Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Jérôme Nicolle 
Michel,

Le 19/05/2017 à 23:03, Michel Py a écrit :
> Va falloir que je renumérote mon 30.0.0.0/8 ;-)

Bah non, c'est pas comme si t'avais envie de causer au DoD. Donc Tu t'en
fous, tant que tu ne les leake pas (et encore).

@+

-- 
Jérôme Nicolle
+33 (0)6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SRX ne répond plus au arp who-has

2017-05-19 Par sujet SBU 
Bonjour,
Quelqu'un a-t-il déjà rencontré un problème avec un SRX (moi un 1400) qui ne
répond plus au arp who-has x.x.x.254 tell x.x.x.6 . (du jour au lendemain)
Le SRX est en cluster (reth) et les interfaces sont dans des Logical system.
Les interfaces sont sur une carte additionnel apparemment pas en cause
puisque, les 2 nodes ont le même symptôme, même isolé (un node power off)...
Il est a 3% de load, je l'ai upgradé à la dernière version, j'ai isolé
l'environnement en ne mettant qu'un switch connecté à une seul machine 
Lorsqu'on bascule d'un node à l'autre cela fonctionne quelque instant...
franchement: jamais vu ça...
SBU



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Michel Py 
> Jérôme Nicolle a écrit :
> Avant RFC6598, quand il n'y avait plus de subnets dans 10.0.0.0/8, on allait 
> taper dans 11.0.0.0/8. Mais ça, c'était avant.
> Maintenant, les admins windows+cisco des grosses boites commencent à taper 
> dans le 100.64.0.0/12. C'est beaucoup plus propre, hein ?

:-D

Va falloir que je renumérote mon 30.0.0.0/8 ;-)

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Radu-Adrian Feurdean 
On Fri, May 19, 2017, at 10:52, gabriel corre wrote:

> 100.64.0.0/10 : Réservé pour les connexions entre fournisseurs et clients
> faisant usage du "Carrier-Grade NAT"

Meme sans forcement faire du vrai CGN, nous utilisons ce bloc en tant
que "IP prive operateur". Filtrage in et out sur les session EBGP, et
bloc reserve pour nos propres usages dans les L3VPN (qui hereusement ne
connaissent pas encore ce bloc et le RFC qui va avec).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Technicien Télécom & Réseaux

2017-05-19 Par sujet Alain Bieuzent 
Bonjour,

 

Nous recherchons pour nos bureaux de Vannes (Bretagne), un technicien Télécom & 
Réseau bilingue Espagnol/Français.

 

Ci-dessous l’offre détaillée : 

http://www.manifone.com/download/TechnicienTelecomReseau.pdf

 

Merci,

 

Alain BIEUZENT

Directeur Télécom & Réseaux

Manifone.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet David Ponzone 
Ouais, le 11/8, c’était pénible pour lancer une attaque sur le Pentagone.

> Le 19 mai 2017 à 13:08, Jérôme Nicolle  a écrit :
> 
> Plop,
> 
> Le 19/05/2017 à 10:52, gabriel corre a écrit :
>> J'ai encore jamais vu de cas pratique d'utilisation.
> 
> Avant RFC6598, quand il n'y avait plus de subnets dans 10.0.0.0/8, on
> allait taper dans 11.0.0.0/8. Mais ça, c'était avant.
> 
> Maintenant, les admins windows+cisco des grosses boites commencent à
> taper dans le 100.64.0.0/12. C'est beaucoup plus propre, hein ?
> 
> @+
> 
> -- 
> Jérôme Nicolle
> +33 (0)6 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Jérôme Nicolle 
Plop,

Le 19/05/2017 à 10:52, gabriel corre a écrit :
> J'ai encore jamais vu de cas pratique d'utilisation.

Avant RFC6598, quand il n'y avait plus de subnets dans 10.0.0.0/8, on
allait taper dans 11.0.0.0/8. Mais ça, c'était avant.

Maintenant, les admins windows+cisco des grosses boites commencent à
taper dans le 100.64.0.0/12. C'est beaucoup plus propre, hein ?

@+

-- 
Jérôme Nicolle
+33 (0)6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Ingénieurs Docker Paris

2017-05-19 Par sujet Guillaume Rose 
Bonjour,

Nous recherchons pour le bureau parisien de Docker des ingénieurs pour
travailler sur les orchestrateurs (Swarm, Kubernetes et Mesos) et des
ingénieurs support.

Voici les offres détaillées :
Ingénieur orchestration -
https://www.docker.com/careers/engineering?job-id=696604
Ingénieur support -
https://www.docker.com/careers/customer-success?job-id=619518

Ce sont à chaque fois des postes à la croisée des chemins entre ingénieur
réseau, ingénieur système et développeur. Pour plus de détails sur ce que
nous faisons et les évolutions possibles :
http://blog.javabien.net/2017/05/09/18-months-at-docker-paris/

Merci,

Guillaume Rose
Software engineer
Docker

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Alarig Le Lay 
On ven. 19 mai 10:24:07 2017, Julien Escario wrote:
> ('tention, je fais de l'infra toute la journée, j'en suis probablement pour
> quelques posts ici).
> 
> Bonjour,
> Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment, 
> l'annonce
> de RFC1918.
> 
> En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
> "Shared Address Space is similar to [RFC1918] private address space in
>that it is not globally routable address space and can be used by
>multiple pieces of equipment."
> 
> Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.
> 
> Des emmerdes à prévoir si je filtre ça ?

Hello,

Pour ma part je filtre ce préfixe, il n’est remonté par aucun pair :
alarig@nominoe:~ % birdc 'show route filtered where net ~ 100.64.0.0/10'
BIRD 1.6.3 ready.
alarig@nominoe:~ % 

Et aucun utilisateur ne s’est jamais plaint.

-- 
alarig


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Jerome Descoux 
> On 19 May 2017, at 11:23, Gregoire Huet  wrote:
> 
> Jérome, le lien a été posté dans ce thread par Gabriel, je l’ai juste repris 
> sur #frnog ;-)

Oups, je n'avais pas fait attention à son e-mail.
Bref, bien joué Gabriel :)

Jérôme



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Gregoire Huet 
Jérome, le lien a été posté dans ce thread par Gabriel, je l’ai juste repris 
sur #frnog ;-)

Greg

> Le 19 mai 2017 à 11:16, Jerome Descoux  a écrit :
> 
> Pour compléter, je rebondis sur le lien que Greg_CH vient de balancer à 
> l'instant sur IRCNET @frnog 
> (https://www.ssi.gouv.fr/uploads/IMG/pdf/guide_configuration_BGP.pdf), tu 
> peux prendre comme exemple la partie - 3.1 Filtrage sur les préfixes 
> réservés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Jerome Descoux 
Pour compléter, je rebondis sur le lien que Greg_CH vient de balancer à 
l'instant sur IRCNET @frnog 
(https://www.ssi.gouv.fr/uploads/IMG/pdf/guide_configuration_BGP.pdf), tu peux 
prendre comme exemple la partie - 3.1 Filtrage sur les préfixes réservés.


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Julien Escario 
Le 19/05/2017 à 11:07, blackmarcellus a écrit :
> Hello,
> 
> Le cas pratique en "Carrier-Grade NAT" est d'utiliser ces IP en IPWan CPE 
> (donc
> IP de NAT du Lan client ). Apres ces IP passent au travers du CGNAT pour etre
> reNatées en IP publique.
> 
> Leur but sur le fond est de disposer d'adresses 'non publiques' au sein d'un 
> AS
> sur la partie infra et donc qui n'entrent pas en overlap avec les IP 
> habituelles
> des Lan clients RFC1918
> 
> En dehors de ce cas, certains les utilisent pour adresser leur interos point a
> point entre leurs routeurs.

Merci mais j'avais compris à quoi servait le RFC. C'était surtout pour avoir un
retour terrain sur d'éventuels effets de bord auxquels je n'avais pas pensé en
cas de filtrage.

Bref, c'est filtré (ainsi que RFC3927 du coup), merci à tous pour vos retours.

Julien



smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet blackmarcellus 

Hello,

Le cas pratique en "Carrier-Grade NAT" est d'utiliser ces IP en IPWan 
CPE (donc IP de NAT du Lan client ). Apres ces IP passent au travers du 
CGNAT pour etre reNatées en IP publique.


Leur but sur le fond est de disposer d'adresses 'non publiques' au sein 
d'un AS sur la partie infra et donc qui n'entrent pas en overlap avec 
les IP habituelles des Lan clients RFC1918


En dehors de ce cas, certains les utilisent pour adresser leur interos 
point a point entre leurs routeurs.



Bonne journée

JPh

Le 19/05/2017 à 10:52, gabriel corre a écrit :

Hello,

('tention, je ne fais pas de l'infra toute la journée... =D)

100.64.0.0/10 : Réservé pour les connexions entre fournisseurs et clients
faisant usage du "Carrier-Grade NAT"
J'ai encore jamais vu de cas pratique d'utilisation.

Le plan d'adressage est bien filtré en sortie d'AS d'après les recommandantions
de l'ANSSI.
 (p.
19)

Bonne journée,

Gabriel

Le 19 mai 2017 à 10:24, Julien Escario  a écrit :


('tention, je fais de l'infra toute la journée, j'en suis probablement pour
quelques posts ici).

Bonjour,
Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment,
l'annonce
de RFC1918.

En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
"Shared Address Space is similar to [RFC1918] private address space in
that it is not globally routable address space and can be used by
multiple pieces of equipment."

Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.

Des emmerdes à prévoir si je filtre ça ?

Bonne journée,
Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Jerome Descoux 
Hello,

> On 19 May 2017, at 10:24, Julien Escario  wrote:
> 
> Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment, 
> l'annonce
> de RFC1918.
> 
> En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
> "Shared Address Space is similar to [RFC1918] private address space in
>   that it is not globally routable address space and can be used by
>   multiple pieces of equipment."
> 
> Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.
> 
> Des emmerdes à prévoir si je filtre ça ?

Je confirme également de mon côté, je filtre ce bloc au même titre que les 
RFC1918 et RFC3927.

@+

Jérôme


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet gabriel corre 
Hello,

('tention, je ne fais pas de l'infra toute la journée... =D)

100.64.0.0/10 : Réservé pour les connexions entre fournisseurs et clients
faisant usage du "Carrier-Grade NAT"
J'ai encore jamais vu de cas pratique d'utilisation.

Le plan d'adressage est bien filtré en sortie d'AS d'après les recommandantions
de l'ANSSI.
 (p.
19)

Bonne journée,

Gabriel

Le 19 mai 2017 à 10:24, Julien Escario  a écrit :

> ('tention, je fais de l'infra toute la journée, j'en suis probablement pour
> quelques posts ici).
>
> Bonjour,
> Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment,
> l'annonce
> de RFC1918.
>
> En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
> "Shared Address Space is similar to [RFC1918] private address space in
>that it is not globally routable address space and can be used by
>multiple pieces of equipment."
>
> Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.
>
> Des emmerdes à prévoir si je filtre ça ?
>
> Bonne journée,
> Julien
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Julien Escario 
Le 19/05/2017 à 10:40, David Ponzone a écrit :
> Comme Stéphane le confirme ici:
> http://www.bortzmeyer.org/6598.html
> 
> Oui tu peux filtrer sans problème, puisque c’est non-routable.

My bad, j'aurais dû penser à en référer au blog de Bortz ;-)

Merci du pointeur.

Julien

>> Le 19 mai 2017 à 10:24, Julien Escario  a écrit :
>>
>> ('tention, je fais de l'infra toute la journée, j'en suis probablement pour
>> quelques posts ici).
>>
>> Bonjour,
>> Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment, 
>> l'annonce
>> de RFC1918.
>>
>> En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
>> "Shared Address Space is similar to [RFC1918] private address space in
>>   that it is not globally routable address space and can be used by
>>   multiple pieces of equipment."
>>
>> Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.
>>
>> Des emmerdes à prévoir si je filtre ça ?
>>
>> Bonne journée,
>> Julien
>>
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 





smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Youssef Bengelloun-Zahr 
Hello,

Je filtre ce réseau depuis des années en production, il est dans mes BOGONs
en standard. Pas de soucis.

@++



Le 19 mai 2017 à 10:24, Julien Escario  a écrit :

> ('tention, je fais de l'infra toute la journée, j'en suis probablement pour
> quelques posts ici).
>
> Bonjour,
> Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment,
> l'annonce
> de RFC1918.
>
> En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
> "Shared Address Space is similar to [RFC1918] private address space in
>that it is not globally routable address space and can be used by
>multiple pieces of equipment."
>
> Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.
>
> Des emmerdes à prévoir si je filtre ça ?
>
> Bonne journée,
> Julien
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet David Ponzone 
Comme Stéphane le confirme ici:
http://www.bortzmeyer.org/6598.html

Oui tu peux filtrer sans problème, puisque c’est non-routable.


> Le 19 mai 2017 à 10:24, Julien Escario  a écrit :
> 
> ('tention, je fais de l'infra toute la journée, j'en suis probablement pour
> quelques posts ici).
> 
> Bonjour,
> Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment, 
> l'annonce
> de RFC1918.
> 
> En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
> "Shared Address Space is similar to [RFC1918] private address space in
>   that it is not globally routable address space and can be used by
>   multiple pieces of equipment."
> 
> Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.
> 
> Des emmerdes à prévoir si je filtre ça ?
> 
> Bonne journée,
> Julien
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Filtrage BGP de RFC6598 ?

2017-05-19 Par sujet Julien Escario 
('tention, je fais de l'infra toute la journée, j'en suis probablement pour
quelques posts ici).

Bonjour,
Actuellement, sur toutes nos sessions BGP, nous filtrons, évidemment, l'annonce
de RFC1918.

En revanche, qu'en est-il de RFC6598 (aka 100.64.0.0/10) ? Je lis :
"Shared Address Space is similar to [RFC1918] private address space in
   that it is not globally routable address space and can be used by
   multiple pieces of equipment."

Donc à priori, ça ne doit JAMAIS être annoncé à la sortie d'un AS.

Des emmerdes à prévoir si je filtre ça ?

Bonne journée,
Julien



smime.p7s
Description: Signature cryptographique S/MIME