RE: [FRnOG] [TECH] Transit et déni de service

[Michel Py]

> Emmanuel DECAEN a écrit :
> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de 
> transit BGP
> (quelques 10G). Cette année, j'ai le souhait de demander à chaque opérateur 
> de transit
> de prendre la charge d'un éventuel DDoS directement au niveau de son backbone.

Beaucoup dépend de ce que tu vois arriver comme DDOS. Si tu te prends des DDOS 
térabit tous les jours, Arbor c'est très cher mais pas forcément trop cher, çà 
dépend de l'épaisseur de ton portefeuille et de combien le DDOS te coute 
vraiment. Si tes DDOS se font principalement sur une IP, avec les communautés 
tu t'en sors très bien. Si tu as un truc qui attaque l'ensemble de tes 
adresses, c'est pas glop.
Ca dépend qui est attaqué : toi, ou quelqu'un que tu héberges.

Et beaucoup dépend aussi de ce que tes transits font déjà (communautés ? sans 
une solution commerciale)
Et pourquoi pas BGP flowspec mais là c'est carrément du rêve pour moi. Mon 
transit principal il a jamais entendu parler des communautés :-(
Et est-ce qu'ils souscrivent à quelque chose comme çà : 
http://www.team-cymru.com/utrs.html

C'est pas évident de faire soi-même, mais t'as 5 ingés. Achète une bouteille de 
Stroh à Xavier :P
Tu pourrais éviter pas mal d'emmerdes en triant les clients et en se 
débarrassant de ceux qui hébergent les serveurs de jeux et autres machins qui 
se font DDOSser tout le temps.

Il n'y a pas de réponse simple à ta question.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Romain]

Un article plus détaillé a été publié :
https://blog.cloudflare.com/the-deep-dive-into-how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-monday/?utm_medium=email_source=blog_campaign=rss-feed

Le jeu. 27 juin 2019 à 20:37, Michel Py 
a écrit :

> > David Ponzone a écrit :
> > Hmmm le client de Verizon et DQE a quand même dû faire une grosse
> boulette
> > aussi non ? C’est une sacré coïncidence avec une responsabilité triple
> > (et heureusement, sinon ça arriverait beaucoup plus souvent).
>
> C'est un client, pas un FAI.
> C'est même pas une boite d'info ou de réseau, ils sont dans la métallurgie.
> AS récent, qui annonce 1 préfixe.
> Je te parie qu'avant d'être multihomés ils n'avaient jamais touché BGP.
> C'est un peu facile de dire que ce genre de débutant doit maitriser
> prefix-list, route-map et communautés.
>
> Techniquement ils devraient avoir 2 route-maps, en sortie qui matche un
> prefix-list ne contenant que leur préfixe, et en entrée qui fait un set
> community no-export additive.
>
> Même si c'est vrai que çà ne serait pas arrivé si il y avait eu la bonne
> config, faut pas compter sur le client final pour configurer leur partie en
> prévoyant les boulettes que pourraient faire leurs transits.
>
>
> > Pierre Emeriaud a écrit :
> > Noction a sa part de responsabilité dans le merdier en n'activant pas
> NO_EXPORT par défaut.
> > Les gens qui utilisent une boite magique comme ça c'est qu'ils ne
> maitrisent pas leur
> > ingénierie bgp, sinon ils n'en auraient pas besoin. Et donc il faut les
> prendre par la main
> > en activant NO_EXPORT, ils ne le feront pas d'eux-même.
>
> Je plussoie.
>
>
> >> Paul Rolland a écrit :
> >> Comme je n'ai pas fait mes devoirs sur des boites, qq'un peut
> m'expliquer comme marchent
> >> ces optimiseurs ? J'ai la flemme non pas de Googler ce matin, mais de
> faire le tri pour
> >> trouver un article qui ne  dise pas que des aneries marketo-commerciale
> ;)
>
> > David Ponzone a écrit:
> > J’ai pas regardé en détail, mais ça découpe en préfixe en sous-préfixe
> > qui n’existe pas en réalité dans la full-table.
>
> Correct. Si tu annonces un /22, l'optimiseur va annoncer des /23 ou des
> /24 pour être sur d'avoir la priorité.
>
> Et pour décider comment découper, ils ont des sondes partout et la recette
> de la potion magique.
>
> Michel.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] solution WAF

[Guillaume Tournat]

FortiWeb (de Fortinet) tourne sur un Linux, même si c'est une appliance 
tout-en-un.


Existe sous forme de VM ou physique (on'prem) ou de service cloud SaaS.


Le 27/06/2019 à 13:00, Wallace a écrit :


Bonjour à tous,

On exploite du WAF en amont de certains clients, on est passé par les 
étapes Naxsi, IngenSec (qui a fermé), Wallarm.


On est assez content de Wallarm même s'il reste des améliorations à 
faire et que techniquement on est pas fan d'une partie on premise avec 
une dépendance dans le cloud que l'on ne maitrise pas. Par contre leur 
modèle commercial n'est pas adapté à ce que l'on désire mettre en 
place se basant sur un coût par host au lieu d'un coût par domaine / 
site ou hits.


Du coup qu'avez-vous testé et éprouvé en solutions WAF on premise 
tournant sous Linux?


Merci par avance.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Michel Py]

> David Ponzone a écrit :
> Hmmm le client de Verizon et DQE a quand même dû faire une grosse boulette
> aussi non ? C’est une sacré coïncidence avec une responsabilité triple
> (et heureusement, sinon ça arriverait beaucoup plus souvent).

C'est un client, pas un FAI.
C'est même pas une boite d'info ou de réseau, ils sont dans la métallurgie.
AS récent, qui annonce 1 préfixe.
Je te parie qu'avant d'être multihomés ils n'avaient jamais touché BGP.
C'est un peu facile de dire que ce genre de débutant doit maitriser 
prefix-list, route-map et communautés.

Techniquement ils devraient avoir 2 route-maps, en sortie qui matche un 
prefix-list ne contenant que leur préfixe, et en entrée qui fait un set 
community no-export additive.

Même si c'est vrai que çà ne serait pas arrivé si il y avait eu la bonne 
config, faut pas compter sur le client final pour configurer leur partie en 
prévoyant les boulettes que pourraient faire leurs transits.


> Pierre Emeriaud a écrit :
> Noction a sa part de responsabilité dans le merdier en n'activant pas 
> NO_EXPORT par défaut.
> Les gens qui utilisent une boite magique comme ça c'est qu'ils ne maitrisent 
> pas leur
> ingénierie bgp, sinon ils n'en auraient pas besoin. Et donc il faut les 
> prendre par la main
> en activant NO_EXPORT, ils ne le feront pas d'eux-même.

Je plussoie.


>> Paul Rolland a écrit :
>> Comme je n'ai pas fait mes devoirs sur des boites, qq'un peut m'expliquer 
>> comme marchent
>> ces optimiseurs ? J'ai la flemme non pas de Googler ce matin, mais de faire 
>> le tri pour
>> trouver un article qui ne  dise pas que des aneries marketo-commerciale ;)

> David Ponzone a écrit:
> J’ai pas regardé en détail, mais ça découpe en préfixe en sous-préfixe
> qui n’existe pas en réalité dans la full-table.

Correct. Si tu annonces un /22, l'optimiseur va annoncer des /23 ou des /24 
pour être sur d'avoir la priorité.

Et pour décider comment découper, ils ont des sondes partout et la recette de 
la potion magique.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Xavier Beaudouin]

Salut Emmanuel,

> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de
> transit BGP (quelques 10G).
> Cette année, j'ai le souhait de demander à chaque opérateur de transit
> de prendre la charge d'un éventuel DDoS directement au niveau de son
> backbone.
> 
> Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
> etc.) proposées par les opérateurs de transit et surtout leur efficacité
> en conditions réelles ?

Retours d'expérience: cher et autant le faire soit même avec les bonnes 
communautés BGP,
tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser 
la merde
sur les routers border avec soit des ACL soit du BGP Flowspec :)

En général le prix étant tellement plus élevé que prendre du tuyaux et négo des 
commits
que pour cette expérience le résultat a été celui là. 

Surtout que les IX commencent a donner les moyen de null router les ips cibles 
(ou mieux
shut la connection sur l'IX et attendre via flowspec / arbor / whatever que ca 
se calme).

> Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
> etc.) ?

Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains 
trucs un CDN
a été utilisé pour limiter l'impact de l'appeau a DDoS. :)

Après ça fait quelques temps et donc le paysage a peut-être changé...  (eg je 
sais pas si 
des transitaires sont BGP Flowspec compatibles par exemple).

Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as 
donc des IX a 
gérer, et bien les protection des transitaires peuvent être useless. Ah aussi 
tu leur donne
confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi de 
voir jusqu'où
vas ta confiance en eux :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Passage de fibre optique dans Paris

[Nicolas CORBEL]

Hello,

On Thu, Jun 27, 2019 at 4:56 PM Franck Coppola 
wrote:

> Bonjour à tous,
>
> On va avoir un deuxième bureau dans la même rue que le premier sur Paris
> 3ème. On se demandait si plutot que de payer un telco pour avoir un IRU il
> n'était pas plus avantageux de payer le passage de la fibre soi même via
> les égouts.
>

Pour une liaison, c'est pas plus simple de se frotter à Orange (GC BLO)
plutôt qu'à la SAP (égouts) ?


>
> Quelqu'un a t'il une expérience de ce genre de projets ?
>
> Cordialement,
>
>
>
>
> --
> Franck Coppola - CEO - 01 42 86 67 70
>
> More information: https://www.sgt.eu/en/sgt-joins-hexaglobe/
> <
> https://www.google.com/url?q=https://www.sgt.eu/en/sgt-joins-hexaglobe/=D=hangouts=1553953456372000=AFQjCNFLm4Z-DalCwC2LiSQ-He-KhvQr4Q
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Passage de fibre optique dans Paris

[Nico G]

Salut

Si probablement mais il te faut les autorisations de la ville et tu vas devoir 
payer une redevance pour le passage dans les égouts.

Nico


> Le 27 juin 2019 à 16:56, Franck Coppola  a écrit :
> 
> Bonjour à tous,
> 
> On va avoir un deuxième bureau dans la même rue que le premier sur Paris
> 3ème. On se demandait si plutot que de payer un telco pour avoir un IRU il
> n'était pas plus avantageux de payer le passage de la fibre soi même via
> les égouts.
> 
> Quelqu'un a t'il une expérience de ce genre de projets ?
> 
>Cordialement,
> 
> 
> 
> 
> -- 
> Franck Coppola - CEO - 01 42 86 67 70
> 
> More information: https://www.sgt.eu/en/sgt-joins-hexaglobe/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Passage de fibre optique dans Paris

[Franck Coppola]

Bonjour à tous,

On va avoir un deuxième bureau dans la même rue que le premier sur Paris
3ème. On se demandait si plutot que de payer un telco pour avoir un IRU il
n'était pas plus avantageux de payer le passage de la fibre soi même via
les égouts.

Quelqu'un a t'il une expérience de ce genre de projets ?

Cordialement,




-- 
Franck Coppola - CEO - 01 42 86 67 70

More information: https://www.sgt.eu/en/sgt-joins-hexaglobe/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Transit et déni de service

[Emmanuel DECAEN]

Bonjour,

Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de
transit BGP (quelques 10G).
Cette année, j'ai le souhait de demander à chaque opérateur de transit
de prendre la charge d'un éventuel DDoS directement au niveau de son
backbone.

Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
etc.) proposées par les opérateurs de transit et surtout leur efficacité
en conditions réelles ?
Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
etc.) ?

Merci.
-- 
*Emmanuel DECAEN*  - e...@xsalto.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] solution WAF

[Cédric Polomack]

Bonjour,
Pour un budget de quel ordre ? Imperva pour ma part, testé et approuvé.
Cordialement.

---
Cédric Polomack
http://www.secresys.fr (http://www.secresys.fr)

27 juin 2019 13:00 "Wallace" mailto:wall...@morkitu.org?to=%22Wallace%22%20)> a écrit:
Bonjour à tous, 

On exploite du WAF en amont de certains clients, on est passé par les 
étapes Naxsi, IngenSec (qui a fermé), Wallarm. 

On est assez content de Wallarm même s'il reste des améliorations à 
faire et que techniquement on est pas fan d'une partie on premise avec une 
dépendance dans le cloud que l'on ne maitrise pas. Par contre leur modèle 
commercial n'est pas adapté à ce que l'on désire mettre en place se basant sur 
un coût par host au lieu d'un coût par domaine / site ou hits. 

Du coup qu'avez-vous testé et éprouvé en solutions WAF on premise 
tournant sous Linux? 

Merci par avance.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Pierre Emeriaud]

Le jeu. 27 juin 2019 à 12:11, David Ponzone  a écrit :
>
> Le plus drôle c’est que le site de Noction t’explique que leur produit 
> automatise tout, évite les interventions manuelles.
> Apparement, ils ont pas voulu forcer le respect des bonnes pratiques.
> Ou DQE l’a désactivé.

https://twitter.com/noction/status/1143177562191011840
"We do have no export community support and have done for many years.
The use of more specifics is ALSO optional. Neither replaces the need
for filters."

https://www.noction.com/blog/do_route_optimizers_cause_fake_routes
"In order to further reduce the likelihood of these problems occurring
in the future, we will be adding a feature within Noction IRP to give
an option to tag all the more specific prefixes that it generates with
the BGP NO_EXPORT community. THIS WILL NOT BE ENABLE BY DEFAULT"

Noction a sa part de responsabilité dans le merdier en n'activant pas
NO_EXPORT par défaut. Les gens qui utilisent une boite magique comme
ça c'est qu'ils ne maitrisent pas leur ingénierie bgp, sinon ils n'en
auraient pas besoin. Et donc il faut les prendre par la main en
activant NO_EXPORT, ils ne le feront pas d'eux-même.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] solution WAF

[Wallace]

Bonjour à tous,

On exploite du WAF en amont de certains clients, on est passé par les
étapes Naxsi, IngenSec (qui a fermé), Wallarm.

On est assez content de Wallarm même s'il reste des améliorations à
faire et que techniquement on est pas fan d'une partie on premise avec
une dépendance dans le cloud que l'on ne maitrise pas. Par contre leur
modèle commercial n'est pas adapté à ce que l'on désire mettre en place
se basant sur un coût par host au lieu d'un coût par domaine / site ou hits.

Du coup qu'avez-vous testé et éprouvé en solutions WAF on premise
tournant sous Linux?

Merci par avance.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Recherche contact OGONE/INGENICO

[Pierre LANCASTRE]

Bonjour,

Pour info, au DE-CIX le subnet d'interco a été migré de 80.81.192.0/22 vers
80.81.192.0/21.

Ce qui peut poser certains problèmes de résolution arp entre membres.

Si d'autres personnes ont le problème me MP

++

Pierre

Le jeu. 27 juin 2019 à 09:23, Eliott Trouillet  a
écrit :

> Bonjour,
>
>
> Nous cherchons un contact technique gérant  les AS AS62325 / AS47957 chez
> OGONE/INGENICO.
>
> Nous avons en effet des problèmes à les joindre depuis 2 semaines environ.
>
> Les informations dans le whois ne semblent pas être up-to-date.
>
>
> Bonne journée,
>
> Eliott
>
> AS 60350
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[David Ponzone]

> 
> Alors OK, BGP, c'est qq chose qu'on etablit avec un partenaire de confiance
> (normalement, meme si la confiance est "commerciale"), mais ca n'empeche
> pas de faire attention, et de prendre des precautions (tiens, au fait, les
> route-server des IX, a part RPKI de leur cote, je vois pas trop comment les
> gerer efficacement en terme de securite).
> 
> Bref, Michel, tu as raison, c'est pas (que) la faute de Verizon. Moi je
> suis juste decu que quelque chose qui etait en place chez eux a une epoque,
> et qui aurait surement limite la portee de l'incident, ait disparu au cours
> du temps sans reel remplacement (et la, ne me dis pas RPKI, c'est le truc
> qui me fait penser a ce qu'on attendait/esperer d'IPv6 pour remplacer IPv4).
> 

Le plus drôle c’est que le site de Noction t’explique que leur produit 
automatise tout, évite les interventions manuelles.
Apparement, ils ont pas voulu forcer le respect des bonnes pratiques.
Ou DQE l’a désactivé.

> Comme je n'ai pas fait mes devoirs sur des boites, qq'un peut m'expliquer
> comme marchent ces optimiseurs ? J'ai la flemme non pas de Googler ce
> matin, mais de faire le tri pour trouver un article qui ne dise pas que des
> aneries marketo-commerciale ;)

J’ai pas regardé en détail, mais ça découpe en préfixe en sous-préfixe qui 
n’existe pas en réalité dans la full-table.
Je suppose qu’il se démmerde pour annoncer les routes à ton routeur ave des 
as-path et next-hop fake pour que ton routeur croit que les routes sont des 
vraies.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: C2E Optique FFTO Orange

[Kevin Thiou]

Oui, mon problème c'est que le routeur est vers Marseilles.

ca ne va pas être simple.

Merci à Alexandre Rendour qui m'a fourni sa configuration que je vais
tester dès que j'aurais un tech sur place.

$Déclaration du Vlan:
/interface vlan
add interface=combo1 name=combo1-vlan2900 vlan-id=2900
$déclaration du bridge:
/interface bridge
add name=bridge-vlan2900-orange

$Intégration du Vlan dans le bridge:
/interface bridge port
add bridge=bridge-vlan2900-orange interface=combo1-vlan2900

$passage de la priorité COS à 2:
/interface bridge filter
add action=set-priority chain=forward new-priority=2
out-interface=combo1-vlan2900 passthrough=yes
add action=set-priority chain=output log-prefix=L2-COS new-priority=2
out-interface=combo1-vlan2900 passthrough=no

$création du dialer
/interface pppoe-client
add add-default-route=no allow=chap disabled=no
interface=bridge-vlan2900-orange name=Dialer1 password=PASSWORD user=USER

$désactiver le fast-path: TRES IMPORTANT
/ip settings
set allow-fast-path=no

Le jeu. 27 juin 2019 à 10:37, David Ponzone  a
écrit :

> > Le 27 juin 2019 à 09:13, Kevin Thiou  a écrit :
> >
> > Voici l'idée que je me fais de la conf à appliquer.
> >
> > /interface vlan
> > add interface=ether1 name=vlan2900 vlan-id=2900
> > /ip firewall mangle
> > add action=set-priority chain=forward new-priority=5
> out-interface=vlan2900
> >
> > L'avis de quelqu'un l'ayant déjà mis en place me serait d'un grand
> secours.
>
>
> D’après ma recherche rapide, c’est un chain=output qu’il faut utiliser
>
> Et à mon avis, le mieux c’est que tu mettes un wireshark sur ton ether1
> pour regarder ce qui sort.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: C2E Optique FFTO Orange

[David Ponzone]

> Le 27 juin 2019 à 09:13, Kevin Thiou  a écrit :
> 
> Voici l'idée que je me fais de la conf à appliquer.
> 
> /interface vlan
> add interface=ether1 name=vlan2900 vlan-id=2900
> /ip firewall mangle
> add action=set-priority chain=forward new-priority=5 out-interface=vlan2900
> 
> L'avis de quelqu'un l'ayant déjà mis en place me serait d'un grand secours.


D’après ma recherche rapide, c’est un chain=output qu’il faut utiliser

Et à mon avis, le mieux c’est que tu mettes un wireshark sur ton ether1 pour 
regarder ce qui sort.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Relais messagerie Orange Business ?

[Christophe Pujol]

Bonjour la liste,

Dans mon $job-1, le smtp-auth sécurisé a été utilisé.avec le compte
titulaire de la ligne.
Comme je ne l'ai pas mis en place, je sais qu'il faut faire une déclaration
chez orange.
Attention, le nombre de mél par heure est limité.

À bientôt
Christophe PUJOL
CV Web 


Le jeu. 27 juin 2019 à 10:01, Philippe Marrot  a
écrit :

> Bonjour,
>
> Quelqu'un connait-il la méthode pour utiliser les serveurs SMTP Orange
> comme relais
> de messagerie (pour un client Orange Business utilisant Exchange en
> interne).
>
> - smtp.orange.fr: pas moyen de s'authentifier , semble ne servir que
> pour les comptes grand public
> - smtp.auth.orange-business.com: authentification possible avec un
> compte de messagerie, mais  uniquement possibilité d'envoyer des
> emails en tant que ce compte de messagerie,
> sinon:
>
> 451 4.3.0 your login=accou...@orange-business.fr is not allowed to
> send email as sender=account2@domaine_client
>
> Donc, pas de service de relais ??
>
> PS: Inutile de conseiller de voir le support Orange qui est...
> surréaliste..
>
> Merci.
> PM.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Relais messagerie Orange Business ?

[Jeremie JANTAC]

Bonjour Philippe,

Utilise le smtp de son nom de domaine smtp.monentreprise.com
Regarde les pré-requis d'utilisation avec son registrar 

Cordialement
Jeremie

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Philippe 
Marrot
Envoyé : jeudi 27 juin 2019 10:01
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Relais messagerie Orange Business ?

Bonjour,

Quelqu'un connait-il la méthode pour utiliser les serveurs SMTP Orange comme 
relais de messagerie (pour un client Orange Business utilisant Exchange en 
interne).

- smtp.orange.fr: pas moyen de s'authentifier , semble ne servir que pour les 
comptes grand public
- smtp.auth.orange-business.com: authentification possible avec un compte de 
messagerie, mais  uniquement possibilité d'envoyer des emails en tant que ce 
compte de messagerie,
sinon:

451 4.3.0 your login=accou...@orange-business.fr is not allowed to send email 
as sender=account2@domaine_client

Donc, pas de service de relais ??

PS: Inutile de conseiller de voir le support Orange qui est... surréaliste..

Merci.
PM.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Relais messagerie Orange Business ?

[Philippe Marrot]

Bonjour,

Quelqu'un connait-il la méthode pour utiliser les serveurs SMTP Orange
comme relais
de messagerie (pour un client Orange Business utilisant Exchange en interne).

- smtp.orange.fr: pas moyen de s'authentifier , semble ne servir que
pour les comptes grand public
- smtp.auth.orange-business.com: authentification possible avec un
compte de messagerie, mais  uniquement possibilité d'envoyer des
emails en tant que ce compte de messagerie,
sinon:

451 4.3.0 your login=accou...@orange-business.fr is not allowed to
send email as sender=account2@domaine_client

Donc, pas de service de relais ??

PS: Inutile de conseiller de voir le support Orange qui est... surréaliste..

Merci.
PM.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Recherche contact OGONE/INGENICO

[Eliott Trouillet]

Bonjour,


Nous cherchons un contact technique gérant  les AS AS62325 / AS47957 chez 
OGONE/INGENICO.

Nous avons en effet des problèmes à les joindre depuis 2 semaines environ.

Les informations dans le whois ne semblent pas être up-to-date.


Bonne journée,

Eliott

AS 60350



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Re: C2E Optique FFTO Orange

[Kevin Thiou]

Voici l'idée que je me fais de la conf à appliquer.

/interface vlan
add interface=ether1 name=vlan2900 vlan-id=2900
/ip firewall mangle
add action=set-priority chain=forward new-priority=5 out-interface=vlan2900

L'avis de quelqu'un l'ayant déjà mis en place me serait d'un grand secours.


Le jeu. 27 juin 2019 à 09:08, Kevin Thiou  a écrit :

> Bonjour,
>
> j'ai aujourd'hui la livraison de ma première C2E Orange.
>
> Je n'ai pas eu le temps de lire les STAS avant la livraison et je
> m’aperçois que ce n'est pas trivial.
>
> Mon routeur est un mikrotik RB2011
>
> Pour le tag 2900 c'est assez simple par contre pour ce qui est du 802.1p
> je ne sais pas comment le mettre en place.
>
> Dans les archives j'ai vu qu'il y avait un sujet mais pas toute la
> solution.
>
> Est il obligatoire de passé par un bridge pour appliquer le tag 802.1p ?
>
> Merci
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] C2E Optique FFTO Orange

[Kevin Thiou]

Bonjour,

j'ai aujourd'hui la livraison de ma première C2E Orange.

Je n'ai pas eu le temps de lire les STAS avant la livraison et je
m’aperçois que ce n'est pas trivial.

Mon routeur est un mikrotik RB2011

Pour le tag 2900 c'est assez simple par contre pour ce qui est du 802.1p je
ne sais pas comment le mettre en place.

Dans les archives j'ai vu qu'il y avait un sujet mais pas toute la solution.

Est il obligatoire de passé par un bridge pour appliquer le tag 802.1p ?

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Paul Rolland (ポール・ロラン)]

Hello,

On Thu, 27 Jun 2019 03:48:41 +
Michel Py  wrote:

> Le blog de CloudFlare qui dit que c'était la faute à Verizon, c'est du
> gros bullshit.
> https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
> 
> Désolé de le dire, et sans excuser Verizon qui n'avaient pas les
> précautions de base en place, c'est de la récupération politique. C'est
> pas Verizon qui a merdé. Même si c'est vrai qu'en tant que T1 ils
> devraient avoir filtré le bordel, le principe de la patate chaude et de
> la confiance qu'on a quand on accepte une session eBGP avec quelqu'un
> d'autre sont toujours la base du fonctionnement de la DFZ.

C'est un sujet chaud, mais c'est vrai que ca a merde a plein d'endroits.
Le premier, c'est surement l'optimiseur. et j'ai encore du mal a comprendre
comment un truc pareil peut se permettre de balancer des prefixes sans gros
controle... OK, on va dire que c'est la faute a "fat fingers", mais il y a
des limites.
Ensuite, evidemment, les configs eBGP des upstreams, en cascade... On peut
bien tapper sur Verizon, c'est facile, c'est le plus gros, donc il a :
 - plus d'impact,
donc
 - plus de responsabilite
mais aussi
 - plus de moyen
donc
 - c'est plus sa faute... ;)
Moi je dirai juste qu'il y a ... bcp d'annees, j'etais client de UUNet
(oui, le meme AS701, mais la version originale, pas celle qui resulte des
fusions), et a l'epoque, t'avais pas le choix pour que tes prefixes passent
la session :
 - IRR a jour,
 - mail avec le filtre (ip access-list, pas as-path filter) a mettre sur la
   conf de ta session,
 - 24H de delai, le temps que ca soit matcher avec les DB,
et probablement des max-pfx qui trainaient mais que je n'ai jamais vu ;)

Aujourd'hui, on cache la complexite d'Internet et de BGP (oui, BGP, c'est
complexe !) dans des boites auto-magiques (si 'magiques' ne vous va pas,
proposez des remplacements... j'en ai bien un en tete... ;) et on espere
que ca va "juste marcher". Mais rien ne "juste marche", "shit happens" !

Alors OK, BGP, c'est qq chose qu'on etablit avec un partenaire de confiance
(normalement, meme si la confiance est "commerciale"), mais ca n'empeche
pas de faire attention, et de prendre des precautions (tiens, au fait, les
route-server des IX, a part RPKI de leur cote, je vois pas trop comment les
gerer efficacement en terme de securite).

Bref, Michel, tu as raison, c'est pas (que) la faute de Verizon. Moi je
suis juste decu que quelque chose qui etait en place chez eux a une epoque,
et qui aurait surement limite la portee de l'incident, ait disparu au cours
du temps sans reel remplacement (et la, ne me dis pas RPKI, c'est le truc
qui me fait penser a ce qu'on attendait/esperer d'IPv6 pour remplacer IPv4).
 
> Les connards qui annoncent des préfixes plus longs que ceux que les
> désignataires des préfixes en question le font, faut les éliminer. Dans
> leur AS, ils font ce qu'ils veulent. Annoncer la merde que produit un
> "optimiseur" BGP comme Noction aux clients, c'est des coups de pied au
> cul qui se perdent.

Comme je n'ai pas fait mes devoirs sur des boites, qq'un peut m'expliquer
comme marchent ces optimiseurs ? J'ai la flemme non pas de Googler ce
matin, mais de faire le tri pour trouver un article qui ne dise pas que des
aneries marketo-commerciale ;)

> Jérome Fleury, j'ai lu ton blog. Le pire, c'est que tu as changé qui
> l'avait écrit pour Tom Strickx. Tu crois qu'on avait pas vu çà venir ?
> 
> C'est carrément craintos. Le lien au-dessus, c'était signé par Jérome
> Fleury il y a 24 heures. Je ne suis pas le seul à voir remarqué. C'est
> vraiment nul à chier.

Pas vu... pas regarde... comme je l'ai ecrit plus haut, le sujet est encore
trop chaud en ce moment pour que j'aille chercher des infos chez qq'un qui
est directement implique - surtout implique comme "victime". Tu le sais,
dans ces cas-la, c'est CYA a tout va, et la charge sur VZN, en ne parlant
pas (beaucoup) des autres acteurs, n'est probablement pas anodine.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Vivien Moreau]

Bonjour,

Le 27/06/2019 à 05:48, Michel Py a écrit :

Jérome Fleury, j'ai lu ton blog. Le pire, c'est que tu as changé qui l'avait 
écrit pour Tom Strickx. Tu crois qu'on avait pas vu çà venir ?

C'est carrément craintos. Le lien au-dessus, c'était signé par Jérome Fleury il 
y a 24 heures.
Je ne suis pas le seul à voir remarqué. C'est vraiment nul à chier.


Pas sûr de comprendre ce qui a été "remarqué".

L'article, 24 heures plus tôt, signé par Tom Strickx :

https://web.archive.org/web/20190626043938/https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/

Et le 24, jour de sa publication, déjà signé par Tom Strickx :

https://web.archive.org/web/20190624200106/https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/


---
Liste de diffusion du FRnOG
http://www.frnog.org/