RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> Guillaume Tournat a écrit :
> On parle de paquets avec TTL expiré, qui devraient donc être rejetés.
> Qu’il y ait du throttle la dessus, ça ne me choque pas.

Cà devrait être ma décision, pas la leur. C'est pas choquant, mais 1 packet par 
seconde faut qu'ils arrêtent de fumer la moquette.

En plus, leur support technique qui comprend rien essaie de m'expliquer que 
c'est çà qui bloque mon traceroute en sortant, alors qu'il n'y a aucun rapport. 
Ce lien était à propos des traces de l'extérieur, ce qui reste honteux.

Marche sans problème avec Sophos, Untangle, ASA, OPNSense et pfSense !!! Mais 
pas avec Fortigate, parce qu'ils se croient plus intelligents que le reste du 
monde.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] pfSense en mode bridge was : Fortigate et traceroute : la honte

[Xavier Lemaire]

Michel

On peut en discuter plus à fond en privé si nécessaire. Personnellement en
10 ans de pfsense et des centaines d'installations je n'ai jamais mis en
place une production avec un  mode bridge. Sur des installations de routage
à base d'ip public je désactive simplement le NAT.
En mode maquette "à la maison" il m'arrive de Bridger un LAN et un Wi-Fi

Ma question est quel type de configuration t'obligerait d'avoir le bridge ?

D'après ce que je comprends tu n'a pas respecter le concept du bridge en
collant tes règle sur l'interface bridge. Tu va avoir des énormes
surprises...

Autre point du coup : tes règles seront d'ip ou de range d'ip à ip elles
seront si elles sont bien faites aussi puissantes que d'interface à
interface le bridge ne réduira pas la sécurité.
Le défaut (perf) et aussi la qualité (fiabilité) c'est que tout paquet
passera par le filtrage que tu auras programmé (bien ou pas)



-- 
FR 00 33 222 06 41 02


xav...@amassi-network.com


Le 28 août 2018 23:37, "Michel Py"  a
écrit :

> Xavier Lemaire a écrit :
> Troldi en avance ?

Non, en retard ! Trolldi dernier j'ai décidé de sortir au lieu de troller :P

> Quand je lis ce genre de sujet je me souviens à quel point Je suis
tranquille avec pfsense et en plus le coût est moindre.

Oui justement çà fait quelques jours que pfSense a pris la place de
fortidaube dans l'environnement de test.
Et j'ai une question. Je suis en mode bridge. J'ai lu ceci et d'autres du
même genre :
https://community.adamnet.works/hc/en-us/articles/115002725594-Running-on-a-Transparent-pfSense-Bridge

Il y a un truc qui me chagrine avec ce papier, c'est les deux system
tunables qu'il faut changer:
Enable Packet Filter for Bridge Interface
Find the setting called net.link.bridge.pfil_bridge and set the value to 1
Also change net.link.bridge.pfil_member to a value of 0

Si je comprends bien, il ne faut plus avoir les règles sur LAN ou WAN, mais
sur le bridge. Je trouve que çà craint, car on perd la notion de ce qui est
l'extérieur et l'interieur.

J'ai pas fait ce qui était indiqué. J'ai gardé mes règles sur LAN et WAN.

Qu'est-ce que la liste en pense ?


Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Guillaume Tournat]

On parle de paquets avec TTL expiré, qui devraient donc être rejetés. Qu’il y 
ait du throttle la dessus, ça ne me choque pas. 


Le 28 août 2018 à 19:57, Michel Py  a écrit 
:

>> Michael Bazy a écrit :
>> Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là 
>> pour bloquer l'encapsulation
>> d'autres protocoles dans ICMP, elle empêche "juste" à une machine de faire 
>> plus de 1 traceroute par seconde.
> 
> C'est pire que çà, c'est 1 packet par seconde avec un TTL expiré. Même un 
> simple traceroute, 1 seul à là fois, çà ne passe pas.
> 
> UN PACKET PAR SECONDE !
> 
> C'est qui la bite qui a inventé çà ? on parle couramment de MILLIONS de 
> packets par seconde. J'ai une boite de 600 personnes avec 100 ingés et j'ai 
> droit à UN packet par seconde ? La connerie à ce niveau, c'est grave.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] pfSense en mode bridge was : Fortigate et traceroute : la honte

[Michel Py]

> Xavier Lemaire a écrit :
> Troldi en avance ?

Non, en retard ! Trolldi dernier j'ai décidé de sortir au lieu de troller :P

> Quand je lis ce genre de sujet je me souviens à quel point Je suis tranquille 
> avec pfsense et en plus le coût est moindre.

Oui justement çà fait quelques jours que pfSense a pris la place de fortidaube 
dans l'environnement de test.
Et j'ai une question. Je suis en mode bridge. J'ai lu ceci et d'autres du même 
genre :
https://community.adamnet.works/hc/en-us/articles/115002725594-Running-on-a-Transparent-pfSense-Bridge

Il y a un truc qui me chagrine avec ce papier, c'est les deux system tunables 
qu'il faut changer:
Enable Packet Filter for Bridge Interface
Find the setting called net.link.bridge.pfil_bridge and set the value to 1
Also change net.link.bridge.pfil_member to a value of 0

Si je comprends bien, il ne faut plus avoir les règles sur LAN ou WAN, mais sur 
le bridge. Je trouve que çà craint, car on perd la notion de ce qui est 
l'extérieur et l'interieur.

J'ai pas fait ce qui était indiqué. J'ai gardé mes règles sur LAN et WAN.

Qu'est-ce que la liste en pense ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel 'ic' Luczak]

> 
> C'est pire que çà, c'est 1 packet par seconde avec un TTL expiré. Même un 
> simple traceroute, 1 seul à là fois, çà ne passe pas.
> 
> UN PACKET PAR SECONDE !
> 
> C'est qui la bite qui a inventé çà ? on parle couramment de MILLIONS de 
> packets par seconde. J'ai une boite de 600 personnes avec 100 ingés et j'ai 
> droit à UN packet par seconde ? La connerie à ce niveau, c'est grave.

640K ought to be enough for anybody.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> Michael Bazy a écrit :
> Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là 
> pour bloquer l'encapsulation
> d'autres protocoles dans ICMP, elle empêche "juste" à une machine de faire 
> plus de 1 traceroute par seconde.

C'est pire que çà, c'est 1 packet par seconde avec un TTL expiré. Même un 
simple traceroute, 1 seul à là fois, çà ne passe pas.

UN PACKET PAR SECONDE !

C'est qui la bite qui a inventé çà ? on parle couramment de MILLIONS de packets 
par seconde. J'ai une boite de 600 personnes avec 100 ingés et j'ai droit à UN 
packet par seconde ? La connerie à ce niveau, c'est grave.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP vers T2 ?

[Michel Py]

> David Ponzone
> Elle coûte combien l’appliance Asterisk, carte PRI incluse ? Moins de 700€ ?

Facilement. PC de récup (on va quand même pas mettre un Core i7 pour faire çà); 
la carte est environ 100 € si on se contente d'un clone (marche très bien j'en 
ai des tas en prod).

Michel.



Au final, c’est une question de rapport qualité/prix. Patton, je comprends 
qu’on aime pas la conf (aller à la formation aide, c’est clair), mais ça bouge 
pas. Je vais pas mettre un truc 100€ moins cher, si ça génère des emmerdes 
(disque magnétique, alim de fiabilité douteuse, …).
Si c’est vraiment beaucoup moins cher, on peut regarder, mais la dernière fois 
que j’avais regardé, une appliance avec une carte Digium ou Sangoma, ça 
revenait à peine moins cher qu’une Patton. Et du temps perdu à déployer.


> Le 28 août 2018 à 11:10, Oliver varenne  a écrit :
> 
> Question con, mais pourquoi ne pas utiliser une petite Appliance asterisk qui 
> va te faire ça ? 
> Chez nous dans ce cas on met un IPBX Xorcom CXR2000 avec une carte 1 PRI, et 
> roulez jeunesse, souvent dans le meme cas que toi: a savoir migration d'un 
> matériel T2 vers du SIP "en douceur"
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Co-gérant, Commercial & Développeur
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> Ducassou Laurent
>> Envoyé : mardi 28 août 2018 10:39
>> À : frnog@frnog.org
>> Objet : Re: [FRnOG] [TECH] SIP vers T2 ?
>> 
>> 
>> 
>> Le 27/08/2018 à 22:58, Sébastien Lesimple a écrit :
>>> Le 27/08/2018 à 19:53, Michel Py a écrit :
> Sébastien Lesimple a écrit :
> Avec des 2911, ca va dépendre des WIC que tu met dedans et des DSP,
> ca utilise vraiment beaucoup de ressources les routeurs. A
> surveiller aussi avec les 2911, il y a cetaine série sur lesquels
>> certaine WIC ne fonctionnent pas, du coups fait vraiment faire attention a
>> la partie HardWare.
 J'ai jamais fait de T2 mais si c'est comme DS3/T3 je conseille pas sur
>> un 2900, et je crois que c'est pas du WIC mais du NM.
>>> Non mais là, connaissant Laurent, il veut coller un routeur au cul de
>>> ses PBX avec PRI qui causaient avec Orange ne "Numéris".
>>> Donc c'est du Channelised E1 ou ISDN PRI.
>>> Chez nous c'est du 30 canaux B, c'est toi c'est du T1 avec 25 Cannaux B.
>>> Dans une config y'a tres longtemps, c'était des VWIC3-4MFT-T1/E1 qui
>>> faisaient pas trop mal le boulot sur du 2911, à condition de rajouter
>>> de la DSP.
>> 
>> Hello Seb !
>> 
>> Et non fail :) L'idée est de convertir des trunk SIP venant de notre coeur
>> de réseau IP en T2 pour nos très vieux site/autocom le temps de passer ces
>> sites en full IP (dont un site de 2200 lignes... autant dire que on ne
>> fait pas à moitié et en 2 mois chez nous!)
>> 
>> =)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[Joel DEREFINKO]

Sur Debian buster/sid, bind 9.11.4

cat /etc/bind/bind.keys
[...]
managed-keys {
# This key (19036) is to be phased out starting in 2017. It will
# remain in the root zone for some time after its successor key
# has been added. It will remain this file until it is removed from
# the root zone.
. initial-key 257 3 8 
"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
QxA+Uk1ihz0=";

# This key (20326) was published in the root zone in 2017.
# Servers which were already using the old key (19036) should
# roll seamlessly to this new one via RFC 5011 rollover. Servers
# being set up for the first time can use the contents of this
# file as initializing keys; thereafter, the keys in the
# managed key database will be trusted and maintained
# automatically.
. initial-key 257 3 8 
"AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
R1AkUTV74bU=";
};


Joël 
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Stephane Bortzmeyer
Envoyé : mardi 28 août 2018 16:14
À : Guillaume Tournat
Cc : Stephane Bortzmeyer; frnog-t...@frnog.org
Objet : [FRnOG] Re: [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on 
change de clé DNSSEC

On Tue, Aug 28, 2018 at 04:08:36PM +0200,
 Guillaume Tournat  wrote 
 a message of 80 lines which said:

> Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys 
> »
> 
> Il y a une version minimale de bind a avoir ?

Je ne me souviens plus de laquelle. Mais je cite l'ISC : « If you are
running an older version of BIND, and don’t have access to the RNDC
managed-keys query, you may have to check the .mkeys files in each
view, as below, to see if the new keys were added. From the ARM:
"If named is not configured to use views, then managed keys for the
server will be tracked in a single file called
managed-keys.bind. Otherwise, managed keys will be tracked in separate
files, one file per view; each file name will be the view name (or, if
it contains characters that are incompatible with use as a file name,
the SHA256 hash of the view name), followed by the extension
.mkeys." »


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[Stephane Bortzmeyer]

On Tue, Aug 28, 2018 at 04:08:36PM +0200,
 Guillaume Tournat  wrote 
 a message of 80 lines which said:

> Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys 
> »
> 
> Il y a une version minimale de bind a avoir ?

Je ne me souviens plus de laquelle. Mais je cite l'ISC : « If you are
running an older version of BIND, and don’t have access to the RNDC
managed-keys query, you may have to check the .mkeys files in each
view, as below, to see if the new keys were added. From the ARM:
"If named is not configured to use views, then managed keys for the
server will be tracked in a single file called
managed-keys.bind. Otherwise, managed keys will be tracked in separate
files, one file per view; each file name will be the view name (or, if
it contains characters that are incompatible with use as a file name,
the SHA256 hash of the view name), followed by the extension
.mkeys." »


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[Guillaume Tournat]

Bonjour Stephane

Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys »

Il y a une version minimale de bind a avoir ?



> Le 28 août 2018 à 11:38, Stephane Bortzmeyer  a écrit :
> 
> Il n'y aura probablement aucun problème pour les résolveurs DNS
> sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
> ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
> dans la pub pour une boisson ? Ici, voici "what to expect":
> 
> https://www.icann.org/news/announcement-2018-08-22-en
> 
> Plus concrètement, votre résolveur devrait avoir la clé 19036
> (l'actuelle) et la 20326 (celle qui rentre en service le 11
> octobre). Pour vérifier :
> 
> Avec Unbound, on affiche le fichier des clés (son emplacement dépend
> de voitre configuration) :
> 
> % cat /var/lib/unbound/root.key
> ...
> .172800INDNSKEY257 3 8 
> AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
>  ;{id = 20326 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
> ;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017
> .172800INDNSKEY257 3 8 
> AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
>  ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
> ;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014
> 
> Ici, c'est bon, il y a les deux clés, en état VALID, et avec les
> bonnes dates.
> 
> Avec Knot Resolver :
> 
> trust_anchors.keysets
> 
> dans la console devrait vous montrer un tableau avec les deux clés.
> 
> Avec BIND :
> 
> % rndc managed-keys status
> ...
> name: .
>keyid: 19036
>algorithm: RSASHA256
>flags: SEP
>next refresh: Tue, 28 Aug 2018 17:18:31 GMT
>trusted since: Mon, 24 Jul 2017 20:23:49 GMT
>keyid: 20326
>algorithm: RSASHA256
>flags: SEP
>next refresh: Tue, 28 Aug 2018 17:18:31 GMT
>trusted since: Mon, 24 Jul 2017 20:23:49 GMT
> 
> Parfait ici, il y a les deux clés.
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[Jonathan Leroy]

Le 28 août 2018 à 15:16, Nico CARTRON  a écrit :
> et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu:
>
> # rec_control get-tas
> Configured Trust Anchors:
> .
> 19036 8 2 
> 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5
> 20326 8 2 
> e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d

Et pour ceux qui utilisent le cache DNS d'un routeur Ubiquiti (dnsmasq) :

@ubnt:~$ configure
[edit]
@ubnt# show service dns forwarding options
 options dnssec
 options 
trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
 options 
trust-anchor=.,20326,8,2,E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D
 options dnssec-check-unsigned



-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[Nico CARTRON]

Hello,

On 28-Aug-2018 11:38 CEST,  wrote:

> Il n'y aura probablement aucun problème pour les résolveurs DNS
> sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
> ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
> dans la pub pour une boisson ? Ici, voici "what to expect":
> 
> https://www.icann.org/news/announcement-2018-08-22-en
> 
> Plus concrètement, votre résolveur devrait avoir la clé 19036
> (l'actuelle) et la 20326 (celle qui rentre en service le 11
> octobre). Pour vérifier :
> 
> [...]

et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu:

# rec_control get-tas
Configured Trust Anchors:
.
19036 8 2 
49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5
20326 8 2 
e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d

-- 
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP vers T2 ?

[Oliver varenne]

Ça depend de l’Appliance 
Mais oui ça sera plus cher que 700€.

Les clients chez qui on a fait ça en on profité pour migrer aussi des Fax 
papiers vers l’IPBX (fax2mail) (un grand nombre de fax) + connexion de nouveau 
postes sur l’IPBX Asterisk (afin de ne pas payer des licences sur un PABX qui 
va être changé dans les 6 mois)
Dans ce cas, ça reviens moins cher quand tu mets tout bout à bout




Cordialement,

[cid:fe3b40cd-31a8-4263-a719-d58b9badddce]

Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

De : David Ponzone 
Envoyé : mardi 28 août 2018 11:40
À : Oliver varenne 
Cc : Ducassou Laurent ; frnog@frnog.org
Objet : Re: [FRnOG] [TECH] SIP vers T2 ?

Olivier,

Elle coûte combien l’appliance Asterisk, carte PRI incluse ?
Moins de 700€ ?
Au final, c’est une question de rapport qualité/prix. Patton, je comprends 
qu’on aime pas la conf (aller à la formation aide, c’est clair), mais ça bouge 
pas. Je vais pas mettre un truc 100€ moins cher, si ça génère des emmerdes 
(disque magnétique, alim de fiabilité douteuse, …).
Si c’est vraiment beaucoup moins cher, on peut regarder, mais la dernière fois 
que j’avais regardé, une appliance avec une carte Digium ou Sangoma, ça 
revenait à peine moins cher qu’une Patton. Et du temps perdu à déployer.


Le 28 août 2018 à 11:10, Oliver varenne 
mailto:o.vare...@ipconnect.fr>> a écrit :

Question con, mais pourquoi ne pas utiliser une petite Appliance asterisk qui 
va te faire ça ?
Chez nous dans ce cas on met un IPBX Xorcom CXR2000 avec une carte 1 PRI, et 
roulez jeunesse, souvent dans le meme cas que toi: a savoir migration d'un 
matériel T2 vers du SIP "en douceur"


Cordialement,



Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr


-Message d'origine-
De : frnog-requ...@frnog.org 
mailto:frnog-requ...@frnog.org>> De la part de
Ducassou Laurent
Envoyé : mardi 28 août 2018 10:39
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] SIP vers T2 ?



Le 27/08/2018 à 22:58, Sébastien Lesimple a écrit :

Le 27/08/2018 à 19:53, Michel Py a écrit :

Sébastien Lesimple a écrit :
Avec des 2911, ca va dépendre des WIC que tu met dedans et des DSP,
ca utilise vraiment beaucoup de ressources les routeurs. A
surveiller aussi avec les 2911, il y a cetaine série sur lesquels
certaine WIC ne fonctionnent pas, du coups fait vraiment faire attention a
la partie HardWare.

J'ai jamais fait de T2 mais si c'est comme DS3/T3 je conseille pas sur
un 2900, et je crois que c'est pas du WIC mais du NM.

Non mais là, connaissant Laurent, il veut coller un routeur au cul de
ses PBX avec PRI qui causaient avec Orange ne "Numéris".
Donc c'est du Channelised E1 ou ISDN PRI.
Chez nous c'est du 30 canaux B, c'est toi c'est du T1 avec 25 Cannaux B.
Dans une config y'a tres longtemps, c'était des VWIC3-4MFT-T1/E1 qui
faisaient pas trop mal le boulot sur du 2911, à condition de rajouter
de la DSP.

Hello Seb !

Et non fail :) L'idée est de convertir des trunk SIP venant de notre coeur
de réseau IP en T2 pour nos très vieux site/autocom le temps de passer ces
sites en full IP (dont un site de 2200 lignes... autant dire que on ne
fait pas à moitié et en 2 mois chez nous!)

=)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP vers T2 ?

[David Ponzone]

Olivier,

Elle coûte combien l’appliance Asterisk, carte PRI incluse ?
Moins de 700€ ?
Au final, c’est une question de rapport qualité/prix. Patton, je comprends 
qu’on aime pas la conf (aller à la formation aide, c’est clair), mais ça bouge 
pas. Je vais pas mettre un truc 100€ moins cher, si ça génère des emmerdes 
(disque magnétique, alim de fiabilité douteuse, …).
Si c’est vraiment beaucoup moins cher, on peut regarder, mais la dernière fois 
que j’avais regardé, une appliance avec une carte Digium ou Sangoma, ça 
revenait à peine moins cher qu’une Patton. Et du temps perdu à déployer.


> Le 28 août 2018 à 11:10, Oliver varenne  a écrit :
> 
> Question con, mais pourquoi ne pas utiliser une petite Appliance asterisk qui 
> va te faire ça ? 
> Chez nous dans ce cas on met un IPBX Xorcom CXR2000 avec une carte 1 PRI, et 
> roulez jeunesse, souvent dans le meme cas que toi: a savoir migration d'un 
> matériel T2 vers du SIP "en douceur"
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Co-gérant, Commercial & Développeur
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> Ducassou Laurent
>> Envoyé : mardi 28 août 2018 10:39
>> À : frnog@frnog.org
>> Objet : Re: [FRnOG] [TECH] SIP vers T2 ?
>> 
>> 
>> 
>> Le 27/08/2018 à 22:58, Sébastien Lesimple a écrit :
>>> Le 27/08/2018 à 19:53, Michel Py a écrit :
> Sébastien Lesimple a écrit :
> Avec des 2911, ca va dépendre des WIC que tu met dedans et des DSP,
> ca utilise vraiment beaucoup de ressources les routeurs. A
> surveiller aussi avec les 2911, il y a cetaine série sur lesquels
>> certaine WIC ne fonctionnent pas, du coups fait vraiment faire attention a
>> la partie HardWare.
 J'ai jamais fait de T2 mais si c'est comme DS3/T3 je conseille pas sur
>> un 2900, et je crois que c'est pas du WIC mais du NM.
>>> Non mais là, connaissant Laurent, il veut coller un routeur au cul de
>>> ses PBX avec PRI qui causaient avec Orange ne "Numéris".
>>> Donc c'est du Channelised E1 ou ISDN PRI.
>>> Chez nous c'est du 30 canaux B, c'est toi c'est du T1 avec 25 Cannaux B.
>>> Dans une config y'a tres longtemps, c'était des VWIC3-4MFT-T1/E1 qui
>>> faisaient pas trop mal le boulot sur du 2911, à condition de rajouter
>>> de la DSP.
>> 
>> Hello Seb !
>> 
>> Et non fail :) L'idée est de convertir des trunk SIP venant de notre coeur
>> de réseau IP en T2 pour nos très vieux site/autocom le temps de passer ces
>> sites en full IP (dont un site de 2200 lignes... autant dire que on ne
>> fait pas à moitié et en 2 mois chez nous!)
>> 
>> =)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[Stephane Bortzmeyer]

Il n'y aura probablement aucun problème pour les résolveurs DNS
sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
dans la pub pour une boisson ? Ici, voici "what to expect":

https://www.icann.org/news/announcement-2018-08-22-en

Plus concrètement, votre résolveur devrait avoir la clé 19036
(l'actuelle) et la 20326 (celle qui rentre en service le 11
octobre). Pour vérifier :

Avec Unbound, on affiche le fichier des clés (son emplacement dépend
de voitre configuration) :

% cat /var/lib/unbound/root.key
...
.   172800  IN  DNSKEY  257 3 8 
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
 ;{id = 20326 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017
.   172800  IN  DNSKEY  257 3 8 
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
 ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014

Ici, c'est bon, il y a les deux clés, en état VALID, et avec les
bonnes dates.

Avec Knot Resolver :

trust_anchors.keysets

dans la console devrait vous montrer un tableau avec les deux clés.

Avec BIND :

% rndc managed-keys status
...
name: .
keyid: 19036
algorithm: RSASHA256
flags: SEP
next refresh: Tue, 28 Aug 2018 17:18:31 GMT
trusted since: Mon, 24 Jul 2017 20:23:49 GMT
keyid: 20326
algorithm: RSASHA256
flags: SEP
next refresh: Tue, 28 Aug 2018 17:18:31 GMT
trusted since: Mon, 24 Jul 2017 20:23:49 GMT

Parfait ici, il y a les deux clés.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP vers T2 ?

[Oliver varenne]

Question con, mais pourquoi ne pas utiliser une petite Appliance asterisk qui 
va te faire ça ? 
Chez nous dans ce cas on met un IPBX Xorcom CXR2000 avec une carte 1 PRI, et 
roulez jeunesse, souvent dans le meme cas que toi: a savoir migration d'un 
matériel T2 vers du SIP "en douceur"


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Ducassou Laurent
> Envoyé : mardi 28 août 2018 10:39
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] SIP vers T2 ?
> 
> 
> 
> Le 27/08/2018 à 22:58, Sébastien Lesimple a écrit :
> > Le 27/08/2018 à 19:53, Michel Py a écrit :
> >>> Sébastien Lesimple a écrit :
> >>> Avec des 2911, ca va dépendre des WIC que tu met dedans et des DSP,
> >>> ca utilise vraiment beaucoup de ressources les routeurs. A
> >>> surveiller aussi avec les 2911, il y a cetaine série sur lesquels
> certaine WIC ne fonctionnent pas, du coups fait vraiment faire attention a
> la partie HardWare.
> >> J'ai jamais fait de T2 mais si c'est comme DS3/T3 je conseille pas sur
> un 2900, et je crois que c'est pas du WIC mais du NM.
> > Non mais là, connaissant Laurent, il veut coller un routeur au cul de
> > ses PBX avec PRI qui causaient avec Orange ne "Numéris".
> > Donc c'est du Channelised E1 ou ISDN PRI.
> > Chez nous c'est du 30 canaux B, c'est toi c'est du T1 avec 25 Cannaux B.
> > Dans une config y'a tres longtemps, c'était des VWIC3-4MFT-T1/E1 qui
> > faisaient pas trop mal le boulot sur du 2911, à condition de rajouter
> > de la DSP.
> 
> Hello Seb !
> 
> Et non fail :) L'idée est de convertir des trunk SIP venant de notre coeur
> de réseau IP en T2 pour nos très vieux site/autocom le temps de passer ces
> sites en full IP (dont un site de 2200 lignes... autant dire que on ne
> fait pas à moitié et en 2 mois chez nous!)
> 
> =)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michael Bazy]

Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là pour 
bloquer l'encapsulation d'autres protocoles dans ICMP, elle empêche "juste" à 
une machine de faire plus de 1 traceroute par seconde.

Sinon, ça donne quelque chose comme ça (exemple sur un tracert -d 8.8.8.8)

Tant qu'on dépasse pas la limite, tout paraît normal:
  1 1 ms 1 ms 2 ms  192.168.1.99
  223 ms22 ms24 ms  33.7.18.6
  324 ms23 ms22 ms  33.7.18.2
[...]
 824 ms25 ms24 ms  64.233.175.199
  923 ms23 ms23 ms  8.8.8.8

Et lorsqu'on dépasse la limite : 
  122 ms22 ms22 ms  33.7.18.6
  237 ms *   23 ms  33.7.18.6
  324 ms23 ms22 ms  33.7.18.2
[...]
 824 ms25 ms24 ms  64.233.175.199
  923 ms23 ms23 ms  8.8.8.8

Je rejoins Michel sur le fait que ça soit moche comme traceroute. Cependant, je 
veux bien comprendre que ça puisse empêcher des attaques. 

Mais bon, ça aurait pu être configurable.

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de VALOIS, 
Pascal
Envoyé : mardi 28 août 2018 09:01
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

J'ai oublié "le poc" : 
http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-0.61.orig/web/

Le 28/08/2018 à 08:59, VALOIS, Pascal a écrit :
> Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un 
> passe muraille que beaucoup négligent, entre les octets inutilisés qui 
> permettent de faire un relai icmp tcp, ou le fait de pouvoir se faire 
> ddos par du ping (plus facilement que par du tcp, vu qu'un paquet ping 
> c'est tout pitit a forger, et que la plupart des ddos sont de type 
> syn).
>
> Apres je suis pas encore un kador de la sécurité, et bien sur on peut 
> mitigier ces problemes avec des firewall applicatifs et des politiques 
> de controle de ddos.
>
> Je dis ca je dis rien hein :P
>
> PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont 
> pas fait une demande justifiée en triple exemplaire !
>
> Le 28/08/2018 à 07:50, Xavier Beaudouin a écrit :
>> Hello Michel,
>>
>>
>>> Quand on traverse un Fortigate, on ne peut pas faire de traceroute 
>>> fiable, car il y a un rate-limit de 1 packet par seconde avec TTL 
>>> expiré.
>>> C'est documenté. Et en plus ils pensent qu'ils ont raison.
>>> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
>>>
>>> Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné :
>>> J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le 
>>> budget 2019.
>> Pas mal... Je le mets aussi dans la liste des trucs a la con. Comme 
>> les "admin" de firewall qui bloquent l'ICMP ou qui empêche de faire 
>> des traceroute sur leur firewall. Très pratique pour débugger 
>> rapidement un pb potentiel ou pMTUd Mais bon...
>> Être admin de firewall
>> ne veux pas forcément dire être bon admin réseau ou système..
>>
>> /Xavier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP vers T2 ?

[Cedric Millet (pro)]

Sébastien, si tu as expérimenté les IAD OneAccess au début des années 2000
je comprends ton avis pourri sur leurs produits. C'était même peu dire^^
Mais pour avoir bossé aussi sur leurs versions après 2008, c'est devenu du
bon matos (meme les problemes d'alim qui crament ont disparu)

Quant aux inalp Patton, comme dit David, si t'es pas tombé dedans... Perso
ca m'a fait vomir en 2005, impossible de faire monter un T2 sur un 4400
ALE, avec le support du directeur technique France de l’époque... Une
logique de config interne bien trop tordu à mon goût. Peut être que ça a
changé depuis et que j'ai autant une aversion pour Patton que toi pour
OneAccess ;)

Audiocodes je ne les ai utilisés testés qu'en ATA et en équipement de
grosse capa 4 à 32 E1. Mais plutot excellents produits (surtout sur la
finesse de configuration en terme de fonctions voice (interfonctionnement
protocolaire). La meilleure marque pour gérer des fax. La seule qui
supporte les fax SG3 en T.38 v3 max speed v.34 33.6kbps
Oui je sais les fax, technologie du passé... tout ça, faut arréter, tout
ça...  Toujours est-il que les notaires, comptables et autres
administrations les utilisent. La france administrative aime le papier...
Meme si ca change et disparaît réellement depuis 2016 je dirai.

De début 2000, je me rappelle aussi des Bosanova, Quescom et même Bewan,
mais pas top ces produits, je ne sais meme pas s'ils font encore des IAD ?
^^
Sinon depuis j'ai connu les Keymile (allemand) , tres robustes ,mais pas du
tout bon marché ni pour de la petite capacité. Et peut mieux faire en
adaption à l'ISDN FR (VNx)

Donc les gouts, les couleurs... il en faut pour tout le monde ^^
Merci pour cet instant nostalgie que ce sujet vient de me remémorer ;)

On Mon, Aug 27, 2018 at 10:43 PM Sébastien Lesimple <
sebastien.lesim...@iguanetel.fr> wrote:

> Le 27/08/2018 à 21:45, Solarus a écrit :
>
>
> Le 2018-08-27 à 11:54, David Ponzone a écrit :
>
> Patton sinon rien!
> D’autres vont te dire Audiocodes. Ca dépend dans quelle marmite tu es tombé 
> quand tu étais petit.
>
>
> El famoso MP112 de chez Audiocode, sinon les One Access comme conseillés
> par ailleurs.
>
> Solarus
>
>
>
> One Access et Audiocodes, en anciennes version, je suis franchement pas
> fan...
> Surtout OneAccess, dans le gendre grosse daube, ca se pose là!
> Heureusement pour eux qu'il y a eu SFR pour les sortir du néant, tout
> comme 9 pour Cirpack en son temps d'ailleurs.
> Putain comment ils ont pu arriver à faire bander des CTO avec des merdes
> pareilles?!?!
> Franchement chapeau bas pour les mecs qui ont réussi a transformer ces
> accidents industriels en succès economiques.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP vers T2 ?

[Ducassou Laurent]

Le 27/08/2018 à 22:58, Sébastien Lesimple a écrit :

Le 27/08/2018 à 19:53, Michel Py a écrit :

Sébastien Lesimple a écrit :
Avec des 2911, ca va dépendre des WIC que tu met dedans et des DSP, ca utilise 
vraiment beaucoup
de ressources les routeurs. A surveiller aussi avec les 2911, il y a cetaine 
série sur lesquels
certaine WIC ne fonctionnent pas, du coups fait vraiment faire attention a la 
partie HardWare.

J'ai jamais fait de T2 mais si c'est comme DS3/T3 je conseille pas sur un 2900, 
et je crois que c'est pas du WIC mais du NM.

Non mais là, connaissant Laurent, il veut coller un routeur au cul de
ses PBX avec PRI qui causaient avec Orange ne "Numéris".
Donc c'est du Channelised E1 ou ISDN PRI.
Chez nous c'est du 30 canaux B, c'est toi c'est du T1 avec 25 Cannaux B.
Dans une config y'a tres longtemps, c'était des VWIC3-4MFT-T1/E1 qui
faisaient pas trop mal le boulot sur du 2911, à condition de rajouter de
la DSP.


Hello Seb !

Et non fail :) L'idée est de convertir des trunk SIP venant de notre 
coeur de réseau IP en T2 pour nos très vieux site/autocom le temps de 
passer ces sites en full IP (dont un site de 2200 lignes... autant dire 
que on ne fait pas à moitié et en 2 mois chez nous!)


=)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Xavier Beaudouin]

Hello Pascal,

> Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
> passe muraille que beaucoup négligent,
> entre les octets inutilisés qui permettent de faire un relai icmp tcp,
> ou le fait de pouvoir se faire ddos par du ping

Tout n'est pas a jeter (je parlais de l'ICMP, pas que du ping qui fait 
partie de l'ICMP mais qui n'englobe pas tout l'ICMP).

Alors pour les DDoS avec du ping, c'est pas un firewall qui vas te protéger 
d'un vrai DDoS qui vas te saturer ton uplink en plus les DDoS a la mode
sont plus en udp (coucou les amplificateurs tels que ntp / snmp / dnssec et
bien d'autres, qui sont "plus ou moins" limité par des patches mis en place 
- ou pas - chez des hébergeurs / opérateurs).

Même réponse, si tu as 60Gbps de DDoS et que ton uplink est 1G, t'as perdu
quelque soit le firewall et/ou ta politique sur l'ICMP / whatever.

Parc contre un peu de BCP38 là on fait le bon citoyen (ceci dit c'est plus
facile a dire qu'à faire).

> PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont
> pas fait une demande justifiée en triple exemplaire !

Oui et non... Mais avoir comme politique, ne pas faire confiance et n'ouvrir
que ce qui est nécessaire au bon fonctionnement

Perso les firewalls "proprio" et leur visions étriquées de l'internet sont
très souvent des choses qui ralentissent le déploiement plutôt que des vrais
freins. 

Ceci dit, ils peuvent être un dernier rempart de protection à condition de ne
pas exagérer le délire.

A bientôt
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[VALOIS, Pascal]

J'ai oublié "le poc" : 
http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-0.61.orig/web/


Le 28/08/2018 à 08:59, VALOIS, Pascal a écrit :
Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un 
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent de faire un relai icmp tcp, 
ou le fait de pouvoir se faire ddos par du ping
(plus facilement que par du tcp, vu qu'un paquet ping c'est tout pitit 
a forger, et que la plupart des ddos sont de type syn).


Apres je suis pas encore un kador de la sécurité, et bien sur on peut 
mitigier ces problemes avec des firewall applicatifs et des politiques 
de controle de ddos.


Je dis ca je dis rien hein :P

PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont 
pas fait une demande justifiée en triple exemplaire !


Le 28/08/2018 à 07:50, Xavier Beaudouin a écrit :

Hello Michel,


Quand on traverse un Fortigate, on ne peut pas faire de traceroute 
fiable, car

il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372

Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné :
J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le 
budget 2019.
Pas mal... Je le mets aussi dans la liste des trucs a la con. Comme 
les "admin" de firewall
qui bloquent l'ICMP ou qui empêche de faire des traceroute sur leur 
firewall. Très pratique
pour débugger rapidement un pb potentiel ou pMTUd Mais bon... 
Être admin de firewall

ne veux pas forcément dire être bon admin réseau ou système..

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[VALOIS, Pascal]

Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un 
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent de faire un relai icmp tcp, 
ou le fait de pouvoir se faire ddos par du ping
(plus facilement que par du tcp, vu qu'un paquet ping c'est tout pitit a 
forger, et que la plupart des ddos sont de type syn).


Apres je suis pas encore un kador de la sécurité, et bien sur on peut 
mitigier ces problemes avec des firewall applicatifs et des politiques 
de controle de ddos.


Je dis ca je dis rien hein :P

PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont 
pas fait une demande justifiée en triple exemplaire !


Le 28/08/2018 à 07:50, Xavier Beaudouin a écrit :

Hello Michel,



Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372

Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné :
J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le budget 2019.

Pas mal... Je le mets aussi dans la liste des trucs a la con. Comme les "admin" 
de firewall
qui bloquent l'ICMP ou qui empêche de faire des traceroute sur leur firewall. 
Très pratique
pour débugger rapidement un pb potentiel ou pMTUd Mais bon... Être admin de 
firewall
ne veux pas forcément dire être bon admin réseau ou système..

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Sangoma achète Digium

[Oliver varenne]

> Je ne suis pas d'accord avec toi. L'écosystème dépend pour beaucoup de ce
> qui se passe en interne chez les principaux. Sangoma et Digium ils se sont
> foutus sur la gueule depuis la nuit des temps, il va y avoir des
> règlements de comptes crades, je suis mieux dans mes pompes que d'un
> employé de Digium, mais au bout du compte on va y perdre quelqu'un.
> 

Bien sur que ça va être problématique pour certains. Et bien sur que des 
produits entiers vont disparaitre au profit d'autres (et ça va faire des 
malheureux). Et en interne oui il va surement y avoir de la casse 
(restructuration et aussi combats d'égos).
M'enfin je ne crois pas non plus au scénario catastrophe... je suis un éternel 
optimiste.


> > Nous ne proposons plus de FreePBX justement pour éviter cette
> > problématique (suite à l'affaire Elastix...)
> 
> Je comprends pas ta logique, là.  L'affaire Elastix, c'était pas la faute
> de FreePBX ou de Sangoma. Pour ceux qui doutaient de l'absence de
> scrupules de 3CX, j'espère que çà a clarifié la situation.
> 
> Poses-toi la question : tu es à la limite du dépôt de bilan, et 3CX arrive
> avec un gros chèque, tu fais quoi ?


Ha je ne remet pas en cause le fait que Elastix ait choisi le gros chèque. Ça 
c'est leur histoire, et j'aurai fait sans doute pareil.

Mais ce que j'ai constaté, c'est la quantité de personnes autour de nous qui se 
sont fait avoir par le discours volontairement flou de 3CX: "ben c'est de 
l'elastix, c'est open source et kikoo lol". 
Et quand tu leur expliques que c'est du 3cx, que cette boite est franchement 
dégueulasse aussi bien avec ses clients qu'avec ses revendeurs (sérieusement, 
comment leurs revendeurs peuvent accepter que 3CX mette tous les prix sur 
internet et vende en direct ??), la seule réponse qu'ils ont est que "c'est 
super bien en tout cas, on m'a montré un beau PDF et j'ai signé tout de suite".

Et ça, pour une boite comme nous qui tentons de distribuer à nos revendeurs un 
IPBX basé sur Asterisk, stable, efficace, avec le meilleur support possible, en 
français, sans ouverture de ticket qui prend 4 jours pour obtenir une réponse, 
etc etc, c'est difficile à encaisser.

FreePBX, nos IPBX étaient basés dessus. 
Ça marchait bien (quoi que niveau de support sur produit assez élevé car il 
arrivait souvent que des clients installent/mettent à jour des modules, et pouf 
ça marche plus)
Mais, excuse-moi du terme, quel bordel ! y'a qu'à voir les fichiers de conf 
générés par l'interface, c'est un truc de dingue, la moindre modification un 
peu poussée nécessite de s'arracher les cheveux.
Alors je suis bien content que la marque que l'on distribue ait choisie de 
s'orienter vers leur propre interface: ils ont optés pour un modèle permettant 
de conserver la souplesse d'Asterisk en laissant la possibilité de modifier 
FACILEMENT la config en direct, sans perdre la facilité de l'interface WEB. 

Apres, on reste un petit distributeur, tout cela n'a pas un énorme impact sur 
nous
Petit certes, mais réactif du coup. Donc je suis pas plus inquiet que ça.




Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Michel Py
> Envoyé : mardi 28 août 2018 07:30
> À : 'Raphael Mazelier' ; frnog@frnog.org
> Objet : RE: [FRnOG] [MISC] Sangoma achète Digium
> 
> > Raphael Mazelier a écrit :
> > Freeswitch a effectivement crée "en réaction" à Asterisk.
> > Le gros problème est donc qu'il n'y a jamais eu de vraie version 2.0
> from scratch.
> 
> D'accord, mais plus facile à dire qu'à faire, en tout honnêteté. Dans le
> genre élevage de yàkà, çà s'impose.
> 
> 
> > On peut considérer Freeswitch comme cette version 2.0. Malheureusement
> > même encore aujourd'hui de nombreux softs, drivers, etc.. ne sont pas
> encore disponible sous Freeswitch.
> 
> Je suis d'accord avec ton analyse et aussi avec ce que David a écrit plus
> tôt : l'écosystème est important.
> 
> 
> >> Michel Py a écrit :
> >> Cà va être un bain de sang en interne; Novell et Unixware qui
> >> fusionnent, Borland qui achète WordPerfect, CA qui achète Clipper
> Supercalc et  Arcserve, HP qui rachète Compaq...
> > Oliver varenne a écrit :
> > Ha oui, mais en interne ça les regarde...
> 
> Je ne suis pas d'accord avec toi. L'écosystème dépend pour beaucoup de ce
> qui se passe en interne chez les principaux. Sangoma et Digium ils se sont
> foutus sur la gueule depuis la nuit des temps, il va y avoir des
> règlements de comptes crades, je suis mieux dans mes pompes que d'un
> employé de Digium, mais au bout du compte on va y perdre quelqu'un.
> 
> 
> > Nous ne proposons plus de FreePBX justement pour éviter cette
> > problématique (suite à l'affaire Elastix...)
> 
> Je comprends pas ta logique, là.  L'affaire Elastix, c'était pas la faute
> de FreePBX ou de Sangoma. Pour ceux qui doutaient de l'absence de
> scrupules de 3CX, j'espère que çà a clarifié la situation.
> 
> Poses-toi la 

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Xavier Lemaire]

Bonjour

Troldi en avance ?

Quand je lis ce genre de sujet je me souviens à quel point Je suis
tranquille avec pfsense et en plus le coût est moindre.


Le lun. 27 août 2018 à 20:29, Michel Py 
a écrit :

> Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable,
> car il y a un rate-limit de 1 packet par seconde avec TTL expiré.
> C'est documenté. Et en plus ils pensent qu'ils ont raison.
> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
>
> Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné :
> J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le budget
> 2019.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 


FR 00 33 222 06 41 02
ES 00 34 951 820 240
ES 00 34 683 14 39 64

xav...@amassi-network.com

Ce message et ses pieces jointes peuvent contenir des informations
confidentielles ou privilegiees et ne doivent donc

pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu
ce message par erreur, veuillez le signaler

a l'expediteur et le detruire ainsi que les pieces jointes. Les messages
electroniques etant susceptibles d'alteration,

Amassi-network decline toute responsabilite si ce message a ete altere,
deforme ou falsifie. Merci.



This message and its attachments may contain confidential or privileged
information that may be protected by law;

they should not be distributed, used or copied without authorisation.

If you have received this email in error, please notify the sender and
delete this message and its attachments.

As emails may be altered, Amassi-network is not liable for messages that
have been modified, changed or falsified.

Thank you.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Toussaint OTTAVI]

Le 27/08/2018 à 20:28, Michel Py a écrit :

Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car 
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.


Tiens, on est déjà Vendredi ? :-D

A l'occasion, moi, je pourrais parler un peu de SonicWALL, des règles 
firewall qui changent de priorité ou qui se réinitialisent, lors d'un 
reboot ou d'une modification de paramètre sur un VPN par exemple. Du 
coup, des flux qui devraient être fermés se retrouvent ouverts. C'est 
marrant :-D


Et justement, j'ai plusieurs fois envisagé de tout virer pour passer sur 
Fortinet :-D


Par principe, les constructeurs ont toujours raison ;-) Si je ne 
m'abuse, c'est Microsoft qui a créé le concept dans les années 80 avec 
son fameux "It's not a bug, it's a feature" :-)
De notre coté, il est assez utopique de vouloir argumenter auprès d'eux 
pour faire valoir nos arguments. Et encore plus de les attaquer 
frontalement ! On fait çà quand on a 20 ans. Et ensuite, on apprend à 
dépenser notre énergie de façon plus judicieuse ;-)


En pratique, nos choix se limitent donc à :
- Changer de constructeur/éditeur, avec la nécessité de tout 
réapprendre, de ré-écrire les outils existants, refaire un stock de 
pièces, etc... Mais l'herbe est-elle vraiment plus verte ailleurs ? Et 
quels cadavres va t-on découvrir dans les placards ? Mystère...
- Garder le matériel/logiciel incriminé, qui généralement nous convient 
sur bien d'autres points, et profiter de la connaissance que l'on en a 
pour chercher des contournements locaux au problème



---
Liste de diffusion du FRnOG
http://www.frnog.org/