RE: [FRnOG] [TECH] Gmail quête d'explication

[Michel Py]

> wall...@morkitu.org a écrit :
> Pas eu de réponse de Gmail pour le moment, mais magie ou pas depuis ce jour 
> ça refonctionne
> pour des mails P2P pour ce client. Bug ou classement spam on ne saura sans 
> doute jamais...

Bientôt trolldi : n'essayant pas de défendre les GAFAs dont je pense presque 
autant de mal que toi ou Stephane, ou de leur trouver des excuses, force est de 
constater que la lutte contre le spam est un emmerdement incommensurable.


Moi, j'ai la solution ultime contre le spam (Final Ultimate Solution to the 
Spam Problem (FUSSP))
Yàkà supprimer l'email :P


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

[Sébastien Lesimple]

Le 12/06/2020 à 01:54, David Ponzone a écrit :
>> Le 11 juin 2020 à 23:38, Bruno LEAL DE SOUSA  a 
>> écrit :
>>
>> Hello tout le monde !
>>
>> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
>> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
>> sont interconnectés sur un vlan grâce à leur solution vRack.
>>
>> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
>> pas que me serveurs soient accessibles directement sur internet.. je
>> voudrais les isoler derrière un Firewall typiquement afin de protéger le
>> tout et d'ouvrir juste les ports nécessaires !
>>
>> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
>> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
>> possible sur un serveur dédié chez Ovh !
>> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
>> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
>> va représenter…
>>
> Debian brut avec ufw.
> Ou Proxmox, avec ce que tu veux dans une VM.
Ben voila, les meilleures solutions sont les plus simples.
Je rajouterais de l'IPTables/Fail2BAN/Ngnx/Rkhunter et un bastion en
amont pour l'admin de l'ensemble sur une VM que tu demarre que quand
t'as besoin d'admin un serveur et tu devrais etre pas trop mal.
Seb.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

[David Ponzone]

> Le 11 juin 2020 à 23:38, Bruno LEAL DE SOUSA  a 
> écrit :
> 
> Hello tout le monde !
> 
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
> 
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
> 
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter…
> 

Debian brut avec ufw.
Ou Proxmox, avec ce que tu veux dans une VM.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

[merwan . listes]

Hello 
Les serveurs dédié de OVH ne sont pas géré dans un Vshpere ? Car d’ici tu as la 
gestion d’un FW OVH. 
Ou sinon, très sous côté, tu peux corser les règles de tes FW sur les serveurs 
directement. Si c’est du Windows tu déploie juste une policy local ou alors si 
tu as un domain encore mieux. Pour du Linux, un peu de iptable ? 

Bonne soirée, 
Merwan 

> On Jun 11, 2020, at 5:39 PM, Bruno LEAL DE SOUSA  
> wrote:
> 
> Hello tout le monde !
> 
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
> 
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
> 
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
> 
> Avez-vous des idées ?
> 
> Merci beaucoup!
> 
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

[Charley SEDEAU]

Hello,

Pour moi ce pare-feu là ne s’active que pendant une mitigation DDoS, a
moins de posséder l’option pro qui permet de mettre les IP en mitigation
permanente..

J’ai mal compris le truc ?

- Charley

Le ven. 12 juin 2020 à 00:31,  a écrit :

> Bonjour,
>
> quid du vRack firewall pour ce besoin ?
>   https://docs.ovh.com/fr/dedicated/firewall-network/
>
>
> - Mail original -
> De: "Olivier Lange" 
> À: "Bruno LEAL DE SOUSA" 
> Cc: "frnog-tech" 
> Envoyé: Jeudi 11 Juin 2020 23:42:39
> Objet: Re: [FRnOG] [TECH] Firewall chez OVH
>
> Salut,
>
> Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros,
> et tu la mets dans le cracks.
>
> Où sinon tu mets des règles de dent sur tes interfaces public.
>
> Olivier
>
> Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA <
> bruno.ld.so...@gmail.com>
> a écrit :
>
> > Hello tout le monde !
> >
> > Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique
> et
> > sont interconnectés sur un vlan grâce à leur solution vRack.
> >
> > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne
> veux
> > pas que me serveurs soient accessibles directement sur internet.. je
> > voudrais les isoler derrière un Firewall typiquement afin de protéger le
> > tout et d'ouvrir juste les ports nécessaires !
> >
> > En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> > j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> > possible sur un serveur dédié chez Ovh !
> > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> > va représenter...
> >
> > Avez-vous des idées ?
> >
> > Merci beaucoup!
> >
> > Bruno LEAL DE SOUSA
> > 06.01.23.45.96
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-- 
- Charley

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

[vjardin]

Bonjour,

quid du vRack firewall pour ce besoin ?
  https://docs.ovh.com/fr/dedicated/firewall-network/


- Mail original -
De: "Olivier Lange" 
À: "Bruno LEAL DE SOUSA" 
Cc: "frnog-tech" 
Envoyé: Jeudi 11 Juin 2020 23:42:39
Objet: Re: [FRnOG] [TECH] Firewall chez OVH

Salut,

Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros,
et tu la mets dans le cracks.

Où sinon tu mets des règles de dent sur tes interfaces public.

Olivier

Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA 
a écrit :

> Hello tout le monde !
>
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
>
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
>
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
>
> Avez-vous des idées ?
>
> Merci beaucoup!
>
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] IP publiques en RFC1918 et RTS

[A Gaillard]

Merci à tous pour vos réponses enrichissantes !

Je pense que Manuel ne doit pas être loin de la réponse, en allant me
renseigner un peu sur ce type de RTS il se pourrait que le mécanisme que
mon client cite corresponde à ça.

Merci encore ;)
Adrien.

Le mer. 10 juin 2020 à 21:33, Michel Py 
a écrit :

> >> Manuel Martinez a écrit :
> >> Après la re-numérotation de plans IP si c’était simple, ca se saurait,
>
> > Stephane Bortzmeyer a écrit :
> > Oui, je suis étonné de l'optimisme de Philippe. Mon experience est
> plutôt celle de Michel : pièjakon en vue.
>
> Le problème est toujours le même : tu as beau essayer de le dire à tout le
> monde, la moitié des personnes qui devraient faire quelque chose n'en ont
> rien à faire, et ne font pas le changement.
>
> > Hier, à la réunion OARC, on a parlé d'un serveur DNS racine qui avait
> changé d'adresse IP il
> > y a trois ans et dont un tiers (!) du trafic est toujours envoyé à
> l'ancienne adresse.
>
> Cà ne m'étonne pas du tout. Quand un fait une renumérotation, il faut
> laisser le sniffeur sur l'ancienne adresse pendant des lustres pour pouvoir
> comprendre qui continue à envoyer des requêtes, trouver comment les
> contacter, leur expliquer que oui c'est leur problème et qu'il faut qu'ils
> se remuent le popotin.
>
> Un des ennemis que l'on ne soupçonne pas : /etc/hosts
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

[Olivier Lange]

Salut,

Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros,
et tu la mets dans le cracks.

Où sinon tu mets des règles de dent sur tes interfaces public.

Olivier

Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA 
a écrit :

> Hello tout le monde !
>
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
>
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
>
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
>
> Avez-vous des idées ?
>
> Merci beaucoup!
>
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco ASR920 : HSRP et IPSLA

[Michel Py]

>> Thierry Del-Monte a écrit :
>>  1) IP SLA + HSRP/VRRP 
>>   
>>  Il faut pouvoir basculer la VIP si le lien nominal tombe. Donc faire 
>> du tracking / ip sla selon la terminologie Cisco. 

> Radu-Adrian Feurdean a écrit :
> Utiliser un protocole de routage 

+1000, surtout avec des intercos L3. Ca permettrait même de faire du 
load-balancing.
Faut que le pare-feu le supporte, ceci dit.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Gmail quête d'explication

[Wallace]

Bonsoir,

Pas eu de réponse de Gmail pour le moment, mais magie ou pas depuis ce
jour ça refonctionne pour des mails P2P pour ce client.

Bug ou classement spam on ne saura sans doute jamais...


Le 11/06/2020 à 18:20, Arnaud Mombrial a écrit :
> Hello,
>
> après lecture du thread et vu que tout les param techniques ont l'air
> nickel de ton côté, je me demande si cette mise en spam par Gmail ne
> pourrait pas venir d'une action d'un de tes - vos destinataires qui
> aurait taggué (même par inadvertance le résultat est le même) vos
> mails comme Spam.
>
> On sait qu'il suffit d'un taux même minime flaggué en Spam pour que la
> réputation d'un domaine en pâtisse...
>
> Après ce qui me met le doute c'est que _tous_ les mails passent en
> spams, ça ressemble plus à un comportement anormal.
>
> Si tu arrives à récupérer de l'info de la part de Google, je veux bien
> savoir ce qui a pu se passer. Beau et vaste sujet.
>
> Bonne fin de journée à tous.
>
> On Tue, Jun 9, 2020 at 12:41 PM Wallace  > wrote:
>
> Bonjour,
>
> Un domaine qui a quelques années, qui a toujours été carré (pas de
> piratage de boite, pas de mail marketing, pas plus de 10
> correspondants)
> se voit mis en spam direct depuis 1 semaine chez Gmail pour toutes ces
> correspondances avec des destinataires chez Gmail.
>
> On a fait analyser par mail-tester, on a tout revérifié dkim
> valide, spf
> strict, dmarc strict, champs received privés supprimés, domaine
> n'étant
> pas considéré comme hébergeant des malwares ou du phishing, postmaster
> tools dit qu'il n'y a pas assez de trafic pour pouvoir produire
> une analyse.
>
> Vu que ce sont des mails professionnels d'échange entre deux personnes
> on ne comprend pas la cause.
>
> Quelles sont les possibilités pour trouver une explication?
>
> Quels sont les recours pour contacter quelqu'un chez Gmail?
>
> Merci par avance.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>
> -- 
>
> *//*
>
> *     Arnaud Mombrial*
>      Group IT Director
>
>      arnaud.mombr...@fabernovel.com
> 
>      0664204324 
>
> *     ***FΛBERNOVEL**
>      46 rue Saint-Lazare 75009 PARIS
>      www.fabernovel.com 
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Questions sur les DAC et des problèmes de perf

[Michel Py]

>> Pierre Jouet a écrit :
>> @Michel, pour moi c'est le dac, la compatibilité constructeur ou les switchs 
>> si tu fonctionnes
>> correctement sur nexus + fibre Tu as jamais eu ce soucis avec tes switchs et 
>> ton dac fonctionne
>> dans d'autres devices? SI oui, tu as un dac programmé cisco pour re-tester?

> benoit mordac a écrit :
> En tout cas, je ne ferai plus confiance aveuglément dans les DAC.

On avait eu cette discussion il y a quelques temps : précisément pour éviter ce 
genre d'incompatibilité, je ne fais du DAC que sur courte distance (2-3m maxi) 
et que entre 2 switchs de même marque avec le DAC fs.com codé pour la marque en 
question. Faut mesurer combien ton temps coute et comparer la différence entre 
un DAC et 2 optiques, perso je trouve que c'est pas la peine de s'enquiquiner.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Contact Free

[Ducassou Laurent]

Le 10/06/2020 à 14:01, Xavier Beaudouin a écrit :

La lenteur du déploiement dû a la complexité du passage des fibres et de 
l'infra PM
qui se met en place, fait que ... 2 ou 3 ans  c'est LOOONG. D'autant 
plus
que à coté, au Luxembourg, les débits < 30Mbps (pour de nouvelles lignes) sont
quasi inexistant, et plus rien n'est déployé en cuivre.


Si ca te rassure, dans les Landes (Sud ouest), encore la grande majorité 
des lignes sont en aériens, même les Inter-NRA... Autant te dire que 
depuis 2018, une (et jusqu'à deux) trancheuse sévissee dans les Landes 
de façon sévère pour déployer du fourreau à minima pour les 
positionnements NRO/POP (2 dans le département sur les deux fibres 
nationales qui traversent le département de Nord en Sud), NRO/NRO et 
NRO/PMO. Donc hormis 2/3 villes qui sont historiquement "en avance" plus 
la préfecture (AMII) et sous-préfecture (DSP propre à celle-ci) mais 
sinon c'est... pas la joie.


Le bon exemple de "c'est pas la joie", c'est Tarnos et Boucau qui sont 
au sud-ouest du département. C'est deux villes denses (12500 et 8000 
habitants et pour les landes c'est dense...) collé l'une à l'autre mais 
surtout collé à la Communauté d'Agglomération de Bayonne (ACBA) qui est 
en zone AMII est déjà déployé à 90% (il doit rester une zone d'un NRA ou 
2 sur l'ACBA "non éligible NRO") ! Pourtant une majorité de l'infra est 
souterraine !


Ça ira mieux avec le temps en tout cas ! :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Re: IPv6 forever : IP mais pas route ? => RFC4191 override lifetime

[Laurent GUERBY]

On Thu, 2020-06-11 at 11:11 +0200, Laurent GUERBY wrote:
> Bonjour,
> 
> Pour reproduire un setup IPv6 statique avec les protocoles
> dynamiques 
> je suis arrivé a distribuer en DHCP6 des IPv6 (1) avec duree de vie
> "forever" en suivant la RFC8415 "The value 0x is taken to
> mean
> "infinity" when used as a lifetime" et j'ai bien "valid_lft forever
> preferred_lft forever" sur la machine.
> 
> Mais par contre pour les routes en ICMP6/RA la duree maximum en 
> secondes est 0x et je n'ai pas trouvé de moyen de distribuer en
> RA 
> une route a durée de vie infinie.
> 
> Est-ce que j'ai raté un bout de RFC qui permettrait de faire ça ?
> 
> Sincèrement,
> 
> Laurent GUERBY
> 
> (1) detail amusant dans mes tests on peut distribuer une IPv6 link 
> local statique en DHCP6 a un client, eg fe80::cafe/128 sur son eth0.

Merci pour les messages reçus en public et privé : 
j'ai finalement trouvé le bout de RFC
qui permet d'etendre de la durée de vie de la route par defaut
distribuée en RA a l'infini :

https://tools.ietf.org/html/rfc4191
The Router Preference and Lifetime values in a
   ::/0 Route Information Option override the preference and lifetime
   values in the Router Advertisement header.

Pour les fans de scapy : 

infinite=0x
...
/ICMPv6ND_RA(routerlifetime=0x,M=1,O=1)
/...
/ICMPv6NDOptRouteInfo(plen=0,prefix="::",rtlifetime=infinite,prf=1)

Sur ma VM debian 10 de test avec le RouteInfo :

default via fe80::cafe dev eth0 proto ra metric 1024 pref high

vs sans le RouteInfo:

default via fe80::cafe dev eth0 proto ra metric 1024 expires 65528sec
pref high

Sincèrement,

Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Gmail quête d'explication

[Arnaud Mombrial]

Hello,

après lecture du thread et vu que tout les param techniques ont l'air
nickel de ton côté, je me demande si cette mise en spam par Gmail ne
pourrait pas venir d'une action d'un de tes - vos destinataires qui aurait
taggué (même par inadvertance le résultat est le même) vos mails comme
Spam.

On sait qu'il suffit d'un taux même minime flaggué en Spam pour que la
réputation d'un domaine en pâtisse...

Après ce qui me met le doute c'est que _tous_ les mails passent en spams,
ça ressemble plus à un comportement anormal.

Si tu arrives à récupérer de l'info de la part de Google, je veux bien
savoir ce qui a pu se passer. Beau et vaste sujet.

Bonne fin de journée à tous.

On Tue, Jun 9, 2020 at 12:41 PM Wallace  wrote:

> Bonjour,
>
> Un domaine qui a quelques années, qui a toujours été carré (pas de
> piratage de boite, pas de mail marketing, pas plus de 10 correspondants)
> se voit mis en spam direct depuis 1 semaine chez Gmail pour toutes ces
> correspondances avec des destinataires chez Gmail.
>
> On a fait analyser par mail-tester, on a tout revérifié dkim valide, spf
> strict, dmarc strict, champs received privés supprimés, domaine n'étant
> pas considéré comme hébergeant des malwares ou du phishing, postmaster
> tools dit qu'il n'y a pas assez de trafic pour pouvoir produire une
> analyse.
>
> Vu que ce sont des mails professionnels d'échange entre deux personnes
> on ne comprend pas la cause.
>
> Quelles sont les possibilités pour trouver une explication?
>
> Quels sont les recours pour contacter quelqu'un chez Gmail?
>
> Merci par avance.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 

*//*
* Arnaud Mombrial*
 Group IT Director

 arnaud.mombr...@fabernovel.com
 0664204324

 *FΛBERNOVEL*
 46 rue Saint-Lazare 75009 PARIS
 www.fabernovel.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 forever : IP mais pas route ?

[Laurent GUERBY]

On Thu, 2020-06-11 at 17:15 +0200, Kirth Gersen wrote:
> la partie route de RA est par nature plus dynamique, si un routeur
> s'annonce lui-même avec un temps infini et disparaît ça n'a pas trop
> de
> sens.
> alors que le serveur DHCPv6 peut disparaître ou changer cela
> n'impactera
> pas les machines déjà configurées.
> 
> Sinon  on peut envoyer la route via l'option DHCPv6 RT_PREFIX  non ?
> (pas
> testé).

Merci pour le pointeur, d'apres mes recherchessur RTPREFIX il y a eu
un draft sur le sujet mais ce n'est jamais arrivé en RFC :

https://tools.ietf.org/html/draft-dec-dhcpv6-route-option-05
https://www.isc.org/blogs/routing-configuration-over-dhcpv6-2/
https://askubuntu.com/questions/649547/how-to-set-default-gateway-in-dh
cpd6-conf

Peut-etre demain vendredi les trolls fossiles vont revenir pour
expliquer le debat de l'epoque :).

> Et RA peut être utiliser pour configurer des SLAAC avec une durée
> infinie
> (ce n'est pas le meme timer, on peut mettre "infinity" sur le prefix
> annoncé via RA).

La j'utilise un RA avec M=1 pour avoir que la route par defaut et pas
d'adresse/prefixe, donc pas de lifetime de prefixe disponible.

> Apres comparer IPv4 et IPv6 est toujours le truc a éviter de faire ;)
> Il est mieux d'aborder IPv6 en oubliant complètement IPv4 et en ne
> cherchant surtout pas a refaire comme on fait en IPv4.

L'infrastructure en question est actuellement tout en statique,
on a commencé en IPv4, puis quand IPv6 est arrivé on a changé
le routage IPv4 pour coller a ce qu'on a mis en place en IPv6 :).

Donc ce n'est pas IPv4 vs IPv6 ici, juste une incohérence a mon avis
dans les RFC IPv6. Proposer forever pour tous les parametres sauf
pour la route par defaut ce n'est pas cohérent : soit il n'y a pas
de notion de forever et tous les champs font 16 bits en secondes,
soit on met forever disponible partout. Si tu n'as plus de DNS
une machine lambda ne va probablement pas mieux fonctionner que sans 
routeur.

D'ailleurs sur la distribution d'information DNS IPv6 :

https://tools.ietf.org/html/rfc8106
"This document, which obsoletes RFC 6106, defines a higher default
   value of the lifetime of the DNS RA options to reduce the likelihood
   of expiry of the options"
"A value of all one bits (0x) represents infinity."

Sincèrement,

Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Questions sur les DAC et des problèmes de perf

[benoit mordac]

Hello,

Je n'ai pas de soucis avec ces mêmes DAC avec la baie Nimble connectée sur
les Arista, ou avec des serveurs DELL. J'ai plein d'autres DAC FS en prod,
et jamais eu de soucis.

J'ai pas tenté avec un DAC codé Cisco. J'ai perdu pas mal de temps avec ce
problème. En voyant le DAC accepté par le switch et par le Forti, je
pensais que c'était OK niveau compatibilité. J'ai été surpris de voir qu'en
passant en fibre tout était résolu.

En tout cas, je ne ferai plus confiance aveuglément dans les DAC.

Le jeu. 11 juin 2020 à 16:53, Pierre Jouet  a écrit :

> Hello,
>
> Aucun soucis avec les dacs fs sur forti ici, meme si de toutes facons le
> constructeur accepte à peu pres tout : cisco, intel, juniper, brocade,
> etc...
>
> @Michel, pour moi c'est le dac, la compatibilité constructeur ou les
> switchs si tu fonctionnes correctement sur nexus + fibre
>
> Tu as jamais eu ce soucis avec tes switchs et ton dac fonctionne dans
> d'autres devices? SI oui, tu as un dac programmé cisco pour re-tester?
>
> ++
>
> Le mer. 10 juin 2020 à 21:08, Michel Py <
> mic...@arneill-py.sacramento.ca.us> a écrit :
>
>> > benoit mordac a écrit :
>> > Ma question était surtout de savoir si c'était fréquent d'avoir ce
>> genre d'incompatibilité
>> > avec les DAC entre 2 constructeurs (ici Forti et Arista), alors que ce
>> même cable DAC peut
>> > fonctionner dans d'autres combinaison (Arista + Nimble, ou Forti +
>> Cisco).
>>
>> C'est un peu la loterie, AMHA. Ca vaut le coup d'essayer, mais faut pas
>> t'attendre à ce que les vendeurs t'aident. Si çà marche, tant mieux, si çà
>> ne marche pas, tu essaies autre chose :-(
>>
>> Michel.
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 forever : IP mais pas route ?

[Kirth Gersen]

la partie route de RA est par nature plus dynamique, si un routeur
s'annonce lui-même avec un temps infini et disparaît ça n'a pas trop de
sens.
alors que le serveur DHCPv6 peut disparaître ou changer cela n'impactera
pas les machines déjà configurées.

Sinon  on peut envoyer la route via l'option DHCPv6 RT_PREFIX  non ? (pas
testé).

Et RA peut être utiliser pour configurer des SLAAC avec une durée infinie
(ce n'est pas le meme timer, on peut mettre "infinity" sur le prefix
annoncé via RA).

Apres comparer IPv4 et IPv6 est toujours le truc a éviter de faire ;)
Il est mieux d'aborder IPv6 en oubliant complètement IPv4 et en ne
cherchant surtout pas a refaire comme on fait en IPv4.


Le jeu. 11 juin 2020 à 11:12, Laurent GUERBY  a écrit :

> Bonjour,
>
> Pour reproduire un setup IPv6 statique avec les protocoles dynamiques
> je suis arrivé a distribuer en DHCP6 des IPv6 (1) avec duree de vie
> "forever" en suivant la RFC8415 "The value 0x is taken to mean
> "infinity" when used as a lifetime" et j'ai bien "valid_lft forever
> preferred_lft forever" sur la machine.
>
> Mais par contre pour les routes en ICMP6/RA la duree maximum en
> secondes est 0x et je n'ai pas trouvé de moyen de distribuer en RA
> une route a durée de vie infinie.
>
> Est-ce que j'ai raté un bout de RFC qui permettrait de faire ça ?
>
> Sincèrement,
>
> Laurent GUERBY
>
> (1) detail amusant dans mes tests on peut distribuer une IPv6 link
> local statique en DHCP6 a un client, eg fe80::cafe/128 sur son eth0.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Questions sur les DAC et des problèmes de perf

[Pierre Jouet]

Hello,

Aucun soucis avec les dacs fs sur forti ici, meme si de toutes facons le
constructeur accepte à peu pres tout : cisco, intel, juniper, brocade,
etc...

@Michel, pour moi c'est le dac, la compatibilité constructeur ou les
switchs si tu fonctionnes correctement sur nexus + fibre

Tu as jamais eu ce soucis avec tes switchs et ton dac fonctionne dans
d'autres devices? SI oui, tu as un dac programmé cisco pour re-tester?

++

Le mer. 10 juin 2020 à 21:08, Michel Py 
a écrit :

> > benoit mordac a écrit :
> > Ma question était surtout de savoir si c'était fréquent d'avoir ce genre
> d'incompatibilité
> > avec les DAC entre 2 constructeurs (ici Forti et Arista), alors que ce
> même cable DAC peut
> > fonctionner dans d'autres combinaison (Arista + Nimble, ou Forti +
> Cisco).
>
> C'est un peu la loterie, AMHA. Ca vaut le coup d'essayer, mais faut pas
> t'attendre à ce que les vendeurs t'aident. Si çà marche, tant mieux, si çà
> ne marche pas, tu essaies autre chose :-(
>
> Michel.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 forever : IP mais pas route ?

[Laurent GUERBY]

On Thu, 2020-06-11 at 12:06 +, Pavel Polyakov wrote:
> On Thu, 11 Jun 2020 11:11:38 +0200
> Laurent GUERBY  wrote:
> 
> > Est-ce que j'ai raté un bout de RFC qui permettrait de faire ça ?
> 
> Non, c'est 9000 secondes max.
> 
> https://tools.ietf.org/html/rfc4861#section-6
> 
> Mais c'est quoi l'intérêt de faire ça de toute façon ?
> 
> PP

Question a poser aux redacteurs des RFC DHCP, DHCP6 et RA
qui ont une valeur "infinite" definie pour la plupart des usages :).

Mais je pense que l'objectif de ces valeurs "infini" est d'eviter
de dépendre d'une infrastructure dynamique en continu.

Dans le monde IPv4 c'est faisable pour adresse et route en DHCP dans
le monde IPv6 il manque juste la partie route sans que je vois
d'explication.

Sincèrement,

Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco ASR920 : HSRP et IPSLA

[Radu-Adrian Feurdean]

On Thu, Jun 11, 2020, at 10:59, Thierry Del-Monte wrote:
>  1) IP SLA + HSRP/VRRP 
>   
>  Il faut pouvoir basculer la VIP si le lien nominal tombe. Donc faire 
> du tracking / ip sla selon la terminologie Cisco. 

Utiliser un protocole de routage 

>  2) MODELE(S) POUR 4x10g 
>  = 
> 
>  Le besoin est élémentaire : 10G partout, un peu d'OSPF entre les ASR 
> avec moins de 50 réseaux sur chaque site. Pas besoin de BFD. 
>  Il faut donc 3-4 ports 10G au moins à cause du B2B. 
> 
>  Avez-vous une expérience sur ces ASR 920 d'entrée de gamme dans un 
> scénario simple comme celui-ci ? stabilité, fiabilité, modèles à éviter 
> ou recommander... La cli semble vraiment spécifique.

Si le vrai besoin est "10G partout" ce n'est pas avec du ASR920 que ca risque 
de se passer.
Si le vrai besoin est "3-4 x 10G" pour les connexions backbone, pour distribuer 
"en bas" sur des ports 1G, je me souviens que la configuration la plus rentable 
etait le modele 24x1G/SFP + 4x10G + METROIPACCESS (MPLS oblige) + la licence 
"all ports enabled".
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 forever : IP mais pas route ?

[Pavel Polyakov]

On Thu, 11 Jun 2020 11:11:38 +0200
Laurent GUERBY  wrote:

> Est-ce que j'ai raté un bout de RFC qui permettrait de faire ça ?

Non, c'est 9000 secondes max.

https://tools.ietf.org/html/rfc4861#section-6

Mais c'est quoi l'intérêt de faire ça de toute façon ?

PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus N9K

[Jugurta Yennek]

+1

---
Jugurta Yennek

Le 2020-06-11 10:41, Radu-Adrian Feurdean a écrit :

On Wed, Jun 10, 2020, at 10:29, Lucas Viallon wrote: 


Je cherche a savoir si cela tourne bien avec du IS-IS et si ils supportent
le EoMPLS (port mode et vlan mode)


EoMPLS et Nexus, mieux eviter, meme si la datasheet dit que c'est possible.


je vais aussi avoir un Cisco C9500 (un C9500-24Y4C) mais je crois qu'il ne
fait que du port mode, pas de mode vlan en EoMPLS


Alors les Catalyst 9K, eviter encore plus.

Juste pour rappel, du point de vue de Cisco, les Nexus (tournant sous NX-OS) c'est pour du Datacenter, les Catalyst (sous IOS-XE - descendant direct du IOS "classique") c'est du Enterprise Campus (reseau d'entreprise, connectant des postes de travail). Ce que tu veux c'est une fontionalite considere comme "operateur", et pour ca ils ont les gammes NCS et ASR9K (tournant sous IOR-XR) qui sont assez complets cote fonctionalites MPLS. 


=> prends un ASR9001 d'occasion, ca doit se trouver pour pas tres cher (mais 
certes plus cher qu'un N9K en meme etat).

En effet il faut considerer les 3 entites (DC, Enterprise et SP/Operateur) 
comme si elles etait des boites totalement differentes, avec les seuls choses 
communs entre eux - le nom et le logo.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [TECH] DNS slave veut devenir master

[Thierry Chich]

Hello

Je viens de comprendre que l'essentiel de mon problème tenait à un disable-axfr 
qui avait été décommenté.
Bref.
Merci de m'avoir empêché de partir dans une solution malpropre qui n'avait pas 
de raison d'être. 

Au passage, j'ai une question sur laquelle je n'arrive pas à avoir une réponse 
très claire. Le MNAME dans le SOA, ça a un rôle vraiment ? Parce qu'on a 
clairement pas vraiment l'impression. Un serveur peut-être master, faire des 
notify et recevoir des demandes d'update sans être le MNAME du SOA, pour ce que 
j'en vois.

Thierry 

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de Nico
> CARTRON
> Envoyé : mercredi 10 juin 2020 10:33
> À : Stephane Bortzmeyer 
> Cc : Guillaume Tournat ; Thierry Chich
> ; frnog-t...@frnog.org
> Objet : Re: [FRnOG] Re: [TECH] DNS slave veut devenir master
> 
> On 10-Jun-2020 09:50 CEST,  wrote:
> 
> > On Tue, Jun 09, 2020 at 06:21:16PM +0200,  Guillaume Tournat via frnog
> >  wrote  a message of 45 lines which said:
> >
> > > Ensuite, sur les slaves de niveau 2, tu indiques qu'ils répliquent
> > > du slave intermédiaire.
> > >
> > > Ils s'en foutent de savoir ta config réelle. Ils s'adressent à un
> > > serveur faisant autorité.
> >
> > Tout à fait. Avec BIND ou NSD, c'est certainement la bonne solution.
> > Mais je ne sais pas si ça marche avec PowerDNS, peut-être qu'un
> > serveur faisant autorité ne peut être que complètement maître ou
> > complètement esclave ?
> 
> Bonne question - je n'ai pas testé, mais je ne vois pas de raison pour 
> laquelle
> PowerDNS Authoritative ne pourrait pas être en même temps maître et
> esclave.
> 
> Je viens de tester sur ma conf à la maison, en mettant:
> 
> ```
> master
> slave
> ```
> 
> et en relançant, ça fonctionne - pas testé l'ajout d'une zone esclave, mais ça
> devrait fonctionner.
> 
> --
> Nico
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] IPv6 forever : IP mais pas route ?

[Laurent GUERBY]

Bonjour,

Pour reproduire un setup IPv6 statique avec les protocoles dynamiques 
je suis arrivé a distribuer en DHCP6 des IPv6 (1) avec duree de vie
"forever" en suivant la RFC8415 "The value 0x is taken to mean
"infinity" when used as a lifetime" et j'ai bien "valid_lft forever
preferred_lft forever" sur la machine.

Mais par contre pour les routes en ICMP6/RA la duree maximum en 
secondes est 0x et je n'ai pas trouvé de moyen de distribuer en RA 
une route a durée de vie infinie.

Est-ce que j'ai raté un bout de RFC qui permettrait de faire ça ?

Sincèrement,

Laurent GUERBY

(1) detail amusant dans mes tests on peut distribuer une IPv6 link 
local statique en DHCP6 a un client, eg fe80::cafe/128 sur son eth0.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Cisco ASR920 : HSRP et IPSLA

[Thierry Del-Monte]

Bonjour à tous,

On se pose de vraies questions sur le fonctionnement des routeurs Cisco 
ASR 920, c'est pas cher, c'est cool, mais du coup, on ne sait pas trop 
si cela peut répondre à notre besoin.


1) IP SLA + HSRP/VRRP


Est-ce que vous avez déjà mis en place des Cisco ASR 920 avec du VRRP ou 
HSRP + IP SLA pour basculer les priorités en cas de coupure d'un lien 
(ou tout autre évènement similaire) ?
Les docs ou datasheets ne semblent pas claires pour des habitués 
d'IOS/Catalyst ou NX-OS (BDI au lieu de SVI...). Il semble que cela soit 
supporté, mais nous n'avons pas trouvé de directives de configuration 
répondant à notre besoin.

Notre besoin fonctionnel est le suivant :

Site-A
Switch L3 avec routes statiques via la VIP HSRP-A
||
ASR920-A-1==(BackToBack-L3)==ASR920-A-2  <<== VIP HSRP Site-A
||                      ||
(interco-fibre1) (interco-fibre2)
||                      ||
ASR920-B-1==(BackToBack-L3)==ASR920-B-2  <<== VIP HSRP Site-B
||
Firewall avec routes statiques via la VIP HSRP-B
Site-B

Deux sites, deux intercos L3 entre chaque, portées par les ASR920, un FW 
ou un switch L3 à chaque bout qui ne fait pas d'OSPF, d'où les VIPs HSRP.
Il faut pouvoir basculer la VIP si le lien nominal tombe. Donc faire du 
tracking / ip sla selon la terminologie Cisco.



2) MODELE(S) POUR 4x10g
=

Le besoin est élémentaire : 10G partout, un peu d'OSPF entre les ASR 
avec moins de 50 réseaux sur chaque site. Pas besoin de BFD.

Il faut donc 3-4 ports 10G au moins à cause du B2B.

Avez-vous une expérience sur ces ASR 920 d'entrée de gamme dans un 
scénario simple comme celui-ci ? stabilité, fiabilité, modèles à éviter 
ou recommander... La cli semble vraiment spécifique.
Nous pourrions prendre des switchs L3, mais le prix est un élément 
important.


D'avance merci pour vos retours sur ces équipements CIsco ASR 920


A bientôt.

Thierry


smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Cisco Nexus N9K

[Radu-Adrian Feurdean]

On Wed, Jun 10, 2020, at 10:29, Lucas Viallon wrote:
> Je cherche a savoir si cela tourne bien avec du IS-IS et si ils supportent
> le EoMPLS (port mode et vlan mode)

EoMPLS et Nexus, mieux eviter, meme si la datasheet dit que c'est possible.

> je vais aussi avoir un Cisco C9500 (un C9500-24Y4C) mais je crois qu'il ne
> fait que du port mode, pas de mode vlan en EoMPLS

Alors les Catalyst 9K, eviter encore plus.

Juste pour rappel, du point de vue de Cisco, les Nexus (tournant sous NX-OS) 
c'est pour du Datacenter, les Catalyst (sous IOS-XE - descendant direct du IOS 
"classique") c'est du Enterprise Campus (reseau d'entreprise, connectant des 
postes de travail). Ce que tu veux c'est une fontionalite considere comme 
"operateur", et pour ca ils ont les gammes NCS et ASR9K (tournant sous IOR-XR) 
qui sont assez complets cote fonctionalites MPLS. 

=> prends un ASR9001 d'occasion, ca doit se trouver pour pas tres cher (mais 
certes plus cher qu'un N9K en meme etat).

En effet il faut considerer les 3 entites (DC, Enterprise et SP/Operateur) 
comme si elles etait des boites totalement differentes, avec les seuls choses 
communs entre eux - le nom et le logo.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Soubresaut sur internet 11/062020

[GUILLAUME Cyrille]

Bonjour,

Nous avons eu une rupture de bon nombre de connexions internationales (via 
cogent principalement) entre 9h47 et 9h54.
Des gens on remarqués des perturbations sur ces horaires la ?

Bien cordialement,

Cyrille GUILLAUME
Network & Security Engineer
www.vicat.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/