Re: [FRnOG] [TECH] Tests TLS 1.3 (version finale RFC 8446)

[Juan Isoza]

>
>
>  Les librairies SSL ont presques toutes le support TLS 1.3 (où sont sur le
point de l'avoir).

Trois questions restents pour le déploiement TLS:
- ce qui a retardé la publication: quelles sont les
passerelles/routeur/filtres qui risquent de bloquer les paquets TLS 1.3
- D'ici 2 mois, Firefox et Chrome supporteront la version finale (RFC8446)
de Tls1.3 et ont un mécanisme qui leur permet de diffuser efficacement et
rapidement les mises à jour. Par contre, rien de précis n'est annoncé pour
les grand OS commerciaux et les navigateurs (Windows 10/ server 2019,,
Android, iOS, MacOS)
- Enfin, si il est probable que toutes les prochaines versions de
distribution Linux intégreront des librairies compatible TLS 1.3, il faudra
attendre leur calendrier. Ainsi, peu de server Ubuntu se mettent à jour
tous les 6 mois (je suppose que le premier Ubuntu TLS 1.3 sera le 19.04),
et il faudra attendre le 20.04, qui sortira en avril 2020 mais sera dans
doute déployé à la rentrée 2020 comme la 18.04.1 l'est actuellement...)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[David Ponzone]

Voucher = coupon, bon

David Ponzone



Le 27 sept. 2018 à 00:39, Michel Py  a 
écrit :

 Jérôme Nicolle a écrit :
 D'après l'hôtelier et l'équipementier, la raison derrière se
 blocage est purement sécuritaire :
>>> Michel Py a écrit :
>>> C'est du gros bullshit çà. Ce qu'ils veulent, c'est forcer les
>>> clients à utiliser leur WiFi payant au lieu d'utiliser leur tether ou
>>> le WiFi du Macdo de l'autre coté de la rue.
>> L'affaire en question :
>> https://www.fcc.gov/document/marriott-pay-600k-resolve-wifi-blocking-investigation
>> La fiche produit : https://meraki.cisco.com/technologies/air-marshal-wips
>> La polémique : https://www.pcmag.com/article2/0,2817,2469782,00.asp
>> Le jugement de la FCC confirme ta perception des faits : c'est bien plus
>> mercantile que sécuritaire.
> 
> En plus venant de Marriott, aucun doute. Tous les moyens sont bons pour faire 
> raquer le client. Faut pas se servir de leur téléphone pour appeler 
> l'extérieur non plus, c'est monstrueux ce qu'ils demandent. Et 20€ pour une 
> bière au bar et probablement 10€ pour une demi-bouteille d'eau minérale 
> trouvée dans la chambre. Bientôt ils vont installer un compteur sur le trone 
> et de facturer chaque fois que tu tires la chasse. Client captif, bling bling 
> merci Mr.
> 
>> Néanmoins ça n'invalide pas la preoccupation sécuritaire : faire tourner des
>> roque-AP en aéroports, hôtels ou centre de conférence (si ce n'est interne à
>> un campus corporate) est un moyen prouvé de collecter de l'info sensible.
> 
> Hélas vrai.
> 
>> C'est pour ça que je pose la question de la légitimité : elle n'est pas
>> anodine ni triviale dans ces contextes.
> 
> Pour ce qui est du campus corporate, c'est légitime : ce n'est pas un endroit 
> ouvert au public, donc tant qu'il n'y a pas d'impact sur les voisins, on fait 
> ce qu'on veut.
> 
> Mon opinion pour les hotels, aéroports et autres : c'est légitime s'ils 
> fournissent le service WiFi gratuitement.
> La dernière fois que je suis allé à l'hopital, il y avait Wifi partout, de 
> bonne qualité, et ils te donne un "voucher" (en Français on dit comment ?) 
> qui est un code sur un bout de papier valide pour 24 heures. Ils bétonnent 
> les rogue-AP et les thethering, mais c'est clairement pas pour essayer de 
> t'arnaquer donc je trouve çà légitime aussi.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Michel Py]

>>> Jérôme Nicolle a écrit :
>>> D'après l'hôtelier et l'équipementier, la raison derrière se
>>> blocage est purement sécuritaire :
>> Michel Py a écrit :
>> C'est du gros bullshit çà. Ce qu'ils veulent, c'est forcer les
>> clients à utiliser leur WiFi payant au lieu d'utiliser leur tether ou
>> le WiFi du Macdo de l'autre coté de la rue.
> L'affaire en question :
> https://www.fcc.gov/document/marriott-pay-600k-resolve-wifi-blocking-investigation
> La fiche produit : https://meraki.cisco.com/technologies/air-marshal-wips
> La polémique : https://www.pcmag.com/article2/0,2817,2469782,00.asp
> Le jugement de la FCC confirme ta perception des faits : c'est bien plus
> mercantile que sécuritaire.

En plus venant de Marriott, aucun doute. Tous les moyens sont bons pour faire 
raquer le client. Faut pas se servir de leur téléphone pour appeler l'extérieur 
non plus, c'est monstrueux ce qu'ils demandent. Et 20€ pour une bière au bar et 
probablement 10€ pour une demi-bouteille d'eau minérale trouvée dans la 
chambre. Bientôt ils vont installer un compteur sur le trone et de facturer 
chaque fois que tu tires la chasse. Client captif, bling bling merci Mr.

> Néanmoins ça n'invalide pas la preoccupation sécuritaire : faire tourner des
> roque-AP en aéroports, hôtels ou centre de conférence (si ce n'est interne à
> un campus corporate) est un moyen prouvé de collecter de l'info sensible.

Hélas vrai.

> C'est pour ça que je pose la question de la légitimité : elle n'est pas
> anodine ni triviale dans ces contextes.

Pour ce qui est du campus corporate, c'est légitime : ce n'est pas un endroit 
ouvert au public, donc tant qu'il n'y a pas d'impact sur les voisins, on fait 
ce qu'on veut.

Mon opinion pour les hotels, aéroports et autres : c'est légitime s'ils 
fournissent le service WiFi gratuitement.
La dernière fois que je suis allé à l'hopital, il y avait Wifi partout, de 
bonne qualité, et ils te donne un "voucher" (en Français on dit comment ?) qui 
est un code sur un bout de papier valide pour 24 heures. Ils bétonnent les 
rogue-AP et les thethering, mais c'est clairement pas pour essayer de 
t'arnaquer donc je trouve çà légitime aussi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Jérôme Nicolle]

Michel,

Le 26/09/2018 à 19:49, Michel Py a écrit :

Tu as un lien ?


L'affaire en question :
https://www.fcc.gov/document/marriott-pay-600k-resolve-wifi-blocking-investigation

La fiche produit : https://meraki.cisco.com/technologies/air-marshal-wips

La polémique : https://www.pcmag.com/article2/0,2817,2469782,00.asp

Le fond du problème : d'une part le plan anti-concurrentiel, d'autre
part le "first" aux US. Mais c'est difficile à transposer en Europe.


D'après l'hôtelier et l'équipementier, la raison derrière se
blocage est purement sécuritaire :

C'est du gros bullshit çà. Ce qu'ils veulent, c'est forcer les
clients à utiliser leur WiFi payant au lieu d'utiliser leur tether ou
le WiFi du Macdo de l'autre coté de la rue.


Le jugement de la FCC confirme ta perception des faits : c'est bien plus 
mercantile que sécuritaire. Néanmoins ça n'invalide pas la préoccupation 
sécuritaire : faire tourner des roque-AP en aéroports, hôtels ou centre 
de conférence (si ce n'est interne à un campus corporate) est un moyen 
prouvé de collecter de l'info sensible.


C'est pour ça que je pose la question de la légitimité : elle n'est pas 
anodine ni triviale dans ces contextes.


@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Raphael Mazelier]

On 26/09/2018 22:55, Romain Degez wrote:
Ou alors peut-être pour limiter le nombre de ports sur lesquels activer 
le sampling ? (actif uniquement sur des ports d'upstream/transit/peering 
et pas sur ceux du lan par exemple ?)




Voila. Et avoir des stats in/out au même endroit (interface centric et 
non switch centric).



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Raphael Mazelier]

On 26/09/2018 22:57, Romain Degez wrote:

Si je dis pas de bêtises, tu peux tout à fait avoir ça en samplant en
ingress puisque le switchs rajoute toutes les infos du ports de sortie :
• next hop IP
• AS numbers
• AS system path to the destination
• communities
• local pref



Alors tu as raison en théorie. Sauf qu'en pratique cela va être méga 
pénible.


En effet ce sont des équipements edge qui vont recevoir du trafic in de 
90% des ports (dont je me moque de stats) et qui vont sortir du traf sur 
3 ports max, ports vers mes gentils peers (stats qui la m’intéressent in 
et out).


Donc oui je vais tester (ai je le choix) de faire les choses à l'envers.
Pmacct étant méga flexible je devrais pouvoir m'en sortir sans tout 
devoir recoder mes outils de flow. Enfin il y a un peu de logique à 
revoir mais ca doit pouvoir se faire.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] sflow sur Arista

[Michel Py]

> Raphael Mazelier a écrit :
> Bon j'ai la réponse. C'est inbound only. C'est nul.
> Résultat je suis bon pour recoder une bonne partie de mes outils de 
> visualisation de flow :(

Quelle ch T'avais quoi, avant ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Romain Degez]

Si je dis pas de bêtises, tu peux tout à fait avoir ça en samplant en
ingress puisque le switchs rajoute toutes les infos du ports de sortie :
• next hop IP
• AS numbers
• AS system path to the destination
• communities
• local pref

(cf
https://www.arista.com/assets/data/pdf/user-manual/um-eos/Chapters/sFlow.pdf
)

On Wed, Sep 26, 2018 at 10:55 PM Hugues Voiturier 
wrote:

> Stats d’AS sur tes ports de transit/peering par exemple !
>
> Sent from my iPhone
>
> > On 26 Sep 2018, at 22:51, Romain Degez  wrote:
> >
> > Salut Raphael,
> >
> > Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton
> > switch à priori :-o
> > Il sera donc forcement "samplé" à ce moment la non ? (en te donnant
> > d'ailleurs l'interface d'output dans les infos sflow du sample pour le
> flux
> > échantillonné en question).
> >
> > Du coup je dois rater un truc mais quel est l’intérêt de sampler en
> egress
> > ? (tentative de réponse à moi même : dans les cas de paquets
> > broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant
> > vite fait je vois sur certaines docs Juniper & Cisco qu'une des
> limitation
> > du sampling en egress est justement que les broadcast & le multicast ne
> > sont pas supportés...)
> >
> > J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow
> ne
> > samples qu'en ingress ?
> >
> > Bref, je suis curieux du cas d'utilisation :-)
> >
> > ++
> >
> >> On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier 
> wrote:
> >>
> >>
> >> Soir la liste,
> >>
> >>
> >> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs
> >> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).
> >>
> >> Pour le moment le setup est plutôt smooth, la cli est quasi identique à
> >> de l'IOS, le commit en plus. On peut même mettre l'interface dans une
> >> VRF séparé (je ne vise personne).
> >>
> >> Évidement tout ne pouvait pas bien se passer du premier coup.
> >>
> >> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc
> >> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une
> >> interface.
> >>
> >> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si
> >> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera
> >> grandement et décidera du sort de ces équipements. (parce que bon un
> >> truc qui ne sait pas faire du flow en 2018 c'est la benne direct).
> >>
> >> Je cross post sur le forum Arista, et je vais même tenter le tac Arista,
> >> sait on jamais. On verra qui me fournira une réponse en 1er :)
> >>
> >> --
> >> Raphael Mazelier
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Romain Degez]

Ou alors peut-être pour limiter le nombre de ports sur lesquels activer le
sampling ? (actif uniquement sur des ports d'upstream/transit/peering et
pas sur ceux du lan par exemple ?)


On Wed, Sep 26, 2018 at 10:51 PM Romain Degez 
wrote:

> Salut Raphael,
>
> Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton
> switch à priori :-o
> Il sera donc forcement "samplé" à ce moment la non ? (en te donnant
> d'ailleurs l'interface d'output dans les infos sflow du sample pour le flux
> échantillonné en question).
>
> Du coup je dois rater un truc mais quel est l’intérêt de sampler en egress
> ? (tentative de réponse à moi même : dans les cas de paquets
> broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant
> vite fait je vois sur certaines docs Juniper & Cisco qu'une des limitation
> du sampling en egress est justement que les broadcast & le multicast ne
> sont pas supportés...)
>
> J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow ne
> samples qu'en ingress ?
>
> Bref, je suis curieux du cas d'utilisation :-)
>
> ++
>
> On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier 
> wrote:
>
>>
>> Soir la liste,
>>
>>
>> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs
>> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).
>>
>> Pour le moment le setup est plutôt smooth, la cli est quasi identique à
>> de l'IOS, le commit en plus. On peut même mettre l'interface dans une
>> VRF séparé (je ne vise personne).
>>
>> Évidement tout ne pouvait pas bien se passer du premier coup.
>>
>> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc
>> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une
>> interface.
>>
>> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si
>> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera
>> grandement et décidera du sort de ces équipements. (parce que bon un
>> truc qui ne sait pas faire du flow en 2018 c'est la benne direct).
>>
>> Je cross post sur le forum Arista, et je vais même tenter le tac Arista,
>> sait on jamais. On verra qui me fournira une réponse en 1er :)
>>
>> --
>> Raphael Mazelier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Hugues Voiturier]

Stats d’AS sur tes ports de transit/peering par exemple !

Sent from my iPhone

> On 26 Sep 2018, at 22:51, Romain Degez  wrote:
> 
> Salut Raphael,
> 
> Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton
> switch à priori :-o
> Il sera donc forcement "samplé" à ce moment la non ? (en te donnant
> d'ailleurs l'interface d'output dans les infos sflow du sample pour le flux
> échantillonné en question).
> 
> Du coup je dois rater un truc mais quel est l’intérêt de sampler en egress
> ? (tentative de réponse à moi même : dans les cas de paquets
> broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant
> vite fait je vois sur certaines docs Juniper & Cisco qu'une des limitation
> du sampling en egress est justement que les broadcast & le multicast ne
> sont pas supportés...)
> 
> J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow ne
> samples qu'en ingress ?
> 
> Bref, je suis curieux du cas d'utilisation :-)
> 
> ++
> 
>> On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier  wrote:
>> 
>> 
>> Soir la liste,
>> 
>> 
>> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs
>> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).
>> 
>> Pour le moment le setup est plutôt smooth, la cli est quasi identique à
>> de l'IOS, le commit en plus. On peut même mettre l'interface dans une
>> VRF séparé (je ne vise personne).
>> 
>> Évidement tout ne pouvait pas bien se passer du premier coup.
>> 
>> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc
>> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une
>> interface.
>> 
>> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si
>> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera
>> grandement et décidera du sort de ces équipements. (parce que bon un
>> truc qui ne sait pas faire du flow en 2018 c'est la benne direct).
>> 
>> Je cross post sur le forum Arista, et je vais même tenter le tac Arista,
>> sait on jamais. On verra qui me fournira une réponse en 1er :)
>> 
>> --
>> Raphael Mazelier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Romain Degez]

Salut Raphael,

Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton
switch à priori :-o
Il sera donc forcement "samplé" à ce moment la non ? (en te donnant
d'ailleurs l'interface d'output dans les infos sflow du sample pour le flux
échantillonné en question).

Du coup je dois rater un truc mais quel est l’intérêt de sampler en egress
? (tentative de réponse à moi même : dans les cas de paquets
broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant
vite fait je vois sur certaines docs Juniper & Cisco qu'une des limitation
du sampling en egress est justement que les broadcast & le multicast ne
sont pas supportés...)

J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow ne
samples qu'en ingress ?

Bref, je suis curieux du cas d'utilisation :-)

++

On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier  wrote:

>
> Soir la liste,
>
>
> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs
> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).
>
> Pour le moment le setup est plutôt smooth, la cli est quasi identique à
> de l'IOS, le commit en plus. On peut même mettre l'interface dans une
> VRF séparé (je ne vise personne).
>
> Évidement tout ne pouvait pas bien se passer du premier coup.
>
> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc
> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une
> interface.
>
> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si
> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera
> grandement et décidera du sort de ces équipements. (parce que bon un
> truc qui ne sait pas faire du flow en 2018 c'est la benne direct).
>
> Je cross post sur le forum Arista, et je vais même tenter le tac Arista,
> sait on jamais. On verra qui me fournira une réponse en 1er :)
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Hugues Voiturier]

Moi qui réfléchissait à en acheter, tu viens de me vacciner ! Merci  

Sent from my iPhone

> On 26 Sep 2018, at 22:45, Raphael Mazelier  wrote:
> 
> 
> Bon j'ai la réponse.
> C'est inbound only. C'est nul.
> 
> Résultat je suis bon pour recoder une bonne partie de mes outils de 
> visualisation de flow :(
> 
> 
> --
> Raphael Mazelier
> 
> 
>> On 26/09/2018 22:24, Raphael Mazelier wrote:
>> Soir la liste,
>> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs 
>> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).
>> Pour le moment le setup est plutôt smooth, la cli est quasi identique à de 
>> l'IOS, le commit en plus. On peut même mettre l'interface dans une VRF 
>> séparé (je ne vise personne).
>> Évidement tout ne pouvait pas bien se passer du premier coup.
>> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc très 
>> moche, c'est que je n'arrive pas à avoir de sample en egress d'une interface.
>> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si 
>> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera 
>> grandement et décidera du sort de ces équipements. (parce que bon un truc 
>> qui ne sait pas faire du flow en 2018 c'est la benne direct).
>> Je cross post sur le forum Arista, et je vais même tenter le tac Arista, 
>> sait on jamais. On verra qui me fournira une réponse en 1er :)
>> -- 
>> Raphael Mazelier
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] sflow sur Arista

[Raphael Mazelier]

Bon j'ai la réponse.
C'est inbound only. C'est nul.

Résultat je suis bon pour recoder une bonne partie de mes outils de 
visualisation de flow :(



--
Raphael Mazelier


On 26/09/2018 22:24, Raphael Mazelier wrote:


Soir la liste,


J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs 
DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).


Pour le moment le setup est plutôt smooth, la cli est quasi identique à 
de l'IOS, le commit en plus. On peut même mettre l'interface dans une 
VRF séparé (je ne vise personne).


Évidement tout ne pouvait pas bien se passer du premier coup.

J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc 
très moche, c'est que je n'arrive pas à avoir de sample en egress d'une 
interface.


Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si 
quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera 
grandement et décidera du sort de ces équipements. (parce que bon un 
truc qui ne sait pas faire du flow en 2018 c'est la benne direct).


Je cross post sur le forum Arista, et je vais même tenter le tac Arista, 
sait on jamais. On verra qui me fournira une réponse en 1er :)


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] sflow sur Arista

[Raphael Mazelier]

Soir la liste,


J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs 
DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori).


Pour le moment le setup est plutôt smooth, la cli est quasi identique à 
de l'IOS, le commit en plus. On peut même mettre l'interface dans une 
VRF séparé (je ne vise personne).


Évidement tout ne pouvait pas bien se passer du premier coup.

J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc 
très moche, c'est que je n'arrive pas à avoir de sample en egress d'une 
interface.


Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si 
quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera 
grandement et décidera du sort de ces équipements. (parce que bon un 
truc qui ne sait pas faire du flow en 2018 c'est la benne direct).


Je cross post sur le forum Arista, et je vais même tenter le tac Arista, 
sait on jamais. On verra qui me fournira une réponse en 1er :)


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: connecter des machines à des ports POE+

[Xavier Beaudouin]

Hello,

En POE+ certaines paires sont mixées DATA / Power. Ce qui est possible grâce au 
fait qu'une porteuse DC est éliminée via les transfos isolateur giga.

Ce que tu disais étais vrai en 100BaseTX plus en 1000BaseTX, toutes les 4 
paires sont utilisées.

 J'aimerais savoir s'il y a un risque pour les cartes réseaux à brancher
 des ordi derrière un commutateur qui embarque une solution POE+ (30W) (
 par exemple ce modèle https://www.ldlc-pro.com/fiche/PB00165203.html).

En ce qui concerne le risque, si le switch n'est pas un truc en mousse se 
tappant alégrement des standards, rien.

Limite tu peux désactiver le POE+ sur les ports qui n'ont pas besoin (c'est mes 
best practices), comme tu désactive des ports sur ton sw pour pas qu'on te 
mette des trucs étrange sur ton réseau.

Attention du 30W via 48V ou 54V ça peux faire cramer des prises RJ45 (déjà eu 
un cas d'un câble made in china qui a brulé).

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: connecter des machines à des ports POE+

[Sébastien Lesimple]

Le 26/09/2018 à 20:37, David Ponzone a écrit :
> Oui sur la plupart des switchs tu peux couper le POE, mais ça ne sert à rien 
> puisque le jus ne sera pas envoyé à un équipement non POE.
Le PoE est envoyé sur les PIN qui ne sont pas utilisé pour de
l'ethernet, risque proche de zero, il sont pas cablés sur les devices.
>
>
>
>
>> Le 26 sept. 2018 à 20:32, Merwan Zenati  a 
>> écrit :
>>
>> Merci pour vos réponses ! Y aurait il une commande pour activer ou
>> désactiver l'injection de courant sur une liste de port ?
>>
>> Le mer. 26 sept. 2018 à 15:58, Merwan Zenati 
>> a écrit :
>>
>>> Bonjour à tous,
>>>
>>> J'aimerais savoir s'il y a un risque pour les cartes réseaux à brancher
>>> des ordi derrière un commutateur qui embarque une solution POE+ (30W) (
>>> par exemple ce modèle https://www.ldlc-pro.com/fiche/PB00165203.html).
>>>
>>> Merci par avance,
>>>
>>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: connecter des machines à des ports POE+

[David Ponzone]

Oui sur la plupart des switchs tu peux couper le POE, mais ça ne sert à rien 
puisque le jus ne sera pas envoyé à un équipement non POE.




> Le 26 sept. 2018 à 20:32, Merwan Zenati  a écrit 
> :
> 
> Merci pour vos réponses ! Y aurait il une commande pour activer ou
> désactiver l'injection de courant sur une liste de port ?
> 
> Le mer. 26 sept. 2018 à 15:58, Merwan Zenati 
> a écrit :
> 
>> Bonjour à tous,
>> 
>> J'aimerais savoir s'il y a un risque pour les cartes réseaux à brancher
>> des ordi derrière un commutateur qui embarque une solution POE+ (30W) (
>> par exemple ce modèle https://www.ldlc-pro.com/fiche/PB00165203.html).
>> 
>> Merci par avance,
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Re: connecter des machines à des ports POE+

[Michel Py]

> Merwan Zenati a écrit :
> Merci pour vos réponses ! Y aurait il une commande pour activer ou
> désactiver l'injection de courant sur une liste de port ?

Probablement, mais je ne le fais pas. J'ai plusieurs centaines de ports en POE, 
je ne veux pas avoir à configurer le switch si on décide d'installer ou de 
bouger un téléphone SIP. Jusqu'à présent, rien n'a pris feu.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Re: connecter des machines à des ports POE+

[Merwan Zenati]

Merci pour vos réponses ! Y aurait il une commande pour activer ou
désactiver l'injection de courant sur une liste de port ?

Le mer. 26 sept. 2018 à 15:58, Merwan Zenati 
a écrit :

> Bonjour à tous,
>
> J'aimerais savoir s'il y a un risque pour les cartes réseaux à brancher
> des ordi derrière un commutateur qui embarque une solution POE+ (30W) (
> par exemple ce modèle https://www.ldlc-pro.com/fiche/PB00165203.html).
>
> Merci par avance,
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Michel Py]

> Jérôme Nicolle a écrit :
> similaire à Meraki Air Marshal, consistant à bloquer tout autre réseau
> WiFi sur une zone couverte par l'envoi de De-Auth forgées.

Tu as un lien ?

> D'après l'hôtelier et l'équipementier, la raison derrière se blocage est 
> purement sécuritaire :

C'est du gros bullshit çà. Ce qu'ils veulent, c'est forcer les clients à 
utiliser leur WiFi payant au lieu d'utiliser leur tether ou le WiFi du Macdo de 
l'autre coté de la rue.


> Dans un domaine privé, et par souci de sécurité, considérez vous cette 
> fonction utile ou au moins légitime ?

Dans certains cas bien spécifiques (if faudrait que je déploie cette fonction), 
oui.

Ce qu'il ne faut PAS faire :
Empêcher le voisin d'avoir son WiFi ou le public proche d'avoir son tether.

Mon cas d'usage : 
- Ce n'est pas un lieu public.
- Les voisins les plus proches sont à 300 mètres.
- Il est interdit d'avoir un mobile personnel.
- Interdit d'avoir une radio.
- Interdit d'avoir un appareil photo.
- Interdit d'avoir une clé USB non approuvée.

Et j'en passe. Si on pique quelqu'un qui fait du tethering, il aura de la 
chance si çà ne lui coute que son emploi.


> De quelles menaces prémuni-t-elle efficacement l'exploitant du réseau WiFi 
> aggressif ?

En théorie, çà empêche les fuites de données confidentielles ou au moins le 
rend plus difficile.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[David Ponzone]

Oui, en backup ^^


> Le 26 sept. 2018 à 18:06, Raphael Jacquot  a écrit :
> 
> 
> 
> On 09/26/2018 06:02 PM, David Ponzone wrote:
>> Si tu choisis de réaliser l’abri de 5km de long pour protéger le FH, ce qui 
>> est de loin la meilleure idée de l’année, je pense qu’il faut en profiter 
>> pour mettre des panneaux solaires tout le long.
>> 
> 
> à ce moment la, tu peux aussi tirer 5km de fibre ^^
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Wed, 26 Sep 2018 17:23:41 +0200
Erwan David  wrote:

> > Meraki est commercialise en France... par des canaux tout a fait legaux,
> > donc je suppose que la validation a ete faite... ou que la
> > fonctionnalite n'a pas ete mise en avant ;)  
> 
> L'appareil peut être légal, mais pas l'utilisation de cette fonctionalité
> précise.

Tout a fait, et c'est meme encore plus complique avec le Air Marshal de
Meraki. En effet, Meraki classe les APs qu'il detecte comme :
 - etant OK, donc configure sur des equipements Meraki dans le reseau,
 - etant Rogue, donc vu sur le LAN, mais non declare,
 - etant Other (bah oui, le voisin a le droit aussi au Wifi).

Le blocage de base, c'est pour les Rogue SSID, donc ceux que l'admin
network chasse car ils n'ont pas a etre la... Ca parait plutot sain d'un
point de vu de maitrise des infras.

Mais ca permet aussi de faire du SSID blacklist... L'aide dit que les "SSID
will be blocked when seen on or off LAN"... A vous de deviner ce qui se
cache derriere cette formulation.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[Raphael Jacquot]

On 09/26/2018 06:02 PM, David Ponzone wrote:
> Si tu choisis de réaliser l’abri de 5km de long pour protéger le FH, ce qui 
> est de loin la meilleure idée de l’année, je pense qu’il faut en profiter 
> pour mettre des panneaux solaires tout le long.
> 

à ce moment la, tu peux aussi tirer 5km de fibre ^^


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Raphael Jacquot]

On 09/26/2018 05:45 PM, A Gaillard wrote:

> 3) En effet le PMF, ou 802.11w, est une solution mais réellement très peu
> implémentée sur les devices clients. Et en effet comme dit plus haut, le
> WPA2 apportait le support du PMF, le WPA3 le requiert : les constructeurs
> de puces et cartes Wifi vont devoir se mettre en ordre de marche pour
> devenir enfin compliant.

d'apres la doc, il semble que ces fonctionnalités soient dans ce qui
fait la fonction wpa, c'est a dire, l'équivalent de wpa_supplicant.
a priori, c'est plus une fonciton logicielle, avec un peu de bol, ca
peut etre implémenté par une upgrade de firmware (ouf)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[David Ponzone]

Si tu choisis de réaliser l’abri de 5km de long pour protéger le FH, ce qui est 
de loin la meilleure idée de l’année, je pense qu’il faut en profiter pour 
mettre des panneaux solaires tout le long.



> Le 26 sept. 2018 à 17:36, David Neto  a écrit :
> 
> Il ne pleut pas dans les hauts-de-France ;-)
> 
> 
> Le 26 septembre 2018 à 17:33, Michel Py 
> a écrit :
> 
>>> David Neto a écrit :
>>> Merci pour vos retours très pertinents.
>>> J'en sors avec une liste de course et plein de galères administratives
>> en perspective.
>>> Je vous tiendrais informé des choix si ça a un intérêt ;-)
>> 
>> Ah oui absolument ! et de l'implémentation, surtout les jours de grosse
>> pluie.
>> 
>> Michel.
>> 
>> 
> 
> 
> -- 
> *David NETO*
> Gérant associé
> *dn...@6hat.fr *
> *06.40.90.39.52*
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[A Gaillard]

Hello,

1) Pour le domaine privé, je ne considère pas cette fonction utile, du
moins pas de manière automatique. En terme de réaction WIPS je vois
l'intérêt : je déclenche une réaction de De-Auth lorsque je détecte une AP
classée en Rogue sur mon réseau. A mon sens émettre des De-Auth en continu
sur tous les SSID environnants est plutôt destructif, aussi bien pour ma
propre bande passante (aussi bien du point de vue airtime que du
processeur) que pour l'environnement ^^
Pour ce qui est des menaces, un Rogue AP peut permettre tout un tas de
choses à partir de l'interception de la connexion d'un client : depuis la
possibilité de lui présenter une fake page de sa banque pour qu'il tape son
code jusqu'à prendre le contrôle complet de son poste. Si ce sont des
clients d'hôtel OSEF, mais si ce sont tes employés avec tes données
confidentielles et l'accès à ton réseau depuis leur poste, ça devient tout
de suite moins drôle.

2) Comme dis précédemment, un équipement peut être validé avec des
fonctionnalités qui peuvent ne pas être validées dans un pays. En France il
est interdit de réaliser du brouillage radio volontaire, en effet, mais on
parle bien de radio pur. On est sur du déni de service protocolaire et on
ne rentre pas dans le cadre de la loi. A mon sens il y a un vide juridique
sur ce point et la seule manière de l'attaquer serait de dire que la bande
de fréquence en question est libre et que dans ce cadre il est interdit
d'empêcher quelqu'un d’émettre sur cette bande quel qu’en soit le moyen.
Ainsi, une réponse ciblée OK, mais un mécanisme de De-Auth auto NON

3) En effet le PMF, ou 802.11w, est une solution mais réellement très peu
implémentée sur les devices clients. Et en effet comme dit plus haut, le
WPA2 apportait le support du PMF, le WPA3 le requiert : les constructeurs
de puces et cartes Wifi vont devoir se mettre en ordre de marche pour
devenir enfin compliant.


Adrien.

Le mer. 26 sept. 2018 à 17:14, Paul Rolland (ポール・ロラン) 
a écrit :

> Hello,
>
> On Wed, 26 Sep 2018 17:04:10 +0200
> Jérôme Nicolle  wrote:
>
> > * Quelle est la légalité (au moins en France) d'une telle fonction ? Est
> > ce qu'un tel équipement peut ne serait-ce qu'être certifié pour
> > commercialisation ?
>
> Meraki est commercialise en France... par des canaux tout a fait legaux,
> donc je suppose que la validation a ete faite... ou que la fonctionnalite
> n'a pas ete mise en avant ;)
>
> Paul
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[Stéphane Rivière]

Ah oui absolument ! et de l'implémentation, surtout les jours de grosse pluie.


Et si beau fixe, on peut toujours mouiller la chemise (ou n'importe quel 
autre linge) :>


--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[David Neto]

Il ne pleut pas dans les hauts-de-France ;-)


Le 26 septembre 2018 à 17:33, Michel Py 
a écrit :

> > David Neto a écrit :
> > Merci pour vos retours très pertinents.
> > J'en sors avec une liste de course et plein de galères administratives
> en perspective.
> > Je vous tiendrais informé des choix si ça a un intérêt ;-)
>
> Ah oui absolument ! et de l'implémentation, surtout les jours de grosse
> pluie.
>
> Michel.
>
>


-- 
*David NETO*
Gérant associé
*dn...@6hat.fr *
*06.40.90.39.52*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[Michel Py]

> David Neto a écrit :
> Merci pour vos retours très pertinents.
> J'en sors avec une liste de course et plein de galères administratives en 
> perspective.
> Je vous tiendrais informé des choix si ça a un intérêt ;-)

Ah oui absolument ! et de l'implémentation, surtout les jours de grosse pluie.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

[Alexandre DERUMIER]

netbox est pas mal

https://github.com/digitalocean/netbox


- Mail original -
De: "Olivier MORFIN" 
À: "frnog-tech" 
Envoyé: Mercredi 26 Septembre 2018 11:46:19
Objet: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

Bonjour à tous, 
Je lance un petit sondage auprès des opérateurs/hébergeurs pour savoir quel 
IPAM/CMDB utilisez vous ? Si vous utilisez un produit développé maison, ça 
m’intéresse aussi de le savoir, ça me permettra de justifier l'embauche 
d'un dev dans ma société :) 

Merci. 
Olivier 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Raphael Jacquot]

On 09/26/2018 05:04 PM, Jérôme Nicolle wrote:

> * Dans un domaine privé, et par souci de sécurité, considérez vous cette
> fonction utile ou au moins légitime ? De quelles menaces prémuni-t-elle
> efficacement l'exploitant du réseau WiFi aggressif ?

a part la menace sur l'épaisseur du compte bancaire du fournisseur du
service...

> * Quelle est la légalité (au moins en France) d'une telle fonction ? Est
> ce qu'un tel équipement peut ne serait-ce qu'être certifié pour
> commercialisation ?

c'est illégal
ca entre dans le brouillage volontaire et l'introduction dans un STAD

> * Existe-t-il un moyen, autre que 802.11w trop rarement disponible, pour
> se prémunir d'une telle attaque ? Est ce que c'est susceptible d'être
> impossible avec WPA3 ?

c'est a priori l'une des fonction de WPA3, les paquets d'auth/deauth
étant chiffrés et signés

Raphaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[David Ponzone]

Pour moi, le rôle essentiel est de bloquer des Rogue AP qui pourraient annoncer 
un SSID trompeur, voir le même que l’AP Meraki…


> Le 26 sept. 2018 à 17:04, Jérôme Nicolle  a écrit :
> 
> Bonjour la liste,
> 
> La FCC a condamné un hôtel pour avoir utilisé une fonctionnalité
> similaire à Meraki Air Marshal, consistant à bloquer tout autre réseau
> WiFi sur une zone couverte par l'envoi de De-Auth forgées.
> 
> D'après l'hôtelier et l'équipementier, la raison derrière se blocage est
> purement sécuritaire : c'est un moyen efficace de lutter contre des
> Rogue AP. Ça peut aussi être un moyen de désengorger la bande radio,
> dans un soucis de qualité de service.
> 
> Problème (et justification de l'amende) : ça empêche les personnes sur
> zone d'utiliser leurs hot-spots personnels (modem dédié ou téléphone
> mobile en tethering WiFi, mais ça marcherait en câble ou Bluetooth).
> 
> J'ai trois questions (doubles) sur ce sujet, pour lesquelles j'aimerais
> avoir vos avis :
> 
> * Dans un domaine privé, et par souci de sécurité, considérez vous cette
> fonction utile ou au moins légitime ? De quelles menaces prémuni-t-elle
> efficacement l'exploitant du réseau WiFi aggressif ?
> 
> * Quelle est la légalité (au moins en France) d'une telle fonction ? Est
> ce qu'un tel équipement peut ne serait-ce qu'être certifié pour
> commercialisation ?
> 
> * Existe-t-il un moyen, autre que 802.11w trop rarement disponible, pour
> se prémunir d'une telle attaque ? Est ce que c'est susceptible d'être
> impossible avec WPA3 ?
> 
> Merci d'avance pour vos contributions !
> 
> @+
> 
> -- 
> Jérôme Nicolle
> 06 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Erwan David]

On Wed, Sep 26, 2018 at 05:13:56PM CEST, "Paul Rolland (ポール・ロラン)" 
 said:
> Hello,
> 
> On Wed, 26 Sep 2018 17:04:10 +0200
> Jérôme Nicolle  wrote:
> 
> > * Quelle est la légalité (au moins en France) d'une telle fonction ? Est
> > ce qu'un tel équipement peut ne serait-ce qu'être certifié pour
> > commercialisation ?
> 
> Meraki est commercialise en France... par des canaux tout a fait legaux,
> donc je suppose que la validation a ete faite... ou que la fonctionnalite
> n'a pas ete mise en avant ;)

L'appareil peut être légal, mais pas l'utilisation de cette fonctionalité 
précise.


-- 
Erwan


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Paul Rolland (ポール・ロラン)]

Hello,

On Wed, 26 Sep 2018 17:04:10 +0200
Jérôme Nicolle  wrote:

> * Quelle est la légalité (au moins en France) d'une telle fonction ? Est
> ce qu'un tel équipement peut ne serait-ce qu'être certifié pour
> commercialisation ?

Meraki est commercialise en France... par des canaux tout a fait legaux,
donc je suppose que la validation a ete faite... ou que la fonctionnalite
n'a pas ete mise en avant ;)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Légalité et légitimité de la "De-Auth attack" (Air Marshal) de Meraki

[Jérôme Nicolle]

Bonjour la liste,

La FCC a condamné un hôtel pour avoir utilisé une fonctionnalité
similaire à Meraki Air Marshal, consistant à bloquer tout autre réseau
WiFi sur une zone couverte par l'envoi de De-Auth forgées.

D'après l'hôtelier et l'équipementier, la raison derrière se blocage est
purement sécuritaire : c'est un moyen efficace de lutter contre des
Rogue AP. Ça peut aussi être un moyen de désengorger la bande radio,
dans un soucis de qualité de service.

Problème (et justification de l'amende) : ça empêche les personnes sur
zone d'utiliser leurs hot-spots personnels (modem dédié ou téléphone
mobile en tethering WiFi, mais ça marcherait en câble ou Bluetooth).

J'ai trois questions (doubles) sur ce sujet, pour lesquelles j'aimerais
avoir vos avis :

* Dans un domaine privé, et par souci de sécurité, considérez vous cette
fonction utile ou au moins légitime ? De quelles menaces prémuni-t-elle
efficacement l'exploitant du réseau WiFi aggressif ?

* Quelle est la légalité (au moins en France) d'une telle fonction ? Est
ce qu'un tel équipement peut ne serait-ce qu'être certifié pour
commercialisation ?

* Existe-t-il un moyen, autre que 802.11w trop rarement disponible, pour
se prémunir d'une telle attaque ? Est ce que c'est susceptible d'être
impossible avec WPA3 ?

Merci d'avance pour vos contributions !

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

[David Ponzone]

https://www.google.com/search?client=safari=en=frnog+archives=UTF-8=UTF-8
 



> Le 26 sept. 2018 à 16:08, Pierre-Loïc Carette - ALPESYS 
>  a écrit :
> 
> Ca m'intéresse d'avoir des avis également
> Ou trouver les archives quand on est récent sur la FRNOG ?
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de David 
> Ponzone
> Envoyé : mercredi 26 septembre 2018 11:50
> À : Olivier MORFIN 
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB 
> utilisez-vous ?
> 
> Jette un coup d’oeil sur les archives, c’est un sujet fréquemment abordé.
> 
> 
>> Le 26 sept. 2018 à 11:46, Olivier MORFIN  a écrit :
>> 
>> Bonjour à tous,
>> Je lance un petit sondage auprès des opérateurs/hébergeurs pour savoir 
>> quel IPAM/CMDB utilisez vous ? Si vous utilisez un produit développé 
>> maison, ça m’intéresse aussi de le savoir, ça me permettra de 
>> justifier l'embauche d'un dev dans ma société :)
>> 
>> Merci.
>> Olivier
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] connecter des machines à des ports POE+

[David Ponzone]

Aucun risque avec un switch 802.3af/at, heureusement, sinon le POE serait mort 
dans l’oeuf.

Le risque est seulement avec un switch qui envoie du POE passif, puisque pas de 
négo, donc 24 ou 48V dans la tronche de la carte réseau.



> Le 26 sept. 2018 à 15:58, Merwan Zenati  a écrit 
> :
> 
> Bonjour à tous,
> 
> J'aimerais savoir s'il y a un risque pour les cartes réseaux à brancher des 
> ordi derrière un commutateur qui embarque une solution POE+ (30W) ( par 
> exemple ce modèle https://www.ldlc-pro.com/fiche/PB00165203.html).
> 
> Merci par avance,
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] RE: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

[Pierre-Loïc Carette - ALPESYS]

Ca m'intéresse d'avoir des avis également
Ou trouver les archives quand on est récent sur la FRNOG ?

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de David 
Ponzone
Envoyé : mercredi 26 septembre 2018 11:50
À : Olivier MORFIN 
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous 
?

Jette un coup d’oeil sur les archives, c’est un sujet fréquemment abordé.


> Le 26 sept. 2018 à 11:46, Olivier MORFIN  a écrit :
> 
> Bonjour à tous,
> Je lance un petit sondage auprès des opérateurs/hébergeurs pour savoir 
> quel IPAM/CMDB utilisez vous ? Si vous utilisez un produit développé 
> maison, ça m’intéresse aussi de le savoir, ça me permettra de 
> justifier l'embauche d'un dev dans ma société :)
> 
> Merci.
> Olivier
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] connecter des machines à des ports POE+

[Merwan Zenati]

Bonjour à tous,

J'aimerais savoir s'il y a un risque pour les cartes réseaux à brancher 
des ordi derrière un commutateur qui embarque une solution POE+ (30W) ( 
par exemple ce modèle https://www.ldlc-pro.com/fiche/PB00165203.html).


Merci par avance,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Tests TLS 1.3 (version finale RFC 8446)

[Arnaud Astruc]

Pour DNS Over TLS est-ce que TLS 1.3 va permettre de faire baisser le RTT ?
Il me semblait avoir lu quelque part que pour toutes les implémentations
actuelles, pour chaque paquet il y avait un full round trip d'effectué.
C'est côté TLS que c'est géré ou plus "haut" ?

Le lun. 24 sept. 2018 à 21:28, Jean-Francois Billaud 
a écrit :

>
> Tests TLS 1.3 (version finale RFC 8446)
> ---
>
>
> TROLON;PALU sommaire : La version 1.3 finale de TLS (RFC 8446) a été
> publiée
> le 13 août 2018 ; on a de la documentation, des bibliothèques pour tester
> et
> une vague idée de la manière de configurer les serveurs.
>
> Version 2018-09-24
> Conditions opératoires : Debian 8, 9, 10 avec des bouts de testing et de
> instable dedans, Slackware current, Saccharomyces cerevisiae.
>
>
> Documentation
> -
>
> Le RFC 8446 (The Transport Layer Security (TLS) Protocol Version 1.3) :
> https://www.rfc-editor.org/rfc/rfc8446.txt
>
> Un article de Eric Rescorla (alias EKR), l'auteur du RFC :
> TLS 1.3 Published: in Firefox Today
>
> https://blog.mozilla.org/security/2018/08/13/tls-1-3-published-in-firefox-today/
> (avec le joli logo)
>
> Les commentaires de Stéphane Bortzmeyer :
> http://www.bortzmeyer.org/8446.html
>
> En complément pour les autres versions de TLS :
>
> RFC 8447 (IANA Registry Updates for TLS and DTLS)
> précisant les chiffrements (section 8) et groupes (section 9) recommandés :
> https://www.rfc-editor.org/rfc/rfc8447.txt
>
> RFC 8422 (Elliptic Curve Cryptography (ECC) Cipher Suites
>   for Transport Layer Security (TLS) Versions 1.2 and Earlier)
> avec des précisions sur ECDH(E) RSA ECDSA EdDSA :
> https://www.rfc-editor.org/rfc/rfc8422.txt
>
> Sur l'abandon de TLS 1.0 et 1.1 (Deprecating TLSv1.0 and TLSv1.1 -
> draft-ietf-tls-oldversions-deprecate :
> https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00
> Voir https://www.ietf.org/mail-archive/web/tls/current/maillist.html pour
> les avis.
>
>
> Les bibliothèques et autres logiciels
> -
>
> Trois bibliothèques classiques :
>
> openssl https://www.openssl.org/
> openssl 1.1.1 (LTS) incluant TLS 1.3 final disponible depuis le 11/9/2018 :
> https://www.openssl.org/blog/blog/2018/09/11/release111/
> Si l'ordre par défaut ne vous plaît pas, ou si voulez rajouter les suites
> CCM, il faut éditer openssl-1.1.1/include/openssl/ssl.h lignes 176 et
> suivantes.
>
> gnutls https://gnutls.org/
> Les versions stables et previous ne parlent pas le TLSv1.3, il faut
> utiliser la version next branch 3.6.3 :
> https://www.gnupg.org/ftp/gcrypt/gnutls/v3.6/gnutls-3.6.3.tar.xz
>
> NSS https://developer.mozilla.org/fr/docs/NSS
> version 3.39
>
> https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.39_release_notes
> https://ftp.mozilla.org/pub/security/nss/releases/NSS_3_39_RTM/src/
>
>
> Serveurs HTTPS
> --
>
> Nginx
> https://nginx.org/
> https://nginx.org/en/download.html
> version 1.15.3 (mainline, pas stable) avec openssl 1.1.1
> A partir des sources (à adapter) :
> ./configure --with-http_ssl_module --with-http_v2_module \
> --with-http_stub_status_module --with-http_gzip_static_module \
> --with-http_geoip_module --prefix=/usr/local/nginx \
> --add-module=../ngx-fancyindex --with-openssl-opt=no-shared \
> --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module \
> --add-dynamic-module=/usr/src/nginx-ct-master/ \
> --with-openssl=/usr/src/openssl-1.1.1
> nginx.conf :
>   ssl_protocols TLSv1.2 TLSv1.3;
>   ssl_ciphers
>
> TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA;
> Il manque juste la configuration spécifique des suites TLS 1.3.
> Ça a l'air stable et utilisable (sous réserve de tests adaptés à la
> situation)
>
>
> Apache
> https://github.com/apache/httpd
> version 2.5.x (dev) avec openssl 1.1.1, pas envisageable en production
> Pas facile à installer si openssl 1.1.1 n'est pas installé par défaut
> On y arrive quand même :
> [02/Sep/2018:08:11:25 +] 192.168.1.253 TLSv1.3 TLS_AES_256_GCM_SHA384
> "GET /image.php HTTP/1.1" 353
>
> openssls s_server
> openssl-1.1.1
> utilisable pour des tests
> ./openssl s_server -accept 443 -www -status -serverpref \
> -key privkey13.pem -cert cert13.pem -chainCAfile fullchain13.pem \
> -CAfile DST_Root_CA_X3.pem -dhparam dh4096.pem \
> -curves X448:X25519:P-521:P-384:P-256 \
> -cipher
>
> TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256
>
>
> Clients HTTPS
> -
>
> openssls 

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[Yoann Lefebvre]

Il ne faut pas non plus se faire une montagne des COMSIS (ANFR) et 
ARCEP, c'est surtout des fichiers et des outils pénibles à renseigner 
mais ça ne se fait qu'une fois. Après on est globalement très tranquille 
avec ce type de matériel.


Pour estimer le tarif des licences, il y a un simulateur gratuit sur le 
site de l'ARCEP,
Pour déclarer ces fréquences il faut être titulaire d'un code 
opérateur/attributaire auprès de l'ANFR. Ou passer par un opérateur 
radio. Il y en a de quelques uns.



*Yoann Lefebvre*

Le 26/09/2018 à 11:52, David Neto a écrit :

Hello la liste.

Merci pour vos retours très pertinents.

J'en sors avec une liste de course et plein de galères administratives en
perspective.

Je vous tiendrais informé des choix si ça a un intérêt ;-)

@+

Le 24 septembre 2018 à 21:18, Guillaume Barrot 
a écrit :


Le jeu. 20 sept. 2018 à 18:03, David Neto  a écrit :


Mes contraintes sont que le site est entouré par 2 autoroutes et 1 voie de
chemin de fer et que le site distant à joindre peut être à moins de 5km.


Autoroutes = Fibre
SNCF = Fibre

Vu le bordel que c'est de monter un 10G en FH, la déclaration ARCEP,
etc je pense que même en faisant du full genie civil tout le long, tu
te prendras moins la tête, et ça coûtera probablement moins cher.
Si y a de la SNCF, des autoroutes ça vaut clairement le coup de regarder
un mix GC/GC-BLO/IRU pour faire le tracé, voir si ça passe niveau budget.
Avec un peu de bol, tu as plusieurs boites possibles sur le tracé (ou dans
les zones de départ et d'arrivée), donc tu passes un 24 ou 48FO, et tu
partages le prix.
Bon par contre, en ce moment faut être un peu patient sur les appros...







---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: Re[2]: [FRnOG] [TECH] Répéteur GSM Multi Opérateurs

[Cedric Carre]

Hello,

Oui dans nos locaux les IPhone sont en VoWifi via les abos SFR.

Par contre ça fonctionne comme les Femto. A savoir que si tu n'est plus dans la 
couverture, pas de reprise de la comm sur le réseau 2/3/4G de l'opérateur 

A+


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Guillaume 
Barrot
Envoyé : lundi 24 septembre 2018 21:00
À : Richard Klein 
Cc : frnog-tech (frnog-t...@frnog.org) 
Objet : Re: Re[2]: [FRnOG] [TECH] Répéteur GSM Multi Opérateurs

Le ven. 21 sept. 2018 à 13:47, Richard Klein  a écrit :

> Et sinon y a t'il quelqu'un ou une société qui a testé le VoWifi dans 
> ses locaux ?
>

Chez OBS on a mis ça en prod en 2007 chez Polytechnique à Palaiseau.
Plusieurs dizaines de bornes (Aruba - bornes et contrôleurs), et de téléphones.
Ca date, mais à l'époque, les retours étaient :
- gestion de la QoS sur du wireless
- importance d'avoir un système à base de controleur + tunnel quand on a un 
réseau routé (en tous cas, y a 10 ans).

Maintenant, sur Galaxy S7 Android 8, d'office tu as l'option de téléphoner via 
Wifi. Ca doit être général sur Oreo, quel que soit le téléphone, mais j'ai pas 
creusé donc je peux pas l'affirmer.
De mes tests perso, j'en ai déduis que c'était actif dès que l'opérateur 
"annonce"  supporter le VOLTE.
Et toujours sur mes tests perso, c'est une putain d'horreur : dès que tu as un 
handover (Wifi <> 4G, Wifi <> 3G ou 4G <> 3G), la communication coupe.

Bref, avant que le 3GPP maîtrise la téléphonie en IP (et alors en IPv6 encore 
plus), il va falloir attendre encore un peu...

---
Liste de diffusion du FRnOG
https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7C%7C4b246f971cc547eb0a2408d6225014fa%7C84df9e7fe9f640afb435%7C1%7C0%7C636734124674603847sdata=cCJ6IZq9KNBfIqPRsenusl3eTNz8cBxq%2B2aQJxx4UbY%3Dreserved=0

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

[David Neto]

Hello la liste.

Merci pour vos retours très pertinents.

J'en sors avec une liste de course et plein de galères administratives en
perspective.

Je vous tiendrais informé des choix si ça a un intérêt ;-)

@+

Le 24 septembre 2018 à 21:18, Guillaume Barrot 
a écrit :

> Le jeu. 20 sept. 2018 à 18:03, David Neto  a écrit :
>
>> Mes contraintes sont que le site est entouré par 2 autoroutes et 1 voie de
>> chemin de fer et que le site distant à joindre peut être à moins de 5km.
>>
>
> Autoroutes = Fibre
> SNCF = Fibre
>
> Vu le bordel que c'est de monter un 10G en FH, la déclaration ARCEP,
> etc je pense que même en faisant du full genie civil tout le long, tu
> te prendras moins la tête, et ça coûtera probablement moins cher.
> Si y a de la SNCF, des autoroutes ça vaut clairement le coup de regarder
> un mix GC/GC-BLO/IRU pour faire le tracé, voir si ça passe niveau budget.
> Avec un peu de bol, tu as plusieurs boites possibles sur le tracé (ou dans
> les zones de départ et d'arrivée), donc tu passes un 24 ou 48FO, et tu
> partages le prix.
> Bon par contre, en ce moment faut être un peu patient sur les appros...
>



-- 
*David NETO*
Gérant associé
*dn...@6hat.fr *
*06.40.90.39.52*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

[David Ponzone]

Jette un coup d’oeil sur les archives, c’est un sujet fréquemment abordé.


> Le 26 sept. 2018 à 11:46, Olivier MORFIN  a écrit :
> 
> Bonjour à tous,
> Je lance un petit sondage auprès des opérateurs/hébergeurs pour savoir quel
> IPAM/CMDB utilisez vous ? Si vous utilisez un produit développé maison, ça
> m’intéresse aussi de le savoir, ça me permettra de justifier l'embauche
> d'un dev dans ma société :)
> 
> Merci.
> Olivier
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

[Olivier MORFIN]

Bonjour à tous,
Je lance un petit sondage auprès des opérateurs/hébergeurs pour savoir quel
IPAM/CMDB utilisez vous ? Si vous utilisez un produit développé maison, ça
m’intéresse aussi de le savoir, ça me permettra de justifier l'embauche
d'un dev dans ma société :)

Merci.
Olivier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] SFR BSOD

[Kevin Thiou]

Bonjour,

je suis le seul à avoir perdu SFR BSOD ?

Merci

PS: désolé pour le spam le premier est parti un peu vite dans la mauvaise ML

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Problème BSOD SFR

[Kevin Thiou]

Bonjour,

je suis le seul à avoir perdu SFR BSOD ?

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Répéteur GSM Multi Opérateurs

[adrien . demarez]

Bonjour,

> "Donc oui c’est légal :)"

Pour bien connaitre le sujet, je suis dans le regret de vous annoncer le 
contraire... Je vous invite à jeter un oeil à 
https://archives.arcep.fr/index.php?id=11946
-> "LES RÉPÉTEURS : Seules sont établies librement les installations 
radioélectriques n’utilisant pas des fréquences spécifiquement assignées à leur 
utilisateur, conformément à l’article L. 33-3 du code des postes et des 
communications électroniques. Les équipements répéteurs fonctionnant dans les 
bandes de fréquences (800 MHz, 900 MHz, 1 800 MHz, 2 100 MHz, et 2 600 MHz) 
utilisées pour les réseaux mobiles (GSM, UMTS et LTE) n’entrent pas dans ce cas 
: en effet,  ces bandes de fréquences sont uniquement assignées aux opérateurs 
mobiles, sur le fondement de l’article L. 42-1 du CPCE. En ce sens, il revient 
aux seuls opérateurs titulaires d’exploiter leurs fréquences et d’installer, à 
cet effet, toutes les installations relatives à leur réseau mobile, dont les 
équipements répéteurs. En cas de défaut de couverture, à l’intérieur d’un 
bâtiment par exemple, il convient de s’adresser aux opérateurs mobiles en vue 
d’évaluer, avec ces derniers, les solutions techniques susceptibles d’être 
apportées."

Il n'existe aucune exception "rase campagne" ou "gros bâtiment cage-de-faraday" 
ou "zone privée", au mieux peut-on dire que vous pouvez plus facilement passer 
sous les radars dans ces conditions car "pas vu, pas pris". Mais il y a des 
raisons pour lesquelles c'est interdit : les opérateurs sont juridiquement 
responsables des conséquences de leurs émissions, et notamment des émissions 
hors bande (e.g. de comment les équipements "bavent" dans les bandes de 
fréquences voisines, qui peuvent contenir des usages critiques par exemple pour 
la sécurité civile, dont les équipements sont parfois aussi en rase campagne), 
et ils sont donc les seuls habilités à choisir et qualifier leurs équipements 
(et ces restrictions s'appliquent bien sûr autant aux répéteurs qu'à OpenBTS 
cité dans un précédent post). Les bandes de fréquences dans lesquelles vous 
pouvez émettre librement/légalement sous régime d'autorisation générale sont 
celles pour prévues pour les appareils de faible portée (AFP), listées dans 
l’annexe 7 du TNRBF 
(https://www.anfr.fr/gestion-des-frequences-sites/le-tnrbf/), à compléter par 
les décisions réglementaires de l’ARCEP (2014-1263) fixant les conditions 
d’utilisation de ces bandes de fréquence. ça inclue notamment les bandes wi-fi 
et d'autres usages avec une portée pas si faible que ça (e.g. Lora/Sigfox pour 
de l'IoT). ça ne vous permet pas de faire du GSM ou de la 4G car (au delà du 
fait qu'aucun terminal ne les supporteraient sur ces bandes) les bandes 
"libres" sous autorisation générale exigent un certain nombre de conditions 
techniques permettant le partage (e.g. limites de puissance, duty-cycle, 
CSMA/CA pour le wifi...) incompatibles avec la manière dont fonctionnent le GSM 
ou la 4G (qui sont conçues pour des usages exclusifs et planifiés en bande 
licenciée).

Si le souci est la couverture indoor, la principale chose que vous puissiez 
faire sans impliquer l'opérateur est de déployer du wifi... Si le bâtiment n'a 
pas non plus de bonne connectivité fixe (par exemple dans le cas d'une 
résidence en rase campagne où vous n'auriez pas d'ADSL), vous ne pouvez pas 
déployer de répéteur ou BTS mais vous avez plus de liberté sur votre terminal 
(du moment que celui-ci respecte la réglementation...) donc vous pouvez tenter 
d'installer un CPE 4G fixe outdoor/PoE sur le toit (en général plus vous êtes 
en hauteur et mieux ça passe, a fortiori avec une antenne directive), qui vous 
offre du backhaul pour installer un AP wifi à l'intérieur. Il y a longtemps, 
j'ai par exemple travaillé avec ce produit que j'avais sourcé en Chine 
http://www.headele.com/cn/Product/Terminals/3G_4G_LTEluyouqi/2015/1022/25.html 
(et c'était pour un usage spécifique donc j'avais porté OpenWRT/LEDE dessus, 
source dispo ici https://github.com/karteum/LEDE-17.01-AR9341-AP123).

--
Adrien


- Mail original - 

De: "Arthur Pellissier"  
À: "Toussaint OTTAVI"  
Cc: "frnog-tech"  
Envoyé: Jeudi 20 Septembre 2018 19:31:00 
Objet: Re: [FRnOG] [TECH] Répéteur GSM Multi Opérateurs 

Hello, 

Je me permets d’intervenir parce qu’on vend justement des solutions comme 
celles là, on installe des répéteurs, on garantit 10 ans et on s’assure qu’on 
impacte pas le réseau extérieur. On le fait même en plein Paris parce que les 
bâtiments récents sont construits comme des cages de faraday. 
Ça marche bien, les utilisateurs ont la 4G partout, et c’est légal sans avoir 
besoin de l’accord des opérateurs pour le coup puisqu’on se contente d’assurer 
un réseau sur une zone privée. et en cas de changement dans les réglages des 
antennes à côté, on refait les réglages sans soucis. Valable pour tous les 
opérateurs de façon agnostique (on prend le réseau extérieur, et on le réplique 
à l’intérieur) 

Donc oui c’est légal