Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Hello, Les capacités de debug sont bien plus agréable à l'usage sur junos que même sur feu screenos qui était pourtant déjà pas trop mal... Les captures de packets sont aussi possible . Début 2nd semestre , devrait voir entre autre un refresh sur l'admin jweb et aussi le retour de junos SRX dans le train de release commun v15 Déjà de nombreuses features sont déjà apparues sur les dernières releases : Security Intelligence ( geoip, ip feeds, CC ) en plus de l'appsec 2.0 ( filtrage , Cos , tracking applicatif et IPS ) , déchiffrement SSL sur la gamme branch ( déjà présent depuis pas mal de temps sur le Haut de la gamme ) A venir :) prochainement du vpn ssl onbox ! Un refresh hardware est en cours ... @+ -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Louis Envoyé : mardi 24 mars 2015 10:25 À : Raphael Mazelier Cc : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Le 24/03/2015 11:18, Sylvain Busson a écrit : La commande monitor interface Non monitor interface ça classifie les paquets, erreurs... monitor traffic interface ça capture seulement ce qui entre et sort de la RE Si tu veux capturer le transit, tout est décrit ici : http://kb.juniper.net/InfoCenter/index?page=contentid=KB15779 C'est possible mais plutôt pénible. A+ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Option IP Fixe sur Fibre Pro Orange
On 24/03/2015 07:00, Nicolas S. wrote: La livebox, du moment que tu ne souhaites pas conserver la téléphonie elle peut retourner directement chez l’expéditeur, après si une conf PPPoE pas loin du standard c'est de la bidouille, OK. non c'est un chouia plus complexe si tu veux la TV par exemple... ce qui peut justement servir quand tu as envie de l'avoir pour la salle de pause le midi ^^ le terme bidouille c'est que si tu as un souci un jour sur ta ligne, tu as intérêt à la rebrancher avant d'appeler le support sinon ils ne te feront rien... L'astuce consiste à émuler le serveur PPPoE d'Orange sur le routeur qui remplace la livebox pour l'accès internet et mapper correctement les VLAN IDs ET leur priorité. Testé pour la téléphonie, ça fonctionne nickel. Pas de TV pour tester la partie TV mais plein de gens semblent l'avoir fait avec succès. Les détails de la config en privé pour ceux que ça intéresse (et éviter la pollution de la liste). Le jour ou t'as un souci, tu rebranches l'ONT sur la livebox le temps du diagnostic... -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015, at 10:25, Louis wrote: alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Il y a quelques annees, je l'avais fait. OSPF et BGP sur des interfaces IPSEC (IPSEC in interface mode). le BGP je le fais encore aujourd'hui (firewall inter-VRF). Pas de probleme particulier, il faut juste faire un peu attention a la config BGP (pas mal d'options accessibles uniquement en CLI). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
ha oui, moi je cause des branch, je n'ai pas essayer ca que sur un 100 210 240 550. Les ACL+log ne fonctionne pas non plus? SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 11:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW j'avais essayé cette commande à l'époque mais elle ne fonctionnait pas sur un SRX 3600 avec de l'ASIC. De quelle gamme parles-tu? Le 24 mars 2015 11:18, Sylvain Busson sbu12...@gmail.com a écrit : La commande monitor interface Ou une ACL statless avec log SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 10:51 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. www.avast.com --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
La commande monitor interface Ou une ACL statless avec log SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 10:51 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
j'avais essayé cette commande à l'époque mais elle ne fonctionnait pas sur un SRX 3600 avec de l'ASIC. De quelle gamme parles-tu? Le 24 mars 2015 11:18, Sylvain Busson sbu12...@gmail.com a écrit : La commande monitor interface Ou une ACL statless avec log SBU - Original Message - *From:* Louis luigi.1...@gmail.com *To:* Sylvain Busson sbu12...@gmail.com *Cc:* Raphael Mazelier r...@futomaki.net ; frnog@frnog.org *Sent:* Tuesday, March 24, 2015 10:51 AM *Subject:* Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com -- [image: Avast logo] http://www.avast.com/ L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Le 24/03/15 10:25, Louis a écrit : Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Moyen. Cela fonctionne pour des fonctionnalités basiques. Et pour le coup tu es obligé de passer en cli (il manque vraiment beaucoup d'options dans la gui). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Concentrateur VPN Cisco
Bonjour, Un ASA ou un PIX Cisco font cela très bien aussi. Un OpenVPN le fait aussi sans problème de coût de licence/utilisateur. cdt. Le 23/03/2015 23:24, Christophe Lucas a écrit : Le 2015-03-23 14:36, Sébastien 65 a écrit : Bonjour la liste, Je cherche un retour d'expérience sur un concentrateur VPN de type CISCO. Le besoin est de pouvoir monter une dizaine de tunnel dans un premier temps. Le client VPN tournera sur des Windows... Quelle référence me conseillez-vous et sur quelle base de tarif je peux tabler ? Ensuite comment se passe l'upgrade de la licence pour autoriser des connexions en plus (2, 5, 10 utilisateurs en plus) ? Salut, Tu peux faire cela sur des chassis : C2821, C2851, C7301, ... pas de soucis pour faire de l'ezvpn. Tu dois pouvoir taper dans les 400E chez les brokers pour du C2821. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour Mikrotik serie CCR1009 - CCR1016 - CCR1036 http://wiki.mikrotik.com/wiki/Manual:IP/IPsec pour les perfs http://forum.mikrotik.com/viewtopic.php?t=87892 A+ Thierry _ From: Sylvain Busson [mailto:sbu12...@gmail.com] To: frnog-t...@frnog.org, frnog-...@frnog.org Sent: Tue, 24 Mar 2015 07:44:48 +0100 Subject: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: Suggestions pour routeur 3G + VPN
Merci à tous pour vos réponses et vos suggestions pertinentes ! Une fois analysées en détail et une fois le matériel choisi et commandé, je ferai un retour. - Mail original - De: mohamed el-morabity mohamed.el-morab...@laposte.net À: frnog-t...@frnog.org Envoyé: Lundi 23 Mars 2015 13:13:12 Objet: Suggestions pour routeur 3G + VPN Bonjour, dans le cadre d'un projet RD, je suis à la recherche d'un petit routeur répondant aux critères suivants : - fonctions de bases : VLAN, firewall, redirections de port ; - 4 port Ethernet minimum ; - prise en charge la 3G/4G (idéalement sans dongle USB à brancher sur le matériel) ; - intégration d'un client OpenVPN. - prix maximum : ~300 € (PME oblige...). Tout retour d'expérience est le bienvenu ! Cordialement Mohamed Elmorabity --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CPE SFP
Salut Julien, Le 23/03/2015 10:13, Julien Beauvais a écrit : Mon infra perso utilise 2 WDR3600 pour écouler sont trafics (4 serveurs de virtualisation et un SAN avec chacun 2 port Giga) les débits sont plus qu'acceptable et bien suiffisant pour du 1 GBits/s symétrique sur Fibre via un media converter MC220L (ne pas oublier le SFP sinon brancher la fibre c'est compliqué !) Je ne suis pas d'accord avec tes résultats. Le AR9344 à 560MHz du WDR3600 sais forwarder 800Mbps de gros paquets au grand maximum, plutôt tendance 600Mbps. Sur un trafic classique, il plafonnera dans les 300Mbps. En pires conditions sans firewalling il ne tient pas 50Mbps (64b/p). Avec quelques règles dans netfilter il est juste bon pour une connexion 100Mbps. Tu devrais changer de fourgue d'ailleurs, tes SFP et les media converters sont bien moins cher chez www.interprojekt.com.pl ;-) @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Hello c'est encore pire que ca il te faut utiliser la cryptographie camelia en 128 pour obtenir du Gig sur le port sinon en AES tu pousses quand même à 300 Mbps sur du paquet de 512 ( test chez nous ) je suis d'accord avec ton analyse ce ne sont pas des produits prévus pour l'entrée de gamme des Network Engineer A+ Thierry WideVOIP - WhichWAN 1, rue Jacob Mayer 67200 Strasbourg tél : +33 390 400 675 fax : +33 390 400 676 _ From: Sebastien Lesimple [mailto:slesim...@laposte.net] To: t.w...@widevoip.com, frnog-t...@frnog.org Sent: Tue, 24 Mar 2015 17:21:28 +0100 Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Salut Thierry, Je pense qu'il faut que tu précises que l’accélération VPN est opérationnelle (ce n'était pas le cas lors de la sortie du CCR-1036 il me semble), que les perfs sont intimement liées aux configurations faites et a la version d'OS utilisée. J'ai vu passer un nombre incroyable de commentaires c'est pourris, c'est de la daube, uniquement pour des questions de config bancales d'un tech qui sait mieux que mikrotik comment ca marche mais qui obtiens des perfs minables... Donc c'est un produit marrant, flexible, pratique, fiable et vraiment pas cher mais à utiliser uniquement si l'on se donne la peine d'apprendre et de tester avant de passer en prod comme un bourrin et de se prendre un mur... Seb. Le 24/03/2015 16:26, Thierry Wehr a écrit : Bonjour Mikrotik serie CCR1009 - CCR1016 - CCR1036 http://wiki.mikrotik.com/wiki/Manual:IP/IPsec pour les perfs http://forum.mikrotik.com/viewtopic.php?t=87892 A+ Thierry _ From: Sylvain Busson [mailto:sbu12...@gmail.com] To: frnog-t...@frnog.org, frnog-...@frnog.org Sent: Tue, 24 Mar 2015 07:44:48 +0100 Subject: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Salut Thierry, Je pense qu'il faut que tu précises que l’accélération VPN est opérationnelle (ce n'était pas le cas lors de la sortie du CCR-1036 il me semble), que les perfs sont intimement liées aux configurations faites et a la version d'OS utilisée. J'ai vu passer un nombre incroyable de commentaires c'est pourris, c'est de la daube, uniquement pour des questions de config bancales d'un tech qui sait mieux que mikrotik comment ca marche mais qui obtiens des perfs minables... Donc c'est un produit marrant, flexible, pratique, fiable et vraiment pas cher mais à utiliser uniquement si l'on se donne la peine d'apprendre et de tester avant de passer en prod comme un bourrin et de se prendre un mur... Seb. Le 24/03/2015 16:26, Thierry Wehr a écrit : Bonjour Mikrotik serie CCR1009 - CCR1016 - CCR1036 http://wiki.mikrotik.com/wiki/Manual:IP/IPsec pour les perfs http://forum.mikrotik.com/viewtopic.php?t=87892 A+ Thierry _ From: Sylvain Busson [mailto:sbu12...@gmail.com] To: frnog-t...@frnog.org, frnog-...@frnog.org Sent: Tue, 24 Mar 2015 07:44:48 +0100 Subject: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Option IP Fixe sur Fibre Pro Orange
Le 23/03/2015 19:53, Thomas Barandon a écrit : Hi, Le 23 mars 2015 14:40, Nicolas S. gul...@free.fr mailto:gul...@free.fr a écrit : Je rappellerai que cette offre a quand même un fair use à 2 To mensuel, de facto il y a des usages qu'on ne peut avoir avec ce genre de ligne (PRA, Backup distant, etc...) ... Ca plus une LiveBox moisie (à moins de bidouiller) alors oui c'est 45€ mais on peut pas vraiment dire que c'est une offre hyper intéressante pour tout le monde :) Seriously, quelqu'un en ce bas monde a déjà eu une sanction (technique ou administrative) pour dépassement de ce fair use ? C'est pas un peu là pour surtout avoir quelque chose de plus terre à terre (juridiquement parlant) que l'usage en bon père de famille, donc ça serait pas une largesse du juridique comme on a déjà pu le voir ? je compte bien le tester :) La livebox, du moment que tu ne souhaites pas conserver la téléphonie elle peut retourner directement chez l’expéditeur, après si une conf PPPoE pas loin du standard c'est de la bidouille, OK. non c'est un chouia plus complexe si tu veux la TV par exemple... ce qui peut justement servir quand tu as envie de l'avoir pour la salle de pause le midi ^^ le terme bidouille c'est que si tu as un souci un jour sur ta ligne, tu as intérêt à la rebrancher avant d'appeler le support sinon ils ne te feront rien... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] On en parle ?
Bonjour tous, Les boites noires ne sont, à mes yeux, pas un problème technique mais bien un problème politique. Je doute donc qu'une solution technique, même magnifique, ne soit jamais plus qu'un hack sur une jambe de bois. L'argument des gros sous aura forcément bien plus d'impact, j'entends par là que la fuite des entreprises (et particuliers), vers des services hébergés et/ou implantés dans des pays gentils avec la vie privée, finira d'achever leur connerie, et notre économie numérique. On parlais jusque là d'exil financier des entreprises vers les pays tels que l'Irlande, etc, parlera t-on d'exil politique ou libertaire des entreprises à l'avenir? Je serai curieux de connaître les chiffres des pertes déjà accumulées par les géants gogols suite à Snowden. Après en solution politique, le débat reste grand ouvert. Car comme dit précédemment sur le sujet: Seulement la France n'est pas une démocratie et ne l'a jamais été (ou alors très brièvement en 1871 et uniquement dans les grandes villes). C'est une république. Je ne sais même pas si l'on peut parler de république, en tous cas d'un système représentatif. Je suis un gentil rêveur, mais l'approche légaliste d'un gars comme Etienne Chouard (oui il ose adresser la parole au mauuudit A.Soral), prônant une nouvelle constitution et la démocratie a tendance à me séduire, car évitant les bains de sang et les prises de Bastille. Voici un lien youtube d'un entretient entre Jean Robin et Etienne Chouard (attention c'est chiant y'a pas Lagaffe dedans), l'original dure plus de 2h et est dispo sur rzo torrent : https://www.youtube.com/watch?v=onZV88hkUck Politiquement donc, la solution ne pourra être qu'une (r)évolution, à nous de trouver la solution pacifique à nos démons, si nous sommes assez évolués bien sûr... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Pierre Lancastre Ingénieur Réseaux et Sécurité *-* SENSS - AS59798 *-* +33 6 34 65 84 66 /* depuis mon mobile */ Le 24 mars 2015 07:50, Sylvain Busson sbu12...@gmail.com a écrit : Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015, at 07:44, Sylvain Busson wrote: Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Regarde du cote des Fortinet entree-milieu de gamme : series 200D, 100D et la jungle des 60D/70D/90D. Cherche plutot les modeles avec switch integre. Ils ont aussi le IPSEC interface mode (interface tunnel, sur la quelle tu peux faire tourner du OSPF par exemple) ce qui doit aider intellectuellement pour la partie hub-and-spoke. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015 at 08:42:19AM +0100, Radu-Adrian Feurdean wrote: Regarde du cote des Fortinet entree-milieu de gamme : series 200D, 100D Je confirme, le 200D semble répondre à tes besoins. On en a deux en prod (cluster) et ça marche très bien. -- Thomas Lecomte --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
je conseille aussi la gamme fortinet, dans ma société nous les utilisons en front et coté stabilité il n'y a aucun soucis. A savoir que les fonctionnalités évolue rapidement sur demande au support. Le 24 mars 2015 08:02, Pierre LANCASTRE pierre.lancas...@gmail.com a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Pierre Lancastre Ingénieur Réseaux et Sécurité *-* SENSS - AS59798 *-* +33 6 34 65 84 66 /* depuis mon mobile */ Le 24 mars 2015 07:50, Sylvain Busson sbu12...@gmail.com a écrit : Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
