Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Maxime Pauwels]

Bonjour,

Il existe pleins d'outils dans ta recherche.
KeePass, numéro 1
TeamPass pour les équipes
PassBolt l'avantage d'avoir son portail de mot de passe sur un serveur on prem
Et d'autres :
LastPass
Bitwarden
Et consorts.

Maxime

⁣Télécharger BlueMail pour Android ​

Le 11 juin 2021 à 16:55, à 16:55, Gregory CAUCHIE  a 
écrit:
>
>
>> Le 11 juin 2021 à 16:02, Benoît Grangé  a
>écrit :
>>
>> Mais comment gérez-vous les comptes de 'dernier recours', les comptes
>> 'Administrator", les mots de passe 'enable' de vos nombreux
>d'équipements
>> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
>> renouvelés quand un admin s'en va, et que cela supporte une mise à
>> l'échelle raisonnable ?
>>
>> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une
>vraie
>> solution de PAM qui ne vous coûte pas un bras ?
>
>J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie
>précédente, je ne le recommanderais pas car on a eu plusieurs petites
>galères d’administration.
>
>J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible
>vault, et mis dans un git. Le retour était négatif s’il y a bon nombre
>de credentials à écrire, et/ou que plusieurs personnes doivent faire
>des modifs.
>
>Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose
>aussi de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp
>Vault.
>
>Pour la mise à jour, tu couples n’importe lequel de ces éléments avec
>un outil de configuration type playbook ansible, et le tout est joué.
>
>--
>Grégory
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Erwan David]

Le 11/06/2021 à 15:00, David Ponzone a écrit :
> J’ai une idée, on pourrait appeler ça MPLS, et y aurait une gestion fine de 
> la QoS (ce qui personnellement me fait autant marrer que les voies de bus 
> dans Paris).
>
> Mais blague à part, j’ai pas lu le doc, ça parle d’une techno pour les liens 
> (donc un nouveau protocole pour transporter IP ou même IPX ou du X25), ou 
> d’une techno au niveau de l’archi des routeurs/switchs ?
>
Mais non c'est une techno pour les fluxs (ou flots ?)

Mais bon déjà dans les premières phrases, le fait que le chemin d'un
flux ne change jamais me paraît étrange... Quoique des chemins de flux
qui ne changent pas, on pourrait appeler ça des circuits, non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Radu-Adrian Feurdean]

On Fri, Jun 11, 2021, at 15:00, David Ponzone wrote:
> J’ai une idée, on pourrait appeler ça MPLS, 

Malgré quelques similitudes (la taille de l'entete), non:
 - MPLS n'a pas été cree par l'ETSI, donc il est d'office pas bon
 - MPLS "ca marche" (r)(c)(tm). Dans la vie reele, en prod.
 - pour MPLS, le (??? la ???) QoS n'a pas ete le but ultime (recyclage du 
"pauvre" champ "EXP", qui fait "que" 3 pauvres bits)

> Mais blague à part, j’ai pas lu le doc, ça parle d’une techno pour les 
> liens (donc un nouveau protocole pour transporter IP ou même IPX ou du 
> X25), ou d’une techno au niveau de l’archi des routeurs/switchs ?

Je suis pas sur que les gens qui ont pondu ca se sont encore decides
Mais il faut vraiment le lire. Deja en etat ca fait pas mal comme "literature 
pour le wc", imagine donc si en plus tu te trouves a avoir la version papier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Vendredi] Pas-IP

[Stéphane Rivière]

La RFC 6921 en apporte des réponses pourtant !


Connaissais les RFC 1149 et 2549 mais pas la RFC 6921 !

(: noiravnI icreM ! emilbus tse tiartxe teC

In an FTL communication environment, this assumption is no longer
   true, because TCP B will receive the first SYN before TCP A
   transmitted it.  For example, the first part of a TCP 3-way handshake
   in an FTL environment will look like:

   TCP ATCP B

   1.  CLOSED   LISTEN

   2. --> SYN-RECEIVED

   3.  SYN-SENT--> 

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] Recherche des switches Huawei reconditionnés

[Michel Py via frnog]

> Brahim AGALMOUCHE a écrit :
> Merci pour ta remarque, en effet le design du SW fait que les deux options
> front-to-back / back-to-front sont possibles et configurables depuis l'OS.

On peut changer la direction du flux d'air par configuration ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Question a Mr RFC et a ceux qui auraient un avis

[Laurent Barme]

Le 11/06/2021 à 16:31, 'Stephane Bortzmeyer' a écrit :

On Fri, Jun 11, 2021 at 04:09:41PM +0200,
  x.r...@sipleo.com  wrote
  a message of 62 lines which said:


Si Stéphane Bortzmeyer ne me répond pas, j'ai peut-être posé une question
très conne ?
Ou alors le sujet est trop spécial ?

C'est simplement que je n'en ai aucune idée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Moi non plus :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche des switches Huawei reconditionnés

[Brahim AGALMOUCHE]

Bonjour Laurent,

Merci pour ta remarque, en effet le design du SW fait que les deux options
front-to-back / back-to-front sont possibles et configurables depuis l'OS.

On est sur dans la région parisienne.
Brahim.

Le ven. 11 juin 2021 à 12:40, L-C FABRE  a écrit :

> Bonjour Brahim,
>
> je suis intéressé si tu identifies un bon brooker.
> Attention au sens de ventilation des switch (port side exhaust ou intake)
>
> Et pour info, vous êtes dans quelle région ?
>
> Laurent.
>
>
> > Le 11 juin 2021 à 12:33, Brahim AGALMOUCHE 
> a écrit :
> >
> > Bonjour,
> >
> > Je cherche des switches refurbished huawei,
> >
> > - 4 x CE6810-48S4Q-LI, avec double alimentation pour chaque SW.
> > - 4 x QSFP+,40G,High Speed Direct-attach de 1 mètre. (QSFP+ to QSFP+).
> > - 4 x QSFP+,40G,High Speed Direct-attach de 5 mètres. (QSFP+ to QSFP+).
> >
> > Merci d'avance.
> > Brahim AGALMOUCHE.
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Jerome Lien]

Hello,

Bitwarden_rs est une solution on_prem qui fait le taff

Jerome

Le ven. 11 juin 2021 à 16:53, Gregory CAUCHIE  a
écrit :

>
>
> > Le 11 juin 2021 à 16:02, Benoît Grangé  a
> écrit :
> >
> > Mais comment gérez-vous les comptes de 'dernier recours', les comptes
> > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
> > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
> > renouvelés quand un admin s'en va, et que cela supporte une mise à
> > l'échelle raisonnable ?
> >
> > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
> > solution de PAM qui ne vous coûte pas un bras ?
>
> J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie
> précédente, je ne le recommanderais pas car on a eu plusieurs petites
> galères d’administration.
>
> J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible vault,
> et mis dans un git. Le retour était négatif s’il y a bon nombre de
> credentials à écrire, et/ou que plusieurs personnes doivent faire des
> modifs.
>
> Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose aussi
> de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp Vault.
>
> Pour la mise à jour, tu couples n’importe lequel de ces éléments avec un
> outil de configuration type playbook ansible, et le tout est joué.
>
> --
> Grégory
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Gregory CAUCHIE]

> Le 11 juin 2021 à 16:02, Benoît Grangé  a écrit :
> 
> Mais comment gérez-vous les comptes de 'dernier recours', les comptes
> 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
> renouvelés quand un admin s'en va, et que cela supporte une mise à
> l'échelle raisonnable ?
> 
> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
> solution de PAM qui ne vous coûte pas un bras ?

J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie 
précédente, je ne le recommanderais pas car on a eu plusieurs petites galères 
d’administration.

J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible vault, et 
mis dans un git. Le retour était négatif s’il y a bon nombre de credentials à 
écrire, et/ou que plusieurs personnes doivent faire des modifs.

Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose aussi de 
gérer des ‘secrets’), ou un Key-Value Store type Hashicorp Vault.

Pour la mise à jour, tu couples n’importe lequel de ces éléments avec un outil 
de configuration type playbook ansible, et le tout est joué.

--
Grégory

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Vendredi] Pas-IP

[Invarion via frnog]

Le 11/06/2021 à 16:24, Stéphane Rivière a écrit :


Un protocole à /délais négatifs/ ne serait-il pas plus utile ?
Un 'signal' déjà arrivé avant d'être envoyé ; la marque d'un vrai progrès ?

Beaucoup de questions.
Peu de réponses.

La RFC 6921 en apporte des réponses pourtant !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Question a Mr RFC et a ceux qui auraient un avis

['Stephane Bortzmeyer']

On Fri, Jun 11, 2021 at 04:09:41PM +0200,
 x.r...@sipleo.com  wrote 
 a message of 62 lines which said:

> Si Stéphane Bortzmeyer ne me répond pas, j'ai peut-être posé une question
> très conne ?
> Ou alors le sujet est trop spécial ?

C'est simplement que je n'en ai aucune idée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Vendredi] Pas-IP

[Stéphane Rivière]

Le 11/06/2021 à 14:09, Stephane Bortzmeyer a écrit :
> On Fri, Jun 11, 2021 at 01:02:29PM +0200,
>  Cécile MORANGE  wrote 
>  a message of 37 lines which said:
> 
>> Tiens, encore du SDN :D

Ou est la couche 8 ?
Pardon, dans son cas, ou est la couche 0 ?
Est-ce que le NIOAC (NON-IP Over Avian Carriers) est prévu ?

Un truc beau comme un camion tout neuf qui sent le gazole :

*virtual* elimination of delays in forwarding *real-world* signals

Ça manque d'ambition, non ? Pourquoi un protocole qui /élimine/ les
délais ? Un protocole à /délais négatifs/ ne serait-il pas plus utile ?
Un 'signal' déjà arrivé avant d'être envoyé ; la marque d'un vrai progrès ?

Beaucoup de questions.
Peu de réponses.

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Question a Mr RFC et a ceux qui auraient un avis

[x.roca]

Bonjour,

Alors c'est bien la première fois que je pose une question ici et que je
reste seul, ce n'est pas gentil :(
On dirait Samedi dernier quand je suis allez pécher, j'étais bien seul, les
poissons devaient avoir un confinement bien strict eux :)

Si Stéphane Bortzmeyer ne me répond pas, j'ai peut-être posé une question
très conne ?
Ou alors le sujet est trop spécial ?
Je me fais des nœuds ou cerveau pour rien ?

Bonne fin de Dredi à tous

Xavier


-Message d'origine-
De : x.r...@sipleo.com  
Envoyé : mercredi 9 juin 2021 11:44
À : frnog-t...@frnog.org; 'Stephane Bortzmeyer' 
Objet : [FRnOG] [TECH] Question a Mr RFC et a ceux qui auraient un avis

Hello,

 

IETF venant de ratifier la RFC 9000, il me vient une question.

Merci en tous cas pour le bel article écrit.

 

Est-il intéressant de faire passer sur QUIC le flux RTP par rapport à du
SRTP sur UDP qui permet, il me semble, a peu près le même chose.

On a bien vue déjà un Draft de RTP over QUIC.

On voit un seul intérêt pour l’instant, ce serait d’avoir le SIP et RTP sur
le même tuyau.

Mais il n’y aurait-il pas d’autres avantages que l’on n’aurait pas
identifiés car celui-ci est minime ?

 

Xavier

 


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Benoît Grangé]

Bonjour à tous,

j'imagine que vous avez une solution d'authentification centralisée (AAA,
RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs
pour vos équipements ou logiciels de vos infrastructures ou CPE clients.

Mais comment gérez-vous les comptes de 'dernier recours', les comptes
'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
renouvelés quand un admin s'en va, et que cela supporte une mise à
l'échelle raisonnable ?

Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
solution de PAM qui ne vous coûte pas un bras ?

Au plaisir d'échanger, bon vendredi à tous !

-- 
*Benoît Grangé*
Mobile: 06 58 58 05 59

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Nang Bat]

regarde la page 10
https://www.etsi.org/deliver/etsi_gr/NIN/001_099/003/01.01.01_60/gr_NIN003v010101p.pdf

Le ven. 11 juin 2021 à 15:06, David Ponzone  a écrit :
>
> J’ai une idée, on pourrait appeler ça MPLS, et y aurait une gestion fine de 
> la QoS (ce qui personnellement me fait autant marrer que les voies de bus 
> dans Paris).
>
> Mais blague à part, j’ai pas lu le doc, ça parle d’une techno pour les liens 
> (donc un nouveau protocole pour transporter IP ou même IPX ou du X25), ou 
> d’une techno au niveau de l’archi des routeurs/switchs ?
>
> > Le 11 juin 2021 à 14:45, Paul Rolland (ポール・ロラン)  a 
> > écrit :
> >
> > C'est explique :
> >
> > "How do we get there?
> >
> > The new technology can be carried over IP networks, and IP packets can be
> > carried over the  new technology. "
> >
> > Bref, pour faire de l'IP sans delai, tu utilises de l'IP avec delai.
> > J'avoue qu'il fallait oser, mais c'est vendredi, hein ? ;)
> >
> > Paul
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [Vendredi] Pas-IP

[Stephane Bortzmeyer]

On Fri, Jun 11, 2021 at 03:00:37PM +0200,
 David Ponzone  wrote 
 a message of 33 lines which said:

> Mais blague à part, j’ai pas lu le doc, ça parle d’une techno pour
> les liens (donc un nouveau protocole pour transporter IP ou même IPX
> ou du X25), ou d’une techno au niveau de l’archi des
> routeurs/switchs ?

Ça parle.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Paul Rolland (ポール・ロラン)]

Hello,

On Fri, 11 Jun 2021 15:00:37 +0200
David Ponzone  wrote:

> J’ai une idée, on pourrait appeler ça MPLS, et y aurait une gestion fine
> de la QoS (ce qui personnellement me fait autant marrer que les voies de
> bus dans Paris).

A un moment, je me suis dit que ATM aurait aussi pu faire la blague, dans
le genre on definit une espece de chemin virtuel dans lequel on arrete de
regarder tous les entetes IP pour se focaliser sur un truc plus simple.
Mais bon, les implementations de ATM sur IP etant assez rares, je me suis
pris a esperer que ca ne serait pas ca ;)

> Mais blague à part, j’ai pas lu le doc, ça parle d’une techno pour les
> liens (donc un nouveau protocole pour transporter IP ou même IPX ou du
> X25), ou d’une techno au niveau de l’archi des routeurs/switchs ?

J'ai pas tout lu, je me suis arrete au paragraphe que j'ai cite quand j'ai
commence a avoir l'impression que ca partait en c (cacahuetes ! Les
esprits mal places, circulez, y'a rien a voir).

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[David Ponzone]

J’ai une idée, on pourrait appeler ça MPLS, et y aurait une gestion fine de la 
QoS (ce qui personnellement me fait autant marrer que les voies de bus dans 
Paris).

Mais blague à part, j’ai pas lu le doc, ça parle d’une techno pour les liens 
(donc un nouveau protocole pour transporter IP ou même IPX ou du X25), ou d’une 
techno au niveau de l’archi des routeurs/switchs ?

> Le 11 juin 2021 à 14:45, Paul Rolland (ポール・ロラン)  a écrit 
> :
> 
> C'est explique :
> 
> "How do we get there?
> 
> The new technology can be carried over IP networks, and IP packets can be
> carried over the  new technology. "
> 
> Bref, pour faire de l'IP sans delai, tu utilises de l'IP avec delai.
> J'avoue qu'il fallait oser, mais c'est vendredi, hein ? ;)
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] ITS Integra recherche un.e Technicien.ne Datacenter !

[Thierry Del-Monte]

Bonjour à tous,

Nous recherchons (ITS INTEGRA / AS8723) à renforcer notre équipe 
datacenter basée à La Courneuve avec une nouvelle recrue.


Passionnée et motivée, la personne sera en charge de la logistique, de 
l'installation et de l'urbanisation de nos services directement au sein 
de nos datacenters en région parisienne.


Elle devra avoir une bonne maîtrise du hardware mais aussi être très 
soigneuse sur le câblage (/nous sommes extrêmement regardant sur la 
qualité du câblage !!/)
Les déploiements (systèmes d'exploitation et autres appliances réseau et 
sécurité) sur nos différents Cloud font aussi parti du quotidien.


L'équipe est sympa et l'ambiance joviale, pour avoir plus d'info, vous 
pouvez consulter l'offre d'emploi :

https://itsgroup.csod.com/ux/ats/careersite/7/home/requisition/609?c=itsgroup

N'hésitez pas à postuler directement en répondant à cet email ou à me 
poser des questions si nécessaire.


A bientôt !

Thierry




smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Nang Bat]

ça a quand même l'air très orienté téléphonie mobile ici
https://www.etsi.org/deliver/etsi_gr/NIN/001_099/002/01.01.01_60/gr_NIN002v010101p.pdf,
à la page 17 un tableau récapitule l'intérêt hypothétique du bidule,
et donc en gros on en tirerait des bénéfice que si c'est implémenté au
dessus de PDCP ou encore plus bas. En ce sens c'est pas complètement
trollesque d'éviter l'empilage de protocol pour faire du broadcast sur
des infras de téléphonie mobile avec en plus une vraie isolation
possible... Après pour la partie troll il y a beaucoup trop de truc
qui me font penser a du mode circuit...

Le ven. 11 juin 2021 à 14:46, Paul Rolland (ポール・ロラン)
 a écrit :
>
> Bonjour,
>
> On Fri, 11 Jun 2021 13:02:29 +0200
> Cécile MORANGE  wrote:
>
> > > "Elimination of delays in packet forwarding equipment" "Downloads will
> > > be faster" "Privacy is improved" "The whole system becomes much
> > > simpler and therefore cheaper to build and to operate."
> > >
> > Ca ressemble beaucoup à de la poudre verte, mais je serais curieuse de
> > savoir comment il compte implémenter ça techniquement :)
> > Sur certain point, j'ai quand même l'impression qu'il réinvente le
> > Lan2Lan ou le VPN.
>
> C'est explique :
>
> "How do we get there?
>
>  The new technology can be carried over IP networks, and IP packets can be
>  carried over the  new technology. "
>
> Bref, pour faire de l'IP sans delai, tu utilises de l'IP avec delai.
> J'avoue qu'il fallait oser, mais c'est vendredi, hein ? ;)
>
> Paul
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Fri, 11 Jun 2021 13:02:29 +0200
Cécile MORANGE  wrote:

> > "Elimination of delays in packet forwarding equipment" "Downloads will
> > be faster" "Privacy is improved" "The whole system becomes much
> > simpler and therefore cheaper to build and to operate."
> >   
> Ca ressemble beaucoup à de la poudre verte, mais je serais curieuse de 
> savoir comment il compte implémenter ça techniquement :)
> Sur certain point, j'ai quand même l'impression qu'il réinvente le 
> Lan2Lan ou le VPN.

C'est explique :

"How do we get there?

 The new technology can be carried over IP networks, and IP packets can be
 carried over the  new technology. "

Bref, pour faire de l'IP sans delai, tu utilises de l'IP avec delai.
J'avoue qu'il fallait oser, mais c'est vendredi, hein ? ;)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [Vendredi] Pas-IP

[Stephane Bortzmeyer]

On Fri, Jun 11, 2021 at 01:02:29PM +0200,
 Cécile MORANGE  wrote 
 a message of 37 lines which said:

> Tiens, encore du SDN :D

L'ETSI est très forte pour mettre tous les sigles à la mode. Il y a du
RINA aussi (ceci n'est pas une blague).

> je serais curieuse de savoir comment il compte implémenter ça
> techniquement :)

Le plus détaillé est

mais c'est quand même très high-level pour décideurs.

> Plus sérieusement, pourquoi réinventer une roue qui fonctionne très bien?

Leur cahier des charges est
.
 Notons
qu'il contient pas mal de mensonges et d'énormités. Une des plus belles :

Internet traffic can be secured from host to host without the use of
IPsec, for example by encryption at the application layer (Layer 7 of
the OSI model) with HTTP Secure (HTTPS) or at the transport layer
(Layer 4 of the OSI model) with the Transport Layer Security (TLS)
protocol.

Comme souvent avec les raseurs de table et les politiciens, ils sont
intarissables sur les défauts et limites de TCP/IP et beaucoup moins
bavards quand il faut expliquer leur solution.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] dns court (était: Un CDN Down ?)

[Stephane Bortzmeyer]

On Thu, Jun 10, 2021 at 06:56:42PM +0200,
 Jean-Francois Billaud  wrote 
 a message of 42 lines which said:

> > Malheureusement, beaucoup d'hébergeurs DNS « pour entreprise » ne
> > permettent pas de faire des transferts de zones avec la méthode
> > normalisée (AXFR), il faut passer par leur interface Web ou leur
> > API. Si on veut synchroniser le contenu de sa zone sur les
> > différents hébergeurs, il faut se faire un script appelant leurs
> > API.
> 
> Bientôt xfr-over-tls DNS Zone Transfer-over-TLS :
> https://datatracker.ietf.org/doc/draft-ietf-dprive-xfr-over-tls/
> Discussion là :
> https://mailarchive.ietf.org/arch/browse/dns-privacy/

Quelle chance y a-t-il que les opérateurs qui, pour verrouiller leurs
clients, ne mettent pas en œuvre AXFR, quelle chance qu'ils déploient
AXFR-sur-TLS ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Vendredi] Pas-IP

[Cécile MORANGE]

On 6/11/21 12:08 PM, Stephane Bortzmeyer wrote:

Un peu de détente avant le déjeuner, grâce à l'ETSI ?

https://www.etsi.org/technologies/non-ip-networking?jjj=1623405120399



Tiens, encore du SDN :D


"Elimination of delays in packet forwarding equipment" "Downloads will
be faster" "Privacy is improved" "The whole system becomes much
simpler and therefore cheaper to build and to operate."

Ca ressemble beaucoup à de la poudre verte, mais je serais curieuse de 
savoir comment il compte implémenter ça techniquement :)
Sur certain point, j'ai quand même l'impression qu'il réinvente le 
Lan2Lan ou le VPN.


Plus sérieusement, pourquoi réinventer une roue qui fonctionne très bien?




---
Liste de diffusion du FRnOG
http://www.frnog.org/




--
Cécile MORANGE
cont...@cecilemorange.fr
ataxya.net
@AtaxyaNetwork


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche des switches Huawei reconditionnés

[Brahim AGALMOUCHE]

Bonjour,

Je cherche des switches refurbished huawei,

- 4 x CE6810-48S4Q-LI, avec double alimentation pour chaque SW.
- 4 x QSFP+,40G,High Speed Direct-attach de 1 mètre. (QSFP+ to QSFP+).
- 4 x QSFP+,40G,High Speed Direct-attach de 5 mètres. (QSFP+ to QSFP+).

Merci d'avance.
Brahim AGALMOUCHE.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] [Vendredi] Pas-IP

[Stephane Bortzmeyer]

Un peu de détente avant le déjeuner, grâce à l'ETSI ?

https://www.etsi.org/technologies/non-ip-networking?jjj=1623405120399

"Elimination of delays in packet forwarding equipment" "Downloads will
be faster" "Privacy is improved" "The whole system becomes much
simpler and therefore cheaper to build and to operate."




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] choix transitaires

[David Ponzone]

> Moi j'aime pas être pris pour un jambon. Des transitaires pas cher, il y en a 
> d'autres, qui ne me prennent pas pour un jambon.
> 

Le plus fort chez Cogent, c’est la compétition sur un même client entre des 
commerciaux FR et UK.
Sachant que le prospect des 2 qui tag le client dans leur base, et l’autre est 
bloqué pour des mois/années (même si tu préfères avoir un commercial FR).
Et en plus, ils sortent pas les mêmes tarifs :)

Cogent a quand même un avantage de taille.
Une fois que tu as leur super-devis, tu fais baisser GTT/Sparkle/etc…

Merci Cogent, de niveler par le bas.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Gregory CAUCHIE]

> Le 11 juin 2021 à 07:29, Michel Py  a 
> écrit :
> 
>> Gregory CAUCHIE a écrit :
>> De ce fait, il n'y a normalement pas de trou d’annonce dans une 
>> route-map/policy qui oublierait un des préfixes d’un AS. 
> 
> Justement, c'est l'interprétation de "normalement" qui m'interpelle :P C'est 
> une norme, disons, élastique.

pardon, le « normalement » était mal utilisé. Ceux qui font des 
policy/route-map sur la base de communauté n’ont pas de problème sur un préfixe 
qui manquerait parmi plusieurs. Ils peuvent avoir un problème uniquement pour 
toutes les annonces d’un peer si la config est mauvaise. C’est du tout ou rien.
Pour ceux qui en revanche seraient toujours en policy/route-map avec des 
préfixes (j’ai du mal à y croire mais je ne sais pas aujourd’hui assurer que 
cela n’existe pas), là il pourrait y avoir un oubli.
Rien « d’élastique » du coup dans la norme, seule les différences de 
configuration parmi les multiples AS traversés par une annonce BGP peut induire 
un comportement non homogène.


>> Autre aspect qui peut faire apparaître des valeurs différentes dans les 
>> looking-glass, le lieu où sont établis
>> les peering. La sélection du meilleur chemin préfère d'abord le préfixe qui 
>> a été appris via un e-BGP directly
>> connected, et ensuite aux annonces des autres routeurs de l’AS avec une 
>> hiérarchie selon la distance IGP.
> 
> Un looking-glass qui interroge un routeur qui ne fait pas eBGP, ça n'a pas 
> beaucoup d'intérêt.
> C'est d'ailleurs une des raisons pour lesquelles j'avais abordé le sujet : si 
> le looking-glass est un routeur interne qui ne reçoit que le meilleur préfixe 
> après que localpref ait été changé par une route-map qui regarde les 
> communautés, on risque pas de voir les chemins alternatifs.

Par routeur interne tu penses aux route-reflector j’imagine. Si oui et pour le 
coup le RR a, sans fonctions BGP add-apth, une meilleure vision globale du 
réseau vu qu’il centralise toutes les informations avant de les redistribuer. 
Le PE a quant à lui la granularité des échanges e-BGP en son sein. Bref, sans 
add-path il est de toute façon impossible d’avoir la totalité des routes 
disponibles dans un seul routeur, ainsi est fait BGP. Et du coup, si tu vas sur 
le looking glass par exemple de Washington DC (RR ou pas), et que les préfixes 
recherchés sont échangés sur des peering à Dallas et New-York, interviendra 
forcément le coût IGP dans la sélection de routes.

Les communautés ou autre policy/route-map ne changent rien à la diversité de 
chemin dans le looking glass. Cette diversité va dépendre de ce que la commande 
du routeur retourne, et donc des paramètres BGP activées ou non (ECMP, 
best-external, add-path, …).

--
Grégory

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] [MISC] choix transitaires

[Clement Cavadore]

Hello,

(passage en [MISC], car mon propos sort de l'aspect technique)

Le vendredi 11 juin 2021 à 07:27 +0200, Vincent Bernat a écrit :
> Cogent est très embêtant pour ça et cela fait des années que cela ne
> bouge pas malgré des promesses. En pratique, c'est toutefois assez
> peu gênant vu que toutes les apps vont fallback en IPv4 si tu perds
> ton second transit. Par contre, si tu as des clients pros derrière,
> cela fera sans doute sonner leur monitoring.

C'est assez gênant, oui. Mais comme c'est de l'IPv6, ca semble ne pas
trop les déranger que ce soit pété, ce qui n'arriverait pas sur une
grosse durée en IPv4.

> Cogent souffre également de mauvaise réputation avec sa politique
> commerciale de harceler les gens pour prendre du transit chez eux.
> 
> En dehors de ces deux points, Cogent a un excellent rapport
> qualité/prix. Étant souvent les moins chers, il y a finalement
> beaucoup de monde sur leur réseau. Ils sont aussi disponibles dans
> beaucoup de DC, y compris des petits alors que pour d'autres, il 

Je rajouterais encore un autre point assez rhédibitoire concernant
Cogent, en complément de leur politique commerciale *très* aggressive:
Ils regardent en netflow/sflow/whatever sur les ports de transit qu'ils
mettent à disposition de leurs clients, quels sont les "consommateur
significatifs", et lorsque c'est faisable, ils se permettent d'aller
les voir pour leur proposer de prendre un transit en direct. 

Niveau éthique, c'est vraiment du zéro pointé, d'aller chasser dans le
terrain de leurs propres clients. Et c'est valable pour les downstreams
de leurs clients, comme pour ceux qui sont au sein même du réseau des
clients.

Et lorsqu'on les contacte en leur disant "non mais ca va pas la tête?",
ils se contentent de dire "pas de problème, donnez nous la liste de vos
clients à ne pas contacter, et on ne les contactera plus". Genre, c'est
"normal" de leur refiler notre liste de clients, quoi..




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] choix transitaires

[Michel Py via frnog]

> Fabien VINCENT a écrit :
> Mais globalement, pour démarrer, c'est toujours mieux d'avoir le moyen de 
> déclencher une mitigation
> sur ton uplink en amont que d'essayer de le faire rentrer chez toi et le 
> blackhole / flowspec.

Oh que oui, surtout en parlant de 1G de commit. Et c'est là ou il faut évaluer 
la protection anti-DDOS du pauvre : blacklist de /32 par communauté annoncée au 
transitaire.
C'est loin d'être à la hauteur d'un bon scrub, mais il y a des cas ou ça 
marche. Rapport qualité/prix imbattable, si c'est une IP individuelle qui est 
attaquée. Et pas besoin d'appeler le support.


> Emmanuel DECAEN a écrit :
> Je ne suis pas certain qu'il faille l'exclure. Cogent a un avantage énorme
> sur la partie transit, il a un support compétent et réactif en 24/7.

Bon transitaire == très rarement nécessaire d'appeler le support.


- Le harcèlement. Le spam, le téléphone, les dump de la base de donnée Whois, 
etc. Cogent en a tellement abusé qu'ARIN a bloqué Whois pour leur préfixes; 
c'est public.

- L'hébergement sans scrupules : tant que tu payes, pas de problème. Exemple : 
Megaupload. C'était illégal, tout le monde le savait. Kim Dotcom s'en ai foutu 
plein les fouilles et Cogent a pris son beurre au passage. Réaction typique : 
bah, rien à f.., pas mon problème. Sauf quand tu est client de Cogent : 
Megaupload ça bouffait tellement de bande passante (parce que Claude Michu et 
les hordes de eyeballs y allaient pour télécharger le contenu piraté gros 
fichier genre .iso de DVD) que certaines intercos étaient saturées. Qui c'est 
avait des problème à être joint ? Les clients business de Cogent. Il y en a 
plusieurs, sur cette liste, qui en ont fait les frais.

- Le peering IPv6. Quelle farce : HE est un des FAI qui ont lancé IPv6. Il y a 
plus de 20 ans, ils offraient un Tunnel gratuit. HE a été mon second 
transitaire IPv6, quand j'en faisais. Il y a 20 ans. Et quand on est client 
Cogent, on ne reçoit pas les préfixes IPv6 de HE.

- Le pire : ils démarchent tes clients. Tu es tier-2 avec Cogent comme 
transitaire : ils analysent ton trafic et celui de tes clients, puis ils les 
contactent en leur disant du genre "on a constaté que tu fais x de traffic avec 
$tier-2 (toi), on te fait un meilleur deal en direct, offre spéciale rien que 
pour toi." Imagines que tu sois distributeur Junisco et que Junisco contacte 
tes clients pour te les piquer en direct; ça te plairait ? J'invente pas ça non 
plus, c'est arrivé à certains qui lisent ceci.

Moi j'aime pas être pris pour un jambon. Des transitaires pas cher, il y en a 
d'autres, qui ne me prennent pas pour un jambon.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] choix transitaires

[Fabien VINCENT FrNOG via frnog]

quels sont vos retours d’expérience sur les
différents « gros » que sont lumen / gtt / telia ?


Cogent et Telia sont très compétents au niveau du support de mes 
souvenirs. Tu trouveras toujours des contre exemples, mais j'ai toujours 
eu du feedback cohérent lors de  mes questions, tant sur le support que 
le provisionning. Côté Lumen, on va dire que c'est un peu comme 
l'agrume. Avant de tomber sur la bonne personne tu auras rebooté ton 
routeur 12x. Tu auras attendu 4 mois ta livraison ;) Mais cela n'empêche 
pas que leur transit est "qualitatif", surtout pour du FR et surtout US. 
GTT je sais pas, j'ai souvenir du bon travail d'Interoute à l'époque, 
mais aujourd'hui je ne sais pas.


Comme l'a dit quelqu'un, il ne faut pas envisager que du T1. Il y a des 
très bons T2 ou parfois des opérateurs locaux qui sauront t'apporter 
autant de qualité / support et peut être seront + réactifs en cas de 
soucis (par exemple DDoS ou autre). Mais pour choisir un bon T2, il faut 
savoir qui sont tes clients pour savoir ce que tu cherches comme 
source/destination, et trouver le plus approprié. Les looking glass ou 
ripe atlas sont la pour faire un peu de recherche (souvent les T1 sont 
peu enclins à partager leurs politiques de peering/transit avec les 
autres, souvent sous NDA).



preneur…. J’hésite notamment à leur demander l’option d’un lien double
sur mes deux dc. Je me dis que le surcoût est peut être négligeable et
ça peut aider beaucoup en cas de souci…


Attention, lien double != routeur double. si en face c'est le même 
routeur, alors tu redondes que le fait du tech qui débranche le mauvais 
patch en MMR ;) souvent les maintenances vont par site, donc si ca casse 
tout casse sur le même site. Et souvent l'opérateur se cache bien de te 
le dire.



monté ma boîte y’a 10 ans si j’avais peur :D) mais est-ce que
justement certains tier1 gèrent mieux / plus de souplesse / meilleur
support force de conseils sur la partie bgp ?


une session BGP c'est une session BGP. C'est "standard". On pourrait 
ajouter RPKI et le respect des BCP38 dans la balance, mais franchement, 
on va dire que c'est la base que devrait être un T1 aujourd'hui. Voir 
mon conseil plus bas sur la partie BGP.



Pour ce qui est du ddos est-ce que certains ici traitent ça a
l’extérieur (type nawas / neustar / corero) ? J’essaye d’avoir une
bonne protection sans pour autant me faire exploser d’entrée de jeu au
niveau coûts alors que je ne fais que commencer cette activité (mais
je veux la débuter propre)… l’achat ou la prise en leasing de boîtiers
me semble pas adaptée au besoin.


De toute façon, dis toi que si ton DDoS est pas géré en amont, il faut 
le gérer chez toi. Ca suggère d'avoir beaucoup de capa entrante 
disponible. Certains DDoS aujourd'hui peuvent avoir des flows > 10Gbps 
(bon pas pour tout le monde heureusement). Mais globalement, pour 
démarrer, c'est toujours mieux d'avoir le moyen de déclencher une 
mitigation sur ton uplink en amont que d'essayer de le faire rentrer 
chez toi et le blackhole / flowspec. Quand tu auras gagné plein 
d'argent, tu pourras t'acheter une boite qui scrubbe ce trafic ou le 
divert.


Bon courage pour le démarrage de ton activité ! Il y a aussi sûrement 
plein de gens sur la liste qui ont les compétences de t'aider à démarrer 
je pense rapidement avec une assistance et éviter les écueils du transit 
/ monter une "infra BGP".



Le 11-06-2021 06:06, Romain BAFFERT a écrit :

Bonjour à tous,

(Disclaimer : bien qu’ayant pas mal d’expérience réseaux / Cablage /
infra / sécurité etc depuis une vingtaine d’années, je débute dans le
domaine telco / ISP en datacenter ;) )

Contexte : je bâtis notre offre opérateur / hébergeur et je pars sur
un principe (peut être idiot; arguments pour ou contres bienvenus) de
partir en mode « parano » ou « geek puriste » et de raccorder mon
infra sur deux dc différents avec un Tier1 différent sur chaque, en
doublant tout si possible.


Indépendamment de leurs politiques commerciales (ça semble être les
soldes en fin de trimestre, on me baisse le prix chaque semaine pour
que je commande ;) ) quels sont vos retours d’expérience sur les
différents « gros » que sont lumen / gtt / telia ? Y’a t’il de vraies
différences techniques / support / pratiques / relationnelles qui
excluent certains ? J’ai déjà exclu (a tord ou à raison ?) cogent par
les retours que j’en ai eu + le fait qu’ils n’ont pas tout internet
ipv6 et que ça sent mauvais de partie avec une rustine…

En gros ils me pondent tous des prix assez similaires et en pleine
dégringolade pour du giga de commit sur 10 giga. Si certains petits /
débutants ici ont des conseils suivant leur expérience je suis
preneur…. J’hésite notamment à leur demander l’option d’un lien double
sur mes deux dc. Je me dis que le surcoût est peut être négligeable et
ça peut aider beaucoup en cas de souci…

D’un point de vue contrat, vu que les prix dégringolent chaque année,
que négociez vous quand vous entrez chez un fournisseur ? Réévaluation

Re: [FRnOG] [TECH] choix transitaires

[Emmanuel DECAEN]

Bonjour,

Le 11/06/2021 à 06:06, Romain BAFFERT a écrit :

Indépendamment de leurs politiques commerciales (ça semble être les soldes en 
fin de trimestre, on me baisse le prix chaque semaine pour que je commande ;) ) 
quels sont vos retours d’expérience sur les différents « gros » que sont lumen 
/ gtt / telia ? Y’a t’il de vraies différences techniques / support / pratiques 
/ relationnelles qui excluent certains ? J’ai déjà exclu (a tord ou à raison ?) 
cogent par les retours que j’en ai eu + le fait qu’ils n’ont pas tout internet 
ipv6 et que ça sent mauvais de partie avec une rustine…



Je ne suis pas certain qu'il faille l'exclure.
Cogent a un avantage énorme sur la partie transit, il a un support 
compétent et réactif en 24/7.




En gros ils me pondent tous des prix assez similaires et en pleine dégringolade 
pour du giga de commit sur 10 giga. Si certains petits / débutants ici ont des 
conseils suivant leur expérience je suis preneur…. J’hésite notamment à leur 
demander l’option d’un lien double sur mes deux dc. Je me dis que le surcoût 
est peut être négligeable et ça peut aider beaucoup en cas de souci…

D’un point de vue contrat, vu que les prix dégringolent chaque année, que 
négociez vous quand vous entrez chez un fournisseur ? Réévaluation des prix sur 
la durée de l’engagement ? Croissance du débit à prix constant etc ? En gros 
j’ai l’impression que m’engager sur 3 ans sur un fournisseur même avec une 
belle remise sera au final plus douteux que de les challenger chaque année :) 
ça c’était pour la partie commerciale.



De mon côté, je suis plutôt sur de l'engagement d'un an, mais ceux qui 
travaillent avec moi, savent que je suis plutôt fidèle si les conditions 
restent correctes.
Donc au final, je suis toujours avec certains fournisseurs de transit 
depuis plus de 15 ans ;-)
Et cette fidélité, ne m'a jamais empêché de dire ce que je pense quand 
ça ne va pas techniquement ou commercialement.



Pour la partie plus technique : j’ai vu récemment le sujet avec le bordel 
qu’était bgp. En soi ça ne me fait pas peur (j’aurais jamais monté ma boîte y’a 
10 ans si j’avais peur :D) mais est-ce que justement certains tier1 gèrent 
mieux / plus de souplesse / meilleur support force de conseils sur la partie bgp


Des gens comme France-IX Lyon peuvent t'apporter pas mal sur ce sujet.
Il ne faut pas hésiter à prendre leur formation BGP et former toute ton 
équipe...



Pour ce qui est du ddos est-ce que certains ici traitent ça a l’extérieur (type 
nawas / neustar / corero) ? J’essaye d’avoir une bonne protection sans pour 
autant me faire exploser d’entrée de jeu au niveau coûts alors que je ne fais 
que commencer cette activité (mais je veux la débuter propre)… l’achat ou la 
prise en leasing de boîtiers me semble pas adaptée au besoin.



Pour le DDoS, il me parait important d'envisager les deux possibilités:
 -> ceux qui ne font que ça, avec qui tu apprends souvent beaucoup de chose
 -> ceux qui le vendent en option sur le transit à un prix globalement 
raisonnable




Et pour finir, je me pose la question de l’opportunité de compléter tout de 
suite / plus tard / pas du tout par une présence avec un IX type lyonIX (je 
suis sur lyon)…

Au plaisir d’échanger avec la communauté / échange de bons procédés :)



Pour moi, ce qu'apporte LyonIX (ou GrenoblIX dans mon cas), c'est :
 -> une communauté locale qui te permet d'échanger facilement avec tes 
confrères du coin (soirée, formation, etc.)
 -> un interlocuteur disponible avec une vision très étendue du marché 
hébergeur/opérateur et des opportunités


Bref, pour se lancer, cela n'a pas de prix ;-)


Au plaisir de prendre un bière ou un café si tu passes sur Grenoble.
--
*Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/