Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet Jacques Lav!gnotte. 
Le 18/11/2016 à 18:42, Hugues VOITURIER a écrit :
> Concernant la charge de travail : aucune, une fois que c'est installé, ça 
> tourne. Gaffe aux ACL par contre, pour pas l'ouvrir à la terre entière.

Installer un « resolver cache only » i.e. unbound

JL.


-- 
GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http://weusepgp.info/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet Raphael Mazelier 



On 18/11/2016 18:43, David Ponzone wrote:

Oui largement suffisant pour tes besoins persos.
Sur un Linux, c’est également simple (quand je dis simple, je veux dire que 
l’install et le setup de base prend exactement 1 min).
Il y a un package pour Synology aussi.
Sous OSX, facile aussi.


Au niveau de la fiabilité de DNS on a eu notre lot d'incident ces 
derniers temps...


Une installation d'unbound (le meilleur resolveur à mon sens en ce 
moment), 2 minutes de configuration et te voila déjà débarrassé des 
resolveurs de tes fai(s) qui font soit des choses bizarres, soit tombent 
en carafes.



D'ailleurs pour revenir sur l'attaque de Dyn je me demande pourquoi les 
gros resolveurs n'utilisent pas un stale cache (et je ne suis 
visiblement pas le seul voir 
https://pdfs.semanticscholar.org/16f5/2ba58eabf88044b99717947019cf2e554288.pdf 
et https://people.mpi-sws.org/~francis/hotnets06-simple.pdf).


Cela briserait certes certaines propriétés du protocole tel qu'il a été 
pensé à l’origine, mais pour un gain véritable de résilience en cas de 
grosse panne/attaque de serveurs faisant autorité.



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Sondage : Changer sa solution de mail

2016-11-18 Par sujet Tristan Mahé 
SOgo sur mon archi perso depuis qq années, RAS ça marche.

L'interface est un peu lourde et pas forcément '2016' looking, mais
plutôt bien.

La sync contact/cal demande un peu de config sur le client mais ça marche.

Pas testé en charge, on parle de 10-15 users max...


On 11/17/2016 11:43 PM, David Ponzone wrote:
> Pas encore.
> J’avais justement dit que j’allais tester SoGo, mais je manque de courage.
> Si quelqu’un est plus motivé, il y a une VM SoGo tout prête pour tester:
> https://sogo.nu/download.html#/zeg
>
>> Le 18 nov. 2016 à 08:21, Sébastien Lesimple 
>>  a écrit :
>>
>> Personne ne s'est encore penché sur Openchange?
>> Seb.
>>
>> On 18/11/2016 07:44, Christophe JEANNEROT wrote:
>>> Bonjour,
>>>
>>> Tu as la solution zimbra (open source) avec un module zpush pour les 
>>> mobiles. 
>>>
>>> Ou directement zimbra Network édition. Ca simule complémentèrent l'exchange 
>>> pour le mobile. 
>>>
>>> Cordialement 
>>>
>>> Christophe
>>>
>>> Envoyé de mon iPhone
>>>
 Le 17 nov. 2016 à 23:30, Phil Regnauld  a écrit :

 Guillaume LAPOUGE (guillaume.lapouge) writes:
> Utilisez vous une solution mail permettant de faire à minima de l'active
> sync et du webmail différente d'exchange et qui reste abordable (comparé +
> exchange + win srv + cals) ? Une intégration a outlook est franchement pas
> obligatoire.
   Zimbra.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet Emmanuel Bourguin 
carrous...@wanadoo.fr s'exprima en ces termes :

> Est il pertinent/utile/intéressant pour un particulier avec une
> machine, voire trois au grand max,  de s'installer son propre
> resolveur DNS ?

Un article plutôt bien étayé sur la comparaison de performance entre
les deux : https://www.shaftinc.fr/comparaison-dns-fai-perso.html

-- 
Emmanuel BOURGUIN
✆ 06 17 09 12 05


pgp1cTfK4rfmS.pgp
Description: Signature digitale OpenPGP

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet Hugues VOITURIER 
Concernant la charge de travail : aucune, une fois que c'est installé, ça 
tourne. Gaffe aux ACL par contre, pour pas l'ouvrir à la terre entière.


Et un RPi suffit très largement :)

Sent from my iPhone

> On 18 Nov 2016, at 18:26, Carroussel Informatique  
> wrote:
> 
> Bonsoir
> 
> J'en profite vu que c'est le sujet et que c'est trolldi, pour poser une 
> question stupide. Ne me remerciez pas, c'est ma tournée !
> 
> Voila :
> 
> Est il pertinent/utile/intéressant pour un particulier avec une machine, 
> voire trois au grand max,  de s'installer son propre resolveur DNS ?
> 
> Comme je n'arrive pas à me représenter la charge de travail que peu demander 
> un tel équipement, j'hésite entre installer une machine dédiée, et installer 
> le service sur ma machine...
> Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ?
> 
> Merci.
> ES
> 
> 
> 
>> Le 18/11/2016 à 17:35, Emmanuel Bourguin a écrit :
>> Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé
>> pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à
>> suggérer le sacro-saint « 8.8.8.8 »
>> (voire « 4.2.2.1 » pour les personnes les plus curieuses).
>> 
>> Une fois admis la bêtise d'utiliser les services d'entreprises
>> Nord-Américaines**, reste un seul argument :
>> « oui mais 8.8.8.8 c'est facile à retenir ».
>> 
>> Effectivement c'est plus facile à retenir que les URL de wiki listant
>> des resolvers ouvert non-menteurs***.
>> 
>> Pour remédier au problème « trouver l'info rapidement en période de
>> crise » j'ai mis en champs A et  de « mondns.eu.org » les IP de
>> tels resolvers.
>> 
>> Donc un simple host mondns.eu.org et on a la liste sous les yeux.
>> Prévoir plutôt dig mondns.eu.org  @80.67.179.144 si l'accès sur lequel
>> on est a justement son DNS cassé, mais du coup on perds le coté «
>> facile à retenir ».
>> 
>> 
>> Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau.
>> 
>> 
>> *   une fois à cause de la mauvaise gestion de
>> leur /etc/hosts.cazeneuve, l'autre restant sans explications…
>> 
>> **  Bah quoi, on est Trolldi non ?
>> 
>> *** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
>> https://www.ffdn.org/wiki/doku.php?id=formations:dns
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet David Ponzone 
Oui largement suffisant pour tes besoins persos.
Sur un Linux, c’est également simple (quand je dis simple, je veux dire que 
l’install et le setup de base prend exactement 1 min).
Il y a un package pour Synology aussi.
Sous OSX, facile aussi.
Et pour Windows, Unbound est dispo donc facile aussi.
Bref, pas vraiment de raison de pas le faire.


> Le 18 nov. 2016 à 18:26, Carroussel Informatique  a 
> écrit :
> 
> Bonsoir
> 
> J'en profite vu que c'est le sujet et que c'est trolldi, pour poser une 
> question stupide. Ne me remerciez pas, c'est ma tournée !
> 
> Voila :
> 
> Est il pertinent/utile/intéressant pour un particulier avec une machine, 
> voire trois au grand max,  de s'installer son propre resolveur DNS ?
> 
> Comme je n'arrive pas à me représenter la charge de travail que peu demander 
> un tel équipement, j'hésite entre installer une machine dédiée, et installer 
> le service sur ma machine...
> Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ?
> 
> Merci.
> ES
> 
> 
> 
> Le 18/11/2016 à 17:35, Emmanuel Bourguin a écrit :
>> Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé
>> pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à
>> suggérer le sacro-saint « 8.8.8.8 »
>> (voire « 4.2.2.1 » pour les personnes les plus curieuses).
>> 
>> Une fois admis la bêtise d'utiliser les services d'entreprises
>> Nord-Américaines**, reste un seul argument :
>> « oui mais 8.8.8.8 c'est facile à retenir ».
>> 
>> Effectivement c'est plus facile à retenir que les URL de wiki listant
>> des resolvers ouvert non-menteurs***.
>> 
>> Pour remédier au problème « trouver l'info rapidement en période de
>> crise » j'ai mis en champs A et  de « mondns.eu.org » les IP de
>> tels resolvers.
>> 
>> Donc un simple host mondns.eu.org et on a la liste sous les yeux.
>> Prévoir plutôt dig mondns.eu.org  @80.67.179.144 si l'accès sur lequel
>> on est a justement son DNS cassé, mais du coup on perds le coté «
>> facile à retenir ».
>> 
>> 
>> Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau.
>> 
>> 
>> *   une fois à cause de la mauvaise gestion de
>> leur /etc/hosts.cazeneuve, l'autre restant sans explications…
>> 
>> **  Bah quoi, on est Trolldi non ?
>> 
>> *** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
>> https://www.ffdn.org/wiki/doku.php?id=formations:dns
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet Carroussel Informatique 

Bonsoir

J'en profite vu que c'est le sujet et que c'est trolldi, pour poser une 
question stupide. Ne me remerciez pas, c'est ma tournée !


Voila :

Est il pertinent/utile/intéressant pour un particulier avec une machine, 
voire trois au grand max,  de s'installer son propre resolveur DNS ?


Comme je n'arrive pas à me représenter la charge de travail que peu 
demander un tel équipement, j'hésite entre installer une machine dédiée, 
et installer le service sur ma machine...

Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ?

Merci.
ES



Le 18/11/2016 à 17:35, Emmanuel Bourguin a écrit :

Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé
pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à
suggérer le sacro-saint « 8.8.8.8 »
(voire « 4.2.2.1 » pour les personnes les plus curieuses).

Une fois admis la bêtise d'utiliser les services d'entreprises
Nord-Américaines**, reste un seul argument :
« oui mais 8.8.8.8 c'est facile à retenir ».

Effectivement c'est plus facile à retenir que les URL de wiki listant
des resolvers ouvert non-menteurs***.

Pour remédier au problème « trouver l'info rapidement en période de
crise » j'ai mis en champs A et  de « mondns.eu.org » les IP de
tels resolvers.

Donc un simple host mondns.eu.org et on a la liste sous les yeux.
Prévoir plutôt dig mondns.eu.org  @80.67.179.144 si l'accès sur lequel
on est a justement son DNS cassé, mais du coup on perds le coté «
facile à retenir ».


Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau.


*   une fois à cause de la mauvaise gestion de
 leur /etc/hosts.cazeneuve, l'autre restant sans explications…

**  Bah quoi, on est Trolldi non ?

*** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
 https://www.ffdn.org/wiki/doku.php?id=formations:dns




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-18 Par sujet Emmanuel Bourguin 
Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé
pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à
suggérer le sacro-saint « 8.8.8.8 » 
(voire « 4.2.2.1 » pour les personnes les plus curieuses). 

Une fois admis la bêtise d'utiliser les services d'entreprises
Nord-Américaines**, reste un seul argument : 
« oui mais 8.8.8.8 c'est facile à retenir ». 

Effectivement c'est plus facile à retenir que les URL de wiki listant
des resolvers ouvert non-menteurs***.

Pour remédier au problème « trouver l'info rapidement en période de
crise » j'ai mis en champs A et  de « mondns.eu.org » les IP de
tels resolvers. 

Donc un simple host mondns.eu.org et on a la liste sous les yeux.
Prévoir plutôt dig mondns.eu.org  @80.67.179.144 si l'accès sur lequel
on est a justement son DNS cassé, mais du coup on perds le coté «
facile à retenir ».


Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau.


*   une fois à cause de la mauvaise gestion de
leur /etc/hosts.cazeneuve, l'autre restant sans explications… 

**  Bah quoi, on est Trolldi non ? 

*** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
https://www.ffdn.org/wiki/doku.php?id=formations:dns

-- 
Emmanuel BOURGUIN
✆ 06 17 09 12 05


pgpFAOoC17iaF.pgp
Description: Signature digitale OpenPGP

Re: [FRnOG] [TECH] Serveur console compact

2016-11-18 Par sujet Pierre Emeriaud 
Le 18 novembre 2016 à 11:44, Pierre LANCASTRE
 a écrit :
> Hello la liste,
>
> J'ai un besoin pour un serveur console compacte de minimum 1 port.

Avec deux ports chez opengear y'a l'ACM5002.

Sinon tu peux regarder du coté de Digi ou Blackbox. Le ssh n'est pas
supporté sur tous les modèles (!) donc attention, mais pour en avoir
utilisé (sans me souvenir des modèles) c'est stable et fiable. Pour
les mises à jour il faudrait regarder sur leurs sites respectifs, j'en
ai aucune idée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PPP sur Cisco 7201 FR

2016-11-18 Par sujet Jérôme Marteaux 
Bonjour,


Le 18/11/2016 à 15:42, Steeve BEAUVAIS a écrit :
> Bonjour,
>
> J'ai un petit soucis pour monter des liaisons PPP avec un cisco 7201.
> J'ai mis en place des interfaces dialer sur un 7201 en tant que routeur
> Client.
> Mon serveur PPP peut être un ASR-1001X ou un un autre 7201 le résultat est
> le même.
> Les 2 machines ne sont séparées que d'un switch (aillant rencontré le
> défaut en production j'ai monté un labo).
>
> Mes virtual-access flappent régulièrement (un intervale de plusieurs
> minutes).
>
> D'après ce que je vois, il semblerait que ce soit un soucis de keep alive.
>
> Je fais un debug ppp negotiation:
>
> **Nov 18 05:03:32.862: Vi5 PPP: Missed 5 keepalives, taking LCP down*Nov 18
> 05:03:32.862: Vi5 PPP DISC: Missed too many keepalives*

Tu peux faire un debug ppp packet pour voir les
ECHOREQ / ECHOREP et les magic et voir s'ils sont bons par rapport
à ce qui a été négocié. Regarde les 2 côtés simultanément.

Tu es peux être touché par CSCuo05827:
LCP ECHOREP is not sent out phsically with C7301 (15.2(4)M)

Workaround:
1. Disable cef globally using "no ip cef"
2. Disable cef at the PPP configured physical interface using " no ip
route-cache cef".

Jérôme

-- 
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Tout va bien

2016-11-18 Par sujet David Ponzone 
En fait, ce qui est gênant avec ce rapport d’Akamai, c’est qu’il focalise sur 
la bande passante moyenne des internautes d’un pays.
Je ne crois pas qu’ils prennent en compte la couverture globale en HD/THD dans 
le pays. Ou alors j’ai raté un passage.
Il est probable que certains pays préfèrent investir pour offrir une couverture 
relativement cohérente sur tout le territoire, alors que d’autres vont se 
focaliser sur les zones faciles à couvrir en THD et abandonner le reste du 
territoire.


> Le 18 nov. 2016 à 16:13, Michel Hostettler 
>  a écrit :
> 
> Bonjour,
> 
> Cela me semble un peu plus compliqué que cela, il existe des prolongations 
> cuivre à partir des équipements ONU, en VDSL2, qui délivrent du très haut 
> débit >= 30 Mbit/s, sur 1 km.
> 
> Cordialement,
> Michel 
> 
> - Mail original -
> De: "Sébastien Lesimple" 
> À: "David Ponzone" , "Frnog misc" 
> 
> Envoyé: Vendredi 18 Novembre 2016 16:00:31
> Objet: Re: [FRnOG] [MISC] Tout va bien
> 
> Ah mais nous on fait du PRM (aka NRA MED) mon cher Môsieur!
> Faudrait quand meme pas commencer a utiliser autre chose que du cuivre
> pour faire du Oh! débit...
> Et puis si on peut plus subventionner Orange comme on veut, ou allons
> nous je vous lle demande!
> 
> 
> On 18/11/2016 12:58, David Ponzone wrote:
>> http://www.01net.com/actualites/la-france-a-la-traine-de-l-europe-en-matiere-de-debit-1042883.html
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Tout va bien

2016-11-18 Par sujet Michel Hostettler 
Bonjour,

Cela me semble un peu plus compliqué que cela, il existe des prolongations 
cuivre à partir des équipements ONU, en VDSL2, qui délivrent du très haut débit 
>= 30 Mbit/s, sur 1 km.

Cordialement,
Michel 

- Mail original -
De: "Sébastien Lesimple" 
À: "David Ponzone" , "Frnog misc" 

Envoyé: Vendredi 18 Novembre 2016 16:00:31
Objet: Re: [FRnOG] [MISC] Tout va bien

Ah mais nous on fait du PRM (aka NRA MED) mon cher Môsieur!
Faudrait quand meme pas commencer a utiliser autre chose que du cuivre
pour faire du Oh! débit...
Et puis si on peut plus subventionner Orange comme on veut, ou allons
nous je vous lle demande!


On 18/11/2016 12:58, David Ponzone wrote:
> http://www.01net.com/actualites/la-france-a-la-traine-de-l-europe-en-matiere-de-debit-1042883.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Tout va bien

2016-11-18 Par sujet Sébastien Lesimple 
Ah mais nous on fait du PRM (aka NRA MED) mon cher Môsieur!
Faudrait quand meme pas commencer a utiliser autre chose que du cuivre
pour faire du Oh! débit...
Et puis si on peut plus subventionner Orange comme on veut, ou allons
nous je vous lle demande!


On 18/11/2016 12:58, David Ponzone wrote:
> http://www.01net.com/actualites/la-france-a-la-traine-de-l-europe-en-matiere-de-debit-1042883.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] PPP sur Cisco 7201 FR

2016-11-18 Par sujet Steeve BEAUVAIS 
Bonjour,

J'ai un petit soucis pour monter des liaisons PPP avec un cisco 7201.
J'ai mis en place des interfaces dialer sur un 7201 en tant que routeur
Client.
Mon serveur PPP peut être un ASR-1001X ou un un autre 7201 le résultat est
le même.
Les 2 machines ne sont séparées que d'un switch (aillant rencontré le
défaut en production j'ai monté un labo).

Mes virtual-access flappent régulièrement (un intervale de plusieurs
minutes).

D'après ce que je vois, il semblerait que ce soit un soucis de keep alive.

Je fais un debug ppp negotiation:

**Nov 18 05:03:32.862: Vi5 PPP: Missed 5 keepalives, taking LCP down*Nov 18
05:03:32.862: Vi5 PPP DISC: Missed too many keepalives*

Je vois bien sur des captures de trame que c'est le serveur PPP qui envoie
en termination request.

J'ai essayé d'augmenter le nombre de keep alive de 3 à 5 et même de passer
de 10 à 60 secondes d'intervales sur le virtual-template 1.

Avez-vous déjà rencontré ce soucis?
Merci pour votre attention et votre aide.

Cordialement,





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Demi-baie ou baie

2016-11-18 Par sujet Sylvain sbu 
Bonjour,
Quelqu'un aurait-t-il des demi-rack ou au pire des rack standard d'occas à
vendre? ou à débarrasser :)
cdt
SBU

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Macsec + mka derriere cisco over l2tp

2016-11-18 Par sujet Delpozo Vanessa 
Oui j'ai repris le dossier.

Nous travaillons ensemble.

Le 18 nov. 2016 14:11, "Laurent CARON"  a écrit :

> Vanessa ?
>
> Vendredi...c'est permis ;)
>
> On 18/11/2016 09:23, sofiane JALID wrote:
>
>> Bonjour
>>
>> Je cherche à mettre en place un mecanisme dencryption de type macsec sur
>> du
>> hpe compatible.
>>
>> Le but etant de relier 2 sites en LAN 2 LAN OVER L2TP reliant A ET B.
>>
>> Lan A derriere une solution hp procurve + interco de type Ten vers switch
>> HPE dot1q2 vers CPE cisco de l'ISP.
>>
>> Le but de la manoeuvre etant de cloisonner en créant un lien entre les 2
>> sites sans empecher le transport des données de A vers B et inversement.
>>
>> Le problème du macsec c'est que cela agis au niveau 2 donc L2 over eth
>> vers
>> un cpe fai vers le next hope une où plusieurs dorsales backbone puis le
>> cisco de l'autre extremité puis les switch d'interco HPE pour finir par
>> les
>> procurve LAN.
>>
>> Je me suis apperçu qu'en activant le mka en mode enable je perdais le lien
>> entre A et B
>>
>> Quelqu'un aurait une idée précise sur le sujet
>> J'ai aussi comme idée de mettre du thales si ca marche pas où une solution
>> de NAC où de filtering L2 avec un FW.
>>
>> Merci bcp
>>
>> Sofiane
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Macsec + mka derriere cisco over l2tp

2016-11-18 Par sujet Laurent CARON 

Vanessa ?

Vendredi...c'est permis ;)

On 18/11/2016 09:23, sofiane JALID wrote:

Bonjour

Je cherche à mettre en place un mecanisme dencryption de type macsec sur du
hpe compatible.

Le but etant de relier 2 sites en LAN 2 LAN OVER L2TP reliant A ET B.

Lan A derriere une solution hp procurve + interco de type Ten vers switch
HPE dot1q2 vers CPE cisco de l'ISP.

Le but de la manoeuvre etant de cloisonner en créant un lien entre les 2
sites sans empecher le transport des données de A vers B et inversement.

Le problème du macsec c'est que cela agis au niveau 2 donc L2 over eth vers
un cpe fai vers le next hope une où plusieurs dorsales backbone puis le
cisco de l'autre extremité puis les switch d'interco HPE pour finir par les
procurve LAN.

Je me suis apperçu qu'en activant le mka en mode enable je perdais le lien
entre A et B

Quelqu'un aurait une idée précise sur le sujet
J'ai aussi comme idée de mettre du thales si ca marche pas où une solution
de NAC où de filtering L2 avec un FW.

Merci bcp

Sofiane

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switchs Ubiquity

2016-11-18 Par sujet Pierre Colombier 

Bonjour,

J'ai posté il y a 2-3 jours une question à propos du switch ubiquity 
ES‑16‑XG qui est resté sans réponse alors j'ai attendu trolldi pour la 
reposer dans le bon thread.



Si je résume ce que j'ai lu, le produit s'est fait défonçer par certains 
tandis que d'autres n'ont visiblement pas eu de problèmes avec.



Je voulais savoir si certains ont des retour d'expérience avec le switch 
ubiquity ES‑16‑XG ?


fiabilité, performances, fonctionnalités, ergonomie (dans cet ordre)

En particulier, c'est un point important pour moi, je n'ai pas vu dans 
la doc si les ports sfp+ acceptaient aussi les optiques 1G.








On 14/11/2016 22:13, Julien Dinterich wrote:

Le 14 nov. 2016 17:55, "Guillaume Barrot"  a
écrit :


Hello

Certain d'entres vous ont-il déjà travaillé avec la gamme de switch
d'Ubiquity ?

Que pensez vous de leur modèle 16x10G pour du pur switching, environnement
bureautique, équipement core (vlans traditionnels, un peu de QoS, du

802.1X

- bref un switch pour centraliser 4-5 switchs giga, y connecter un NAS

pour

du partage de fichier, ce genre de chose) ?

Quel est le meilleur distrib en France ? (Sur leur site, c'est le bordel,
et une demande d'info et c'est un revendeur espagnol ou allemand qui

répond

...)

Merci pour vos retours d'expérience,

G.

---
Liste de diffusion du FRnOG
http://www.frnog.org/ 

Bonsoir,

J'en gère une vingtaine pour des entreprises et tout fonctionne
parfaitement.
En plus si tu as un souci leur support est très réactif que ça soit par
mail ou tchat ou même via le forum.
En gros rien a dire sur leurs matos.

Julien.D

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Tout va bien

2016-11-18 Par sujet David Ponzone 
http://www.01net.com/actualites/la-france-a-la-traine-de-l-europe-en-matiere-de-debit-1042883.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Macsec + mka derriere cisco over l2tp

2016-11-18 Par sujet sofiane JALID 
Peux tu m'en dire plus stp en effet est ce que cela s'accompagne d'un
changement de techno chez l'isp où de tunneling dans ce cas là c'est mort
Où est ce que cela se greffe sur le schema existant ?

Merci pour vos (tes) lumières

Le 18 nov. 2016 09:48, "sofiane JALID"  a écrit :

> Salut françois
>
> 22 km max merci pour ta rèponse
>
> Le 18 nov. 2016 09:31, "Francois"  a écrit :
>
>> Salut sofiane,
>>
>> Une autre solution serait de faire du chiffrement au niveau otn entre tes
>> deux sites a 10Gb/s a l otu2 ou otu4.
>>
>> As tu une idée de la distance entre tes deux sites ?
>>
>> Je peux te conseiller , sur ce type de solution.
>>
>>
>>
>> François Rousseau
>>
>> Le 18 nov. 2016 à 09:23, sofiane JALID  a écrit
>> :
>>
>> > Bonjour
>> >
>> > Je cherche à mettre en place un mecanisme dencryption de type macsec
>> sur du
>> > hpe compatible.
>> >
>> > Le but etant de relier 2 sites en LAN 2 LAN OVER L2TP reliant A ET B.
>> >
>> > Lan A derriere une solution hp procurve + interco de type Ten vers
>> switch
>> > HPE dot1q2 vers CPE cisco de l'ISP.
>> >
>> > Le but de la manoeuvre etant de cloisonner en créant un lien entre les 2
>> > sites sans empecher le transport des données de A vers B et inversement.
>> >
>> > Le problème du macsec c'est que cela agis au niveau 2 donc L2 over eth
>> vers
>> > un cpe fai vers le next hope une où plusieurs dorsales backbone puis le
>> > cisco de l'autre extremité puis les switch d'interco HPE pour finir par
>> les
>> > procurve LAN.
>> >
>> > Je me suis apperçu qu'en activant le mka en mode enable je perdais le
>> lien
>> > entre A et B
>> >
>> > Quelqu'un aurait une idée précise sur le sujet
>> > J'ai aussi comme idée de mettre du thales si ca marche pas où une
>> solution
>> > de NAC où de filtering L2 avec un FW.
>> >
>> > Merci bcp
>> >
>> > Sofiane
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Serveur console compact

2016-11-18 Par sujet Pierre LANCASTRE 
Hello la liste,

J'ai un besoin pour un serveur console compacte de minimum 1 port.

Je connais bien les opengear et les avocent/cyclades, et aussi un peu les
produits air console (mais je n'ai pas de recul "exploit" dessus)

J'ai le souvenir que l'opengear ACM5508-2-I était en fin de vie, côté
avocent ils ne font plus les mini appliances 1 port (comme faisait
cyclades) et côté air console le "TS 4N port" me plait bien sur le papier.

Auriez-vous un produit à conseiller (hors mini pc + adaptateur usb) ? Ce
qui est mandatory :

- MAJ régulières de l'OS par rapport aux failles SSL etc.
- TLS1.2, SSH, etc
- petite taille (un truc type 1/3 U comme l'open gear) pour pouvoir
l'installer à côté d'1 CPE Cisco
- stabilité

A noter que l'option reverse ssh via le CPE est envisagée, mais vu qu'il
appartient aux providers, pas sur que ça soit accepté

Merci d'avance pour vos retours,

Cordialement / Best regards

Pierre Lancastre
Ingénieur Réseaux et Sécurité
*-* SENSS - AS59798 *-*
+33 7 64 07 26 11

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] CPE 4G

2016-11-18 Par sujet Olivier Lange 
Le 18 novembre 2016 à 11:22, Gonzague Dambricourt
 a écrit :
> +1 pour Teltonika. On utilise le RUT950
> http://www.teltonika.lt/product/rut950/ ça marche bien

Oui, pardon, on a aussi le 950 chez nous, pas le 905.

Olivier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] CPE 4G

2016-11-18 Par sujet Gonzague Dambricourt 
+1 pour Teltonika. On utilise le RUT950
http://www.teltonika.lt/product/rut950/ ça marche bien

2016-11-18 9:41 GMT+01:00 Olivier Lange :

> Le 18 novembre 2016 à 08:48, David Ponzone  a
> écrit :
> > Ca parait étrangement pas cher par rapport à la concurrence sérieuse, ça
> marche vraiment ou c’est plutôt sur le segment DLink/TP-Link ?
>
> Ca fonctionne vraiment bien. On les mets pour tout nos backup
> actif/passif d'un lien SDSL ou fibre (on a un mikrotik ou cluster de
> mikrotik qui gère la priorisation entre le lien sdsl/fibre et le
> backup 4G). On a pas trouvé meilleurs qualité prix pour le moment. Et
> on fait passer du VPN, du trafic voix ou autre sur une sim Bouygues.
>
> Olivier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Macsec + mka derriere cisco over l2tp

2016-11-18 Par sujet sofiane JALID 
Salut françois

22 km max merci pour ta rèponse

Le 18 nov. 2016 09:31, "Francois"  a écrit :

> Salut sofiane,
>
> Une autre solution serait de faire du chiffrement au niveau otn entre tes
> deux sites a 10Gb/s a l otu2 ou otu4.
>
> As tu une idée de la distance entre tes deux sites ?
>
> Je peux te conseiller , sur ce type de solution.
>
>
>
> François Rousseau
>
> Le 18 nov. 2016 à 09:23, sofiane JALID  a écrit :
>
> > Bonjour
> >
> > Je cherche à mettre en place un mecanisme dencryption de type macsec sur
> du
> > hpe compatible.
> >
> > Le but etant de relier 2 sites en LAN 2 LAN OVER L2TP reliant A ET B.
> >
> > Lan A derriere une solution hp procurve + interco de type Ten vers switch
> > HPE dot1q2 vers CPE cisco de l'ISP.
> >
> > Le but de la manoeuvre etant de cloisonner en créant un lien entre les 2
> > sites sans empecher le transport des données de A vers B et inversement.
> >
> > Le problème du macsec c'est que cela agis au niveau 2 donc L2 over eth
> vers
> > un cpe fai vers le next hope une où plusieurs dorsales backbone puis le
> > cisco de l'autre extremité puis les switch d'interco HPE pour finir par
> les
> > procurve LAN.
> >
> > Je me suis apperçu qu'en activant le mka en mode enable je perdais le
> lien
> > entre A et B
> >
> > Quelqu'un aurait une idée précise sur le sujet
> > J'ai aussi comme idée de mettre du thales si ca marche pas où une
> solution
> > de NAC où de filtering L2 avec un FW.
> >
> > Merci bcp
> >
> > Sofiane
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] CPE 4G

2016-11-18 Par sujet Olivier Lange 
Le 18 novembre 2016 à 08:48, David Ponzone  a écrit :
> Ca parait étrangement pas cher par rapport à la concurrence sérieuse, ça 
> marche vraiment ou c’est plutôt sur le segment DLink/TP-Link ?

Ca fonctionne vraiment bien. On les mets pour tout nos backup
actif/passif d'un lien SDSL ou fibre (on a un mikrotik ou cluster de
mikrotik qui gère la priorisation entre le lien sdsl/fibre et le
backup 4G). On a pas trouvé meilleurs qualité prix pour le moment. Et
on fait passer du VPN, du trafic voix ou autre sur une sim Bouygues.

Olivier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Macsec + mka derriere cisco over l2tp

2016-11-18 Par sujet sofiane JALID 
Bonjour

Je cherche à mettre en place un mecanisme dencryption de type macsec sur du
hpe compatible.

Le but etant de relier 2 sites en LAN 2 LAN OVER L2TP reliant A ET B.

Lan A derriere une solution hp procurve + interco de type Ten vers switch
HPE dot1q2 vers CPE cisco de l'ISP.

Le but de la manoeuvre etant de cloisonner en créant un lien entre les 2
sites sans empecher le transport des données de A vers B et inversement.

Le problème du macsec c'est que cela agis au niveau 2 donc L2 over eth vers
un cpe fai vers le next hope une où plusieurs dorsales backbone puis le
cisco de l'autre extremité puis les switch d'interco HPE pour finir par les
procurve LAN.

Je me suis apperçu qu'en activant le mka en mode enable je perdais le lien
entre A et B

Quelqu'un aurait une idée précise sur le sujet
J'ai aussi comme idée de mettre du thales si ca marche pas où une solution
de NAC où de filtering L2 avec un FW.

Merci bcp

Sofiane

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Sondage : Changer sa solution de mail

2016-11-18 Par sujet David Ponzone 
Tu as testé, la compatibilité MAPI pour Outlook marche bien nativement ?

> Le 18 nov. 2016 à 08:45, Romain  a écrit :
> 
> Sinon pour tester rapidement SoGo, http://www.iredmail.org 
> 
> 
> Le 18 novembre 2016 à 08:43, David Ponzone  > a écrit :
> Pas encore.
> J’avais justement dit que j’allais tester SoGo, mais je manque de courage.
> Si quelqu’un est plus motivé, il y a une VM SoGo tout prête pour tester:
> https://sogo.nu/download.html#/zeg 
> 
> > Le 18 nov. 2016 à 08:21, Sébastien Lesimple 
> > > 
> > a écrit :
> >
> > Personne ne s'est encore penché sur Openchange?
> > Seb.
> >
> > On 18/11/2016 07:44, Christophe JEANNEROT wrote:
> >> Bonjour,
> >>
> >> Tu as la solution zimbra (open source) avec un module zpush pour les 
> >> mobiles.
> >>
> >> Ou directement zimbra Network édition. Ca simule complémentèrent 
> >> l'exchange pour le mobile.
> >>
> >> Cordialement
> >>
> >> Christophe
> >>
> >> Envoyé de mon iPhone
> >>
> >>> Le 17 nov. 2016 à 23:30, Phil Regnauld  >>> > a écrit :
> >>>
> >>> Guillaume LAPOUGE (guillaume.lapouge) writes:
>  Utilisez vous une solution mail permettant de faire à minima de l'active
>  sync et du webmail différente d'exchange et qui reste abordable (comparé 
>  +
>  exchange + win srv + cals) ? Une intégration a outlook est franchement 
>  pas
>  obligatoire.
> >>>   Zimbra.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/ 
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/ 
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/