Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
un sonicwall tz205 pourrait faire l'affaire TZ 205 Network Security Appliance - Dell SonicWALL, Inc. il fait aussi firewall , prévoir un modem | | | | | | | | | | | TZ 205 Network Security Appliance - Dell SonicWALL, Inc. Abonnements au service et au support technique Services de sécurité au niveau de la passerelle | | | | Afficher sur www.sonicwall.com | Aperçu par Yahoo | | | | | De : Alexis Lameire alexis.lame...@gmail.com À : Samuel Thibault samuel.thiba...@ens-lyon.org Cc : Antoine Durant antoine.duran...@yahoo.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Mardi 28 juillet 2015 9h26 Objet : Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl Ou alors, une saloperie sur openwrt, pfsense ou mikrotik Cordialement Alexis Lameire Le 28 juillet 2015 09:19, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Bonjour, Antoine Durant, le Tue 28 Jul 2015 07:59:07 +0100, a écrit : Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Oui. Une route par défaut via l'ADSL 2, et une route spécifique via l'ADSL 1. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Pas besoin de Cisco. Vu le débit de l'ADSL, un mini-PC avec deux cartes réseaux suffira. Éventuellement un routeur familial, mais il faut vérifier que tu as un accès console pour pouvoir bricoler les deux connexions ADSL et le routage. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Et en encore plus léger: m0n0wall installation sur cfcard, ou CD + floppy sur une vielle carcasse Simple et diablement efficace. Le 28/07/2015 11:56, Xavier Beaudouin a écrit : Hello, Quid d'une BSD et de son magnifie PacketFilter ? c'est plus barbu comme solution, mais ça marche terriblement bien ! En moins barbu et BSD quand même il y a aussi PFsense... Voila voila... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Vu que Freebsd tourne aussi sur PI (ou PI2) avec du vlan c'est faisable :) (ou modem adsl usb) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Sinon un petit boitier Mikrotik apportera des fonctions évoluées (QoS, firewall, ...) pour un budget vraiment ridicule. -- Geoffroy Rabouin 44390 Casson Téléphone : 0x7D7D5747A Le Tuesday 28 Jul 2015 à 09:19:12 (+0200), Samuel Thibault a écrit : Bonjour, Antoine Durant, le Tue 28 Jul 2015 07:59:07 +0100, a écrit : Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Oui. Une route par défaut via l'ADSL 2, et une route spécifique via l'ADSL 1. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Pas besoin de Cisco. Vu le débit de l'ADSL, un mini-PC avec deux cartes réseaux suffira. Éventuellement un routeur familial, mais il faut vérifier que tu as un accès console pour pouvoir bricoler les deux connexions ADSL et le routage. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] Hébergement Globalswitch Clichy
Bonjour Olivier, J¹ai bossé 18 mois avec Toufeilé SALL chez Equinix. Il bosse maintenant chez Global SW, il pourra te guider vers la bonne personne. Toufeïlé SALL Structured Cabling Manager De ma part Bonne continuation Jean-Yves Le 28/07/15 10:55, « frnog-requ...@frnog.org on behalf of Olivier CALVANO » frnog-requ...@frnog.org on behalf of o.calv...@gmail.com a écrit : Bonjour, Je cherche un hébergement a Globalswitch clichy de type baie avec plusieurs cross connect. Quelqu'un sait a qui je pourrais m'adresser ? (globalswitch ne faisant pas du direct) a+ Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Hello, Tu peux aussi utiliser un firewall sous linux et classifier a la mimine le type de traffic qu'il route. J'ai eu fait ca quand j'étais étudiant: Par exemple, avec la table mangle et -j MARK de iptables, tu marques les paquets qui correspondent aux ports de surf (80/443) et de mail (25/465/110/995/143/993), et les renvoient sur la liaison 1, et une route par défaut sur la liaison 2. Clément Cavadore On Tue, 2015-07-28 at 07:59 +0100, Antoine Durant wrote: Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Merci pour vos retours. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Antoine Durant, le Tue 28 Jul 2015 07:59:07 +0100, a écrit : Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Oui. Une route par défaut via l'ADSL 2, et une route spécifique via l'ADSL 1. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Pas besoin de Cisco. Vu le débit de l'ADSL, un mini-PC avec deux cartes réseaux suffira. Éventuellement un routeur familial, mais il faut vérifier que tu as un accès console pour pouvoir bricoler les deux connexions ADSL et le routage. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Hébergement Globalswitch Clichy
Bonjour, Je cherche un hébergement a Globalswitch clichy de type baie avec plusieurs cross connect. Quelqu'un sait a qui je pourrais m'adresser ? (globalswitch ne faisant pas du direct) a+ Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Quid d'une BSD et de son magnifie PacketFilter ? c'est plus barbu comme solution, mais ça marche terriblement bien ! Le 28/07/2015 11:13, Guillaume Tournat a écrit : Le 28/07/2015 08:59, Antoine Durant a écrit : Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Avec un firewall FortiGate (fortinet) c'est tout à fait possible. Il y a deux fonctionnalités qui servent à cela : - Wan Link load balancing, pour équilibrer la charge sur les N liens - Policy routing, pour router explicitement des connexions (ex SMTP, tcp/25, sur tel lien) La gamme est vaste, entre les petits 30/40/60 (2-20 users), les 100/300/600, jusqu'aux chassis 3xxx. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Hello, Quid d'une BSD et de son magnifie PacketFilter ? c'est plus barbu comme solution, mais ça marche terriblement bien ! En moins barbu et BSD quand même il y a aussi PFsense... Voila voila... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Deni de service en src 192.168.1 sur Cisco ASR / 6500
J'ai finit par mettre une ACL qui filtre tout 192.168 .0.0/24 malheureusement cela passe toujours ! :-( et pour cause, je pensais avoir identifié l'interface source sur mon 6500 , or je m’aperçois que l'adresse MAC identifié comme source du pb est affectée a plusieurs interfaces du 6500 !? rappel de type de capture du synflood : 11:56:50.943052 *10:bd:18:e4:80:80* 00:07:7d:33:9f:00, ethertype 802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl 121, id 13137, offset 0, flags [DF], proto TCP (6), length 48) *192.168.1.101*.4007 119.28.3.29.80: Flags [S], cksum 0x7576 (correct), seq 2748456345, win 65535, options [mss 1460,nop,nop,sackOK], length 0 La MAC est donc *10:bd:18:e4:80:80 *6509E-B007#show interfaces gigabitEthernet 2/19 GigabitEthernet2/19 is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080* (bia 10bd.18e4.8080) GigabitEthernet2/20 is down, line protocol is down (notconnect) Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080* (bia 10bd.18e4.8080) 6509E-B007#show interfaces gigabitEthernet 2/22 GigabitEthernet2/22 is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080 *(bia 10bd.18e4.8080) * *je pensais avoir indetifié la source sur gigabitEthernet 2/22 , mais g 2/19, g2/20 etc ... ont aussi 10bd.18e4.8080*?? *je crois que j'ai trop la tête dans le guidon sur cette affaire ... j'ai oublié une évidence ? ce sont des MAC adresse d'interface cisco virtuelle ? vlan ? j'ai du HSRP , peut-etre un effet de bord ? bref avez vous une piste pour retrouver l'interface source de ce trafic !? Merci .* *Le 24/07/2015 16:30, David Ponzone a écrit : Mais filtre tout le rfc1918 ( sauf le légitime) en entrée du 6500! David Ponzone Le 24 juil. 2015 à 16:25, jehan procaccia INT jehan.procac...@int-evry.fr mailto:jehan.procac...@int-evry.fr a écrit : Le 24/07/2015 15:32, Nicolas Strina a écrit : On 24 juil. 2015, at 14:04, Clement Cavadoreclem...@cavadore.net wrote: Re, On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote: apres analyse pcap du trafic incriminé, extrait : des milliers de paquets avec le Flag S (Sync) cf : (...) http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard montre qu'il s'agit vraisemblablement d'un SynFlood attack je me lance alors dans l'espoir d'intercepter ça avec les outils cisco http://www.sans.org/security-resources/idfaq/syn_flood.php http://ccie-or-null.net/tag/cisco-tcp-intercept/ http://www.ciscopress.com/articles/article.asp?p=345618seqNum=3 Helas, sur mon 6500E pas de commande ip tcp intercept :-( ! ça sort d'où cette commande ? n'est pas disponible par défaut ? Probablement disponible sur une autre plateforme que les 6k5. Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL ingress sur l'interface vers ton réseau interne, n'autorisant que les subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress. Sinon voir avec ton upstream ? Ca me parait une bonne solution si tu as des soucis aussi important et aussi longtemps .. Le transitaire doit aussi assurer la “sécurité” des clients dans une moindre mesure .. Le probleme est que je suis l'upstream ! voici un aperçu ASCII du schema reseau: Source Synflood = Autonomous system (au sens politique/domain de vlans) Etudiants (4500) *= Mon Core 6509E = Mon ASR =* MAN-Evry = Renater = Internet j'aimerai bien intercepter le Synflood au plus tot (amont) sur mon 6509E . je suis surpris que le 6500 (le couteau suisse cisco ) ne gere pas le /ip tcp intercept/ tel que définit ici et là : http://www.sans.org/security-resources/idfaq/syn_flood.php http://ccie-or-null.net/tag/cisco-tcp-intercept/ http://www.ciscopress.com/articles/article.asp?p=345618seqNum=3 sinon, peut-etre une autre commande ? y-a-t-il un correspondant Cisco dans la salle ? Merci . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Raspberry PI2 ? Le 28 juil. 2015 à 12:11, Jérôme Simionato jsimion...@neocom.fr a écrit : Et en encore plus léger: m0n0wall installation sur cfcard, ou CD + floppy sur une vielle carcasse Simple et diablement efficace. Le 28/07/2015 11:56, Xavier Beaudouin a écrit : Hello, Quid d'une BSD et de son magnifie PacketFilter ? c'est plus barbu comme solution, mais ça marche terriblement bien ! En moins barbu et BSD quand même il y a aussi PFsense... Voila voila... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Merci pour vos retours. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Pour un budget minimum, c'est une solution envisageable s'il dispose d'une machine avec suffisament de carte réseau. Cordialement, On 28/07/2015 10:43, Clement Cavadore wrote: Hello, Tu peux aussi utiliser un firewall sous linux et classifier a la mimine le type de traffic qu'il route. J'ai eu fait ca quand j'étais étudiant: Par exemple, avec la table mangle et -j MARK de iptables, tu marques les paquets qui correspondent aux ports de surf (80/443) et de mail (25/465/110/995/143/993), et les renvoient sur la liaison 1, et une route par défaut sur la liaison 2. Clément Cavadore On Tue, 2015-07-28 at 07:59 +0100, Antoine Durant wrote: Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Merci pour vos retours. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Ou bien un ti zyxel usg 100 (ou plus gros suivant le nombre de connexion). J'ai utilisé un USG 1000 et ca tourne bien dans le même cas. Le 28/07/2015 09:26, Alexis Lameire a écrit : Ou alors, une saloperie sur openwrt, pfsense ou mikrotik Cordialement Alexis Lameire Le 28 juillet 2015 09:19, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Bonjour, Antoine Durant, le Tue 28 Jul 2015 07:59:07 +0100, a écrit : Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Oui. Une route par défaut via l'ADSL 2, et une route spécifique via l'ADSL 1. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Pas besoin de Cisco. Vu le débit de l'ADSL, un mini-PC avec deux cartes réseaux suffira. Éventuellement un routeur familial, mais il faut vérifier que tu as un accès console pour pouvoir bricoler les deux connexions ADSL et le routage. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
En faisant un effort de bonne volonté, je veux bien admettre pourquoi Cisco a fait tous ses efforts pour qu’on ne puisse pas bousiller l’accès à cette interface: parce qu’elle sert à accéder au mode diag, quelque soit à priori l’état de l’IOS. Le 28 juil. 2015 à 20:38, Youssef Bengelloun-Zahr yous...@720.fr a écrit : Salut, A ce sujet, bcp de constructeurs ont du mal à gérer ce point, je ne citerai pas de nom ;-) Idem, certaines limitations hard/soft empêchent d'exporter tes logs/authent radius/xflow/snmp/etc... avec comme source cette interface :-/ Très débile comme tu dis, surtout pour une interface de MGMT dédiée OOB. Maintenant, si tu sais l'expliquer, c'est une autre histoire. My 2 cents. Y. Le 28 juil. 2015 à 20:19, David Ponzone david.ponz...@gmail.com a écrit : Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir cherché. Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas mettre le port Gig0 d’un ASR dans un autre VRF…. Ca, c’est très très débile. Enfin je trouve. Le 28 juil. 2015 à 16:03, David Ponzone david.ponz...@gmail.com a écrit : J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se connecter sur un ASR dans le VRF de management par défaut qui est défini avec: vrf definition Mgmt-intf rd 65000:9 ! address-family ipv4 route-target export 65000:9 route-target import 65000:9 exit-address-family ! address-family ipv6 exit-address-family L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. L’échec est au niveau de l’authentification CHAP. Evidemment, le password est bon puisque si je change le VRF dans le Radius pour en mettre un qui est défini à « l’ancienne »: ip vrf test etc… ça marche. Une limitation pas documentée sur le VRF de management ? Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la rentrée à celui qui trouve :) David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
sur Raspberry je ne sais pas. sinon, il y a Soekris, PC Engines, etc ... Le 28/07/2015 12:20, Xavier Beaudouin a écrit : Vu que Freebsd tourne aussi sur PI (ou PI2) avec du vlan c'est faisable :) (ou modem adsl usb) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Jérôme SIMIONATO Développeur NEOCOM Multimédia SA -www.neocom.fr http://www.neocom.fr 5, rue Platon, 75015 Paris Tél. standard : 01 72 71 20 20 Tél. direct : 0 826 81 51 51 - poste 5309(0.15E/min) Paris Stock Exchange - Euronext MLNEO /Confidentialité/Internet disclaimer:/ Ce message contient des informations confidentielles couvertes par le secret professionnel. Si vous n'êtes pas le destinataire désigné, nous vous remercions de bien vouloir nous en aviser immédiatement et de nous retourner ce message ou de le détruire, sans faire un quelconque usage de son contenu, ni le communiquer ou le diffuser, ni en prendre aucune copie, électronique ou non. La sécurité des envois de messages électroniques ne peut être assurée. Ces messages peuvent notamment être interceptés, modifiés, altérés, détruits, perdus, arriver tardivement ou partiellement, ou contenir des virus. L'expéditeur ne saurait être tenu pour responsable des erreurs ou omissions qui résulteraient d'un envoi par message électronique. Si vous souhaitez vérifier l'authenticité du message et des fichiers joints, merci d'en solliciter une copie sur papier. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Hébergement Globalswitch Clichy
Sinon en mode quickdurty... Baie OVH. Seb Le 28 juil. 2015 à 11:49, Jean-Yves Montabord jy.montab...@digitnoveo.eu a écrit : Bonjour Olivier, J¹ai bossé 18 mois avec Toufeilé SALL chez Equinix. Il bosse maintenant chez Global SW, il pourra te guider vers la bonne personne. Toufeïlé SALL Structured Cabling Manager De ma part Bonne continuation Jean-Yves Le 28/07/15 10:55, « frnog-requ...@frnog.org on behalf of Olivier CALVANO » frnog-requ...@frnog.org on behalf of o.calv...@gmail.com a écrit : Bonjour, Je cherche un hébergement a Globalswitch clichy de type baie avec plusieurs cross connect. Quelqu'un sait a qui je pourrais m'adresser ? (globalswitch ne faisant pas du direct) a+ Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Deni de service en src 192.168.1 sur Cisco ASR / 6500
Le Tue, Jul 28, 2015 at 12:14:46PM +0200, jehan procaccia INT [jehan.procac...@int-evry.fr] a écrit: J'ai finit par mettre une ACL qui filtre tout 192.168 .0.0/24 malheureusement cela passe toujours ! :-( et pour cause, je pensais avoir identifié l'interface source sur mon 6500 , or je m???aperçois que l'adresse MAC identifié comme source du pb est affectée a plusieurs interfaces du 6500 !? rappel de type de capture du synflood : 11:56:50.943052 *10:bd:18:e4:80:80* 00:07:7d:33:9f:00, ethertype 802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl 121, id 13137, offset 0, flags [DF], proto TCP (6), length 48) *192.168.1.101*.4007 119.28.3.29.80: Flags [S], cksum 0x7576 (correct), seq 2748456345, win 65535, options [mss 1460,nop,nop,sackOK], length 0 La MAC est donc *10:bd:18:e4:80:80 Mais ça, c'est (si j'ai bien compris) ce que tu captures *APRES* ton 6500, qui doit effectuer du routage, et c'est donc son adresse MAC que tu vois. [...] *je crois que j'ai trop la tête dans le guidon sur cette affaire ... j'ai oublié une évidence ? ce sont des MAC adresse d'interface cisco virtuelle ? vlan ? j'ai du HSRP , peut-etre un effet de bord ? bref avez vous une piste pour retrouver l'interface source de ce trafic !? Ce qu'il faudrait, c'est réussir à identifier la source *AVANT* le 6500. As-tu moyen de placer de quoi faire un tcpdump sur les entrées de ton 6500 ? -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Deni de service en src 192.168.1 sur Cisco ASR / 6500
Le Tue, Jul 28, 2015 at 02:58:45PM +0200, jehan procaccia INT [jehan.procac...@int-evry.fr] a écrit: Le 28/07/2015 14:30, Dominique Rousseau a écrit : [...] La MAC est donc *10:bd:18:e4:80:80 Mais ça, c'est (si j'ai bien compris) ce que tu captures *APRES* ton 6500, qui doit effectuer du routage, et c'est donc son adresse MAC que tu vois. [...] c'est ce que je capture en faisant un port mirroring (session monitor en termes cisco) sur l'interface que je suspectais donc pas vraiment apres mon 6500 , mais plutôt dedans . Si c'est sur l'interface de sortie, vers ton ASR, c'est du apres. Ce qu'il faudrait, c'est réussir à identifier la source *AVANT* le 6500. oui, c'est bien ce que je recherche As-tu moyen de placer de quoi faire un tcpdump sur les entrées de ton 6500 ? avec 2 cartes 48 ports 1G et 1 carte 16 * 10G cela ne va pas etre facile de faire du port mirroring sur chaque port ! [...] avez vous une idée pour identifier l'interface source de mon 6500 qui génère ce trafic. Vu le nombre de ports que tu indiques, il y'en a où ton 6500 fait du switching, et d'autres où il route, je suppose. Si tu te limites aux ports qui font du routage, ça te donne quoi ? -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] VRF et PPP
J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se connecter sur un ASR dans le VRF de management par défaut qui est défini avec: vrf definition Mgmt-intf rd 65000:9 ! address-family ipv4 route-target export 65000:9 route-target import 65000:9 exit-address-family ! address-family ipv6 exit-address-family L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. L’échec est au niveau de l’authentification CHAP. Evidemment, le password est bon puisque si je change le VRF dans le Radius pour en mettre un qui est défini à « l’ancienne »: ip vrf test etc… ça marche. Une limitation pas documentée sur le VRF de management ? Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la rentrée à celui qui trouve :) David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, On Tue, Jul 28, 2015 at 11:53:43AM +0200, Pierre DOLIDON wrote: Quid d'une BSD et de son magnifie PacketFilter ? c'est plus barbu comme solution, mais ça marche terriblement bien ! Je confirme, avec Packet Filter (PF) sous OpenBSD (ou autre mouture BSD), le multi outgoing connections, ça fonctionne très bien et simplement. Voir la FAQ http://www.openbsd.org/faq/pf/pools.html#outgoing Ca demande de monter un ptit router/firewall à base de Soekris ou PC Engines comme dit par ailleurs. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Le 28/07/2015 08:59, Antoine Durant a écrit : Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Avec un firewall FortiGate (fortinet) c'est tout à fait possible. Il y a deux fonctionnalités qui servent à cela : - Wan Link load balancing, pour équilibrer la charge sur les N liens - Policy routing, pour router explicitement des connexions (ex SMTP, tcp/25, sur tel lien) La gamme est vaste, entre les petits 30/40/60 (2-20 users), les 100/300/600, jusqu'aux chassis 3xxx. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
La version du povre. Les 2 boxes se partagent le meme LAN, la box 1 garde son dhcp, la box 2 a une ip LAN differents que la 1, mais restent toutes sur le meme L2. Tu installe un rPi ou autre avec une route statique vers b2. Et en jouant avec les reglage de proxy sur les navigateurs clients, le traffic youtube Co passe par b2, le reste par b1 et son VPN. C'est pas tres joli, mais ca coute quasi rien, on reste grandement en applicatif sans trop toucher au reseau. Sinon, comme tout le monde un mikrotik a 50€ fera l'affaire aussi. On 2015-07-28 08:59, Antoine Durant wrote: Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Merci pour vos retours. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
On Tue Jul 28 12:34:51 2015, Jérôme Simionato wrote: sur Raspberry je ne sais pas. sinon, il y a Soekris, PC Engines, etc ... J’appuie le choix d’un PC Engine. J’utilise un APU¹ pour mon routeur (et ce qui doit rester dans un tmux, style mutt, IRC et XMPP) à la maison, ça marche nickel. [1] http://www.pcengines.ch/apu1d.htm -- Alarig Le Lay signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, J’appuie le choix d’un PC Engine. J’utilise un APU¹ pour mon routeur (et ce qui doit rester dans un tmux, style mutt, IRC et XMPP) à la maison, ça marche nickel. [1] http://www.pcengines.ch/apu1d.htm Pour ma part, j'emploie la petite sœur de chez PC Engine à base de Géode pour faire de la QOS, du routage, du vpn, point d'accès etc. sous openwrt. Ca marche vraiment bien : http://www.pcengines.ch/alix2d13.htm J'ai voulu a un moment y mettre du pfsense, mais c'est trop court en RAM... Par contre sur une APU, ça doit fonctionner sans soucis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Deni de service en src 192.168.1 sur Cisco ASR / 6500
C’est étrange en effet, mais lis ça, ca explique peut-être le truc: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6000-series-switches/41263-catmac-41263.html Le 28 juil. 2015 à 12:14, jehan procaccia INT jehan.procac...@int-evry.fr a écrit : J'ai finit par mettre une ACL qui filtre tout 192.168 .0.0/24 malheureusement cela passe toujours ! :-( et pour cause, je pensais avoir identifié l'interface source sur mon 6500 , or je m’aperçois que l'adresse MAC identifié comme source du pb est affectée a plusieurs interfaces du 6500 !? rappel de type de capture du synflood : 11:56:50.943052 10:bd:18:e4:80:80 00:07:7d:33:9f:00, ethertype 802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl 121, id 13137, offset 0, flags [DF], proto TCP (6), length 48) 192.168.1.101.4007 119.28.3.29.80: Flags [S], cksum 0x7576 (correct), seq 2748456345, win 65535, options [mss 1460,nop,nop,sackOK], length 0 La MAC est donc 10:bd:18:e4:80:80 6509E-B007#show interfaces gigabitEthernet 2/19 GigabitEthernet2/19 is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is 10bd.18e4.8080 (bia 10bd.18e4.8080) GigabitEthernet2/20 is down, line protocol is down (notconnect) Hardware is C6k 1000Mb 802.3, address is 10bd.18e4.8080 (bia 10bd.18e4.8080) 6509E-B007#show interfaces gigabitEthernet 2/22 GigabitEthernet2/22 is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is 10bd.18e4.8080 (bia 10bd.18e4.8080) je pensais avoir indetifié la source sur gigabitEthernet 2/22 , mais g 2/19, g2/20 etc ... ont aussi 10bd.18e4.8080 ?? je crois que j'ai trop la tête dans le guidon sur cette affaire ... j'ai oublié une évidence ? ce sont des MAC adresse d'interface cisco virtuelle ? vlan ? j'ai du HSRP , peut-etre un effet de bord ? bref avez vous une piste pour retrouver l'interface source de ce trafic !? Merci . Le 24/07/2015 16:30, David Ponzone a écrit : Mais filtre tout le rfc1918 ( sauf le légitime) en entrée du 6500! David Ponzone Le 24 juil. 2015 à 16:25, jehan procaccia INT jehan.procac...@int-evry.fr a écrit : Le 24/07/2015 15:32, Nicolas Strina a écrit : On 24 juil. 2015, at 14:04, Clement Cavadore clem...@cavadore.net wrote: Re, On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote: apres analyse pcap du trafic incriminé, extrait : des milliers de paquets avec le Flag S (Sync) cf : (...) http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard montre qu'il s'agit vraisemblablement d'un SynFlood attack je me lance alors dans l'espoir d'intercepter ça avec les outils cisco http://www.sans.org/security-resources/idfaq/syn_flood.php http://ccie-or-null.net/tag/cisco-tcp-intercept/ http://www.ciscopress.com/articles/article.asp?p=345618seqNum=3 Helas, sur mon 6500E pas de commande ip tcp intercept :-( ! ça sort d'où cette commande ? n'est pas disponible par défaut ? Probablement disponible sur une autre plateforme que les 6k5. Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL ingress sur l'interface vers ton réseau interne, n'autorisant que les subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress. Sinon voir avec ton upstream ? Ca me parait une bonne solution si tu as des soucis aussi important et aussi longtemps .. Le transitaire doit aussi assurer la “sécurité” des clients dans une moindre mesure .. Le probleme est que je suis l'upstream ! voici un aperçu ASCII du schema reseau: Source Synflood = Autonomous system (au sens politique/domain de vlans) Etudiants (4500) = Mon Core 6509E = Mon ASR = MAN-Evry = Renater = Internet j'aimerai bien intercepter le Synflood au plus tot (amont) sur mon 6509E . je suis surpris que le 6500 (le couteau suisse cisco ) ne gere pas le ip tcp intercept tel que définit ici et là : http://www.sans.org/security-resources/idfaq/syn_flood.php http://ccie-or-null.net/tag/cisco-tcp-intercept/ http://www.ciscopress.com/articles/article.asp?p=345618seqNum=3 sinon, peut-etre une autre commande ? y-a-t-il un correspondant Cisco dans la salle ? Merci . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Je confirme pour l'APU et la RAM, ça fonctionne parfaitement. Cordialement, On 28/07/2015 13:22, Vincent wrote: Bonjour, J’appuie le choix d’un PC Engine. J’utilise un APU¹ pour mon routeur (et ce qui doit rester dans un tmux, style mutt, IRC et XMPP) à la maison, ça marche nickel. [1] http://www.pcengines.ch/apu1d.htm Pour ma part, j'emploie la petite sœur de chez PC Engine à base de Géode pour faire de la QOS, du routage, du vpn, point d'accès etc. sous openwrt. Ca marche vraiment bien : http://www.pcengines.ch/alix2d13.htm J'ai voulu a un moment y mettre du pfsense, mais c'est trop court en RAM... Par contre sur une APU, ça doit fonctionner sans soucis. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Déplacement baie à chaud.
Bonjour. J'ai des baies Télécom à faire déménager à chaud. Environ 3m 60 à déplacer. L'enjeux est d'être capable de déplacer de 3m60 deux baies *strictement* *en même temps* sans coupure du pop réseau en question. Connaissez vous des prestataires qui ont l'habitude de faire ça, et qui assurent dans ce domaine ? Me réponde en PV svp. Best -- Alexandre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Deni de service en src 192.168.1 sur Cisco ASR / 6500
Le 28/07/2015 14:30, Dominique Rousseau a écrit : Le Tue, Jul 28, 2015 at 12:14:46PM +0200, jehan procaccia INT [jehan.procac...@int-evry.fr] a écrit: J'ai finit par mettre une ACL qui filtre tout 192.168.0.0/16 malheureusement cela passe toujours ! :-( et pour cause, je pensais avoir identifié l'interface source sur mon 6500 , or je m???aperçois que l'adresse MAC identifié comme source du pb est affectée a plusieurs interfaces du 6500 !? rappel de type de capture du synflood : 11:56:50.943052 *10:bd:18:e4:80:80* 00:07:7d:33:9f:00, ethertype 802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl 121, id 13137, offset 0, flags [DF], proto TCP (6), length 48) *192.168.1.101*.4007 119.28.3.29.80: Flags [S], cksum 0x7576 (correct), seq 2748456345, win 65535, options [mss 1460,nop,nop,sackOK], length 0 La MAC est donc *10:bd:18:e4:80:80 Mais ça, c'est (si j'ai bien compris) ce que tu captures *APRES* ton 6500, qui doit effectuer du routage, et c'est donc son adresse MAC que tu vois. [...] c'est ce que je capture en faisant un port mirroring (session monitor en termes cisco) sur l'interface que je suspectais donc pas vraiment apres mon 6500 , mais plutôt dedans . Ce qu'il faudrait, c'est réussir à identifier la source *AVANT* le 6500. oui, c'est bien ce que je recherche As-tu moyen de placer de quoi faire un tcpdump sur les entrées de ton 6500 ? avec 2 cartes 48 ports 1G et 1 carte 16 * 10G cela ne va pas etre facile de faire du port mirroring sur chaque port ! ce qui me perturbe fortement, c'est pourquoi des interfaces du 6500 ont la meme adresse MAC !? GigabitEthernet*2/19* is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080* (bia 10bd.18e4.8080) GigabitEthernet*2/22 *is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080* (bia 10bd.18e4.8080) au dela d'une ACL en IN sur l'interface suspectée 6509E-B007#show access-lists 122 Extended IP access list 122 10 deny ip 192.168.1.0 0.0.0.255 any log-input 30 permit ip any any (413 matches) interface GigabitEthernet2/22 ip access-group 122 in j'ai monté ensuite un rate-limit afin de voir plus finement si je peux matcher et controler ce trafic sur cette interface 6509E-B007#show policy-map police-192-168-1-traffic Policy Map police-192-168-1-traffic Class identify-192-168-1-traffic police flow mask src-only 32000 10 conform-action transmit exceed-action drop 6509E-B007#show class-map identify-192-168-1-traffic Class Map match-all identify-192-168-1-traffic (id 37) Match access-group 123 6509E-B007#show access-lists 123 Extended IP access list 123 10 permit ip 192.168.1.0 0.0.0.255 any Helas, cela ne match rien, meme a un momment ou j'ai vu les effets de bord du synflood sur l'ACL 112 de mon ASR qui n'arrivent plus a Loger quand cela se produit 6509E-B007#show policy-map interface gigabitEthernet 2/22 GigabitEthernet2/22 Service-policy input: police-192-168-1-traffic *Class-map: identify-192-168-1-traffic (match-all)** ** 0 packets, 0 bytes* 5 minute offered rate bps, drop rate bps Match: access-group 123 Class-map: class-default (match-any) 581 packets, 83110 bytes 5 minute offered rate bps, drop rate bps Match: any 581 packets, 83110 bytes 5 minute rate 0 bps avez vous une idée pour identifier l'interface source de mon 6500 qui génère ce trafic. la difficulté est qu'il y a des burst de synflood qui ne durent que qq minites de façon aleatoire toutes les 3 ou 4H = pas facile de suivre le flux Merci . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
Hello, Il peut y avoir toutes sortes de bonnes / mauvaises raisons à cela. Y. Le 29 juil. 2015 à 02:26, David Ponzone david.ponz...@gmail.com a écrit : En faisant un effort de bonne volonté, je veux bien admettre pourquoi Cisco a fait tous ses efforts pour qu’on ne puisse pas bousiller l’accès à cette interface: parce qu’elle sert à accéder au mode diag, quelque soit à priori l’état de l’IOS. Le 28 juil. 2015 à 20:38, Youssef Bengelloun-Zahr yous...@720.fr a écrit : Salut, A ce sujet, bcp de constructeurs ont du mal à gérer ce point, je ne citerai pas de nom ;-) Idem, certaines limitations hard/soft empêchent d'exporter tes logs/authent radius/xflow/snmp/etc... avec comme source cette interface :-/ Très débile comme tu dis, surtout pour une interface de MGMT dédiée OOB. Maintenant, si tu sais l'expliquer, c'est une autre histoire. My 2 cents. Y. Le 28 juil. 2015 à 20:19, David Ponzone david.ponz...@gmail.com a écrit : Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir cherché. Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas mettre le port Gig0 d’un ASR dans un autre VRF…. Ca, c’est très très débile. Enfin je trouve. Le 28 juil. 2015 à 16:03, David Ponzone david.ponz...@gmail.com a écrit : J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se connecter sur un ASR dans le VRF de management par défaut qui est défini avec: vrf definition Mgmt-intf rd 65000:9 ! address-family ipv4 route-target export 65000:9 route-target import 65000:9 exit-address-family ! address-family ipv6 exit-address-family L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. L’échec est au niveau de l’authentification CHAP. Evidemment, le password est bon puisque si je change le VRF dans le Radius pour en mettre un qui est défini à « l’ancienne »: ip vrf test etc… ça marche. Une limitation pas documentée sur le VRF de management ? Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la rentrée à celui qui trouve :) David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Antoine Durant Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Aucun problème avec le bon matos. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Oui. Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Ca dépend de combien de box tu peux te débarrasser et de combien tu es obligé de garder, et de bien d'autres facteurs comme la conception de ton réseau et tes compétence avec IOS. Cisco 1841 c'est pas cher d'occase. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
C’est étrange en fait, tout le monde fournit sa petite idée (ce qui est super), mais je m’aperçois qu’on ne sait pas comment il monte son VPN actuellement. C’est la box actuelle (IPsec de la Livebox, miam….) ou clients VPN sur chaque PC ? Dans tous les cas, il doit pouvoir s’en sortir sans rajouter de routeur intermédiaire, avec des routes statiques permanentes sur chaque PC Windows (route -p). Et donc la 2ème box avec une IP dans le même network, sans DHCP, juste pour le VPN. Oui c’est cracra, mais comme ça il peut passer en prod sur ses 2 ADSL, avant de commencer à regarder tous vos mails au bord de la piscine pendant le mois d’Août, pour décider quelle est la solution la meilleure/plus jolie/plus WAF/plus geek/plus cheap/plus estivale/…..:) Le 28 juil. 2015 à 18:56, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Antoine Durant Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Aucun problème avec le bon matos. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Oui. Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Ca dépend de combien de box tu peux te débarrasser et de combien tu es obligé de garder, et de bien d'autres facteurs comme la conception de ton réseau et tes compétence avec IOS. Cisco 1841 c'est pas cher d'occase. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
David Ponzone Ben il a dit 500€. C’est 100€ pour le Cisco et 400 de presta :) :-D Ceci dit, dans ta solution, il a un gros SPOF sur un routeur qui a plus de 10 ans. Il faut qu’il achète une alim de spare au moins, vu que c’est à peu près la seule chose qui peut péter dans un 1841 traité avec dignité. Vrai, mais à $40 le routeur, t'en achète un complet de spare. Encore plus geeky : faire du VRRP avec le spare. Si je recommande le 1841 c'est pour la conso; pour un peu plus sérieux faut mettre du 2851 à $100 pièce, plus récent. Michel. Le 28 juil. 2015 à 19:42, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : La solution la plus geek : on dégage les deux box, cisco 1841, 2x WIC adsl dans le cisco, floating static route par défaut pour le traffic Internet pointant sur l'autre ADSL aux cas ou la primary saute, l'opposé pour la destination VPN au cas ou la secondary saute, route-map pour nat. C'est pas une config de débutant. Michel. -Original Message- From: David Ponzone [mailto:david.ponz...@gmail.com] Sent: Tuesday, July 28, 2015 10:04 AM To: Michel Py Cc: Antoine Durant; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl C’est étrange en fait, tout le monde fournit sa petite idée (ce qui est super), mais je m’aperçois qu’on ne sait pas comment il monte son VPN actuellement. C’est la box actuelle (IPsec de la Livebox, miam….) ou clients VPN sur chaque PC ? Dans tous les cas, il doit pouvoir s’en sortir sans rajouter de routeur intermédiaire, avec des routes statiques permanentes sur chaque PC Windows (route -p). Et donc la 2ème box avec une IP dans le même network, sans DHCP, juste pour le VPN. Oui c’est cracra, mais comme ça il peut passer en prod sur ses 2 ADSL, avant de commencer à regarder tous vos mails au bord de la piscine pendant le mois d’Août, pour décider quelle est la solution la meilleure/plus jolie/plus WAF/plus geek/plus cheap/plus estivale/…..:) Le 28 juil. 2015 à 18:56, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Antoine Durant Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Aucun problème avec le bon matos. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Oui. Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Ca dépend de combien de box tu peux te débarrasser et de combien tu es obligé de garder, et de bien d'autres facteurs comme la conception de ton réseau et tes compétence avec IOS. Cisco 1841 c'est pas cher d'occase. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Ben il a dit 500€. C’est 100€ pour le Cisco et 400 de presta :) Ceci dit, dans ta solution, il a un gros SPOF sur un routeur qui a plus de 10 ans. Il faut qu’il achète une alim de spare au moins, vu que c’est à peu près la seule chose qui peut péter dans un 1841 traité avec dignité. Le 28 juil. 2015 à 19:42, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : La solution la plus geek : on dégage les deux box, cisco 1841, 2x WIC adsl dans le cisco, floating static route par défaut pour le traffic Internet pointant sur l'autre ADSL aux cas ou la primary saute, l'opposé pour la destination VPN au cas ou la secondary saute, route-map pour nat. C'est pas une config de débutant. Michel. -Original Message- From: David Ponzone [mailto:david.ponz...@gmail.com] Sent: Tuesday, July 28, 2015 10:04 AM To: Michel Py Cc: Antoine Durant; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl C’est étrange en fait, tout le monde fournit sa petite idée (ce qui est super), mais je m’aperçois qu’on ne sait pas comment il monte son VPN actuellement. C’est la box actuelle (IPsec de la Livebox, miam….) ou clients VPN sur chaque PC ? Dans tous les cas, il doit pouvoir s’en sortir sans rajouter de routeur intermédiaire, avec des routes statiques permanentes sur chaque PC Windows (route -p). Et donc la 2ème box avec une IP dans le même network, sans DHCP, juste pour le VPN. Oui c’est cracra, mais comme ça il peut passer en prod sur ses 2 ADSL, avant de commencer à regarder tous vos mails au bord de la piscine pendant le mois d’Août, pour décider quelle est la solution la meilleure/plus jolie/plus WAF/plus geek/plus cheap/plus estivale/…..:) Le 28 juil. 2015 à 18:56, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Antoine Durant Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Aucun problème avec le bon matos. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Oui. Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Ca dépend de combien de box tu peux te débarrasser et de combien tu es obligé de garder, et de bien d'autres facteurs comme la conception de ton réseau et tes compétence avec IOS. Cisco 1841 c'est pas cher d'occase. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
Salut, A ce sujet, bcp de constructeurs ont du mal à gérer ce point, je ne citerai pas de nom ;-) Idem, certaines limitations hard/soft empêchent d'exporter tes logs/authent radius/xflow/snmp/etc... avec comme source cette interface :-/ Très débile comme tu dis, surtout pour une interface de MGMT dédiée OOB. Maintenant, si tu sais l'expliquer, c'est une autre histoire. My 2 cents. Y. Le 28 juil. 2015 à 20:19, David Ponzone david.ponz...@gmail.com a écrit : Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir cherché. Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas mettre le port Gig0 d’un ASR dans un autre VRF…. Ca, c’est très très débile. Enfin je trouve. Le 28 juil. 2015 à 16:03, David Ponzone david.ponz...@gmail.com a écrit : J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se connecter sur un ASR dans le VRF de management par défaut qui est défini avec: vrf definition Mgmt-intf rd 65000:9 ! address-family ipv4 route-target export 65000:9 route-target import 65000:9 exit-address-family ! address-family ipv6 exit-address-family L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. L’échec est au niveau de l’authentification CHAP. Evidemment, le password est bon puisque si je change le VRF dans le Radius pour en mettre un qui est défini à « l’ancienne »: ip vrf test etc… ça marche. Une limitation pas documentée sur le VRF de management ? Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la rentrée à celui qui trouve :) David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: VRF et PPP
Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir cherché. Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas mettre le port Gig0 d’un ASR dans un autre VRF…. Ca, c’est très très débile. Enfin je trouve. Le 28 juil. 2015 à 16:03, David Ponzone david.ponz...@gmail.com a écrit : J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se connecter sur un ASR dans le VRF de management par défaut qui est défini avec: vrf definition Mgmt-intf rd 65000:9 ! address-family ipv4 route-target export 65000:9 route-target import 65000:9 exit-address-family ! address-family ipv6 exit-address-family L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. L’échec est au niveau de l’authentification CHAP. Evidemment, le password est bon puisque si je change le VRF dans le Radius pour en mettre un qui est défini à « l’ancienne »: ip vrf test etc… ça marche. Une limitation pas documentée sur le VRF de management ? Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la rentrée à celui qui trouve :) David --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
La solution la plus geek : on dégage les deux box, cisco 1841, 2x WIC adsl dans le cisco, floating static route par défaut pour le traffic Internet pointant sur l'autre ADSL aux cas ou la primary saute, l'opposé pour la destination VPN au cas ou la secondary saute, route-map pour nat. C'est pas une config de débutant. Michel. -Original Message- From: David Ponzone [mailto:david.ponz...@gmail.com] Sent: Tuesday, July 28, 2015 10:04 AM To: Michel Py Cc: Antoine Durant; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl C’est étrange en fait, tout le monde fournit sa petite idée (ce qui est super), mais je m’aperçois qu’on ne sait pas comment il monte son VPN actuellement. C’est la box actuelle (IPsec de la Livebox, miam….) ou clients VPN sur chaque PC ? Dans tous les cas, il doit pouvoir s’en sortir sans rajouter de routeur intermédiaire, avec des routes statiques permanentes sur chaque PC Windows (route -p). Et donc la 2ème box avec une IP dans le même network, sans DHCP, juste pour le VPN. Oui c’est cracra, mais comme ça il peut passer en prod sur ses 2 ADSL, avant de commencer à regarder tous vos mails au bord de la piscine pendant le mois d’Août, pour décider quelle est la solution la meilleure/plus jolie/plus WAF/plus geek/plus cheap/plus estivale/…..:) Le 28 juil. 2015 à 18:56, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Antoine Durant Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Aucun problème avec le bon matos. Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Oui. Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Ca dépend de combien de box tu peux te débarrasser et de combien tu es obligé de garder, et de bien d'autres facteurs comme la conception de ton réseau et tes compétence avec IOS. Cisco 1841 c'est pas cher d'occase. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/