Re: [FRnOG] [TECH] Trunk SIP redondant

2020-04-15 Par sujet Cedric Millet (pro) 
Hello
Ca ne change rien à ce qu'a dit David mais pour info (sur panne du trunk A
coté client [car si c'est le softswitch/infra de ton opérateur qui est HS,
c'est mort]) y'a cette solution/piste (supportee par au moins les sbc
acmepacket/oracle et sonus) :

Tu peux toujours demander à ton opérateur s'il supporte le crankback
(reroutage sur cause d'erreur reçue du trunk A) ; parfois avec
renumérotation vers un numéro unique.

Au mieux t'auras donc toutes les sda de ton trunk A reroutees vers ton
trunk B (qui en nominal a ses propres sda).
Et avec renumerotation : tes sda sont toutes transformees en un numero C
unique qui peut etre n'importe quel numero (voire meme un mobile si ton
operateur le permet).
Quand c'est la misere ca peut etre utile en mode ultra dégradé...
NB : C'est le client proprietaire du trunk A qui est facturé de la
renumerotation vers C.

Completel faisait (fait toujours?) ca sur une de ces offres.

Cedric

Le 15 avr. 2020 22:53, "David Ponzone"  a écrit :

Non, ça existe pas.
Le meilleur niveau de redondante que tu puisses avoir c’est 2 intercos SIP
avec Orange sur un couple de SRTHD qui font partie du même noeud chez eux,
et ils s’occupent de router les appels en actif/actif ou actif/passif.
Si Orange est dead sur les 2 SRTHD, t’es dead aussi.
Peu probable (les SRTHD sont à plusieurs km l’un de l’autre), et si ça
arrive, y aura du monde dans les choux.



> Bonsoir,
>
> Existe-t'il une solution pour avoir un Trunk SIP redondant pour les
> appels entrants pour un bloc donné de numéros ?
> En gros je prends un premier trunk SIP auprès de l'opérateur A et un
> second trunk SIP auprès de l'opérateur B.
>
> En temps normal, je reçois les appels depuis A et/ou depuis B.
> En cas de problème avec A, je reçois immédiatement les appels depuis B
> (et vice versa).
>
> En gros, cela revient au mécanisme de BGP appliqué à la téléphonie.
>
> Est-ce que cela implique d'avoir mes propres ressources en numérotation
> (équivalent PI en IP) ?
> Ou existe t'il des loueurs de blocs de numéros (équivalent LIR pour la
> location d'un bloc IP /24) ?
>
> Merci.
> --
>
> *Emmanuel DECAEN*
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Trunk SIP redondant

2020-04-15 Par sujet David Ponzone 
Non, ça existe pas.
Le meilleur niveau de redondante que tu puisses avoir c’est 2 intercos SIP avec 
Orange sur un couple de SRTHD qui font partie du même noeud chez eux, et ils 
s’occupent de router les appels en actif/actif ou actif/passif.
Si Orange est dead sur les 2 SRTHD, t’es dead aussi.
Peu probable (les SRTHD sont à plusieurs km l’un de l’autre), et si ça arrive, 
y aura du monde dans les choux.


> Bonsoir,
> 
> Existe-t'il une solution pour avoir un Trunk SIP redondant pour les
> appels entrants pour un bloc donné de numéros ?
> En gros je prends un premier trunk SIP auprès de l'opérateur A et un
> second trunk SIP auprès de l'opérateur B.
> 
> En temps normal, je reçois les appels depuis A et/ou depuis B.
> En cas de problème avec A, je reçois immédiatement les appels depuis B
> (et vice versa).
> 
> En gros, cela revient au mécanisme de BGP appliqué à la téléphonie.
> 
> Est-ce que cela implique d'avoir mes propres ressources en numérotation
> (équivalent PI en IP) ?
> Ou existe t'il des loueurs de blocs de numéros (équivalent LIR pour la
> location d'un bloc IP /24) ?
> 
> Merci.
> -- 
> 
> *Emmanuel DECAEN*
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Trunk SIP redondant

2020-04-15 Par sujet Emmanuel DECAEN 
Bonsoir,

Existe-t'il une solution pour avoir un Trunk SIP redondant pour les
appels entrants pour un bloc donné de numéros ?
En gros je prends un premier trunk SIP auprès de l'opérateur A et un
second trunk SIP auprès de l'opérateur B.

En temps normal, je reçois les appels depuis A et/ou depuis B.
En cas de problème avec A, je reçois immédiatement les appels depuis B
(et vice versa).

En gros, cela revient au mécanisme de BGP appliqué à la téléphonie.

Est-ce que cela implique d'avoir mes propres ressources en numérotation
(équivalent PI en IP) ?
Ou existe t'il des loueurs de blocs de numéros (équivalent LIR pour la
location d'un bloc IP /24) ?

Merci.
-- 

*Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Re: Trunk SIP FR / CH / CA

2020-04-15 Par sujet Daniel via frnog 



Le 15/04/2020 à 20:27, Olivier Lange a écrit :

Bon,

J'ai un colistier qui m'a fournis la bonne solution ;)

J'ai également une solution au cas ou.


Le mer. 15 avr. 2020 à 12:46, Olivier Lange  a écrit :


Hello,

L'un de vous aurait-il une offre intéressante pour un trunk SIP avec un
numéro FR/CA/CH ? Attention, c'est pas l'offre du siècle, 2 canaux me
suffisent, tant que je peux avoir un numéro dans les 3 pays. Avec une
tarification à la minute. Je peux  bloquer une somme en prépayée, par
sécurité, pas de souci.

C'est pas tout d'avoir déménagé à l'autre bout du monde, faut rester
joignable et pouvoir appeler les amis/famille/boulot !

Merci.
Olivier

P.S: Je peux fournir une adresse dans les 3 pays, et on parle de quelques
heures par mois!
P.S2: si l'un de vous peux Aussi me fournir une instance Wildix avec 2
users, je prends, si le tarif est raisonnable. Sinon je mettrais une VM 3CX.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Re: Trunk SIP FR / CH / CA

2020-04-15 Par sujet Olivier Lange 
Bon,

J'ai un colistier qui m'a fournis la bonne solution ;)

Merci!

Olivier

Le mer. 15 avr. 2020 à 12:46, Olivier Lange  a écrit :

> Hello,
>
> L'un de vous aurait-il une offre intéressante pour un trunk SIP avec un
> numéro FR/CA/CH ? Attention, c'est pas l'offre du siècle, 2 canaux me
> suffisent, tant que je peux avoir un numéro dans les 3 pays. Avec une
> tarification à la minute. Je peux  bloquer une somme en prépayée, par
> sécurité, pas de souci.
>
> C'est pas tout d'avoir déménagé à l'autre bout du monde, faut rester
> joignable et pouvoir appeler les amis/famille/boulot !
>
> Merci.
> Olivier
>
> P.S: Je peux fournir une adresse dans les 3 pays, et on parle de quelques
> heures par mois!
> P.S2: si l'un de vous peux Aussi me fournir une instance Wildix avec 2
> users, je prends, si le tarif est raisonnable. Sinon je mettrais une VM 3CX.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Jean Cérien 
>
> Juste en passant... un sbc (ou un firewall) qui filtre les paquets avec
> quelques user agent bien pourris (genre "friendly-scanner", "User-Agent: Z
> 3.14", etc...), toujours les même, et 99% des robots restent dehors.
> Fail2ban ensuite n'a plus qu'à filtrer les rares script kiddies qui
> changent les UA.
>

Cdlt
J.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Michel Py 
> Rémy Duchet a écrit :
> Comme nous avons des sondes sur plein de services différents, la "liste" 
> évolue sans arrêt. Du coup,
> je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
> milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.

C'est la manière propre de faire çà. Je te contacte en privé pour les détails 
BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ?


>> Daniel a écrit :
>> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on 
>> va retrouver en grande
>> partie les mêmes adresses. Une mise à jour hebdomadaire voire bi-mensuelle 
>> me parait suffisante.

Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le 
feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans 
mon trou noir aussi, donc viendu le l'attends déjà.

> Rémy Duchet :
> En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent 
> jamais des même IP.
> Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès 
> qu'elle a été détecté
> / bannis). Dans notre automatisation, nous avons justement prévu le cas des 
> attaques d'IP
> dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a 
> été bannis.

Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va 
être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que 
quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, 
et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité.

Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me 
sers. 

> Je pense qu'il faudrait faire quelque chose de plus centralisé,
> avec de la redondance, et la capacité d'accueillir du monde.

Cà m'avais traversé l'esprit aussi.

> J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme comme job. 
> Qu'est-ce
> que tu as envisagé comme amélioration future, hormis des listes 
> supplémentaires ?

Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, 
c'est :

1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à 
ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer 
les listes dont ils ne veulent pas.

2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire 
uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà 
permettrait d'augmenter la fréquence et d'économiser de la bande passante.

Michel.
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Trunk SIP FR / CH / CA

2020-04-15 Par sujet Olivier Lange 
Hello,

L'un de vous aurait-il une offre intéressante pour un trunk SIP avec un
numéro FR/CA/CH ? Attention, c'est pas l'offre du siècle, 2 canaux me
suffisent, tant que je peux avoir un numéro dans les 3 pays. Avec une
tarification à la minute. Je peux  bloquer une somme en prépayée, par
sécurité, pas de souci.

C'est pas tout d'avoir déménagé à l'autre bout du monde, faut rester
joignable et pouvoir appeler les amis/famille/boulot !

Merci.
Olivier

P.S: Je peux fournir une adresse dans les 3 pays, et on parle de quelques
heures par mois!
P.S2: si l'un de vous peux Aussi me fournir une instance Wildix avec 2
users, je prends, si le tarif est raisonnable. Sinon je mettrais une VM 3CX.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Juan Isoza 
J'ai déja mis deux domaines toto.com et titi.fr sur les DNS cloudflare
(meme compte et meme clef API), et fait généré un unique certificat
wildcard par let's encrypt.
Ce certiticat fait à la fois toto.com, titi.fr, *.toto.com et *.titi.fr

Le jeu. 9 avr. 2020 à 10:36, Pierrick CHOVELON 
a écrit :

>  Bonjour la liste,
>
> Je vous expose une situation à laquelle on va être confrontés. On a des
> pistes de travail (genre pistes forestières pas bien débroussaillées où on
> a du mal à faire un pied devant l'autre sans se prendre une racine ...).
> N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.
>
> On déploie des applications accessibles en HTTP/S sur des infra clients.
> Ces infras se trouver sur le réseau du client.
> Le client va ajouter un enregistrement dans son DNS interne pour
> résoudre *application.domaine.fr
> * (domaine interne du client) en IP interne
> (RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé
> dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en
> web.
>
> Arrive donc la question : comment gérer (le plus "simplement" possible )
> la résolution de *application.domaine.fr *
> depuis chez nous en sachant que :
>
>- on accède aux applis à travers un VPN lan to lan, il y a donc
>peut-être du NAT si overlapping
>- on voudrait éviter de gérer deux certificats HTTPS
>
> Nos pistes de réflexions sont :
>
>- Ajouter un sous-domaine en interne pour accéder à ces applications ->
>mais gestion de deux certificats côté appli
>- Récupérer les infos sur le DNS client avec une délégation -> mais se
>pose le problème du NAT
>- Déporter la résolution DNS chez le client en utilisant un proxy web
>configuré au même endroit que l'appli -> très contraignant à
> l'utilisation
>- Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
>...
>
> On a bien fait le tour de la question, et on pense qu'il n'y aura pas de
> solution magique.
> Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à
> maintenir.
>
> D'avance merci pour vos retours.
>
> Bonne journée.
> __
> *Pierrick CHOVELON I *Ingénieur système
>
> *Advanced Software I IT*
> +33 4 77 43 27 05
> <
> https://ligo.a-sis.eu/modules.php?op=modload=Annuaire=tel_TWSCaller=+33%204%2077%2043%2027%2005=CHOVELON%20Pierrick
> >
>
> pierrick.chove...@savoye.com
> *SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
> *Savoye recrute !  - *
> www.savoye.com
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] trunk SIP DOM

2020-04-15 Par sujet Oliver varenne 

J'arrive avec plusieurs jours de retard... 
Mais nous aussi on fait ça, meme tarif que metropole. 


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 




-Message d'origine-
De : frnog-requ...@frnog.org  De la part de 
x.r...@sipleo.com
Envoyé : mercredi 8 avril 2020 17:23
À : pisrateurb...@free.fr; frnog-...@frnog.org
Objet : RE: [FRnOG] [BIZ] trunk SIP DOM

Bonjour,

On fait ça là-bas régulièrement.
On a le même prix d'ailleurs dans les caraïbes que pour la métropole.

Xavier

-Message d'origine-
De : pisrateurb...@free.fr  Envoyé : mercredi 8 avril 
2020 14:07 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] trunk SIP DOM

Bonsoir,

Je cherche un fournisseur de trunk SIP qui sache me faire des portabilités de 
SDA à la Réunion/Martinique/Guadeloupe/Guyane, j'ai contacté 6 sociétés à ce 
sujet mais elles ne font pas du trunk ultramarin : si quelqu'un à un contact à 
ce sujet, je serais intéressé.

Merci d'avance.
Clément


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Pierrick CHOVELON 
Merci pour lien.
Lu sur votre article : *"s'il est interne à une organisation, la question
de la séparation entre résolveur et serveur faisant autorité est
différente" *

Dans ce cas de figure là, qu'est ce qui pousserait à les séparer, (hormis
le partage de même ressources physiques, si l'un s'emballe, ça fait tomber
l'autre, etc) ?

Pierrick

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Contact Free Infra suite dommage en GC BLO

2020-04-15 Par sujet Josselin Lecocq via frnog 
Hello,

Merci pour cette suggestion. Je préfère quand même tenter de régler ça à
l'amiable ; c'est en général plus rapide et moins coûteux quand on fait
ça entre opérateurs civilisés ;-).


Josselin Lecocq
Quantic Telecom


Le 15/04/2020 à 15:14, Ducassou Laurent a écrit :
> Hello,
> 
> Le mieux est d'ouvrir un ticket chez Orange pour ta réparation et de
> demandé au passage au service BLO les contacts tech de l'opérateur
> concerné + n° RC/Assurance (qui sont documentés dans les bases de
> données de Orange).
> 
> Normalement, tu dois faire un constat d'huissier au moment de l'incident
> (avec identification des intervenants & co).
> 
> Bien du courage !
> 
> Laurent
> 
> 
> Le 15/04/2020 à 14:49, Josselin Lecocq via frnog a écrit :
>> Bonjour,
>>
>> Suite à l'arrachage de l'un de nos câbles optiques en infra GCBLO par un
>> sous-traitant de Free, je cherche un contact chez Free Infra avec qui je
>> puisse traiter le problème.
>>
>> Quelqu'un dans la liste ?
>>
>> Merci d'avance !
>>
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Contact Free Infra suite dommage en GC BLO

2020-04-15 Par sujet Ducassou Laurent 

Hello,

Le mieux est d'ouvrir un ticket chez Orange pour ta réparation et de 
demandé au passage au service BLO les contacts tech de l'opérateur 
concerné + n° RC/Assurance (qui sont documentés dans les bases de 
données de Orange).


Normalement, tu dois faire un constat d'huissier au moment de l'incident 
(avec identification des intervenants & co).


Bien du courage !

Laurent


Le 15/04/2020 à 14:49, Josselin Lecocq via frnog a écrit :

Bonjour,

Suite à l'arrachage de l'un de nos câbles optiques en infra GCBLO par un
sous-traitant de Free, je cherche un contact chez Free Infra avec qui je
puisse traiter le problème.

Quelqu'un dans la liste ?

Merci d'avance !



--
L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel 
antivirus Avast.
https://www.avast.com/antivirus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Jérôme BERTHIER via frnog 

Le 15/04/2020 à 13:46, Stephane Bortzmeyer a écrit :

On Wed, Apr 15, 2020 at 08:51:19AM +0200,
  Pierrick CHOVELON  wrote
  a message of 21 lines which said:


Je ne sais pas encore en ce qui concerne les résolveurs. Faut-il
mieux avoir un slave/resolver ou alors bien distinguer les deux ?

Distinguer 


S'il faut que les resolvers puissent résoudre uniquement certains 
sous-domaines (pour tenir compte de l'application du NAT) mais par 
défaut , puissent interroger la zone domaine.fr publique, il y aurait au 
moins deux pistes sur Bind :


1) assigner chaque sous-domaine "xxx.domaine.fr" (de manière exhaustive) 
à une zone type forward pointant vers les serveurs faisant autorité en 
interne avec la directive "forward only"


2) assigner le domaine complet "domaine.fr" à une zone type forward 
pointant vers les serveurs faisant autorité en interne mais avec la 
directive "forward first" (par défaut a priori) pour initier une 
résolution récursive classique sur non réponse



La méthode 1 limite le renvoi aux domaines listés.

La méthode 2 renvoie par défaut les requêtes concernant "domaine.fr" 
mais déclenche une requête récursive si pas de réponse fournie.


Le mix des deux doit fonctionner mais n'a pas trop d'intérêt a priori.


Je n'ai pas testé. :-)

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Contact Free Infra suite dommage en GC BLO

2020-04-15 Par sujet Josselin Lecocq via frnog 
Bonjour,

Suite à l'arrachage de l'un de nos câbles optiques en infra GCBLO par un
sous-traitant de Free, je cherche un contact chez Free Infra avec qui je
puisse traiter le problème.

Quelqu'un dans la liste ?

Merci d'avance !

-- 
Josselin Lecocq
Quantic Telecom


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Jérôme BERTHIER via frnog 

Bonjour,

Le 15/04/2020 à 13:45, Stephane Bortzmeyer a écrit :

Pourquoi un outil spécifique alors que cette fonction est dans tous
les serveurs DNS depuis toujours, et est normalisée
  ?


ça reste juste une possibilité.

On est d'accord que le transfert de zone fait le travail parfaitement.

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Stephane Bortzmeyer 
On Tue, Apr 14, 2020 at 09:08:26AM +0200,
 Pierrick CHOVELON  wrote 
 a message of 36 lines which said:

> -> Des outils pour gérer tous les fichiers de zones ?

J'utilise emacs avec l'excellent dns-mode (inclus dans emacs, source
en
)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Stephane Bortzmeyer 
On Wed, Apr 15, 2020 at 08:51:19AM +0200,
 Pierrick CHOVELON  wrote 
 a message of 21 lines which said:

> Je ne sais pas encore en ce qui concerne les résolveurs. Faut-il
> mieux avoir un slave/resolver ou alors bien distinguer les deux ?

Distinguer 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Stephane Bortzmeyer 
On Tue, Apr 14, 2020 at 02:16:13PM +0200,
 Jérôme BERTHIER via frnog  wrote 
 a message of 81 lines which said:

> ou un outil qui génère le contenu de la zone et le pousse
> directement sur tous les serveurs...

Pourquoi un outil spécifique alors que cette fonction est dans tous
les serveurs DNS depuis toujours, et est normalisée
 ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Radu-Adrian Feurdean 
On Wed, Apr 15, 2020, at 08:51, Pierrick CHOVELON wrote:
> Oui c'est uniquement pour de l'interne. Pour la résilience, j'avais déjà ça
> en tête avec la répartition des différents serveurs dans nos DC.
> Mais pas du tout penser aux multi préfixes, à creuser donc.

Multi-DC sur un meme prefixe/subnet, si c'est un postulat de depart, il ne sert 
a rien d'aller plus loin dans la resilience.

L'idee d'avoir des DNS dans les prefixes differents, idealement dans des AS 
differents est de se premunir contre des pannes reseaux a differents niveaux. 
Si vous utilises le DNS pour resoudre les IP des services qui sont tous dans un 
immense niveau-2 inter-DC, pas la peine d'aller plus loin qu'un master et un 
slave, le plus grand SPOF (et le plus risque) c'est le L2 etendu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Duchet Rémy 
En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent jamais 
des même IP. 
Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès qu'elle 
a été détecté / bannis).
Dans notre automatisation, nous avons justement prévu le cas des attaques d'IP 
dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a été 
bannis.

Rémy 

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: mercredi, 15 avril 2020 09:01
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on va 
retrouver en grande partie les mêmes adresses. Une mise à jour hebdomadaire 
voire bi-mensuelle me parait suffisante.

Le 15/04/2020 à 08:52, Duchet Rémy a écrit :
> Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
> minute.
> Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
> Comme nous avons des sondes sur plein de services différents, la "liste" 
> évolue sans arrêt.
> Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et 
> des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.
>
> Rémy
>
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of 
> Daniel via frnog
> Sent: lundi, 13 avril 2020 12:37
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS
>
> Voici le mien
>
> https://tdrive.tootai.net/s/agWxa4wXXTGR4Py
>
> Le 12/04/2020 à 22:10, Richard Klein a écrit :
>> Voici mon fichier depuis un synology qui est une simple liste d'IPs 
>> (ban
>> permanent):
>> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/vie
>> w ?usp=sharing Il faudrait ajouter une colonne avec la date du 
>> dernier BAN et après un "timeout" de 7 jours suppression de la liste 
>> .
>> Une troisieme colonne pour le nombre de signalement sur 7 jours .
>> Libre a chacun de définir si il y a eu un seul signalement de prendre 
>> en compte cette IP par rapport a une IP qui a 200 signalements .
>> Une bonne mutualisation permet d'etre réactif et pro actif plutot que 
>> d'attendre son tour pour se faire scanner /attaquer ...
>>
>> Richard
>>
>>
>> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier 
>>  a écrit :
>>
 Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de 
>>> suppression de ta liste.
>>>
>>> C’est assez dommageable pour nous autres opérateurs, par exemple, 
>>> j’ai régulièrement des clients qui se font trouer leur 
>>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie 
>>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
>>> Alors, certes, il y’a peu de chances que mes clients parlent aux 
>>> tiens, néanmoins, si tout le monde commence à se partager ses 
>>> blacklists, ça risque de devenir un vrai problème.
>>>
>>>
>>>
>>> Hugues
>>> AS57199 - AS50628
>>>
 On 12 Apr 2020, at 21:52, Michel Py 
 
>>> wrote:
 Je passe cà dans [TECH]

> Duchet Rémy
> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en 
> bgp
 Tu veux t'appairer ? en ce moment j'en ai environ 38,000.


> Richard Klein a écrit :
> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un 
> exabgp qui nous feed les IP à null-router, ça serait sympa.
 Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
>>> j'avais plus de sources.
 Michel.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> --
> Daniel Huhardeaux
> +33.368460...@tootai.net  sip:8...@sip.tootai.net
> +41.445532...@swiss-itech.chtootaiNET
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Daniel via frnog 
Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que 
l'on va retrouver en grande partie les mêmes adresses. Une mise à jour 
hebdomadaire voire bi-mensuelle me parait suffisante.


Le 15/04/2020 à 08:52, Duchet Rémy a écrit :

Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
minute.
Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
Comme nous avons des sondes sur plein de services différents, la "liste" évolue 
sans arrêt.
Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
milliers de commits par jour.
Donc, je veux bien les annoncer via BGP, ça me semble plus simple et utilisable 
comme cela.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: lundi, 13 avril 2020 12:37
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Voici le mien

https://tdrive.tootai.net/s/agWxa4wXXTGR4Py

Le 12/04/2020 à 22:10, Richard Klein a écrit :

Voici mon fichier depuis un synology qui est une simple liste d'IPs
(ban
permanent):
https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view
?usp=sharing Il faudrait ajouter une colonne avec la date du dernier
BAN et après un "timeout" de 7 jours suppression de la liste .
Une troisieme colonne pour le nombre de signalement sur 7 jours .
Libre a chacun de définir si il y a eu un seul signalement de prendre
en compte cette IP par rapport a une IP qui a 200 signalements .
Une bonne mutualisation permet d'etre réactif et pro actif plutot que
d'attendre son tour pour se faire scanner /attaquer ...

Richard


Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier
 a écrit :


Tu veux t'appairer ? en ce moment j'en ai environ 38,000.

J’imagine qu’avec une telle quantité, tu n’as aucun délai de
suppression de ta liste.

C’est assez dommageable pour nous autres opérateurs, par exemple,
j’ai régulièrement des clients qui se font trouer leur
VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie
d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
Alors, certes, il y’a peu de chances que mes clients parlent aux
tiens, néanmoins, si tout le monde commence à se partager ses
blacklists, ça risque de devenir un vrai problème.



Hugues
AS57199 - AS50628


On 12 Apr 2020, at 21:52, Michel Py


wrote:

Je passe cà dans [TECH]


Duchet Rémy
On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en
bgp

Tu veux t'appairer ? en ce moment j'en ai environ 38,000.



Richard Klein a écrit :
J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
exabgp qui nous feed les IP à null-router, ça serait sympa.

Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si

j'avais plus de sources.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Duchet Rémy 
Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
minute.
Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
Comme nous avons des sondes sur plein de services différents, la "liste" évolue 
sans arrêt.
Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
milliers de commits par jour.
Donc, je veux bien les annoncer via BGP, ça me semble plus simple et utilisable 
comme cela.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: lundi, 13 avril 2020 12:37
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Voici le mien

https://tdrive.tootai.net/s/agWxa4wXXTGR4Py

Le 12/04/2020 à 22:10, Richard Klein a écrit :
> Voici mon fichier depuis un synology qui est une simple liste d'IPs
> (ban
> permanent):
> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view
> ?usp=sharing Il faudrait ajouter une colonne avec la date du dernier
> BAN et après un "timeout" de 7 jours suppression de la liste .
> Une troisieme colonne pour le nombre de signalement sur 7 jours .
> Libre a chacun de définir si il y a eu un seul signalement de prendre
> en compte cette IP par rapport a une IP qui a 200 signalements .
> Une bonne mutualisation permet d'etre réactif et pro actif plutot que
> d'attendre son tour pour se faire scanner /attaquer ...
>
> Richard
>
>
> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier
>  a écrit :
>
>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de
>> suppression de ta liste.
>>
>> C’est assez dommageable pour nous autres opérateurs, par exemple,
>> j’ai régulièrement des clients qui se font trouer leur
>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie
>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
>> Alors, certes, il y’a peu de chances que mes clients parlent aux
>> tiens, néanmoins, si tout le monde commence à se partager ses
>> blacklists, ça risque de devenir un vrai problème.
>>
>>
>>
>> Hugues
>> AS57199 - AS50628
>>
>>> On 12 Apr 2020, at 21:52, Michel Py
>>> 
>> wrote:
>>> Je passe cà dans [TECH]
>>>
 Duchet Rémy
 On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en
 bgp
>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>>
>>>
 Richard Klein a écrit :
 J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
 exabgp qui nous feed les IP à null-router, ça serait sympa.
>>> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
>> j'avais plus de sources.
>>> Michel.
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

2020-04-15 Par sujet Pierrick CHOVELON 
Merci pour toutes vos réponses.

Ok pour la VIP.
Oui c'est uniquement pour de l'interne. Pour la résilience, j'avais déjà ça
en tête avec la répartition des différents serveurs dans nos DC.
Mais pas du tout penser aux multi préfixes, à creuser donc.

La plupart des enregistrements resteront publics effectivement.
Je ne sais pas encore en ce qui concerne les résolveurs. Faut-il mieux
avoir un slave/resolver ou alors bien distinguer les deux ?

Ok pour les outils, je vais aller voir tout ça. On utilise déjà phpIPAM.

Pierrick

---
Liste de diffusion du FRnOG
http://www.frnog.org/