Michel,
Il faut lire...
Arista a un gros défaut oui c’est son temps pour programmer les routes. Tout
est en CPU est c’est long très long trop long (coucou quand tu as plus de 3M de
routes)
A la place ils ont fait des mécanismes pour qu’en moins de 60ms si je ne me
trompe pas ça bascule sur un
> Alexis Lameire a écrit :
> C'est quelque chose qui est de l'ordre du protocole BGP. Au sein du même AS
> dans lequel tes routeurs
> de bordures font partis, il n'y a pas de prepend de l'AS-PATH quand la route
> est apprise de l'autre
> côté. Donc il cherche la route la plus courte d'un point
Hello,
Bon j'ai eu pas mal de retours, où tout converge vers la création d'un
2e objet route en parallèle, avec le nouvel ASN.
Effectivement, on m'a mis en garde sur les "mnt", surtout quand un
transfert de ressource est impliqué. On peut vite s'emmeler les
pinceaux quand on manipule des
C'est ce que je fais actuellement.
Mais le but c'est de vraiment simplifier au maximum le travail, la doc,
le réseau.
Mais il y a une paire de Mikrotik qui tient l'ASN actuellement que je
souhaite supprimer. Lui faire rentrer du trafic pour le faire ressortir
sur l'ASN principal derrière (avec
Hello,
Le mardi 13 avril 2021 à 18:57 +0200, Cedric Schwoerer a écrit :
> On a repris un opérateur récemment et ses ressources IP & ASN
> publiques (d'autres vont suivre). Les ressources sont en train d'être
> migrées au niveau du RIPE pour être rattaché à notre LIR principal.
>
> Dans un souci
On Tue 13 Apr 2021 18:57:27 GMT, Cedric Schwoerer wrote:
> Dans un souci de simplification (et soulager vos routeurs)
Un préfixe est un préfixe, sauf si tu peux aggréger des préfixes
ensembles (et ne plus annoncer les more-spec) ça prendra exactement la
même place en TCAM.
--
Alarig
On Tue, Apr 13, 2021 at 09:09:33PM +0200, Spyou wrote:
>
> Le 13/04/2021 à 18:57, Cedric Schwoerer a écrit :
> > Bonsoir,
> >
> > On a repris un opérateur récemment et ses ressources IP & ASN publiques
> > (d'autres vont suivre). Les ressources sont en train d'être migrées au
> > niveau du RIPE
+1
et mettre les deux AS (anciens et nouveaux) dans RPKI pour le meme
subnet, histoire de.
Bien sur cela n'est possible que lorsque tous les subnets sont sous le
meme LIR. Le 'peut pas' viens peut etre de la..
CQFD
On 13/04/2021 21:09, Spyou wrote:
Le 13/04/2021 à 18:57, Cedric Schwoerer
Le 13/04/2021 à 18:57, Cedric Schwoerer a écrit :
> Bonsoir,
>
> On a repris un opérateur récemment et ses ressources IP & ASN publiques
> (d'autres vont suivre). Les ressources sont en train d'être migrées au
> niveau du RIPE pour être rattaché à notre LIR principal.
>
> Dans un souci de
❦ 13 avril 2021 18:28 +02, Will van Gulik:
> De ce que j'ai lu dans le man et en re-regardant ma conf, j'utilise le
> forwarding-agent dans ma config, et je me connecte à un host (final) via
> un bastion. Dans ce cas, j'ai une clef pour mon bastion, et des clefs/une
> clef pour mes
> serveurs
Bonsoir,
On a repris un opérateur récemment et ses ressources IP & ASN publiques
(d'autres vont suivre). Les ressources sont en train d'être migrées au
niveau du RIPE pour être rattaché à notre LIR principal.
Dans un souci de simplification (et soulager vos routeurs), je voudrais
éteindre le
On Tue, Apr 13, 2021 at 03:24:48PM +0200, Julien Escario wrote:
>
> Le 13/04/2021 à 13:33, Will van Gulik a écrit :
> > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support
> > u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs
> > derrnière n'ont pas encore
Le 13/04/2021 à 15:24, Julien Escario a écrit :
Note : gpg-agent ne semble pas
supporter l'agent-forwarding (ou j'ai loupé un truc).
gpg-agent supporte l'agent-forwarding. Je l'utilise avec une clé Yubico.
C'est assez pratique et, je pense, pas si dangereux que ça car tu dois
valider
Hello
Je rajouterais que sur Cisco et Arista (peut être d autres) il y a l
attribut weight qui reste purement local et prévaut devant le localpref.
++
Pierre
Le mar. 13 avr. 2021 à 16:29, Alexis Lameire a
écrit :
> Hello.
> C'est quelque chose qui est de l'ordre du protocole BGP.
>
> Au sein
Hello.
C'est quelque chose qui est de l'ordre du protocole BGP.
Au sein du même AS dans lequel tes routeurs de bordures font partis, il n'y
a pas de prepend de l'AS-PATH quand la route est apprise de l'autre côté.
Donc il cherche la route la plus courte d'un point de vue de "l'extérieur"
Si tu
Il semble que Arista-2, quand il reçoit les routes de Arista-1, juge ces routes
meilleures que celles apprises en eBGP. Cela se voit au nombre de routes reçues
en retour par Arista-1 (i.e. quasi rien). Arista-2 juge donc que pour sortir de
ton AS il faut aller vers Arista-1 via le lien « iBGP
Le 13/04/2021 à 13:33, Will van Gulik a écrit :
> Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support
> u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs
> derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire,
> j'aimerai faire du 2FA,
On Tue, Apr 13, 2021 at 11:01:29AM +0200, Julien Escario wrote:
>
> Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> > Bonjour à tous,
> > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
> > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
> > ..) et
Le 13/04/21 à 10:40, Remi Desgrange a écrit :
> Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un
> tmux dans le shell (sur le bastion donc). Tu à ainsi l'enregistrement de ce
> que tu fais (compliance toussa) + retour de la session si le SSH coupe.
Sauf que je suppose
Bonjour,
Pour ma boite je cherche des gens qui peuvent me faire maintenance software
(pas hardware) d'un mx80 et me fournir une license S-MX80-SA-FP :)
Merci de me répondre en privé :)
Cordialement,
Xavier
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Le mardi 13 avril 2021 (10:40), Remi Desgrange écrivait :
>
> Pour les clés 2FA phy les yubikey cpas mal.
>
C'est hors sujet par rapport à la question posée mais je signale que
les clefs fido2/U2F peuvent aussi rendre plus souples l'usage des
clefs ssh. Avec un ssh pas trop vieux supportant les
Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> Bonjour à tous,
> Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
> connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
> ..) et chaque profil n'a accès qu'à ce qu'il a besoin.
> Mais dans le cadre de
+1
Avec le bastion Wallix on peut proxyfier tous les flux d'admin et notamment
les flux SSH.
Si mes souvenirs sont bons, d'après la norme PCI-DSS une seule 2FA est
nécessaire. Celle-ci peut être faite au moment de l'authentification sur le
Bastion.
Une fois sur le Bastion, en fct des privilèges
Hello Mickael,
Par le passé, j’ai mis en place cet solution https://goteleport.com/ en tant
que Bastion SSH avec record session + 2FA Hard Yubikey.
Intégration transparente au niveau de OpenSSH tant que la config est bien faite
et qu’un login au bastion est réaliser.
Je ne travaille plus dans
Salut Mickael,
Regarde du côté de Wallix + OneLogin
(https://www.onelogin.com/partners/technology-partners/wallix).
A+
Le 13/04/2021 10:28, « Mickael Hubert » a écrit :
Bonjour à tous,
Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
connectons à des accès
Je n’ai pas la solution parfaite, mais déjà dans ton .ssh/config tu peux
mettre un "SeverAliveInterval 30" pour maintenir la connexion, on peut même
baisser a 5 pour les 4G dans le train :-)
Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un
tmux dans le shell (sur le
+1
Nicolas Girardi.
> Le 13 avr. 2021 à 10:34, Francois Lesueur a
> écrit :
>
> Bonjour,
>
> Peut-être "Le Bastion" de chez OVH ? https://github.com/ovh/the-bastion
> Il avait été présenté dans ce podcast :
> https://www.nolimitsecu.fr/the-bastion/
>
> Je ne sais pas si c'est simple à
Bonjour,
Peut-être "Le Bastion" de chez OVH ? https://github.com/ovh/the-bastion
Il avait été présenté dans ce podcast :
https://www.nolimitsecu.fr/the-bastion/
Je ne sais pas si c'est simple à déployer...
À bientôt
François
Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> Bonjour à tous,
>
Bonjour à tous,
Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
..) et chaque profil n'a accès qu'à ce qu'il a besoin.
Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à
valider,
Enlever no negociation auto sur l'équipement en face... pas de limitation sur
le nombre de ports d'un 24S, uniquement celle liée à la combinaison
simultanément des ports 1Gb et 10Gb de la carte NM.
Désolé pour le bruit de fond !
De : frnog-requ...@frnog.org de
30 matches
Mail list logo
