from:"NoSpam"




Le 26/07/2023 à 21:09, ajh-valmer a écrit :

[...]
Seule solution, modifier "/etc/network/interfaces",
rebooter et lancer le réseau par ifup .


Sérieusement ? Rebooter après avoir modifier /etc/network/interfaces 
pour lancer ifup  ?


Méchamment je dirai que Linux n'est pas WinX mais même celui ci accepte 
sans broncher les modifs réseau sans redémarrer.

Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]




Le 26/07/2023 à 12:42, RogerT a écrit :
J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme 
(des messages…). Je n’ai pas encore trouvé la manière de le configurer 
correctement pour ça. Mon vieil Outlook me semble plus familier 

Ici c'est thunderbird, aucun problème.

Re: Comment router le trafic réseau finement




Le 26/07/2023 à 10:54, RogerT a écrit :

[...]

Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl 
enable plutôt que ifupdown.
C’est tout.
Ça m’intéresse aussi de savoir si on peut vivre sans systemctl !


Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la 
même chose. Tu utilises NM, systemctl et que sais je encore pour monter 
tes interfaces, je n'utilise que ifupdown pour le même travail et qui de 
plus est compatible avec cloud-init. Aussi, j'utilise principalement 
ipv6, je dois donc faire passer ipv4 via ipv6: encore un argument pour 
gérer via des scripts perso.


[...]

Le 26 juil. 2023 à 10:45, NoSpam  a écrit :



Le 26/07/2023 à 10:40, RogerT a écrit :
[...]

Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit 
: pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.

Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère 
les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...

[...]

Le 26 juil. 2023 à 10:22, NoSpam  a écrit :



Le 26/07/2023 à 10:17, RogerT a écrit :
[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service 
enabled ?

Qu'est ce que cela à voir dans l'histoire ?

Re: Comment router le trafic réseau finement




Le 26/07/2023 à 10:40, RogerT a écrit :

[...]

Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit 
: pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc.
Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui 
gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ...

[...]

Le 26 juil. 2023 à 10:22, NoSpam  a écrit :



Le 26/07/2023 à 10:17, RogerT a écrit :
[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service 
enabled ?

Qu'est ce que cela à voir dans l'histoire ?

Re: Comment router le trafic réseau finement




Le 26/07/2023 à 10:17, RogerT a écrit :

[...]

Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un 
service enabled ?


Qu'est ce que cela à voir dans l'histoire ?

Re: Comment router le trafic réseau finement

Pour clarifier, setconf est lancer dans mes scripts post-up, 
manuellement en est pour moi le reflet.


Le 26/07/2023 à 09:38, NoSpam a écrit :


Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit :

[...]
Si on décide à la place d'utiliser des commandes élementaires, par 
quoi remplacerait-on les commandes wg setconf et wg set ?


Je n'utilise pas ces commandes, je configure manuellement.

Comprends bien que tu ne dois pas être un clone de mes 
configurations/remarques/... à toi de découvrir ce qui te convient le 
mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer 
en cas de problème.

Re: Comment router le trafic réseau finement



Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit :

[...]
Si on décide à la place d'utiliser des commandes élementaires, par 
quoi remplacerait-on les commandes wg setconf et wg set ?


Je n'utilise pas ces commandes, je configure manuellement.

Comprends bien que tu ne dois pas être un clone de mes 
configurations/remarques/... à toi de découvrir ce qui te convient le 
mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer 
en cas de problème.

Re: Comment router le trafic réseau finement



Le 25/07/2023 à 19:46, RogerT a écrit :




Le 25 juil. 2023 à 18:55, NoSpam  a écrit :

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un script 
qui mets tout en place (MTU, DNS, routes, ...)


Je ne suis pas habitué à faire comme ça.  Peux-tu en dire davantage 
sur la manière de procéder ?

Merci.


man interfaces & remove NM

Re: Comment router le trafic réseau finement


Aucune idée, je ne suis de loin pas un spécialiste de Windows

Le 25/07/2023 à 18:26, roger.tar...@free.fr a écrit :

Encore un truc bizarre win (version avant 10) :

Pour ce client qui n'affichait aucun bouton sur le GUI, j'avais ajouté 
dans C:\Program Files\WireGuard\Data\Configurations un fichier de conf 
(validé par ailleurs) :

pc.conf

Sans mon accord, le système a produit un fichier chiffré :
pc.conf.dpapi

et a supprimé le fichier original...

Ce fichier de conf chiffré est opérationnel (ping ok, le serveur wg 
voit ce client), mais n'est plus éditable.


Surtout, je ne peux plus le supprimer !
Que ce soit en utilisateur normal avec "pwd administrateur" (le sudo 
de win)

Ou en utilisateur admin dans sa propre session !

Je ne connaissais pas ce format de chiffrement ni ce comportement 
incroyable.
Comment se débarrasser de ce machin ? (sans devoir démarrer depuis une 
autre partition, etc.)

Merci.

----
*De: *"NoSpam" 
*À: *"Liste Debian" 
*Envoyé: *Mardi 25 Juillet 2023 17:52:49
*Objet: *Re: Fwd: Comment router le trafic réseau finement


Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :

Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant
10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg
(serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un script 
qui mets tout en place (MTU, DNS, routes, ...)




3/ divers tutos recommandent pour le client wg win10, soit aucune
directive DNS, soit une directive DNS, par exemple :
    DNS = 10.8.0.1
ou
    DNS = 10.8.0.1, 9.9.9.9

Je constate que pour accéder à internet via le serveur wg, le
client iOS wg et le client win10 wg ont besoin
    DNS = 10.8.0.1, 9.9.9.9
sinon, c'est "pas d'accès à internet".
Le client wg linux (mon poste de travail) n'a pas besoin de
directire DNS.

Aucun des clients windows, MacOS ou Linux n'ont de directives DNS



4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si
le client a été inactif pendant un petit moment, il ne répond plus
au ping des autres pairs.
Tandis que sur le serveur la commande sudo wg l'affiche avec un
dernier contact assez lointain :
  latest handshake: 1 minute, 56 seconds ago

As tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est 
le réseau du client, pas le client



[...]

Vous saviez tout ça sur wg ?

J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre 
à configurer un logiciel. À la première panne tu seras dans la panade.

Re: Comment router le trafic réseau finement


NM est l'usine à gaz

Le 25/07/2023 à 18:29, roger.tar...@free.fr a écrit :

Entendu.
Je lis que NM et ifupdown font bon ménage.

Pour toi, wg-quick est une usine à gaz ?


*De: *"NoSpam" 
*À: *"Liste Debian" 
*Envoyé: *Mardi 25 Juillet 2023 18:12:50
*Objet: *Re: Comment router le trafic réseau finement

Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces 
qui lance les scripts dans /etc/network/[if-up|ifdown].d/


Bien plus souple, compatible avec les autres interfaces et facile à 
gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou 
wg-quick, les interfaces wg sont montées au démarrage en même temps 
que les autres. Aucune manipulation.


Le 25/07/2023 à 18:04, RogerT a écrit :



Le 25 juil. 2023 à 17:53, NoSpam 
<mailto:no-s...@tootai.net> a écrit :

Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :

Bonne nouvelle : les 2 clients wg win (win10/admin  et win
avant 10/non admin) fonctionnent.
Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...


Le noyau semble costaud (d’où l’intégration au noyau linux depuis
5.6).
L’UI est perturbante, comparée à d’autres applications.
La documentation est super incomplète et les tutos trouvés se
marchent dessus  Surtout sur le comportement de wg, selon les
directives des fichiers de configuration n’est pas expliqué… il
faut tout lire man wg-quick, etc.


    [...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces
wg (serveur ou client) ? (puisque pas de service)

Non. Les interfaces sous Linux sont lancées en post-up via un
script qui mets tout en place (MTU, DNS, routes, ...)


Tu veux sans doute dire en postup après le démarrage du système
(il y a PostUp dans le fichier de configuration du serveur wg).
Merci de considérer mon niveau moyen.

Quelle raison te fait ne pas utiliser un service ?

Re: Comment router le trafic réseau finement

Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces qui 
lance les scripts dans /etc/network/[if-up|ifdown].d/


Bien plus souple, compatible avec les autres interfaces et facile à 
gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou 
wg-quick, les interfaces wg sont montées au démarrage en même temps que 
les autres. Aucune manipulation.


Le 25/07/2023 à 18:04, RogerT a écrit :




Le 25 juil. 2023 à 17:53, NoSpam  a écrit :

Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :
Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant 
10/non admin) fonctionnent.

Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...


Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6).
L’UI est perturbante, comparée à d’autres applications.
La documentation est super incomplète et les tutos trouvés se marchent 
dessus  Surtout sur le comportement de wg, selon les directives des 
fichiers de configuration n’est pas expliqué… il faut tout lire man 
wg-quick, etc.




[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg 
(serveur ou client) ? (puisque pas de service)
Non. Les interfaces sous Linux sont lancées en post-up via un script 
qui mets tout en place (MTU, DNS, routes, ...)


Tu veux sans doute dire en postup après le démarrage du système (il y 
a PostUp dans le fichier de configuration du serveur wg).

Merci de considérer mon niveau moyen.

Quelle raison te fait ne pas utiliser un service ?

Re: Fwd: Comment router le trafic réseau finement



Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit :
Bonne nouvelle : les 2 clients wg win (win10/admin  et win avant 
10/non admin) fonctionnent.

Chaque pair peut joindre l'autre sur le vpn (ping).


Je pense m'être emmêlé entre plusieurs choses :

D'ou ma question si tu penses avoir compris wg ...

[...]
A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur 
ou client) ? (puisque pas de service)
Non. Les interfaces sous Linux sont lancées en post-up via un script qui 
mets tout en place (MTU, DNS, routes, ...)



3/ divers tutos recommandent pour le client wg win10, soit aucune 
directive DNS, soit une directive DNS, par exemple :

    DNS = 10.8.0.1
ou
    DNS = 10.8.0.1, 9.9.9.9

Je constate que pour accéder à internet via le serveur wg, le client 
iOS wg et le client win10 wg ont besoin

    DNS = 10.8.0.1, 9.9.9.9
sinon, c'est "pas d'accès à internet".
Le client wg linux (mon poste de travail) n'a pas besoin de directire DNS.

Aucun des clients windows, MacOS ou Linux n'ont de directives DNS



4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si le 
client a été inactif pendant un petit moment, il ne répond plus au 
ping des autres pairs.
Tandis que sur le serveur la commande sudo wg l'affiche avec un 
dernier contact assez lointain :

  latest handshake: 1 minute, 56 seconds ago
As tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est le 
réseau du client, pas le client


[...]

Vous saviez tout ça sur wg ?
J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre à 
configurer un logiciel. À la première panne tu seras dans la panade.

Re: Comment router le trafic réseau finement

Je répète: rien, je ne touche pas au fw Windows. Wireguard n'est pas 
dans la liste des applications autorisées. Uniquement "Les connexions 
sortantes qui ne correspondent pas à une règle sont autorisées dans les 
3 profils. J'utilise Windows defender


Le 25/07/2023 à 13:53, RogerT a écrit :




Le 25 juil. 2023 à 11:40, NoSpam  a écrit :

Bonjour. Je fais simple comme dit dans mes messages précédents et 
cela fonctionne. De ce que je lis de ce message, tu as activé 
wireguard en tant que service ce que je ne fais jamais.



Oui, en tant que service. Comme montré dans les différents tutos trouvés.
Pourquoi pas ?


Si le tunnel est activé tu as un soucis avec les IP autorisées dans 
le tunnel. Es tu sûr de prendre du temps pour comprendre le 
fonctionnement de wg ?



Oui. J’ai tout lu la doc de wg et effectué divers tutos.
Clients linux ou iOS : impeccable.

Clients Win : je patauge manifestement dans les réglages du fw win.

Aussi, avant de jouer avec un utilisateur lambda je validerai en tant 
qu'administrateur de la machine. Ah oui, teste ta config windows sur 
une machine linux ou inversement si la config linux est 
opérationnelle: la conf de l'un doit fonctionner pour l'autre sans 
modification aucune.



Sur la machine win10, je suis utilisateuradmin.
J’avais quand même fait et pu faire les deux réglages (commandes ou 
via GUI) recommandés hier.


J’ai tenté de faire sur le fw (attention : je suis très moyen en fw 
win !) :

Autoriser l’application Wireguard.exe
Pas suffisant.
J’ai alors ajouté une règle pour autoriser le trafic vers le port 
51820 udp (pas sûr que ça suffise puisque wg crée des connexions en 
retour sur d’autres ports sur lesquels le client écoute…).


Peux-tu me dire exactement comment tu configures le poste win10 
(utilisateur admin) pour que le client wg fonctionne ?

Merci.


Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit :

Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de 
configuration réseau" avec le GUI (appelé par lusrmgr.msc)


Puis, j'ai pu appliquer cette recette en CLI :

Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice 
"C:\Program 
Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"


Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice 
"NAME_OF_CONNECTION"


Rq : le fichier NAME_OF_CONNECTION.conf a été transformé 
automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans 
C:\Program Files\WireGuard\Data\Configurations\ !


Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...

Rq : il m'a été proposé par win d'ajouter la connexion à un réseau 
domestique ou de bureau. Ce que j'ai accepté.

Pas plus de ping possible vers le serveur.

Au final, j'ai pu arriver au même comportement qu'avec le client wg 
w10 :
il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne 
le voit pas.


Avec un problème accessoire en prim, puisque je suis connecté en RDP 
à ce win et que la tentative de connexion en wg coupe la connexion 
RDP, ce qui m'oblige à aller déterrer le PC concerné.


Je suis très curieux de savoir comment tu (NoSpam) arrives à faire 
tourner des clients wg sous Win.

Bonne nuit.

Ref :
https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ 


https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
  (-> 
https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata 
)







*De: *"roger tarani" 
*À: *"Liste Debian" 
*Envoyé: *Lundi 24 Juillet 2023 23:27:56
*Objet: *Fwd: Comment router le trafic réseau finement

Re: Comment router le trafic réseau finement




Le 25/07/2023 à 12:16, RogerT a écrit :

[..]
Pour installer un service de nom, il est recommandé (dans divers tutos) de 
monter deux serveurs distincts (un master et un slave).
Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de 
matériel chez moi.
Ok ?
2 serveurs de nom chez 2 hébergeurs différents (à minima un hébergeur 2 
datacenters différents)


Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ?
(Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, 
car un service de nom ne me semble pas solliciter beaucoup de ressources)


Ne pas oublier les services qui vont avec comme DNSSEC, SPF, les 
certificats, et autres joyeusetés


[...]

Re: Fwd: Comment router le trafic réseau finement

Bonjour. Je fais simple comme dit dans mes messages précédents et cela 
fonctionne. De ce que je lis de ce message, tu as activé wireguard en 
tant que service ce que je ne fais jamais.


Si le tunnel est activé tu as un soucis avec les IP autorisées dans le 
tunnel. Es tu sûr de prendre du temps pour comprendre le fonctionnement 
de wg ?


Aussi, avant de jouer avec un utilisateur lambda je validerai en tant 
qu'administrateur de la machine. Ah oui, teste ta config windows sur une 
machine linux ou inversement si la config linux est opérationnelle: la 
conf de l'un doit fonctionner pour l'autre sans modification aucune.


Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit :

Sur win (version avant 10) :
Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de 
configuration réseau" avec le GUI (appelé par lusrmgr.msc)


Puis, j'ai pu appliquer cette recette en CLI :

Enable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice 
"C:\Program 
Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi"


Disable WireGuard
"C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice 
"NAME_OF_CONNECTION"


Rq : le fichier NAME_OF_CONNECTION.conf a été transformé 
automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi
Il vaut donc mieux le gérer ailleurs avant de le glisser dans 
C:\Program Files\WireGuard\Data\Configurations\ !


Effet : ça a réveillé le GUI et fait apparaître les boutons !
Sauf le bouton Edit puisque le fichier de conf est chiffré...

Rq : il m'a été proposé par win d'ajouter la connexion à un réseau 
domestique ou de bureau. Ce que j'ai accepté.

Pas plus de ping possible vers le serveur.

Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 :
il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le 
voit pas.


Avec un problème accessoire en prim, puisque je suis connecté en RDP à 
ce win et que la tentative de connexion en wg coupe la connexion RDP, 
ce qui m'oblige à aller déterrer le PC concerné.


Je suis très curieux de savoir comment tu (NoSpam) arrives à faire 
tourner des clients wg sous Win.

Bonne nuit.

Ref :
https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ 


https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md
  (-> 
https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata 
)







*De: *"roger tarani" 
*À: *"Liste Debian" 
*Envoyé: *Lundi 24 Juillet 2023 23:27:56
*Objet: *Fwd: Comment router le trafic réseau finement

Re: Comment router le trafic réseau finement

2023-07-24 Par sujet NoSpam




Le 24/07/2023 à 20:08, Michel Verdier a écrit :

[...]
Et je crois que mixer iptables et nftables crée des effets de bords
problématiques.

C'est un euphémisme !

Re: Comment router le trafic réseau finement

2023-07-24 Par sujet NoSpam



Le 24/07/2023 à 18:56, roger.tar...@free.fr a écrit :

[...]
C'est bien compliqué d'installer wg sur win !
Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est 
fort je trouve, bienvenue dans le monde de WinXX

[...]
Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute 
démarrer avec nft sans même connaître iptables et ufw.
ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et 
semble compatible avec nftables
(même si la syntaxe est différente, c'est vrai que connaitre la 
syntaxe iptables permet de savoir les notions manipulées).
nftables n'a rien de commun avec iptables. Comme dit par Michel, 
commencer par le wiki.

Re: Comment router le trafic réseau finement

2023-07-24 Par sujet NoSpam


Bonjour


Le 24/07/2023 à 14:51, roger.tar...@free.fr a écrit :
[...]Win : le client wg pose encore un problème car l'utilisateur 
n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible)


Ceci est un problème Windows: entrer dans powershell en mode 
administrateur et executer les 2 commandes suivantes:


    New-ItemProperty "hklm:\software\wireguard" -Name 
"LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force
    Add-LocalGroupMember -Group "Network Configuration Operators" 
-Member "$username"


    La 1ere commande permet de dire a Wireguard d'être moins 
strict, la seconde ajoute l'utilisateur $username au groupe Opérateur 
Réseau.
    Cette dernière manipulation peut également se faire dans les 
paramètres Gestion de l'ordinateur => Utilisateurs & Groupes



[...]

Puisque nftables est devenu la référence pour debian 12, est-ce que 
l'on peut tout faire de zéro en nftables ?


Debian ou d'autres distributions publierait des logiciels dont on ne 
pourrait pas configurer à partir de zéro ? Drôle de question ...



Pour t'aider avec nftables, va sur framagit et cherche sfw

Re: matrix sous debian

2023-07-22 Par sujet NoSpam


https://app.element.io

Le 22/07/2023 à 12:54, hamster a écrit :

Hello.

J'essaye de me mettre a matrix. J'ai donc cherché des clients pour ca, 
mais j'ai des soucis pour arriver a une solution fonctionnelle.


Avec quaternion, j'arrive a utiliser matrix mais pas la fonction 
chiffrement, et les gens avec qui je cherche a tchatter chiffrent tout.


Avec nheko, ca plante dès que je met mon mot de passe.

Avec spectral, j'arrive meme pas a l'étape ou il faut taper son mot de 
passe.


Avec thunderbird, j'arrive a tchatter, y compris de facon chiffrée, 
par contre je vois pas les images qui sont insérées dans le flux de 
tchat.


On m'a conseillé element, mais il est pas dans les dépots officiels et 
je rechigne a installer un dépot tiers.


Donc au final, si y'a ici des gens qui utilisent matrix, comment vous 
faites ?


Merci d'avance.

Re: nouvelle batterie qui charge pas

2023-07-22 Par sujet NoSpam

Bonjour. Si la batterie n'est pas d'origine Dell elle peut ne pas être 
compatible.


Le 22/07/2023 à 12:49, hamster a écrit :

Salut.

J'ai installé debian sur un dell inspiron 5570. La batterie n'ayant 
plus qu'une heure d'autonomie, j'en ai acheté une nouvelle. Le souci 
c'est qu'elle ne charge pas.


Avec l'ancienne batterie : tout se passe normalement, il accepte de 
démarrer et de fonctionner sur batterie, il accepte de la charger, 
elle est détectée et gérée par le système. Par contre elle n'a qu'une 
heure d'autonomie.


Avec la nouvelle batterie : il n'accepte pas de démarrer dessus, il 
n'accepte pas de fonctionner dessus, elle est détectée par le système, 
qui affiche "18 % en charge" mais on peut laisser des heures le taux 
de charge n'augmente pas.


J'ai pas trouvé mon bonheur sur le web, est-ce que quelqu'un a des 
idées de trucs a faire pour le convaincre de charger cette batterie ?


Merci d'avance.

Re: Connexion ethernet qui saute sans raison

2023-07-21 Par sujet NoSpam


Bonsoir. Voir dans les logs

Le 21/07/2023 à 20:42, steve a écrit :

Salut la liste,

Comme dit dans le sujet, ça arrive sans crier gare, sans avoir fait de
mise à jour, sans raison (apparente).

Ce matin, connecté comme d'habitude et vers 11h, plus de connexion.

J'ai deux cartes ethernet sur la machine, mais j'en utilise qu'une
seule. J'ai donc essayé d'inverser le câble rj45, le client dhcp cherche
une ip, en trouve une, puis 4 secondes plus tard, se déconnecte.

J'ai redémarré le retour plusieurs fois, supprimé le bail dhcp actif,
redémarré la machine, etc, toujours le même truc, ça se connecte puis ça
se déconnecte 3-4 secondes plus tard.

Dépité, je me suis dit que c'était peut-être la dernière mise à jour qui
a amené un bug sournois mais comme je n'avais plus de réseau via
ethernet, je suis allé fouiller dans les cartons pour retrouver
l'antenne wifi, puis réactivé le contrôleur wifi dans le Bios,
redémarré, mais il n'y avait pas d'interface wifi, bien que le pilote
wifi (ath10_pci, lspci -k l'a montré) ait bien été chargé. Après un
moment à avoir cherché à monter cette interface, j'ai rebranché le câble
ethernet, et Ô miracle, la connexion s'est faite et tenait !
(Entre-temps j'ai redémmaré sur un noyau plus ancien, le 6.1.0-9, en
espérant que ça améliore les choses, mais même comportement).

J'ai déjà eu ce genre de choses par le passé, peut-être une fois tous
les trois mois, et c'est toujours revenu après un moment. J'ai pensé que
c'était un problème lié au serveur dhcp de mon routeur, mais en
attribuant une IP manuellement, ça ne changeait rien.


Maintenant ça marche, mais j'aimerais bien comprendre.

Si quelqu'un a une piste…

Merci et très belle soirée !

s.

Re: Gimp 2.10 en français impossible

2023-07-20 Par sujet NoSpam

Mon Gimp 2.10 est en FR sans avoir à rajouter (language "fr") Essayez en 
supprimant cette ligne et voyez si  dans votre /etc/gimp/2.0 il n'y 
aurai pas une instruction forçant EN


Dans ~/.config/GIMP en majuscules au cas ou ...

Le 20/07/2023 à 21:24, ajh-valmer a écrit :

On Thursday 20 July 2023 20:31:07 steve wrote:

Sauf erreur, les fichiers de configurations de Gimp sous bookworm se
trouvent dans ~/.config/GIMP/2.10/. Dans ce répertoire, il y a un
fichier gimprc où tu devrais pouvoir ajouter une ligne
(language fr)
et ça devrait marcher.
Par contre, c'est une bidouille parce que gimp est censé détecter la
langue de ton système automatiquement. Peut-être que les deux
répertoires ~/.gimp-2.6 et ~/.gimp-2.8 interfèrent et leur suppression
pourrait aider. Essaie déjà de les déplacer et vois si ça change quelque
chose.

Merci.

J'ai supprimé /.gimp-2.6 et ~/.gimp-2.8,
d'après les docs, il faut écrire : (language "fr"),
hélas, ça marche pas.
Est-ce qu'une version Gimp en français existe pour Linux ?
(j'ai vraiment cherché avec moteur de recherche).
Bonne soirée.

Re: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?

2023-07-17 Par sujet NoSpam



Le 17/07/2023 à 19:49, roger.tar...@free.fr a écrit :

[...]
La dernière fois, j'avais galéré avec la documentation debian antique (que je 
prenais pour récente...) et avec les tutos non datés.
En fait, NM était installé (debian 9 ou 10) et toutes les invitations des tutos et docs à 
configurer "facilement" la machine avec les resolv.conf, resolvconf, et autres 
/etc/network/interfaces ne servaient à rien. Puisque c'était géré par NM !


Faux. NM ne gère PAS les interfaces filaires définies dans 
/etc/network/interfaces. Aussi la résolution des noms est gérée par 
systemd-resolved ou resolvconf qui sont indépendants de NM Enfin NM est 
utilisé majoritairement pour les stations de travail, pour les serveurs 
on s'en passe (perso je le retire et lui préfère ifupdown). De nos jours 
le réseau se gère par systemd-networkd ou cloud-init ou netplan (Ubuntu) 
ou ...


https://wiki.debian.org/fr/NetworkManager

Extrait: "...Bien qu'il ait été initialement destiné aux ordinateurs de 
bureau, il a plus récemment été choisi comme logiciel de gestion de 
réseau par défaut dans certaines distributions Linux orientées serveur 
hors Debian. 
"

Re: Existe t-il quelque chose de plus "léger" que X2Go et compatible arm

2023-07-17 Par sujet NoSpam


https://www.youtube.com/watch?v=TIDrqM2ZyDA

Le 17/07/2023 à 13:07, Olivier Back my spare a écrit :
J'ai eu peur de me faire jeter parce que ma demande ne concerne pas 
exclusivement du X86 ou x86_64 ou du amd64.
En fait le pupitre est mon ordi sous linux et je souhaite accèder 
aussi en X sur mes raspberry pi4 et un sbc avec chipset arm Rockchip 
RK3588.



Le 17/07/2023 à 12:38, RogerT a écrit :

Bonjour,

Demandons à NoSpam si MeshCentral/MeshAgent (discuté par ailleurs 
dans « Accès distant graphique performant, sécurisé, 
écran-clavier-souris ») convient pour arm.


C’est aussi pour MacOS qui tourne en arm, donc peut-être…
https://www.meshcommander.com/meshcentral2/installation 
<https://www.meshcommander.com/meshcentral2/installation>



Le 17 juil. 2023 à 12:16, Olivier Back my spare 
 a écrit :


Bonjour

Existe t-il quelque chose de plus léger que x2go et qui soit aussi 
porté sur arm64 (Raspberry pi entre autre)?

Je cherche mais je ne trouve pas. La suite des vnc viewer, nomachine...

--
"It is possible to commit no errors and still lose. That is not a 
weakness. That is life."

– Captain Jean-Luc Picard to Data

Re: Problème Email sous ROUNDCUBE-

Est ce que vous lisez les commentaires dans les fichiers de conf ou 
consultez l'aide en ligne ? Vous avez modifié, c'est bien, mais savez 
vous auprès de quel serveur et port roundcube s'identifie pour envoyer 
les courriels?


Sans compter que les logs doivent également vous remonter des 
informations ...


Le 16/07/2023 à 17:28, Zuthos a écrit :

NoSpam a écrit :

As tu bien configurer roundcube pour s'identifier avec le relayhost?
(/etc/roundcube/main.inc.php|default.inc.php|config.inc.php)


je viens de faire quelque modification:
/etc/roundcube/config.inc.php
J'ai modifié les deux lignes suivantes:
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';

Comme suit:
$config['smtp_user'] = '';
$config['smtp_pass'] = '';

Cela permet à Roundcube d'envoyer les messages en déléguant
l'authentification à exim4.

Malheureusement, il semble que seul un utilisateur puisse envoyer ces
derniers.

Une autre piste?

Re: Problème Email sous ROUNDCUBE-

As tu bien configurer roundcube pour s'identifier avec le relayhost? 
(/etc/roundcube/main.inc.php|default.inc.php|config.inc.php)


Le 16/07/2023 à 16:08, Zuthos a écrit :

Bonjour,

Voici l'erreur qui apparrait avec Roundcube:

Erreur SMTP () : échec d’authentification.

Je ne sais pas trop quoi en faire.

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

Après Solarwinds il y en a eu pléthore, 3CX par ex. Rappel: teamviewer a
aussi déjà eu ses problèmes. La solution: retire ton câble réseau qui va
à la box ;)

Tu as parlé de VNC ou RDP, c'est bien plus dangereux d'ouvrir ces ports
que d'utiliser une solution tel Meshagent. De plus, tu peux sécuriser en
limitant l'accès sur IP dans les FW, par utilisateur. Et comme déjà
écrit, l'agent sur le client n'est pas forcé de tourner tout le temps.

Pour terminer, monter un VPN et faire passer l'agent par celui ci est
une autre solution, ou même utiliser ce VPN pour démarrer l'agent du
client. Il y a des solutions de sécurisation, à toi de voir si tu veux
les mettre en place ou non.

Le 15/07/2023 à 21:08, roger.tar...@free.fr a écrit :

*De: *"NoSpam"
*À: *"Liste Debian"
*Envoyé: *Samedi 15 Juillet 2023 16:23:53
*Objet: *Re: Accès distant graphique performant et sécurisé /avec
écran-clavier-souris

Le 15/07/2023 à 15:18, RogerT a écrit :

Alors, pourquoi ne pas regarder aussi vers Teleport, que j’ai
aperçu récemment ?
https://goteleport.com/

Pourquoi chercher ailleurs alors que l'on a tout ce qui convient ? ;)
Il existe plein de solutions, j'ai trouvé la mienne après avoir
utiliser Teamviewer/Anydesk/Logmein et tant d'autres

Je decouvre l'existence de MeshCentral à peu près en même temps que
celle de Teleport.

Ça semble équivalent.
Ton expérience de MeshCentral est encourageante. Puisque ça a l'air de
rendre le service attendu sans souci.

Pour Teleport, je n'ai aucun retour d'expérience...

Dans les deux cas, il reste encore à vérifier la sécurité apportée
par ces engins qui ouvrent toutes les portes de l’infrastructure…

Aucune porte n'est ouverte puisqu'il s'agit d'un client serveur tout
comme les logiciels précités ci dessus.

Je ne suis pas assez calé en sécurité.
Mais "à partir du moment où j'installe un agent sur mon ordi, ce n'est
plus vraiment mon ordi".
En plus, l'outil de centralisation donne accès à tous les serveurs qui
ont un agent installé : ça fait réfléchir s'agissant d'un serveur
sensible.
Ça me fait penser à l'attaque de Solarwinds Orion, un outil de suivi
d'infra qui a permis l'attaque que vous savez vers 2020.

https://www.solarwinds.com/orion-platform
https://www.zdnet.fr/actualites/microsoft-et-fireeye-confirment-la-cyberattaque-de-solarwinds-39914821.htm

Comment peut-on savoir ce que fait exactement l'agent
MeshCentral/MeshAgent installé, ou tout agent qu'on installe comme
avec Teamviewer, etc. ?
Ça me fait penser à SELinux (qui fonctionne bien pour ceux qui le
maîtrise parfaitement... je n'en ai aucune pratique), qui pourrait
peut-être mettre des "verrous unitaires" dans le système. Est-ce qu'un
"monstre" comme SELinux apporterait quelque chose pour sécuriser un
système "percé" par l'implantation d'un agent ?

Re: Problème Email sous ROUNDCUBE-

Bonjour. Vérifier que l'opérateur autorise un autre serveur SMTP que le 
sien. Chez FREE, dans l'espace abonné, blocage du SMTP sortant=oui par 
défaut


Le 16/07/2023 à 13:06, Zuthos a écrit :

RogerT a écrit :

exim peut être un serveur smtp ou bien utiliser le serveur smtp de ton choix 
(cf. menu de configuration d’exim)

Ok, j'ai configuré exim pour iutiliser un autre smtp


As-tu essayé de vérifier que le service smtp utilisé est opérationnel ?
Soit en utilisant un client de messagerie de ton choix (thunderbird ou autre), 
ce qui est le plus simple.
Soit en CLI.

J'utilise neomutt, mais je ne suis pas sur qu'il passe par exim4 pour
les envois de courriels.

un essai avec:
$ mail zut...@laposte.net

me renvoie:
Diagnostic-Code: smtp; 553-5.7.1 : Emetteur 
invalide. LPN105_421



A ma connaissance, depuis toujours !
Sinon tout service smtp serait ouvert à tous.

Ha? ok.


   Le nom d'utilisateur
   Le mot de passe

J'ai  plusieurs utilisateurs. Faut-il faire une authentification par
utilisateurs? par fournisseurs d'email?

Tu dois choisir : un utilisateur et son compte de messagerie chez tel 
fournisseur. Et utiliser les infos de connexion données par ce fournisseur.
ex :
smtp smtp.free.fr
id jp.durand
pwd *
port 587

Ok, c'est ce que j'essaye de faire. Mais, je ne comprends pas toujours
ce que je fais. Je ne sais pas ou metre ces informations dans exim4

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

2023-07-15 Par sujet NoSpam



Le 15/07/2023 à 15:18, RogerT a écrit :


MeshCentral
Développé par Ylian Saint-Hilaire, ingénieur chez Intel, MeshCentral 
permet la prise de contrôle de machines/serveurs via un agent 
Windows/Linux/MacOS à installer, en exécution seule (type Teamviewer 
QuickSupport) ou via la technologie Intel AMT (Active Management 
Technology). MeshCentral vous fournit, en plus de l’agent, le serveur 
associé qui centralise toutes les connexions des agents.


https://homepages.lcc-toulouse.fr/colombet/meshcentral-solution-libre-pour-remplacer-teamviewer/

Ça va bien au-delà d’un simple partage d’écran.
Utilises-tu la centralisation offerte par MeshCentral ?

Oui, sur une Debian11


Alors, pourquoi ne pas regarder aussi vers Teleport, que j’ai aperçu 
récemment ?

https://goteleport.com/
Pourquoi chercher ailleurs alors que l'on a tout ce qui convient ? ;) Il 
existe plein de solutions, j'ai trouvé la mienne après avoir utiliser 
Teamviewer/Anydesk/Logmein et tant d'autres


Dans les deux cas, il reste encore à vérifier la sécurité apportée par 
ces engins qui ouvrent toutes les portes de l’infrastructure…
Aucune porte n'est ouverte puisqu'il s'agit d'un client serveur tout 
comme les logiciels précités ci dessus.






Le 15 juil. 2023 à 14:20, NoSpam  a écrit :

Tant que l'agent tourne sur le client l'accès est ouvert. Si l'e 
client ne veut pas que le service tourne, il le lance à la main sur 
demande.


Des utilisateurs/groupes d 'utilisateurs peuvent être créés pour la 
gestion des accès.



Le 15/07/2023 à 14:07, RogerT a écrit :

Très bien.
Quelle garantie de sécurité/confidentialité y a-t-il avec MeshAgent 
(ou MeshCentral) ?


https://framalibre.org/content/meshcentral

De ton expérience, est-ce un partage d’écran ou aussi l’ouverture de 
sessions graphiques indépendantes (hôte linux) ?


Les deux, tout comme chat et autre joyeusetés.

https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QFnoECCEQAQ=https%3A%2F%2Fgithub.com%2FYlianst%2FMeshCentral=AOvVaw3rpgnKF8I_jnse61A52d94=89978449

https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QtwJ6BAg0EAI=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DpGBIjBGqlfI=AOvVaw247r9520YSVhaEk7Xt5XjQ=89978449

https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwiu5bSc2ZCAAxXcdqQEHWU5Dng4ChAWegQIDRAB=https%3A%2F%2Fhomepages.lcc-toulouse.fr%2Fcolombet%2Fmeshcentral-solution-libre-pour-remplacer-teamviewer%2F=AOvVaw1mT9VaJoEW2i9n6K4nafPY=89978449




Le 15 juil. 2023 à 13:55, NoSpam  a écrit :

J'insiste, mais MeshAgent permet de se désengager de toute 
installation/configuration/gestion de FW du client. Comme Anydesk 
ou Teamviewer, une appli à télécharger par le client, peu importe 
l'OS, et vous avez accès à sa machine soit en Gui soit en console 
(ou les deux). On peux également se connecter en RDP à un client si 
l'accès est autorisé sur celui ci.


Le 15/07/2023 à 13:12, RogerT a écrit :

Merci.

Rustdesk, « sans configuration », avec un serveur relais auto 
hébergé pour éviter la surveillance dénoncée (à vérifier : est-ce 
que ça suffit ?) : ça semble donc une bonne alternative.


Pour ma part, j’ai un bon retour d’expérience avec le client 
Remmina multi protocoles.
Il reste à déterminer les meilleurs serveur et protocole à 
installer sur la machine à laquelle accéder, en tenant compte du 
DE à installer (pas simple avec les DE linux qui posent 
visiblement diverses contraintes - se connecter en RDP à une 
machine win ne pose jamais de problème, sauf l’unicité de la 
session graphique, à ma connaissance, qui amène à utiliser 
Teamviewer pour partager l’écran).




Le 15 juil. 2023 à 12:58, didier gaumet  
a écrit :


Le 14/07/2023 à 12:44, RogerT a écrit :
[...]

Il y a 6 alternatives à TeamViewer :
https://framalibre.org/alternatives?tid=TeamViewer 
<https://framalibre.org/alternatives?tid=TeamViewer>

[...]

J'ai regardé un peu tout ça.

Perso, vu mon niveau et mon besoin potentiel de pouvoir assister 
des possesseurs de PC Windows que je n'administre pas, je 
privilégie un truc simple sans configuration: ici Hoptodesk ou 
Rustdesk


Hoptodesk:
- j'ai essayé une Appimage officielle, elle s'est vautrée. En 
lançant dans un terminal je vois qu'il manque une bibliothèque 
(pour une Appimage, hein, c'est pas censé arriver...), je 
l'installe à la main, pour voir: ça ne couine plus sur le manque 
d'un bibliothèque, ça se vautre avec une myriade de messages 
d'erreur :-(
- je cherche un peu sur internet et je m'aperçois qu'en fait 
Hoptodesk est un fork de Rustdesk dont l'auteur n'avait à 
l'origine pas compris les termes des licences AGPL/GPL et avait 
supprimé les copyright Rustdesk :-(

=> je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

2023-07-15 Par sujet NoSpam

Tant que l'agent tourne sur le client l'accès est ouvert. Si l'e client 
ne veut pas que le service tourne, il le lance à la main sur demande.


Des utilisateurs/groupes d 'utilisateurs peuvent être créés pour la 
gestion des accès.



Le 15/07/2023 à 14:07, RogerT a écrit :

Très bien.
Quelle garantie de sécurité/confidentialité y a-t-il avec MeshAgent 
(ou MeshCentral) ?


https://framalibre.org/content/meshcentral

De ton expérience, est-ce un partage d’écran ou aussi l’ouverture de 
sessions graphiques indépendantes (hôte linux) ?


Les deux, tout comme chat et autre joyeusetés.

https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QFnoECCEQAQ=https%3A%2F%2Fgithub.com%2FYlianst%2FMeshCentral=AOvVaw3rpgnKF8I_jnse61A52d94=89978449

https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QtwJ6BAg0EAI=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DpGBIjBGqlfI=AOvVaw247r9520YSVhaEk7Xt5XjQ=89978449

https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwiu5bSc2ZCAAxXcdqQEHWU5Dng4ChAWegQIDRAB=https%3A%2F%2Fhomepages.lcc-toulouse.fr%2Fcolombet%2Fmeshcentral-solution-libre-pour-remplacer-teamviewer%2F=AOvVaw1mT9VaJoEW2i9n6K4nafPY=89978449




Le 15 juil. 2023 à 13:55, NoSpam  a écrit :

J'insiste, mais MeshAgent permet de se désengager de toute 
installation/configuration/gestion de FW du client. Comme Anydesk ou 
Teamviewer, une appli à télécharger par le client, peu importe l'OS, 
et vous avez accès à sa machine soit en Gui soit en console (ou les 
deux). On peux également se connecter en RDP à un client si l'accès 
est autorisé sur celui ci.


Le 15/07/2023 à 13:12, RogerT a écrit :

Merci.

Rustdesk, « sans configuration », avec un serveur relais auto 
hébergé pour éviter la surveillance dénoncée (à vérifier : est-ce 
que ça suffit ?) : ça semble donc une bonne alternative.


Pour ma part, j’ai un bon retour d’expérience avec le client Remmina 
multi protocoles.
Il reste à déterminer les meilleurs serveur et protocole à installer 
sur la machine à laquelle accéder, en tenant compte du DE à 
installer (pas simple avec les DE linux qui posent visiblement 
diverses contraintes - se connecter en RDP à une machine win ne pose 
jamais de problème, sauf l’unicité de la session graphique, à ma 
connaissance, qui amène à utiliser Teamviewer pour partager l’écran).




Le 15 juil. 2023 à 12:58, didier gaumet  a 
écrit :


Le 14/07/2023 à 12:44, RogerT a écrit :
[...]

Il y a 6 alternatives à TeamViewer :
https://framalibre.org/alternatives?tid=TeamViewer 
<https://framalibre.org/alternatives?tid=TeamViewer>

[...]

J'ai regardé un peu tout ça.

Perso, vu mon niveau et mon besoin potentiel de pouvoir assister 
des possesseurs de PC Windows que je n'administre pas, je 
privilégie un truc simple sans configuration: ici Hoptodesk ou Rustdesk


Hoptodesk:
- j'ai essayé une Appimage officielle, elle s'est vautrée. En 
lançant dans un terminal je vois qu'il manque une bibliothèque 
(pour une Appimage, hein, c'est pas censé arriver...), je 
l'installe à la main, pour voir: ça ne couine plus sur le manque 
d'un bibliothèque, ça se vautre avec une myriade de messages 
d'erreur :-(
- je cherche un peu sur internet et je m'aperçois qu'en fait 
Hoptodesk est un fork de Rustdesk dont l'auteur n'avait à l'origine 
pas compris les termes des licences AGPL/GPL et avait supprimé les 
copyright Rustdesk :-(

=> je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir

Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris

2023-07-15 Par sujet NoSpam

J'insiste, mais MeshAgent permet de se désengager de toute 
installation/configuration/gestion de FW du client. Comme Anydesk ou 
Teamviewer, une appli à télécharger par le client, peu importe l'OS, et 
vous avez accès à sa machine soit en Gui soit en console (ou les deux). 
On peux également se connecter en RDP à un client si l'accès est 
autorisé sur celui ci.


Le 15/07/2023 à 13:12, RogerT a écrit :

Merci.

Rustdesk, « sans configuration », avec un serveur relais auto hébergé pour 
éviter la surveillance dénoncée (à vérifier : est-ce que ça suffit ?) : ça 
semble donc une bonne alternative.

Pour ma part, j’ai un bon retour d’expérience avec le client Remmina multi 
protocoles.
Il reste à déterminer les meilleurs serveur et protocole à installer sur la 
machine à laquelle accéder, en tenant compte du DE à installer (pas simple avec 
les DE linux qui posent visiblement diverses contraintes - se connecter en RDP 
à une machine win ne pose jamais de problème, sauf l’unicité de la session 
graphique, à ma connaissance, qui amène à utiliser Teamviewer pour partager 
l’écran).




Le 15 juil. 2023 à 12:58, didier gaumet  a écrit :

Le 14/07/2023 à 12:44, RogerT a écrit :
[...]

Il y a 6 alternatives à TeamViewer :
https://framalibre.org/alternatives?tid=TeamViewer 


[...]

J'ai regardé un peu tout ça.

Perso, vu mon niveau et mon besoin potentiel de pouvoir assister des 
possesseurs de PC Windows que je n'administre pas, je privilégie un truc simple 
sans configuration: ici Hoptodesk ou Rustdesk

Hoptodesk:
- j'ai essayé une Appimage officielle, elle s'est vautrée. En lançant dans un 
terminal je vois qu'il manque une bibliothèque (pour une Appimage, hein, c'est 
pas censé arriver...), je l'installe à la main, pour voir: ça ne couine plus 
sur le manque d'un bibliothèque, ça se vautre avec une myriade de messages 
d'erreur :-(
- je cherche un peu sur internet et je m'aperçois qu'en fait Hoptodesk est un 
fork de Rustdesk dont l'auteur n'avait à l'origine pas compris les termes des 
licences AGPL/GPL et avait supprimé les copyright Rustdesk :-(
=> je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir

Re: super miniPC 100% compatible linux

2023-07-10 Par sujet NoSpam


Exact, je ne m'en étais pas rendu compte. Dommage

Le 10/07/2023 à 18:24, Michel Memeteau a écrit :


Bonne remarque , Dell a été retiré il y a plusieurs années car il 
était impossible de diriger les visiteurs correctement vers leurs 
offres linux.



De plus l'option linux n'était pas clairement disponible sur toute 
leur gamme.



Je n'ai pas l'impression que ça a beaucoup changé, sur les Pcs fixes


Le 10/07/2023 à 14:09, NoSpam a écrit :


Manque Dell sur la liste

Le 10/07/2023 à 13:03, Michel Memeteau a écrit :


Bonjour  ,

Voir la liste des assembleurs de PC préinstallés Linux ( et souvent 
debian ) avec une jolie carte de France pour qu'il voyage pas trop



doc.ubuntu-fr.org

ordinateur_vendu_avec_ubuntu [Wiki ubuntu-fr] <#>

 https://doc.ubuntu-fr.org/ordinateur_vendu_avec_ubuntu 
<https://doc.ubuntu-fr.org/ordinateur_vendu_avec_ubuntu>


Cordialement

Le 09/07/2023 à 10:34, RogerT a écrit :

Bonjour,

Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer un 
programme qui gère divers services réseau (pas de messagerie), directement 
implanté sur un mini PC, le plus petit et fiable possible.

J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes 
flash finissent par tomber en rade. De mon expérience (50% des machines).

J’aimerais utiliser un mini PC le plus compact et économe en énergie possible.
Éventuellement, car ces services sont déclenchés à heure fixe, la machine doit 
pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et mise 
ensuite en veille.

Quels sont les modèles à privilégier ?

Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui pourrait 
faire l’affaire et dont la batterie permet aussi de faire face aux coupures de 
courant.
Mais il y a écran/clavier dont je n’ai pas besoin.

Pour la télémaintenance éventuelle, il faudrait que je puisse configurer une 
interface réseau et le faire se connecter à un vpn server que je contrôle pour 
pouvoir m’y connecter s’il a un accès à internet.

Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur 
batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% compatible 
linux (debian).

Quel modèle recommandez-vous ?
Merci.





--
--
Michel Memeteau

Ekimia (https://ekimia.fr  )

Directeur

tel:+33(0)624808051

Address :
620 avenue de la roche fourcade
13400 Aubagne
France

--
--
Michel Memeteau

Ekimia (https://ekimia.fr  )

Directeur

tel:+33(0)624808051

Address :
620 avenue de la roche fourcade
13400 Aubagne
France

Re: super miniPC 100% compatible linux

2023-07-10 Par sujet NoSpam


Manque Dell sur la liste

Le 10/07/2023 à 13:03, Michel Memeteau a écrit :


Bonjour  ,

Voir la liste des assembleurs de PC préinstallés Linux ( et souvent 
debian ) avec une jolie carte de France pour qu'il voyage pas trop



doc.ubuntu-fr.org

ordinateur_vendu_avec_ubuntu [Wiki ubuntu-fr] <#>

 https://doc.ubuntu-fr.org/ordinateur_vendu_avec_ubuntu 



Cordialement

Le 09/07/2023 à 10:34, RogerT a écrit :

Bonjour,

Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer un 
programme qui gère divers services réseau (pas de messagerie), directement 
implanté sur un mini PC, le plus petit et fiable possible.

J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes 
flash finissent par tomber en rade. De mon expérience (50% des machines).

J’aimerais utiliser un mini PC le plus compact et économe en énergie possible.
Éventuellement, car ces services sont déclenchés à heure fixe, la machine doit 
pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et mise 
ensuite en veille.

Quels sont les modèles à privilégier ?

Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui pourrait 
faire l’affaire et dont la batterie permet aussi de faire face aux coupures de 
courant.
Mais il y a écran/clavier dont je n’ai pas besoin.

Pour la télémaintenance éventuelle, il faudrait que je puisse configurer une 
interface réseau et le faire se connecter à un vpn server que je contrôle pour 
pouvoir m’y connecter s’il a un accès à internet.

Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur 
batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% compatible 
linux (debian).

Quel modèle recommandez-vous ?
Merci.





--
--
Michel Memeteau

Ekimia (https://ekimia.fr  )

Directeur

tel:+33(0)624808051

Address :
620 avenue de la roche fourcade
13400 Aubagne
France

Re: Créer ou exporter e VM au format OVA

2023-07-10 Par sujet NoSpam


Bonjour

https://www.meshcommander.com/meshcentral2

opens source, développé par un ingénieur Intel, client Linux, Mac, 
Windows, ... Remplace parfaitement Teamviewer/Anydesk/...


Le 10/07/2023 à 12:45, RogerT a écrit :

Bonjour,

Depuis debian 11 ou 12, comment faire pour fabriquer une VM (debian, 
en l’occurrence) au format OVA, que l’utilisateur va pouvoir 
lire/importer dans son système de virtualisation ?


De manière directe, de préférence avec des outils 100% debian (cf. 
virsh, etc. ) sans utiliser virtualbox, VMware, etc.



_Exigence complémentaire :_
Il doit pouvoir y avoir un DE sur cette VM.
Et un serveur de connexion graphique a distance (xRDP, VNC server, etc. )

A ce propos, quel serveur de connexion graphique universel est 
recommandé ?
xRDP me semblait attractif car beaucoup d’utilisateurs ont un client 
RDP pour se connecter à des machines win.

J’avais essayé x2go, qui était pas mal aussi (graphique +tunnel ssh).
Avec un serveur tightvnc, il me semble que j’ai eu des problèmes avec 
des utilisateurs qui avait leur compte et leur licence vnc qui n’était 
pas compatible avec tightvnc (je n’ai jamais eu d’éléments détaillés 
sur le problème rencontré).


Merci.

Re: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?

Il te faut du marquage aussi via nftables ou iptables. Wireguard est 
effectivement alternatif à openvpn, mais plus rapide, plus facile à 
configurer, technologie récente proche du noyau.


Le 09/07/2023 à 17:23, roger.tar...@free.fr a écrit :

Merci.
Je vais d'abord plancher sur iproute2 puisque c'est la norme.
wireguard : je croyais que c'était juste un vpn alternatif à openpvn 
ou autre. A creuser pour moi.




*De: *"NoSpam" 
*À: *"Liste Debian" 
*Envoyé: *Dimanche 9 Juillet 2023 17:00:14
*Objet: *Re: Tunnel openvpn - comment router tout le trafic dedans ou 
bien router simultanément le trafic d'un terminal/d'une fenêtre de 
navigateur/d'un process dans SON propre tunnel?


Cela s'appelle du routage, iproute2 installé d'office, fait cela en 
faisant du marquage. Sinon wireguard permet également de router via sa 
configuration


Le 09/07/2023 à 14:11, roger.tar...@free.fr a écrit :

Bonjour,

Je peux me connecter à un serveur openvpn en CLI (sudo openvpn
truc.conf) ou par le GUI (gnome VPN settings : clic).

Je vois cette connexion client sur le serveur (10.0.0.x).

$ ip addr
2: enp0s25:  mtu 1500 qdisc
pfifo_fast master br0 state UP group default qlen 1000
link/ether 78:e7:d1:85:f0:79 brd ff:ff:ff:ff:ff:ff

3: br0:  mtu 1500 qdisc noqueue
state UP group default qlen 1000
link/ether 92:fc:e6:5d:91:eb brd ff:ff:ff:ff:ff:ff
inet 192.168.1.153/24 brd 192.168.1.255 scope global noprefixroute br0
valid_lft forever preferred_lft forever
inet6 2a02: /64 scope global
dynamic noprefixroute
valid_lft 604402sec preferred_lft 604402sec
inet6 fe80::.../64 scope link noprefixroute
valid_lft forever preferred_lft forever
...
21: tun0:  mtu 1500 qdisc
pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 10.0.0.2 peer 10.0.0.5/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::./64 scope link
stable-privacy
valid_lft forever preferred_lft forever


Oui, il y a un bridge car j'avais du utiliser ce mécanisme pour me
tirer d'un problème de connexion. Avec nmcli.
Ça fonctionne bien ainsi depuis des années.

Malgré le tunnel, depuis un autre terminal ou depuis un navigateur
ma machine a toujours la même adresse IP (celle publique fournie
par mon opérateur), bien que je sois connecté au vpn.

Je suis autonome en réseau pour des choses ordinaires.
Là c'est plus compliqué...


Voici le fichier .ovpn (freebox) qui bascule toutes les cnx de la
machine dans le VPN (sans les certificats)

client
remote $REMOTE_IP 6504
proto udp
nobind
dev-type tun

pull
dev tun0
redirect-gateway
auth-user-pass login.txt
auth-retry interact
fragment 1452
mssfix 1452
explicit-exit-notify 3

remote-cert-tls server
verify-x509-name "C=FR, O=Freebox SA, CN=Freebox OpenVPN server
xxx"

cipher AES-256-CBC


Et celui qui ne fait pas ce que j'attends :

dev tun
tls-client
remote $REMOTE_IP 1195
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass


Le fichier .opvpn m'est fourni par le détenteur du serveur openvpn.
Je ne suis pas expert en openvpn bien qu'autonome pour l'utiliser.

Je me dis que le problème vient de ce fichier de configuration
openvpn.

Je fouille donc du côté d'openvpn "Comment router tout le trafic
d'une machine dans un tunnel openvpn"...

Résultat :
Il se pourrait que ce soit la directive suivante qui permette de
router tout le trafic dans le tunnel vpn :
redirect-gateway
ou
redirect-gateway def1
Ou
push "redirect-gateway"
push "redirect-gateway def1"

Qu'en pensez-vous ?

Quelle est la manière de faire ça proprement ?
- sans modifier le fichier .opvpn fourni
- en le modifiant a minima (ex : ajouter la directive
redirect-gateway)


Je vais plus loin :
J'ai souvent besoin de me connecter à diverses machines en CLI ou
avec un navigateur via un tunnel.
Je sais faire ça successivement mais pas simultanément.

Je veux éviter de devoir gérer successivement chaque tunnel unique.
J'ai aussi des connexions RDP actives qui doivent rester hors des
tunnels.

Comment puis-je router SIMULTANEMENT le trafic de tel terminal, ou
telle fenêtre de navigateur dans le tunnel ssh/vpn qui LUI
correspond, sans toucher au trafic des autres connexions (RDP, etc.) ?
Ça c'est du vrai réseau, pas ordinaire (pour moi)...!

Merci.

Re: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?

Cela s'appelle du routage, iproute2 installé d'office, fait cela en 
faisant du marquage. Sinon wireguard permet également de router via sa 
configuration


Le 09/07/2023 à 14:11, roger.tar...@free.fr a écrit :

Bonjour,

Je peux me connecter à un serveur openvpn en CLI (sudo openvpn 
truc.conf) ou par le GUI (gnome VPN settings : clic).


Je vois cette connexion client sur le serveur (10.0.0.x).

$ ip addr
2: enp0s25:  mtu 1500 qdisc 
pfifo_fast master br0 state UP group default qlen 1000

    link/ether 78:e7:d1:85:f0:79 brd ff:ff:ff:ff:ff:ff

3: br0:  mtu 1500 qdisc noqueue state 
UP group default qlen 1000

    link/ether 92:fc:e6:5d:91:eb brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.153/24 brd 192.168.1.255 scope global noprefixroute br0
   valid_lft forever preferred_lft forever
    inet6 2a02: /64 scope global 
dynamic noprefixroute

   valid_lft 604402sec preferred_lft 604402sec
    inet6 fe80::.../64 scope link noprefixroute
   valid_lft forever preferred_lft forever
...
21: tun0:  mtu 1500 qdisc 
pfifo_fast state UNKNOWN group default qlen 500

    link/none
    inet 10.0.0.2 peer 10.0.0.5/32 scope global tun0
   valid_lft forever preferred_lft forever
    inet6 fe80::./64 scope link 
stable-privacy

   valid_lft forever preferred_lft forever


Oui, il y a un bridge car j'avais du utiliser ce mécanisme pour me 
tirer d'un problème de connexion. Avec nmcli.

Ça fonctionne bien ainsi depuis des années.

Malgré le tunnel, depuis un autre terminal ou depuis un navigateur ma 
machine a toujours la même adresse IP (celle publique fournie par mon 
opérateur), bien que je sois connecté au vpn.


Je suis autonome en réseau pour des choses ordinaires.
Là c'est plus compliqué...


Voici le fichier .ovpn (freebox) qui bascule toutes les cnx de la 
machine dans le VPN (sans les certificats)


client
remote $REMOTE_IP 6504
proto udp
nobind
dev-type tun

pull
dev tun0
redirect-gateway
auth-user-pass login.txt
auth-retry interact
fragment 1452
mssfix 1452
explicit-exit-notify 3

remote-cert-tls server
verify-x509-name "C=FR, O=Freebox SA, CN=Freebox OpenVPN server 
xxx"


cipher AES-256-CBC


Et celui qui ne fait pas ce que j'attends :

dev tun
tls-client
remote $REMOTE_IP 1195
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass


Le fichier .opvpn m'est fourni par le détenteur du serveur openvpn.
Je ne suis pas expert en openvpn bien qu'autonome pour l'utiliser.

Je me dis que le problème vient de ce fichier de configuration openvpn.

Je fouille donc du côté d'openvpn "Comment router tout le trafic d'une 
machine dans un tunnel openvpn"...


Résultat :
Il se pourrait que ce soit la directive suivante qui permette de 
router tout le trafic dans le tunnel vpn :

redirect-gateway
ou
  redirect-gateway def1
Ou
push "redirect-gateway"
push "redirect-gateway def1"

Qu'en pensez-vous ?

Quelle est la manière de faire ça proprement ?
- sans modifier le fichier .opvpn fourni
- en le modifiant a minima (ex : ajouter la directive redirect-gateway)


Je vais plus loin :
J'ai souvent besoin de me connecter à diverses machines en CLI ou avec 
un navigateur via un tunnel.

Je sais faire ça successivement mais pas simultanément.

Je veux éviter de devoir gérer successivement chaque tunnel unique.
J'ai aussi des connexions RDP actives qui doivent rester hors des tunnels.

Comment puis-je router SIMULTANEMENT le trafic de tel terminal, ou 
telle fenêtre de navigateur dans le tunnel ssh/vpn qui LUI correspond, 
sans toucher au trafic des autres connexions (RDP, etc.) ?

Ça c'est du vrai réseau, pas ordinaire (pour moi)...!

Merci.

Re: super miniPC 100% compatible linux




Le 09/07/2023 à 12:00, RogerT a écrit :

Bonjour,

J’utilisais notamment des cartes flash micro SD Verbatim 3 class 10 
Pro. Plutôt du haut de gamme en boutique.


Quelles cartes utilises-tu qui durent sans souci ?

Transcend ou Sandisk


Alix : tu parles de ça ?
https://www.pcengines.ch/

Oui. Tu les trouve chez anteor ou varia-tore





Le 9 juil. 2023 à 11:27, NoSpam  a écrit :

Bonjour

je fais cela depuis des années avec des raspberry jamais eu de 
problème avec les cartes. Le pi démarre, monte un VPN wireguard, tous 
les services passent dedans (téléphonie, vidéo, maintenance, etc). 
Sinon les boitiers Alix sont super, plusieurs ports réseau, carte SD 
donc silencieux.


Le 09/07/2023 à 10:34, RogerT a écrit :

Bonjour,

Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui 
livrer un programme qui gère divers services réseau (pas de 
messagerie), directement implanté sur un mini PC, le plus petit et 
fiable possible.


J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les 
cartes flash finissent par tomber en rade. De mon expérience (50% 
des machines).


J’aimerais utiliser un mini PC le plus compact et économe en énergie 
possible.
Éventuellement, car ces services sont déclenchés à heure fixe, la 
machine doit pouvoir se mettre en veille et en sortir. Ou être 
réveillée par WoL et mise ensuite en veille.


Quels sont les modèles à privilégier ?

Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM 
qui pourrait faire l’affaire et dont la batterie permet aussi de 
faire face aux coupures de courant.

Mais il y a écran/clavier dont je n’ai pas besoin.

Pour la télémaintenance éventuelle, il faudrait que je puisse 
configurer une interface réseau et le faire se connecter à un vpn 
server que je contrôle pour pouvoir m’y connecter s’il a un accès à 
internet.


Je cherche donc une sorte de Raspberry Pi robuste (et 
optionnellement sur batterie : c’est simple, il suffit d’en rajouter 
une) qui soit 100% compatible linux (debian).


Quel modèle recommandez-vous ?
Merci.

Re: super miniPC 100% compatible linux


Bonjour

je fais cela depuis des années avec des raspberry jamais eu de problème 
avec les cartes. Le pi démarre, monte un VPN wireguard, tous les 
services passent dedans (téléphonie, vidéo, maintenance, etc). Sinon les 
boitiers Alix sont super, plusieurs ports réseau, carte SD donc silencieux.


Le 09/07/2023 à 10:34, RogerT a écrit :

Bonjour,

Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer un 
programme qui gère divers services réseau (pas de messagerie), directement 
implanté sur un mini PC, le plus petit et fiable possible.

J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes 
flash finissent par tomber en rade. De mon expérience (50% des machines).

J’aimerais utiliser un mini PC le plus compact et économe en énergie possible.
Éventuellement, car ces services sont déclenchés à heure fixe, la machine doit 
pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et mise 
ensuite en veille.

Quels sont les modèles à privilégier ?

Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui pourrait 
faire l’affaire et dont la batterie permet aussi de faire face aux coupures de 
courant.
Mais il y a écran/clavier dont je n’ai pas besoin.

Pour la télémaintenance éventuelle, il faudrait que je puisse configurer une 
interface réseau et le faire se connecter à un vpn server que je contrôle pour 
pouvoir m’y connecter s’il a un accès à internet.

Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur 
batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% compatible 
linux (debian).

Quel modèle recommandez-vous ?
Merci.

Re: Service proxy : quel paquet simple et fiable ?

2023-07-06 Par sujet NoSpam



Le 06/07/2023 à 14:21, RogerT a écrit :

Merci pour la précision.

FW
Tu parles de nftables sur debian12. Je suppose que la syntaxe est 
proche de celle de iptables.

Doit-on ou peut-on oublier ufw ?
Rien à voir entre les deux, réécriture complète. iptables sera désuet à 
un moment ou un autre


Proxy
De ce que j’ai compris de Squid :
une fois que j’ai configuré les interfaces réseau avec nmcli ou autre, 
je définis les acl puis les règles accept/reject sur ces acl.


S’agissant d’un serveur hébergé pour réaliser ce service de proxy, 
est-ce que je peux me contenter d’une seule adresse IP ?

Oui


Si un serveur est caché derrière le proxy, c’est l’IP publique du 
proxy qui reçoit le flux et le route  ers le serveur caché, selon la 
configuration de Squid.


Si un client est caché derrière le proxy, il saura contacter le proxy 
par son adr IP publique (et le port adapté) et ce proxy routera le 
flux vers le serveur web visé.


Je ne vois donc pas de difficulté à utiliser une seule adresse IP pour 
le serveur hébergé qui va rendre le service proxy.

Ou alors ai-je oublié qqchose ?

Merci.


Le 6 juil. 2023 à 13:38, NoSpam  a écrit :



Bonjour.

Pour information, certains outils de Debian11 ne sont pas les mêmes 
pour 12: iptables par ex. est remplacé par nftables.


Concernant nmcli je suis étonné, il est censé ne pas toucher aux 
interfaces configurées dans ce fichier.


https://wiki.debian.org/fr/NetworkManager

NetworkManager ne gérera que les interfaces qui ne sont pas déclarés 
dans /etc/network/interfaces (voir le fichier README 
<https://wiki.debian.org/fr/NetworkManager#doc>).


Sinon pour le réseau, cloud-init, systemd-networkd, etc.

Le 06/07/2023 à 13:06, RogerT a écrit :

J’ai besoin d’aide pour l’interconnexion de réseaux (2 LAN, 1 LAN et 1 VPN, 1 
LAN/1 WAN) en tenant compte d’un éventuel proxy (Squid) qui route/filtre le 
traffic d’un réseau à un autre.

Sur debian 11, la gestion du réseau se fait d’office avec nm, c’est bien ça ?

Rq : balloté dans la doc debian ancienne et non indiquée comme telle, j’ai déjà 
eu l’expérience de batailler avec resolvconf/resolv.conf ou 
/etc/network/interfaces qui était généré et donc écrasé par nm ; j’ai donc déjà 
fait l’expérience de tourner longtemps en rond.

Pouvez-vous m’indiquer un pointeur pour aller directement vers l’outil pour 
gérer ça ?
Je dirais : nmcli ?… + fw (ufw ou iptables)

Merci.


Le 5 juil. 2023 à 11:00,roger.tar...@free.fr  a écrit :
Squid.
Merci.

Le Squid interne avec cache sert donc seulement en cas de mauvais lien internet 
? (cache)

Pour le Squid externe, je compte prendre un serveur hébergé de base à quelques 
euros/m, auquel je confierai éventuellement quelques services complémentaires 
(ex : VPN server).
Quelles ressources sont nécessaire pour un service proxy ?

Pour le Squid du LAN, pour éviter de gérer un serveur juste pour ça et pour ne 
pas toucher à l'existant, n'y a -t-il pas des boîtiers/appliance réseau ? 
Sinon, je récupérererai un ancien miniPC.


- Mail original -
De: "Michel Verdier"
À: "Liste Debian"
Envoyé: Mercredi 5 Juillet 2023 09:08:19
Objet: Re: Service proxy : quel paquet simple et fiable ?

Le 5 juillet 2023 roger tarani a écrit :


Schéma
Machine (client ou serveur) <--> Routeur/Modem <-- connexion TLS en IPv4 --> service 
proxy <---> internet

Le fournisseur de nom de domaine, par exemple, ne verra plus l'adresse IP 
publique du modem mais celle du serveur qui héberge le service proxy. Un proxy, 
quoi !
Le flux autorisé doit être celui autorisé par le Modem/Routeur : 80,443, 
messagerie, etc.

Je ne vois pas de difficulté théorique. Mais je n'ai jamais configuré ça par 
moi-même car je n'en ai jamais eu besoin, ou alors c'était déjà configuré ou 
intégré.

Une première recherche pointe vers Dante et Squid.

Quelle est la solution de référence, simple et fiable, sur debian ?

Pour moi c'est squid qui a toutes les fonctionnalités qu'on attend d'un
proxy. Je ne connais pas dante mais j'ai l'impression qu'il ne fait pas
de cache, que c'est un freemium et donc moins pérenne car juste une
société qui le développe.

Au sujet du cache d'ailleurs je te conseillerais de faire :

Machine (client ou serveur) <--> squid interne avec cache <-> Routeur/Modem <-- 
connexion TLS en IPv4 --> squid externe <---> internet

sauf si ta connexion est vraiment bonne.

Re: Service proxy : quel paquet simple et fiable ?

2023-07-06 Par sujet NoSpam


Bonjour.

Pour information, certains outils de Debian11 ne sont pas les mêmes pour 
12: iptables par ex. est remplacé par nftables.


Concernant nmcli je suis étonné, il est censé ne pas toucher aux 
interfaces configurées dans ce fichier.


https://wiki.debian.org/fr/NetworkManager

NetworkManager ne gérera que les interfaces qui ne sont pas déclarés 
dans /etc/network/interfaces (voir le fichier README 
).


Sinon pour le réseau, cloud-init, systemd-networkd, etc.

Le 06/07/2023 à 13:06, RogerT a écrit :

J’ai besoin d’aide pour l’interconnexion de réseaux (2 LAN, 1 LAN et 1 VPN, 1 
LAN/1 WAN) en tenant compte d’un éventuel proxy (Squid) qui route/filtre le 
traffic d’un réseau à un autre.

Sur debian 11, la gestion du réseau se fait d’office avec nm, c’est bien ça ?

Rq : balloté dans la doc debian ancienne et non indiquée comme telle, j’ai déjà 
eu l’expérience de batailler avec resolvconf/resolv.conf ou 
/etc/network/interfaces qui était généré et donc écrasé par nm ; j’ai donc déjà 
fait l’expérience de tourner longtemps en rond.

Pouvez-vous m’indiquer un pointeur pour aller directement vers l’outil pour 
gérer ça ?
Je dirais : nmcli ?… + fw (ufw ou iptables)

Merci.


Le 5 juil. 2023 à 11:00,roger.tar...@free.fr  a écrit :
Squid.
Merci.

Le Squid interne avec cache sert donc seulement en cas de mauvais lien internet 
? (cache)

Pour le Squid externe, je compte prendre un serveur hébergé de base à quelques 
euros/m, auquel je confierai éventuellement quelques services complémentaires 
(ex : VPN server).
Quelles ressources sont nécessaire pour un service proxy ?

Pour le Squid du LAN, pour éviter de gérer un serveur juste pour ça et pour ne 
pas toucher à l'existant, n'y a -t-il pas des boîtiers/appliance réseau ? 
Sinon, je récupérererai un ancien miniPC.


- Mail original -
De: "Michel Verdier"
À: "Liste Debian"
Envoyé: Mercredi 5 Juillet 2023 09:08:19
Objet: Re: Service proxy : quel paquet simple et fiable ?

Le 5 juillet 2023 roger tarani a écrit :


Schéma
Machine (client ou serveur) <--> Routeur/Modem <-- connexion TLS en IPv4 --> service 
proxy <---> internet

Le fournisseur de nom de domaine, par exemple, ne verra plus l'adresse IP 
publique du modem mais celle du serveur qui héberge le service proxy. Un proxy, 
quoi !
Le flux autorisé doit être celui autorisé par le Modem/Routeur : 80,443, 
messagerie, etc.

Je ne vois pas de difficulté théorique. Mais je n'ai jamais configuré ça par 
moi-même car je n'en ai jamais eu besoin, ou alors c'était déjà configuré ou 
intégré.

Une première recherche pointe vers Dante et Squid.

Quelle est la solution de référence, simple et fiable, sur debian ?

Pour moi c'est squid qui a toutes les fonctionnalités qu'on attend d'un
proxy. Je ne connais pas dante mais j'ai l'impression qu'il ne fait pas
de cache, que c'est un freemium et donc moins pérenne car juste une
société qui le développe.

Au sujet du cache d'ailleurs je te conseillerais de faire :

Machine (client ou serveur) <--> squid interne avec cache <-> Routeur/Modem <-- 
connexion TLS en IPv4 --> squid externe <---> internet

sauf si ta connexion est vraiment bonne.

Re: Trou dans un firewall (iptables nftable)




Le 03/07/2023 à 15:12, BERTRAND Joël a écrit :

NoSpam a écrit :

Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
nat et filter

D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
Tout comme iptables et tcpdump, les paquets sont capturés dès leur 
arrivée. sngrep sait lire du pcap. Si tu regardes les trames INVITE tu 
ne devrais voir aucune réponse de ton asterisk

Re: Trou dans un firewall (iptables nftable)

Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table 
nat et filter


Le 03/07/2023 à 15:00, BERTRAND Joël a écrit :

Thomas Trupel a écrit :

C'est un comportement normal à mes yeux.

L'ajout d'une règle avec la target TRACE devrait te confirmer que les
paquets sont bloqués par le firewall.

J'obtiens ceci :

2023-07-03T14:37:45.868470+02:00 rayleigh kernel: [705875.038988] TRACE:
raw:PREROUTING:policy:2 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=109.248.149.209
DST=192.168.15.18 LEN=442 TOS=0x00 PREC=0x00 TTL=45 ID=10988 DF
PROTO=UDP SPT=5256 DPT=5060 LEN=422
2023-07-03T14:37:45.868494+02:00 rayleigh kernel: [705875.039009] TRACE:
mangle:PREROUTING:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=109.248.149.209
DST=192.168.15.18 LEN=442 TOS=0x00 PREC=0x00 TTL=45 ID=10988 DF
PROTO=UDP SPT=5256 DPT=5060 LEN=422
2023-07-03T14:37:45.868497+02:00 rayleigh kernel: [705875.039019] TRACE:
nat:PREROUTING:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=109.248.149.209
DST=192.168.15.18 LEN=442 TOS=0x00 PREC=0x00 TTL=45 ID=10988 DF
PROTO=UDP SPT=5256 DPT=5060 LEN=422
2023-07-03T14:37:45.868498+02:00 rayleigh kernel: [705875.039035] TRACE:
mangle:INPUT:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=109.248.149.209
DST=192.168.15.18 LEN=442 TOS=0x00 PREC=0x00 TTL=45 ID=10988 DF
PROTO=UDP SPT=5256 DPT=5060 LEN=422
raw:PREROUTING:policy:2 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=94.102.61.29
DST=192.168.15.18 LEN=279 TOS=0x00 PREC=0x00 TTL=239 ID=54321 PROTO=UDP
SPT=38996 DPT=5060 LEN=259
2023-07-03T14:51:17.795018+02:00 rayleigh kernel: [706686.983258] TRACE:
mangle:PREROUTING:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=94.102.61.29
DST=192.168.15.18 LEN=279 TOS=0x00 PREC=0x00 TTL=239 ID=54321 PROTO=UDP
SPT=38996 DPT=5060 LEN=259
2023-07-03T14:51:17.795021+02:00 rayleigh kernel: [706686.983268] TRACE:
nat:PREROUTING:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=94.102.61.29
DST=192.168.15.18 LEN=279 TOS=0x00 PREC=0x00 TTL=239 ID=54321 PROTO=UDP
SPT=38996 DPT=5060 LEN=259
2023-07-03T14:51:17.795022+02:00 rayleigh kernel: [706686.983282] TRACE:
mangle:INPUT:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=94.102.61.29
DST=192.168.15.18 LEN=279 TOS=0x00 PREC=0x00 TTL=239 ID=54321 PROTO=UDP
SPT=38996 DPT=5060 LEN=259
2023-07-03T14:56:40.474426+02:00 rayleigh kernel: [707009.669233] TRACE:
raw:PREROUTING:policy:2 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=45.155.91.23
DST=192.168.15.18 LEN=44 TOS=0x00 PREC=0x00 TTL=236 ID=29434 PROTO=TCP
SPT=47506 DPT=5060 SEQ=68748134 ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
OPT (020405A0)
2023-07-03T14:56:40.474447+02:00 rayleigh kernel: [707009.669262] TRACE:
mangle:PREROUTING:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=45.155.91.23
DST=192.168.15.18 LEN=44 TOS=0x00 PREC=0x00 TTL=236 ID=29434 PROTO=TCP
SPT=47506 DPT=5060 SEQ=68748134 ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
OPT (020405A0)
2023-07-03T14:56:40.474452+02:00 rayleigh kernel: [707009.669274] TRACE:
nat:PREROUTING:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=45.155.91.23
DST=192.168.15.18 LEN=44 TOS=0x00 PREC=0x00 TTL=236 ID=29434 PROTO=TCP
SPT=47506 DPT=5060 SEQ=68748134 ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
OPT (020405A0)
2023-07-03T14:56:40.474454+02:00 rayleigh kernel: [707009.669289] TRACE:
mangle:INPUT:policy:1 IN=wan0 OUT=
MAC=50:46:5d:72:ef:a2:60:a4:b7:73:c9:26:08:00 SRC=45.155.91.23
DST=192.168.15.18 LEN=44 TOS=0x00 PREC=0x00 TTL=236 ID=29434 PROTO=TCP
SPT=47506 DPT=5060 SEQ=68748134 ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
OPT (020405A0)

Où voit-on que ces paquets sont bloqués ?

Bien cordialement,

JKB

Re: Configuration asterisk




Le 03/07/2023 à 13:44, BERTRAND Joël a écrit :

NoSpam a écrit :

Le 03/07/2023 à 12:57, BERTRAND Joël a écrit :

NoSpam a écrit :

Le 03/07/2023 à 12:07, BERTRAND Joël a écrit :

NoSpam a écrit :

Stop: n'as tu pas dit que les postes en interne arrivent à s'appeler ?
Si c'est le cas, cela veut dire qu'asterisk ne sait pas comment
traiter
l'appel.

34. No circuit/channel available

Renvois STP le context internal

Je réponds à toutes les questions dans le même mail pour qu'on s'y
retrouve plus facilement.

[internal]
   exten => 6001,1,Dial(PJSIP/6001)
   exten => 6002,1,Dial(PJSIP/6002)
   exten => _00[1-79],1,Dial(PJSIP/${EXTEN:1}@SBSR)

Ca c'est OK

rayleigh*CLI> pjsip show endpoint SBSR
...
    Endpoint:  SBSR
Not in
use    0 of inf
   OutAuth:  SBSR_auth/trunk-sip
   Aor:  SBSR   1
     Contact:  SBSR/sip:trunk-sip@systella2.buroticstore. 5551fa2b78
NonQual nan
     Transport:  udp-transport udp  0  0
0.0.0.0:5060
  Identify:  SBSR/SBSR
   Match: 37.97.65.186/32

udp-transport  sur port 5060 ? Ca coince déjà ;) Le Contact est
également mauvais, il devrait ressembler à

SBSR/sip::5070

Dans [aor] rajoute

contact=sip::5070

Identify ne sert à rien puisque tu t'enregistre

Règle les deux premiers problèmes, cela devrait faire avancer les choses

[SBSR]
  type=aor
  contact=sip:trunk-sip@:5070
  max_contacts=1
  remove_existing=yes

Es tu sur que trunk-sip est ton contact chez le provider ? J'ai des
doutes ... au mieux c'est ton username mais en général pas besoin
sip:domain:5070 doit suffire. Mets max_contacts=10 pour le moment

Déjà, il y a un point que je ne saisis pas.

La signalisation du trunk SIP se fait en 5070/TCP, mais les paquets RTP
associés sont bien en UDP :

13:38:49.281101 IP rayleigh.systella.fr.17056 > 37.97.65.116.50458: UDP,
length 172
13:38:49.286130 IP 37.97.65.116.50458 > rayleigh.systella.fr.17056: UDP,
length 172

Quand je lance
rayleigh*CLI> pjsip show endpoint SBSR
...
  Endpoint:  SBSR Not in
use0 of inf
 OutAuth:  SBSR_auth/trunk-sip
 Aor:  SBSR   1
   Contact:  SBSR/sip:trunk-sip@systella2.buroticstore. 5551fa2b78
NonQual nan
   Transport:  udp-transport udp  0  0  0.0.0.0:5060
Identify:  SBSR/SBSR
 Match: 37.97.65.186/32

à quoi correspond udp-transport ? À la signalisation (auquel cas on
devrait être en 5070/TCP) ou aux paquets RTP ?


Signalisation. Ce que je ne comprends pas c'est 
systella2.buroticstore.eu qui est ton hostname alors que domain devrait 
être celui du provider et le port celui pour joindre le provider. 
Remplace le contact dans [aor] par


contact=sip:37.97.65.186:5070




J'ai l'impression qu'il s'agit de la signalisation mais je n'en suis
pas sûr. Je vais tout de même essayer de trouver le moyen de forcer un
transport en TCP sur le port 5070.

Comme identifiant, le fournisseur m'a juste donné trunk-sip@domaine,
rien d'autre.


OK mais le @domain ne me parait pas être le bon, rectifie comme donné ci 
dessus


A primary feature of AOR objects (Address of Record) is to tell Asterisk 
where an endpoint can be contacted. Without an associated AOR section, 
an endpoint cannot be contacted. AOR objects also store associations to 
mailboxes for MWI requests and other data that might relate to the whole 
group of contacts such as expiration and qualify settings.


When Asterisk receives an inbound registration, it'll look to match 
against available AORs





pjsip show aors te donnera plus d'infos

rayleigh*CLI> pjsip show aors

   Aor:  

 Contact:   
 
==

   Aor:  6001 1
 Contact:  6001/sip:6001@192.168.10.253:5060a0a76d4acb
NonQual nan

   Aor:  6002 1
 Contact:  6002/sip:6002@192.168.10.250:50616a2a034b2c
NonQual nan

   Aor:  SBSR 1
 Contact:  SBSR/sip:trunk-...@systella2.buroticstore.eu 5551fa2b78
NonQual nan


Objects found: 3
rayleigh*CLI> pjsip list transports

Transport:

==

Transport:  tcp-transport tcp  0  0  192.168.15.18:5060
Transport:  udp-transport udp  0  0  0.0.0.0:5060


Ton asterisk écoute en tcp sur l'ip 192.168.15.18 port 5060 et sur 
toutes les IP locales en UDP port 5060


Ex de mon asterisk écoutant et connecté en TLS chez un provider en ipv4

Transport:  transport-tls tls  0  0 0.0.0.0:5061

Re: Configuration asterisk


Aussi, pjsip list transports

Le 03/07/2023 à 13:09, NoSpam a écrit :


Le 03/07/2023 à 12:57, BERTRAND Joël a écrit :

NoSpam a écrit :

Le 03/07/2023 à 12:07, BERTRAND Joël a écrit :

NoSpam a écrit :
Stop: n'as tu pas dit que les postes en interne arrivent à 
s'appeler ?
Si c'est le cas, cela veut dire qu'asterisk ne sait pas comment 
traiter

l'appel.

34. No circuit/channel available

Renvois STP le context internal

Je réponds à toutes les questions dans le même mail pour qu'on s'y
retrouve plus facilement.

[internal]
  exten => 6001,1,Dial(PJSIP/6001)
  exten => 6002,1,Dial(PJSIP/6002)
  exten => _00[1-79],1,Dial(PJSIP/${EXTEN:1}@SBSR)

Ca c'est OK


rayleigh*CLI> pjsip show endpoint SBSR
...
   Endpoint: SBSR 
Not in

use    0 of inf
  OutAuth:  SBSR_auth/trunk-sip
  Aor: SBSR   1
    Contact:  SBSR/sip:trunk-sip@systella2.buroticstore. 
5551fa2b78

NonQual nan
    Transport:  udp-transport udp  0  0 
0.0.0.0:5060

 Identify:  SBSR/SBSR
  Match: 37.97.65.186/32

udp-transport  sur port 5060 ? Ca coince déjà ;) Le Contact est
également mauvais, il devrait ressembler à

SBSR/sip::5070

Dans [aor] rajoute

contact=sip::5070

Identify ne sert à rien puisque tu t'enregistre

Règle les deux premiers problèmes, cela devrait faire avancer les 
choses

[SBSR]
 type=aor
 contact=sip:trunk-sip@:5070
 max_contacts=1
 remove_existing=yes


Es tu sur que trunk-sip est ton contact chez le provider ? J'ai des 
doutes ... au mieux c'est ton username mais en général pas besoin 
sip:domain:5070 doit suffire. Mets max_contacts=10 pour le moment


pjsip show aors te donnera plus d'infos



ne change rien. J'ai toujours après un redémarrage :

   Transport:  udp-transport udp  0  0 0.0.0.0:5060
    Identify:  SBSR/SBSR
 Match: 37.97.65.186/32

Je vais continuer à creuser après le repas, il commence à faire 
faim.


JKB

Re: Configuration asterisk




Le 03/07/2023 à 12:57, BERTRAND Joël a écrit :

NoSpam a écrit :

Le 03/07/2023 à 12:07, BERTRAND Joël a écrit :

NoSpam a écrit :

Stop: n'as tu pas dit que les postes en interne arrivent à s'appeler ?
Si c'est le cas, cela veut dire qu'asterisk ne sait pas comment traiter
l'appel.

34. No circuit/channel available

Renvois STP le context internal

Je réponds à toutes les questions dans le même mail pour qu'on s'y
retrouve plus facilement.

[internal]
  exten => 6001,1,Dial(PJSIP/6001)
  exten => 6002,1,Dial(PJSIP/6002)
  exten => _00[1-79],1,Dial(PJSIP/${EXTEN:1}@SBSR)

Ca c'est OK


rayleigh*CLI> pjsip show endpoint SBSR
...
   Endpoint:  SBSR Not in
use    0 of inf
  OutAuth:  SBSR_auth/trunk-sip
  Aor:  SBSR   1
    Contact:  SBSR/sip:trunk-sip@systella2.buroticstore. 5551fa2b78
NonQual nan
    Transport:  udp-transport udp  0  0  0.0.0.0:5060
     Identify:  SBSR/SBSR
  Match: 37.97.65.186/32

udp-transport  sur port 5060 ? Ca coince déjà ;) Le Contact est
également mauvais, il devrait ressembler à

SBSR/sip::5070

Dans [aor] rajoute

contact=sip::5070

Identify ne sert à rien puisque tu t'enregistre

Règle les deux premiers problèmes, cela devrait faire avancer les choses

[SBSR]
 type=aor
 contact=sip:trunk-sip@:5070
 max_contacts=1
 remove_existing=yes


Es tu sur que trunk-sip est ton contact chez le provider ? J'ai des 
doutes ... au mieux c'est ton username mais en général pas besoin 
sip:domain:5070 doit suffire. Mets max_contacts=10 pour le moment


pjsip show aors te donnera plus d'infos



ne change rien. J'ai toujours après un redémarrage :

   Transport:  udp-transport udp  0  0  0.0.0.0:5060
Identify:  SBSR/SBSR
 Match: 37.97.65.186/32

Je vais continuer à creuser après le repas, il commence à faire faim.

JKB

Re: Configuration asterisk




Le 03/07/2023 à 12:07, BERTRAND Joël a écrit :

NoSpam a écrit :

Stop: n'as tu pas dit que les postes en interne arrivent à s'appeler ?
Si c'est le cas, cela veut dire qu'asterisk ne sait pas comment traiter
l'appel.

34. No circuit/channel available

Renvois STP le context internal

Je réponds à toutes les questions dans le même mail pour qu'on s'y
retrouve plus facilement.

[internal]
 exten => 6001,1,Dial(PJSIP/6001)
 exten => 6002,1,Dial(PJSIP/6002)
 exten => _00[1-79],1,Dial(PJSIP/${EXTEN:1}@SBSR)

Ca c'est OK



rayleigh*CLI> pjsip show endpoint SBSR
...
  Endpoint:  SBSR Not in
use0 of inf
 OutAuth:  SBSR_auth/trunk-sip
 Aor:  SBSR   1
   Contact:  SBSR/sip:trunk-sip@systella2.buroticstore. 5551fa2b78
NonQual nan
   Transport:  udp-transport udp  0  0  0.0.0.0:5060
Identify:  SBSR/SBSR
 Match: 37.97.65.186/32


udp-transport  sur port 5060 ? Ca coince déjà ;) Le Contact est 
également mauvais, il devrait ressembler à


SBSR/sip::5070

Dans [aor] rajoute

contact=sip::5070

Identify ne sert à rien puisque tu t'enregistre

Règle les deux premiers problèmes, cela devrait faire avancer les choses



  100rel : yes
  accept_multiple_sdp_answers: false
  accountcode:
  acl:
  aggregate_mwi  : true
  allow  : (alaw|ulaw|g722|gsm)
  allow_overlap  : true
  allow_subscribe: true
  allow_transfer : true
  allow_unauthenticated_options  : false
  aors   : SBSR
  asymmetric_rtp_codec   : false
  auth   :
  bind_rtp_to_media_address  : false
  bundle : false
  call_group :
  callerid   : 
  callerid_privacy   : allowed_not_screened
  callerid_tag   :
  codec_prefs_incoming_answer: prefer:pending,
operation:intersect, keep:all, transcode:allow
  codec_prefs_incoming_offer : prefer:pending,
operation:intersect, keep:all, transcode:allow
  codec_prefs_outgoing_answer: prefer:pending,
operation:intersect, keep:all, transcode:allow
  codec_prefs_outgoing_offer : prefer:pending, operation:union,
keep:all, transcode:allow
  connected_line_method  : invite
  contact_acl:
  context: sbsr
  cos_audio  : 0
  cos_video  : 0
  device_state_busy_at   : 0
  direct_media   : false
  direct_media_glare_mitigation  : none
  direct_media_method: invite
  disable_direct_media_on_nat: false
  dtls_auto_generate_cert: No
  dtls_ca_file   :
  dtls_ca_path   :
  dtls_cert_file :
  dtls_cipher:
  dtls_fingerprint   : SHA-256
  dtls_private_key   :
  dtls_rekey : 0
  dtls_setup : active
  dtls_verify: No
  dtmf_mode  : rfc4733
  fax_detect : false
  fax_detect_timeout : 0
  follow_early_media_fork: true
  force_avp  : false
  force_rport: true
  from_domain: systella2.buroticstore.eu
  from_user  : trunk-sip
  g726_non_standard  : false
  geoloc_incoming_call_profile   :
  geoloc_outgoing_call_profile   :
  ice_support: false
  identify_by: username,ip
  ignore_183_without_sdp : false
  inband_progress: false
  incoming_call_offer_pref   : local
  incoming_mwi_mailbox   :
  language   :
  mailboxes  :
  max_audio_streams  : 1
  max_video_streams  : 1
  media_address  :
  media_encryption   : no
  media_encryption_optimistic: false
  media_use_received_transport   : false
  message_context:
  moh_passthrough: false
  moh_suggest: default
  mwi_from_user  :
  mwi_subscribe_replaces_unsolicited : no
  named_call_group   :
  named_pickup_group :
  notify_early_inuse_ringing : false
  one_touch_recording: false
  outbound_auth  : SBSR_auth
  outbound_proxy :
  outgoing_cal

Re: Configuration asterisk

Je me suis mal exprimé: le SPA arrive bien à appeler les autres postes 
ou l'écho test d'Asterisk (extension 600 par défaut si activer) ?


Si oui, le problème est au niveau d'asterisk, vois mon dernier courriel.

Le 03/07/2023 à 11:54, BERTRAND Joël a écrit :

NoSpam a écrit :

Ton asterisk (192.168.1.1) qui répond 503 au SPA

Il faudrait la config complète du SPA

J'ai bien une sauvegarde de la configuration, mais ce n'est pas un
fichier texte :

hilbert:[~] > file SPA112_1.4.1.cfg
SPA112_1.4.1.cfg: dBase III DBT, version number 0

J'ai laissé dans les SPA112 la configuration qui fonctionnait
historiquement chez Nerim.

Comment envoyer cette configuration sans tout recopier à la main (ce
qui sera long et illisible) ?

Re: Configuration asterisk


Poste également la sortie cli de

pjsip show endpoint SBSR

ainsi que la config complète PJSIP de ce dernier.

Le 03/07/2023 à 11:21, BERTRAND Joël a écrit :

NoSpam a écrit :

On peut avoir les logs "lisibles", je me demande si ce n'est pas le SPA
qui envoit cette erreur ...

On va réessayer.

2023/07/03 11:16:49.319643 192.168.10.253:5060 -> 192.168.1.1:5060
INVITE sip:0052@192.168.1.1 SIP/2.0
Via: SIP/2.0/UDP 192.168.10.253:5060;branch=z9hG4bK-4ffc33f;rport
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: 
Remote-Party-ID: "BERTRAND Jool"
;screen=yes;party=calling
Call-ID: b4303fbc-598e832d@192.168.10.253
CSeq: 101 INVITE
Max-Forwards: 70
Contact: "BERTRAND Jool" 
Expires: 240
User-Agent: Cisco/SPA112-1.4.1_SR5
Content-Length: 337
Allow: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, REFER
Supported: replaces
Content-Type: application/sdp

v=0
o=- 1109306 1109306 IN IP4 192.168.10.253
s=-
c=IN IP4 192.168.10.253
t=0 0
m=audio 16388 RTP/AVP 8 18 0 2 100 101
a=rtpmap:8 PCMA/8000
a=rtpmap:18 G729a/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:2 G726-32/8000
a=rtpmap:100 NSE/8000
a=fmtp:100 192-193
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-15
a=ptime:30
a=sendrecv


2023/07/03 11:16:49.320230 192.168.1.1:5060 -> 192.168.10.253:5060
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP
192.168.10.253:5060;rport=5060;received=192.168.10.253;branch=z9hG4bK-4ffc33f
Call-ID: b4303fbc-598e832d@192.168.10.253
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: ;tag=z9hG4bK-4ffc33f
CSeq: 101 INVITE
WWW-Authenticate: Digest
realm="asterisk",nonce="1688375809/24b290ed53f6d5700e1c2242cea3347e",opaque="5872e4ec55567b00",algorithm=MD5,qop="auth
"
Server: Asterisk PBX 20.3.0~dfsg+~cs6.13.40431413-1
Content-Length:  0

2023/07/03 11:16:49.324923 192.168.10.253:5060 -> 192.168.1.1:5060
ACK sip:005@192.168.1.1 SIP/2.0
Via: SIP/2.0/UDP 192.168.10.253:5060;branch=z9hG4bK-4ffc33f;rport
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: ;tag=z9hG4bK-4ffc33f
Call-ID: b4303fbc-598e832d@192.168.10.253
CSeq: 101 ACK
Max-Forwards: 70
Contact: "BERTRAND Jool" 
User-Agent: Cisco/SPA112-1.4.1_SR5
Content-Length: 0

2023/07/03 11:16:49.328795 192.168.10.253:5060 -> 192.168.1.1:5060
INVITE sip:005@192.168.1.1 SIP/2.0
Via: SIP/2.0/UDP 192.168.10.253:5060;branch=z9hG4bK-7769d797;rport
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: 
Remote-Party-ID: "BERTRAND Jool"
;screen=yes;party=calling
Call-ID: b4303fbc-598e832d@192.168.10.253
CSeq: 102 INVITE
Max-Forwards: 70
Authorization: Digest
username="6001",realm="asterisk",nonce="1688375809/24b290ed53f6d5700e1c2242cea3347e",uri="sip:005@192.168.1.1",al
gorithm=MD5,response="8cda3eaf2616c6c31814e0420a209a45",opaque="5872e4ec55567b00",qop=auth,nc=0001,cnonce="569b9d8d"
Contact: "BERTRAND Jool" 
Expires: 240
User-Agent: Cisco/SPA112-1.4.1_SR5
Content-Length: 337
Allow: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, REFER
Supported: replaces
Content-Type: application/sdp

v=0
o=- 1109306 1109306 IN IP4 192.168.10.253
s=-
c=IN IP4 192.168.10.253
t=0 0
m=audio 16388 RTP/AVP 8 18 0 2 100 101
a=rtpmap:8 PCMA/8000
a=rtpmap:18 G729a/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:2 G726-32/8000
a=rtpmap:100 NSE/8000
a=fmtp:100 192-193
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-15
a=ptime:30
a=sendrecv

2023/07/03 11:16:49.329462 192.168.1.1:5060 -> 192.168.10.253:5060
SIP/2.0 100 Trying
Via: SIP/2.0/UDP
192.168.10.253:5060;rport=5060;received=192.168.10.253;branch=z9hG4bK-7769d797
Call-ID: b4303fbc-598e832d@192.168.10.253
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: 
CSeq: 102 INVITE
Server: Asterisk PBX 20.3.0~dfsg+~cs6.13.40431413-1
Content-Length:  0

2023/07/03 11:16:49.366603 192.168.1.1:5060 -> 192.168.10.253:5060
SIP/2.0 503 Service Unavailable
Via: SIP/2.0/UDP
192.168.10.253:5060;rport=5060;received=192.168.10.253;branch=z9hG4bK-7769d797
Call-ID: b4303fbc-598e832d@192.168.10.253
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: ;tag=b3c85bd6-bf99-4304-9bb8-9f72ed0e951f
CSeq: 102 INVITE
Server: Asterisk PBX 20.3.0~dfsg+~cs6.13.40431413-1
Reason: Q.850;cause=34
Content-Length:  0

C'est effectivement le SPA qui a l'air de répondre par une erreur 503.

2023/07/03 11:16:49.404098 192.168.10.253:5060 -> 192.168.1.1:5060
ACK sip:005@192.168.1.1 SIP/2.0
Via: SIP/2.0/UDP 192.168.10.253:5060;branch=z9hG4bK-7769d797;rport
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: ;tag=b3c85bd6-bf99-4304-9bb8-9f72ed0e951f
Call-ID: b4303fbc-598e832d@192.168.10.253
CSeq: 102 ACK
Max-Forwards: 70
Authorization: Digest
username="6001",realm="asterisk",nonce="1688375809/24b290ed53f6d5700e1c2242cea3347e",uri="sip:005@192.168.1.1",al
gorithm=MD5,response="8cda3eaf2616c6c31814e0420a209a45",opaque="5872e4ec55567b00",qop=auth,nc=0001,cnonce="569b9d8d"
Contact: "BERTRAND Jool" 
User-Agent: Cisco/SPA112-1.4.1_SR5
Content-Length: 0

Re: Configuration asterisk

Stop: n'as tu pas dit que les postes en interne arrivent à s'appeler ? 
Si c'est le cas, cela veut dire qu'asterisk ne sait pas comment traiter 
l'appel.


34. No circuit/channel available

Renvois STP le context internal

Le 03/07/2023 à 11:35, NoSpam a écrit :


Le 03/07/2023 à 11:21, BERTRAND Joël a écrit :

NoSpam a écrit :

On peut avoir les logs "lisibles", je me demande si ce n'est pas le SPA
qui envoit cette erreur ...

On va réessayer.

Bien plus clair :)

[...]
2023/07/03 11:16:49.366603 192.168.1.1:5060 -> 192.168.10.253:5060
SIP/2.0 503 Service Unavailable
Via: SIP/2.0/UDP
192.168.10.253:5060;rport=5060;received=192.168.10.253;branch=z9hG4bK-7769d797 


Call-ID: b4303fbc-598e832d@192.168.10.253
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: 
;tag=b3c85bd6-bf99-4304-9bb8-9f72ed0e951f

CSeq: 102 INVITE
Server: Asterisk PBX 20.3.0~dfsg+~cs6.13.40431413-1
Reason: Q.850;cause=34
Content-Length:  0

C'est effectivement le SPA qui a l'air de répondre par une erreur 503.

Ton asterisk (192.168.1.1) qui répond 503 au SPA

Il faudrait la config complète du SPA

Re: Configuration asterisk




Le 03/07/2023 à 11:21, BERTRAND Joël a écrit :

NoSpam a écrit :

On peut avoir les logs "lisibles", je me demande si ce n'est pas le SPA
qui envoit cette erreur ...

On va réessayer.

Bien plus clair :)

[...]
2023/07/03 11:16:49.366603 192.168.1.1:5060 -> 192.168.10.253:5060
SIP/2.0 503 Service Unavailable
Via: SIP/2.0/UDP
192.168.10.253:5060;rport=5060;received=192.168.10.253;branch=z9hG4bK-7769d797
Call-ID: b4303fbc-598e832d@192.168.10.253
From: "BERTRAND Jool" ;tag=cb4b2e70b9274409o0
To: ;tag=b3c85bd6-bf99-4304-9bb8-9f72ed0e951f
CSeq: 102 INVITE
Server: Asterisk PBX 20.3.0~dfsg+~cs6.13.40431413-1
Reason: Q.850;cause=34
Content-Length:  0

C'est effectivement le SPA qui a l'air de répondre par une erreur 503.

Ton asterisk (192.168.1.1) qui répond 503 au SPA

Il faudrait la config complète du SPA

Re: Configuration asterisk




Le 03/07/2023 à 11:12, BERTRAND Joël a écrit :

NoSpam a écrit :

Ton problème: error 503 Service Unavailable

Es tu sûr que le service est fonctionnel ?! Es tu sûr de la qualité de
ton lien ? Peux tu basculer en UDP pour tester ?

Le serveur en face ne répond pas en UDP. La réponse est donc non.

Un point me chagrine. À la requête du serveur de l'opérateur :
2023/07/03 11:00:47.087935 37.97.65.186:5070 -> 192.168.15.18:40055
OPTIONS sip:s@62.212.98.88:5060;transport=TCP SIP/2.0
Via: SIP/2.0/TCP 37.97.65.186:5070;branch=z9hG4bKZ67rt8U6937aK
Route: ;transport=TCP
Max-Forwards: 70
From: ;tag=7Xp87eDtae20H
To: 
Call-ID:
64f20903-cd7d-4d95-bbee-bac3e99029e2_4747c3c2-355c-4604-be14-d88ac29d89
48
CSeq: 348219426 OPTIONS
Contact: 
User-Agent: Sewan_TRUNKFSC15
Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, MESSAGE, INFO, UPDATE,
REGISTER, NOTIF
Y
Supported: path, replaces
Allow-Events: talk, hold, conference, refer
Content-Length: 0

mpon asterisk répond :
2023/07/03 11:00:47.088564 192.168.15.18:40055 -> 37.97.65.186:5070
SIP/2.0 404 Not Found
Via: SIP/2.0/TCP
37.97.65.186:5070;rport=5070;received=37.97.65.186;branch=z9hG4
bKZ67rt8U6937aK
Call-ID:
64f20903-cd7d-4d95-bbee-bac3e99029e2_4747c3c2-355c-4604-be14-d88ac29d89
48
From: ;tag=7Xp87eDtae20H
To: ;tag=z9hG4bKZ67rt8U6937aK
CSeq: 348219426 OPTIONS
Accept: application/sdp, application/xpidf+xml,
application/cpim-pidf+xml, appli
cation/simple-message-summary, application/pidf+xml,
application/dialog-info+xml
, application/pidf+xml, application/dialog-info+xml,
application/simple-message-
summary, message/sipfrag;version=2.0
Allow: OPTIONS, REGISTER, SUBSCRIBE, NOTIFY, PUBLISH, INVITE, ACK, BYE,
CANCEL,
UPDATE, PRACK, REFER, MESSAGE
Supported: 100rel, timer, replaces, norefersub
Accept-Encoding: identity
Accept-Language: en
Server: Asterisk PBX 20.3.0~dfsg+~cs6.13.40431413-1
Content-Length:  0

C'est l'extension s qui n'existe pas dans le contexte du trunk chez toi.

Il faudrait voir avec Sewan le pourquoi de la réponse. Lié au problème
d'UTF8 car ton prénom est devenu Jool ... ?

Je vais voir avec eux.

Petite question connexe sur sngrep. Je trouve des choses comme ça :
[ ] 29   OPTIONS100@1.1.1.1 100@1.1.1.1   1
[ ] 45   OPTIONScensysinsp...@censys.io test.e...@sip5060.net 1

Quand je vais voir dedans, je peux trouver :

2023/07/03 10:30:06.796424 116.12.47.142:5102 -> 192.168.15.18:5060
OPTIONS sip:100@62.212.98.88 SIP/2.0
Via: SIP/2.0/UDP 116.12.47.142:5102;branch=z9hG4bK-1203353867;rport
Max-Forwards: 70
To: "sipvicious"
From:
"sipvicious";tag=3365643436323538313363340132313430303536
303634
User-Agent: friendly-scanner
Call-ID: 681857140004342012871496
Contact: sip:100@116.12.47.142:5102
CSeq: 1 OPTIONS
Accept: application/sdp
Content-Length: 0

Je ne saisis pas comment ces paquets arrivent à passer le firewall.
Ce sont les attaques dont je parlais précédemment. Il semble qu'il y ai 
un trou dans le FW. Y'a pas du nat sur le Cisco pour le wan => lan ?

  Par
défaut, tout est fermé et je n'ouvre que le nécessaire. En particulier,
le 5060/UDP est censé être fermé.

Chain INPUT (policy DROP 18 packets, 1941 bytes)
  pkts bytes target prot opt in out source
destination
   889 99011 f2b-recidive  tcp  --  anyany anywhere
anywhere
   736  144K ACCEPT all  --  lo any anywhere
anywhere
   739 50821 ACCEPT all  --  lan0   any anywhere
anywhere
12  1872 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:ssh
56  5214 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:smtp
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:domain
 172 ACCEPT udp  --  wan0   any anywhere
anywhere udp dpt:domain
33  4407 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:http
 0 0 ACCEPT udp  --  wan0   any anywhere
anywhere udp dpt:ntp
19  3508 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:https
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:submissions
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:submission
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:imaps
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:pop3s
 0 0 ACCEPT udp  --  wan0   any anywhere
anywhere udp dpt:openvpn
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:openvpn
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:cvspserver
 0 0 ACCEPT udp  --  wan0   any anywhere
anywhere udp dpt:2401
 0 0 ACCEPT tcp  --  wan0   any anywhere
anywhere tcp dpt:xmpp-client

Re: Configuration asterisk