Re: choix d'un ISP professionnel pour la fibre

[Olivier Lange]

Quel débit sont demandés ? Quelles garanties ? Quel budget? Dans quelle
ville ? Est-ce que le bâtiment est déjà fibré ou non?

Il y a des centaines de fai pro...

Le jeu. 1 août 2019 à 13:51, Alexandre Goethals 
a écrit :

> Bonjour,
>
> la fibre pro c'est pas donné non plus.
>
> Les deux FAI professionnel que je connais:
>
> - Céleste: https://www.celeste.fr/fibre-optique Il y a une offre fibre
> mutualisée à partir de 40€ / mois, pour un budget de particulier, c'est
> par là que je commencerais.
>
> - Colt: https://www.colt.net/fr/optical/ Il y a plusieurs offres aussi,
> mais les prix sont sur devis je crois.
>
>
>
> Le 01/08/2019 à 05:02, Bernard Schoenacker a écrit :
> > bonjour,
> >
> > je recherche à avoir un débit montant conséquent et pour
> > l'instant je n'arrive pas à trouver de solution sous les yeux qui
> > me satisfassent, ensuite j'ai dans le lot un utilisateur trop accroc
> > chez agrumes  et il ne se rends pas compte qu'il se fait vraiment
> > escroqué au niveau du tarif et il en redemande ...
> >
> > qui pourrais m'aiguiller ou me donner une bonne information ou
> contact
> > afin de pouvoir décrocher le graal ?
> >
> > merci pour votre aimable attention
> >
> > Bien à vous
> > Bernard
> >
>
>

Retour d'expérience sur la geo-localisation par iptables

[Olivier]

Bonjour,

J'envisage de protéger quelques serveurs par des règles iptables rejetant
des requêtes ne provenant pas de certains pays.

Comme ces serveurs sont à destination de clients français, j'ai en tête de
rejeter la terre entière sauf la France et quelques pays où des clients
passeraient leurs vacances.

Qui a déjà utilisé dans Debian un module déterminant le pays à partir d'une
IP ?
Quel retour d'expérience ?
Avec la rareté des adresses IPv4 et j'imagine, la revente de plages entre
opérateurs divers, une telle détection fonctionne-t-elle correctement pour
la France ?
Comment s'opère la mise à jour des règles ?
Suggestions ?

Slts

Re: Quel test unitaire illustre le problème que corrige "-j TCPMSS --clamp-mss-to-pmtu" ?

[Olivier]

Le jeu. 11 juil. 2019 à 14:04, Bernard Schoenacker <
bernard.schoenac...@free.fr> a écrit :

>
> bonjour,
>
> serait il possible de régler le mtu à 1492 sur la passerelle ?
>
>
Sauf erreur, le MTU était déjà réglé à 1492 sur le lien ppp0, si j'en crois
la sortie d' "ip link" .
En commentant-décommentant ma commande iptables, l'accès au site web marche
ou non.

Par ailleurs, j'ai :
ping -M do -s 1492 192.168.4.254
PING 192.168.4.254 (192.168.4.254) 1492(1520) bytes of data.
ping: local error: Message too long, mtu=1492

où 192.168.4.254 est l'IP de mon serveur PPPoE (sur lequel le MTU est aussi
valorisé à 1492).

La valeur la plus grande pour laquelle le ping ci-dessus réussit est 1464
(le hack iptables ne change rien à cet égard).
ping -M do -s 1464 192.168.4.254
PING 192.168.4.254 (192.168.4.254) 1464(1492) bytes of data.
1472 bytes from 192.168.4.254: icmp_seq=1 ttl=64 time=1.21 ms

Quel test unitaire illustre le problème que corrige "-j TCPMSS --clamp-mss-to-pmtu" ?

[Olivier]

Bonjour,

Dans mon labo, j'ai mis en place un environnement qui simule une connexion
d'Orange s'appuyant sur PPPoE.

Tout à fait par hasard, en jouant le rôle d'utilisateur se connectant avec
son terminal à cet environnement, je me suis rendu compte que pouvais
surfer sur de multiples sites web (lemonde.fr, ...) et que j'échouais
systématiquement sur l'un d'eux.

Poutant, en me connectant à ce site, via un autre réseau local, la
connexion s'établissait normalement.

Avec des captures Wireshark, j'ai vu que dans l'environnement en défaut, un
message "ICMP Don't Fragment" était émis. Ce message m'a fait penser à un
problème de MTU.
En me documentant sur des problèmes de MTU, j'ai découvert dans [1] le MSS
Clamping.
En ajoutant à un firewall la règle ci-après, j'ai pu me connecter au site
web qui posait problème.

iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ppp0 -j
TCPMSS --clamp-mss-to-pmtu

Cette anomalie découverte par hasard me donne envie d'avoir une méthode
plus rationnelle pour vérifier le bon fonctionnement d'un service réseau.

Plus spécifiquement, j'aimerai a minima, savoir quelle commande permet de
détecter le problème corrigé par la cible -j TCPMSS --clamp-mss-to-pmtu de
mes règles iptables ?

[1] https://inetdoc.net/guides/iptables-tutorial/tcpmsstarget.html

Slts

Re: Firefox et le son

[humbert . olivier . 1]

Si tu as lu les infos, alors tu as du voir que le support jack dans firefox est 
possible, simplement il n'est pas activé par défaut dans le firefox de Debian.
Tu as donc une solution.

D'autre part, la réponse que tu as produite est maladroite car :
1) on est pas chez un gros fournisseur commercial ici, c'est du logiciel libre, 
tu ne peux donc pas t'attendre à ce que tout fonctionne comme tu l'imaginerais
2) je t'ai donné une solution, et j'ai reçu 4 mots de remerciement, et 20 mots 
de râlage de frustration, ça ne va pas encourager à t'aider plus en avant (ni 
moi, ni d'autres lecteurs de la liste)
3) si tu souhaites que le bogue Debian demandant l'intégration du support jack 
dans firefox soit moins "désertique", ajoutes-y ta voix, probable qu'avec 
davantage d'utilisateurs montrant leur intérêt et demandant cette 
fonctionnalité, Dieu s'en occupera un peu plus vite
4) en fait, c'est pas vraiment Dieu qui s'occupe de Debian, ce sont des humains 
pour la plupart bénévole, ça aurait mérité d'être pris en compte dans ta 
réponse, et méritera d'être pris en compte dans ta future réponse

Cordialement aussi


- Mail original -
De: l...@contacte.xyz

Bonjour.

Merci pour votre réponse.

Mais je cherche une solution, pas un prêche dans le desert avec quatre 
pèlerins et Dieu qui s'en fout.

Cordialement.






Le 2019-06-30 22:38, humbert.olivie...@free.fr a écrit :
> Bonsoir/bonjour.
> 
>> Depuis 1000 ans maintenant, firefox et la Moz-fondation ont décidé que
>> le son avec firefox = pulseaudio.
>> 
>> https://bugzilla.mozilla.org/show_bug.cgi?id=1345661#c19
> 
> C'est pas si vrai que ça.
> Voir https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=844688
> 
> Encouragement à y ajouter ta voix.
> 
> Olivier

Re: Firefox et le son

[humbert . olivier . 1]

Bonsoir/bonjour.

> Depuis 1000 ans maintenant, firefox et la Moz-fondation ont décidé que 
> le son avec firefox = pulseaudio.
> 
> https://bugzilla.mozilla.org/show_bug.cgi?id=1345661#c19

C'est pas si vrai que ça.
Voir https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=844688 

Encouragement à y ajouter ta voix.

Olivier

Re: [HS mais pas trop] PC industriel

[Olivier Lange]

Tu as besoin de quoi? En matos ?

Pour ma part, je viens de me commander 3 carte basée sur J1900, avec 8go de
RAM, msata pour le système, SSD de 500go pour la data, pour moins de 180$
pièce. Après, une petite impression 3D pour avoir un boîtier comme je veux,
et j'ai un cluster proxmox capable de faire du ceph, pour pas cher ;).

Et c'est de l'industriel, standard (qotom). Le tout commandé... Sur
Aliexpress :D

Olivier


Le lun. 24 juin 2019 à 19:16, kaliderus  a écrit :

> Rebonjour,
>
> Le lun. 24 juin 2019 à 13:34, bas...@starynkevitch.net
>  a écrit :
> >
> > Bonjour,
> >
> > A mon avis, il faudrait expliquer pourquoi faire.
> J'ai hésité à me lancer là dedans en restant le plus concis possible.
> Je souhaite pouvoir rajouter des cartes filles idoines dans la limite
> du nombre de connecteurs.
> >
> > Si c'est un bricolage perso, j'essaierais d'inserer une carte ITX ou
> microATX dans le rack qui va bien. Peut-être, acheter chez Castorama ou
> autre des bouts de plastique (ou profilés) isolants et les percer aux
> bonnes dimensions pour la carte ITX. C'est 30 minutes de bricolage. Et le
> plastique est isolant et se perce facilement.
> Oui mais non, les plastiques et autres composés ne sont pas si bons
> isolants, et j'ai les moyens d'investir dans un vrai boitier, c'est
> peut être du bricolage, mais je souhaite le faire en professionnel.
> Je ne souhaite pas une solution la moins chère possible, juste à un
> prix raisonnable.
> >
> >
> https://www.castorama.fr/profile-rectangulaire-pvc-blanc/3232630606957_CAFR.prd
> >
> > Sinon,  c'est logique qu'un PC industriel a un prix industriel.
> Oui mais non encore une fois, tout dépend de la définition qu'on donne
> à "industriel".
> Les systèmes sur lesquels j'ai bossé utilisaient des plates-formes qui
> n'étaient pas du tout dernier cri.
> La carte qui recevait le processeur et la mémoire coûtait vers les
> 200-300€ (processeur et mémoire comprise), le tout dans un boitier qui
> devait coûter autant, et revendu au client vers les 5000€ (des fois
> plus) selon la tête du client et le portefeuille du service achats.
> La marge est confortable.
> Le but était d'avoir une plate-forme bien connue et disons
> standardisée selon nos critères, qui répond à un besoin spécifique
> (c'était en l'occurrence de la récupération de données de capteurs de
> position particulièrement sensibles), à savoir à débit garanti (pas
> nécessairement maximal).
> Quand on est dans une usine avec des machines qui rayonnent dans tous
> les sens, on est content d'avoir quelque chose de bien isolé, et même
> dans ce cas j'ai vu des capteurs lâché sans en connaître réellement la
> cause.
>
> >
> > Faut pas oublier que le temps d'un ingénieur coûte bien plus que le prix
> du matériel industriel qu'il utilise
> Ok admettons...ceci dit en tant qu'ingénieur, même à la maison,
> j'essaye d'optimiser ce fameux temps, d'où ma recherche :-)
> >
> > Le slogan à retenir, c'est "time is money" (même quand on bricole chez
> soi). Un rack aux dimensions idoines, ça se trouve facilement.
> C'est plus le matos que je peux y mettre dedans qui m'interroge, le
> rack restera un bout de métal.
>
> Merci pour vos retours.
>
>

Re: Contrôleur Intel 15be/e1000e supporté par Buster mais pas par Stretch: que faire ? [RESOLU]

[Olivier]

Je viens à l'instant d'essayer [3] en utilisant un adaptateur Ethernet sur
USB.

À ma grande surprise, c'est particulièrement simple et ça fonctionne (en
apparence) !
Je recommanderai sans hésiter d'essayer cette procédure.

Merci à tous pour vos conseils !


[3]
https://www.intel.fr/content/www/fr/fr/support/articles/05480/network-and-i-o/ethernet-products.html

Le mar. 18 juin 2019 à 13:27, Guillaume Clercin  a
écrit :

> Bonjour,
>
> Je suggère d'installer une debian stretch en utilisant une carte réseau
> en USB (le temps de l'installation). Puis d'installer un noyau (avec
> les firmwares si nécessaire) depuis les backports de la stretch.
>
> On peut renommer les interfaces soit :
> * en éditant le fichier « /etc/udev/rules.d/70-persistent-net.rules »
> * en utilisant le paquet « ifrename »
>
> Cordialement,
> --
> Guillaume Clercin
>
>
> On Tue, 18 Jun 2019 12:44:33 +0200
> Olivier  wrote:
>
> > En complément de ma question précédente volontairement ouverte, voici les
> > pistes que j'imagine:
> >
> > 1. Acheter un adaptateur Ethernet sur USB supporté par Stretch qui va
> > remplacer purement et simplement l'adaptateur intégré (pb: quelles perfo
> ?
> > comment avoir un nommage de l'interface plus sympa que enx123456789abcd
> ?)
> >
> > 2. Ajouter un dépôt magique (Stretch Backport ? depot Intel) dans lequel
> se
> > trouve un paquet magique.
> >
> > 3. Ajouter un binaire magique
> >
> > 4. Compiler/installer des sources
> >
> > Le mar. 18 juin 2019 à 12:21, Olivier  a écrit :
> >
> > > Bonjour,
> > >
> > > Je viens de réceptionner un NUC Intel.
> > > Je dois impérativement le livrer avec Stretch, d'ici 48h maximum.
> > >
> > > Avec l'installeur de Buster (cf [1]), l'interface Ethernet est
> reconnue et
> > > fonctionnelle.
> > > Elle est vue de type 15be alias e1000e.
> > >
> > > L'installeur de Stretch (cf [2]) ne détecte pas cette interface
> Ethernet :
> > > il me présente une liste de drivers dans laquelle figure un driver
> e1000e.
> > > En le sélectionnant, rien ne se passe.
> > >
> > > Que me conseillez-vous ?
> > >
> > > Slts
> > >
> > > [1]
> > >
> https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/buster_di_rc1+nonfree/multi-arch/iso-cd/firmware-buster-DI-rc1-amd64-i386-netinst.iso
> > >
> > > [2]
> > >
> https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.9.0+nonfree/multi-arch/iso-cd/firmware-9.9.0-amd64-i386-netinst.iso
> > >
>

Re: Contrôleur Intel 15be/e1000e supporté par Buster mais pas par Stretch: que faire ?

[Olivier]

En complément de ma question précédente volontairement ouverte, voici les
pistes que j'imagine:

1. Acheter un adaptateur Ethernet sur USB supporté par Stretch qui va
remplacer purement et simplement l'adaptateur intégré (pb: quelles perfo ?
comment avoir un nommage de l'interface plus sympa que enx123456789abcd ?)

2. Ajouter un dépôt magique (Stretch Backport ? depot Intel) dans lequel se
trouve un paquet magique.

3. Ajouter un binaire magique

4. Compiler/installer des sources

Le mar. 18 juin 2019 à 12:21, Olivier  a écrit :

> Bonjour,
>
> Je viens de réceptionner un NUC Intel.
> Je dois impérativement le livrer avec Stretch, d'ici 48h maximum.
>
> Avec l'installeur de Buster (cf [1]), l'interface Ethernet est reconnue et
> fonctionnelle.
> Elle est vue de type 15be alias e1000e.
>
> L'installeur de Stretch (cf [2]) ne détecte pas cette interface Ethernet :
> il me présente une liste de drivers dans laquelle figure un driver e1000e.
> En le sélectionnant, rien ne se passe.
>
> Que me conseillez-vous ?
>
> Slts
>
> [1]
> https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/buster_di_rc1+nonfree/multi-arch/iso-cd/firmware-buster-DI-rc1-amd64-i386-netinst.iso
>
> [2]
> https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.9.0+nonfree/multi-arch/iso-cd/firmware-9.9.0-amd64-i386-netinst.iso
>

Contrôleur Intel 15be/e1000e supporté par Buster mais pas par Stretch: que faire ?

[Olivier]

Bonjour,

Je viens de réceptionner un NUC Intel.
Je dois impérativement le livrer avec Stretch, d'ici 48h maximum.

Avec l'installeur de Buster (cf [1]), l'interface Ethernet est reconnue et
fonctionnelle.
Elle est vue de type 15be alias e1000e.

L'installeur de Stretch (cf [2]) ne détecte pas cette interface Ethernet :
il me présente une liste de drivers dans laquelle figure un driver e1000e.
En le sélectionnant, rien ne se passe.

Que me conseillez-vous ?

Slts

[1]
https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/buster_di_rc1+nonfree/multi-arch/iso-cd/firmware-buster-DI-rc1-amd64-i386-netinst.iso

[2]
https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.9.0+nonfree/multi-arch/iso-cd/firmware-9.9.0-amd64-i386-netinst.iso

Re: Clef USB - disparition de données [résolu]

[humbert . olivier . 1]

Bonjour Belaïd", et merci pour ce conseil. 

Je n'avais pas encore utilisé ce programme jusqu'à maintenant. 
En fait, je viens de récupérer les fichiers (1273 fichiers, 3,8Go) sur mon 
disque dur grâce à testdisk. 

Maintenant, il ne me reste plus qu'à comprendre s'il s'agit d'un problème de la 
clef (au quel cas, je ne pourrais pas continuer à l'utiliser et appliquerai une 
méthode proche de celle de Basile), où si c'est dû à une mauvaise manipulation 
de ma part. 

En tout cas, grand merci, je suis content d'avoir pu remettre la main sur mes 
données. 
Bonne soirée/journée. 
Olivier 

PS : et un gros bravo aux personnes derrière testdisk/photorec si elles nous 
lisent ici. 



À: "Belaïd MOUNSI"  
Cc: "DUF"  
Envoyé: Vendredi 14 Juin 2019 18:12:28 
Objet: Re: Clef USB - disparition de données 

Bonjour, 

Essai de récupérer la partition perdu avec photorec par exemple... 

Le ven. 14 juin 2019 18:05, < [ mailto:humbert.olivie...@free.fr | 
humbert.olivie...@free.fr ] > a écrit : 



Bonsoir/bonjour à toutes et tous. 

(Debian Stretch, à jour ici) 

Hier, j'ai fait du tri dans mes clefs USB et leurs contenus. 
J'ai tout mis sur mon disque dur, et j'ai reformaté les clefs USB (avec GParted 
0.25.0) en fat32. 
En fat32 car certaines étaient en ext4, et d'autres en fat, et ça n'était pas 
pratique lorsque j'avais besoin de me servir d'un autre système d'exploitation. 

Ensuite, j'ai réintégré mes données du disque dur vers les clefs USB en les 
triant/copiant/collant. 

Dans l'ensemble, pas de soucis, sauf avec une clef USB. 
Dans celle ci, j'avais placé 3 répertoires dans la racine, et effectué des 
ajouts/suppressions de fichiers dans ces dossiers. 
Ensuite je l'ai démontée. 

Lorsque j'ai voulu la remonter, plus rien. 
Je veux dire par là, que la clef n'a pas montée du tout. 

Quand je la branche, dmesg me dit ceci : 

[331425.040018] usb 3-3: new high-speed USB device number 65 using ehci-pci 
[331425.160032] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 
[331425.160035] usb 3-3: New USB device strings: Mfr=1, Product=2, 
SerialNumber=0 
[331425.160038] usb 3-3: Product: USB DISK 
[331425.160040] usb 3-3: Manufacturer: SMI Corporation 
[331425.161654] usb-storage 3-3:1.0: USB Mass Storage device detected 
[331425.161873] scsi host6: usb-storage 3-3:1.0 
[331428.149862] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 
ANSI: 4 
[331428.156460] sd 6:0:0:0: Attached scsi generic sg2 type 0 
[331428.157214] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 
GB/7.32 GiB) 
[331428.158087] sd 6:0:0:0: [sdb] Write Protect is off 
[331428.158095] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 
[331428.158959] sd 6:0:0:0: [sdb] No Caching mode page found 
[331428.158961] sd 6:0:0:0: [sdb] Assuming drive cache: write through 
[331428.188107] sd 6:0:0:0: [sdb] Attached SCSI removable disk 

Et il n'y a pas de sdb1 dans /dev/, just un sdb 

Quand je branche une autre clef (exactement le même modèle), elle aussi 
formatée en fat32, dmesg me dit ceci : 

[331681.056017] usb 3-3: new high-speed USB device number 69 using ehci-pci 
[331681.175681] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 
[331681.175684] usb 3-3: New USB device strings: Mfr=1, Product=2, 
SerialNumber=0 
[331681.175686] usb 3-3: Product: USB DISK 
[331681.175688] usb 3-3: Manufacturer: SMI Corporation 
[331681.176112] usb-storage 3-3:1.0: USB Mass Storage device detected 
[331681.176981] scsi host6: usb-storage 3-3:1.0 
[331682.404602] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 
ANSI: 4 
[331682.411544] sd 6:0:0:0: Attached scsi generic sg2 type 0 
[331682.411571] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 
GB/7.32 GiB) 
[331682.412307] sd 6:0:0:0: [sdb] Write Protect is off 
[331682.412310] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 
[331682.412929] sd 6:0:0:0: [sdb] No Caching mode page found 
[331682.412931] sd 6:0:0:0: [sdb] Assuming drive cache: write through 
[331682.417719] sdb: sdb1 
[331682.420461] sd 6:0:0:0: [sdb] Attached SCSI removable disk 

et là, le sdb1 est bien présent et je peux monter le système de fichier et y 
avoir accès normalement. 

Si je lance gparted sur /dev/sdb de la clef me posant un soucis, il me dit que 
la clef n'a pas de partition formatée, voir le fichier joint 
"gparted-clef-prob.png". 
Gparted sur /dev/sdb de la clef ne posant pas de soucis, il me dit que la clef 
possède une partition fat32, voir le fichier joint "gparted-clef-normal.png". 


Alors 2 choses : 
- je suis curieux de savoir ce qui a bien pu se passer, d'autant plus que j'y 
ai eu accès lorsque j'ai copié des fichiers dessus après son formatage. 
- j'aimerai beaucoup pouvoir récupérer les fichiers de la clef posant un 
soucis, la terre ne s'arrêtera probablement pas de tourner si je n'y parviens 
pas, mais j'avais plusieurs travaux en cours dessus et des informations dont 
j'ai besoin. 


Une idée pour m'assister avec

Re: Clef USB - disparition de données

[humbert . olivier . 1]

(avec les pièces jointes) 



Bonsoir/bonjour à toutes et tous. 

(Debian Stretch, à jour ici) 

Hier, j'ai fait du tri dans mes clefs USB et leurs contenus. 
J'ai tout mis sur mon disque dur, et j'ai reformaté les clefs USB (avec GParted 
0.25.0) en fat32. 
En fat32 car certaines étaient en ext4, et d'autres en fat, et ça n'était pas 
pratique lorsque j'avais besoin de me servir d'un autre système d'exploitation. 

Ensuite, j'ai réintégré mes données du disque dur vers les clefs USB en les 
triant/copiant/collant. 

Dans l'ensemble, pas de soucis, sauf avec une clef USB. 
Dans celle ci, j'avais placé 3 répertoires dans la racine, et effectué des 
ajouts/suppressions de fichiers dans ces dossiers. 
Ensuite je l'ai démontée. 

Lorsque j'ai voulu la remonter, plus rien. 
Je veux dire par là, que la clef n'a pas montée du tout. 

Quand je la branche, dmesg me dit ceci : 

[331425.040018] usb 3-3: new high-speed USB device number 65 using ehci-pci 
[331425.160032] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 
[331425.160035] usb 3-3: New USB device strings: Mfr=1, Product=2, 
SerialNumber=0 
[331425.160038] usb 3-3: Product: USB DISK 
[331425.160040] usb 3-3: Manufacturer: SMI Corporation 
[331425.161654] usb-storage 3-3:1.0: USB Mass Storage device detected 
[331425.161873] scsi host6: usb-storage 3-3:1.0 
[331428.149862] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 
ANSI: 4 
[331428.156460] sd 6:0:0:0: Attached scsi generic sg2 type 0 
[331428.157214] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 
GB/7.32 GiB) 
[331428.158087] sd 6:0:0:0: [sdb] Write Protect is off 
[331428.158095] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 
[331428.158959] sd 6:0:0:0: [sdb] No Caching mode page found 
[331428.158961] sd 6:0:0:0: [sdb] Assuming drive cache: write through 
[331428.188107] sd 6:0:0:0: [sdb] Attached SCSI removable disk 

Et il n'y a pas de sdb1 dans /dev/, just un sdb 

Quand je branche une autre clef (exactement le même modèle), elle aussi 
formatée en fat32, dmesg me dit ceci : 

[331681.056017] usb 3-3: new high-speed USB device number 69 using ehci-pci 
[331681.175681] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 
[331681.175684] usb 3-3: New USB device strings: Mfr=1, Product=2, 
SerialNumber=0 
[331681.175686] usb 3-3: Product: USB DISK 
[331681.175688] usb 3-3: Manufacturer: SMI Corporation 
[331681.176112] usb-storage 3-3:1.0: USB Mass Storage device detected 
[331681.176981] scsi host6: usb-storage 3-3:1.0 
[331682.404602] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 
ANSI: 4 
[331682.411544] sd 6:0:0:0: Attached scsi generic sg2 type 0 
[331682.411571] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 
GB/7.32 GiB) 
[331682.412307] sd 6:0:0:0: [sdb] Write Protect is off 
[331682.412310] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 
[331682.412929] sd 6:0:0:0: [sdb] No Caching mode page found 
[331682.412931] sd 6:0:0:0: [sdb] Assuming drive cache: write through 
[331682.417719] sdb: sdb1 
[331682.420461] sd 6:0:0:0: [sdb] Attached SCSI removable disk 

et là, le sdb1 est bien présent et je peux monter le système de fichier et y 
avoir accès normalement. 

Si je lance gparted sur /dev/sdb de la clef me posant un soucis, il me dit que 
la clef n'a pas de partition formatée, voir le fichier joint 
"gparted-clef-prob.png". 
Gparted sur /dev/sdb de la clef ne posant pas de soucis, il me dit que la clef 
possède une partition fat32, voir le fichier joint "gparted-clef-normal.png". 


Alors 2 choses : 
- je suis curieux de savoir ce qui a bien pu se passer, d'autant plus que j'y 
ai eu accès lorsque j'ai copié des fichiers dessus après son formatage. 
- j'aimerai beaucoup pouvoir récupérer les fichiers de la clef posant un 
soucis, la terre ne s'arrêtera probablement pas de tourner si je n'y parviens 
pas, mais j'avais plusieurs travaux en cours dessus et des informations dont 
j'ai besoin. 


Une idée pour m'assister avec ce soucis ? 

Bonne soirée/journée à tout le monde, 
Olivier 

Clef USB - disparition de données

[humbert . olivier . 1]

Bonsoir/bonjour à toutes et tous. 

(Debian Stretch, à jour ici) 

Hier, j'ai fait du tri dans mes clefs USB et leurs contenus. 
J'ai tout mis sur mon disque dur, et j'ai reformaté les clefs USB (avec GParted 
0.25.0) en fat32. 
En fat32 car certaines étaient en ext4, et d'autres en fat, et ça n'était pas 
pratique lorsque j'avais besoin de me servir d'un autre système d'exploitation. 

Ensuite, j'ai réintégré mes données du disque dur vers les clefs USB en les 
triant/copiant/collant. 

Dans l'ensemble, pas de soucis, sauf avec une clef USB. 
Dans celle ci, j'avais placé 3 répertoires dans la racine, et effectué des 
ajouts/suppressions de fichiers dans ces dossiers. 
Ensuite je l'ai démontée. 

Lorsque j'ai voulu la remonter, plus rien. 
Je veux dire par là, que la clef n'a pas montée du tout. 

Quand je la branche, dmesg me dit ceci : 

[331425.040018] usb 3-3: new high-speed USB device number 65 using ehci-pci 
[331425.160032] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 
[331425.160035] usb 3-3: New USB device strings: Mfr=1, Product=2, 
SerialNumber=0 
[331425.160038] usb 3-3: Product: USB DISK 
[331425.160040] usb 3-3: Manufacturer: SMI Corporation 
[331425.161654] usb-storage 3-3:1.0: USB Mass Storage device detected 
[331425.161873] scsi host6: usb-storage 3-3:1.0 
[331428.149862] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 
ANSI: 4 
[331428.156460] sd 6:0:0:0: Attached scsi generic sg2 type 0 
[331428.157214] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 
GB/7.32 GiB) 
[331428.158087] sd 6:0:0:0: [sdb] Write Protect is off 
[331428.158095] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 
[331428.158959] sd 6:0:0:0: [sdb] No Caching mode page found 
[331428.158961] sd 6:0:0:0: [sdb] Assuming drive cache: write through 
[331428.188107] sd 6:0:0:0: [sdb] Attached SCSI removable disk 

Et il n'y a pas de sdb1 dans /dev/, just un sdb 

Quand je branche une autre clef (exactement le même modèle), elle aussi 
formatée en fat32, dmesg me dit ceci : 

[331681.056017] usb 3-3: new high-speed USB device number 69 using ehci-pci 
[331681.175681] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 
[331681.175684] usb 3-3: New USB device strings: Mfr=1, Product=2, 
SerialNumber=0 
[331681.175686] usb 3-3: Product: USB DISK 
[331681.175688] usb 3-3: Manufacturer: SMI Corporation 
[331681.176112] usb-storage 3-3:1.0: USB Mass Storage device detected 
[331681.176981] scsi host6: usb-storage 3-3:1.0 
[331682.404602] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 
ANSI: 4 
[331682.411544] sd 6:0:0:0: Attached scsi generic sg2 type 0 
[331682.411571] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 
GB/7.32 GiB) 
[331682.412307] sd 6:0:0:0: [sdb] Write Protect is off 
[331682.412310] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 
[331682.412929] sd 6:0:0:0: [sdb] No Caching mode page found 
[331682.412931] sd 6:0:0:0: [sdb] Assuming drive cache: write through 
[331682.417719] sdb: sdb1 
[331682.420461] sd 6:0:0:0: [sdb] Attached SCSI removable disk 

et là, le sdb1 est bien présent et je peux monter le système de fichier et y 
avoir accès normalement. 

Si je lance gparted sur /dev/sdb de la clef me posant un soucis, il me dit que 
la clef n'a pas de partition formatée, voir le fichier joint 
"gparted-clef-prob.png". 
Gparted sur /dev/sdb de la clef ne posant pas de soucis, il me dit que la clef 
possède une partition fat32, voir le fichier joint "gparted-clef-normal.png". 


Alors 2 choses : 
- je suis curieux de savoir ce qui a bien pu se passer, d'autant plus que j'y 
ai eu accès lorsque j'ai copié des fichiers dessus après son formatage. 
- j'aimerai beaucoup pouvoir récupérer les fichiers de la clef posant un 
soucis, la terre ne s'arrêtera probablement pas de tourner si je n'y parviens 
pas, mais j'avais plusieurs travaux en cours dessus et des informations dont 
j'ai besoin. 


Une idée pour m'assister avec ce soucis ? 

Bonne soirée/journée à tout le monde, 
Olivier 

Utilisation de dhclient-up-hooks

[Olivier]

Bonjour,

La doc dhclient-script [1] fait référence à un script
/etc/dhcp/dhclient-up-hooks qui n'est jamais exécuté sur ma machine sous
Stretch.

Sur ma machine, les scripts dans /etc/dhcp/dhclient-enter-hooks.d sont
exécutés mais pas le script /etc/dhcp/dhclient-up-hooks ou des variations
de celui-ci (script /etc/dhcp/dhclient-up-hooks.d/ffobar, ...).

Qui a réussit à faire exécuter ce script ?

Slts

[1] https://linux.die.net/man/8/dhclient-script

Re: Recherche d'une distribution linux très légère ...

[Olivier Lange]

3W... Je doute qu'un ordinateur P2 consommais 3W, hein... ;)

https://elinux.org/RPi_Hardware

Olivier

Le lun. 29 avr. 2019 à 17:17, Jean Bernon  a écrit :

>
> @Olivier Ce qui est lourd c'est le bureau : donc avec Openbox ou antiX ça
> devrait marcher, peut-être même avec Xfce.
>
> @Basile Tu as peut-être raison sur le fond, mais le choix de réutiliser
> une vieille machine n'est pas que nostalgique, c'est aussi un choix
> écologique (est-ce qu'un Raspberry consomme vraiment beaucoup moins
> d'énergie ?)
>
> - Mail original -
>
> > De: "Basile Starynkevitch" 
> > À: "platus.olivier" 
> > Cc: "ML Debian User French" 
> > Envoyé: Lundi 29 Avril 2019 17:04:34
> > Objet: Re: Recherche d'une distribution linux très légère ...
>
> > On 4/29/19 3:54 PM, platus.olivier wrote:
> > > Bonjour,
> > >
> > > J'ai un peu regardé les disributions pour vieux pc et il y en a
> > > beaucoup.
> > > La machine cible : pentium 2 300MHz 512Mo graphique radeon 64Mo.
> > > Le but : lire tout format de document avec du texte et des images
> > > (journaux,
> > > documentation technique, ..etc) stocké sur un disque dur avec la
> > > possibilité
> > > de télécharger cette documentation grâce à une clé usb 2.0 wifi
> > > connectée
> > > sur un port usb 1.1.
>
> > Juste une observation: un raspberry pi récent coûte quelques dizaines
> > d'euros et c'est une machine bien plus puissante que ça (et
> > consommant
> > moins d'énergie).
>
> > Pourquoi donc se fatiguer à installer un Linux sur un tel vieux clou?
> > Par nostalgie informatique (ou mode du rétrocomputing)?
>
> > Et même si tu réussis à installer un vieux Linux sur ce vieux clou, à
> > combien estimes-tu ton propre temps pour ce faire? Ça va te prendre
> > des
> > heures, voire des jours!
>
> > Rationnellement, le choix optimal me parait être de liquider ce
> > matériel
> > (en le remplaçant par exemple par un RaspBerry Pi plus puissant).
> > Mais
> > il a aussi des raisons affectives ou émotionnelles peut-être ?
>
> > Librement
>
> > --
> > Basile STARYNKEVITCH == http://starynkevitch.net/Basile
> > opinions are mine only - les opinions sont seulement miennes
> > Bourg La Reine, France
>
>

Re: Comment émettre des courriels d'alerte depuis des sites distants ?

[Olivier]

J'ai fait très rapidement quelques essais avec Mailgun :

- il existe une formule gratuite (jusqu'à 10k emails/mois)
- avec elle, on peut très facilement émettre depuis une machine sur
laquelle curl est installé et à destination de certaines adresses de
courriel (pour éviter cette limite, il faut fournir un numéro de carte de
crédit)
- j'ai aussi pu émettre en SMTP via Mailgun avec swaks

Ce dernier point laisse augurer la possibilité d'émettre via la multitude
d'applications qui utilisent le SMTP (et non le HTTP) pour émettre un
courriel.

En conclusion, j'ai bien envie de remplacer GMail par Mailgun

Le sam. 27 avr. 2019 à 16:14, Benoit B  a écrit :

> Le ven. 26 avr. 2019 à 18:53, Olivier  a écrit :
> >
> > J'avais moi aussi choisi l'option "applications moins sécurisées", mais
> sauf erreur (*), même avec celle-ci, j'ai encore des alertes de sécurité à
> la noix matérialisées par des questions orientées ("Oui, je me suis fait
> piraté", "Non, je veux changer mes paramètres").
> >
>
> Idem pour moi, j'ai choisi l'option "applications moins sécurisées",
> je parviens à me connecter, mais j'ai toujours ces alertes...
>
>

Comment autoriser les invités d'un réseau à ne communiquer qu'avec Internet et pas les autres réseaux locaux ?

[Olivier]

Bonjour,

J'ai un serveur Debian qui assure le routage entre Internet et plusieurs
réseaux .

J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau
Invité.
Quelle est la façon plus "pertinente" (terme volontairement vague qui
englobe les performances, la subjective facilité à maintenir ces règles) de:
- leur interdire de communiquer avec les autres réseaux locaux,
- leur autoriser de communiquer avec Internet.

J'imagine leur dédier :
- soit une table de routage
- soit des règles iptables

Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ?

Slts

Re: Comment émettre des courriels d'alerte depuis des sites distants ?

[Olivier]

@haricophile:
À quelle solution penses-tu ?
Monter son propre serveur de messagerie et configurer ses clients de
messagerie pour qu'ils le consultent ?


Le lun. 29 avr. 2019 à 08:01, Haricophile  a écrit :

> Le vendredi 26 avril 2019 à 18:52 +0200, Olivier a écrit :
> > J'avais moi aussi choisi l'option "applications moins sécurisées", mais
> > sauf erreur (*), même avec celle-ci, j'ai encore des alertes de sécurité
> à
> > la noix matérialisées par des questions orientées ("Oui, je me suis fait
> > piraté", "Non, je veux changer mes paramètres").
>
>
> Bienvenu dans le monde des GAFAM qui font bien ce qu'ils veulent. Dont des
> changement de serveurs/certificats a chaque connexion, des alertes dès
> qu'il y
> a un changement sur votre profile... pour votre sécurité vraiment ?
>
> Franchement c'est pas le moment pour vous de songer a une solution plus
> libre
> et beaucoup moins intrusive ? Ou tout au moins beaucoup plus
> professionnelle ?
> Il y a d'autres fournisseurs sur la planète. Pourquoi être masochiste ?
>
>

Re: Comment émettre des courriels d'alerte depuis des sites distants ?

[Olivier]

Le ven. 26 avr. 2019 à 16:12, Belaïd  a écrit :

> salut,
>
> Vérifiez "l'accès Pour les applications moins sécurisées" dans la section
> sécurité de ton compte Gmail.  Je ne sais pas trop ce que Gmail veut dire
> par "applications moins sécurisées " car dans mon cas,  si l'option
> ci-dessus est désactivée,  je n'arrive pas à me connecter depuis tous les
> clients (Thunderbird, Mail d'apple,  claws-mail...)  à part depuis le
> client officiel Gmail 
>
>
>
J'avais moi aussi choisi l'option "applications moins sécurisées", mais
sauf erreur (*), même avec celle-ci, j'ai encore des alertes de sécurité à
la noix matérialisées par des questions orientées ("Oui, je me suis fait
piraté", "Non, je veux changer mes paramètres").

(*) J'emploie le terme "sauf erreur" car je ne peux pas exclure que
certains échecs aient une autre cause que leur politique "tu envoies tes
emails via l'appli Web GMail, je laisse passer, tu envoies via autre chose
et je vais continuer à t'empoisonner la vie jusqu'à ce que tu changes".

J'envoie au grand maximum 1000 alertes par moi vers une seule adresse cible.

1. Que penser d'un prestataire de type MailGun et son relais SMTP ?
Est-ce adapté à l'envoi d'email par SMTP (les applis systèmes ne semblent
pas laisser d'autre choix) ?

2. Si non, quel autre canal ai-je intérêt à regarder ?

[1] https://www.mailgun.com/smtp

Comment émettre des courriels d'alerte depuis des sites distants ?

[Olivier]

Bonjour,

Je gère des serveurs sous Debian sur de multiples sites.
Ceux-ci sont configurés pour utiliser un compte Gmail quand ils émettent un
courriel (alerte, envoi fichiers).
J'utilise un compte unique pour des dizaines de machine.

Souvent, celles-ci n'émettent aucun message pendant des mois.

Quand elles en émettent, j'observe qu'il arrive souvent que ces messages
soient bloqués et que je reçoive à la place de Google, une alerte de
sécurité.

J'ai lu dans [1] que plutôt que configurer mes serveurs avec le login-mot
de passe du compte Gmail, il fallait utiliser un "mot de passe
d'application".

1. Que conseillez-vous ?
2. N'importe quel compte Gmail permet-il l'utilisation d'un "mot de passe
d'application" ?

Slts

[1] https://support.google.com/accounts/answer/185833?hl=fr

Re: [HS] Navigateur sur smartphone avec client VPN intégré

[Olivier]

J'ignorai qu'Opera intégrait un VPN: merci à tous pour l'avoir signalé.

En lisant ses caractéristiques, celles-ci sont toutefois assez limitées: je
pense que je vais devoir dissocier le VPN du navigateur et apprendre aux
utilisateurs à se servir des deux.

Encore merci

Le ven. 19 avr. 2019 à 18:46, didier gaumet  a
écrit :

>
> J'ai entendu dire qu'Opera avait un VPN intégré, je n'en sais pas plus...
>
>

[HS] Navigateur sur smartphone avec client VPN intégré

[Olivier]

Bonjour,

Je souhaite donner à quelques utilisateurs peu férus d'informatique (le mot
est faible), la possibilité de consulter depuis Internet une appli web
auto-hébergée.

J'imagine le faire en leur disant "pour consulter l'appli, lancer le
navigateur trucmuch" en espérant que ce navigateur dédié sache
automatiquement lancer un client VPN avant d'accéder à l'appli web
elle-même.

Si ce navigateur dédié peut être configuré comme un Site Specific Browser,
tant mieux, sinon c'est pas grave.

Pour la technologie du VPN, aucune importance (OpenVPN, L2TP, PPTP, ...).
Je n'ai pas d'exigence sur le niveau de couplage ou d'intégration entre le
Client VPN et le navigateur sinon que le lancement de l'un déclenche
l'autre.

La plateforme de l'utilisateur est un smartphone (Android, iOS).

Avez-vous des recommandations ou retour d'expérience ?

Slts

[HS] Matériel pour Ethernet Bypass

[Olivier]

Bonjour,

Pour augmenter la continuité de service, je recherche un matériel capable
de supporter la fonction Ethernet Bypass ou A/B switch pour Ethernet.

Par Ethernet Bypass ou A/B switch pour Ethernet, j'entends "basculer un
lien Ethernet d'un équipement principal A vers un équipement de secours B
ou réciproquement quand proviennent certains événements (réception d'une
commande, perte ou retour du courant électrique, etc ...)".

Pour le dire autrement, j'ai trois équipements A, B et C et mon commutateur
X.
Je connecte A, B et C au commutateur X
Quand le commutateur X est éteint, C est connecté à A (au sens continuité
électrique des 4 paires Ethernet). Quand X est allumé, C est connecté à B.
Réduire la durée de transition d'un état à l'autre ne me semble pas très
important: 60s, par exemple, me semble acceptable.
Un témoin lumineux quelconque trahissant l'état courant (allumé/éteint) me
semble suffisant.

Avec mon moteur de recherche, je vois des prix, à mon sens assez élevés
(700 E.HT pour 4 liens pour le moins cher, il y a aussi le Mikrotik RB1100
à 13 ports Ethernet dont 2 avec Ethernet Bypass).

Avez-vous connaissance d'un matériel compact à 150 E.HT pour 1 lien ?

À défaut, un guide pour construire de type d'équipement à partir de
composants (Pi, relais, ...) faciles à trouver pourrait faire l'affaire.

Slts

cle usb multiboot

[olivier . platus]

Bonjour.

Je souhaite creer une cle usb multiboot.
J'utilise une cle usb 2.0 de 134GB ou 125Go connectee a un port usb 1.1 d'une 
ordinateur 32 bits (pentium 2 avec 512Mo de memoire vive).
Le systeme d'exploitation est debian stretch 9.5 pour i386 .
Je travaille sous xwindow + twm + xterm et le compte utilisateur toto.

Pour cela je m'aide de la page internet : 
https://linuxconfig.org/how-to-create-multiboot-usb-with-linux 

Voici l'ensemble des operations a effectuer :

# root cree la cle usb multiboot
su
Mot de passe :
parted -s /dev/sdb mklabel msdos
parted -s /dev/sdb mkpart primary 1MiB 551MiB
parted -s /dev/sdb set 1 esp on
parted -s /dev/sdb set 1 boot on
mkfs.fat -F32 /dev/sdb1
parted -s /dev/sdb mkpart primary 551MiB 8743MiB # càd 8Go
mkfs.ext4 /dev/sdb2
mkdir /media/{efi,data}
mount /dev/sdb1 /media/efi
mount /dev/sdb2 /media/data
grub-install --target=i386-pc --recheck --boot-directory=/media/data/boot 
/dev/sdb
grub-install --target=x86_64-efi --recheck --removable 
--efi-directory=/media/efi --boot-directory=/media/data/boot
mkdir /media/data/boot/iso
chown 1000:1000 /media/data/boot/iso
wget -O /media/data/boot/iso/Fedora-Workstation-netinst-x86_64-28-1.1.iso 
https://download.fedoraproject.org/pub/fedora/linux/releases/28/Workstation/x86_64/iso/Fedora-Workstation-netinst-x86_64-28-1.1.iso
wget http://releases.ubuntu.com/18.10/ubuntu-18.10-desktop-amd64.iso -O 
/media/data/boot/iso/ubuntu-18.10-desktop-amd64.iso

# root edite grub.cfg
menuentry "Fedora-Workstation-netinst-x86_64-28-1.1" {
isofile="/boot/iso/Fedora-Workstation-netinst-x86_64-28-1.1.iso"
loopback loop "${isofile}"
linux (loop)/isolinux/vmlinuz iso-scan/filename="${isofile}" 
inst.stage2=hd:LABEL=Fedora-WS-dvd-x86_64-28 quiet
initrd (loop)/isolinux/initrd.img
}
menuentry "Ubuntu 18.10 - Try without installing" {
isofile="/boot/iso/ubuntu-18.10-desktop-amd64.iso"
loopback loop "${isofile}"
linux (loop)/casper/vmlinuz iso-scan/filename="${isofile}" boot=casper 
quiet splash ---
initrd (loop)/casper/initrd
}

Cependant apres la ligne creant le systeme de fichier ext4 : mkfs.ext4 -v 
/dev/sdb2

mke2fs 1.43.4 (31-Jan-2017)
résolution de fs_types pour mke2fs.conf : 'ext4'
Étiquette de système de fichiers=
Type de système d'exploitation : Linux
Taille de bloc=4096 (log=2)
Taille de fragment=4096 (log=2)
« Stride » = 0 blocs, « Stripe width » = 0 blocs
524288 i-noeuds, 2097152 blocs
104857 blocs (5.00%) réservés pour le super utilisateur
Premier bloc de données=0
Nombre maximum de blocs du système de fichiers=2147483648
64 groupes de blocs
32768 blocs par groupe, 32768 fragments par groupe
8192 i-noeuds par groupe
UUID de système de fichiers=6f283e9f-d959-4b37-9806-c957d0805b6a
Superblocs de secours stockés sur les blocs : 
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632

Allocation des tables de groupe : complété
Écriture des tables d'i-noeuds : complété
Création du journal (16384 blocs) : complété
Écriture des superblocs et de l'information de comptabilité du système de
fichiers : complété

une erreur se produit lors du montage de la partition 2 correspondant a la 
ligne : mount /dev/sdb2 /media/data

mount: wrong fs type, bad option, bad superblock on /dev/sdb2,
   missing codepage or helper program, or other error

   In some cases useful info is found in syslog - try
   dmesg | tail or so.

Aussi je tape la ligne : dmesg | tail

[ 2360.894305] sd 2:0:0:0: [sdb] 262144000 512-byte logical blocks: (134 GB/125 
GiB)
[ 2360.897505] sd 2:0:0:0: [sdb] Write Protect is off
[ 2360.897560] sd 2:0:0:0: [sdb] Mode Sense: 03 00 00 00
[ 2360.902203] sd 2:0:0:0: [sdb] No Caching mode page found
[ 2360.902254] sd 2:0:0:0: [sdb] Assuming drive cache: write through
[ 2360.924852]  sdb: sdb1
[ 2360.943268] sd 2:0:0:0: [sdb] Attached SCSI removable disk
[ 2442.120240]  sdb: sdb1
[ 2509.685836]  sdb: sdb1 sdb2
[ 2527.514797]  sdb: sdb1 sdb2

Je precise egalement le resultat de la ligne : apt search ext4

En train de trier... Fait
Recherche en texte intégral... Fait
android-libext4-utils/stable 7.0.0+r33-1 i386
  bibliothèque utilitaire ext4 Android

disktype/stable 9-6 i386
  detection of content format of a disk or disk image

e2fslibs/stable,stable,now 1.43.4-2 i386  [installé]
  bibliothèque pour les systèmes de fichiers ext2/ext3/ext4

e2fsprogs/stable,stable,now 1.43.4-2 i386  [installé]
  utilitaires pour les systèmes de fichiers ext2/ext3/ext4

extlinux/stable 3:6.03+dfsg-14.1+deb9u1 i386
  ensemble de chargeurs de démarrage (Linux ext2/ext3/ext4, btrfs et xfs)

extundelete/stable 0.2.4-1+b2 i386
  Utilitaire pour récupérer des fichiers supprimés sur des partitions ext3/ext4

fuse2fs/stable 1.43.4-2 i386
  ext2 / ext3 / ext4 file system driver for FUSE

libmono-system-reflection-context4.0-cil/stable 4.6.2.7+dfsg-1 all
  Mono System.Reflection.Context library (for CLI 4.0)

libtsk13/stable 4.4.0-5 i386
  library for forensics 

Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]

[Olivier]

À mon sens, il y a deux aspects bien distincts:
1- empêcher les accès illégitimes
2- empêcher les conséquences néfastes d'un accès illégitime.

J'ai quand même l'impression que sur une machine Linux sur laquelle root a
beaucoup (trop ?), le point 2 n'est vraiment pas facile à traiter.
Qui sait vraiment cloisonner une machine ?

Mon sentiment est que la majorité se focalise sur le point 1 en gardant
pour plus tard le point 2, un jour ou on aura le temps ...

C'est sûr que si une société doit exposer une machine sur Internet et qu'en
plus elle est susceptible d'attaques ciblées de la part de concurrents ou
autres, prêts à investir pour la voler ou lui nuire ...


Le mar. 26 mars 2019 à 14:58, Daniel Caillibaud  a
écrit :

> Le 26/03/19 à 10:36, BERTRAND Joël  a écrit :
> > Le nombre de clients que j'ai déjà vus avoir des machines
> > compromises avec un accès root total parce que le mot de passe était trop
> > compliqué
>
> Des mdp root… Question sécurité ça commence mal, donc ensuite, pass mysql
> ou pas…
>
> > et qu'ils ont collé un mot de passe à la turc avec un accès ssh
> > distant possible pour root ne se comptent plus (et même sans ça, le plus
> > beau était un compte ftpuser/ftpuser avec un root/toor, sans accès
> > distant à root par ssh, durée de vie de la machine sur le grand terne, un
> > week-end !). Donc par défaut, l'accès à une base de données se fait chez
> > moi avec un mot de passe même en étant root.
>
> J'ai toujours pas compris ce que ça apportait question sécurité…
>
> Avec un shell root tu change le pass du root db comme tu veux, donc le fait
> qu'il ait un pass ne protège de rien du tout.
>
> --
> Daniel
>
> L'esprit, c'est l'inverse de l'argent, moins on en a, plus on est heureux.
> Voltaire
>
>

Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]

[Olivier]

Le lun. 25 mars 2019 à 12:19, BERTRAND Joël  a
écrit :

>
>
> Pas chez moi :
>
>
> @Joel:
Que donne 'SELECT host, user, password, plugin FROM mysql.user;' sur ta
machine ?
Sur la mienne, j'ai bien le plugin unix_socket qu'Alexandre mentionne dans
son message.

@Alexandre:
Merci pour ton lien: il explique bien le nouveau paramétrage.
Le lien [1] le détaille aussi.
Pour l'instant, je conserve ce nouveau fonctionnement en l'état.
Je marque néanmoins ce fil de discussion comme RESOLU car je pense qu'il
pourra être utile à d'autres.

Merci à vous

[1] https://mariadb.com/kb/en/library/authentication-plugin-unix-socket/

Conseils sur l'administration de MySQL/MariaDB sur Buster ?

[Olivier]

Bonjour,

Je travaille sur une configuration de Freeradius avec une base de données
pour Debian Buster.

Comme la documentation de Freeradius avec base de données se réfère
massivement à MySQL, j'ai installé sur une VM, MySQL/MariaDB avec la
commande apt-get install default-mysql-server suivie de
mysql_secure_installation.

J'ai volontairement installé default-mysql-servercar dans mon cas, je suis
indifférent au choix MySQL/MariaDB: je souhaite juste mettre au point une
configuration qui fonctionnera quand Buster sera la version stable de
Debian.

Ce faisant, j'ai été surpris de constater qu'après ces 2 commandes, la
méthode d'accès à MySQL/MariaDB avait changé:

- l'utilisateur root peut se connecter sans mot de passe ou avec un mot de
passe erroné
- un utilisateur lambda ne peut plus se connecter en tant qu'utilisateur
MySQL/MariaDB root même en fournissant le bon mot de passe.

J'ai trouvé sur Internet vraiment très peu de doc sur l'administration de
MySQL/MariaDBsous Buster.

Avez-vous des conseils sur ceci dans le cas où on a besoin d'exécuter des
scripts de création-configuration de base de données MySQL ?

Faut-il installer MySQL plutôt que MariaDB ? Le contraire ?
Y-a-t-il une autre commande que mysql_secure_installation à exécuter ?
Peut-on sans état d'âme ignorer cette différence avec les versions de MySQL
sous Jessie ou autre ?
Documentation ?

Slts

Conseils sur la configuration de PostgreSQL

[Olivier]

Hello,

Déformé par des années de pratique (peu intensive) de MySQL, je découvre
PostgreSQL.

J'ai un peu de mal à me faire une religion sur la façon canonique de
configurer PostgreSQL.
Avez-vous des conseils sur le sujet ?

1. Est-ce un bon objectif de configurer un mot de passe pour l'utilisateur
postgres ? Si oui, quelle méthode conseillez-vous pour scripter (cf [2])
des commandes PostgreSQL ?
3. Comment maintenir le fichier pg_hba.conf ? En y ajoutant une directive
indiquant un fichier externe (perso.conf, local.conf, ...) de façon à bien
distinguer les paramètres de Debian de ses propres paramètres ?

Slts

[1] https://wiki.debian.org/PostgreSql
[2]
https://blog.sleeplessbeastie.eu/2014/03/23/how-to-non-interactively-provide-password-for-the-postgresql-interactive-terminal/

Re: prise de contrôle d'accès distant d'un ordi

[Olivier]

Merci à tous pour ces précieux conseils: Anydesk me semble à moi aussi plus
pertinent que TeamViewer.


Le jeu. 7 mars 2019 à 13:52, daniel huhardeaux  a
écrit :

> Le 07/03/2019 à 12:40, Olivier a écrit :
> >
> > Le jeu. 8 nov. 2018 à 09:45, Touch13  > <mailto:touc...@free.fr>> a écrit :
> >
> > Bonjour,
> >
> > J'ai regardé rapidement 'dwservice.net <http://dwservice.net>', ça a
> > l'air pas mal, mais est-ce
> > que quelque sait qui est derrière ?
> >
> > Cordialement.
> > ---
> > Christophe.
> >
> > Bonjour,
> >
> > Je recherche moi aussi une alternative à Teamviewer à qui je reproche:
> > - un prix assez élevé (30 E/mois)
> > - des difficultés fréquentes de compatibilité entre versions logicielles.
> >
> > Je viens de découvrir Chrome Remote Desktop (cf [1]).
> > Je ne l'ai pas encore utilisé et je serai ravi de connaître des retours
> > d'expérience sur son utilisation.
>
> J'ai eu les mêmes réflexions le mois dernier, pour terminer avec
> anydesk. Gratuit pour un usage privé, pas cher si on veut une licence et
> compatible Linux/Mac/Chromebook/Windows/Android/...
>
> Le problème de Chrome Remote Desktop est qu'il est trop lié aux comptes
> Google et difficile à télécharger et exécuter, comme d'habitude avec
> Google ou il faut passer par x pages pour trouver l'info.
>
> x2go mentionné dans un autre message est une alternative, l'installation
> cependant nécessite un accès à la machine car à mes yeux l'utilisateur
> lambda ne s'en sortira pas.
>
> >
> >
> > [1]
> >
> https://www.ionos.com/digitalguide/server/tools/the-best-teamviewer-alternatives/
> >
> --
> Daniel
>
>

Re: prise de contrôle d'accès distant d'un ordi

[Olivier]

Le jeu. 8 nov. 2018 à 09:45, Touch13  a écrit :

> Bonjour,
>
> J'ai regardé rapidement 'dwservice.net', ça a l'air pas mal, mais est-ce
> que quelque sait qui est derrière ?
>
> Cordialement.
> ---
> Christophe.
>
> Bonjour,

Je recherche moi aussi une alternative à Teamviewer à qui je reproche:
- un prix assez élevé (30 E/mois)
- des difficultés fréquentes de compatibilité entre versions logicielles.

Je viens de découvrir Chrome Remote Desktop (cf [1]).
Je ne l'ai pas encore utilisé et je serai ravi de connaître des retours
d'expérience sur son utilisation.


[1]
https://www.ionos.com/digitalguide/server/tools/the-best-teamviewer-alternatives/

Que vaut Buster/Gnome avec un écran tactile ?

[Olivier]

Bonjour,

J'ai un écran iiyama 26'' tactile et un ancien Chromebook Acer 720P.
J'ai prévu de connecter le premier à une UC sous Buster/Gnome et
d'installer Buster/Gnome sur le deuxième.

Avez-vous déjà utilisé Buster sous Gnome avec un écran tactile pour quel
retour d'expérience ?
Plus spécifiquement:

- Est-il possible/souhaitable d'utiliser à tour de rôle deux dispositifs de
pointage (souris/tactile) ?
- Bénéficie-t-on du multi-point sur beaucoup d'applications ?
- J'avais observé dans le passé des déclenchements intempestifs en
l'absence de toute action tactile réelle sur l'écran. Est-ce actuel ?
- Conseils et suggestions ?

Slts

Conseils sur la mise à jour d'application maison développée avec Django

[Olivier]

Bonjour,

Je dois bientôt démarrer le développement d'une application "maison" avec
Django (et Postgres pour la base de données).

J'imagine livrer plusieurs versions successives de l'application avec entre
deux versions principalement des modifications du modèle et du code
applicatif mais peut être aussi l'ajout ou la mise à jour de modules Django.

L'application gère relativement peu de données (des données de
configuration) et pour donner un ordre de grandeur, la perte de toutes les
données saisies pendant une saisie me semble acceptable.

Avez-vous des conseils pour que les changements de version s'opèrent en
douceur ?
Comment opèrent ceux qui font du CI/CD au petit déjeuner ?

Slts

Re: clipit empeche le copier/coller

[humbert . olivier . 1]

Bonsoir Basile et tout le monde,

Simplement pour confirmer que j'ai observé le même phénomène avec le Clipit 
dans Buster.
Par contre, aucun soucis avec celui de Stretch.
Ceci en utilisant MATE.

Le bogue a déjà été reporté ici : 
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=903997 et ici : 
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=904030

Je n'aurai pas le temps d'ajouter des éléments de confirmation du bogue dans 
les prochains jours, et tâcherai de le faire ensuite. Je vous encourage à faire 
de même.

Olivier

OpenVPN. Certificat ca.crt expiré. Comment éviter une redistribution de ca.crt

[Olivier]

Bonjour,

J'ai laissé passer la date d'expiration du certificat ca.crt sur mon
serveur OpenVPN sur lequel, ce matin, je vois:

openssl x509 -noout -text -in ca.crt
Certificate:
...
Signature Algorithm: sha1WithRSAEncryption
Issuer: ...
Not Before: Jan 28 18:27:35 2009 GMT
Not After : Jan 26 18:27:35 2019 GMT

Avec le temps, j'ai distribué ce fichier avec chaque client du VPN.
Ce matin, je n'ai plus de connexion VPN avec tous mes clients du VPN.

Pour quelques uns d'entre eux, je peux encore me connecter autrement que
par le VPN mais pour les autres, je dois déranger un collaborateur sur
place et corriger au cas par cas.

1. Voyez-vous une astuce pour éviter une re-distribution manuelle, au cas
par cas, du nouveau fichier ca.crt ?

2. Avez-vous mis en place une procédure particulière pour éviter ce genre
de contre-temps ?

Slts

Re: Conseils sur le routage de client à client avec OpenVPN [RESOLU]

[Olivier]

Grâce aux différents conseils ici reçus, j'ai pu rapidement mettre en place
un prototype de VPN dédié à la télé-gestion de réseaux locaux distants en
complément de mon VPN dédié à la télé-gestion de machines distantes.

- Mes deux VPN utilisent OpenVPN.
- On peut faire tourner parallèlement plusieurs instances d'OpenVPN mais
chacune doit avoir son propre procole/port d'écoute.
- On peut mettre en communs des certificats et clés.
- La topologie subnet est recommandée (celle par défaut est net30)
- L'option client-to-client facilite les communications "directes"
inter-clients
- Chaque instance d'OpenVPN produit son fichier openvpn-status.lo qui
contient une photo de la table de routage interne à OpenVPN à savoir la
liste des clients OpenVPN et la liste des réseaux locaux déclarés par ces
clients
- Au démarrage, un client OpenVPN modifie la table de routage du client: je
n'ai pas eu besoin d'ajouter des règles pour le NAT.

Merci infiniment à tous pour votre aide

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Le jeu. 24 janv. 2019 à 11:18, Daniel Huhardeaux  a
écrit :

>
>
> Rien ne t'empêche de mettre une seconde configuration VPN en parallèle
> chez tes clients (et chez toi) sur un autre port !
>
Je suis d'accord.


> Pour ma part, je réitère: un serveur VPN central sur lequel vont se
> connecter les clients et toi, du réseau bureau ou déplacement.
>
>  serveur VPN
>  / | ...\
>  clt1clt2Cltx
>
> Le lien est permanent pour les clients sauf pour toi (si tu le désire)
>

Je suis d'accord sauf peut-être sur la persistance des liens car ne
l'oublions pas, j'ai des plages d'adresses identiques sur des sites
différents et ça va rester.

Quelle techno de VPN te sembles la plus adaptée pour ça ?
On garde OpenVPN (pas de logiciels supplémentaire à installer): juste une
re-configuration au cas par cas pour la deuxième instance d'OpenVPN ?
Ça me semble une très bonne idée mais je préfère demander.


>
> Pas de port ouvert sauf celui pour le VPN et ssh en secours. Cela veut
> dire que tu pourras te connecter (ssh avec mot de passe) chez tes
> clients à partir de n'importe quel matériel, pas seulement de ceux qui
> te sont connus.
>
>
> >
> >
> >
> > Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg  > <mailto:pas...@plouf.fr.eu.org>> a écrit :
> >
> > Le 23/01/2019 à 15:58, Olivier a écrit :
> >  >
> >  > [1]
> https://serverfault.com/questions/736274/openvpn-client-to-client
> >
> > Ce lien confirme ce que j'écrivais ci-dessous :
> >
> >  > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg
> > mailto:pas...@plouf.fr.eu.org>> a
> >  > écrit :
> >  >
> >  >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
> >  >>>
> >  >>> 1. Oui tu as bien compris, client-to-client ne transite pas le
> > paquet par
> >  >>> le serveur. Du coup pas de filtrage possible si c'est option
> > est activée.
> >  >>
> >  >> Si j'ai bien compris, plus précisément les paquets envoyés à
> > l'intérieur
> >  >> du tunnel entre deux clients ne transitent pas par l'interface
> > tun/tap
> >  >> ni la pile réseau de la machine qui fait tourner le serveur
> openvpn,
> >  >> mais les paquets transportant le tunnel passent quand même par le
> >  >> serveur openvpn.
> >
>
>

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Bonjour,

La nuit porte conseil et en repensant à ce qui précède, je pense que mon
besoin premier est d'utiliser mon VPN comme un tunnel laissant passer des
flux entre deux clients du VPN
sans les interpréter lui-même.

Le VPN est le seul lien que j'ai avec des sites distants et je ne peux pas
risquer de perdre un lien en reconfigurant OpenVPN.
Or il me semble que les paramètres de routage d'OpenVPN ont une portée
générale avec des précautions que j'ai du mal à respecter (adresses
uniques, ...).

En conclusion:
1- je ne change pas ma configuration d'OpenVPN
2- s'il existe une technique pour utiliser ma configuration OpenVPN comme
un "tunnel entre mon PC et un LAN distant" et sans le re-configurer, ça
m'intéresse
3- s'il existe une autre technologie de VPN (IPSEC ? Wireguard ? ...) pour
faire ce que je recherche et utilisable en parallèle à OpenVPN, ça
m'intéresse aussi.

Pour le point 3, je n'ai pas besoin d'avoir un tunnel permanent entre mon
PC et le LAN distant: j'ai juste besoin de pouvoir établir ce tunnel le
temps d'une session de déboguage.
Je peux pouvoir initier ce tunnel quand je suis en déplacement et connecté
à réseau local dont je ne pourrai pas modifier la configuration du routeur:
je devrai donc passer par une machine tierce sur Internet qui aura les
ports ouverts nécessaires.

Pour compléter mon cahier des charges:
- toutes les machines concernées (mon PC, machine tierce, routeur sur le
LAN distant) sont sous Debian avec toutefois des versions variées (jessie,
stretch, ...).

Conseils, remarques et suggestions bienvenues !



Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg  a
écrit :

> Le 23/01/2019 à 15:58, Olivier a écrit :
> >
> > [1] https://serverfault.com/questions/736274/openvpn-client-to-client
>
> Ce lien confirme ce que j'écrivais ci-dessous :
>
> > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg 
> a
> > écrit :
> >
> >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
> >>>
> >>> 1. Oui tu as bien compris, client-to-client ne transite pas le paquet
> par
> >>> le serveur. Du coup pas de filtrage possible si c'est option est
> activée.
> >>
> >> Si j'ai bien compris, plus précisément les paquets envoyés à l'intérieur
> >> du tunnel entre deux clients ne transitent pas par l'interface tun/tap
> >> ni la pile réseau de la machine qui fait tourner le serveur openvpn,
> >> mais les paquets transportant le tunnel passent quand même par le
> >> serveur openvpn.
>
>

Re: [HS] Astuce pour le redémarrage distant d'une freebox

[Olivier]

Merci Erwin pour ces infos:

- Cette option n'a rien à voir avec l'option Reverse DNS des anciennes
Freebox, non ?
- Reste-t-il possible d'utiliser freeboxos.fr si on est en IPv4 full stack
(pas d'IP publique partagée avec 3 autres clients) ?
- Quand je télé-configure une Freebox 4K via freeboxos.fr, plus besoin de
re-démarrer électriquement quelque soit le paramètre modifié ou bien
y-a-t-il quelques opérations qui l'exigent toujours.

Le mar. 22 janv. 2019 à 17:27, erwin  a écrit :

> Le Tue, 22 Jan 2019 17:00:33 +0100
> Olivier  écrivait:
>
> > Bonjour,
> >
> > Je pense utiliser sur plusieurs sites distants une Freebox en complément
> > d'une Livebox.
> > Sauf erreur, quand le change un paramétrage réseau via le site free.fr,
> on
> > me demande un re-démarrage électrique de la Freebox.
> > Avez-vous une astuce pour contourner cette limitation ?
>
> Bonsoir,
> on peut redémarrer à distance une freebox
> Il faut se créer un nom de domaine dans "paramètres->nom de domaine" de la
> freebox de la forme sousdomaine.freeboxos.fr
> un n° de port sera donné et il suffira de taper https://.
> freeboxos.fr:/
> cdt
> Erwin
>
>

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg  a
écrit :

>
> Il y a une bidouille possible à base de double NAT source+destination.
> Pour chaque réseau utilisant l'adressage 192.168.1.0/24 en interne, on
> définit un réseau externe unique, on configure le routage des réseaux
> externes sur le serveur openvpn et on met en place des règles NETMAP sur
> la passerelle de chaque réseau pour faire en sorte que :
> - quand un paquet est émis vers le tunnel, son adresse source est mappée
> en son adresse externe correspondant au réseau ;
> - quant un paquet est reçu par le tunnel à destination d'une adresse
> externe, son adresse est mappée en l'adresse interne correspondante.
>
> Evidemment, ça ne marche qu'avec les protocoles supportés par le NAT.
>
>
Excellent !
Je ne connaissait pas l'option -j NETMAP qui a l'air adaptée car si sur
beaucoup de sites distants, je retrouve les mêmes adresses IP, j'ai aussi
une nomenclature avec un entier unique pour chaque site.
Il devrait pas être difficile d'associer cet entier à une plage d'adresse
propre à chaque site.

Merci infiniment pour l'avoir signalée

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Mea culpa: voici le lien manquant !

[1] https://serverfault.com/questions/736274/openvpn-client-to-client

Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg  a
écrit :

> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
> >
> > 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par
> > le serveur. Du coup pas de filtrage possible si c'est option est activée.
>
> Si j'ai bien compris, plus précisément les paquets envoyés à l'intérieur
> du tunnel entre deux clients ne transitent pas par l'interface tun/tap
> ni la pile réseau de la machine qui fait tourner le serveur openvpn,
> mais les paquets transportant le tunnel passent quand même par le
> serveur openvpn.
>
> > 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24
> ),
> > je ne vois pas comment il sera possible de router les paquets d'un réseau
> > comme il faut. Donc je ne vois pas comment ça peut marcher.
>
> Il y a une bidouille possible à base de double NAT source+destination.
> Pour chaque réseau utilisant l'adressage 192.168.1.0/24 en interne, on
> définit un réseau externe unique, on configure le routage des réseaux
> externes sur le serveur openvpn et on met en place des règles NETMAP sur
> la passerelle de chaque réseau pour faire en sorte que :
> - quand un paquet est émis vers le tunnel, son adresse source est mappée
> en son adresse externe correspondant au réseau ;
> - quant un paquet est reçu par le tunnel à destination d'une adresse
> externe, son adresse est mappée en l'adresse interne correspondante.
>
> Evidemment, ça ne marche qu'avec les protocoles supportés par le NAT.
>
> >> J'ai découvert que je pouvais utiliser l'option client-to-client
> d'OpenVPN
> >> pour permettre la communication directe entre deux clients OpenVPN.
> >> J'ai lu en [1], que cette communication s'opérait à "l'insu de la
> >> configuration réseau du serveur OpenVPN" : les flux passaient
> directement
> >> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du
> >> serveur OpenVPN définir des régles très précises comme celle de
> n'autoriser
> >> que la communication depuis ou vers un ou deux clients OpenVPN.
>
> Qu'est-ce que [1] ?
>
>

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Le mer. 23 janv. 2019 à 14:39, Olivier Bitsch  a
écrit :

> Bonjour Olivier,
>
> 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par
> le serveur. Du coup pas de filtrage possible si c'est option est activée.
>
> 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24),
> je ne vois pas comment il sera possible de router les paquets d'un réseau
> comme il faut. Donc je ne vois pas comment ça peut marcher.
>

Je viens d'y passer la matinée mais sans succès malheureusement.

En mode client-to-client, les clients peuvent facilement se parler mais
c'est tout:
une commande "ip route add 192.168.1.0/24 via 10.8.1.40"  est refusée même
si je peux atteindre (via openvpn) l'adresse 10.8.1.40.

J'ai l'impression qu'il faut jouer avec des paramètres OpenVPN  comme route
(côte client OpenVPN) et/ou iroute (côte serveur OpenVPN) mais je n'ai pas
encore essayé.

>
> 3. Pour les étapes B et C, et sous réserve que chaque réseau aient leur
> propre adressage, il faut utiliser la topologie subnet avec OpenVPN. Je
> peux te donner des exemples si tu en as besoin.
>
> obitwo
>
> Le mar. 22 janv. 2019 à 16:48, Olivier  a écrit :
>
>> Bonjour,
>>
>> J'ai plusieurs réseaux locaux distants dont le routeur est un serveur
>> Debian sur lequel un client OpenVPN  est installé.
>>
>> Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un
>> client OpenVPN, atteindre les machines connectées des différents réseaux
>> locaux distants qui par ailleurs, sont à peu près tous configurés de la
>> même façon (tous en 192.168.1.0/24, par exemple).
>>
>> Pour fixer les choses, j'envisage d'opérer de la façon suivante:
>> +  sur mon PC:
>> A. je lance mon client OpenVPN
>> B. j'adapte ma configuration réseau en indiquant comment atteindre les
>> machines d'un réseau distant
>> + sur mon serveur OpenVPN
>> C. j'adapte ma configuration réseau
>> + sur un routeur Debian distant particulier:
>> D. j'adapte la configuration réseau afin que les machines du réseau local
>> puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la
>> passerelle par défaut de ces machines).
>>
>> Le serveur OpenVPN est une machine sur le cloud.
>> J'ai découvert que je pouvais utiliser l'option client-to-client
>> d'OpenVPN pour permettre la communication directe entre deux clients
>> OpenVPN.
>> J'ai lu en [1], que cette communication s'opérait à "l'insu de la
>> configuration réseau du serveur OpenVPN" : les flux passaient directement
>> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du
>> serveur OpenVPN définir des régles très précises comme celle de n'autoriser
>> que la communication depuis ou vers un ou deux clients OpenVPN.
>>
>> Mes questions:
>> 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?
>>
>> 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
>> iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
>> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
>> Qu'en pensez-vous ?
>>
>> 3. Que faire pour les étapes B et C ?
>> J'ai essayé sans trop de succès différentes commande "ip route add" sans
>> succès pour l'instant.
>>
>> Slts
>>
>>
>>
>>
>>
>>
>>

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier Bitsch]

Bonjour Olivier,

1. Oui tu as bien compris, client-to-client ne transite pas le paquet par
le serveur. Du coup pas de filtrage possible si c'est option est activée.

2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24),
je ne vois pas comment il sera possible de router les paquets d'un réseau
comme il faut. Donc je ne vois pas comment ça peut marcher.

3. Pour les étapes B et C, et sous réserve que chaque réseau aient leur
propre adressage, il faut utiliser la topologie subnet avec OpenVPN. Je
peux te donner des exemples si tu en as besoin.

obitwo

Le mar. 22 janv. 2019 à 16:48, Olivier  a écrit :

> Bonjour,
>
> J'ai plusieurs réseaux locaux distants dont le routeur est un serveur
> Debian sur lequel un client OpenVPN  est installé.
>
> Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un
> client OpenVPN, atteindre les machines connectées des différents réseaux
> locaux distants qui par ailleurs, sont à peu près tous configurés de la
> même façon (tous en 192.168.1.0/24, par exemple).
>
> Pour fixer les choses, j'envisage d'opérer de la façon suivante:
> +  sur mon PC:
> A. je lance mon client OpenVPN
> B. j'adapte ma configuration réseau en indiquant comment atteindre les
> machines d'un réseau distant
> + sur mon serveur OpenVPN
> C. j'adapte ma configuration réseau
> + sur un routeur Debian distant particulier:
> D. j'adapte la configuration réseau afin que les machines du réseau local
> puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la
> passerelle par défaut de ces machines).
>
> Le serveur OpenVPN est une machine sur le cloud.
> J'ai découvert que je pouvais utiliser l'option client-to-client d'OpenVPN
> pour permettre la communication directe entre deux clients OpenVPN.
> J'ai lu en [1], que cette communication s'opérait à "l'insu de la
> configuration réseau du serveur OpenVPN" : les flux passaient directement
> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du
> serveur OpenVPN définir des régles très précises comme celle de n'autoriser
> que la communication depuis ou vers un ou deux clients OpenVPN.
>
> Mes questions:
> 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?
>
> 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
> iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
> Qu'en pensez-vous ?
>
> 3. Que faire pour les étapes B et C ?
> J'ai essayé sans trop de succès différentes commande "ip route add" sans
> succès pour l'instant.
>
> Slts
>
>
>
>
>
>
>

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux  a
écrit :

> Le 22/01/2019 à 16:48, Olivier a écrit :
> > Bonjour,
>
> Bonjour
>
>
>
> 1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode
> tun, tous les serveurs des sites clients s'y connectent, je peux joindre
> n'importe quel machine sur ces autres réseaux, aucun n'a le même plan
> d'adresses IP.
>
> Comment le "routage" entre le réseau distant et les clients du VPN ?

Re: Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Merci Daniel pour ta réponse.

J'aurai pu le préciser mais j'arrive à me connecter ponctuellement aux
équipements distants via des commandes SSH du type ssh -f -N foo@remote
-L1234:192.168.151:80 mais c'est assez fastidieux car je dois désigner les
ports distants, choisir des ports disponibles sur ma machine, ajouter un
éventuel rebond.

Je recherche maintenant à re-configurer le réseau afin d'avoir une
re-configuration ponctuelle plus générique

Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux  a
écrit :

> Le 22/01/2019 à 16:48, Olivier a écrit :
> > Bonjour,
>
> Bonjour
>
> >
> > J'ai plusieurs réseaux locaux distants dont le routeur est un serveur
> > Debian sur lequel un client OpenVPN  est installé.
> >
> > Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé
> > un client OpenVPN, atteindre les machines connectées des différents
> > réseaux locaux distants qui par ailleurs, sont à peu près tous
> > configurés de la même façon (tous en 192.168.1.0/24
> > <http://192.168.1.0/24>, par exemple).
> >
> > Pour fixer les choses, j'envisage d'opérer de la façon suivante:
> > +  sur mon PC:
> > A. je lance mon client OpenVPN
> > B. j'adapte ma configuration réseau en indiquant comment atteindre les
> > machines d'un réseau distant
> > + sur mon serveur OpenVPN
> > C. j'adapte ma configuration réseau
> > + sur un routeur Debian distant particulier:
> > D. j'adapte la configuration réseau afin que les machines du réseau
> > local puissent communiquer avec mon PC (par chance, le routeur Debian
> > est déjà la passerelle par défaut de ces machines).
> >
> > Le serveur OpenVPN est une machine sur le cloud.
> > J'ai découvert que je pouvais utiliser l'option client-to-client
> > d'OpenVPN pour permettre la communication directe entre deux clients
> > OpenVPN.
> > J'ai lu en [1], que cette communication s'opérait à "l'insu de la
> > configuration réseau du serveur OpenVPN" : les flux passaient
> > directement d'un client OpenVPN à un autre sans que je puisse, avec le
> > firewall du serveur OpenVPN définir des régles très précises comme celle
> > de n'autoriser que la communication depuis ou vers un ou deux clients
> > OpenVPN.
> >
> > Mes questions:
> > 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?
> >
> > 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
> > iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
> > iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
> > Qu'en pensez-vous ?
> >
> > 3. Que faire pour les étapes B et C ?
> > J'ai essayé sans trop de succès différentes commande "ip route add" sans
> > succès pour l'instant.
>
> Perso j'utilise 2 types d'organisations:
>
> 1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode
> tun, tous les serveurs des sites clients s'y connectent, je peux joindre
> n'importe quel machine sur ces autres réseaux, aucun n'a le même plan
> d'adresses IP.
>
> L'inconvénient pour toi est que justement tous les réseaux auxquels tu
> veux te joindre ont le même plan d'adressage IP
>
> 2. les réseaux des clients: j'utilise un serveur OpenVPN mode tun en DC
> auquel les serveurs clients se connectent soit via OpenVPN soit en ssh
> avec autossh (reverse ssh).
>
> Dans les 2 cas, à partir de mon portable je peux joindre n'importe quel
> machine derrière les réseaux clients en utilisant les commandes ssh
> (pour le cas 2 essentiellement ProxyCommand pour tous les clients,
> Hostname en plus pour ceux en VPN)
>
> --
> Daniel
>
>

[HS] Astuce pour le redémarrage distant d'une freebox

[Olivier]

Bonjour,

Je pense utiliser sur plusieurs sites distants une Freebox en complément
d'une Livebox.

Sauf erreur, quand le change un paramétrage réseau via le site free.fr, on
me demande un re-démarrage électrique de la Freebox.

Avez-vous une astuce pour contourner cette limitation ?

Slts

Conseils sur le routage de client à client avec OpenVPN

[Olivier]

Bonjour,

J'ai plusieurs réseaux locaux distants dont le routeur est un serveur
Debian sur lequel un client OpenVPN  est installé.

Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un
client OpenVPN, atteindre les machines connectées des différents réseaux
locaux distants qui par ailleurs, sont à peu près tous configurés de la
même façon (tous en 192.168.1.0/24, par exemple).

Pour fixer les choses, j'envisage d'opérer de la façon suivante:
+  sur mon PC:
A. je lance mon client OpenVPN
B. j'adapte ma configuration réseau en indiquant comment atteindre les
machines d'un réseau distant
+ sur mon serveur OpenVPN
C. j'adapte ma configuration réseau
+ sur un routeur Debian distant particulier:
D. j'adapte la configuration réseau afin que les machines du réseau local
puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la
passerelle par défaut de ces machines).

Le serveur OpenVPN est une machine sur le cloud.
J'ai découvert que je pouvais utiliser l'option client-to-client d'OpenVPN
pour permettre la communication directe entre deux clients OpenVPN.
J'ai lu en [1], que cette communication s'opérait à "l'insu de la
configuration réseau du serveur OpenVPN" : les flux passaient directement
d'un client OpenVPN à un autre sans que je puisse, avec le firewall du
serveur OpenVPN définir des régles très précises comme celle de n'autoriser
que la communication depuis ou vers un ou deux clients OpenVPN.

Mes questions:
1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?

2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
Qu'en pensez-vous ?

3. Que faire pour les étapes B et C ?
J'ai essayé sans trop de succès différentes commande "ip route add" sans
succès pour l'instant.

Slts

Re: Cockpit/NetworkManager sur un serveur

[Olivier]

Le mer. 16 janv. 2019 à 13:59, Olivier Bitsch  a
écrit :

> Bonjour,
>
> Pour répondre aux questions :
>
> 1. Oui j'ai déjà utilisé Cockpit avec un serveur et une IP fixe.
> NetworkManager est une dépendance du paquet cockpit-networkmanager, donc
> oui.
>
> 2. Je n'ai pas approfondi, mais dans la mesure ou Cockpit utilise
> NetworkManager, il va stocker toute sa configuration dans NetworkManager
> (/etc/NetworkManager).
>
> 3. J'ai fini par désinstaller cockpit-networkmanager ainsi que
> network-manager car j'ai eu des surprise en appliquant des règles de
> réseau. D'une manière générale, c'est toujours une très mauvaise idée de
> faire des configurations réseaux d'un serveur à distance (SSH ou Interface
> Web), car c'est un coup à se couper l'herbe sous les pieds.
>
> En conclusion, je ne préconiserais donc pas l'utilisation de Cockpit avec
> NetworkManager. Pour ma part, je continue à utiliser Cockpit, mais j'ai
> désinstallé son module Network Manager. Je continue de configurer mon
> réseau via le paquet ifupdown (dans /etc/network/interfaces)
>
> Olivier
>
>
Merci beaucoup Olivier pour ce témoignage.

J'ai toujours une forte inquiétude dès que je modifie la configuration
réseau d'une machine d'autant que dans la majorité des cas, ces machines
sont distantes, n'ont pas d'écran ou de clavier connecté avec aucun
utilisateur chevronné à proximité.
En lisant cette liste, il y a longtemps, j'avais noté dans un coin de mon
esprit de maintenir en parallèle une double configuration IPv4 et IPv6,
l'une pouvant me permettre de réparer l'autre en cas d'urgence.
Cette idée est restée à l'état d'idée.

Merci pour l'info sur la désinstallation possible de
cockpit-networkmanager: c'est bon à savoir.

Re: Cockpit/NetworkManager sur un serveur

[Olivier Bitsch]

Bonjour,

Pour répondre aux questions :

1. Oui j'ai déjà utilisé Cockpit avec un serveur et une IP fixe.
NetworkManager est une dépendance du paquet cockpit-networkmanager, donc
oui.

2. Je n'ai pas approfondi, mais dans la mesure ou Cockpit utilise
NetworkManager, il va stocker toute sa configuration dans NetworkManager
(/etc/NetworkManager).

3. J'ai fini par désinstaller cockpit-networkmanager ainsi que
network-manager car j'ai eu des surprise en appliquant des règles de
réseau. D'une manière générale, c'est toujours une très mauvaise idée de
faire des configurations réseaux d'un serveur à distance (SSH ou Interface
Web), car c'est un coup à se couper l'herbe sous les pieds.

En conclusion, je ne préconiserais donc pas l'utilisation de Cockpit avec
NetworkManager. Pour ma part, je continue à utiliser Cockpit, mais j'ai
désinstallé son module Network Manager. Je continue de configurer mon
réseau via le paquet ifupdown (dans /etc/network/interfaces)

Olivier

Le mar. 15 janv. 2019 à 13:09, Olivier  a écrit :

> Bonjour,
>
> J'ai souvent lu (cf [1]) que l'administration des paramètres réseau d'un
> serveur devait se faire SANS NetworkManager, en utilisant les fichiers du
> répertoire /etc/network.
>
> Pourtant, je découvre l'existence de Cockpit [2] qui semble s'appuyer sur
> NetworkManager, si NetworkManager est installé (cf [3]).
> À cet égard, le paquet cockpit de Buster recommande le paquet
> cockpit-networkmanager.
>
> 1. Avez-vous déjà utilisé Cockpit sur une machine dont l'adresse IP est
> fixe ?
> Si oui, avez-vous conjointement installé NetworkManager ?
>
> 2. Peut-on facilement retrouver dans /etc/NetworkManager ce qu'on avait
> dans /etc/network (je pense à /etc/network/if-pre-up.d, ...) ?
>
> 3. Que peut apporter (ou retirer) NetworkManager à un serveur ?
>
> [1] https://wiki.debian.org/fr/NetworkManager
> [2] https://cockpit-project.org/
> [3] https://cockpit-project.org/guide/latest/feature-networkmanager.html
>
> Slts
>

Cockpit/NetworkManager sur un serveur

[Olivier]

Bonjour,

J'ai souvent lu (cf [1]) que l'administration des paramètres réseau d'un
serveur devait se faire SANS NetworkManager, en utilisant les fichiers du
répertoire /etc/network.

Pourtant, je découvre l'existence de Cockpit [2] qui semble s'appuyer sur
NetworkManager, si NetworkManager est installé (cf [3]).
À cet égard, le paquet cockpit de Buster recommande le paquet
cockpit-networkmanager.

1. Avez-vous déjà utilisé Cockpit sur une machine dont l'adresse IP est
fixe ?
Si oui, avez-vous conjointement installé NetworkManager ?

2. Peut-on facilement retrouver dans /etc/NetworkManager ce qu'on avait
dans /etc/network (je pense à /etc/network/if-pre-up.d, ...) ?

3. Que peut apporter (ou retirer) NetworkManager à un serveur ?

[1] https://wiki.debian.org/fr/NetworkManager
[2] https://cockpit-project.org/
[3] https://cockpit-project.org/guide/latest/feature-networkmanager.html

Slts

Re: Quel firewall pour Buster et au delà ?

[Olivier]

Le ven. 11 janv. 2019 à 17:55, Wallace  a écrit :

> Clairement vu ce que je ressort de la conversation, quitte à faire un saut
> autant sauter directement à BPF.
>
Justement, j'ai compris que BPF, c'était la cuisine interne de Linux: on
configure avec nftables ou firewalld ou autre et c'est nftables qui
s'appuie sur BPF à l'insu de l'administrateur.
Bien entendu, je peux avoir compris de travers  et je serai ravi qu'une
personne plus qualifiée que moi me corrige ;-)))

[HS] Recommandations pour la collecte des statistiques de commutateurs

[Olivier]

Bonjour,

Parmi mes bonnes résolutions de 2019, figure la collecte et le stockage de
statistiques produites pas des commutateurs sur des réseaux locaux distants.

J'ai survolé quelques infos sur Netflow/IPFIX et sFlow.
Je suppose ici que mes commutateurs supportent l'un ou l'autre des deux
protocoles.
Je suppose aussi qu'ils supportent aussi SNMP.

Voici mes questions:

1. Est-il possible/habituel/recommandé d'exclure certaines interfaces d'un
commutateur du périmètre ? Je pense aux liens directs entre deux
commutateurs: est-il utile d'accumuler des données sur les deux extrémités
d'un même lien Ethernet ? Idem pour les serveurs: faut-il collecter leurs
stats réseau sur le port du switch ou sur le serveur ?

2.  Que pensez-vous de nfdump pour collecter du Netflow ou du sFlow ?

Slts

Re: Quel firewall pour Buster et au delà ?

[Olivier]

Le ven. 11 janv. 2019 à 16:24, Wallace  a écrit :

>
> Ca voudrait donc dire que iptables ne fait plus parti du kernel?
>
>
> Je pense que des scripts iptables fonctionneront sans modification pendant
encore de longues années.
Pour une machine "ancienne", on devrait pouvoir la passer à Buster sans
modification.

Par contre, pour une nouvelle machine, je pense qu'on peut avoir intérêt à
se poser la question d'une autre syntaxe ou d'un autre niveau d'abstraction.

Re: Quel firewall pour Buster et au delà ?

[Olivier]

Le ven. 11 janv. 2019 à 16:05, didier gaumet  a
écrit :

>
> Firewalld n'est qu'une surcouche à, auparavant iptables, désormais
> nftables? Un peu comme Shorewall
>
> J'ai compris la même chose que toi.
Je recommande le lien [1] qui l'explique.

[1]
https://developers.redhat.com/blog/2018/08/10/firewalld-the-future-is-nftables/

En toute logique, quand on choisit firewalld, on ne configure plus
iptables, nftables ou autre (c'est firewalld qui s'appuie sur ces techno).

Le ven. 11 janv. 2019 à 16:05, didier gaumet  a
écrit :

> Le 11/01/2019 à 15:44, Wallace a écrit :
> > Bonjour,
> >
> > Merci d'avoir lancé le sujet qui trottait dans mon esprit.
> >
> > Actuellement on gère iptables grâce à Shorewall qui fait très bien le
> > travail et permet de retrouver une lecture similaire à une configuration
> > de firewall appliance. C'est pratique pour que tout le monde soit au
> > diapason sur la lecture. Y a Ferm qui fait pareil aussi.
> >
> > Shorewall a déjà annoncé qu'il ne partirait pas dans ce chantier de
> > refonte étant trop lié à iptables.
> >
> > Personnellement je n'ai rien à reprocher à iptables et j'envisage donc
> > de continuer de l'utiliser. Mais si l'on est bloqué par une suppression
> > de iptables et obligation de passer sur nftables alors il va falloir
> > anticiper.
> >
> > Il y a du coup deux questions :
> >
> > - y a t il eu une annonce quand on retrait du kernel ou le End Of Life
> > de iptables?
> >
> > - nftables est il forcément lié à firewalld? ou est-ce que l'on peut
> > parler directement au kernel comme avant?
>
> Alors je suis une truffe pour tout ce qui est réseaux mais j'ai quand
> même l'impression qu'il y a un quiproquo sur nftables/firewalld, non?
>
> Firewalld n'est qu'une surcouche à, auparavant iptables, désormais
> nftables? Un peu comme Shorewall
>
> D'après ce que j'ai compris, le paquet iptables sera dans la prochaine
> version Debian et ne sera pas un pseudo-paquet pointant vers nftables,
> mais utilisera le backend nftables dans le noyau mais en conservant la
> syntaxe iptables? Et si on souhaite utiliser véritablement nftables, il
> est possible (au moins pour le moment) d'utiliser l'ancienne syntaxe
> iptables ou la nouvelle syntaxe dédiée nftables?
>
> Didier, truffe réseau en mal de culture ad-hoc ;-)
>
>
>

Re: [HS] Plateforme de type NUC avec une interface NbaseT, 10Gb/s ou SFP+

[Olivier]

Les grands esprits se rencontrent :
j'avais moi aussi repéré cette machine de Supermicro (NUC-killer) mais je
la voyait plus pour par exemple, produire ou recevoir du trafic réseau dans
un labo, à cause de ses nombreuses interfaces.

Ma question originale visait une machine de routage assez performante pour
router du traffic (avec NAT et tout le toutim) vers deux interfaces à 1
Gb/s.
On trouve des routeurs sur étagère mais administrer des machines Debian me
convient mieux qu'apprendre des OS spécialisés et leurs pièges ;-))).

Pourquoi un NUC, alors ?
J'apprécie leur capacité disque (quand on les comparent aux routeurs), leur
silence et leur compacité (des clients à l'autre mot de la France acceptent
de me les renvoyer ce qui est plus difficile avec des machines plus
grandes).
J'ai aussi l'impression qu'avec un Core i3/i5/i7 et les qualités
intrinsèques à Linux, je peux atteindre le niveau de performance voulu.

J'ai lu des annonces d'adaptateurs NbaseT sur USB mais les produits et la
version Linux nécessaires ne sont pas, à ma connaissance, encore
disponibles.

En résumé, mon objectif est de construire un routeur une unique interface
physique qui arrive à saturer deux liens à 1 Gb/s.

Le ven. 11 janv. 2019 à 10:54, Vincent  a écrit :

> Le 11/01/2019 à 10:05, Olivier a écrit :
> > Bonjour,
> >
> > Connaissez-vous une plateforme de type NUC avec une interface NbaseT,
> > 10Gb/s ou SFP+ ?
> > J'en ai croisées avec une deuxième interface 10/100 mais rien qui
> > dépasse le Gigabit.
> >
> > Slts
> >
>
> Pas vraiment un nuc ( miniITX, pas de hdmi, son, usb limité ) mais très
> complet niveau réseau pour la taille.
>
> https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-9A.cfm
>
> sinon
>
> https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-8D.cfm
>
> https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-9D.cfm
>
> https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-9C.cfm ou
> autre miniITX + carte réseau qui va bien
>
> C'est pour quel usage ?
>
>

[HS] Plateforme de type NUC avec une interface NbaseT, 10Gb/s ou SFP+

[Olivier]

Bonjour,

Connaissez-vous une plateforme de type NUC avec une interface NbaseT,
10Gb/s ou SFP+ ?
J'en ai croisées avec une deuxième interface 10/100 mais rien qui dépasse
le Gigabit.

Slts

Quel firewall pour Buster et au delà ?

[Olivier]

Bonjour,

Je maintiens depuis des années un script qui configure le firewalling sur
des serveurs.
Ce script est installé dans /etc/network/if-pre-up.d
Il comprend une bonne trentaine de règles iptables dont des règles pour le
NAT.

J'ai lu que Linux remplaçait iptables par nftables.
Par ailleurs, la technologie eBPF semble aussi très prometteuse.

J'ai toute confiance sur l'existence dans Buster et ses successeurs de
moyens pour conserver le bon fonctionnement de scripts iptables.
Néanmoins, je me demande si le moment n'est pas le bienvenu pour justement
pour sauter le pas en réécrivant mes scripts iptables avec autre chose.

On annonce ici ou là:
- une plus grande pérennité
- de meilleurs performances
- une syntaxe plus simple.

Je serai très heureux d'échanger ici des réflexions sur le sujet.
Voici en vrac quelques questions et réflexions:

1. Avez-vous un retour d'expérience positif ou non sur un passage
d'iptables à firewalld, en général (ie sur Stretch, Jessie, ...) ?

2. Trouvez-vous facilement de l'aide (mailing lists, documentation en
ligne, publications, ...) sur la version 0.6.3 de firewalld (celle de
Buster) ?

3. Comme le suggère la réponse à une question dans [1], doit-on vraiment
voir eBPF comme une cuisine interne à Linux et se focaliser sur firewalld ?

4. Commentaires et suggestions ?

[1]
https://developers.redhat.com/blog/2018/08/10/firewalld-the-future-is-nftables/

Slts

Re: Joyeuses fêtes

[humbert . olivier . 1]

Joyeux Noël à tout le monde, aux vôtres, et aux autres. 

Re: Copier une image Raspbian avec dd ou équivalent [RESOLU]

[Olivier]

En changeant de machine et donc de lecteur de carte SD, la commande
habituelle (dd) a fonctionné et j'ai pu démarrer le Raspberry sur le
nouveau disque.

Merci à tous pour votre aide.

Slts

Re: Copier une image Raspbian avec dd ou équivalent

[Olivier]

Je n'ai pas de doute sur l'identification du disque: c'est bien le sdc.
Voici la sortie utile de fdisk /dev/sdc:
Commande (m pour l'aide) : p
Disque /dev/sdc : 29,8 GiB, 32010928128 octets, 62521344 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : dos
Identifiant de disque : 0xa05fe7fa

Autrement dit aucune partition.
Par contre, voici un (long) extrait de dmesg.
Il s'y trouve la phrase " Add. Sense: Incompatible medium installed" assez
mystérieuse.

[  274.388026] usb 4-2.3: new high-speed USB device number 7 using ehci-pci
[  274.480937] usb 4-2.3: New USB device found, idVendor=14cd,
idProduct=168a
[  274.480943] usb 4-2.3: New USB device strings: Mfr=1, Product=3,
SerialNumber=2
[  274.480948] usb 4-2.3: Product: USB Mass Storage Device
[  274.480951] usb 4-2.3: Manufacturer: USB Device
[  274.480955] usb 4-2.3: SerialNumber: 816820130806
[  274.481391] usb-storage 4-2.3:1.0: USB Mass Storage device detected
[  274.481543] scsi9 : usb-storage 4-2.3:1.0
[  275.480722] scsi 9:0:0:0: Direct-Access USB Mass  Storage Device
1.00 PQ: 0 ANSI: 0
[  275.481187] sd 9:0:0:0: Attached scsi generic sg2 type 0
[  275.484620] sd 9:0:0:0: [sdc] 62521344 512-byte logical blocks: (32.0
GB/29.8 GiB)
[  275.485206] sd 9:0:0:0: [sdc] Write Protect is off
[  275.485211] sd 9:0:0:0: [sdc] Mode Sense: 03 00 00 00
[  275.485827] sd 9:0:0:0: [sdc] No Caching mode page found
[  275.485833] sd 9:0:0:0: [sdc] Assuming drive cache: write through
[  275.491948]  sdc: unknown partition table
[  275.495074] sd 9:0:0:0: [sdc] Attached SCSI removable disk
[  275.568051] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  275.744040] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  275.920045] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  276.108032] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  276.292045] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  276.468063] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  276.644051] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  276.820060] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  276.996030] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  277.172026] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  277.264581] sd 9:0:0:0: [sdc] Unhandled error code
[  277.264586] sd 9:0:0:0: [sdc]
[  277.264589] Result: hostbyte=DID_ERROR driverbyte=DRIVER_OK
[  277.264593] sd 9:0:0:0: [sdc] CDB:
[  277.264595] Read(10): 28 00 00 00 00 20 00 00 18 00
[  277.264612] end_request: I/O error, dev sdc, sector 32
[  277.264615] quiet_error: 8 callbacks suppressed
[  277.264618] Buffer I/O error on device sdc, logical block 4
[  277.264622] Buffer I/O error on device sdc, logical block 5
[  277.264624] Buffer I/O error on device sdc, logical block 6
[  277.340026] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  277.516037] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  277.692029] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  277.868028] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  278.044038] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  278.150197] sd 9:0:0:0: [sdc]
[  278.150202] Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE
[  278.150206] sd 9:0:0:0: [sdc]
[  278.150208] Sense Key : Aborted Command [current]
[  278.150213] sd 9:0:0:0: [sdc]
[  278.150218] Add. Sense: Incompatible medium installed
[  278.150221] sd 9:0:0:0: [sdc] CDB:
[  278.150223] Read(10): 28 00 00 00 00 40 00 00 38 00
[  278.150238] end_request: I/O error, dev sdc, sector 64
[  278.150242] Buffer I/O error on device sdc, logical block 8
[  278.150246] Buffer I/O error on device sdc, logical block 9
[  278.150248] Buffer I/O error on device sdc, logical block 10
[  278.150250] Buffer I/O error on device sdc, logical block 11
[  278.150253] Buffer I/O error on device sdc, logical block 12
[  278.150254] Buffer I/O error on device sdc, logical block 13
[  278.150257] Buffer I/O error on device sdc, logical block 14
[  278.528027] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  278.704043] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  278.880035] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci
[  279.002824]  sdc: unknown partition table
[  279.100023] usb 4-2.3: reset high-speed USB device number 7 using
ehci-pci


Le mer. 19 déc. 2018 à 21:47, Belaïd  a écrit :

> Bonjour,
>
> Peux tu donner la table de partition, en tapant: fdisk /dev/sdc (vérifie
> bien que sdc correspond à ta carte mémoire)  puis en sélectionnant l'option
> "p" pour imprimer la table de partition
>
> Le mer. 19 déc. 2018 19:26, Olivier  a écri

Copier une image Raspbian avec dd ou équivalent

[Olivier]

Bonjour,

De multiples fois, avec mon PC sous Jessie, j'ai copié sur une carte
mémoire SD toute neuve, une image de Raspbian en suivant exactement la
procédure [1] qui repose sur la commande

dd bs=4M if=2018-11-13-raspbian-stretch.img of=/dev/sdX conv=fsync

Dans mon cas, cette commande s'exécute avec:
445+0 enregistrements lus
445+0 enregistrements écrits
1866465280 octets (1,9 GB) copiés, 179,076 s, 10,4 MB/

Ma carte est une Samsung EVO 32GB.


Pourtant, j'ai:

fdisk -l /dev/sdc

Disque /dev/sdc : 29,8 GiB, 32010928128 octets, 62521344 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets

alors que j'ai

fdisk -l ~/Téléchargements/2018-11-13-raspbian-stretch-lite.img

Disque /home/foobar/Téléchargements/2018-11-13-raspbian-stretch-lite.img :
1,8 GiB, 1866465280 octets, 3645440 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : dos
Identifiant de disque : 0x7ee80803

Device  Boot
Start End Sectors  Size Id Type
/home/foobar/Téléchargements/2018-11-13-raspbian-stretch-lite.img1
8192   98045   89854 43,9M  c W95 FAT32 (LBA)
/home/foobar/Téléchargements/2018-11-13-raspbian-stretch-lite.img2
98304 3645439 3547136  1,7G 83 Linux


Avant d'investir plus de temps (essayer avec une autre image, une autre
caret, un autre lecteur), avez vous une piste ou un conseil ?

Slts


[1]
https://www.raspberrypi.org/documentation/installation/installing-images/linux.md

Re: Tuto Debian-Facile/preseed: clé USB non bootable [RESOLU]

[Olivier]

[3]
https://askubuntu.com/questions/791238/how-to-convert-a-iso9660-iso-to-a-usb-iso

Le mar. 11 déc. 2018 à 17:05, Olivier  a écrit :

> J'ai trouvé le lien [2] qui me laisse penser que la différence entre mes
> deux fichiers .iso est que l'un est hybride, l'autre pas.
> Je ne l'avais pas précisé mais la machine avec laquelle j'essaie de créer
> ma clé bootable est encore sous Jessie.
>
> Le lien [3] indique comment convertir une iso9660 en iso hybride.
> En suivant ses instructions, j'ai pu créé une image hybride et booter
> dessus !
>
>
> [2]
> https://www.ostechnix.com/bootiso-lets-you-safely-create-bootable-usb-drive/
>
> Le mar. 11 déc. 2018 à 15:27, Bernard Schoenacker <
> bernard.schoenac...@free.fr> a écrit :
>
>>
>> - Mail original -
>>
>> > De: "Olivier" 
>> > À: "ML Debian User French" 
>> > Envoyé: Mardi 11 Décembre 2018 15:22:54
>> > Objet: Re: Tuto Debian-Facile/preseed: clé USB non bootable
>>
>> > Le mar. 11 déc. 2018 à 15:11, roger gm < rhb...@gmail.com > a écrit :
>>
>> > La commande dd donne une clé bootable avec mon fichier
>> > firmware_xxx.iso mais une clé non-bootable avec mon fichier
>> > custom_install.iso.
>> > Le mystère demeure ...
>>
>> bonjour,
>>
>> voici le mode opératoire suivant le tuto à lire :
>>
>>
>> https://www.linuxquestions.org/questions/linux-newbie-8/how-to-a-bootable-flag-on-usb-stick-664033/
>>
>> merci
>> slt
>> bernard
>>
>

Re: Automatiser la configuration initiale de machines physiques

[Olivier]

Le lun. 19 nov. 2018 à 20:09, Étienne Mollier 
a écrit :

>
>
> http://fai-project.org/
> http://fai-project.org/fai-guide/
>
>
>
Bonjour Étienne,

Merci pour ces conseils.

En effet semble une solution intéressante, d'autant que de mémoire, pas mal
de machines bootent
par défaut par le réseau.

Il me reste plusieurs questions:

1. Je trouve preseed extrêmement difficile à maîtriser. FAI simplifie-t-il
les choses à cet égard ?
Je pense en particulier au partitionnement des disques.

2. Est-il exact de penser que FAI est adapté une installation sur un réseau
local, pas sur un WAN, à cause de l'utilisation de TFTP ou bien est-ce
inexact ?

Slts

PS: Désolé pour le temps mis pour réagir aux messages mais j'ai été happé
par d'autres priorités.

Re: Tuto Debian-Facile/preseed: clé USB non bootable [RESOLU]

[Olivier]

J'ai trouvé le lien [2] qui me laisse penser que la différence entre mes
deux fichiers .iso est que l'un est hybride, l'autre pas.
Je ne l'avais pas précisé mais la machine avec laquelle j'essaie de créer
ma clé bootable est encore sous Jessie.

Le lien [3] indique comment convertir une iso9660 en iso hybride.
En suivant ses instructions, j'ai pu créé une image hybride et booter
dessus !


[2]
https://www.ostechnix.com/bootiso-lets-you-safely-create-bootable-usb-drive/

Le mar. 11 déc. 2018 à 15:27, Bernard Schoenacker <
bernard.schoenac...@free.fr> a écrit :

>
> - Mail original -
>
> > De: "Olivier" 
> > À: "ML Debian User French" 
> > Envoyé: Mardi 11 Décembre 2018 15:22:54
> > Objet: Re: Tuto Debian-Facile/preseed: clé USB non bootable
>
> > Le mar. 11 déc. 2018 à 15:11, roger gm < rhb...@gmail.com > a écrit :
>
> > La commande dd donne une clé bootable avec mon fichier
> > firmware_xxx.iso mais une clé non-bootable avec mon fichier
> > custom_install.iso.
> > Le mystère demeure ...
>
> bonjour,
>
> voici le mode opératoire suivant le tuto à lire :
>
>
> https://www.linuxquestions.org/questions/linux-newbie-8/how-to-a-bootable-flag-on-usb-stick-664033/
>
> merci
> slt
> bernard
>

Re: Tuto Debian-Facile/preseed: clé USB non bootable

[Olivier]

Le mar. 11 déc. 2018 à 15:11, roger gm  a écrit :

> Le Tue, 11 Dec 2018 14:46:26 +0100,
> Olivier  a écrit :
>
> > Bonjour,
> Bonjour
> >
> >
> >
> > Qui a une explication ?
>
> Je n'ai pas d'explication mais tu peux utiliser la commande dd pour la
> création de clé usb bootable:
> https://debian-facile.org/doc:install:usb-boot
>
> > Quelle commande me permettrait de copier ce fichier
> > custom_install.iso sur ma clé USB et faire que celle-ci soit
> > bootable ?
> >
> > Slts
> >
> > [1] https://debian-facile.org/doc:install:preseed?s[]=preseed
>
>
La commande dd donne une clé bootable avec mon fichier firmware_xxx.iso
mais une clé non-bootable avec mon fichier custom_install.iso.
Le mystère demeure ...

Tuto Debian-Facile/preseed: clé USB non bootable

[Olivier]

Bonjour,

J'ai découvert ce tuto [1].
Malheureusement, celui-ci ne détaille pas la dernière étape qui consiste à
copier le fichier .iso créé sur une clé USB bootable.

J'ai dans mon répertoire courant, le fichier :
$ file custom_install.iso
custom_install.iso: ISO 9660 CD-ROM filesystem data 'CDROM' (bootable)

À titre de comparaison, j'ai aussi:
$ file firmware-9.6.0-amd64-i386-netinst.iso
firmware-9.6.0-amd64-i386-netinst.iso: DOS/MBR boot sector ISO 9660 CD-ROM
filesystem data 'Debian 9.6.0 M-A 1' (bootable); partition 2 : ID=0xef,
start-CHS (0x3ff,254,63), end-CHS (0x3ff,254,63), startsector 4256, 1376
sectors

Ma cible est une clé de 8Go sur /dev/sdc.

La commande ci-après produit une clé bootable;
sudo cat firmware-9.6.0-amd64-i386-netinst.iso > /dev/sdc

Par contre, la clé n'est pas bootable avec celle ci-après:
sudo cat custom_install.iso > /dev/sdc

Qui a une explication ?
Quelle commande me permettrait de copier ce fichier custom_install.iso sur
ma clé USB et faire que celle-ci soit bootable ?

Slts

[1] https://debian-facile.org/doc:install:preseed?s[]=preseed

Ajouter un disque à un ensemble LVM sur LUKS

[Olivier]

Bonjour,

J'ai un nouveau système avec un disque SSD chiffré avec LUKS et plusieurs
disques mécaniques inutilisés pour l'instant.

# lsblk
NAME MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda8:00  2,7T  0 disk
└─sda1 8:10  2,7T  0 part
sdb8:16   0  2,7T  0 disk
└─sdb1 8:17   0  2,7T  0 part
sdc8:32   0  2,7T  0 disk
└─sdc1 8:33   0  2,7T  0 part
sdd8:48   0  2,7T  0 disk
└─sdd1 8:49   0  2,7T  0 part
sde8:64   0 55,9G  0 disk
├─sde1 8:65   0  243M  0 part  /boot
├─sde2 8:66   01K  0 part
└─sde5 8:69   0 55,7G  0 part
  └─sde5_crypt   254:10 55,7G  0 crypt
├─foobar--vg-root   254:208G  0 lvm   /
├─foobar--vg-var254:303G  0 lvm   /var
├─foobar--vg-swap_1 254:40 15,7G  0 lvm   [SWAP]
├─foobar--vg-tmp254:50  588M  0 lvm   /tmp
└─foobar--vg-home   254:60 28,4G  0 lvm   /home
sr0   11:01 1024M  0 rom


Je souhaite étendre la partition  foobar--vg-var avec la totalité de sda1
sans avoir à saisir au démarrage une deuxième "phrase de passe".

Comment procéder ?
J'ai trouvé [1]. qu'en penser ?

[1] https://bbs.archlinux.org/viewtopic.php?id=214833

Slts

Automatiser la configuration initiale de machines physiques

[Olivier]

Bonjour,

J'utilise intensivement des machines virtuelles KVM pour mettre au point la
configuration de serveurs physiques.
Le serveur host KVM est sous Debian Stretch (pas d'environnement graphique).
Les cibles sont aussi sous Debian Stretch  et sans environnement graphique.

Je procède en rédigeant un script d'installation que j'adapte et relance
régulièrement sur une machine virtuelle.
Quand j'estime que ce script est au point :
1. je lance l'installeur Debian sur mon serveur physique avec un
partitionnement standard
2. je modifie le partitionnement standard avec une clé RescueCD (*)
3. je copie mon script d'installation sur mon serveur physique
4. je lance mon script d'installation en corrigeant les éventuelles erreurs
résiduelles.

(*) Les modifications que j'apporte au partitionnement standard sont de
diminuer la taille de la partition /home et d'augmenter celle dédiée à /var.
Je trouve plus simple de faire ces opérations en ligne de commande avec
lvreduce/lxextend.

J'aimerai améliorer ce processus particulièrement sur les étapes 1 et 2 au
terme desquelles je dispose d'une machine physique, dont :
- le partitionnement correspond à mes besoins (en gros, la place du disque
est répartie équitablement entre /var et /home),
- le réseau est correctement configuré
- le hostname est configuré
- le SSH est installé (avec la copie d'une ou deux clés SSH)
- les comptes sont configurés
- le clavier/la langue sont configurés.

J'ai noté l'existence de plusieurs technologies qui pourrait améliorer ce
processus:
- preseed
- vagrant
- packer

Mes rares et anciens essais avec preseed étaient assez déprimants.
Je n'ai jamais essayé les deux autres.

Qu'en pensez-vous ?
Que conseillez-vous ?

Slts.

Re: Télé-gestion électrique d'équipements informatiques 5, 12 et 24v

[Olivier]

Le mer. 14 nov. 2018 à 18:15, Yann Serre  a
écrit :

> Bonjour
>
> Le 14/11/2018 à 17:28, Olivier a écrit :
> > J'ai été surpris de l'impact du remplacement d'un bloc d'alimentation
> > sur des Livebox ou Freebox
>
> Tu peux développer ?
>

J'ai vu de mes propres yeux une Freebox ADSL bondir de 6 à 9Mb/s en
changeant 2 choses:
le bloc d'alim 12v
le cordon ADSL

Par ailleurs, à chaque appel, le support d'Orange me questionne sur
l'alimentation électrique: "êtes-vous sur une multi-prise, ...

J'ai d'ailleurs bien envie d'ouvrir un fil de discussion sur ce seul sujet
(qualité des alimentation des box) car je suis un peu frustré de ne pas
pouvoir étayer par des chiffres (voltage, ampérage, ...) mes observations.


>
> Yann
>
>

Télé-gestion électrique d'équipements informatiques 5, 12 et 24v

[Olivier]

Bonjour,

Je gère à distance des installations informatiques qui ont le point commun
d'inclure un NUC sous Debian et plusieurs équipements informatiques de type
modem, routeur.

Ces équipements sont chacun fournis avec leur propre bloc d'alimentation :
d'un côté une prise mâle 2P+T, de l'autre un câble terminé par une prise
Powerjack 2.5x5.5 ou 2.1x5.5 voire même par du micro-USB (pour un
Raspberry).

J'aimerai bien pouvoir remplacer ces blocs d'alimentation par un unique
appareil télé-administrable possédant plusieurs (4 à 6) sorties
d'alimentation continue (et 1 entrée 2P+T, bien sûr) pas trop cher (<500
E.TTC), rackable ou non.

Avec celui-ci (sans ordre d'importance, sans que chaque besoin soit
impératif) :
- pouvoir sélectionner ou régler la tension continue (12V pour Livebox, 5V
pour le Pi, 28V pour un routeur, 19V pour le NUC ?)
- protéger chaque sortie (est-ce redondant avec la protection interne à
chaque équipement ?)
- éteindre, allumer ou redémarrer à distance certains de ces équipements
- avoir un câblage électrique optimisé (*)
- avoir une alimentation de meilleure qualité (**)
- être notifié en cas de coupure ou reprise de courant secteur
- arrêter ou démarrer gracieusement en cas de reprise ou coupure de courant
secteur
- en cas d'onduleur, pouvoir faire remplacer les batteries par un homme
d'entretien

1. Qui pourrait recommander un onduleur ou un ePDU (est-ce le bon terme ?)
adapté aux alimentation en courant continu ou à défaut avec des prises 2P+T
largement espacées (voire orientées à 90°) ? Quel retour d'expérience ?

2. Comment mécaniser le démarrage ou l'arrêt du NUC sous Debian local ?

3. Comment implémenter une règle du type "si le courant est coupé depuis
plus de 10mn, arrêter ce groupe d'équipement, puis celui-ci ..." ?

Slts

(*) Les blocs d'alimentation peuvent être très encombrants et empiéter sur
les emplacements adjacents d'une multiprise
(**) J'ai été surpris de l'impact du remplacement d'un bloc d'alimentation
sur des Livebox ou Freebox

Re: [HS] L'accès vers le même site web réussit ou échoue selon le LAN utilisé

[Olivier]

Le ven. 19 oct. 2018 à 17:23, Pascal Hambourg  a
écrit :

> Le 19/10/2018 à 15:41, Olivier a écrit :
> >
> > - je consulte un site web (d'une université) avec une commande wget, pour
> > uniformiser le contexte,
> > - la commande échoue (dans 1 cas sur 5) ou réussit (4 cas sur 5) selon la
> > machine sur laquelle elle est lancée,
> (...)
> > Qu'en pensez-vous ?
>
> Que sans connaître au minimum le message d'erreur de wget, on ne peut
> pas en dire grand-chose. S'agit-il d'une erreur lors de la résolution
> DNS, de l'établissement de la connexion TCP, de la négociation SSL/TLS
> si HTTPS, du traitement de la commande HTTP... ?
>
> Et sinon, cet URL, il est confidentiel ?
>
> Non: voici les infos

Echec:
# wget http://myservices.imt-lille-douai.fr
--2018-10-19 18:28:28--  http://myservices.imt-lille-douai.fr/
Résolution de myservices.imt-lille-douai.fr (myservices.imt-lille-douai.fr)…
193.48.235.178
Connexion à myservices.imt-lille-douai.fr
(myservices.imt-lille-douai.fr)|193.48.235.178|:80…


 Succès:
# wget http://myservices.imt-lille-douai.fr
--2018-10-19 18:30:15--  http://myservices.imt-lille-douai.fr/
Résolution de myservices.imt-lille-douai.fr (myservices.imt-lille-douai.fr)…
193.48.235.178
Connexion à myservices.imt-lille-douai.fr
(myservices.imt-lille-douai.fr)|193.48.235.178|:80…
connecté.
requête HTTP transmise, en attente de la réponse… 302 Found
Emplacement : https://myservices.imt-lille-douai.fr/ [suivant]


Est-ce la machine finale, qui pour une raison inconnue, refuse la connexion
?

[HS] L'accès vers le même site web réussit ou échoue selon le LAN utilisé

[Olivier]

Bonjour,

Une question qui semblera peut-être idiote à certains.
La voici malgré tout:

- je consulte un site web (d'une université) avec une commande wget, pour
uniformiser le contexte,
- la commande échoue (dans 1 cas sur 5) ou réussit (4 cas sur 5) selon la
machine sur laquelle elle est lancée,
- les 5 tentatives sont effectuées sur des serveurs Debian récents
(Stretch) sur lequels "Internet fonctionne",
- les serveurs sont installés sur des LAN différents aux 4 coins du pays
avec des ISP de tout poil,
- la commande traceroute donne des résultats analogues et on transite par
la même machine, si j'en crois la sortie de traceroute:
...
10  * noropale-vl340-gi8-3-lille-rtr-021.noc.renater.fr (193.51.183.89)
25.936 ms *
11  noropale-vl340-gi8-3-lille-rtr-021.noc.renater.fr (193.51.183.89)
33.658 ms *  33.610 ms

Qu'en pensez-vous ?
Que faire ?

Slts

Conserver et visualiser des données collectées avec statsd

[Olivier]

Bonjour,

J'utilise une application (Asterisk pour ne pas la nommer) qui sait
produire des statistiques Statsd.
L'hôte est sous Debian Stretch et plusieurs de ses métriques générales
(CPU, utilisation de la carte réseau, ...) m'intéressent elles aussi.

Je souhaite "conserver ces statistiques (celles de mon application et
celles de l'hôte) pour les inclure ultérieurement dans un rapport de test ".

Pour l'instant je ne suis pas très exigeant , sur la façon de présenter ces
métriques: un simple tableau en colonne pourrait me suffire.
Je pense avoir besoin d'inclure dans mon rapport de test, des mesures
faites à chaque seconde pendant un test d'une durée totale de 300s max (300
mesures max par test, 1 mesure correspondant à une dizaines de valeurs)

Conserver les données sur la machine testée me suffit. Pouvoir les
centraliser peut aussi m'intéresser.

Mes questions:

1. Quels sont les logiciels à installer pour conserver et visualiser des
données produites au format statsd ?
J'ai lu que le paquet collectd et son plugin statsd pourrait faire tout ça
mais je ne suis pas sûr de ceci.
J'ai aussi découvert l'existence d'un serveur Statsd mais il ne semble pas
empaqueté dans Debian.

2. Ces logiciels enregistrent-ils aussi les données de l'OS (CPU, mémoire,
...) ?

3. Conseils ? Suggestions ?

Slts

Re: Comment grouper plusieurs interfaces tun d'OpenVPN ou wg de Wireguard?

[Olivier]

Mon objectif est de pouvoir agréger plusieurs liens xDSL pour en créer un
lien unique dont la capacité soit en gros la somme totale de tous les liens
 (comme dans l'exemple [1]).

Un résultat concret espéré est qu'un téléchargement soit plus rapide parce
que réparti sur sur plusieurs liens parallèles, cette parallélisation ne
s'opérant, bien sûr que que sur une portion du transport.

[1] https://www.jeedom.com/forum/viewtopic.php?t=31683

Le ven. 28 sept. 2018 à 11:27, Guillaume Clercin 
a écrit :

> Bonjour,
>
> Le vendredi 28 septembre 2018, 09:59:18 CEST Olivier a écrit :
> > Bonjour,
> >
> > Je découvre les mécanismes de bonding et de teaming (cf [1]).
> >
> > 1. Le teaming est-il disponible dans Debian ? Je vois le paquet
> > libteamdctl0 dans les dépôts  mais rien de plus.
> >
> > 2. Le bonding ou le teaming sont-ils utilisables sous Debian Stretch avec
> > des interfaces  tun d'OpenVPN ou wg de Wireguard ?
> >
> > [1]
> >
> https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/htm
> > l/networking_guide/sec-comparison_of_network_teaming_to_bonding
> >
> > Slts
>
> Concernant le bonding, quelle est l'intérêt d'avoir une interface
> virtuelle
> qui est membre d'un agrégat ?
>
> Le cas classique est on a deux interfaces réseaux (par exemple 1Gb
> ethernet)
> et on les agrège pour en faire un lien 2Gb (mode balance-rr). Il existe
> d'autres modes.
>
> Sinon, est-ce que tu veut transformer une machine qui est dans un VPN en
> routeur ?
>
> Cordialement,
> --
> Guillaume Clercin

[HS] Conseils sur le choix d'un point d'accès WiFi

[Olivier]

Bonjour,

Pour servir de passerelle WiFi à des appareils ne pouvant se connecter en
WPA2 Entreprise (consoles, TV) , je recherche un appareil aux
caractéristiques ci-après.

Certaines caractéristiques sont simplement souhaitées. Les autres sont
requises.

Général:
- Pas trop cher (<50 E.HT)
- Disponible à la vente en France

Matériel:
- 802.11ac double bande
- 1 ou 4 ports Ethernet or Gigabit
- si possible, alimentable en 5V (USB, microUSB ou non)
- bouton reset
- si possible, pas de port USB (pour la sécurité)
- assez performant pour le jeu en réseau
- si possible, bouton programmable avec LED pour qu'un même appareil puisse
servir plusieurs modes de fonctionnement

Logiciel:
- si possible openwrt
- sinon facile à configurer

 Avez-vous un appareil qui vous vient à l'esprit ?

Slts

Comment grouper plusieurs interfaces tun d'OpenVPN ou wg de Wireguard ?

[Olivier]

Bonjour,

Je découvre les mécanismes de bonding et de teaming (cf [1]).

1. Le teaming est-il disponible dans Debian ? Je vois le paquet
libteamdctl0 dans les dépôts  mais rien de plus.

2. Le bonding ou le teaming sont-ils utilisables sous Debian Stretch avec
des interfaces  tun d'OpenVPN ou wg de Wireguard ?

[1]
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-comparison_of_network_teaming_to_bonding

Slts

Wireguard: quel équivalent du paramètre local d'OpenVPN ?

[Olivier]

Bonjour,

La doc d'OpenVPN décrit le paramètre local qui permet à un client OpenVPN
possédant plusieurs adresses IP, de spécifier son adresse IP source, quand
il établit et maintient la connexion OpenVPN (cf [1]).

Existe-t-il un équivalent avec Wireguard ?

[1] https://openvpn.net/archive/openvpn-users/2002-10/msg6.html

Slts

Relayer les alertes de sites distants

[Olivier]

Bonjour,

J'ai plusieurs réseaux sur des sites géographiques éloignés.
Dans ces réseaux j'ai un une machine sous Debian qui émet de temps en temps
(1 ou 2 fois par an) des alertes par mail.

Jusqu'à présent, ces alertes sont envoyées via un compte GMail, plus ou
moins dédié à cet usage: plusieurs machines disséminées sur toute la France
utilisent ce compte pour émettre  des alertes.

Malheureusement, une fois sur deux, pour ne pas dire plus, GMail bloque ces
envois car ils sont pour lui un caractère suspect.

Qui a trouvé une solution satisfaisante dans ce type de situation ? Comment
la décrire ?

J'imaginais en vrac:

1. Envoyer des SMS plutôt que des emails (mais il arrive fréquemement
qu'une unique panne génère 20 ou 30 emails alors ...)

2. Utiliser un autre compte mail (mais lequel ?)

Quels suggestions et retour d'expérience ?

Slts

Re: Recommandations pour un PC portable "réparable"

[Olivier]

@Pierre L.:
Le modèle Dell Latitude 7390 me plait pas mal.
Sa doc indique clairement ses possibilités de réparation.

Slts

Le jeu. 20 sept. 2018 à 20:19, Pierre L.  a écrit :

> Alors, un choix a été fait ?
>
>
>
> Le 10/09/2018 à 12:52, Olivier a écrit :
> > J'aimerai remplacer mon propre PC portable et sacrifierai très
> > volontiers quelques millimètres (15 mm d'épaisseur en plus ne me
> > dérageraient pas) et grammes contre une machine dont je pourrai
> > moi-même remplacer les principales pièces (batterie, écran, disque).
> >
> > J'avais repéré la machine HP Elite x2 mais la batterie de sa dernière
> > mouture 1013 G3 n'est plus échangeable :-((( !
> >
> > Auriez-vous une recommandation ?
> >
>
>
>

Re: Ma première connexion PPPoE en labo [RESOLU]

[Olivier]

Hello,


Le jeu. 13 sept. 2018 à 20:56, Pascal Hambourg  a
écrit :

> Le 13/09/2018 à 10:44, Olivier a écrit :
> > Non, l'utilisateur user1 n'existait pas sur mon serveur.
> > En le créant (avec un simple adduser), j'ai pu établir ma première
> > connexion PPPoE !
>
> Je ne me rappelle pas avoir dû faire cela pour utiliser pppoe-server.
> L'option "login" ne serait-elle pas activée dans la configuration de
> pppd du serveur PPPoE ?
>

En effet, il y a une ligne login dans mon fichier
/etc/ppp/pppoe-server-options.
Je comprends maintenant à quoi elle sert !

Merci beaucoup pour ce complément, qui j'en suis sûr, sera utile à
d'autres.

Re: Que provoque l'activation en usine d'un module TPM sur un PC Dell ?

[Olivier]

Si je comprend bien, je peux commander sans risque l'option Activé: je
pourrai installer Debian Stretch sans difficulté dès réception.

Merci à tous pour vos réponses.

Le jeu. 13 sept. 2018 à 10:06, yamo'  a écrit :

> Salut,
>
> Olivier a écrit le 13/09/2018 à 08:30 :
> > Bonjour,
> >
> > J'examine une configuration d'un PC portable Dell. Il y a une option
> > (gratuite) 'Expédition avec module TPM (dés)activé'.
> >
> > Évidemment le PC est livré avec Windows et je ne vois pas d'option pour
> > une livraison sans celui-ci.
> >
> > Ma cible serait :
> > 1. soit de conserver une VM KVM Windows (ma préférence),
> > 2. soit de fonctionner en double boot (alternative).
> >
> > À quoi correspond cette option d'Activation/Désactivation ?
> > Recevoir une machine neuve avec Windows et un module TPM activé
> > empêche-t-il  rend-il plus difficile, l'installation de notre OS préféré
> ?
> >
> > Slts
> >
> >
>
>
> Je ne pense pas qu'il y ai un problème ; c'est désactivable dans le
> BIOS/UEFI. Et justement si c'est désactivé ce sera encore plus inoffensif.
>
> Quand on l'active, c'est utile pour crypter avec Bitlocker un windows.
> Comme Bernard a répondu ça doit être utile pour stocker des données
> confidentielles de manière sécurisée ...
>
> --
> Stéphane
>
>

Re: Ma première connexion PPPoE en labo [RESOLU]

[Olivier]

Non, l'utilisateur user1 n'existait pas sur mon serveur.
En le créant (avec un simple adduser), j'ai pu établir ma première
connexion PPPoE !

Merci beaucoup Dominique pour ton aide !

Le jeu. 13 sept. 2018 à 10:18, Dominique Dumont  a
écrit :

> On Tuesday, 11 September 2018 16:17:29 CEST Olivier wrote:
> > Comment interpréter les logs ci-dessus ?
>
>
> On dirait que soit le password de user1 n'est pas bon, soit user1 n'existe
> pas
> sur le serveur:
>
> Sep 11 15:34:57 pppserver pppd[922]: Initializing PAM (2) for user user1
> Sep 11 15:34:57 pppserver pppd[922]: ---> PAM INIT Result = 0
> Sep 11 15:34:57 pppserver pppd[922]: Attempting PAM account checks
> Sep 11 15:34:57 pppserver pppd[922]: PAM Account checks failed: 7:
> Authentication failure
> Sep 11 15:34:57 pppserver pppd[922]: Peer user1 failed CHAP Session
> verification
>
> Peux-tu te logger en tant que user1 sur ton serveur ?
>
> HTH
>
>
>
>

Que provoque l'activation en usine d'un module TPM sur un PC Dell ?

[Olivier]

Bonjour,

J'examine une configuration d'un PC portable Dell. Il y a une option
(gratuite) 'Expédition avec module TPM (dés)activé'.

Évidemment le PC est livré avec Windows et je ne vois pas d'option pour une
livraison sans celui-ci.

Ma cible serait :
1. soit de conserver une VM KVM Windows (ma préférence),
2. soit de fonctionner en double boot (alternative).

À quoi correspond cette option d'Activation/Désactivation ?
Recevoir une machine neuve avec Windows et un module TPM activé
empêche-t-il  rend-il plus difficile, l'installation de notre OS préféré ?

Slts

Re: Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?

[Olivier]

Bonjour,

En consultant d'autres listes, j'ai collecté des conseils qu'il me parait
intéressant de partager ici.

Pour faire simple, si j'ai bien compris, des personnes conseillent de
traiter les connexions aux réseaux WiFi sécurisés de la façon suivante:
- l'utilisateur importe sur sa machine un certificat plus ou moins caché
dans un paquet cadeau bien présenté,
- l'utilisateur se connecte ensuite au réseau WiFi sécurisé en désignant
simplement le nom du réseau WiFi.

À aucun moment, l'utilisateur ne saisit véritablement les paramètres
"techniques" de connexion: ils sont livrés avec le certificat.

Ce processus rappelle celui des fichiers .mobileconfig du monde Apple.

Le site https://cat.eduroam.org/ présente un installeur multi-plateforme
pour confectionner ces paquets cadeau.
On parle d'Onboarding (cf [1])

[1] https://www.ruckuswireless.com/solutions/secure-onboarding.

Slts


Le ven. 7 sept. 2018 à 14:29, Olivier  a écrit :

> Bonjour,
>
> J'ai compris que pour faciliter la connexion de PC sous Windows à un
> réseau WiFi WPA-Entreprise, on pouvait fournir aux utilisateurs potentiels,
> un "certificat serveur" (cf [1]).
>
> Sous la forme d'un simple fichier dans un format connu, les utilisateurs
> potentiels ajoutent ce certificat sur leur appareil.
>
> Ceci fait, un utilisateur potentiel peut ensuite se connecter au réseau
> WiFi WPA-Entreprise en saisissant simplement son login et son mot de passe.
>
> 1. À quoi ressemble un tel certificat ? à un fichier .pem ? .der ? p12 ?
> 2. Est-il bien exact que ce fichier fait partie de la configuration de la
> base Freeradius sur laquelle s'appuie le réseau WiFi WPA-Entreprise ?
>
> Slts
>
> [1] https://wiki.freeradius.org/protocol/EAP-PEAP
>

Re: RE: Recommandations pour un PC portable "réparable"

[Olivier]

Le mar. 11 sept. 2018 à 14:40, elguero eric  a écrit :

> bonjour,
>
> la batterie non extractible j'étais
> dubitatif aussi mais force est
> de constater qu'aussi bien sur
> le macbook pro que j'ai depuis 4 ans
> que sur le HP Zbook (2 ans), la batterie
> d'origine est durable.
>

Tiens, ça m'apprends quelque chose car s'il y a bien un composant dans
lequel j'ai une confiance limitée, c'est bien la batterie (cf smartphones,
...).
A-t-on une explication (lise sur une datasheet, si possible) à ceci ?


> Je réformerai probablement
> l'apple alors que sa batterie fonctionne encore.
>
> e.e.
>
>

Ma première connexion PPPoE en labo

[Olivier]

Bonjour,

J'ai configuré deux machines virtuelles sous Debian Stretch afin d'étudier
PPPoE.

Ces deux machines ont une interface Ethernet ens9 dédiée au PPPoE.
Je suis totalement novice sur PPPoE donc je me sens parfaitement capable
des pires erreurs et énormités.

Le serveur PPPoE est lancé avec une commande manuelle:
pppoe-server -C isp -L 192.168.4.254 -p /etc/ppp/allip -I ens9

Le client PPPoE est lancé avec une commande:
pon dsl-provider

Voici les logs de mon serveur PPPoE:
Sep 11 15:34:54 pppserver pppoe-server[922]: Session 4 created for client
52:54:00:06:76:f1 (192.168.4.4) on ens9 using Service-Name ''
Sep 11 15:34:54 pppserver pppd[922]: pppd 2.4.7 started by root, uid 0
Sep 11 15:34:54 pppserver pppd[922]: using channel 21
Sep 11 15:34:54 pppserver pppd[922]: Using interface ppp0
Sep 11 15:34:54 pppserver pppd[922]: Connect: ppp0 <--> /dev/pts/1
Sep 11 15:34:55 pppserver pppd[922]: sent [LCP ConfReq id=0x1 
 ]
Sep 11 15:34:55 pppserver pppd[922]: rcvd [LCP ConfAck id=0x1 
 ]
Sep 11 15:34:57 pppserver pppd[922]: rcvd [LCP ConfReq id=0x1 
]
Sep 11 15:34:57 pppserver pppd[922]: sent [LCP ConfAck id=0x1 
]
Sep 11 15:34:57 pppserver pppd[922]: sent [LCP EchoReq id=0x0
magic=0xf4461b37]
Sep 11 15:34:57 pppserver pppd[922]: sent [CHAP Challenge id=0xf
, name = "pppserver"]
Sep 11 15:34:57 pppserver pppd[922]: rcvd [LCP EchoReq id=0x0
magic=0xd81cd70b]
Sep 11 15:34:57 pppserver pppd[922]: sent [LCP EchoRep id=0x0
magic=0xf4461b37]
Sep 11 15:34:57 pppserver pppd[922]: rcvd [LCP EchoRep id=0x0
magic=0xd81cd70b]
Sep 11 15:34:57 pppserver pppd[922]: rcvd [CHAP Response id=0xf
<57d229599fb61a49d9fea733e5810bd9>, name = "user1"]
Sep 11 15:34:57 pppserver pppd[922]: sent [CHAP Success id=0xf "Access
granted"]
Sep 11 15:34:57 pppserver pppd[922]: Initializing PAM (2) for user user1
Sep 11 15:34:57 pppserver pppd[922]: ---> PAM INIT Result = 0
Sep 11 15:34:57 pppserver pppd[922]: Attempting PAM account checks
Sep 11 15:34:57 pppserver pppd[922]: PAM Account checks failed: 7:
Authentication failure
Sep 11 15:34:57 pppserver pppd[922]: Peer user1 failed CHAP Session
verification
Sep 11 15:34:57 pppserver pppd[922]: Connection terminated.
Sep 11 15:34:57 pppserver pppoe[925]: read (asyncReadFromPPP): Session 4:
Input/output error
Sep 11 15:34:57 pppserver pppd[922]: Exit.
Sep 11 15:34:57 pppserver pppoe-server[888]: Session 4 closed for client
52:54:00:06:76:f1 (192.168.4.4) on ens9
Sep 11 15:34:57 pppserver pppoe-server[888]: Sent PADT


Voici les logs du client:
Sep 11 15:34:54 pppclient pppd[470]: Plugin rp-pppoe.so loaded.
Sep 11 15:34:54 pppclient kernel: [   95.455020] PPP generic driver version
2.4.2
Sep 11 15:34:54 pppclient pppd[476]: pppd 2.4.7 started by root, uid 0
Sep 11 15:34:54 pppclient kernel: [   95.467103] NET: Registered protocol
family 24
Sep 11 15:34:54 pppclient pppd[476]: Send PPPOE Discovery V1T1 PADI session
0x0 length 4
Sep 11 15:34:54 pppclient pppd[476]:  dst ff:ff:ff:ff:ff:ff  src
52:54:00:06:76:f1
Sep 11 15:34:54 pppclient pppd[476]:  [service-name]
Sep 11 15:34:54 pppclient pppd[476]: Recv PPPOE Discovery V1T1 PADO session
0x0 length 35
Sep 11 15:34:54 pppclient pppd[476]:  dst 52:54:00:06:76:f1  src
52:54:00:fb:e1:f1
Sep 11 15:34:54 pppclient pppd[476]:  [AC-name isp] [service-name]
[AC-cookie  be 39 e0 28 0b d7 26 07 66 18 6c d3 f3 ef ae cd 78 03 00 00]
Sep 11 15:34:54 pppclient pppd[476]: Send PPPOE Discovery V1T1 PADR session
0x0 length 28
Sep 11 15:34:54 pppclient pppd[476]:  dst 52:54:00:fb:e1:f1  src
52:54:00:06:76:f1
Sep 11 15:34:54 pppclient pppd[476]:  [service-name] [AC-cookie  be 39 e0
28 0b d7 26 07 66 18 6c d3 f3 ef ae cd 78 03 00 00]
Sep 11 15:34:54 pppclient pppd[476]: Recv PPPOE Discovery V1T1 PADS session
0x4 length 4
Sep 11 15:34:54 pppclient pppd[476]:  dst 52:54:00:06:76:f1  src
52:54:00:fb:e1:f1
Sep 11 15:34:54 pppclient pppd[476]:  [service-name]
Sep 11 15:34:54 pppclient pppd[476]: PADS: Service-Name: ''
Sep 11 15:34:54 pppclient pppd[476]: PPP session is 4
Sep 11 15:34:54 pppclient pppd[476]: Connected to 52:54:00:fb:e1:f1 via
interface ens9
Sep 11 15:34:54 pppclient pppd[476]: using channel 1
Sep 11 15:34:54 pppclient pppd[476]: Using interface ppp0
Sep 11 15:34:54 pppclient pppd[476]: Connect: ppp0 <--> ens9
Sep 11 15:34:54 pppclient pppd[476]: sent [LCP ConfReq id=0x1 
]
Sep 11 15:34:55 pppclient pppd[476]: rcvd [LCP ConfReq id=0x1 
 ]
Sep 11 15:34:55 pppclient pppd[476]: sent [LCP ConfAck id=0x1 
 ]
Sep 11 15:34:57 pppclient pppd[476]: sent [LCP ConfReq id=0x1 
]
Sep 11 15:34:57 pppclient pppd[476]: rcvd [LCP ConfAck id=0x1 
]
Sep 11 15:34:57 pppclient pppd[476]: sent [LCP EchoReq id=0x0
magic=0xd81cd70b]
Sep 11 15:34:57 pppclient pppd[476]: rcvd [LCP EchoReq id=0x0
magic=0xf4461b37]
Sep 11 15:34:57 pppclient pppd[476]: sent [LCP EchoRep id=0x0
magic=0xd81cd70b]
Sep 11 15:34:57 pppclient pppd[476]: rcvd [CHAP Challenge id=0xf
, name = "pppserver"]
Sep 11 15:34:57 pppclient pppd[476]: sent [CHAP Response id=0xf
<57d229599fb61a49d9fea733e5810bd9>, name = 

Recommandations pour un PC portable "réparable"

[Olivier]

Bonjour,

Depuis plusieurs années et la mode des ultra-portables, j'observe avec
tristesse que beaucoup de PC portables sont difficilement réparables et peu
évolutifs:
- mémoire vive soudée,
- disque inaccessible ou fixé,
- batterie impossible à remplacer.

J'aimerai remplacer mon propre PC portable et sacrifierai très volontiers
quelques millimètres (15 mm d'épaisseur en plus ne me dérageraient pas) et
grammes contre une machine dont je pourrai moi-même remplacer les
principales pièces (batterie, écran, disque).

J'avais repéré la machine HP Elite x2 mais la batterie de sa dernière
mouture 1013 G3 n'est plus échangeable :-((( !

Auriez-vous une recommandation ?

Voici mon cahier des charges:

1. Utilisable(*) avec Debian Stretch
2. 802.11ac
3. Gigabit si possible
4. Alimentation par Thunderbolt
5. NVMe (200 Go, pas nécessairement plus)
6. Mémoire vive 8 ou 16 Go
7. Écran 13, 14 ou 15''
8. Tactile (avec stylet) avec charnière idoine (?)
9. Utilisable avec une station d'accueil Thunderbolt
10. Carte graphique indifférente (pas de jeux)

Slts

(*) OK pour perdre quelques fonctions connexes en attendant que Buster
devienne stable.

Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?

[Olivier]

Bonjour,

J'ai compris que pour faciliter la connexion de PC sous Windows à un réseau
WiFi WPA-Entreprise, on pouvait fournir aux utilisateurs potentiels, un
"certificat serveur" (cf [1]).

Sous la forme d'un simple fichier dans un format connu, les utilisateurs
potentiels ajoutent ce certificat sur leur appareil.

Ceci fait, un utilisateur potentiel peut ensuite se connecter au réseau
WiFi WPA-Entreprise en saisissant simplement son login et son mot de passe.

1. À quoi ressemble un tel certificat ? à un fichier .pem ? .der ? p12 ?
2. Est-il bien exact que ce fichier fait partie de la configuration de la
base Freeradius sur laquelle s'appuie le réseau WiFi WPA-Entreprise ?

Slts

[1] https://wiki.freeradius.org/protocol/EAP-PEAP

Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?

[Olivier]

Bonjour,
J'ai compris que pour faciliter la connexion de PC ou smartphone à un rées


[1] https://wiki.freeradius.org/protocol/EAP-PEAP

Re: recherche un cms pour site statique sans base de données

[humbert . olivier . 1]

De: "Bernard Schoenacker"

> je recherche un cms pour réaliser un site statique
> sans devoir installer php et qui puisse être alimenté
> par des pages rédigées en markdown à l'aide d'un lien
> pointant vers un document pdf qui change chaque semaine
> 
> le tout doit pouvoir être facilement employable et 
> configurable et sans base de données

http://dokuwiki.org/

Re: OpenVPN fonctionne mais "service openvpn status" affiche active (exited) [RESOLU]

[Olivier]

Le 13 août 2018 à 16:38, Olivier  a écrit :

> Bonjour,
>
> J'ai l'habitude de vérifier l'état courant d'un daemon avec la commande
> service.
>
> Sur plusieurs clients OpenVPN sous Stretch ou Jessie, j'ai:
>
> # service openvpn status
> ● openvpn.service - OpenVPN service
>Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor
> preset: enabled)
>Active: active (exited) since Mon 2018-08-13 16:20:25 CEST; 7min ago
>   Process: 6959 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
>  Main PID: 6959 (code=exited, status=0/SUCCESS)
>
> août 13 16:20:25 foo-dev systemd[1]: Starting OpenVPN service...
> août 13 16:20:25 foo-dev systemd[1]: Started OpenVPN service.
>
> Pourtant, le client OpenVPN fonctionne (je peux m'y connecter, la commande
> ip link montre un lien tun0, ...).
>
>
> Qu'en pensez-vous ? Que suggérez-vous ?
>
> Slts
>
>
>
Comme OpenVPN permet le lancement de plusieurs instances définies par un
fichier /etc/openvpn/client1.conf, la commande ci-après donne le résultat
escompté:

service openvpn@client1 status

J'espère que cette réponse sera utile à d'autres.

OpenVPN fonctionne mais "service openvpn status" affiche active (exited)

[Olivier]

Bonjour,

J'ai l'habitude de vérifier l'état courant d'un daemon avec la commande
service.

Sur plusieurs clients OpenVPN sous Stretch ou Jessie, j'ai:

# service openvpn status
● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor
preset: enabled)
   Active: active (exited) since Mon 2018-08-13 16:20:25 CEST; 7min ago
  Process: 6959 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
 Main PID: 6959 (code=exited, status=0/SUCCESS)

août 13 16:20:25 foo-dev systemd[1]: Starting OpenVPN service...
août 13 16:20:25 foo-dev systemd[1]: Started OpenVPN service.

Pourtant, le client OpenVPN fonctionne (je peux m'y connecter, la commande
ip link montre un lien tun0, ...).


Qu'en pensez-vous ? Que suggérez-vous ?

Slts

Re: synchronisation sur un seveur distant: quelle solution?

[Olivier Lange]

Hello,

Pourquoi passer par un cron? Pour moi inotify + rsync est bien plus
efficace, et te permets de garantir la synchro de tes données.

Olivier

Le mer. 4 juil. 2018 à 15:29,  a écrit :

> Bonsoir à tous,
>
> Je recherche une solution pour synchroniser toutes les 5mn un répertoire
> locale vers un répertoire distant.
> Je souhaiterai synchroniser uniquement les changements.
> J'ai le cron, mais quelle commande ou quel paquet dois-je utiliser?
> Merci pour vos conseils.
>
> Alex PADOLY
>

Conseils sur l'utilisation des mémoires eMMC, SDHC ou flash sur des serveurs télé-administrés

[Olivier]

Bonjour,

Depuis plusieurs années maintenant, il existe des machines de tout format
(NUC, tower, ...) dotées de mémoire eMMC, d'interfaces USB3 et d'interface
pour carte mémoire.

Qui utilise ces mémoires dans machines sans écran, fournissant des services
réseau (sécurité, réseau, ToIP, ...) sur des sites distants et souhaiterai
partager ici son expérience ?

J'imagine des utilisations avancées comme:

1. J'installe un OS de base sur la carte eMMC, et un autre sur une clé USB3
(de petit format). Je boote prioritairement sur la clé USB3 puis la carte
eMMC. En cas de problème, ou pour changer sans risque de version de Debian,
je change de clé USB. En la retirant, je peux faire des diagnostics.

2. Idem que précédemment mais avec une carte mémoire plutôt qu'un clé USB3.

Aussitôt, pas mal de questions me viennent à l'esprit:

1. Quelles sont les mémoires les plus durables ?
2. Comment se comparent les performances ?
3. Comment vieillit une mémoire eMMC ? Et logiquement, comment se comporte
son OS installé en 2018 et qu'on ré-utilise 4 ans plus tard ?
4. Peut-on réellement implémenter des règles comme "je boote
prioritairement sur la clé USB3 puis la carte eMMC" y compris quand on
change de clé USB3 (j'ai la vague impression que les BIOS étaient
surprenant à cet égard et avec ce type de machine pas d'accès possible au
BIOS) ?
5. Conseils ? Suggestions ?


Slts

Re: partager /var/cache/apt/archives/ ?

[Olivier Bitsch]

J'ai un serveur lxc qui fait gateway, j'ai une règle IP tables des paquets
entrant du réseau qui renvoi vers squid sur cette même machine. Ma règle
est la suivante :

iptables -A PREROUTING -i eth0 ! -s 192.168.0.1 -p tcp -m tcp --dport 80 -j
REDIRECT --to-ports 3128

Squid est configuré en mode proxy transparent ainsi qu'avec jesred
(/etc/squid3/squid.conf)

http_port 3128 transparent
redirect_program /usr/lib/squid/jesred

Enfin dans Jesred, j'ai des petit regex certainement perfectible qui va
renvoyer certaines requêtes vers apt-cacher (/etc/jesred.rules)

regex ^http://(.*/debian/(dists|pool)/.*(udeb|deb))$ url=
http://192.168.3.8:3142/\1
regex ^http://(.*/ubuntu/(dists|pool)/.*(udeb|deb))$ url=
http://192.168.3.8:3142/\1
regex ^http://(.*/debian-security/(dists|pool)/.*(udeb|deb))$ url=
http://192.168.3.8:3142/\1

Voilà, pas plus compliqué que ça :D

Obitwo

PS : obitwo car obiwan c'est déjà pris :D


Le 15 juin 2018 à 11:13, Marc Chantreux  a écrit :

> On Fri, Jun 15, 2018 at 10:08:06AM +0200, olivier.bit...@gmail.com wrote:
> > Pour ma part, j'ai résolu le soucis a coup de iptables / squid / apt-
> > cacher-ng. En gros, je dis à iptables de rediriger le traffic du port
> > 80 vers squid
>
> wow! c'est brutal ca doit effectivement etre pas trop compliqué à mettre
> en place ...  mais  ...
>
> * tu bases ta regle sur l'interface entrante ?
> * debian n'a rien pour eviter le man in the middle ?
>
> > Obitwo
>
> c'est dans lequel que Obi tue Harry ?
>
> marc
>
>

Re: partager /var/cache/apt/archives/ ?

[olivier . bitsch]

Hello,

Pour ma part, j'ai résolu le soucis a coup de iptables / squid / apt-
cacher-ng. En gros, je dis à iptables de rediriger le traffic du port
80 vers squid, puis couplé à jesred qui va détecter les url de dépôts
debian, un renvoi des requêtes vers apt-cacher-ng. ça parrait compliqué
comme ça, mais ça l'est pas vraiment, et ça me permet de gagner
beaucoup de temps sur mes install Debian.

Obitwo.

Le jeudi 14 juin 2018 à 10:37 +0200, Marc Chantreux a écrit :
> salut,
> 
> en plus de mon système de base, j'ai sur ma machine plein de conteneurs
> docker et lxc qui ont tous en commun d'être sous debian buster et sur
> lesquels je fais pas mal de tests et de modifications.
> 
> du coup si tout ce beau monde pouvait partager et alimenter un même cache,
> ca serait quand même bien sympatique pou ma bande passante, le temps de
> production d'un container et les ours blancs.
> 
> j'ai bien vu qu'il y avait un apt-cacher-ng et deb-squid qui sont
> probablement des solutions que j'utiliserais si tous ces conteneurs
> étaient sur un même réseau pouvaient se connaitre mais ca n'est pas le
> cas.
> 
> je m'apprete a faire en sorte qu'ils tappent tous sur le même
> /var/cache/apt/archives/ (et pourquoi pas celui de mon système)
> et je me demande vraiment si je m'apprête a faire une grosse connerie.
> 
> une idée, une réflexion, une derniere volonté ?
> marc
> 

Re: github et microsoft

[Olivier Lange]

Qu'est-ce que je suis content d'être passé à Gitlab, hébergé sur un de mes
serveurs, depuis plusieurs années!

Le mar. 5 juin 2018 à 11:19, Vandendaelen Clément <
vandendaelenclem...@gmail.com> a écrit :

> Sincèrement, je ne bouge aucun de mes repos avant de voir ce que ça donne.
> Comme le dit le bas de l'article. Par apport à il y a 10 ans et surtout
> l'arrivée de Satya Nadella, le mastodonte s'est pas mal ouvert l'esprit.
> Après, il y a clairement du chemin à faire avant l'apparition d'un Windows
> Open-source, je vous l'accorde, mais quand on vois le nombre de projet de
> l'entreprise et le nombre de contributeurs à ceux ci, on pourrais laisser
> le bénéfice du doute ?
> Jeune et naïf, mais j'ai envie de croire que le monde évolue parfois du
> bon côté.
> Bav,
>
> Clément
>
> --
> *From:* Bernardo 
> *Sent:* Tuesday, June 5, 2018 10:57:51 AM
> *To:* debian-user-french@lists.debian.org
> *Subject:* Re: github et microsoft
>
> Créer un "Gittube" sur le modèle de Peertube de framasoft ?
>
> Sinon il existe déjà Framagit.
>
> Gitlab, prochaine victime de µmou ?
>
> Le 05/06/2018 à 10:51, Bernard Schoenacker a écrit :
> > bonjour,
> >
> > voici la nouvelle toute fraîche :
> >
> >
> https://www.lemonde.fr/pixels/article/2018/06/04/le-rachat-de-github-par-microsoft-suscite-des-inquietudes-chez-les-developpeurs_5309561_4408996.html
> >
> > comment créer un fork à github ?
> >
> > merci
> > slt
> > Bernard
> >
> >
>
> --
> Cordialement,
> Bernardo.
>
> Les plus grands ne sont pas ceux qui ne tombent
> jamais, mais ceux qui se relèvent toujours.
>
>

Utilisation de la commande gem, installation d'Asciidoctor-diagram sur Debian

[Olivier]

Bonjour,

La page [1] indique une installation d'Asciidoctor-diagram par:
gem install asciidoctor-diagram

Quelles sont les étapes à suivre, précautions à prendre, spécifiques à
Debian, pour installer et maintenir "proprement" un programme installé avec
gem ?

Est-il possible et conseillé d'opérer en tant que root pour l'installation


[1] https://asciidoctor.org/docs/asciidoctor-diagram/

Slts

Auto-complétion d'URL avec Firefox ESR/Chromium sur Jessie ou Stretch

[Olivier]

Bonjour,

Connaissez-vous un mécanisme d'auto-complétion ou équivalent, utilisable
dans Firefox et Chromium qui permette l'auto-complétion du nom de domaine.
Ce mécanisme est-il factorisable avec celui de bash ?

Exemple, dans mon fichier /etc/hosts, ou mieux avec un serveur dns local,
j'ai défini l'entrée:
192.168.12.12 foobar toto

Quand dans ma barre d'URL, je saisi foo+TAB ou tot+TAB (TAB étant la touche
de tabulation), mon navigateur complète intelligemment ma saisie.

J'imagine qu'on peut tromper le navigateur en ajoutant par programme des
entrées dans l'historique de navigation.

Slts

Re: KVM/Qemu : 100% CPU sur Jessie depuis le 14 mai 2018

[Olivier]

Le 22 mai 2018 à 14:14, Jérôme <haricoph...@aranha.fr> a écrit :

> On Tue, 22 May 2018 13:24:02 +0200
> Olivier <oza.4...@gmail.com> a écrit :
>
> > Bonjour,
> >
> > 1. Chez moi, j'ai toujours une CPU qui grimpe à 100% au démarrage de
> chaque
> > VM, avant même l'affichage des premiers écrans.
> > Est-ce aussi le cas chez toi ?
> >
> > 2. As-tu identifié la modification (mise à jour ?) qui pourrait avoir
> > provoqué cette anomalie ?
> >
> > 3. Quelle architecture (i686 ? amd64 ? ...) sur la machine concernée ?
> >
> > @tous:
> > 4. Qui d'autre rencontre le même pb ?
> >
> > Slts
>
> Moi j'ai eu ce problème mais sans VM, à cause du paquet
> unattended-upgrades (en testing)
>
> @Jérôme:
1. Le pb est-il résolu maintenant ou toujours ?
2. Que faut-il comprendre par "ce problème mais sans VM" ? Que tu avais
d'autres programmes que des VM qui utilisaient 100% de la CPU ?
3. Quelle architecture sur la machine concernée ? ams64 ? i686 ?

Re: Retour d'expérience avec un clavier Qwerty International

[Olivier]

Des expériences ici relatées, faut-il retenir que:
- la disposition matricielle des touches d'un clavier (par opposition à une
disposition en quinconce où les touches d'une rangée sont en décalage d'une
demie-unité des rangées adjacentes) est moins importante qu'un
positionnement linguistique naturel (voyelles d'un côté, consonnes de
l'autre, lettre positionnées selon leur fréquence d'utilisation) ?
- passe-t-on sans trop de mal d'un Bepo-matrice à une Bepo-quinconce ou
réciproquement ?

Le 18 mai 2018 à 23:46, Jérôme  a écrit :

> On Wed, 16 May 2018 23:03:05 +0200
> andre_deb...@numericable.fr a écrit :
>
> > Mon objectif est d'acheter un portable clavier AZERTY, 15 pouces,
> > donc sans pavé numérique, et de pouvoir utliser
> > les touches à chiffres en haut, sans avoir à appuyer
> > sur une des 2 touches "SHIFT".
> >
> > André
>
> Tu reconfigure le clavier. Il n'y a rien qui l'empêche sous Linux.
>
>