Haha si seulement! Je serais déjà riche rien que grâce à MITEL, Cisco et quelques autres. Merci Bill. Tout ça est la raison principale à mon sens pour laquelle les gens (utilisateurs finaux) utilisent l’informatique mais la détestent. La question philosophique pour ce vendredi double c’est: aurait-il pu en être autrement ?
David Ponzone > Le 31 août 2018 à 07:37, Michel Py <[email protected]> a > écrit : > > Tu factures Fortinet pour tes tests ? > Oublies pas mes 15%, hein. > > -----Original Message----- > From: David Ponzone [mailto:[email protected]] > Sent: Thursday, August 30, 2018 5:15 PM > To: Michel Py > Cc: Toussaint OTTAVI; [email protected] > Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la honte > > Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM > qui a comme default route le VDOM root, sans NAT, juste un peu d’application > control. > Je referai si je peux un essai depuis un PV derrière un Forti en conf plus > classique. > > David Ponzone > > > > Le 31 août 2018 à 02:09, Michel Py <[email protected]> a > écrit : > >>> David Ponzone a écrit : >>> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un >>> Forti, et il est nickel. >> >> C'est clair qu'il y en a une. Transparent mode ? >> >> Michel. >> >> >> Le 30 août 2018 à 23:14, Michel Py <[email protected]> a >> écrit : >> >>>> David Ponzone a écrit : >>>> Ok t’as un exemple pour illustrer la gravité de la chose ? >>> >>> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur >>> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops >>> (voir plus bas). >>> >>>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés... >>> >>> Ce n'est pas le cas. >>> >>>> Et encore, c’est juste le hop du Forti qui répond des *. >>> >>> Non c'est plus de la moitié des hops au milieu. >>> >>> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes >>> pas ceux que tout le monde évite). >>> - Ca vient pas de tracert.exe, WinMTR fait la même chose. >>> - Quand on fait des pings des hops individuels on a 100%. >>> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer >>> et tout sortir, pareil. >>> >>> AMHA c'est un rate-limit à la con dans le style 1 PPS. >>> >>> Pour l'histoire de fous, voir plus bas. >>> >>> With Fortigate >>> |------------------------------------------------------------------------------------------| >>> | WinMTR statistics >>> | >>> | Host - % | Sent | Recv | Best | >>> Avrg | Wrst | Last | >>> |------------------------------------------------|------|------|------|------|------|------| >>> | crc30r1.rv.am.necel.com - 0 | 54 | 54 | 0 | >>> 0 | 8 | 0 | >>> | crt-edge1.rv.am.necel.com - 0 | 54 | 54 | 0 | >>> 0 | 12 | 0 | >>> | crt-border1-v925.tsisemi.com - 0 | 54 | 54 | 0 | >>> 2 | 74 | 1 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | prs-bb4-link.telia.net - 14 | 37 | 32 | 170 | >>> 171 | 182 | 170 | >>> | prs-b5-link.telia.net - 0 | 55 | 55 | 146 | >>> 147 | 157 | 146 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | craftix.gasmi.net - 0 | 55 | 55 | 152 | >>> 153 | 154 | 153 | >>> |________________________________________________|______|______|______|______|______|______| >>> >>> >>> Without Fortigate or with another brand : >>> |------------------------------------------------------------------------------------------| >>> | WinMTR statistics >>> | >>> | Host - % | Sent | Recv | Best | >>> Avrg | Wrst | Last | >>> |------------------------------------------------|------|------|------|------|------|------| >>> | crc30-63.rv.am.necel.com - 0 | 51 | 51 | 0 | >>> 0 | 12 | 1 | >>> | crt-edge1.rv.am.necel.com - 0 | 51 | 51 | 0 | >>> 0 | 13 | 0 | >>> | crt-border1-v925.tsisemi.com - 0 | 51 | 51 | 0 | >>> 1 | 40 | 1 | >>> | 241.dsl6660136.sub-29.surewest.net - 0 | 51 | 51 | 1 | >>> 1 | 13 | 1 | >>> | 204.154.217.20 - 0 | 51 | 51 | 2 | >>> 2 | 14 | 2 | >>> | 204.154.217.245 - 0 | 51 | 51 | 2 | >>> 2 | 14 | 2 | >>> | 204.154.217.196 - 0 | 51 | 51 | 2 | >>> 4 | 41 | 2 | >>> | sjo-b21-link.telia.net - 0 | 51 | 51 | 6 | >>> 9 | 16 | 11 | >>> | nyk-bb4-link.telia.net - 0 | 51 | 51 | 75 | >>> 75 | 77 | 76 | >>> | prs-bb4-link.telia.net - 0 | 51 | 51 | 143 | >>> 143 | 158 | 143 | >>> | prs-b5-link.telia.net - 0 | 51 | 51 | 146 | >>> 146 | 158 | 146 | >>> | lostoasis-ic-310624-prs-b5.c.telia.net - 0 | 51 | 51 | 147 | >>> 147 | 158 | 147 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | No response from host - 100 | 11 | 0 | 0 | >>> 0 | 0 | 0 | >>> | sdv-plurimedia.customers-sfr-str.ielo.net - 0 | 51 | 51 | 152 | >>> 153 | 158 | 153 | >>> | craftix.gasmi.net - 0 | 51 | 51 | 152 | >>> 152 | 153 | 153 | >>> |________________________________________________|______|______|______|______|______|______| >>> >>> >>>> Oliver Varenne a écrit : >>>> A mon avis, (Michel confirmera ou infirmera), le problème n'est pas tant >>>> la gravité de la chose, mais >>>> surement le fait qu'il a du passer plusieurs heures/jours à chercher >>>> pourquoi il avait des "*" comme >>>> tu dis, pour se rendre compte qu'il a perdu beaucoup de temps sur une >>>> connerie... Et le pire dans ce >>>> genre de cas, c'est que quand la connerie est désactivable via une option, >>>> tu te dis "j'ai appris quelque >>>> chose", mais quand c'est imposé, tu te sens vraiment floué par des >>>> décisions qui semblent arbitraires. >>> >>> Je sais même pas combien d'heures/hommes on a perdu avec cette connerie >>> mais c'est en centaines. J'ai un ingé et un fournisseur qui se sont cassé >>> la tête pendant des jours à chercher un problème là ou il n'y était pas, >>> parce qu'ils ont fait trop confiance au tracert et qu'ils se sont pas >>> rendus compte que le Fortigate bouffait la ligne du hop qu'ils étaient en >>> train de troubleshooter. Quand on a enlevé le Fortigate et obtenu un >>> traceroute qui marchait çà leur a immédiatement montré ou était le problème. >>> >>>> Soyons honnêtes, dans ce genre de cas ça devrait être sous forme d'option: >>>> - limiter les paquets à 1 par seconde pour protéger blablablablabla : >>>> oui/non >>> >>> Oui, mais en plus 1 PPS en 2018 c'est débile. Ils auraient mis 10 PPS je >>> m'en serais pas aperçu, et 100 PPS çà aurait pas tué leur machin non plus. >>> >>> Plomber les outils de l'ingé qui cherche un problème, c'est grave. Me faire >>> perdre encore plus de temps pour essayer de m'expliquer que c'est pas leur >>> faute, c'est pire. Payer des vrais gros sous en plus du temps perdu pour >>> avoir le privilège de tous ces emmerdements, faut être con. J'ai été con, >>> mea culpa, je le referai plus. >>> >>> Michel. >>> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
