RE: [FRnOG] [TECH] Juniper NSM
Bah la réputation de fw le plus pourrie pour les ASA ne se limitent pas qu'à notre système solaire :) Le 2013-10-05 05:53, Michel Py a écrit : Raphael Maunier a écrit: Sauf sur Cisco, ou le cli est pire :) Ah l'Asa, cette infame bouse intercosmique ! Je ne saisis pas bien la partie intercosmique. La partie infâme bouse, oui. Dans le temps on appelait ça a Pix of shit :-( Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question pour barbus
que disent les cksum ? tu as beaucoup d'incorrect ? Le 05/10/2013 00:47, Jérémy Martin a écrit : Merci pour vos réponses public/privés. Les serveurs sont strictement identiques en hardware. On a trouvé une différence à l'instant entre les version de SSH qui pourrait peut être expliquer mais reste à trouver ce que fait le vieux sshd par rapport à l'autre. Coté MTU / Fragmentation, on est ici sur des packets perdus de 170 octets, donc pas d'atteinte de la MTU max à 1500 octets. De plus, comment expliquer que l'un passerais bien, et pas l'autre ? C'est vraiment une prise de tête incroyable, j'ai jamais vu ça. Merci encore pour vos apports, remarques et aides précieuses :) Cordialement, Jérémy Martin Le 04/10/2013 21:06, Jérémy Martin a écrit : Bonsoir, On a un cas de pertes de trame TCP sur notre réseau qui est inexplicable et sur lequel nous séchons, ainsi que SFR (pour la partie L2L). Pour faire simple, les trame TCP port 22 et 21 (a priori, celles qui ont besoins que les ACK ne soient pas perdu sous peine de forts lags) sont perdus à hauteur de 5-10 % en cas de stress important de notre L2L (et uniquement à cet endroit a priori). Ce qui est très très surprenant, c'est que j'ai 2 serveurs sur le même /24, avec le même kernel (debian), et a priori la même conf réseau. Sur l'un, on a énormément de : 152267 30.163305000AA.BB.CC.DD 192.168.1.17TCP106 [TCP Retransmission] 14558 52629 [PSH, ACK] Seq=205 Ack=365 Win=148 Len=52 Vous remarquerez de plus que j'utilise ici un port spécifique et que le problème se produit autant en 14558 qu'en port 22. Sur l'autre serveurs, vraiment les mêmes conditions de test, AUCUNE PERTE ! Le HTTP et les protocoles de jeux, ou RDP ne sont absolument pas touchés(aucune perteégalement). Là je sèche vraiment. Un paramètre dans le kernelpourrait générer les échanges en SSH ou FTP ? Ce dont je suis sur : 1) Pas de QoS sur le L2L (officiellement, après je ne sais pas ce que fait SFR dans son MPLS) 2) Pas de rate-limit ou QoS sur les routeurs d'un coté à l'autre du L2L (conf neutres). 3) Pas de pertes sur le switch Bref, si quelqu'un a déjà rencontré un cas de ce type, je suis preneur. Merci pour votre attention, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Juniper NSM
Raphael Maunier a écrit: Sauf sur Cisco, ou le cli est pire :) Ah l'Asa, cette infame bouse intercosmique ! Michel Py a écrit : Je ne saisis pas bien la partie intercosmique. La partie infâme bouse, oui. Dans le temps on appelait ça a Pix of shit :-( Raphael Maunier a écrit: Bah la réputation de fw le plus pourrie pour les ASA ne se limitent pas qu'à notre système solaire :) Ca ne fait pas assez longtemps que tu travailles avec du Firewall Cisco. Dans le genre merde en boîte, la Pix Of Shit renommée Asa par les droides du marketing n'était qu'une plaisanterie comparée au redoutable Cisco Centri Firewall, qui tournait sur un PC basé sur une version propriétaire de Windows NT4 qui se plantait plus souvent qu'un Bull Mini6 ou plus tard Micral 30; dans le genre daube puante je pensais que CII Honeywell Bull avait la palme d'or, jusqu'au moment ou j'ai du supporter le Centri. Pour les jeunes qui n'ont jamais vu la Cisco Pix originale, c'était un PC de daube (genre Pentium 75) avec 2 cartes réseau Intel Pro/100 (S82557, les mêmes qu'il faut avoir pour faire une Olive) dans une belle boiboîte 3U peinte en gris Cisco (avant qu'il ne soir vert) 3U avec les ports PS/2 clavier/souris cachés derrière le métal mais ça pouvait s'arranger vite fait avec une perceuse. La flash pour booter était sur une carte dans un slot. Le jour ou Cisco a commencé à me détester c'est quand, après avoir percé le trou pour le clavier, j'ai mis un dur IDE (avec un cédérom pour installer) dans ma Pix avec une image d'Olive fournie aimablement par un lecteur de la liste dont je ne dévoilerai pas le nom mais qui se reconnaîtra. D'ailleurs, puisque c'est trolldi, est-ce que quelqu'un à réussi à faire marcher NAT sur une Olive? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question pour barbus
Le 04/10/2013 21:06, Jérémy Martin a écrit : Bonsoir, Ce qui est très très surprenant, c'est que j'ai 2 serveurs sur le même /24, avec le même kernel (debian), et a priori la même conf réseau. Changer de port sur le switch ? Changer de switch ? Câble réseau fatigué ? Carte réseau qui prend l'eau ? J. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Pourquoi Cisco a déjà réussi à faire un firewall ? Je veux dire qui fonctionne et qui soit utilisable ? Oups désolé on est samedi. Envoyé de mon iPhone Le 5 oct. 2013 à 08:32, Raphael Maunier raph...@maunier.net a écrit : Bah la réputation de fw le plus pourrie pour les ASA ne se limitent pas qu'à notre système solaire :) Le 2013-10-05 05:53, Michel Py a écrit : Raphael Maunier a écrit: Sauf sur Cisco, ou le cli est pire :) Ah l'Asa, cette infame bouse intercosmique ! Je ne saisis pas bien la partie intercosmique. La partie infâme bouse, oui. Dans le temps on appelait ça a Pix of shit :-( Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
A bah, c'est leur plus gros problème sur le srx ( avec l'utm ) Apres pour de la perf pure et un cli sympa, je prend direct du srx sans regarder la gui Les SRX sont effectivement très efficace. On oublie très rapidement l'absence de GUI. A la limite, on s'en réjouit. Les beta auxquelles jai participé concernant, Junospace et security design mont laissé plus que perplexe sur leur stratégie et leur capacité à développer de tels produits. == C'est pour ça qu'ils ont racheté Contrail. Il ont pas le mindset en interne pour le faire, du coup, ils intègrent, c'est au final moins cher et surement plus rapide Plutôt que prometteur jaurais dit peut mieux faire. Linstallation est une catastrophe. Les ressources consommées à cause des choix de techno (Le flash en 2013, WTF ! ) sont énormes. Lintégration dans un parc existant est juste une blague. Je ne vois pas comment ce produit pourra séduire. Pas lui en direct, car il faut savoir que la BU qui s'occupait de Junospace, est maintenant sous la direction du fondateur de Contrail ( que j'ai pu rencontré et qui est extrêmement compétent ) , donc je lui prévois un bel avenir à ce produit. Julien. Le 4 octobre 2013 10:59, Raphael Maunier raph...@maunier.net [2] a écrit : Désolé mais le cli tu ny coupera pas vraiment avec du Juniper. Le Jweb (individuel donc ) sera avec le cli la meilleure méthode pour administrer tes Junipers ( comme la indiqué Raphael également ) Cest pour cela quà lépoque, Juniper navait pas gagné lAO sécu managé au profit de Stonesoft. Maintenant, un firewall fait vraiment beaucoup plus de choses quil y a des années, donc le full CLI est pour les admin obsolètes :) Si pour un routeur je ne jure que par le cli, pour un FW, une gui efficace est pour moi un critère de choix. Après ce qui est bien chez Juniper, cest le cli et sa flexibilité, après un FW avec beaucoup de règles, en cli, cest compliqué. Un jour les mecs du cli comprendront quon est plus en 1998 ... ( cest vendredi ) Bref, tu peux demander à essayer Junospace, je ne lai pas utilisé depuis 1 an , je pense que ça a bien évolué en tout cas à lépoque à chaque version cétait prometteur (et ça allait dans le bon sens ) Le 2013-10-04 09:54, Raphael Mazelier a écrit : Le 03/10/2013 23:40, Duga a écrit : Quels types déquipements souhaites tu administrer ? SRX ? M Series ? EX ? Netscreen ? Pour du netscreen, jai envie de dire que linterface Web embarquée se suffit à elle même. Pour les autres, la solution proposée par Juniper actuellement est JunoSpace (qui ne vaut pas linvestissement financier demandé). Les choix de techno sont encore très mauvais (A quand léradication de Flash et Java). Les serveurs nécessitent des ressources énormes (8 go de RAM ). Et les fonctionnalités manquent. Javoue ne pas connaître (Est ce que cela existe) doutils graphique alternatifs pour gérer un parc Juniper. PS : Sans lancer de débat, jai bien peur que Juniper et interface graphique ne fassent pas bons ménage…. Leur communication réside tout de même autour de leur CLI. Tout à fait daccord. A noter que pour les SRX linterface J-WEB est vaguement utilisable. Cest pas génial mais elle a moins le mérite de respecter larborescence de la configuration cli. Cdt, --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ [2] mailto:raph...@maunier.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Les modèles à administrer sont de la serie J. Après lecture des différents avis, je vais tenter le coup pour l'interface J-web, faute de mieux. Si quelqu'un a une version recente du produit, cela m'interesse, cela m'évitera d'attendre une ouverture de compte chez Juniper... PM. Le 4 octobre 2013 19:27, Olivier MELWIG mel...@gmail.com a écrit : Bonjour Philippe, En relisant la série de mails je n'ai pas vu finalement quelle plateforme tu souhaites manager? Netscreen series ou SRX series? Netscreen NSM SRX Junospace Security Director Dispo pour plus d'informations selon ta réponse. O. Le 3 oct. 2013 19:16, Philippe Marrot pmarro...@gmail.com a écrit : Bonjour, Je cherche à mettre la main sur le soft de gestion graphique de Juniper (Network Security Manager). Est-ce un produit livré avec les équipements ou un produit sur demande ou encore payant ?. Des infos d'un spécialiste Juniper ?. Merci. PM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Outlook
Antispam ? NETWORK INFO Maintenance informatique Hébergement Réparation iphone Sécurité - Conseil 1 rue du 1er mai, 62940 Haillicourt Du mardi au samedi 9h30 12h / 14h-19h ( 18h le samedi ) Tél : 09.50.66.46.92 http://www.network-info.fr http://www.youtube.com/watch?v=yd5kBMAe1I8 ( présentation vidéo ) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Julien Follenfant Envoyé : samedi 5 octobre 2013 02:01 À : giles.r.demou...@free.fr Cc : frnog-t...@frnog.org; giles.rdemou...@mailz.org Objet : Re: [FRnOG] [TECH] Outlook Sinon j'ai un problème avec ma machine à laver. Le 5 octobre 2013 01:18, giles.r.demou...@free.fr a écrit : Bonsoir. Je n'ai pas constaté ce problème sur Outlook 2010 ni au niveau des effets ni à celui des causes supposées. Peut-être une config particulière?. Je reçois environ 400 mails par jour sous divers formats (cela comprend environ 80 spams) et en envoie 60 (signés numériquement), généralement en html. Giles Bonsoir, Le 04/10/2013 23:33, Jérôme Nicolle a écrit : Bonsoir à tous, Je reçoit de plus en plus de mails qui, bizarrement, n'arrivent pas à s'afficher en threads dans les logiciels de messagerie normaux (thunderbird, mutt, evolution, K9, ...). Après quelques investigations (10 minutes de recherche quoi), l'origine du problème est identifié : Microsoft Outlook (au moins les versions 2007 à 2013) ne respectent plus les RFC portant sur la composition d'un e-mail, et n'utilisent plus les champs references et in-reply-to. Surprenant ce que tu dis . Loin de moi l'idée de défendre les produits Microsoft, que j'utilise au final, assez rarement. Mais on a plusieurs clients qui les utilisent : Outlook 12.0/14.0 (pas vu de 15.0 pour le moment) , et je n'ai pas constaté ça : les entêtes References et In-Reply-To y sont présents systématiquement . Peut être une config spécifique ? @+ Christophe Supprimer | Répondre | Répondre à tous | Transfert | Rediriger | Liste noire | Source du message | Enregistrer sous | Imprimer --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Julien Follenfant jfollenf...@gmail.com Tel: +33 6 47 56 22 48 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
On 5 Oct 2013, at 10:18, Michel Py mic...@arneill-py.sacramento.ca.us wrote: Pour les jeunes qui n'ont jamais vu la Cisco Pix originale, c'était un PC de daube (genre Pentium 75) avec 2 cartes réseau Intel Pro/100 (S82557, les mêmes qu'il faut avoir pour faire une Olive) dans une belle boiboîte 3U peinte en gris Cisco (avant qu'il ne soir vert) 3U avec les ports PS/2 clavier/souris cachés derrière le métal mais ça pouvait s'arranger vite fait avec une perceuse. La flash pour booter était sur une carte dans un slot. PIX est une acquisition de Cisco[1], c'est pour cela que le cli était ... différent ... Il faut aussi se souvenir des cisco 1900[2] super pour l'époque avec ses 2 ports 100 Mb et 22 port 10 Mb. Mais je suis HS. Thomas [1] http://en.wikipedia.org/wiki/Cisco_PIX [2] http://en.wikipedia.org/wiki/Cisco_Catalyst_1900 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outlook
Le 05/10/2013 12:57, Network Info Haillicourt a écrit : Antispam ? Genre mail in black, qui lave ton inbox (et ta liste de contacts) plus blanc que blanc ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Le 05/10/2013 12:26, Philippe Marrot a écrit : Les modèles à administrer sont de la serie J. Après lecture des différents avis, je vais tenter le coup pour l'interface J-web, faute de mieux. Si quelqu'un a une version recente du produit, cela m'interesse, cela m'évitera d'attendre une ouverture de compte chez Juniper... PM. C'est toi qui devra les administrer ? si c'est le cas franchement fait l'effort de te mettre à la CLI. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques de configuration de BGP
Salut Jérôme, Le 02/10/2013 13:55, Jerome Durand (jerduran) a écrit : http://tools.ietf.org/html/draft-ietf-opsec-bgp-security-01 Ah j'aime beaucoup le next-hop filtering. Note, ça peut aussi s'utiliser sur un IXP : si le route-server se prend pour un next hop, tu sais que tu peux droper la route. Bon, pour le peering, je suis plus en train d'expérimenter avec des VRF dédiées afin d'éviter tout hijack et d'affiner des politiques de routage un peu complexe. Ca pourrait faire partie des recommandations, non ? Une autre pratique que j'ai déjà tenté sans problème opérationnel, mais pour laquelle je suis preneur de feedback : quand les interfaces d'intercos sont capables de le traiter en 100% hardware, j'applique une ACL qui filtre, pour tout paquet à destination des préfixes utilisés dans l'adressage du backbone, et provenant de l'extérieur de mon réseau, les paquets IP et IPv6 TCP à destination des ports 22, 23 et 179. C'est peut être un peu parano, mais ça m'a pas semblé être une mauvaise idée sur le coup. Vos avis ? Est ce que des sources de bogons comme cymru sont aussi susceptibles d'être référencés dans les best-practices ? Là encore, vous avez des retours opérationnels ? @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
De mon point de vue J-Web n'est pas vraiment inutilisable. Hyper lent, avec des morceaux de conf qui ne s'affichent subitement plus quand ce qui est configuré dépasse ce que le développeur a prévu pour J-Web. Par contre la CLI est excellente. C'est le contraire sur les Fortinet par exemple: une GUI plutôt très bien faite, et une CLI pourrie. Bon ça ne répond pas à la question d'origine sur une interface pour administrer en masse. Le 4 oct. 2013 à 09:54, Raphael Mazelier r...@futomaki.net a écrit : A noter que pour les SRX l'interface J-WEB est vaguement utilisable. C'est pas génial mais elle a moins le mérite de respecter l'arborescence de la configuration cli. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
N'est pas vraiment utilisable, voulais-je dire :) Bref c'est naze. Le 5 oct. 2013 à 16:40, Olivier Benghozi olivier.bengh...@wifirst.fr a écrit : De mon point de vue J-Web n'est pas vraiment inutilisable. Hyper lent, avec des morceaux de conf qui ne s'affichent subitement plus quand ce qui est configuré dépasse ce que le développeur a prévu pour J-Web. Par contre la CLI est excellente. C'est le contraire sur les Fortinet par exemple: une GUI plutôt très bien faite, et une CLI pourrie. Bon ça ne répond pas à la question d'origine sur une interface pour administrer en masse. Le 4 oct. 2013 à 09:54, Raphael Mazelier r...@futomaki.net a écrit : A noter que pour les SRX l'interface J-WEB est vaguement utilisable. C'est pas génial mais elle a moins le mérite de respecter l'arborescence de la configuration cli. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Outlook
-Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Jérôme Nicolle Envoyé : samedi 5 octobre 2013 15:47 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Outlook Le 05/10/2013 12:57, Network Info Haillicourt a écrit : Antispam ? Genre mail in black, qui lave ton inbox (et ta liste de contacts) plus blanc que blanc ? Genre Bitdefender pas à jour sur outlook 2010 qui corrompt les mails et donc apparaissent vierges -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Tâches d’operations et de maintenance des équipements réseaux
Bonjour à tous, Quelqu'un ici aurait il la liste des tâches d’opérations et de maintenance récurrentes qu'exécuteraient des Techniciens ou Ingénieur Réseaux en vue de déceler les problèmes ponctuels ou futurs garantissant ainsi la bonne marche d’une infrastructure réseau. En d'autres terme quels seraient la liste des indicateurs clés à vérifier de façon récurrente sur des équipements réseaux en vue de s'assurer de leur bon fonctionnement. L’objectif final est de pouvoir automatiser tout ça dans une application comme Nagios, WhatsUp Gold, PRTG … NB : les équipements sont en majorité des routeurs, des commutateurs et des firewalls CISCO. Merci d'avance pour toutes les informations que vous voudriez bien partager. Cordialement, Hermann KANGA --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message à l'intention des utilisateurs d'outlook
On 04/10/2013 23:33, Jérôme Nicolle wrote: Après quelques investigations (10 minutes de recherche quoi), l'origine du problème est identifié : Microsoft Outlook (au moins les versions 2007 à 2013) ne respectent plus les RFC portant sur la composition d'un e-mail, et n'utilisent plus les champs references et in-reply-to. Oh, et c'est une découverte pour toi ?? Continue à enquêter alors, tu vas en trouver des vertes et des pas mûres. À commencer par cette habitude des neuneus de répondre avant le message cité. --- Liste de diffusion du FRnOG http://www.frnog.org/
