tristan Mahé a écrit : Bonjour, Et par rapport à du MLPPP au dslam ? Cdt, Il existe des providers qui font ça en France ? En tout cas c'est rigolo d'avoir ce sujet sur Frnog pile poil au moment ou je venais de mettre à jour ma doc pour mlppp et openbsd. Pour ceux que ça intéresse : http://www.futomaki.net/?p=37 -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Agregation de liens internet
Le 24/01/2013 08:05, Jérôme Nicolle a écrit : Tu sais, dans le monde du réseau, un brevet ça signifie que ce sera pas compatible avec la techno équivalente en face. Ca verrouille ton invest sur un seul fourgue, ça crée de la dépendance donc un gros problème. C'est vraiment triste à notre époque de voir des gens proposer des solutions propriétaires, dont le protocole n'est même pas public. Les exploitants ont déjà fait le choix de l'opensource et des solutions inter-opérables. Les sociétés commencent à comprendre elles aussi que choisir le propriétaire c'est verrouiller leur investissement (et ca une société n'aime pas trop) Et cela ne fait que commencer car nous seront les décideurs de demain. A ta place je rendrais le protocole publique, ainsi qu'une implémentation simple open source, et je commercialiserais la version packagés plus ton outil de supervision intégré.-- (un modèle à la openvpn par exemple). Peut être que la on commencerait à s'y intéresser. Au passage tu ne donnes même pas un lien avec un schéma/présentation de ta solution, comment veux tu que ce soit bien accueilli ? Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Agregation de liens internet
ça ressemble pas mal à la solution sur laquelle je bosse depuis un ans (quand je trouve du temps). http://git.sameswireless.fr/l2tpns.git Ça a l'air cool comme projet. J'ai deux / trois questions. Il s'agit d'une implémentation Lns software pour linux. - Comment cela se positionne par rapport à openl2tp par exemple ? - Combien de sessions au max sur un serveur linux récent ? - Est ce qu'un portage sous *bsd est envisageable ? - Est ce que cela gère déjà le mlppp coté serveur ? Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Agregation de liens internet
Et que j'utilise avec de tres bons resultats! 8-) Merci Laurent... Ce thread aura finalement permis de faire connaitre des solution opensource. MLVPN fonctionne sous openbsd d'après le site. Je vais tester ca de suite :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 16:31, Xavier Beaudouin a écrit : Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour le control panel : en gros l'accès au ssh. Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que openBGPd est largement plus économique en mémoire? Certe mais niveau fonctionnalité c'est un poil plus limité quand même. Meme sous OpenBSD je conseille Bird. Concernant le sujet initial pas de firewall sur des routeurs, sauf volumes très faibles. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs pour small-business
Le 05/02/2013 12:14, Emmanuel Thierry a écrit : Bonjour, J'aimerais vos retours et avis sur les différents constructeurs de routeurs pour small business. J'ai installé il y a quelques temps un petit routeur/firewall/VPN Dlink DSR 250 pour une TPE, et je me suis aperçu quelques temps après qu'il n'était pas vraiment sec. Quels constructeurs conseilleriez-vous sur cette gamme ? Une appliance autour de pfsense, (ou directement un openbsd si tu es un vrai). Eventuellement mais c'est plus cher des petits SRX junipers. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech] recherche info équipement électrique
Le 23/03/2013 10:16, Baptiste a écrit : Bonjour, Je suis à la recherche d'un équipement électrique permettant à un serveur/routeur/switch mono alim d'être connecté à deux sources électriques différentes. Le but c'est que le routeur/switch/serveur puisse basculer d'une source d'alimentation à une autre de mananière transparente. A vos références :) J'ai discuté une fois avec le responsable technique d'un datacenter qui m'expliquait qu'il ne trouvait pas les STS très intéressant. Selon lui la durée de vie d'un STS était nettement inférieur à celle d'une alimentation de n'importe quel équipement, et qu'en pratique il avait plus souvent vu ces équipements poser des problèmes plus qu'en résoudre. Je ne sais pas s'il a raison. Ce qui est sur en revanche c'est que les équipements réseaux ont maintenant le plus souvent deux alimentations. Donc idéalement soit je doublerais les équipements réseaux, soit j'en rachèterais des récents. Évidemment c'est pas le même budget :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] OVH KO
Apparemment un 6k fait des siennes à TH2. Ce qui m'étonne en revanche c'est que le service soit impacté à ce point par la perte d'un seul routeur (certes à un endroit stratégique). En gros ca fait 1h30 que tout ovh est quasiment injoignable par intermittence. -- Raphaël Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] OVH KO
La joie de la convergence iBGP avec 330k routes IPv4, a cela faut ajouter le hold timer BGP sur les peers si tu peux pas fermer proprement les sessions, avec un flap de 15 minutes, c'est 100% de downtime assuré. 'Les routes viennent normalement de route reflector, mais il nous reste de routes statique sur le routeur. L'isolation a donc provoqué la panne sur certaines destinations. On vient de reintroduire le routeur dans la backbone. ' Je comprends mieux. Bouh c'est pas bien :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Switch nortel GbESM et un cisco 2960
Le 03/11/2010 17:14, Stephane JAUNE a écrit : On a des choses équivalentes entre des switchs cisco et des routeurs juniper ; ca viendrait des protocoles propriétaires (cdp) qui ne sont pas reconnus sur l'autre équipement. Oui les cisco sont très verbeux de base : CDP, VTP, STP... autant de choses à surveiller de près quand on réalise des trunk avec du cisco. La blague classique du VTP non configuré qui quand on se connecte un autre réseau nous flingue toutes configuration de vlans :p -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] VMWare, vSwitch, Nexus V1000, VLANs et mode promiscuous
Le 03/01/2011 11:57, Baptiste Malguy a écrit : Bonjour, Bon aller, j'amorce (je crois) la première discussion technique de l'année. La version courte pour les pressés : j'aime bien la virtualisation avec VMWare mais je rencontre quelques limitations côté réseau. le Nexus V1000 semble être une partie de la solution et je suis à la recherche de retours d'expérience. La version un peu plus longue à présent. J'ai deux problèmes à ce jour. 1. J'ai des vSwitch avec le numéro de vlan 4095 (tous les VLANs, taggués, arrivent jusqu'aux guests connecté à ces vSwitchs). En revanche, je ne peux pas restreinte les vlans vus par les guests connectés à ces vSwitch, il n'y a pas d'équivalent à un switchport trunk allowed vlan . Avoir une interface par vlan sur mes guests n'est pas une option envisageable (besoin de rebooter pour ajouter une interface, nombre limité, c'est chiant, etc). Du côté du switch physique auquel est connecté l'ESX, j'ai bien évidemment déjà mis un switchport trunk allowed vlan ..., mais j'ai besoin d'être granulaire par guest. Quel est le besoin ? tu as tellement de vlan clients à gérer ? tu ne peux pas segmenter un peu avec diffèrent vswitch / différentes classes de vlan ? D'ailleurs le rajout d'interface à chaud ca fonctionne (au moins sous linux), et cela me semble gérable jusqu'à 4 interfaces par serveurs. Après si tu as plus de quatre vlans par serveurs je penses que tu as un problème d'architecture. (enfin déjà je comprends mal plus de deux). 2. J'ai deux serveurs ESX esx1 et esx2. Sur un esx1 j'ai un guest vm1, sur esx2 un guest vm2. Ils partagent des VIPs, que ça soit par HSRP, VRRP, CARP, ... Ce qui implique une adresse MAC virtuelle (ok, ok, sous Linux, les implémentations VRRP font autrement, plus sale d'ailleurs, selon moi). Ceci m'oblige à autoriser le mode promiscuous pour les interfaces concernés sur ces guests. Ceci a un effet de bord pas du tout désiré : les interfaces de ces guests reçoivent tout le traffic des vSwitchs concernés. Deux fonctionnalités en une, moi ça m'arrange vraiment pas. Je comprends pas le besoin d'être en promiscuous pour faire du HA. Ni le besoin d'une @Mac virtuelle. Ucarp par exemple fonctionne simplement en multicast et en floodant d'arp quand ca change. D'ailleurs je vois pas en quoi c'est sale. D'expérience les @macs virtuelles (sur les Netscreen ou autres) ca m'a plus foutu la zone qu'autre chose. Il y a doit y avoir un point que je ne saisis pas la. Par conséquent, j'ai : - un double problème de sécurité ne pouvant pas restreinte les vlans par guest et les serveurs en promiscuous recevant plein de trafic qu'ils ne devraient pas ; - un problème de charge des guests qui reçoivent du trafic qui leur ait inutile qui remonte jusqu'au noyau de l'OS qui doit dropper les paquets dont il n'a que faire. Nexus V1000 semble apporter une réponse à mon premier problème. Je ne sais pas s'il en apporte aussi une à mon second problème. Les présentations que j'en ai eu ont effectivement de régler le point numéro un. En gros tu as un vrai switch manageable sur ton esx ce qui peut être un vrai plus. Sinon apparemment tu peux aussi le faire avec le dvswitch (pas testé) = http://www.vi-tips.com/2009/07/vlan-trunking-grouping-in-distributed.html Je suis donc très intéressé par un retour sur le Nexus V1000, et si certains ont trouvé comment résoudre ces problèmes (j'imagine ne pas être le premier à les avoir). Teste la version d'essai 60 jours je suis intéressé par le retour :) PS : je ne suis pas certain d'avoir été très clair, reformulation possible sur demande ;-) -- Baptiste MALGUY - www.malguy.net http://www.malguy.net PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 -- Raphaël Mazelier
Re: [FRnOG] VMWare, vSwitch, Nexus V1000, VLANs et mode promiscuous
Le 04/01/2011 10:00, Baptiste Malguy a écrit : Je virtualise des pare-feux et des load-balancers, et le client, c'est moi :). C'est un choix architectural qui peut plaire ou pas. Testé (enfin en prod quand je suis arrivé) et retour arrière :^p. (par exemple des lvs + heartbeat virtualisé sur vmware = échec complet, du notamment au fait qu'en virtualisé tu as une clock matérielle nettement moins fiable). D'une manière générale j'eviterais de virtualiser tout ce qui a besoin d'IO. Bon mais je ne suis pas complétement objectif car je suis contre la virtualisation logicielle en production pour un tas de raisons. Déjà répondu par Thomas. Non thomas a dit qu'il ne comprenais pas non plus. Explique. C'est ucarp qui comble l'incapacité à pouvoir vraiment utilisé une @mac virtuelle sous Linux (à moins que ça n'ait changé depuis la dernière fois que j'ai regardé). Le concept d'un couple VIP + VMAC me semble plus propre qu'un flood ARP. C'est au niveau des tables des équipements L2 que le changement se voit et non dans les tables ARP de tous les équipements/serveurs L3 présents sur les mêmes segments. Ca me semble moins sale, mais on peut avoir des visions différentes. Je connais pas de solution d'@Mac virtuelle sous linux. Tu fais comment ? après que ce soit plus propre ou pas je ne sais pas. C'est juste choisir la technologie qui va poser le moins de problème, et converger le plus rapidement. En l'occurence effectivement avec une @Mac virtuelle c'est théoriquement plus rapide. En pratique... C'est au programme ;-) Merci. -- Raphael Mazelier
Re: [FRnOG] Re: Chassis VS stack
Le 23/03/2011 11:55, Youssef Ghorbal a écrit : Pour recentrer un peu le debat :) Je ne suis pas a la recherche d'une marque ou d'un contrcuteur precis. Ce qui m'interesse c'est de savoir si les gens qui ont mis en place la techno stack recemment en sont content (ou pas) quels sont les avantages, les ecueils qu'ils ont rencontre. Est ce qu'ils ont ete confronte a des difficultes particulieres et se sont dis a un moment avec des chassis on n'aurais pas eu ceci ou cela La techno stack varie d'un constructeur à l'autre. donc c'est un peu logique que l'on te parle de tel ou tel marque. D'ailleurs plutôt que stack vs chassis tu devrais déjà commencer par te poser la question de quel équipementier tu vas choisir et de l'organisation de tes baies de brassage. un avantage des stacks c'est par exemple tu peux faire un câblag très court (10cm) en intercallant un patch panel, un switch, un patch panel, un switch, etc... c'est très propre. en revanche pour une concentration de 800 ports je penses vraiment qu'il faut commencer a utiliser des chassis, ne serait que pour l'installation de tout les switchs. Le contexte est un contexte Campus, il s'agit de la couche d'acces avec Giga+PoE a la prise. avec une concentration de type 400 a 800 prises par local technique. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Problème de peering Proxad / Tinet
Le 19/05/2011 00:40, o2switch - Alexandre a écrit : Pour info, retour du support Tinet (rapide tout au long des échanges) : Tata has opened a ticket and informed us they are seeing congestion on their link with end destination AS 12322. Due to this, you are seeing high latency to the destination IP. The link is congesting during peak hours. Tata will request to their customer to offload the traffic or upgrade the capacity Bonne soirée, Alex, En tout cas je confirme que ce n'est pas réglé et que c'est hyper pénible en soirée. Enfin c'est aussi parce que cela m'impacte directement parce que mon boulot actuel est joignable derrière tinet depuis free. Enfin bon c'est la vie de l'internet... -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Cogent
Parce que les acheteurs visent uniquement le prix vu que niveau compétence technique c'est proche de 0. On échange la qualité contre le prix. Souvent pour une différence de quelques euros (Pour l'avoir vu). Le problème n'est pas tant que des entreprises finales utilisent cogent comme transitaire (elles font ce qu'elles veulent). C'est plutôt que nombre d'opérateurs ont de mauvaises connectivité/capillarité finissent en default via cogent (exemple en cours DTAG). Donc sans le vouloir on est impacté par cogent sans être directement client. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Failover cote client - Quagga exemple de conf BGP ?
Le 22/08/2011 01:17, Thomas Mangin a écrit : Les options de failover cote client sont toutes berk ! Certes, certes mais parfois il n'est pas possible de faire autrement. ARP (relation MAC/IP) expire normalement entre 4 to 6 hours .. sur un cisco c'est 4h par défaut ce qui est extrêmement long. c'est beaucoup plus court sur la majorité des os modernes (entre 15s et 20 minutes) MAC (relation ARP/Port) expire normalement apres 5 minutes Donc au pire tu as quelques minutes d'outage avec la table MAC. Avec la table ARP si peux avoir un gros delai avant la mise a jour surtout si le routeur refuse d'agir sur quand il recoit un gratuitous arp reply, ce qui est le defaut chez Juniper. (ce qui est une tres bonne chose pour la securite ... - imagine bien les attaques de man-in-the-middle autrement). Je crois que l'option par defaut de Cisco est d'accepter (un retour de quelqu'un qui a essaye ?) Oui, ceci peut être extrêmement gênant si ton équipement qui fait gw refuse les gratuitous. http://www.juniper.net/techpubs/en_US/junos11.2/topics/usage-guidelines/interfaces-configuring-gratuitous-arp.html (et le comportement est une option par interface et non pas par VLAN :( ) Donc a mon avis : utiliser un /32 pour le service annonce grace a un IGP/BGP entre l'hote et le routeur est la meilleure solution. pub: j'utilise exabpg a cette fin et supporte un programme externe de watchdog du service afin de retirer l'IP si le service est en panne. On est d'accord que c'est une solution a priori plus propre. Mais j'ai plein d'exemples où ce n'est pas possible : - séparation système/réseaux (pas les même équipes) - pas d'IGP sur le réseau (on ne rigole pas) - les vip doivent être dans le même subnet A propos d'exabgp tu as exemple de conf basique de watchdog applicatif ? Ou même seulement est ce qu'exabgp est capable de faire du tracking ip ? J'utilise pour le moment ifstated sous openbsd pour ce genre de truc, mais c'est moyen propre. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Failover cote client - Quagga exemple de conf BGP ?
- les vip doivent être dans le même subnet Non .. J'ai un /24 pour les IP des machines et j'utilise des /32 pour dans un autre subnet pour les IP de services. Ce que je voulais dire c'est parfois tu as l'obligation d'avoir la VIP dans un subnet bien spécifique, ou que parfois tu ne peux pas te permettre de router le trafic (j'ai l'exemple de flux de backup particulièrement bourrin). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Liaison lan-to-lan SFR / 9ethernet
les joies du L2 over MPLS dont on te dit pas par où ça passe :o) Tiens je croyais que c'était réservé à completel ce genre de problème :p ---[] -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Collecte SFR
Le 18/09/2011 13:41, Laurent CARON a écrit : Bonjour, Pour info, la collecte SFR est completement HS depuis hier Samedi 17 aux environs de 19h (avec qq remontées épisodiques et aussi courtes qu'instables). Si qq'un a plus d'infos... Je précise que je ne suis pas ici pour me plaindre que le fai X ou Y est down, mais bien signaler que la collecte l'est. En effet c'est les montagnes russes sur nos graphs de subscribers sur toutes nos portes de collectes SFR (ou ex 9C d'ailleurs). Ça semble être remonté aux dernières nouvelles. Heureusement que c'est le weekend. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question mise à jour DNS pour les internautes numericable
Difficile à dire, j'ai pas mal de plaintes, mais bon en général on est juste prévenu quand ça ne marche pas et jamais quand ça marche. :) David. Si cela peut aider : - dig de n'importe ou ailleurs que chez NC sur leurs DNS : OK - dig derrière une liaison NC sans box (donc cela élimine la piste du dns cache sur la box) : FAIL, enfin # dig s4.noelshack.com @89.2.0.1 ;; QUESTION SECTION: ;s4.noelshack.com. IN A ;; ANSWER SECTION: s4.noelshack.com. 3600IN CNAME noelshack.com. noelshack.com. 3600IN A 91.121.63.175 Peut être n'est ce pas les même serveurs qui répondent en interne/externe sur la meme @IP ? C'est même assez probable. Cdt, -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question mise à jour DNS pour les internautes numericable
La théorie de la box qui fait du cache, n'est pas à écarter , si j'en crois l'historique des posts . J'aurais tendance à l’écarter car je suis chez NC sans box (cable modem simple) et j'ai le même résultat. -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre ingénieur réseau à consonance système
Le 09/01/2012 17:20, Thomas Mangin a écrit : Il y a des gens avec toutes les compétences demandées, mais elles vont couter très cher. Et ne vont pas vouloir être en bas de l'échelle ... Je suis complétement d'accord avec çà. Ce genre de poste demanderait à être directement rattaché au DT/DSI. Cela aurait pu m’intéresser mais je connais trop bien la société pour ça. Ce n'est pas péjoratif je précise. -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
Sauf que l'ingé compétent, même de culture libriste et linuxienne, a une hiérarchie, et travaille dans une entreprise. Et lorsqu'on lui donne un portable Win7/Office, il l'utilise. Ce qui ne l'empêche pas, pour ses mails persos, de préférer Thunderbird. Je ne vois donc pas le lien entre l'outil utilisé pour la messagerie et la compétence en systèmes/réseaux... Personnellement j'ai toujours refusé de travailler avec Outlook car cela me fait perdre trop de temps. J'ai parfois été seul résistant avec de longue discussions à la clé avec mes managers de l’époque. Respecter sa hiérarchie oui, se faire imposer un outil de manière dogmatique non. Après effectivement j'ai moi même mis en place tout les outils afin d'être inter-opérable avec le reste de la société. Avoir les bons outils pour travailler fait pour moi parti du métier. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
D'aucuns pourraient arguer que tu as perdu + de temps à la mise en place de ces outils d'interop, que tu n'en as gagné. Après, faut voir le temps que tu y as passé... Pas très longtemps, du genre 1/2 journée. Par rapport au temps gagné à ne pas utiliser Outlook, c'est pas beaucoup. Je précise que j'ai été de bonne foi et j'avais préalablement essayé Outlook pendant deux semaines, avant d'abandonner devant le nombre de mail non classé qui s'empilait dans mon inbox. C'est clair que je devais sans doute mal savoir utiliser Outlook, après de manière bizarre j'étais une des rares personnes dans la société à être à jour des mes mails... -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
Si Exchange / Outlook est le standard en Entreprise, il y a une raison. C'est ton droit d'utiliser ces outils. Fonctionnelement il est vrai que c'est très complet. De la à dire qu'Outlook et surtout Exchange sont de bons produits il y a un pas que je ne franchirais pas. Exchange est juste affreux pour l'administrateur. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. Peux tu détailler s'il te plait ? Parce que même si je dois reconnaitre que si les SRX sont loin d'être parfait (configuration trop verbeuse, Alg qui déconnent, limitations stupides en mode cluster) ce sont les firewalls matériels les moins pire que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la Gui en moins). Bien mieux en tout cas que Cisco et Checkpoint par exemple. Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que c'est bien ? Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]Retour d'expériences CGN 444 / NAT64
Le 02/09/2013 15:53, Grégoire Leroy a écrit : Bonjour à tous, Nous sommes en train de tester plusieurs solutions de CGN444 et du NAT64 à états. Pour l'instant, on a mis en place une solution en lab avec un ASR1001 qui fonctionne plutôt bien. Dans la mesure où est plus proche de quelques milliers de clients que du million, on se demande si une solution libre Linux/iptables, FreeBSD/IPFW ou OpenBSD/Packet Filter ne serait pas aussi efficace pour le CGN 444 (pour le NAT 64, les tests avec viagenie/iptables ne se sont pas révélés concluants). Sauf que bon, par expérience, dans le libre, on trouve du stable, du pas stable. Du coup, on serait preneur si vous avez le moindre retour d'expérience en production avec les solutions suscitées. J'ai regardé du côté de Juniper, mais il semblerait que le CGN 444 + NAT64 soit supporté par les MX 240 et 480, soit une gamme visiblement largement au-dessus de l'ASR 1001. Au fond, puisque le CGN 444 c'est juste du NAT classique qu'on sait faire depuis 10 ans, avec juste des problématiques de logs et d'échelle en plus, je me demande si ça n'est pas possible de s'en sortir avec quelque chose de moins spécialisé. Avez vous des retours d'expérience à ce sujet, y compris avec des solutions/constructeurs/modèles non cités ? Nous sommes nous aussi en phase de test d'une solution CGN, a priori du NAT444 car nous ne voulons pas (encore) déployer de v6 sur nos CPEs. Pour le moment les tests que nous avons réaliser avec du matériel A10network sont très concluants. C'est pas super donné mais c'est simple à configurer et ça fait le job. Ceci dit je me posais les mêmes questions que toi au départ, à savoir est que les outils open sources ne peuvent pas gérer ça ? Le problème c'est qu'avec du CGN/LSN même en 444 tu as quand même besoin de plus de fonctionnalités : - batch logging (ou autre) - des fonctionnalités qui rendent le truc le plus transparent possible à tes clients, genre hair-pinning et l'EIP/EIM Hors ça j'ai pas vraiment trouvé d'equivalent en opensource. L'OS qui semble le plus évolué sur la gestion des pools en nat semble OpenBSD avec pf, mais cela ne me semble pas encore assez finement paramétrable. Note : coté Juniper oublie, c'est en pre-test, et comme toutes technos chez Juniper en test, ça va être long à faire déboguer par les clients :/ -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CIsco IOS/Linux
Le 11/09/2013 22:58, Radu-Adrian Feurdean a écrit : Disons que le Linux a plein de drivers prorio... Donc plus tellement libre. Mais c'est pareil avec : - F5 - Extreme Network - Barracuda - F10 (?) - Arista - Brocade (VDX) - Fortinet Force10 a une base Netbsd, de meme que Ericson/Redback. Juniper a une base FreeBSD. F5 avait commencé avec FreeBSD et est passé sur du Linux (bon avec du runit, ça passe). Cela me semble d'ailleurs plus logique pour un constructeur d'utiliser une base système avec une license BSD, de sorte qu'il peuve garder closed le code produit. Le choix de Cisco me semble donc surprenant du point vue légal. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incident Réseau SFR
Le 13/09/2013 16:52, Pierre Col - p...@9online.fr a écrit : Oserai-je écrire que faire des maintenances d'éléments critiques de coeur de réseau un vendredi 13, c'est joueur ? Depuis les update de mes premiers serveurs Minitel sous Unix il y a 27 ans : jamais de mise en prod. ou de mantenance un vendredi ! My 2 cents, Bon c'était dans la nuit de jeudi à vendredi, ça passe encore :) En revanche ce que j'aimerais bien comprendre c'est comment on peut casser 6 proxys radius en même temps et surtout mettre plus de 8H a remonter un service dégradé ? Parce que bon voila un proxy radius c'est relativement statique comme configuration, parce qu'a priori les proxys était bien joignable (donc pas de problème d'annonce/filtre) C'etait sans doute plus compliqué que ça. En tout cas une fois encore le support SFR a été nul, aucun annonce de maintenance planifié, encore aucune annonce d'incidents, fausse excuseses données par le support. Ça devient vraiment pénible de travailler avec eux. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Poste Ingénieur Système et Réseaux
(Il ne s'agit pas d'un poste pur réseau, mais c'est une composante importante et la société est un petit Opérateur Telecom, donc je penses que cela intéressera peut être certain). Ma société (et moi même puisque c'est dans mon équipe) cherchons un Ingénieur Système et Réseaux. De base nous recherchons quelqu'un de plutôt expérimenté (qui a donc déjà au moins une 1ere expérience en environnement de production). J'examine tout les profils, vraiment. L'idée c'est de trouver quelqu'un de bon/qui a envie. C'est un poste un peu mutli-fontcions, la dominante reste de l'admin/ingéniere UNIX, mais il a aussi de la virtualisation, du stokage, du réseau (Cisco, Srx, Juniper, F5) etc... Ce n'est pas segmenté et c'est tout l'intérêt du poste. C'est un poste ou clairement je ne cherche pas qu'un exploitant, mais quelqu'un qui puisse monter des archis, être leader technique. La boite : PARITEL, Opérateur Telecom Le lieu : Courbevoie a coté de TC2 Le salaire : selon profil :p (la liste étant trop publique ,je donne les tarifs en pv, mais on devrait être dans les prix du marché) Le chef : moi Contactez en privé pour plus d'infos. Ci après la fiche de poste (ça donne une idée des technos) -- Raphaël Mazelier --- Au sein de la DSIT, vous évoluerez dans un contexte extrêmement dynamique. Intégré(e) à l'équipe Opération, vous serez chargé(e) de : . L'administration/ingénierie de plates-formes Linux/Windows/sécurité . La participation aux projets d'évolution de l'infrastructure réseaux/sécurité, . Le support aux utilisateurs de la DSI (dev). Vous avez de très bonnes connaissances en: . Systèmes d'exploitation :Linux, Windows Server . Virtualisation : Vmware et outils associés . Base de données : o Mysql, Réplication Mysql o Sql Server . Applications : o Apache, Nginx, PHP, Ldap, o Nagios, Cacti, Bacula o Puppet o Voip : Cirpack, Asterisk, Openser . Langages : o PHP, Perl, Python, Ruby . Réseaux : o Switchs Cisco, Load Balancer F5, Firewall Srx Une très bonne culture Unix et Opensource sont indispensables. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy L2TP avec Orange SFR
Le 17/09/2013 06:28, Olivier CALVANO a écrit : Bonjour, Je reçois actuellement mes connexions Adsl en L2TP/LNS (comme tous le monde). J'ai donc trois sessions BGP dont une me sert a recevoir les annonces d'orange (~900 IP de tête) Pour certaine ligne, je les termine sur mon routeur, pour d'autres je les renvoi vers un client ce qui a nécessité la mise en place aussi d'une session BGP avec lui pour que je lui renvoi les annonces de Orange SFR. Je voudrais changer cela et faire en sorte d'envoyer a mon client que 3 a 4 IP qui seraient des Proxy L2TP mais mon fournisseur me dit que cela ne fonctionne pas avec Orange. Quelqu'un a déjà mis cela en place de façon stable ? Cela nécessite une réécriture des requêtes radius a la volé ? (j'utilise FreeRadius sous linux) J'ai pas trop compris ton setup. Tu termines déjà des sessions L2TP sur un routeur client ? Tu as plusieurs server-end-point ? je comprends pas trop le besoin de monter une session BGP avec ton client ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Double alimentation
Le 18/09/2013 08:58, Fabien V. a écrit : Bonjour, Une expérience similaire avec des STS, qui ont fait sauté les disjoncteurs. Résultat, même ce qui était double alimenté est tombé, le STS ayant switché de voies, a fait tombé l'autre PDU ... Bref, c'est un SPOF difficile à éliminer pour le mono-alim et qui peut engendrer la coupure d'une baie complète A savoir, même si pour l'instant, on continue d'utiliser (une seule fois le problème de coupure total d'une seule baie en 2 ans). +1 Expérience similaire avec des STS qui ont fait disjoncté mes deux arrivées, voir même une fois un STS a commencer à cramer. Les équipements ont surement évolué depuis (2005) mais je reste méfiant. J'en ai discuté avec le responsable technique de TC2 qui me disait hair ce genre d’équipement qui relie deux feeds. Du coup mon conseil c'est : double alimentation quand on peu, que l'on a la place et que c'est critique. Mono alim sinon. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Probleme electrique A TH2 ?
Le 19/09/2013 10:27, Emmanuel Lacour a écrit : électrique/TH2, je ne sais pas, mais au niveau réseau il y a des destinations qu'on arrive plus à joindre depuis 20 minutes ici. Oui problème au 2eme et 3eme sur un des deux feeds. Mais toutes les zones n'ont pas été impacté apparemment. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Probleme electrique A TH2 ?
Pas dans notre salle (22.18). Ceci dit comme je disais j'ai l'impression que Neo prend cher. Le 19/09/2013 12:00, Pierre LEONARD a écrit : Il semblerait que cela vienne de retomber ? Pierre -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sylvain Charron (LASOTEL) Envoyé : jeudi 19 septembre 2013 11:36 À : Arthur Fernandez - Liazo; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Probleme electrique A TH2 ? Impacte en zone 22 sur une seule voie. Quelques machines mono alim sans STS impactees ;-) Sylvain Arthur Fernandez - Liazo arthur.fernan...@liazo.fr a écrit : Salut, pour nous, nous n'avons pas eu d'impact en 12 et 31, mais perdu un des deux feed en 21. par contre comme d'autres, beaucoup de baies clientes en zone 22 impactées. courage pour les équipes sur place A+ -- Arthur Fernandez - Directeur / CEO Liazo - Solutions sur mesure pour opérateurs et entreprises exigeantes. Mobile:+33.6.61.66.89.54, Fixe:+33.1.82.28.82.80, Fax:+33.1.82.28.82.70. siège : 3/7 rue Albert Marquet, 75020 Paris antenne : 35 rue des jeuneurs, 75002 Paris Le 19/09/2013 11:02, Fabien Thapon a écrit : Salut, Pas d'impact au 3 ème étage en 31E (coté EST). Fabien -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frederic Dhieux Envoyé : jeudi 19 septembre 2013 10:44 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Probleme electrique A TH2 ? Hello, Le 9/19/13 10:30 AM, Clement Cavadore a écrit : Oui, au deuxième étage, un de mes routeurs a redémarré. Pas de redémarrage au 1er, ni au 3e (tout au moins pour mes équipements) Pas de problème au 1er de notre côté ni au 3eme. Merci d'avoir précisé l'étage/zone, parce que coupure électrique TH2 sans préciser l'étage c'est très flou vu l'indépendance de ceux ci ;) Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Neo HS ?
Suite au problème à TH2, toutes ce qui passait via Néo partait dans le wrap. On a shuté. Le support est non joignable. Il y a t'il des gens qui constate la même chose ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Neo HS ?
Le 19/09/2013 14:21, Radu-Adrian Feurdean a écrit : Oui.Et ca sans avoir de presence ou des services directement a TH2. En effet. Ironiquement nous avons été touché par la 1er panne car nous avons une salle au 2eme, et nous avons aussi été impacté par le problème Neo, alors que nous sommes raccordés avec eux à TC2... -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] RFC 7021: Assessing the Impact of Carrier-Grade NAT on Network Applications
Le 20/09/2013 11:38, Simon Perreault a écrit : Pour l'avoir fait plusieurs fois, ça varie du tout au tout selon l'application. Par exemple, le port d'Asterisk à IPv6 a été un tâche *énorme*. Alors que le port de FreeSWITCH (une application très semblable) a été fait en quelques jours sans maux de tête. Tout dépend de l'architecture. L’architecture du soft. C'est un joli mot pour dire qu'Asterisk a été développé en mode rache et qu'il y a énormément de refactoring à faire. Déjà rien que la stack SIP ca serait un grand pas; mais c'est en cours, on va y arriver :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Le 03/10/2013 21:04, Guillaume Tournat a écrit : J'ai relu le mail de départ, que j'avais parcouru un peu vite. Je croyais qu'il cherchait le client NSM. Et non, en fait, il cherche le produit complet (la partie serveur), qui effectivement, n'est pas donnée et soumise à licence. Cela dit, j'abonde dans le sens de l'intervention suivante, ce produit est lourd-dingue et mal foutu. Donc à moins d'être maso..., passez votre chemin. Ah NSM ! J'ai survécu pendant 4 ans avec dans job -2. On nous avait vendu ça comme étant la seule solution pour administrer du Netscreen. En pratique c'etait très pénible, entre les desynchro de configuration, les bugs divers, la lourdeur du client en java. Coté serveur ce n'est pas beaucoup mieux, cela te monopolise un serveur RH (ou centos) , avec une bonne propension à leaker de la RAM java oblige. Dans Job -1 j'avais aussi des Netscreen, mais sans NSM. Pour faire court, c'est deux fois plus simple. L'interface Web Netscreen étant largement suffisante. (la CLI ayant juste le mérite d'exister). PS : je précise que NSM pour administrer des SRX, c'est juste une blague. Quant à PulseTruc c'est pas au point. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Le 03/10/2013 23:40, Duga a écrit : Quels types d'équipements souhaites tu administrer ? SRX ? M Series ? EX ? Netscreen ? Pour du netscreen, j'ai envie de dire que l'interface Web embarquée se suffit à elle même. Pour les autres, la solution proposée par Juniper actuellement est JunoSpace (qui ne vaut pas l'investissement financier demandé). Les choix de techno sont encore très mauvais (A quand l'éradication de Flash et Java). Les serveurs nécessitent des ressources énormes (8 go de RAM ). Et les fonctionnalités manquent. J'avoue ne pas connaître (Est ce que cela existe) d'outils graphique alternatifs pour gérer un parc Juniper. PS : Sans lancer de débat, j'ai bien peur que Juniper et interface graphique ne fassent pas bons ménage…. Leur communication réside tout de même autour de leur CLI. Tout à fait d'accord. A noter que pour les SRX l'interface J-WEB est vaguement utilisable. C'est pas génial mais elle a moins le mérite de respecter l'arborescence de la configuration cli. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Le 05/10/2013 12:26, Philippe Marrot a écrit : Les modèles à administrer sont de la serie J. Après lecture des différents avis, je vais tenter le coup pour l'interface J-web, faute de mieux. Si quelqu'un a une version recente du produit, cela m'interesse, cela m'évitera d'attendre une ouverture de compte chez Juniper... PM. C'est toi qui devra les administrer ? si c'est le cas franchement fait l'effort de te mettre à la CLI. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Les modèles à administrer sont de la serie J. Après lecture des différents avis, je vais tenter le coup pour l'interface J-web, faute de mieux. Si quelqu'un a une version recente du produit, cela m'interesse, cela m'évitera d'attendre une ouverture de compte chez Juniper... PM. Alors si la CLI te fait vraiment peur, et que tu as des J-Series je te conseille des les transformer en Netsceen. (il suffit de changer la carte flash). Ainsi tu auras la GUI web netscreen qui est très potable. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15/10/2013 10:03, Raphael Maunier a écrit : La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) On dérive complétement du sujet initial; mais ce débat est très intéressant. (malheureusement cela va partir en flamewar.) Je penses que tu as raisons sur le fait qu'il faut avoir des gens directement opérationnels. Pour cela l'alternance, epitech, 42 whatever font leur taff. Mais je penses aussi que tu as en parti tord sur le fait que l'université produit des gens inadapté, mais c'est sans doute du à mon parcours 100% universitaire (DUT,licence,maitrise,DESS). Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai appris à coté (expérimentation perso, potes). En revanche mes formations m'ont permis d’acquérir les bases théoriques indispensables à la pratique de mon métier. J'ai pu appréhender toutes les technos que je voulais, et si aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à mes formations, et c'est ce que devrait apporter une formation, l'adaptabilité, et apprendre à apprendre. Le truc c'est qu'aujourd'hui on nous sort que notre système universitaire est obsolète, qu'il faut former des mecs opérationnels tout de suite. Fort bien. Mais ça les chinois et les indiens vont aussi savoir le faire. Quel plus value pour les ingénieur français ? C'est peut être ton besoin aussi et le besoin de pas mal de société. OK. Mais c'est un très mauvais pari sur le long terme à mon avis. En conclusion je crois surtout qu'il n'y a pas de règle générale et ce qui fait la différence c'est la passion de son métier. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH]
Le 28/10/2013 10:48, Xavier Lemaire a écrit : Bonjour la liste Amen.fr totalement down ? Le seigneur a peut être eu enfin pitié... Amen. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Comment rangez-vous vos câbles réseaux ?
Pour des photos: http://www.reddit.com/r/cableporn Non Michel tu t'es trompé de section. Les purs, les vrais ils font comme ça : http://www.reddit.com/r/cablefail -- Raphael Mazelier (le vendredi c'est permis) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:12, Jérôme Nicolle a écrit : Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT ou la VRF qui porte des routes publiques. Les deux son théoriquement sensées rester à part. Sur un réseau bien tenu, tu devrais même dropper les paquets ayant pour source ou destination une telle adresse, sans même y réflechir, en ingress sur tous les ports (hors VRF privées) de ton réseau. Du coup, avec un ensemble de ficelles de configuration toutes prêtes intégrant tous les filtres pour respecter cette convention, ainsi que quelques règles de sécurité courantes, alors ça oblige à reprendre pas mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et abandonner la convention. Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas fondamentalement avariées, mais si on commence à ne plus respecter les règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite ? Au diable les RIR, on se sert dans le pool ? Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de libertés alors qu'on est tous sensés resserer la vis pour consolider un réseau de plus en plus critique... Sur le principe on est tous d'accord q'une interco BGP en rfc1918 c'est juste abusé. (meme si techniquement faisable, j'ai du mal à croire que l'opérateur en question soit à deux @IP prés). Après il y a le débat de melanger des IP rfc1918 et des publiques dans la table de routage Internet. C'est laid on est d'accord, mais cela amène parfois a plus de complexité , aka multiplier les vrf(s)/routing instance. Je ne suis pas dogmatique sur la question, tant que tu filtre correctement en sortie. Et la dernière grande question existentielle : comment tu construis ton IGP ? est ce que l'adressage de ton core doit il être en @IP publique ? Évidement que ça parait bien, mais mine de rien, même sur un petit réseau cela fait du gaspillage pour respecter une convention. Une solution : construire son core en IPV6 :) PS : Malheureusement certain en sont rendus à faire des économies de bout de chandelles. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Le 26/11/2013 21:11, Raphael Maunier a écrit : Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible et le mode de licence est pour le moins original ! Qu'est ce que tu trouve pénible à configurer ? long et verbeux je veux bien, mais ça ce scripte assez bien. Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) Automatiser, ou lorsque tu as besoin d'une vraie intégration avec ton core (aka avec du vrai routage dynamique). En gros je dirais que SRX c'est un peu un routeur-firewall. Jamais testé StoneSoft, tu peux m'en prêter un ? :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch silencieux
Le 08/01/2014 18:12, Thomas Frezouls a écrit : Salut à tous, Je cherche des switchs 24 ports giga niveau 2 simple (vlan) pour installer dans un bureau donc... Silencieux. J'ai l'habitude de travailler avec du 2960, du procurve voir du ex2200 Juniper mais niveau silence, ce ne sont pas des références. Des idées ? Alors en mode crade mais qui marche, les 2960 fonctionnent bien sans ventilo. Après si tu es bricoleur tu peux juste mettre une rhéostat sur le fil de l'alimentation du ventilo ce que j'ai fait sur mes 180X at home. (qui pour le coup n'appréciaient pas le mode fanless). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch silencieux
Le 09/01/2014 08:46, Christophe Baegert a écrit : Il n'y a que sur FRNOG qu'on peut entendre des trucs pareils. Sur un forum de mécanique, celui qui dirait qu'une BMW sans ventilo sera plus fiable qu'une Renault avec ferait rire beaucoup de monde !!! Cordialement, Ta comparaison est complétement foireuse. Entre un 2960 qui n'a visiblement pas spécialement besoin de ventilo (voir le post de jérome et mes tests cad des 2960S sans ventilo qui tournent depuis deux ans sans soucis) et un switch avec un os complétement moisi qui va crasher a la 1ere configuration un peu avancé, mon choix est vite fait. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch silencieux
Le 09/01/2014 08:33, Laurent Slysz a écrit : Salut, C'est ce qu'on a utilisé dans nos locaux (SG300-28). La CLI ressemble à de l'IOS mais avec quelques différences notables. Une différence notable c'est que sur le modele que j'avais, passer une commande aussi incroyable que 'no cdp enable' faisait reboot le switch... -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Le 20/01/2014 11:37, Frederic Dhieux a écrit : Bonjour, Forcément je partage un certain agacement sur le sujet. On prévoit toujours 10 min à parfois 30 min dans le planning rien que pour cette partie qui consiste à entrer sur le site. Je ne peux qu’être d'accord. Je ne compte pas le nombre de fois où j'ai du attendre un temps interminable alors que j'étais pressé. Les raisons sont en général (ça liste tous les DC) : - Mauvais fonctionnement des outils et non maitrise par la personne à l'entrée - Procédure compliquée qui pourrait être optimisée par de meilleurs outils (souvent) - Personne à l'entrée débordée par le travail quand il y a du monde (et des livraisons) - Recherche du badge de la personne dans un tiroir rempli de tas de badges - Badge expiré annuellement sans prévenir par mail (ravi quand tu es en urgence à 3h du mat et que le site est sans personnel youpi). A noter que par contre en temps normal c'est le site le plus simple et rapide puisque badge + emprunte palmaire et aucun humain - Système rétinien qui fonctionne pas - Personnel de sécurité en ronde et personne à l'accueil (pour le site ou le DC) Tu as très bien résumé la situation néanmoins je trouve que la situation s'est largement amélioré ces dernière années, surtout du coté de boulevard voltaire, ou on est passé d'une situation parfois ubuesque, a un truc a peu près géré. Plutôt que de distribuer les mauvais points, je dirais aujourd'hui qu'Iliad a le meilleur fonctionnement avec Level 3 le Capitole (sauf l'histoire de l'expiration auto annuelle sans prévenir pour ce dernier). +1, je rajouterais Telecity avec qui je n'ai aucun problème depuis 4ans. Le problème je trouve, c'est que les DC font des procédures poussées pour la sécurité (c'est bien), mais adaptent mal des outils pour celles-ci, rendant le fonctionnement compliqué pour tout le monde et surtout pour un personnel d'abord formé à la sécurité du batiment. La sécurité des datacenters est un sujet en lui même. J'ai un exemple sur lequel je vous laisse méditer : vécu dans un DC du coté de St Denis... les procédures pour rentrer sont complexes aka : - 1er check pour rentrer dans le parking - 1ere porte ou il faut sonner pour rentrer dans le DC - check de la carte d'identité à la guérite puis passage dans le SAS - 2eme sonnette pour enfin ouvrir l'accès a la salle - plus badge individuel pour ouvrir la bonne cage Avec tout cela on pourrait se dire que c'est vraiment ultra secure. Sauf que. En pratique on ouvre la porte de derrière qui donne sur le parking. Donc la procédure quand on y allait à plusieurs et que l'on avait du matos c’était d'envoyer quelqu'un en éclaireur pour ouvrir cette fameuse porte, et ensuite tout le monde rentrait par la porte du parking De toute façon en règle générale les DC sont un vortex temporel, tu penses passer un certain temps au départ et inexorablement quand tu sors tu as fait un plus grand bond dans le temps que prévu :D Ah ça, on arrive pour faire quelque chose, et finalement ou trouve toujours mille trucs à faire, surtout quand on est perfectionniste et que l'on aime les baies bien rangées. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Le 12/02/2014 18:16, MoncefZID a écrit : Certaines solutions ont fait et continuent à faire leurs preuves face aux menaces DDoS et le retour sur investissement est mesurable et démontrable. Sur certains sujets de sécurité il est préférable d'investir d'une façon intelligente pour garantir la meilleure protection Et avoir une alternative libre n'est pas une option ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] avis choix operateurs Trunk SIP
Le 19/02/2014 16:34, benjamin verjade / juratic a écrit : Bonjour, nous sommes chez Telecom Object. Notre trunk sip est très stable et de bonne qualité et leurs tarifs compétitifs. Néanmoins, ils sont infichus de router les appel de secours (oui, c'est une obligation, non ça ne les fait visiblement pas frémir) et nous n'avons pas eu de numéro géographique (dommage du point de vue du public mais pas indispensable). Cordialement. Change. C'est inadmissible. En trunk SIP pur, après tout dépend de ce que tu veux, quel prix. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] avis choix operateurs Trunk SIP
Les appels vers les No d'urgence? J'imagine. Si tu as un trunck SIP pour faire de la terminaison d'appels, non ce n'est pas une obligation dans la mesure ou cela est précisé au contrat. C'est un des point sur lequel je ne transigerai pas. La perte de temps d’être rerouté via le central de Paris (qui d'ailleurs à chaque ne comprends pas) n'est vraiment pas à négliger dans le cas d'urgence humaine. PS : à défaut je peux fournir un extract de cette base sur requête. Mais c'est une fausse solution puisque cela évolue assez souvent. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] avis choix operateurs Trunk SIP
Le 20/02/2014 09:46, François de Rochebrune a écrit : A base de technologie Roumaine libre, (ça, c'est pour rester dans le débat technique : sauriez-vous retrouver cette technologie ?) Les roumains sont forts dans la Voip ! donc au choix : opensips, kamalio, yate ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs cisco
Le 24/02/2014 18:15, Frederic Dhieux a écrit : Hello, Je me posais la même question, est-ce qu'une refonte et une optimisation du design ne serait pas plus efficace que la recherche d'un équipement gérant mieux 1500 routes statiques ? L'optimisation c'est de ne pas mettre 1500 dans un IGP. On vous le répète c'est pas bien. Donc hop hop hop on remet tout ca dans son iBGP :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs cisco
Le 24/02/2014 21:33, Jeremy a écrit : Oui, ça en autre chose, mais aussi le fait qu'à mes yeux, OSPF me semblait le bon compromis entre le routage dynamique et des switch. Sauf que j'ai pas pu anticiper comme je l'aurais voulu à l'époque la table de routage, et je me retrouve piégé aujourd'hui. J'assume l'erreur, je manque d'expérience à ce niveau là, maintenant, je cherche des solutions :) Simple tu migres tout dans bgp. On l'a fait dans des situations plus compliqués que ça (35K de routes subscribers). Si tu tiens réellement à garder ospf alors déporte le n'importe ou ailleurs que sur des 3500X. Si tu n'as aucun budget mets ça sur bird sur un pc ! Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Le 04/03/2014 12:06, Pierre-Yves Maunier a écrit : Les RE du MX104 c'est toujours du PowerPC et j'espère que Juniper prévoit une version Intel de ces RE ou bien un futur Junos plus adapté aux configs PowerPC. Alors on nous annoncé 30% de performances supplémentaires sur la RE du 104. C'est pas terrible mais c'est déjà. Le gros avantage c'est que normalement Juniper devrait sortir des REs plus puissante en 2015 pour les 104. Donc au moins tu as un espoir :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Le 04/03/2014 14:57, Guillaume Barrot a écrit : Ça ira mieux quand Junos sera multithreadé (migration lourde, il faut passer sur un BSD récent donc non reg sur le code etc...) Le principal chantier c'est d'avoir rpd multi-thread. Je crois que c'est censé arriver en 14. Mais je crains qu'il faille attendre quelques releases supplémentaires avant d'avoir un truc raisonnablement stable. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Le 06/03/2014 11:35, Jérôme Nicolle a écrit : Bah, CPU à 1.8GHz au lieu de 1.3, c'est tout. C'est ça. On peut donc espérer que ça aille un peu plus vite (a moins que définitivement le port ppc de junos fasse vraiment n'importe quoi). Maintenant si quelqu'un a un bench on est preneur. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Le 06/03/2014 11:40, Aurélien a écrit : D'ailleurs, je me suis toujours demandé pourquoi il y avait toujours des CPUs aussi moisis sur des routeurs aussi chers ? Sachant que c'est un vulgaire PC industriel, il y a moyen d'avoir un Xeon récent, même les fabricants de firewalls et de loadbalancers s'y mettent... Cordialement, Les gammes supérieures (à partir du 240) chez Juniper ont des REs avec des cpu(s) Intel. Tu peux avoir un quad core 2ghz par exemple. Ce n'est pas le même prix. (tirez en les conclusions que voulez) Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] chaleur en ce 9 mars
2eme et 3eme. Une panne de climatisation un 9 mars... C'est vraiment des champions TH2. Le 09/03/2014 21:35, Julien (JaXX) Banchet a écrit : Bonsoir Pareil au 3ème, j’ai déjà de l'impacte JaXX./. -- De: Pierre-Olivier Lompre pier...@gmail.com Répondre: pier...@gmail.com pier...@gmail.com Date: 9 mars 2014 at 21:27:01 À: Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr Cc: frnog-al...@frnog.org frnog-al...@frnog.org Sujet: Re: [FRnOG] [ALERT] chaleur en ce 9 mars Bonsoir Je confirme de notre coté sur la salle NERIM (11-15 est). Température élevée. Pierre-Olivier Le 9 mars 2014 20:09, Bruno CAVROS / SKIWEBCENTER a écrit : Bonsoir, Meteo France annonce des records en ce 9 mars, il semble qu'il en soit de même au 137 boulevard voltaire... Sauna, hamman inclus ? Bonne soirée Bruno SKIWEBCENTER Tel: +33 3 21 15 15 98 Fax: +33 3 21 15 15 99 www.skiwebcenter.com / i...@skiwebcenter.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Julien (JaXX) Banchet --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] [FRnOG] [BIZ] Contact fournisseur FO DF paris
Bonjour, Ma société aurait besoin d'une cotation pour des dark fibers entre : DC2 - TH2 DC3 - PA3 TH2 - PA3 (hors Sipartech et Neo car nous avons déjà) Donc si des commerciaux Interoute/Telcité/autre lisent cette liste qu'ils me contactent en PM. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Switchs stackables LACP Multi chassis
Le 07/04/2014 18:08, Jean-Baptiste COUPIAC a écrit : Bjr a tous, Je suis à la recherche de switchs stackables pour faire du MLAG (LACP sur deux unités physiques). Le problème principal est que le prix doit être contenu (moins de *1000 EURO* unitaire pour du 24 ports Giga) *Avez vous des modèles à me conseiller dans cette tranche de prix ?* *(Aujourd'hui le seul que j'ai trouvéqui répond presque à la demande est le Cisco 2960X-24TS-L + module Stack 2960X = Total 1300 EURO)* Attention à ne pas confondre MLAG (ou VCP comme on l'appelle chez cisco) et LAG(PortChannel chez cisco) classique sur un stack (technologie éprouvé depuis longtemps). Dans ton cas j'ai l'impression que tu veux juste un LAG sur deux membre d'un stack. Le cisco 2960X est sans doute ce qu'il te faut (si tu veux un truc qui marche) et si tu cherche un peu tu le trouveras meme dans ton budget. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mais que fait Montebourg ?!?
Le 28/04/2014 14:56, Frédéric GANDER a écrit : c'est un peut le retour au source pour neo ... pas de quoi s’énerver et c'est pas comme plus de 50% des transitaires/fournisseurs en france était déjà internationnaux. Personne ne s’énerve. Je crois que cela faire rire la plupart. Et puis si ça peut laisser un peu de place au vrai acteur de proximité, ma foi je ne vais pas m'en plaindre. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impossible de migrer les Users/Group OpenBSD 4.6 vers OpenBSD 5.5
Ce n'est pas la bonne liste; mais bon soyons indulgent : Peut être que le format des .db a changé. Bref je t'invite a extraire le contenu du /etc/passwd et /etc/master.passdwd. Tu sauves le tout dans ce que tu veux. Et après tu copies/paste dans ton 5.5 avec vipw. Je vois pas bien pourquoi ça ne marcherais pas ? Le 02/05/2014 15:45, Laurent Laurent a écrit : Bonjour à Tous, Désolé de vous embêter et merci pour ceux qui vont se motiver à lire plus loin que le bout de cette phrase :). J'ai un problème pour récupérer mes Users/Group en migrant d'un OpenBSD 4.6 vers 5.5 (Le serveur est utilisé en tant que serveur SFTP, donc beaucoup de comptes et je ne peux pas les taper à la main surtout que la probabilité que les utilisateurs ayant un compte dessus aient perdus leur mdp est grande :) ). Normalement un scp des fichiers suivant et cela fonctionne : /etc/master.passwd /etc/passwd /etc/pwd.db /etc/spwd.db Jusqu'à la version 5.4 ça fonctionne correctement, je viens d'essayer sur la version 5.5 et pas de chance, il me demande le mdp de connexion et celui rentré à l'installation ne fonctionne pas. Quelqu'un aurait-il réussi à migrer avec ses anciens Users/Groups? Et si oui, je serais ravi de lire comment vous avez fait. En vous remerciant. Bon Week-end. Laurent. PS : On est peut-être Vendredi mais c'est une vrai demande :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch L2 48x1GbE + 4x10GbE (SFP+) ?
Il reste Juniper avec le VirtualChassis et Brocade (certains ICX et les FCX) qui font du stacking. Pour le coup en stackable les ex3200 sont une bonne option, 4 ports SFP+, fonctionne pas trop mal une fois qu'on a saisi les 2/3 subtilités du L2 chez Juniper. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch L2 48x1GbE + 4x10GbE (SFP+) ?
Le 21/05/2014 14:00, Raphael Maunier a écrit : EX3300 car les 3200 n’ont que 2*10G A noter que les EX3200/3300 ne sont pas double alims. Raphael On 21 May 2014, at 13:57, Raphael Mazelier r...@futomaki.net wrote: 3200 j'ai dit 3200 ? il fallait évidement comprendre EX3300. Et oui simple alimentation, très embêtant, mais bon vu le prix faut pas trop en demander. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Contact commercial Colt
Vendredi, flemme, toussa... Donc si quelqu'un a un contact commercial chez Colt - PV. Désolé pour le bruit. -- Raphael Mazelier (AS39605) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Demande de contact Jaguar
Hello, Est ce qu'il y a quelqu'un chez Jaguar qui travaille/répond en ce jour férié/non férié ? En mp. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Voip
Mais globalement les solutions constructeurs tout en un ne sont pas par non plus a mon sens forcement plus stable. Par contre monter une archi intelligente en découpant les briques/fonctions oui :p Asterisk n'est pas une mauvaise techno en soi, mais cela ne fait pas tout. Par exemple pour gérer du gros volumes de SIP il vaut mieux se tourner vers du *ser*. etc... (On peut en discuter en pm) Le 12/06/2014 10:57, David Ponzone a écrit : Ok mais il ne faut pas croire que: grand constructeur = $ = qualité de service En plus, pour un « grand constructeur » , tu seras un « tout petit ». Ne pas oublier que de plus en plus, les routeurs deviennent des serveurs. La plupart des solutions SIP de « grand constructeur » sont basés sur des serveurs Linux (certains ne s’en vantent pas). Je gère quelques serveurs Dell sur lesquels je n’ai pas eu le moindre problème en 8 ans, donc peut-être que c’est du côté du serveur que tu devrais regarder (grand constructeur ou assembleur genre Supermicro, au choix). Si vraiment tu veux une machine qui n’est pas un serveur pour faire ton SIP, il faut que tu décides si tu veux une seule machine qui fait tout (SIP et TDM) ou si tu veux séparer les 2 (SIP-SIP pour connecter les clients, et SIP-TDM pour raccorder les E1). Dans les 2 cas, tu dois pouvoir trouver ton bonheur chez Cisco, mais je ne pourrais te dire quel modèle, je n’ai jamais utilisé Cisco pour la voix, et Patton. Patton, ça fait le café et plus encore. Un SmartNode 1 avec 8E1 et qui peut donc connecter 240 canaux SIP, avec alim AC redondantes, ça doit couter dans les 10k€, prix public. Le 12 juin 2014 à 10:38, Lucas Viallon lucas.vial...@gmail.com a écrit : Bonjour Le jeudi 12 juin 2014, David Ponzone david.ponz...@gmail.com a écrit : Tu veux dire que tu veux arrêter d’utiliser du gratuit et payer 50k€ pour faire la même chose ? Et bien oui, j'arrive a un stade ou il est nécessaire je pense d'investir pour garder une qualité de service Ben va voir ACME Packet, Aleo, et autres :) Sérieusement, je suis pas sûr de comprendre ton besoin. SI tu as un problème de fiabilité, commence par virer Asterisk et le remplacer par FreeSWITCH. Déjà, tu mettras 10 fois plus de clients sur la même machine, sans jamais le moindre plantage, et ça t’ouvrira la porte à un monde de possibilités. Actuellement ce qui m'embête le plus, c'est le hardware type serveur et l'OS L'aspect asterisk fonctionne en lui même (bon je lui demande pas grand grand chose aussi) Je préfère avoir des équipements comme par exemple des routeurs que des serveurs ou l'on a souvent des merdes Si vraiment tu veux payer une solution commerciale (hard ou soft) pour faire la même chose, tu dois avoir une raison. Si le problème vient des E1, il faudrait peut-être penser à avoir d’autres routes que des E1 chez un « grand » opérateur. Non le problème n'est pas les e1 aussi cela marche bien cela :) Le 12 juin 2014 à 09:40, Lucas Viallon lucas.vial...@gmail.com a écrit : Bonjour Actuellement je fournis une trentaine de trunk sip a mes clients via un simple Asterisk connecte a des E1 d un grand opérateur. Je souhaite fiabiliser tout cela et je sollicite vos conseils :) Exist il des solutions professionnel de grande marque qui fait a peu près tout ce que propose un fournisseur trunk traditionnel ? Merci d'avance Lucas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Voip
Il y a visiblement des possibilités sur FreeSWITCH, mais ça semble dépendre des
capacités du poste SIP:
https://wiki.freeswitch.org/wiki/Mod_voicemail#Can_I_share_voicemail_boxes_between_multiple_phones.2Fusers.3F
C'est précisément la partie qui ne marche pas avec Asterisk: si tu essaies, le
téléphone qui est le dernier à s'enregistrer sur le compte SIP est celui qui
devient actif et les autres sont dans une situation bizarre. D'où les
ring-groups, mais c'est nul voir ci-dessus.
Plusieurs postes enregistrés sur le même compte SIP, ça marche avec Freeswitch?
Essayé de vrai? Jusqu'à présent le seul système que j'ai vu qui permette çà
c'est Broadworks.
Oui ça marche nickel.
J’avais un doute car je ne m’en sers pas, donc je viens de vérifier en vitesse
:)
multiple-registrations à true dans le profile
et ensuite, il faut bridger l’appel avec:
action application=bridge data=${sofia_contact(username)} »/
Mes 2 softphone (Zoiper et Telephone) m’ont bien présenté l’appel entrant.
Connaissant très bien Asterisk depuis 2003 je peux te dire que tout ce
que tu veux faire est possible. En revanche je connais aucune des
surcouches, et à mon avis c'est la que c'est limitant.
Dès que tu veux faire un peu de custom avec Asterisk je te conseille
vivement de gérer ta logique d'appel via une agi. C'est certes plus
complexe mais beaucoup plus flexible, et au moins tu comprends ce que tu
fais.
Par contre je ne comprends pas l’intérêt d'avoir un même poste
enregistré avec le même compte SIP ?
C'est précisément la partie qui ne marche pas avec Asterisk: si tu
essaies, le téléphone qui est le dernier à s'enregistrer sur le compte SIP
Oui c'est le principe même du SIP. Ca n'a aucun sens d'avoir plusieurs
téléphones s'enregistrer en meme temps sur le même compte SIP, sauf
éventuellement pour de l'appel sortant.
La grosse confusion que font les gens c'est de confondre compte SIP et
extension. Et donc je te rassure les groupes d'appels, chainés ou pas,
avec voicemail ou pas ça fonctionne. Juste il faut le gérer à la main.
Le petit point touchy effectivement c'est le MWI qu'il vaut mieux
déléguer à un démon externe.
--
Raphael Mazelier
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Voip
Le 17/06/2014 21:41, Tristan Mahé a écrit : On appelle ça des bindings, et oui ça marche avec n'importe quelle stack SIP sérieuse ( freeswitch/dérivés de SER/... ), c'est dans la RFC bien évidemment... Oui oui les bindings. A l’époque c'était juste mal gérés/pas gérés dans aucune stack SIP.. Ça a du changer. Avoir le même compte SIP sur son mobile et son softphone sur le portable et son téléphone physique, faire du followme easy, partager un numéro de standard sur plusieurs postes dans les petites structures, faire du failover easy avec plusieurs box qui s'enregistrent sur le même compte... Pleins d'usage pour ça ! Les utilités sont la. Après dans tes exemples : - partager son même compte sip softphone/portable : pourquoi pas, mais pourquoi ne pas utiliser plusieurs comptes sip ? ça me parait plus propre - follow me : oui peut être le cas le plus légitime d utilisation des bindings - partager un numéro de standard : bah euh comme dit précédemment numéro != compte sip, donc je trouve plus propre avec plusieurs compte SIP - failover avec plusieurs box ? : bah c'est encore mieux avec X comptes sip ? Parce que la stack SIP asterisk est justement 'bête' et un peu boiteuse, le dernier as raison, non les cocos, si pas de 'deregister' il faut garder tous les registers jusqu'à expiration, enfin sans troller, la stack asterisk mériterai un sacré coup de rewrite, mais ça je vais arrêter de le dire, je pense en avoir suffisament parlé... Ce n'est pas un troll c'est un fait admis de tous. Meme des développeurs asterisk :) On peut espérer que la nouvelle stack basé sur pjsip rendra le truc un peu meilleurs. Après je pourrais discuter de l'architecture d'asterisk pendant des heures, et et la réécriture de la stack sip ne résoudra pas tout :) Asterisk c'est flexible, facilement extensible, et avec l'age suffisamment stable. Il n’empêche que ça reste un hack initial, et que pour une grosse architecture il vaut mieux séparer les fonctions et préferer des démons au fonction dédiés (opens*; freeswitch, rtpproxy/fwd, voir yate) suivant la fonction. Une extension n'est qu'un compte SIP local sur un pbx, tu peux faire du multiple bindings la dessus aussi :) Non une extension c'est une extension. Tu peux ou pas la lier à un compte sip, un voicemail, n'importe quoi en fait Mais c'est bien deux choses différentes. Un peu comme une entrée DNS et une adresse IP. Au plaisir d'en discuter. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] WDM/10G monofibre: Quels constructeurs?
Le 18/06/2014 21:10, Professor GEEK a écrit : Bonsoir, j'avais lors d'une précédente etude sélectionné MRV et Interdata pour des équipements DWM dans l'idée de faire transiter du Ficbre channel et du GB ethernet sur une paire. MRV très bien, sinon SolidOptics font des mux passifs très bien aussi. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] WDM/10G monofibre: Quels constructeurs?
Le 19/06/2014 10:47, Jérôme Nicolle a écrit : Bonjour, Il n'y a pas vraiment d'intérêt à faire du monofibre dans ton cas. Sur une paire dons les deux brins sont co-linéaires sur l'ensemble du tracé, la probabilité qu'un incident touche l'un mais pas l'autre est quasiment nulle. En mono ou bi fibre le risque le plus important est la perte d'une optique. Ce risque sera identique que tu utilises l'une ou l'autre méthode, et ce pour chaque canal. Pour ton utilisation, je préconiserai donc plutôt de t'en tenir à un schéma simple : mux passif 12 ou 16 canaux, avec des optiques 1G et 10G colorées, directement dans les équipements pour peu qu'ils gèrent le DOM. Ce sera moins cher et tout aussi safe qu'un montage à base de circulateur ou de décalage de wave. Ah oui tout à fait, j'avais mal lu le début du thread. Dans ton cas fait comme dit Jérôme. En général la pelleteuse ne fait pas dans le subtil et coupe la paire entière :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] WDM/10G monofibre: Quels constructeurs?
Les optiques CDWM à 150e tu les trouves ou Jerome ? j'aurais pas bien confiance :) Le 19/06/2014 12:20, Fabien LEBRET a écrit : Merci pour les infos, ça me donne une idée de budget pour ce genre de besoin. Le 19 juin 2014 12:05, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 19/06/2014 11:48, Fabien LEBRET a écrit : Pour ma culture générale, vous parlez d'un budget de combien pour ce type de besoin de raccordement ? A la grosse louche tenue par un doigt mouillé : 400€ par mux, 250€ par optique giga CWDM, entre 150 et 400€ pour les 10G. Donc pour 2x10G et 8x1G, avec jarretières, atténuateurs et tout le merdier, t'es à moins de 5k€. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Collectif d'opérateurs
Je penses que c'est assez simple en regardant les archives de savoir qui est à la base du collectif. Ceci dit le sujet n'est pas in-intéressant. Mais il faut en dire plus et nous expliquer les points qui fâchent, et les propositions que vous feriez pour améliorer la situation. Le 19/06/2014 14:12, Sebastien Lesimple a écrit : Ok alors nommez-vous en MP si vous avez aussi peur que ça du régulateur et du grand méchant Tout Orange... Et dites clairement ce que vous souhaitez de cette déclaration. Sur quels produits voulez-vous agir? Sur quelles pratiques souhaitez-vous une action du régulateur? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Vlans traversants
Bonjour à tout le monde sur la liste. Hier en regardant le design de notre archi de firewalling interne je me suis demandé pourquoi on en été arrivé à une telle complexité : pas moins de 8 sessions bgps croisés entre les deux firewalls en cluster... bref. Je me rappelle que le départ de ce design complexe était du au fait que nous voulions pas de vlans 'traversants' entre nos différents sites et sur nos interlans. Les différents ingé réseaux que j'ai connus m'ont toujours affirmé que faire des vlans propagés sur plusieurs sites physiques c'était pas bien. Je peux concevoir qu'il vaut mieux avoir des coupures propres niveau layer3 plutôt qu'avoir un layer 2 coupé en deux, mais a quel prix niveau compléxité qui en découle ? Je penses aussi qu'il vaut mieux avoir des gateway sur le même site pour éviter des aller-retours inutiles sur l'interlan. J'aimerai avoir votre avis et des arguments sur cette affirmation car je trouve ca quand même assez pratique du point de vue de l'administrateur système que je suis. Cdt, -- raf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG
Le 30/07/2009 10:57, Alexandre Legrix a écrit : sip show peer numerodupeer Ainsi on remarque la ligne suivante : Reg. Contact : sip:u...@192.168.1.7:5060 Ce qui est un contact faux, puisque ton contact est censé être quelque chose de contactable au sens IP du terme. Mais cela marche car Asterisk sait que ton peer est Naté et donc envoie les paquets sur l'@IP d'où il a recu le paquet. On remarque ce type d'enregistrement sur un serveur asterisk lorsque tout va bien. (pour mon cas) Avec la fonction ALG cisco l'enregistrement se fait plutot ainsi : Reg. Contact : sip:u...@ipwan:8190 Ce contact est bon si ton cisco a bien natté sur le port 8190. Le problème en général c'est qu'il faut laisser les pinhole ouvert sur ce port (la table nat si tu veux). Est ce que t'on asterisk fait du qualify ou mieux est ce que ton téléphone à paramètre nat keepalive quelconque. Le problème étant que Appriori le serveur asterisk s'emmele les pinceaux lorsqu'il a besoin de faire sonner un téléphone se trouvant derrière cette ipwan. J'imagine que tu n'as pas de problème pour les appels sortants. Si ce c'est le cas c'est clairement un problème de pinhole. sip debug peer est ton ami. Il faudrait aussi pouvoir sniffé du coté de ton tél. J'ai tenté de désactiver la fonction sip alg, en suivant quelques post cisco/forum etc ... J'ai donc cette directive dans ma conf : no ip nat service sip udp port 5060 no ip nat service sip tcp port 5060 Hum ca désactive le nat sur le port en question globalement; pas sur que cela marche. Regarde la doc de référence cisco sur le sujet : http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_sip_alg_aic.html ça ne donne rien, le téléphone se présente toujours au server asterisk avec son ip wan et pas son ip lan. Je désespère un peu je pense avoir quasiment tout tenté. Si quelqu'un à une idée. Cordialement. Ah les joies de la Voip et du Nat. Pourquoi les vendeurs essaye t'il de refourguer des ALG sip qui ne marche jamais ? -- raf --- Liste de diffusion du FRnOG http://www.frnog.org/
