Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-25 Par sujet Maxime DERCHE 
Le 24/09/2019 à 15:08, Julien Escario a écrit :
> Le 24/09/2019 à 14:09, Michaël Couren a écrit :
>> Bonjour,
> [...]
>> Notre idée de vouloir se passer des standards du marché est-elle 
>> complètement folle ou bien le Free/Libre a-t-il un espoir dans nos 
>> communautés ?
>> (ce sont quand même nos/vos impôts)
> 
> Non non, c'est plutôt une bonne idée même. Sur un routeur, le niveau de
> complexité va être assez similaire, ce sera peut être un peu plus de
> boulot au setup en échange de plus de maîtrise de ce qu'il se passe dans
> la boite.

[...]

> Autre option : PFSense. Je ne suis personnellement pas fan en raison de
> choix plus politiques mais la techno va bien avec des interfaces d'admin
> en web plutôt sympa. Faut aimer BSD.

Je citerais alors OpnSense (), fork() historique (2015) 
de
pfSense, plus beau, mieux fait, plus réactif aux patches de FreeBSD. (J'aime 
BSD.)


Bien cordialement,
-- 
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet clement_frnog 

On 24/09/2019 20:45, Sebastien CHATEAU-DUTIER wrote:

Le 24/09/2019 à 19:17, Michel Py a écrit :
En plus de ce qui vient d'être cité, il y a BIRD aussi, réputé très 
stable. 


+1 pour BIRD, ça gère 5Gbs chez nous 'easy' sur des machines pas 
délirante (Bi xeon et 32Go de ram) avec 3 full route et un IX


+1 ici aussi pour BIRD en edge internet avec 2 transitaires et 2 IX (pas 
dépassé le Gbps jusque là mais le système se tourne les pouces, je suis 
confiant), sur un serveur entrée de gamme avec 16G de RAM, ça tourne 
sans problème depuis 2 ans. Avec la version fournie par Debian donc 
maintenance à coups d'apt update;apt upgrade, simplicité maximale.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Laurent Gydé 

Bonjour,

Le 24/09/2019 à 14:09, Michaël Couren a écrit :

2 bons CPU, plein de RAM, de bonnes interfaces cuivre et hop !
(1Gb/s puisque le routeur Renater du nœud régional ne fait que ça de 
toute façon mais on prévoira qq cages SFP pour la fibre au cas où)
Quoi qu'il en soit ne pas viser trop bas, RENATER raccorde les sites 
jusqu'à nx100Gbs (y compris potentiellement à Montpellier ;-)) ...


Laurent





smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Sebastien CHATEAU-DUTIER 

Bonjour


Le 24/09/2019 à 19:17, Michel Py a écrit :
En plus de ce qui vient d'être cité, il y a BIRD aussi, réputé très 
stable. 



+1 pour BIRD, ça gère 5Gbs chez nous 'easy' sur des machines pas 
délirante (Bi xeon et 32Go de ram) avec 3 full route et un IX



Seb


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Denis Fondras 
On Tue, Sep 24, 2019 at 05:17:51PM +, Michel Py wrote:
> > Michaël Couren a écrit :
> > Ce matos est vieillissant et peu patché et au vu des alertes du CERT...
> 
> Le matos vieillissant ne me dérange pas vraiment, dans ce cas-là. J'ai du 
> spare.
> Les alertes du CERT pour un routeur qui ne fait que du BGP ce n'est pas très 
> relevant. Si ton routeur est bien configuré, il ne parle que BGP et 
> uniquement avec les pairs que tu connais et ton système de gestion. Un 
> pare-feu, çà se met à jour en permanence; un routeur eBGP, ce n'est pas 
> nécessaire.
> 
> > Bref nous envisageons de les remplacer par de simples serveurs
> > sous OS Linux muni d'un logiciel ad hoc pour causer eBGP, 
> > définir quelques ACL et routes locales - rien de bien compliqué.
> 
> En plus de ce qui vient d'être cité, il y a BIRD aussi, réputé très stable.
> 

Je contre avec un openbgpd :p


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Michel Py 
> Michaël Couren a écrit :
> Ce matos est vieillissant et peu patché et au vu des alertes du CERT...

Le matos vieillissant ne me dérange pas vraiment, dans ce cas-là. J'ai du spare.
Les alertes du CERT pour un routeur qui ne fait que du BGP ce n'est pas très 
relevant. Si ton routeur est bien configuré, il ne parle que BGP et uniquement 
avec les pairs que tu connais et ton système de gestion. Un pare-feu, çà se met 
à jour en permanence; un routeur eBGP, ce n'est pas nécessaire.

> Bref nous envisageons de les remplacer par de simples serveurs
> sous OS Linux muni d'un logiciel ad hoc pour causer eBGP, 
> définir quelques ACL et routes locales - rien de bien compliqué.

En plus de ce qui vient d'être cité, il y a BIRD aussi, réputé très stable.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Julien Escario 
Le 24/09/2019 à 14:09, Michaël Couren a écrit :
> Bonjour,
[...]
> Notre idée de vouloir se passer des standards du marché est-elle complètement 
> folle ou bien le Free/Libre a-t-il un espoir dans nos communautés ?
> (ce sont quand même nos/vos impôts)

Non non, c'est plutôt une bonne idée même. Sur un routeur, le niveau de
complexité va être assez similaire, ce sera peut être un peu plus de
boulot au setup en échange de plus de maîtrise de ce qu'il se passe dans
la boite.

En revanche, ça ne simplifiera pas tes maintenances/upgrade. De ce point
de vue là, c'est assez similaire.

En version hyper simple :
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1
+ La conf des adresses IP et de l'iptables

Tu devrais router 300Mbps sans le moindre soucis, même avec du NAT
(prévoir un peu de RAM tout de même).

Autre option : PFSense. Je ne suis personnellement pas fan en raison de
choix plus politiques mais la techno va bien avec des interfaces d'admin
en web plutôt sympa. Faut aimer BSD.

Et la version qui demande un peu de boulot de recherche pour que ça
tombe en marche, c'est https://github.com/alexk99/the_router (déjà
évoqué par un autre co-listier). Mais tu vas avoir des tonnes de
fonctionnalités non-désirées (BGP, MPLS, BRAS L2TP, ...).

Ou encore du FRRouting 'à la mano'. Plus long mais à la fin, on a bien
compris ce que l'on faisait.

Julien



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Hervé BRY 
Le mar. 24 sept. 2019 à 14:12, Michaël Couren  a écrit :

> Mais sans les fameuses ASICS et barrettes de RAM propriétaires qu'on nous
> vante tant, dans nos cher$ boîtiers
>  je me pose des questions sur la faisabilité...


S'il s'agit de router quelques centaines de Mbps, n'importe quelle brouette
sous Linux fera l'affaire, pas besoin d'ASIC ou de RAM spécifique...
C'est lorsqu'on verse dans les gros débits et grand nombre de paquets par
seconde que les choses deviennent plus difficiles. Mais même là, avec le
bon matériel et une stack logicielle implémentant DPDK, il y a moyen
d'aller assez loin...

Hervé BRY
Administrateur Système
Geneanet (http://www.geneanet.org)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet David Ponzone 
VyOS ou carrément directement 6Wind vRouter, qui est un produit commercial à 
hautes perfs basé sur de l’OpenSource.
Ca sera toujours moins cher que du Cisco avec SmartNet.


> Le 24 sept. 2019 à 14:09, Michaël Couren  a écrit :
> 
> Bonjour,
> Nous sommes un petit établissement de l'ESR branché sur Renater. Nous avons 2 
> routeurs propriétaires d'une grande marque étasunienne - alias 3925 :)
> Ce matos est vieillissant et peu patché et au vu des alertes du CERT... Bref 
> nous envisageons de les remplacer par de simples serveurs
> sous OS Linux muni d'un logiciel ad hoc pour causer eBGP, définir quelques 
> ACL et routes locales - rien de bien compliqué.
> 2 bons CPU, plein de RAM, de bonnes interfaces cuivre et hop !
> (1Gb/s puisque le routeur Renater du nœud régional ne fait que ça de toute 
> façon mais on prévoira qq cages SFP pour la fibre au cas où)
> 
> Notre "consommation" sur ces bécanes est de maximum 30%CPU (sauf mode debug 
> mis par erreur, oups) et des débits réels en crête disons à 70Mb/s
> - débits limités à 300 Mb/s maxi par contrat avec Renater de toute façon. 
> 
> J'avais vu aux JRES de je sais plus quand que des universités dans l'Ouest 
> avaient fait ça à grande échelle
> (rocade inter universités)
> Mais sans les fameuses ASICS et barrettes de RAM propriétaires qu'on nous 
> vante tant, dans nos cher$ boîtiers 
> je me pose des questions sur la faisabilité...
> 
> Notre idée de vouloir se passer des standards du marché est-elle complètement 
> folle ou bien le Free/Libre a-t-il un espoir dans nos communautés ?
> (ce sont quand même nos/vos impôts)
> 
> Merci d'avance pour tout conseil y compris en message perso.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Routeur FLOSS Linux

2019-09-24 Par sujet Michaël Couren 
Bonjour,
Nous sommes un petit établissement de l'ESR branché sur Renater. Nous avons 2 
routeurs propriétaires d'une grande marque étasunienne - alias 3925 :)
Ce matos est vieillissant et peu patché et au vu des alertes du CERT... Bref 
nous envisageons de les remplacer par de simples serveurs
 sous OS Linux muni d'un logiciel ad hoc pour causer eBGP, définir quelques ACL 
et routes locales - rien de bien compliqué.
2 bons CPU, plein de RAM, de bonnes interfaces cuivre et hop !
 (1Gb/s puisque le routeur Renater du nœud régional ne fait que ça de toute 
façon mais on prévoira qq cages SFP pour la fibre au cas où)

Notre "consommation" sur ces bécanes est de maximum 30%CPU (sauf mode debug mis 
par erreur, oups) et des débits réels en crête disons à 70Mb/s
 - débits limités à 300 Mb/s maxi par contrat avec Renater de toute façon. 

J'avais vu aux JRES de je sais plus quand que des universités dans l'Ouest 
avaient fait ça à grande échelle
 (rocade inter universités)
Mais sans les fameuses ASICS et barrettes de RAM propriétaires qu'on nous vante 
tant, dans nos cher$ boîtiers 
 je me pose des questions sur la faisabilité...

Notre idée de vouloir se passer des standards du marché est-elle complètement 
folle ou bien le Free/Libre a-t-il un espoir dans nos communautés ?
(ce sont quand même nos/vos impôts)

Merci d'avance pour tout conseil y compris en message perso.
-- 
Cordialement / Best regards, Michaël Couren,
ABES, Montpellier, France.


---
Liste de diffusion du FRnOG
http://www.frnog.org/