Bonjour,

J'avais écrit sur ce sujet il y a quelques jours mais mon message n'est
pas passé sur la liste.

Je reproduis ci-après le message.

Voici ce que nous avons déterminé à ce stade:

        * tout serveur ou réseau ou IPv4 publique (ex. routeur d'un LAN naté)
hors de Chine qui tente d'ouvrir un grand nombre de connexions OpenVPN
vers une IPv4 en Chine est ajouté à une blacklist;
        * toute connexion issues d'une IPv4 appartenant à cette blacklist se
voit bloquer l'accès à toutes les IP4 en Chine par un routeur de China
Telecom;
        * tout navigateur Web situé derrière une IPv4 blacklistée est empếché
d'accéder au Web chinois (et notamment les sites du gouvernement).

C'est assez nouveau dans ce sens puisque cela revient à censurer tous
les contenus chinois pour tous les internautes hors de Chine qui tentent
de se connecter avec un protocole réseau réputé être "interdit" vers la
Chine.

Ce comportement s'ajoute à ce qui existait déjà depuis des années pour
éliminer les contenus étrangers "ne respectant pas la loi chinoise":

        * entrées de DNS fausses;
        * ralentissement progressif puis reset aléatoire des connexions https
vers tout site hors de Chine;
        * filtrage de trames encapsulant (oui!) des contenus "ne respectant
pas la loi chinoise" émanant de sites hors de Chine;
        * violation quasi systématique du protocole TCP pour toute connexion
de la Chine vers l'étranger faisant appel à un protocole réputé être
"interdit" (ex. OpenVPN).

Désormais, on a le droit au même genre de chose dans l'autre sens. Et la
punition est encore pire: blacklisté.

Nous avons donc consulté le droit chinois et posé des questions au
ministère chinois des télécoms. Voice ce que nous avons appris:

        * toute entreprise souhaitant établir un VPN d'entreprise pour son
propre usage depuis ou vers la Chine doit faire appel aux services d'une
entreprise de télécommunication nationale chinoise (Unicom, Telecom,
Mobile);
        * toute entreprise souhaitant fournir un service de VPN d'entreprise
accessible en Chine doit être une entreprise de télécommunication
nationale chinoise (Unicom, Telecom, Mobile);
        * toute entreprise souhaitant établir un lien de télécommunication
depuis ou vers la Chine doit être une entreprise nationale (Unicom,
Telecom, Mobile) et établir ce lien dans une grand ville proche d'une
frontière ou d'une mer;
        * toute entreprise souhaitant utiliser un lien de télécommunication
depuis ou vers la Chine doit faire appel à un service fourni par une
entreprise ayant établi un tel lien conformément au paragraphe
précédent.

Nous sommes parvenus à respecter l'ensemble de ces règles pour maintenir
légalement la connectivité entre nos serveurs en France et en Chine à
moindre coût et poursuivre ainsi nos activités d'entreprise. Pour plus
d'information, me contacter en privé.

Il faut enfin savoir que dans 3 ans, un accès Internet à très bas coût
par satellite avec une antenne active de quelques centimètres et un
modem minuscule coûtant moins cher qu'un smartphone bas de gamme sera
lancé et pourra fonctionner en Chine. Tout ce qui décrit ci-dessus
n'aura alors plus aucun sens. J'ai appris cela récemment d'un des
concepteurs.

Bien cordialement,

JP Smets.
PDG Nexedi
06 29 02 44 25

---

> Bonjour,
>
> Nous constatons depuis ce matin un blocage anormal de toutes les connexions 
> IPv4 depuis nos serveurs ou laptops chez:
>
> * Free (FTTH)
> * Online
> * OVH
> * Amazon
> * Rackspace
>
> vers nos serveurs sur le cloud chinois chez:
>
> * Aliyun
> * UCloud
> * QingCloud
>
> Les connexions IPv4 depuis Orange ou depuis nos machines en Pologne vers ces 
> mêmes clouds chinois ne sont pas bloquées.
>
> Est-ce que quelqu'un a constaté aujourd'hui quelque chose d'anormal dans ce 
> genre ?
>
> Bien cordialement,
>
> JPS.

Le 2018-06-28 11:10, Pablo BADIA a écrit :

> Bonjour la liste,
>
> Le 19 juin, la latence moyenne entre Paris et Shanghai a pris plus de 100ms 
> et les valeurs max plafonnent à plus de 600ms contre 350 avant (source 
> :https://wondernetwork.com/pings/Paris/Shanghai)
>
> A la même date, le VPN IPSec de ma boite est devenu tellement instable 
> qu'inutilisable (Headquarter et applicatifs métiers hébergés en France donc 
> production à l'arrêt)
>
> Bien que travaillant sur des solutions alternatives (enregistrement ICP fait, 
> déploiement d'un POC SDWAN en juillet) pour stabiliser notre lien, je suis 
> curieux de savoir si quelqu'un a des infos à ce sujet / des retours 
> d'expériences.
>
> Pour ceux que le sujet intéresse, la Chambre de Commerce Européenne en Chine 
> a rendu un rapport très instructif sur les problématiques et enjeux 
> rencontrés par les entreprises ayant une présence en Chine : 
> http://www.europeanchamber.com.cn/en/publications-archive/568
>
> Merci à tous,
>
> Cordialement,
>
> Pablo Badia
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à