RE: [FRnOG] [Tech] IPv6, PA vs PI

2019-03-15 Par sujet Michel Py 
> Alexis a écrit :
> Merci beaucoup pour l'info, ça m'évitera de mal dormir cette nuit :)

Si tu dors mal la nuit à cause de ton réseau, tu devrais faire quelque chose 
d'autre. Le bon admin réseau, il est fainéant et il dort sur ses deux oreilles 
sauf quand c'est vraiment l'urgence. T'auras des semaines de 100 heures, mais 
quand ton réseau est pas dans les choux, faut dormir.

Pour ce qui est de IPv6, PA vs PI je passe, n'ayant jamais été dans la région 
RIPE, et çà peut faire une grosse différence.

> Hugues Voiturier a écrit :
> Pour toi, a mon sens, tant que tu ne désagrèges pas tes préfixes comme un 
> cochon, ça devrait bien se passer.

Je plussoie en théorie.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Michel Py 
Pour en revenir au sujet initial, un exemple de ce qui a été adopté : les ASN 
32 bits, au lieu de 16.
Cà été long, il y a des trucs (extended communities, par exemple) qui on mis du 
temps à arriver, mais je suis sur de dire que la transition des ASN 16 bits 
vers 32 bits est un succès.

Cà a pas été facile, il y avait plein de "nay sayers" (on dit "anti" en 
Français je pense), çà a fait chier pas mal de monde, mais c'est adopté et en 
prod.
Aujourd'hui, il y a plein de lecteurs qui ont un AS 32 bits, je paire 
volontiers avec eux, tout ne baigne pas dans l'huile mais bon si j'ai besoin 
d'un upstream et (qu'hypothétiquement) il ne supporte pas mon ASN 32 bits, il 
n'a qu'à se faire empapaouter, je trouverai quelqu'un d'autre. La masse 
critique a été atteinte. Ce qui n'est pas le cas pour IPv6.


Et maintenant, pour le troll du trolldi late night, je revisite cette partie du 
fil avec Samuel :

> Michel Py a écrit :
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations
> à propos de l'adresse source qui rend nécessaire un ALG NAT qui réécrit 
> ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
> voit, donc
> qui a déjà été modifiée par NAT, çà marche avec double NAT sans problème.

 Samuel Thibault a écrit :
 Et pour le p2p ?

>>> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
>>> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
>>> 2 à
>>> 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
>>> veux.
>>> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
>>> Cà ne t'enlève pas samuel.dynip.com:2

>> Comment tu fais en sorte que le soft de p2p sache automatiquement
>> que ce sont ces ports-là sur cette IP-là qu'il faut utiliser ?

> Aujourd'hui tu fais pas. Çà ne me gène pas; j'imagine qu'on pourrait faire
> un truc genre read-only UPNP, mais j'ai jamais été un fanatique.

Ca devient académique. Tu ne veux pas de CGNAT / double NAT etc : tu achètes le 
service "premium" qui va couter $15 par mois pour avoir une IP fixe qui n'est 
pas derrière CGNAT.

Je paie çà pour avoir une IP statique, je me fais empapaouter car elle n'est 
pas statique du tout, c'est une réservation DHCP basée sur l'adresse MAC de mon 
routeur et pour $15 par mois ce que j'ai vraiment payé c'est 5 minutes 1 fois 
d'un tech L1 pour configurer mon IP et maintenant je suis la vache à lait. 
C'est pas parce qu'ils sont à court d'IP (qu'elle soit statique ou pas mon IP 
est up 24/7), c'est parce que si je demande une IP statique c'est forcément 
pour héberger un méga serveur Web sur les 3 Bbps upstream de mon aDSL. Les 
marketteux au travail. En fait sur ce coup-là çà marche, parce que je suis prêt 
a raquer $15 par mois pour une réservation, mais va pas falloir pousser trop 
fort.

Claude Michu qui veut faire du P2P, ptêt ben qui va falloir payer pour ne pas 
être derrière CGNAT. Quoique, je me demande si, même si je ne pouvais pas 
seeder les torrents de cul, çà m'empêcherait de les leecher (probablement pas à 
la même vitesse).


Je le dis depuis des années : il y a 2 choses qui font tourner le monde, et 
l'Internet : le cul, et le pognon.
Quand je ne trouverai plus de torrents de cul en IPv4, je me mettrai à IPv6.
Peut-être, car j'en ai téléchargé tellement que je ne sais plus ou les mettre; 
merci Mr. Western Digital Red Hélium 10 TB !
Je télécharge même plus en 1080P : pour ce genre de contenu, 720P c'est 
suffisant.
c'est un peu comme les IPv4, j'en ai déjà plus que ce qu'il me faut pour le 
reste de ma vie.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [Tech] IPv6, PA vs PI

2019-03-15 Par sujet Hugues Voiturier 
En soi il est cohérent, puisque tu es LIR :-)


Hugues
AS57199 - AS50628

> On 15 Mar 2019, at 22:40, Alexis  wrote:
> 
> Je vois. Donc dans mon cas, normalement, je ne serai pas embêter par ce 
> choix, même s'il n'est pas "cohérent" avec ce pour quoi les PI/PA ont été 
> pensés.
> 
> Merci beaucoup pour l'info, ça m'évitera de mal dormir cette nuit :)
> 
> Alexis
> 
> Le 15/03/2019 à 21:08, Hugues Voiturier a écrit :
>> Grosso modo, voilà la vision que j’en ai :
>> 
>> PA : Destiné aux opérateurs assignant des blocs sur leur propre AS et avec 
>> un routage cohérent et agrégé, donc normalement pas fait pour être désagrégé 
>> dans la DFZ (enfin, c’est mon avis)
>> PI : Destiné aux clients finaux désireux d’être multihomés. Le RIPE assigne 
>> les plus petits ranges possibles (/48)
>> 
>> Pour toi, a mon sens, tant que tu ne désagrèges pas tes préfixes comme un 
>> cochon, ça devrait bien se passer.
>> Je ne sais pas si des gens filtrent les désagrégations de PA, dans la vraie 
>> vie, ni même si c’est une bonne pratique.
>> 
>> PS : Il existe des manières propres de régionaliser ses préfixes sans faire 
>> d’update dans la DFZ, si besoin.
>> 
>> Hugues
>> AS57199 - AS50628
>> 
>>> On 15 Mar 2019, at 19:35, Alexis  wrote:
>>> 
>>> Mmmm
>>> 
>>> Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.
>>> 
>>> Lorsque nous avons commandé notre lot d'IPv6 à RIPE, on avait demandé une 
>>> tranche IPv6 PI et on nous avait répondu "vous avez demandé un PI. Si vous 
>>> prenez un PA ce sera exactement pareil mais vous aurez un /29 au lieu d'un 
>>> /32. On est gentil donc on annule votre demande de PI, refaites une demande 
>>> de PA svp.".
>>> 
>>> Je n'avais pas les compétences pour savoir ce que ça impliquait à l'époque, 
>>> donc j'ai juste demandé le PA au lieu du PI (je n'ai toujours pas ces 
>>> compétances :)). Et puis comme c'est RIPE qui me l'a dit, j'ai fait 
>>> confiance.
>>> J'étais parti du principe qu'au final, un PI et un PA sont identiques 
>>> "techniquement", à partir du moment où on a son propre ASN et qu'on annonce 
>>> son propre préfixe IPv6 pour son propre réseau d'entreprise.
>>> 
>>> Me serais-je trompé ?
>>> 
>>> (j'en profite pour saluer ce thread. Y'a beaucoup de bruit et de 
>>> chamailleries, mais la quantité d'infos apportées reste fantastique. 
>>> D'ailleurs, si un wiki voit le jour, je serai le premier à y lire tout le 
>>> contenu. Pour l'instant, avec la quantité d'adresses qu'on a, j'ai déjà du 
>>> mal à savoir comment je peux faire mon plan d'adressage v6 efficacement 
>>> sans me tirer une balle dans le pied et avoir à me trainer, dans 10 ans, un 
>>> boulet pénible).
>>> 
>>> Alexis
>>> 
>>> Le 15/03/2019 à 19:14, Hugues Voiturier a écrit :
> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation 
> dans la DFZ IPv6 : les allocations initiales ont souvent été faites bien 
> plus généreusement que pour IPv4, donc l'org qui a besoin de s'étendre 
> n'a pas besoin de demander après-coup un autre préfixe.
 D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le 
 thread.
 
 Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI 
 en IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui 
 m’annoncent une foulitude de /48 continus issus de PA (coucou AS174, on te 
 voit tu sais).
 
 Hugues
 AS57199 - AS50628
 
> On 15 Mar 2019, at 18:56, Michel Py  
> wrote:
> 
>>> Michel Py a écrit:
>>> On en est donc revenu à faire exactement la même chose que pour IPv4 : 
>>> pour multihomer , un
>>> annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non 
>>> seulement se taper 1
>>> million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la 
>>> DFZ IPv6, dont les
>>> préfixes consomment 2 fois plus de TCAM que les IPv4.
>> Samuel Thibault a écrit :
>> Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
>> mesurer.
> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation 
> dans la DFZ IPv6 : les allocations initiales ont souvent été faites bien 
> plus généreusement que pour IPv4, donc l'org qui a besoin de s'étendre 
> n'a pas besoin de demander après-coup un autre préfixe.
> 
> 
 David Ponzone a écrit :
 Tu verrais une autre solution ?
>>> Michel Py a écrit :
>>> Oui, concevoir le protocole simplement. K.I.S.S.
>>> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
>>> paquet des informations
>>> à propos de l'adresse source qui rend nécessaire un ALG NAT qui 
>>> re-écrit ces infos.
>>> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
>>> voit, donc
>>> qui a déjà été modifiée par NAT, çà marche avec double NAT sans 
>>> probléme.
>> Samuel Thibault a écrit :
>> Et pour le p2p ?
> CGNAT / P2P

Re: [FRnOG] [Tech] IPv6, PA vs PI

2019-03-15 Par sujet Alexis 
Je vois. Donc dans mon cas, normalement, je ne serai pas embêter par ce 
choix, même s'il n'est pas "cohérent" avec ce pour quoi les PI/PA ont 
été pensés.


Merci beaucoup pour l'info, ça m'évitera de mal dormir cette nuit :)

Alexis

Le 15/03/2019 à 21:08, Hugues Voiturier a écrit :

Grosso modo, voilà la vision que j’en ai :

PA : Destiné aux opérateurs assignant des blocs sur leur propre AS et avec un 
routage cohérent et agrégé, donc normalement pas fait pour être désagrégé dans 
la DFZ (enfin, c’est mon avis)
PI : Destiné aux clients finaux désireux d’être multihomés. Le RIPE assigne les 
plus petits ranges possibles (/48)

Pour toi, a mon sens, tant que tu ne désagrèges pas tes préfixes comme un 
cochon, ça devrait bien se passer.
Je ne sais pas si des gens filtrent les désagrégations de PA, dans la vraie 
vie, ni même si c’est une bonne pratique.

PS : Il existe des manières propres de régionaliser ses préfixes sans faire 
d’update dans la DFZ, si besoin.

Hugues
AS57199 - AS50628


On 15 Mar 2019, at 19:35, Alexis  wrote:

Mmmm

Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Lorsque nous avons commandé notre lot d'IPv6 à RIPE, on avait demandé une tranche IPv6 PI 
et on nous avait répondu "vous avez demandé un PI. Si vous prenez un PA ce sera 
exactement pareil mais vous aurez un /29 au lieu d'un /32. On est gentil donc on annule 
votre demande de PI, refaites une demande de PA svp.".

Je n'avais pas les compétences pour savoir ce que ça impliquait à l'époque, 
donc j'ai juste demandé le PA au lieu du PI (je n'ai toujours pas ces 
compétances :)). Et puis comme c'est RIPE qui me l'a dit, j'ai fait confiance.
J'étais parti du principe qu'au final, un PI et un PA sont identiques 
"techniquement", à partir du moment où on a son propre ASN et qu'on annonce son 
propre préfixe IPv6 pour son propre réseau d'entreprise.

Me serais-je trompé ?

(j'en profite pour saluer ce thread. Y'a beaucoup de bruit et de chamailleries, 
mais la quantité d'infos apportées reste fantastique. D'ailleurs, si un wiki 
voit le jour, je serai le premier à y lire tout le contenu. Pour l'instant, 
avec la quantité d'adresses qu'on a, j'ai déjà du mal à savoir comment je peux 
faire mon plan d'adressage v6 efficacement sans me tirer une balle dans le pied 
et avoir à me trainer, dans 10 ans, un boulet pénible).

Alexis

Le 15/03/2019 à 19:14, Hugues Voiturier a écrit :

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.

D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le thread.

Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI en 
IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui m’annoncent 
une foulitude de /48 continus issus de PA (coucou AS174, on te voit tu sais).

Hugues
AS57199 - AS50628


On 15 Mar 2019, at 18:56, Michel Py  wrote:


Michel Py a écrit:
On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
multihomer , un
annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non seulement 
se taper 1
million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
IPv6, dont les
préfixes consomment 2 fois plus de TCAM que les IPv4.

Samuel Thibault a écrit :
Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
mesurer.

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.



David Ponzone a écrit :
Tu verrais une autre solution ?

Michel Py a écrit :
Oui, concevoir le protocole simplement. K.I.S.S.
Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du paquet 
des informations
à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit ces 
infos.
Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
donc
qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

Samuel Thibault a écrit :
Et pour le p2p ?

CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
2 à 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
veux.
100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
Cà ne t'enlève pas samuel.dynip.com:2

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [MISC] C'est gros comment // FTTH

2019-03-15 Par sujet Jacques Lavignotte 

Merci pour les réponses sympa en µPrivé.

En gros : Le technicien fait tout.

Merci, J.

Le 15/03/2019 à 14:19, Jacques Lavignotte a écrit :

Bonjour,

la fibre arrive dans mon quartier.

Le câble qui arrivera chez moi, il est gros comment ? Comme le 2 paires 
qui arrive aujourd'hui pour mon ADSL ?


Une fois le technicien passé j'ai quelle latitude pour déplacer ma box, 
allonger/raccourcir le câble ?


Réponse en MP , je résumerai.

Merci, J.




--
GnuPg : C8F5B1E3 Because privacy matters.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Need help Cisco - VTP - changement de "master VTP"

2019-03-15 Par sujet Michel Py 
> Sébastien COUREAU a écrit :
> Pour 2 raisons "principales": La place et la conso électrique (j'ai 
> 2x3000W.)

T'as mesuré combien tu prends en réalité ? Te fies pas à sh power, c'est la 
spec, pas ce que tu prends en réalité. Faut mesurer à la prise.
Bon c'est clair le 6500 çà a jamais été un modèle basse conso. Si tu as du POE 
c'est pas forcément tellement pire que deux 3750G ceci dit.
T'as quoi comme SUPs ?

> OK! Aurais-tu des "conseils" pour pas péter l'existant (qui bien 
> évidement est en prod et que je voudrais éviter de planter à chaud)

Sur les 3750, impératif  d'effacer le fichier vlan.dat (il est dans flash, si 
mes souvenirs sont bons) et de faire un write erase avant de connecter quoi que 
ce soit. Aussi, fais-toi un petit ficher texte près à configurer, au cas-ou.
Vlan 1
Name toto
Vlan 2 
Name tata
...

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [Tech] IPv6, PA vs PI

2019-03-15 Par sujet Hugues Voiturier 
Grosso modo, voilà la vision que j’en ai :

PA : Destiné aux opérateurs assignant des blocs sur leur propre AS et avec un 
routage cohérent et agrégé, donc normalement pas fait pour être désagrégé dans 
la DFZ (enfin, c’est mon avis)
PI : Destiné aux clients finaux désireux d’être multihomés. Le RIPE assigne les 
plus petits ranges possibles (/48)

Pour toi, a mon sens, tant que tu ne désagrèges pas tes préfixes comme un 
cochon, ça devrait bien se passer.
Je ne sais pas si des gens filtrent les désagrégations de PA, dans la vraie 
vie, ni même si c’est une bonne pratique.

PS : Il existe des manières propres de régionaliser ses préfixes sans faire 
d’update dans la DFZ, si besoin. 

Hugues
AS57199 - AS50628

> On 15 Mar 2019, at 19:35, Alexis  wrote:
> 
> Mmmm
> 
> Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.
> 
> Lorsque nous avons commandé notre lot d'IPv6 à RIPE, on avait demandé une 
> tranche IPv6 PI et on nous avait répondu "vous avez demandé un PI. Si vous 
> prenez un PA ce sera exactement pareil mais vous aurez un /29 au lieu d'un 
> /32. On est gentil donc on annule votre demande de PI, refaites une demande 
> de PA svp.".
> 
> Je n'avais pas les compétences pour savoir ce que ça impliquait à l'époque, 
> donc j'ai juste demandé le PA au lieu du PI (je n'ai toujours pas ces 
> compétances :)). Et puis comme c'est RIPE qui me l'a dit, j'ai fait confiance.
> J'étais parti du principe qu'au final, un PI et un PA sont identiques 
> "techniquement", à partir du moment où on a son propre ASN et qu'on annonce 
> son propre préfixe IPv6 pour son propre réseau d'entreprise.
> 
> Me serais-je trompé ?
> 
> (j'en profite pour saluer ce thread. Y'a beaucoup de bruit et de 
> chamailleries, mais la quantité d'infos apportées reste fantastique. 
> D'ailleurs, si un wiki voit le jour, je serai le premier à y lire tout le 
> contenu. Pour l'instant, avec la quantité d'adresses qu'on a, j'ai déjà du 
> mal à savoir comment je peux faire mon plan d'adressage v6 efficacement sans 
> me tirer une balle dans le pied et avoir à me trainer, dans 10 ans, un boulet 
> pénible).
> 
> Alexis
> 
> Le 15/03/2019 à 19:14, Hugues Voiturier a écrit :
>>> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation 
>>> dans la DFZ IPv6 : les allocations initiales ont souvent été faites bien 
>>> plus généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a 
>>> pas besoin de demander après-coup un autre préfixe.
>> D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le thread.
>> 
>> Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI en 
>> IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui m’annoncent 
>> une foulitude de /48 continus issus de PA (coucou AS174, on te voit tu sais).
>> 
>> Hugues
>> AS57199 - AS50628
>> 
>>> On 15 Mar 2019, at 18:56, Michel Py  
>>> wrote:
>>> 
> Michel Py a écrit:
> On en est donc revenu à faire exactement la même chose que pour IPv4 : 
> pour multihomer , un
> annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non 
> seulement se taper 1
> million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la 
> DFZ IPv6, dont les
> préfixes consomment 2 fois plus de TCAM que les IPv4.
 Samuel Thibault a écrit :
 Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
 mesurer.
>>> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation 
>>> dans la DFZ IPv6 : les allocations initiales ont souvent été faites bien 
>>> plus généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a 
>>> pas besoin de demander après-coup un autre préfixe.
>>> 
>>> 
>> David Ponzone a écrit :
>> Tu verrais une autre solution ?
> Michel Py a écrit :
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations
> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit 
> ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
> voit, donc
> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.
 Samuel Thibault a écrit :
 Et pour le p2p ?
>>> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
>>> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
>>> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services 
>>> que tu veux.
>>> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
>>> Cà ne t'enlève pas samuel.dynip.com:2
>>> 
>>> Michel.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alexis 
Oui. AS205215, on a déjà en prod nos IPv4. Pour le v6, on l'annonce en 
BGP mais on n'en fait absolument rien, aucun de nos serveurs n'a d'IPv6 
sur ses interfaces réseau (hors loopback, quoi).


Alexis

Le 15/03/2019 à 20:53, Michel Py a écrit :

Alexis a écrit :

Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Tu est LIR ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Michel Py 
> David Ponzone a écrit :
> tu vas nous faire aimer le XXIe siècle toi :)

Ecoute c'est pas moi qui ai inventé la merdasse dans laquelle on est 
maintenant; je fais avec ce que j'ai.
You give me lemons, I make lemonade.

> On peut pas imaginer se trimballer un port, c’est complètement dégueu.

Oui, mais est-ce que c'est plus dégueu ou pas que la combinaison immonde de 10 
protocoles de migration v4-v6, avec 6 types de NAT, tous différents, dont aucun 
ne marche dans tous les cas de figure ? Rappelles-toi le doc de Jordi mentionné 
récemment.


> Samuel Thibault a écrit :
> Comment tu fais en sorte que le soft de p2p sache automatiquement
> que ce sont ces ports-là sur cette IP-là qu'il faut utiliser ?

Aujourd'hui tu fais pas. Çà ne me gène pas; j'imagine qu'on pourrait faire un 
truc genre read-only UPNP, mais j'ai jamais été un fanatique.


> Philippe ASTIER a écrit :
> Ah la côte ouest est réveillée ! J’espère qu’il fait plus beau qu’ici.

Ciel bleu, 14 degrés (18 dans l'après-midi), vent 10 Km/h.
Pour les skieurs : neige entre 150% et 200% suivant les stations.
Pour les véliplanchistes : tous les réservoirs nettement au-dessus du 
navigable, eau à 11 degrés.
Pour les surfeurs : l'océan est à 11 degrés.
Quand je rentrerai à la maison, je boirai un pastis au bord de la piscine a ta 
santé.
(Là il va vraiment avoir envie de me buter, hein ?)

> +100 Bon, le souci est qu’aujourd’hui plein d’applications se masquent 
> derrière le 443..

Pour traverser les pares-feu et pour traverser NAT, rien de nouveau.

> Quelqu’un travaille sur quelque chose ? Donc rien de neuf avant … 20 ans.

Au pifomètre aiguisé, c'est çà. 10 ans avant que le travail sérieux commence, 
20 avant qu'on ait quelque chose. 

> C’est 75% du traffic, c’est vrai.

A prendre avec des pincettes. C'est pas parque que Google est à 25% d'IPv6 que 
çà représente 25% du trafic. Le lien que Google te donne, a part les GAFAM il 
est pas souvent en v6.

> Qui travaille sur les protocoles aujourd’hui ?

Les mêmes qu'il y a 20 ans, et on a vu ce que çà a produit.

> Je fais partie d’une commission 5G de l’IEEE… en 5 mois, on a réussi à se 
> mettre
> d’accord sur l’agenda des réunions, qui aurait le droit de voter et les 
> principes
> directeurs de la commission. Ca va prendre des années avant qu’on accouche 
> d’un
> truc qui sera dépassé avant même qu’on ait fini et que personne ne voudra 
> appliquer.

Pareil pour l'IETF, et pour les agences gouvernementales.

> Pour moi, il faut justement commencer par retirer tout ce qui
> est vérolé et plus maintenu… Novell, IPX, AppleTalk, DECnet, AFP,

Bah j'ai 1 serveur Novell (sous IP) en prod (il a un pied dans la tombe) et 
DECNET, pas trop inquiet de l'aspect sécurité : un 0-day DECNET, j'ai pas 
encore vu.

> Exchange (et zut mal parti ça !!) où je ne sais quoi encore (bon, je provoque 
> un peu là).

Faut pas pousser mémé dans les orties quand même.

> Toussaint OTTAVI a écrit :
> Mais que peut donc faire une TPE ? A part mettre un
> firewall UTM et lui vouer une totale confiance ? 

Rien, à part de conserver un anti-virus sur tous les postes, qui servira ou pas 
à quelque chose.

> Alexis a écrit :
> Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Tu est LIR ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Samuel Thibault 
Michel Py, le ven. 15 mars 2019 17:56:09 +, a ecrit:
> >>> David Ponzone a écrit :
> >>> Tu verrais une autre solution ?
>  
> >> Michel Py a écrit :
> >> Oui, concevoir le protocole simplement. K.I.S.S.
> >> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> >> paquet des informations
> >> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit 
> >> ces infos.
> >> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
> >> voit, donc
> >> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.
> 
> > Samuel Thibault a écrit :
> > Et pour le p2p ?
> 
> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services que 
> tu veux.

Comment tu fais en sorte que le soft de p2p sache automatiquement que ce
sont ces ports-là sur cette IP-là qu'il faut utiliser ?

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alexis 

Mmmm

Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Lorsque nous avons commandé notre lot d'IPv6 à RIPE, on avait demandé 
une tranche IPv6 PI et on nous avait répondu "vous avez demandé un PI. 
Si vous prenez un PA ce sera exactement pareil mais vous aurez un /29 au 
lieu d'un /32. On est gentil donc on annule votre demande de PI, 
refaites une demande de PA svp.".


Je n'avais pas les compétences pour savoir ce que ça impliquait à 
l'époque, donc j'ai juste demandé le PA au lieu du PI (je n'ai toujours 
pas ces compétances :)). Et puis comme c'est RIPE qui me l'a dit, j'ai 
fait confiance.
J'étais parti du principe qu'au final, un PI et un PA sont identiques 
"techniquement", à partir du moment où on a son propre ASN et qu'on 
annonce son propre préfixe IPv6 pour son propre réseau d'entreprise.


Me serais-je trompé ?

(j'en profite pour saluer ce thread. Y'a beaucoup de bruit et de 
chamailleries, mais la quantité d'infos apportées reste fantastique. 
D'ailleurs, si un wiki voit le jour, je serai le premier à y lire tout 
le contenu. Pour l'instant, avec la quantité d'adresses qu'on a, j'ai 
déjà du mal à savoir comment je peux faire mon plan d'adressage v6 
efficacement sans me tirer une balle dans le pied et avoir à me trainer, 
dans 10 ans, un boulet pénible).


Alexis

Le 15/03/2019 à 19:14, Hugues Voiturier a écrit :

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.

D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le thread.

Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI en 
IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui m’annoncent 
une foulitude de /48 continus issus de PA (coucou AS174, on te voit tu sais).

Hugues
AS57199 - AS50628


On 15 Mar 2019, at 18:56, Michel Py  wrote:


Michel Py a écrit:
On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
multihomer , un
annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non seulement 
se taper 1
million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
IPv6, dont les
préfixes consomment 2 fois plus de TCAM que les IPv4.

Samuel Thibault a écrit :
Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
mesurer.

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.



David Ponzone a écrit :
Tu verrais une autre solution ?

Michel Py a écrit :
Oui, concevoir le protocole simplement. K.I.S.S.
Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du paquet 
des informations
à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit ces 
infos.
Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
donc
qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

Samuel Thibault a écrit :
Et pour le p2p ?

CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
2 à 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
veux.
100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
Cà ne t'enlève pas samuel.dynip.com:2

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Toussaint OTTAVI 



Le 15/03/2019 à 18:44, Philippe ASTIER a écrit :

les menaces ont profondément changé...


Voilà qui mériterait sans doute un nouveau fil de discussion un peu 
moins trollesque...


Personnellement, bien que je déploie des "outils de sécurité", ou du 
moins des outils vendus comme tels, certains me paraissent parfois bien 
ridicules devant la surface d'exposition énorme des environnements 
actuels et la multiplicité des vecteurs. Je déploie ces machins sans 
doute pour me donner bonne conscience. Mais ma bonne vieille méthode du 
tout fermé / tout verrouillé a vécu, et honnêtement, je me sens bien 
impuissant, tant il me semble infiniment plus facile d'attaquer un 
système que de le défendre...


Les grandes boites ont sans doute les moyens de lutter efficacement, et 
encore... Sur mes quelques clients "corp", aucun n'a désactive le boot 
des PC sur clefs USB...


Mais que peut donc faire une TPE ? A part mettre un firewall UTM et lui 
vouer une totale confiance ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Oliver varenne 
Depuis le début vous oubliez un truc: 
Les développeurs sont des branques en réseau
(et c'est un dev qui vous le dit)

Le fait est que la plupart des formations orientée "développement" s'arrêtent à 
des notions très simples de tout ce qui touche au réseau...
Demandez à un développeur comment fonctionne (en gros) du multicast, et vous 
verrez que les réponses vont être farfelues...

Donc parler de ports, de protocole, etc, très bien. 
Mais les problèmes ne seront résolus que lorsque le monde des dev parlera au 
monde du réseau, et vice versa, sans se regarder de haut, et sans se rejeter la 
faute...



Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : vendredi 15 mars 2019 19:02
> À : Michel Py 
> Cc : Samuel Thibault ; Thierry Chich
> ; frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles
> 
> Michel,
> 
> tu vas nous faire aimer le XXIe siècle toi :)
> 
> On peut pas imaginer se trimballer un port, c’est complètement dégueu.
> Ca serait comme dire aux gens qu’ils ont une adresse postale mais bon,
> c’est un Cedex alors faut pas oublier de le donner sinon ça arrivera pas.
> 
> Ou alors il faut rapidement mettre à jour HTTP (et d’ailleurs tous les
> protocoles pertinents) pour qu’il utilise DNS SRV, comme  SIP.
> Un utilisateur final ne devrait JAMAIS entendre parler d’un port.
> 
> >
> > CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> > Exemple on te donne 100.64.3.200, et automatiquement on forwarde les
> ports 2 à 20099 donc tu peux utiliser ces ports pour héberger les
> services que tu veux.
> > 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
> > Cà ne t'enlève pas samuel.dynip.com:2
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Hugues Voiturier 
> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
> la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
> généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
> besoin de demander après-coup un autre préfixe.

D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le thread.

Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI en 
IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui m’annoncent 
une foulitude de /48 continus issus de PA (coucou AS174, on te voit tu sais).

Hugues
AS57199 - AS50628

> On 15 Mar 2019, at 18:56, Michel Py  
> wrote:
> 
>>> Michel Py a écrit:
>>> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
>>> multihomer , un
>>> annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non 
>>> seulement se taper 1
>>> million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
>>> IPv6, dont les
>>> préfixes consomment 2 fois plus de TCAM que les IPv4.
> 
>> Samuel Thibault a écrit :
>> Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
>> mesurer.
> 
> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
> la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
> généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
> besoin de demander après-coup un autre préfixe.
> 
> 
 David Ponzone a écrit :
 Tu verrais une autre solution ?
> 
>>> Michel Py a écrit :
>>> Oui, concevoir le protocole simplement. K.I.S.S.
>>> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
>>> paquet des informations
>>> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit 
>>> ces infos.
>>> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
>>> voit, donc
>>> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.
> 
>> Samuel Thibault a écrit :
>> Et pour le p2p ?
> 
> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services que 
> tu veux.
> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
> Cà ne t'enlève pas samuel.dynip.com:2
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet David Ponzone 
Michel,

tu vas nous faire aimer le XXIe siècle toi :)

On peut pas imaginer se trimballer un port, c’est complètement dégueu.
Ca serait comme dire aux gens qu’ils ont une adresse postale mais bon, c’est un 
Cedex alors faut pas oublier de le donner sinon ça arrivera pas.

Ou alors il faut rapidement mettre à jour HTTP (et d’ailleurs tous les 
protocoles pertinents) pour qu’il utilise DNS SRV, comme  SIP.
Un utilisateur final ne devrait JAMAIS entendre parler d’un port.

> 
> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services que 
> tu veux.
> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
> Cà ne t'enlève pas samuel.dynip.com:2
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Michel Py 
>> Michel Py a écrit:
>> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
>> multihomer , un
>> annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non 
>> seulement se taper 1
>> million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
>> IPv6, dont les
>> préfixes consomment 2 fois plus de TCAM que les IPv4.

> Samuel Thibault a écrit :
> Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
> mesurer.

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.


>>> David Ponzone a écrit :
>>> Tu verrais une autre solution ?
 
>> Michel Py a écrit :
>> Oui, concevoir le protocole simplement. K.I.S.S.
>> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
>> paquet des informations
>> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit ces 
>> infos.
>> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
>> donc
>> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

> Samuel Thibault a écrit :
> Et pour le p2p ?

CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
2 à 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
veux.
100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
Cà ne t'enlève pas samuel.dynip.com:2

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Philippe ASTIER 
Ah la côte ouest est réveillée ! J’espère qu’il fait plus beau qu’ici.

> Le 15 mars 2019 à 17:59, Michel Py  a 
> écrit :
> 
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations à propos de l'adresse source qui rend nécessaire un 
> ALG NAT qui re-écrit ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
> donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

D’un point de vue sécu, FTP et Telnet sont bannis au profit d’SSH/SFTP, mais on 
s’est inspiré des deux, et il y a un port unique, et ça supporte bien le NAT.

>> Toussaint OTTAVI a écrit :
>> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste,
>> un port unique et fixe, c'est déjà plus que parfait :-)
> 
> +1

+100 Bon, le souci est qu’aujourd’hui plein d’applications se masquent derrière 
le 443..
.
>> Philippe ASTIER a écrit :
>> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
>> alternative,
> 
> Pas aujourd'hui.
> 
>> donc il n’y a juste pas le choix.
> 
> Pas encore.

Quelqu’un travaille sur quelque chose ? Donc rien de neuf avant … 20 ans.
Qu’on le veuille ou non, IPv6 sera déployé largement. Les GAFAM ont tous 
implanté IPv6 pour tous leurs services, c’est une masse considérable de traffic 
et de clients. Après, comme disait quelqu’un, il suffirait que le porno 
bascule, c’est le facteur déterminant.

> C'est bien là le problème : l'acharnement thérapeutique à déployer IPv6 
> conduit à faire quelque chose qui est 3 fois plus compliqué que l'usine à gaz 
> qu'on a déjà en IPv4.
> Les gens qui disent que l'acharnement thérapeutique c'est IPv4, ils devraient 
> regarder autour d'eux. IPv4 est de très loin LE protocole de l'Internet, et 
> il n'est pas en train de mourir.

C’est 75% du traffic, c’est vrai.

>> En fait, on n’a plus le choix. Et on devrait profiter de l’expérience
>> ceux qui ont participé à bâtir les protocoles précédents.
> 
> Le choix, c'est d'admettre que le déploiement d'IPv6 est un échec et de 
> repenser quelque chose de déployable. Et çà veut dire qu'on va continuer à 
> faire des bidouillages immondes pendant encore 20 ans.

Il y trop d’acteurs impliqués qui se font concurrence. Je suis pessimiste en la 
matière, les gens s’en foutent du moment qu’ils peuvent Twitter et liker…. 
C’est triste. Qui travaille sur les protocoles aujourd’hui ?
Je fais partie d’une commission 5G de l’IEEE… en 5 mois, on a réussi à se 
mettre d’accord sur l’agenda des réunions, qui aurait le droit de voter et les 
principes directeurs de la commission. Ca va prendre des années avant qu’on 
accouche d’un truc qui sera dépassé avant même qu’on ait fini et que personne 
ne voudra appliquer.

En fait, il faut qu’on réagisse et devienne plus réactif, sinon c’est les 
entreprises privées qui feront à leur sauce.

> 
>> Samuel Thibault a écrit :
>> J'avais vu une étude qui estimait qu'on a déjà dépensé du genre 2x plus de 
>> fric à bricoler
>> NAT etc. que ce qu'on aurait eu à dépenser pour juste mettre en œuvre IPv6.
> 
> Il y a de la vérité dans ceci, mais çà n'enlève rien au fait que IPv6 n'est 
> pas déployé.

25% du traffic internet, c’est pas négligeable. N’exagérons rien.



Le 15 mars 2019 à 17:42, thierry.ch...@ac-clermont.fr a écrit :

> C’est un exemple. Il y a aussi des applications très anciennes qu’on n’a pas 
> les moyens de refaire à neuf, des applications plus modernes mais qui ont 
> souffert d’une absence d’intégration de la question sécuritaire. Il y a aussi 
> les simples erreurs de conception.
> 
> Et au final, pour nombre d’entre elles, le firewall suffit à limiter le 
> risque.

Alors acceptons que Renault ferme ses usines pendant 3 jours consécutifs, que 
la SNCF ait des soucis une semaine,  ou que la sécu anglaise soit paralysée une 
semaine sous prétexte qu’on n’a pas les moyens.
On les fera évoluer quand il y aura des morts comme d’habitude.

Pour moi, le « firewall suffit « , c’est ça qui m’inquiète. Et il y a des 
univers où on ne peut pas se contenter de si peu.
Allez voir tout ce qui est ouvert sur Shodan, vous aurez froid dans le dos.


(PS: j’ai été en charges d’applications lourdes à faire évoluer, et je sais ce 
qu’une contrainte budgétaire veut dire.)

> Ça fait aussi 10 ans que j’entends dire que la sécurité perimetrique c’est 
> dépassé et ça fait 10 ans que quand j’investigue un peu sur les moyens de 
> gérer une sécurité au plus proche, je tombe sur des solutions au mieux mal 
> dimensionnées, au pire bouffones.
> 
> Moi aussi j’ai 75% dehors, mais il se trouve que les 75% dehors sont d’une 
> part moins vulnérables et d’autre part moins critiques.

Le périmétrique est nécessaire mais très très insuffisant. Wannacry a passé les 
firewall, et les PC ont infecté les infra de l’intérieur, comme un cheval de 
Troie. La messagerie est un vecteur monstrueux de menaces, et ça passe aussi 
les firewall.

Qu’entends-tu

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Samuel Thibault 
Michel Py, le ven. 15 mars 2019 16:59:05 +, a ecrit:
> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
> multihomer , un annonce un préfixe (de plus) dans la DFZ. Donc maintenant il 
> faut non seulement se taper 1 million (dans pas trop longtemps) de préfixes 
> dans la DFZ IPv4 plus la DFZ IPv6, dont les préfixes consomment 2 fois plus 
> de TCAM que les IPv4.

Mais ils sont moins fragmentés a priori. Dans quelle mesure, il
faudrait mesurer.

> > David Ponzone a écrit :
> > Tu verrais une autre solution ?
> 
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations à propos de l'adresse source qui rend nécessaire un 
> ALG NAT qui re-écrit ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
> donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

Et pour le p2p ?

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Michel Py 
> Pascal PETIT a écrit :
> J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
> n'ai toujours pas compris ce qui était prévu pour ce cas de figure.

Le protocole de base n'avait pas la notion de PI. Tout était PA, ce qui en 
théorie aurait conduit à une DFZ de très petite t'aille, l'agrégation des 
préfixes étant faite au niveau des FAI.
Problème est que la solution n'existait pas; les seuls qui pouvaient être 
multihomés étaient les FAI.
Il y a eu plusieurs propositions, aucune de techniquement viable.
Reconnaissant l'échec à délivrer quelque chose qui pourrait marcher, les RIR 
ont fait un enfant dans le dos à l'IETF, inventé la notion de PI v6, et 
commencer à déléguer des adresses IPv6 (et un ASN) aux utilisateurs finaux 
devaient multihomer.

On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
multihomer , un annonce un préfixe (de plus) dans la DFZ. Donc maintenant il 
faut non seulement se taper 1 million (dans pas trop longtemps) de préfixes 
dans la DFZ IPv4 plus la DFZ IPv6, dont les préfixes consomment 2 fois plus de 
TCAM que les IPv4.

Quand j'écris que IPv4 et IPv6 sont en compétition pour les mêmes ressources, 
voici un bon exemple : la TCAM. Les vendeurs s'en frottent les mains.


> Thierry Chich a écrit :
> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques
> avec des ports dynamiques de partout et  dans tous les sens.

+1. Les trucs genre portmapper qui demandent un ALG compliqué; a l'opposé, il y 
a des protocoles qui traversent NAT sans aucun problème.


> David Ponzone a écrit :
> Tu verrais une autre solution ?

Oui, concevoir le protocole simplement. K.I.S.S.
Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du paquet 
des informations à propos de l'adresse source qui rend nécessaire un ALG NAT 
qui re-écrit ces infos.
Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

> Thierry Chich a écrit :
> Une autre solution que des protocoles où le client négocie avec le serveur le 
> numéro de port sur lequel
> le serveur va lui envoyer des données ? A la mode tftp ou rsh ? Ben, je pense 
> qu'il y a d'autres solutions
> envisageables. Même si je reconnais humblement ne pas connaître toutes les 
> problématiques spécifiques de
> la VoIP et de la ToIP, ça me parait effectivement inutilement compliqué. Et 
> surtout, pas pensé dans le
> monde IP actuel, mais plutôtpour un monde IP idéal dans lequel tout le monde 
> peut parler à tout le monde
> sans entrave. C'est beau, mais dans la réalité, on s'aperçoit que déléguer 
> toute la question de la
> sécurité à l'application, c'est tout simplement pas jouable.

+1


> Oliver varenne a écrit :
> Pour la VOIP, il y a bien IAX2 qui permet de ne pas avoir une m(o)ultitude de 
> ports ouverts...

+1

> Stéphane Rivière a écrit :
> Pour répondre à la question posée : peut-on faire autrement ? IAX (vs 
> SIP/RDP) en VOIP l'a démontré.
> La plupart des pb d'IAX étaient plus à voir du coté de l'implémentation que 
> du protocole. Les bénéfices
> d'IAX (efficacité, NAT traversal) étaient évidents. Mais SIP/RDP (bidule IETF 
> de mémoire, c'est vieux)
> a gagné. Les voies de Darwin sont parfois impénétrables (BETAMAX vs VHS)...

+1000


> Kevin CHAILLY a écrit :
> SIP a été le super-protocole-ouvert-qui-fait-le-café quand en face il y avait 
> SCCP, le méchiant proctocole de Cisco

C'est pour çà que je ne regrette pas IAX, la vie continue.


> Toussaint OTTAVI a écrit :
> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste,
> un port unique et fixe, c'est déjà plus que parfait :-)

+1

> Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête les 
> problématiques de NAT et de
> sécurisation que çà allait générer (certes, ailleurs que chez eux). On 
> retombe sur la discussion d'un
> protocole conçu par une catégorie d'utilisateurs pour répondre à ses besoins 
> propres, sans forcément
> tenir compte des difficultés que cela allait engendrer pour d'autres 
> catégories d'utilisateurs.

+1. Ou de gens qui connaissent peut-être très bien la téléphonie de MaBell, qui 
pensent en tant que circuit et pas paquet, et qui ne comprennent pas vraiment 
grand-chose au réseau.

> Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus que 
> SIP et IPv6 réunis :-D

T'as qu'à demander à tous ceux qui ont essayé de faire du SIP sous IPv6 ;-)


> Philippe ASTIER a écrit :
> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
> alternative,

Pas aujourd'hui.

> donc il n’y a juste pas le choix.

Pas encore.

> Ce qui est effrayant, c’est le nombre de protocoles bricolés qu’on a ajouté 
> entre les deux, qui
> ralentissent la mise en place d’un IPv6 propre, et complexifie encore plus 
> l’infrastructure.

C'est bien là le problème : l'acharnement thérapeutique à déployer IPv6 conduit 
à faire quelque chose qui est 3 fois plus

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet thierry . chich 
Le 15 mars 2019 à 16:42 +0100, Philippe ASTIER , 
a écrit :
> >
> > Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens encore 
> > avec émotion d'un appareil de visioconf dont je n'ai jamais pu changer le 
> > mot de passe d'admin. Alors s'il avait été directement accessible sur 
> > internet sans sécurisation sur la couche 4 ou 3, j'imagine bien ce qui se 
> > serait passé.
>
> Il faut faire le tri dans les vendeurs, et fusiller ceux qui sont stupides.

C’est un exemple. Il y a aussi des applications très anciennes qu’on n’a pas 
les moyens de refaire à neuf, des applications plus modernes mais qui ont 
souffert d’une absence d’intégration de la question sécuritaire. Il y a aussi 
les simples erreurs de conception.

Et au final, pour nombre d’entre elles, le firewall suffit à limiter le risque.

>  Je me répète… mais j’estime que 75% des devices de mes clients sont en 
> permanence en dehors de la forteresse supposée de leur entreprise…
>
> Au passage, les grosses failles qui ont paralysées des usines en France ou la 
> sécu en Angleterre, genre Wannacry… c’était installé sur des appareils 
> internes.
>
> La sécurité périmétrique est morte et enterrée depuis 10 ans. Utile, mais 
> très insuffisante.
> Les attaques frontales directes, c’est bon pour les étudiants en première 
> année de Hacking High School, et ça sert à remplir les logs des firewalls et 
> rassurer les CFO sur leur niveau de dépense en sécurité…

Ça fait aussi 10 ans que j’entends dire que la sécurité perimetrique c’est 
dépassé et ça fait 10 ans que quand j’investigue un peu sur les moyens de gérer 
une sécurité au plus proche, je tombe sur des solutions au mieux mal 
dimensionnées, au pire bouffones.

Moi aussi j’ai 75% dehors, mais il se trouve que les 75% dehors sont d’une part 
moins vulnérables et d’autre part moins critiques.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet CORTES Bruno 
On aurait donc le choix dans la date ;-)...

C'est dredi, et pour une fois que je peux participer à un thread...

Bruno




Pour la planète : échangez par courriel et n’imprimez que si nécessaire.


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Toussaint OTTAVI
Envoyé : vendredi 15 mars 2019 16:19
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 15/03/2019 à 15:13, Philippe ASTIER a écrit :
> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
> alternative

Voilà qui résume assez bien la situation. Sur ce point, je pense qu'on 
est tous d'accord ;-)

> donc il n’y a juste pas le choix.

Si, il y a un choix : maintenant, ou plus tard.

Chacun est libre de décider en fonction de ses contraintes propres, et 
de tous les arguments qui ont été énoncés ici. Pour moi, ce sera plus 
tard (et à la limite, cela n'intéresse personne).

--
Sur ce, on va peut-être commencer à réfléchir à un autre troll pour 
Vendredi prochain. Parce que, celui-là, il a quand même duré la semaine, 
et les gestionnaires de la liste ont, me semble t-il, fait preuve de 
bien plus de tolérance que nous :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Stéphane Rivière 

H323 ?


:>>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet thierry . chich 
Le 15 mars 2019 à 14:56 +0100, Toussaint OTTAVI , a écrit :
>
> Le 15/03/2019 à 14:35, David Ponzone a écrit :
> > Peut-être meilleur, mais parfait, j’en doute.
>
> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, un port
> unique et fixe, c'est déjà plus que parfait :-)
>
> Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête
> les problématiques de NAT et de sécurisation que çà allait générer
> (certes, ailleurs que chez eux). On retombe sur la discussion d'un
> protocole conçu par une catégorie d'utilisateurs pour répondre à ses
> besoins propres, sans forcément tenir compte des difficultés que cela
> allait engendrer pour d'autres catégories d'utilisateurs.
>
> Et, en l'occurrence, c'est moi qui suis emm*rdé pour faire fonctionner
> des solutions de téléphonie que je ne vends pas et que je ne connais
> pas. Et alors que le discours du téléphoniste se limite généralement à
> "oulala, vous avez un firewall, çà ne va jamais marcher", c'est moi qui
> suis obligé de jouer du requin à fils pour comprendre ce que son bouzin
> essaye de faire, et ensuite, de trouver une astuce pour le feinter...
>
> Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus
> que SIP et IPv6 réunis :-D
>
>
H323 ?
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Philippe ASTIER 
>> donc il n’y a juste pas le choix.
> 
> Si, il y a un choix : maintenant, ou plus tard.

J’aime bien ! 

> 
> Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens encore 
> avec émotion d'un appareil de visioconf dont je n'ai jamais pu changer le mot 
> de passe d'admin. Alors s'il avait été directement accessible sur internet 
> sans sécurisation sur la couche 4 ou 3, j'imagine bien ce qui se serait passé.

Il faut faire le tri dans les vendeurs, et fusiller ceux qui sont stupides.

Je me répète… mais j’estime que 75% des devices de mes clients sont en 
permanence en dehors de la forteresse supposée de leur entreprise…

Au passage, les grosses failles qui ont paralysées des usines en France ou la 
sécu en Angleterre, genre Wannacry… c’était installé sur des appareils 
internes. 

La sécurité périmétrique est morte et enterrée depuis 10 ans. Utile, mais très 
insuffisante.
Les attaques frontales directes, c’est bon pour les étudiants en première année 
de Hacking High School, et ça sert à remplir les logs des firewalls et rassurer 
les CFO sur leur niveau de dépense en sécurité… 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Thierry Chich 



Le 15/03/2019 à 09:58, Alexandre Bruyelles a écrit :

Quelle importance ?
La sécurisation du niveau applicatif en se basant sur la couche 4 (ou 3,
pour ce que ça vaut) est risible et déficiente


Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens 
encore avec émotion d'un appareil de visioconf dont je n'ai jamais pu 
changer le mot de passe d'admin. Alors s'il avait été directement 
accessible sur internet sans sécurisation sur la couche 4 ou 3, 
j'imagine bien ce qui se serait passé.



--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Xavier Beaudouin 
Hello,

> Après, quand je lis, à maintes reprises, qu’un souci majeur est la sécurité, 
> je
> m’énerve. Ca n’a juste rien à voir.

Après c'est pas comme si on avais pas inventé les VRF qui permettent d'isoler 
correctement du
trafic sans rentrer dans des délires d'access list.

Mais on continue a dire ipv6 cay mal securisé... C'est surtout que les 
"équipes" sécurités
ne se sont jamais sortit le doigt du cul pour se former et faire de poc.

Ok IPv6 bouge, c'est normal, peu de personnes se sont réveillées a faire des 
reseaux v6 natif
sans ipv4... Et là on trouve des trucs qu'on avais oubliés. 

Mais en prennant le // avec l'IPv4 des débuts ou il n'y avais pas de BGP et 
tout ces protos,
c'est normal qu'on ai des fixes a faire.

Mais autant le faire quand on peux considérer que c'est pas trop de la prod 
avant que... le 
choix ne soit plus possible.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Toussaint OTTAVI 



Le 15/03/2019 à 15:13, Philippe ASTIER a écrit :

Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
alternative


Voilà qui résume assez bien la situation. Sur ce point, je pense qu'on 
est tous d'accord ;-)



donc il n’y a juste pas le choix.


Si, il y a un choix : maintenant, ou plus tard.

Chacun est libre de décider en fonction de ses contraintes propres, et 
de tous les arguments qui ont été énoncés ici. Pour moi, ce sera plus 
tard (et à la limite, cela n'intéresse personne).


--
Sur ce, on va peut-être commencer à réfléchir à un autre troll pour 
Vendredi prochain. Parce que, celui-là, il a quand même duré la semaine, 
et les gestionnaires de la liste ont, me semble t-il, fait preuve de 
bien plus de tolérance que nous :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Samuel Thibault 
Philippe ASTIER, le ven. 15 mars 2019 15:13:27 +0100, a ecrit:
> Ce qui est effrayant, c’est le nombre de protocoles bricolés qu’on a ajouté 
> entre les deux, qui ralentissent la mise en place d’un IPv6 propre, et 
> complexifie encore plus l’infrastructure. 

J'avais vu une étude qui estimait qu'on a déjà dépensé du genre 2x
plus de fric à bricoler NAT etc. que ce qu'on aurait eu à dépenser pour
juste mettre en œuvre IPv6.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Philippe ASTIER 
Bon, c’est vendredi… :)

Tout d’abord, j’aimerai qu’on regarde l’histoire !

Quand IPv4 a été conçu, personne n’imaginerait sa pénétration dans le grand 
public. 
Même quand IPv6 a été conçu, je ne pense pas qu’on croyait que les frigos, les 
montres seraient connectées, et l’internet mobile n’existait pas vraiment non 
plus. Que ça vous plaise ou non, c’est la réalité. 

Aujourd’hui, je pense que j’ai plus d’IP actives simultanément chez moi que sur 
le campus où j’étais étudiant en 1992, vu qu’on était sur des VT100 pour la 
plupart. Je crois qu’on était privilégiés avec un accès 10 Mb/s sur Renater… 
Aujourd’hui j’ai plus sur mon téléphone dans le TGV à 320 km/h… j’ai 11 Gb/s à 
la maison chez deux ISP… faut remettre les choses en perspective, Internet est 
un miracle.

La planète va vers 10 milliards d’individus, et chacun, en moyenne va très vite 
avoir une bonne dizaine de devices qui consomment des IPs. Faites le calcul, 
avec les plages réservées, IPv4 est condamné. A quelle échéance ? Aucune idée, 
je n’ai pas de boule de cristal. Comme le dit Michel, on en aura dans 15 ans 
encore. J’ai bien croisé un Novell en prod dans une université il y a moins 
d’un mois…

Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
alternative, donc il n’y a juste pas le choix.

Ce qui est effrayant, c’est le nombre de protocoles bricolés qu’on a ajouté 
entre les deux, qui ralentissent la mise en place d’un IPv6 propre, et 
complexifie encore plus l’infrastructure. 

Après, quand je lis, à maintes reprises, qu’un souci majeur est la sécurité, je 
m’énerve. Ca n’a juste rien à voir. 
 
Les appareils pro ou perso passent la plupart de leur temps côté WAN, en dehors 
des infra « protégées ». Il faut repenser le paradigme de sécurité. Je ne dis 
pas qu’il ne doit pas y en avoir en entrée d’entreprise, mais c’est une très 
mauvaise excuse pour ne pas avancer vers IPv6, et ce d’autant que tous les 
équipementiers routeurs ou firewall ou UTM dignes de ce nom fonctionnent très 
bien en IPv6. Et au fait, vous faites comment avec le trafic SSL qui vous 
échappe ?

On a ajouté tellement de merdes (désolé !) sur IPv4 et entre les deux que je ne 
serai vraiment pas surpris qu’on découvre plein de failles dans la conception 
même de ces protocoles. (Allo ? UPnP et variantes).


En fait, on n’a plus le choix. Et on devrait profiter de l’expérience ceux qui 
ont participé à bâtir les protocoles précédents.


Bref. Avançons.

Cordialement,
Philippe

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphael Jacquot 



On 3/15/19 2:53 PM, Toussaint OTTAVI wrote:
> 
> Le 15/03/2019 à 14:35, David Ponzone a écrit :
>> Peut-être meilleur, mais parfait, j’en doute.
> 
> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, un port
> unique et fixe, c'est déjà plus que parfait :-)
> 
> Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête
> les problématiques de NAT et de sécurisation que çà allait générer
> (certes, ailleurs que chez eux). On retombe sur la discussion d'un
> protocole conçu par une catégorie d'utilisateurs pour répondre à ses
> besoins propres, sans forcément tenir compte des difficultés que cela
> allait engendrer pour d'autres catégories d'utilisateurs.
> 
> Et, en l'occurrence, c'est moi qui suis emm*rdé pour faire fonctionner
> des solutions de téléphonie que je ne vends pas et que je ne connais
> pas. Et alors que le discours du téléphoniste se limite généralement à
> "oulala, vous avez un firewall, çà ne va jamais marcher", c'est moi qui
> suis obligé de jouer du requin à fils pour comprendre ce que son bouzin
> essaye de faire, et ensuite, de trouver une astuce pour le feinter...
> 
> Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus
> que SIP et IPv6 réunis :-D

bah c'est justement bien le probleme, internet et les protocoles qui
tournent dessus sont concus pour fonctionner dans un environnement ou la
communication est directe de bout en bout.
les trucs genre nat ne sont que des verrues ajoutées au cours du temps
par les bricoleurs qui n'avaient pas assez d'adresses IPv4, plutot que
de passer direct a IPv6, qui rappelons le, fonctionnait déja tres bien
il y a plus de 20 ans...
bref, outil plus adapté, changer outil...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hébergement DC Paris

2019-03-15 Par sujet Francois Prems 
Bonjour Fabienne,

Je réponds à tout le monde car ça peut en intéresser d'autres :

Je suis justement en train de libérer de la place dans ma salle à TH2, ce
qui pourrait parfaitement coller à ton besoin.
J'ai une baie dispo rapidement, et quelques autres à venir bientôt, avec la
capa électrique qui va en face.
Tu serais du coup dans un espace privatif (enfin mutualisé avec moi), plus
confortable qu'une baie dans un couloir ou espace mutualisé à 50.

Niveau tarif, on peut en parler en MP :)

François


Le ven. 15 mars 2019 à 14:02, Fabienne Taffe  a
écrit :

> Bonjour à tous,
>
> Dans le cadre de la mise en place d'une nouvelle infra sur Paris, je
> m'interroge sur le meilleur choix en terme d'hébergement.
>
> Mon besoin est au départ d'une baie / 2kVA, et devrait monter à 3 baies /
> 6kVA dans l'année qui vient, avec des besoins d'intercos variés.
>
> J'avoue un penchant pour TH2 qui est proche de mes bureaux (pratique), mais
> à ce qu'on me dit assez cher (mais bonne connectivité avec le reste des
> acteurs...) et déjà plein (?).
>
> Quelqu'un a-t-il une idée de l'offre (dispo/qualité/tarifs) sur les DC
> parisiens ?
>
> Comment selon vous puis-je gérer ma problématique d'évolution du nombre de
> baies, sans que je me retrouve avec 3 baies éparpillées dans le DC ou à
> devoir payer les 3 dès le départ ?
>
> Merci :)
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet David Ponzone 
> Le 15 mars 2019 à 14:43, Kevin CHAILLY | Service Technique 
>  a écrit :
> SIP a été le super-protocole-ouvert-qui-fait-le-café quand en face il y avait 
> SCCP, le méchiant proctocole de Cisco  
> 

Et MGCP, qui était pourtant très bien (pas d’intelligence dans le endpoint, le 
contrôleur gère tout).

> ( Et séparer les canaux permet de piloter l'interco VIA un asterisk, mais de 
> connecter les canaux media d'un téléphone à l'autre, pensez FXP ) 

+1


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Toussaint OTTAVI 



Le 15/03/2019 à 14:35, David Ponzone a écrit :

Peut-être meilleur, mais parfait, j’en doute.


Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, un port 
unique et fixe, c'est déjà plus que parfait :-)


Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête 
les problématiques de NAT et de sécurisation que çà allait générer 
(certes, ailleurs que chez eux). On retombe sur la discussion d'un 
protocole conçu par une catégorie d'utilisateurs pour répondre à ses 
besoins propres, sans forcément tenir compte des difficultés que cela 
allait engendrer pour d'autres catégories d'utilisateurs.


Et, en l'occurrence, c'est moi qui suis emm*rdé pour faire fonctionner 
des solutions de téléphonie que je ne vends pas et que je ne connais 
pas. Et alors que le discours du téléphoniste se limite généralement à 
"oulala, vous avez un firewall, çà ne va jamais marcher", c'est moi qui 
suis obligé de jouer du requin à fils pour comprendre ce que son bouzin 
essaye de faire, et ensuite, de trouver une astuce pour le feinter...


Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus 
que SIP et IPv6 réunis :-D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Modem Sagem Bouygues F@st5530b et IPv6

2019-03-15 Par sujet Hugues Voiturier 
Hello,

A part en changeant la box, pas moyen.


Hugues
AS57199 - AS50628

> On 15 Mar 2019, at 14:41, nikolaii  wrote:
> 
> Bonjour tout le monde,
> 
> récemment Bouyges (mon FAI) a activé l'IPv6 sur l'accès Internet de la
> maison. Oh joie.
> 
> Indépendamment de cela, je voulais ressusciter mon APU1c avec un
> pfsense, que je connecterais derrière la box.
> 
> Avant Bouygues, j'avais un Technicolor d'OVH, et je pouvais ajouter des
> routes statiques en mode CLI.
> 
> Par contre, sur ce type de box (Sagem F@st5330b), difficile de faire du
> routage.
> 
> Du coup, si je veux gérer le préfixe IPv6 fourni par Bouyges sur le
> pfsense (afin d'en faire profiter mon LAN), quelles options ai-je ?
> 
> J'avais bien pensé utiliser mon vieux Cisco 877 en lieu et place de la
> bbox, mais du coup je perds le téléphone ...
> 
> 
> Merci.
> Nicolas
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Kevin CHAILLY | Service Technique 
Ce qu'on oublie quand on voit un bébé moche, c'est qu'au moins une fois dans sa 
vie il a gagné une course ! o

SIP a été le super-protocole-ouvert-qui-fait-le-café quand en face il y avait 
SCCP, le méchiant proctocole de Cisco  

( Et séparer les canaux permet de piloter l'interco VIA un asterisk, mais de 
connecter les canaux media d'un téléphone à l'autre, pensez FXP ) 

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Toussaint 
OTTAVI
Envoyé : vendredi 15 mars 2019 14:28
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :
> C'est justement la le truc, ce sont des protocoles qui ne sont pas 
> centralisés, avec communication directe de bout en bout entre les 
> participants.

Le fait que les communications se fassent de bout en bout, et le fait qu'elles 
utilisent des ports dynamiques dans tous les sens, me semblent être deux choses 
relativement distinctes. Je ne fais pas de téléphonie, mais un jour, j'ai eu à 
choisir entre SIP et IAX2 pour un projet perso. 
Quand j'ai vu qu'IAX2 utilisait un port unique et fixe, mon choix a été vite 
fait. Je me demande encore pourquoi les téléphonistes continuent d'utiliser ces 
saletés de SIP et RTSP, avec leurs libertés d'implémentation plus ou moins 
farfelues suivant les constructeurs. Sans doute juste pour faire ch*er les 
informaticiens :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Modem Sagem Bouygues F@st5530b et IPv6

2019-03-15 Par sujet nikolaii 
Bonjour tout le monde,

récemment Bouyges (mon FAI) a activé l'IPv6 sur l'accès Internet de la
maison. Oh joie.

Indépendamment de cela, je voulais ressusciter mon APU1c avec un
pfsense, que je connecterais derrière la box.

Avant Bouygues, j'avais un Technicolor d'OVH, et je pouvais ajouter des
routes statiques en mode CLI.

Par contre, sur ce type de box (Sagem F@st5330b), difficile de faire du
routage.

Du coup, si je veux gérer le préfixe IPv6 fourni par Bouyges sur le
pfsense (afin d'en faire profiter mon LAN), quelles options ai-je ?

J'avais bien pensé utiliser mon vieux Cisco 877 en lieu et place de la
bbox, mais du coup je perds le téléphone ...


Merci.
Nicolas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Toussaint OTTAVI 



Le 15/03/2019 à 14:32, Raphael Jacquot a écrit :

un grand classique des constructeurs, pour n'etre compatibles qu'avec
eux memes. t'as le meme delire avec ipsec


Sauf qu'ipsec n'a généralement pas besoin de traverser mes firewalls : 
il se termine dessus :-D


Et puis, c'était peut-être vrai il y a 10 ans, mais aujourd'hui, j'ai 
très peu de problèmes d'interopérabilité. Même les Livebox arrivent à 
monter des tunnels ipsec qui tiennent au moins une journée :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet David Ponzone 
Hmmm c’est facile de parler de liberté d’implémentation de SIP, puisque IAX n’a 
grosso-modo jamais été supporté par autre chose qu’Asterisk.
Digium a poussé la RFC, personne n’a suivi, et pour cause SIP était déjà là, 
avec ses défauts, mais avec l’avantage de pouvoir servir à n’importe quoi, pas 
seulement à la téléphonie.
Il aurait été intéressant de voir le niveau d’implémentation/compatibilité 
d’IAX si plusieurs centaines/milliers de constructeurs/éditeurs l’avaient 
choisi.
Peut-être meilleur, mais parfait, j’en doute.



> Le 15 mars 2019 à 14:27, Toussaint OTTAVI  a écrit :
> 
> 
> Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :
>> C'est justement la le truc, ce sont des protocoles qui ne sont pas
>> centralisés, avec communication directe de bout en bout entre les
>> participants.
> 
> Le fait que les communications se fassent de bout en bout, et le fait 
> qu'elles utilisent des ports dynamiques dans tous les sens, me semblent être 
> deux choses relativement distinctes. Je ne fais pas de téléphonie, mais un 
> jour, j'ai eu à choisir entre SIP et IAX2 pour un projet perso. Quand j'ai vu 
> qu'IAX2 utilisait un port unique et fixe, mon choix a été vite fait. Je me 
> demande encore pourquoi les téléphonistes continuent d'utiliser ces saletés 
> de SIP et RTSP, avec leurs libertés d'implémentation plus ou moins farfelues 
> suivant les constructeurs. Sans doute juste pour faire ch*er les 
> informaticiens :-)
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphael Jacquot 



On 3/15/19 2:27 PM, Toussaint OTTAVI wrote:
> 
> Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :
>> C'est justement la le truc, ce sont des protocoles qui ne sont pas
>> centralisés, avec communication directe de bout en bout entre les
>> participants.
> 
> Le fait que les communications se fassent de bout en bout, et le fait
> qu'elles utilisent des ports dynamiques dans tous les sens, me semblent
> être deux choses relativement distinctes. Je ne fais pas de téléphonie,
> mais un jour, j'ai eu à choisir entre SIP et IAX2 pour un projet perso.
> Quand j'ai vu qu'IAX2 utilisait un port unique et fixe, mon choix a été
> vite fait. Je me demande encore pourquoi les téléphonistes continuent
> d'utiliser ces saletés de SIP et RTSP, avec leurs libertés
> d'implémentation plus ou moins farfelues suivant les constructeurs. Sans
> doute juste pour faire ch*er les informaticiens :-)

un grand classique des constructeurs, pour n'etre compatibles qu'avec
eux memes. t'as le meme delire avec ipsec


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Toussaint OTTAVI 



Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :

C'est justement la le truc, ce sont des protocoles qui ne sont pas
centralisés, avec communication directe de bout en bout entre les
participants.


Le fait que les communications se fassent de bout en bout, et le fait 
qu'elles utilisent des ports dynamiques dans tous les sens, me semblent 
être deux choses relativement distinctes. Je ne fais pas de téléphonie, 
mais un jour, j'ai eu à choisir entre SIP et IAX2 pour un projet perso. 
Quand j'ai vu qu'IAX2 utilisait un port unique et fixe, mon choix a été 
vite fait. Je me demande encore pourquoi les téléphonistes continuent 
d'utiliser ces saletés de SIP et RTSP, avec leurs libertés 
d'implémentation plus ou moins farfelues suivant les constructeurs. Sans 
doute juste pour faire ch*er les informaticiens :-)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [MISC] C'est gros comment // FTTH

2019-03-15 Par sujet David Ponzone 
-> https://lafibre.info 


> Le 15 mars 2019 à 14:19, Jacques Lavignotte  a écrit :
> 
> Bonjour,
> 
> la fibre arrive dans mon quartier.
> 
> Le câble qui arrivera chez moi, il est gros comment ? Comme le 2 paires qui 
> arrive aujourd'hui pour mon ADSL ?
> 
> Une fois le technicien passé j'ai quelle latitude pour déplacer ma box, 
> allonger/raccourcir le câble ?
> 
> Réponse en MP , je résumerai.
> 
> Merci, J.
> 
> 
> -- 
> GnuPg : C8F5B1E3 Because privacy matters.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] [MISC] C'est gros comment // FTTH

2019-03-15 Par sujet Jacques Lavignotte 

Bonjour,

la fibre arrive dans mon quartier.

Le câble qui arrivera chez moi, il est gros comment ? Comme le 2 paires 
qui arrive aujourd'hui pour mon ADSL ?


Une fois le technicien passé j'ai quelle latitude pour déplacer ma box, 
allonger/raccourcir le câble ?


Réponse en MP , je résumerai.

Merci, J.


--
GnuPg : C8F5B1E3 Because privacy matters.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet christian b 
but professionnel
zone mal desservis
pas de passage aerien

Le ven. 15 mars 2019 à 13:43, christian b  a
écrit :

> but professionnel
> zone mal desservis
> pas de passage aerien
>
> Le ven. 15 mars 2019 à 13:31, Jerome Lien  a
> écrit :
>
>> Pour un but personnel ? Professionnel ?
>> Zone isolé ?
>> Il y a t'il des ligne France Telecom aérienne sur le même passage ?
>>
>> En fonction des réponses tu peux avoir des aides ou financement par le
>> département.
>>
>>
>> Le ven. 15 mars 2019 à 15:09, François Lacombe > >
>> a écrit :
>>
>> > Salut à tous
>> >
>> > Le coût au ml sans tranchée peut baisser jusqu'à 40€ TTC en fonction des
>> > conditions et de la disponibilité du matériel à proximité.
>> > Quelle quantité de fourreaux d'ailleurs?
>> >
>> > En fonction de l'itinéraire et des opportunités, je recommande de
>> > surveiller les possibilités de mutualisation
>> > https://fibre.wiki/index.php/Mutualisation_du_g%C3%A9nie_civil
>> >
>> >
>> https://fibre.wiki/index.php/Declaration_des_travaux#Publications_r.C3.A9glementaires
>> >
>> > Se renseigner sur la vétusté d'ouvrages sur l'itinéraire
>> > Des fois il vaut mieux faire 20% du trajet en plus pour économiser 40%
>> du
>> > tarif plein avec une MOE mutualisée.
>> >
>> >
>> > A+
>> > François
>> >
>> > Le ven. 15 mars 2019 à 11:52, Denis Fondras  a
>> écrit :
>> >
>> > > > j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une
>> > route
>> > > > sans chausse.
>> > > > j'aurai voulu connaitre votre expérience sur ce genre de travaux et
>> > cout
>> > > de
>> > > > ce genre travaux.
>> > > >
>> > >
>> > > Pour avoir un cout, il faudrait plus de détails.
>> > > Si tu peux le faire à la trancheuse, ton cout va considérablement
>> baisser
>> > > par
>> > > rapport à des travaux en GC traditionnel. Il faut aussi savoir
>> combien de
>> > > fourreaux (PEHD ou PVC ?) tu vas enfouir et combien de chambre tu vas
>> > > créer.
>> > > Tu peux avoir une fouchette entre 30 et 100+€ par mètre linéaire.
>> > >
>> > >
>> > > ---
>> > > Liste de diffusion du FRnOG
>> > > http://www.frnog.org/
>> > >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>> >
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Hébergement DC Paris

2019-03-15 Par sujet Fabienne Taffe 
Bonjour à tous,

Dans le cadre de la mise en place d'une nouvelle infra sur Paris, je
m'interroge sur le meilleur choix en terme d'hébergement.

Mon besoin est au départ d'une baie / 2kVA, et devrait monter à 3 baies /
6kVA dans l'année qui vient, avec des besoins d'intercos variés.

J'avoue un penchant pour TH2 qui est proche de mes bureaux (pratique), mais
à ce qu'on me dit assez cher (mais bonne connectivité avec le reste des
acteurs...) et déjà plein (?).

Quelqu'un a-t-il une idée de l'offre (dispo/qualité/tarifs) sur les DC
parisiens ?

Comment selon vous puis-je gérer ma problématique d'évolution du nombre de
baies, sans que je me retrouve avec 3 baies éparpillées dans le DC ou à
devoir payer les 3 dès le départ ?

Merci :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet Jerome Lien 
Pour un but personnel ? Professionnel ?
Zone isolé ?
Il y a t'il des ligne France Telecom aérienne sur le même passage ?

En fonction des réponses tu peux avoir des aides ou financement par le
département.


Le ven. 15 mars 2019 à 15:09, François Lacombe 
a écrit :

> Salut à tous
>
> Le coût au ml sans tranchée peut baisser jusqu'à 40€ TTC en fonction des
> conditions et de la disponibilité du matériel à proximité.
> Quelle quantité de fourreaux d'ailleurs?
>
> En fonction de l'itinéraire et des opportunités, je recommande de
> surveiller les possibilités de mutualisation
> https://fibre.wiki/index.php/Mutualisation_du_g%C3%A9nie_civil
>
> https://fibre.wiki/index.php/Declaration_des_travaux#Publications_r.C3.A9glementaires
>
> Se renseigner sur la vétusté d'ouvrages sur l'itinéraire
> Des fois il vaut mieux faire 20% du trajet en plus pour économiser 40% du
> tarif plein avec une MOE mutualisée.
>
>
> A+
> François
>
> Le ven. 15 mars 2019 à 11:52, Denis Fondras  a écrit :
>
> > > j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une
> route
> > > sans chausse.
> > > j'aurai voulu connaitre votre expérience sur ce genre de travaux et
> cout
> > de
> > > ce genre travaux.
> > >
> >
> > Pour avoir un cout, il faudrait plus de détails.
> > Si tu peux le faire à la trancheuse, ton cout va considérablement baisser
> > par
> > rapport à des travaux en GC traditionnel. Il faut aussi savoir combien de
> > fourreaux (PEHD ou PVC ?) tu vas enfouir et combien de chambre tu vas
> > créer.
> > Tu peux avoir une fouchette entre 30 et 100+€ par mètre linéaire.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet Arnaud Launay 
Le Fri, Mar 15, 2019 at 11:17:41AM +0100, David Ponzone a écrit:
> A la louche, je crois que c’est environ 100€/ml le GC pour poser un fourreau.

100€ le mL, la bière a intérêt à être furieusement bonne.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet François Lacombe 
Salut à tous

Le coût au ml sans tranchée peut baisser jusqu'à 40€ TTC en fonction des
conditions et de la disponibilité du matériel à proximité.
Quelle quantité de fourreaux d'ailleurs?

En fonction de l'itinéraire et des opportunités, je recommande de
surveiller les possibilités de mutualisation
https://fibre.wiki/index.php/Mutualisation_du_g%C3%A9nie_civil
https://fibre.wiki/index.php/Declaration_des_travaux#Publications_r.C3.A9glementaires

Se renseigner sur la vétusté d'ouvrages sur l'itinéraire
Des fois il vaut mieux faire 20% du trajet en plus pour économiser 40% du
tarif plein avec une MOE mutualisée.


A+
François

Le ven. 15 mars 2019 à 11:52, Denis Fondras  a écrit :

> > j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une route
> > sans chausse.
> > j'aurai voulu connaitre votre expérience sur ce genre de travaux et cout
> de
> > ce genre travaux.
> >
>
> Pour avoir un cout, il faudrait plus de détails.
> Si tu peux le faire à la trancheuse, ton cout va considérablement baisser
> par
> rapport à des travaux en GC traditionnel. Il faut aussi savoir combien de
> fourreaux (PEHD ou PVC ?) tu vas enfouir et combien de chambre tu vas
> créer.
> Tu peux avoir une fouchette entre 30 et 100+€ par mètre linéaire.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet Denis Fondras 
> j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une route
> sans chausse.
> j'aurai voulu connaitre votre expérience sur ce genre de travaux et cout de
> ce genre travaux.
> 

Pour avoir un cout, il faudrait plus de détails.
Si tu peux le faire à la trancheuse, ton cout va considérablement baisser par
rapport à des travaux en GC traditionnel. Il faut aussi savoir combien de
fourreaux (PEHD ou PVC ?) tu vas enfouir et combien de chambre tu vas créer.
Tu peux avoir une fouchette entre 30 et 100+€ par mètre linéaire.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet christian b 
c'est une route route départementale  et c'est juste du telco

Le ven. 15 mars 2019 à 11:16, Jerome Lien  a écrit :

> La route ou chemin t'appartient ?
>
> Le ven. 15 mars 2019 à 13:41, christian b  a
> écrit :
>
> > bonjour à tous,
> >
> > j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une route
> > sans chausse.
> > j'aurai voulu connaitre votre expérience sur ce genre de travaux et cout
> de
> > ce genre travaux.
> >
> > merci par avance pour vos réponses.
> >
> > cordialement
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet David Ponzone 
A la louche, je crois que c’est environ 100€/ml le GC pour poser un fourreau.
Donc dans ton cas 500k€.

> Le 15 mars 2019 à 10:40, christian b  a écrit :
> 
> bonjour à tous,
> 
> j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une route
> sans chausse.
> j'aurai voulu connaitre votre expérience sur ce genre de travaux et cout de
> ce genre travaux.
> 
> merci par avance pour vos réponses.
> 
> cordialement
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet Jerome Lien 
La route ou chemin t'appartient ?

Le ven. 15 mars 2019 à 13:41, christian b  a
écrit :

> bonjour à tous,
>
> j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une route
> sans chausse.
> j'aurai voulu connaitre votre expérience sur ce genre de travaux et cout de
> ce genre travaux.
>
> merci par avance pour vos réponses.
>
> cordialement
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphael Jacquot 



On 3/15/19 9:23 AM, Thierry Chich wrote:
> 

> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des
> ports dynamiques de partout et  dans tous les sens.

C'est justement la le truc, ce sont des protocoles qui ne sont pas
centralisés, avec communication directe de bout en bout entre les
participants. l'opposé du minitel que facebook & co cherchent a imposer.
Je sais bien que les concepts de base d'internet, c'est compliqué, mais
tu pourrais faire un effort ;-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] pose de fourreau

2019-03-15 Par sujet christian b 
bonjour à tous,

j'envisage de poser 5 km de fourreau pour de la fibre au bord d'une route
sans chausse.
j'aurai voulu connaitre votre expérience sur ce genre de travaux et cout de
ce genre travaux.

merci par avance pour vos réponses.

cordialement

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Stéphane Rivière 
Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des 
ports dynamiques de partout et  dans tous les sens > Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.


Un protocole sur un port fixe en TCP pour l'établissement de la liaison 
et autant de paires de ports en UDP pour tx/rx alloués dynamiquement 
qu'il y a de communications. Un petit gout de FTP en mode passif.


Pour répondre à la question posée : peut-on faire autrement ?

IAX (vs SIP/RDP) en VOIP l'a démontré. La plupart des pb d'IAX étaient 
plus à voir du coté de l'implémentation que du protocole. Les bénéfices 
d'IAX (efficacité, NAT traversal) étaient évidents. Mais SIP/RDP (bidule 
IETF de mémoire, c'est vieux) a gagné. Les voies de Darwin sont parfois 
impénétrables (BETAMAX vs VHS)...












---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Need help Cisco - VTP - changement de "master VTP"

2019-03-15 Par sujet Sébastien COUREAU 

Hello,

Le 2019-03-14 16:55, Michel Py a écrit :

Sébastien COUREAU a écrit :
Je dois remplacer le 6506 par 2 3750G, mais idéalement en conservant 
la gestion
 des VLANs sous VTP, et donc à terme dans les 3750 (qui sont/seront 
stackés),


Par curiosité, tu pourrais nous expliquer pourquoi ? un 6506 c'est
nettement plus robuste qu'un stack de 3750G, AMHA.
Faut avoir les RU, mais pourquoi changer ? 3750G pas d'alim
redondante, le control-plane il casse pas des barreaux de chaise non
plus.


Pour 2 raisons "principales": La place et la conso électrique (j'ai 
2x3000W.)
Après coté control-plane, je n'ai pas besoin d'un foudre de guerre, loin 
s'en faut... J'ai "juste" besoin de faire de la distribution sur le LAN, 
et accessoirement pousser quelques routes en BGP, et ne prends pas la 
full coté peer


J'en suis au point de me dire que je colle la stack en client VTP du 
6506, avec un
Rev-ID (idéalement à 0). De là, "mon" 3750 va récupérer la conf VTP, 
et je pourrais

le passer en VTPServer avec les meme Domain que le 6506.
Laquelle de ces 2 soluces est la bonne ? la meilleure ? la moins pire 
?


J'ai toujours fait la première.


OK! Aurais-tu des "conseils" pour pas péter l'existant (qui bien 
évidement est en prod et que je voudrais éviter de planter à chaud)


Merci Michel !

--
Lifo.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Xavier Beaudouin 
Hello,

(thread remis dans l'ordre de lecture normale pour un français)

>> Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce
>> que pour les reverse-proxy.
(...)
>> Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.
>> 
(...)
> Quelle importance ?
> La sécurisation du niveau applicatif en se basant sur la couche 4 (ou 3,
> pour ce que ça vaut) est risible et déficiente

+1 et clairement c'est pas un reverse proxy qui te protégeras de ces 
problèmes. Il peux le limiter, mais si l'appli est codée avec des 
gens qui n'ont pas le postulat : don't trust anything, et bien cette
sécurisation est inexistante.

Et c'est pas le NAT qui vas sécuriser, enfin pas plus qu'un firewall
statefull.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Oliver varenne 
Pour la VOIP, il y a bien IAX2 qui permet de ne pas avoir une m(o)ultitude de 
ports ouverts...




Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : vendredi 15 mars 2019 09:38
> À : Thierry Chich 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles
> 
> >
> > Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce
> que pour les reverse-proxy.
> >
> > Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec
> des ports dynamiques de partout et  dans tous les sens.
> >
> 
> Tu verrais une autre solution ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alexandre Bruyelles 
Quelle importance ?
La sécurisation du niveau applicatif en se basant sur la couche 4 (ou 3,
pour ce que ça vaut) est risible et déficiente


On 03/15/2019 09:23 AM, Thierry Chich wrote:
> Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce
> que pour les reverse-proxy.
> 
> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des
> ports dynamiques de partout et  dans tous les sens.
> 
> Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.
> 
> Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alarig Le Lay 
On ven. 15 mars 08:41:37 2019, Pascal PETIT wrote:
> J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
> n'ai toujours pas compris ce qui était prévu pour ce cas de figure.
> 
> Je suis preneur d'éléments pour finir moins bête.

Ben tu fais comme en IPv4 :
1. Tu payes des bières
2. Tu branches des câbles
3. Tu recommences

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Thierry Chich 



Le 15/03/2019 à 09:38, David Ponzone a écrit :

Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce que 
pour les reverse-proxy.

Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des ports 
dynamiques de partout et  dans tous les sens.


Tu verrais une autre solution ?

Une autre solution que des protocoles où le client négocie avec le 
serveur le numéro de port sur lequel le serveur va lui envoyer des 
données ? A la mode tftp ou rsh ? Ben, je pense qu'il y a d'autres 
solutions envisageables. Même si je reconnais humblement ne pas 
connaître toutes les problématiques spécifiques de la VoIP et de la 
ToIP, ça me parait effectivement inutilement compliqué. Et surtout, pas 
pensé dans le monde IP actuel, mais plutôtpour un monde IP idéal dans 
lequel tout le monde peut parler à tout le monde sans entrave. C'est 
beau, mais dans la réalité, on s'aperçoit que déléguer toute la question 
de la sécurité à l'application, c'est tout simplement pas jouable.


--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet David Ponzone 
> 
> Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce que 
> pour les reverse-proxy.
> 
> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des 
> ports dynamiques de partout et  dans tous les sens.
> 

Tu verrais une autre solution ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Thierry Chich 



Le 15/03/2019 à 09:12, Stéphane Rivière a écrit :
Sérieux, si on ne se faisait pas chier avec du v4, on aurais pas 
passé 1h (+ 3h de tests a la con
pour vérifier que les paramètres de NAT, changés un à un) pour qu'un 
truc qui mange 2 PC avec 16 cores
soit finement tunné  à cause de protocoles qui ont du mal a supporter 
du NAT?


On peut pas dire que ça soit faux... Qui ne hait pas le NAT dès qu'il 
s'agit de voix ou de vidéo  ?




Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce 
que pour les reverse-proxy.


Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des 
ports dynamiques de partout et  dans tous les sens.


Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.

Thierry
--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Stéphane Rivière 

Sérieux, si on ne se faisait pas chier avec du v4, on aurais pas passé 1h (+ 3h 
de tests a la con
pour vérifier que les paramètres de NAT, changés un à un) pour qu'un truc qui 
mange 2 PC avec 16 cores
soit finement tunné  à cause de protocoles qui ont du mal a supporter du NAT?


On peut pas dire que ça soit faux... Qui ne hait pas le NAT dès qu'il 
s'agit de voix ou de vidéo  ?


Mais hélas... ce constat et la persistance de ipv4 sont deux choses 
différentes...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphaël Jacquot 




Le 15/03/2019 à 08:29, Xavier Beaudouin a écrit :


On a cru a des settings a la con sur l'UDP (oui, facetime utilise de l'UDP, 
c'est con...),


c'est pas idiot, les communications "temps réel" sont supposées utiliser 
UDP.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Pascal PETIT 
Bonjour,

Le vendredi 15 mars 2019 (03:08), Michel Py écrivait :
> 
>  à part essayer de faire marcher le multihoming pour IPv6, j'ai
>

J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
n'ai toujours pas compris ce qui était prévu pour ce cas de figure.

Je suis preneur d'éléments pour finir moins bête.

cordialement
-- 
Pascal Petit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Xavier Beaudouin 
Hello,

>>> Denis Fondras a écrit :
>>> Et je suis un extrémiste d'IPv6 donc ma proposition est
>>> radicale, IPv6 pour tout le monde. On coupe IPv4
> 
>> Michel Py a écrit :
>> Cà me fait bien rigoler, par Toutatis.
> 
> Bon je l'ai gardé pour trolldi, mais faudrait quand même avoir un peu de 
> sérieux
> même un trolldi.
> Denis, les champignons hallucinogènes, c'est bon ni pour ta crédibilité ni 
> pour
> ta carrière.
> 
> On ne coupe pas IPv4 pour au moins 15 ans, tu ne peux rien y faire si ce n'est
> de commettre un suicide politique. Arrêtes de me raconter les conneries que
> j'ai moi-même écrites il y a 20 ans.
> Penses à ton futur : dans 10, 15, 20 ans, quelqu'un va gouglér ce que tu écris
> aujourd'hui. Si tu continues à nous baver cette connerie qu'on va arrêter 
> IPv4,
> dans 10 ans le seul job que t'auras dans une infra de taille çà sera de
> nettoyer les chiottes. Etre extrémiste c'est bien, avoir raison c'est mieux.
> J'embauche des ingés qualifiés, pas des vendeurs de pompes usées.

Hihi :)

Tiens puisqu'on est trolldi, voici un exemple d'emmerdes qu'on a eu récemment à
cause de ce truc relou.

Symptôme: "la video conférence se coupe toute seule depuis 2 jours"

Donc vu qu'on avais rien fait sur le NAT depuis 2 semaines (migration de nat 
stateless cisco a
du statefull freebsd PF, pour éviter de se payer une license 10G sur cisco 
ios-xe...).

Donc on remonté le traffic client chez nous et on a essayé "au hasard" du 
facetime.

Bingo, ça coupe au bout d'une minute...

On a cru a des settings a la con sur l'UDP (oui, facetime utilise de l'UDP, 
c'est con...),
ou de la merde chez notre tier-1, mais non on a lutté.

Bref. La solution a été (partiellement) :



# VOIP et APPLE
SIP = "5060:5061"
RTP = "5004:5020"
APPLE   = "3478:3497"

set timeout { adaptive.start 364200, adaptive.end 728400 }

scrub out on $ExtIf inet proto udp from port $SIP set-tos 0x60
scrub out on $ExtIf inet proto udp from port $RTP set-tos 0xB8
scrub out on $ExtIf inet proto udp from port $APPLE set-tos 0x60

Sérieux, si on ne se faisait pas chier avec du v4, on aurais pas passé 1h (+ 3h 
de tests a la con
pour vérifier que les paramètres de NAT, changés un à un) pour qu'un truc qui 
mange 2 PC avec 16 cores
soit finement tunné  à cause de protocoles qui ont du mal a supporter du NAT? 

Bref. Ca fait plus de 15 ans qu'on fait des work arounds à cause du NAT, et que 
des dev
passent leur temps a faire du code pour qu'on soit NAT 4 compliant 
(coucou v0x), un 
moment le gâchis de ressources humaines, techniques et énergétiques ca suffit.

EOTROLLDI :D

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/