[FRnOG] RE: FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

[Michel Py]

> Xavier Beaudouin a écrit :
> Certains font partie des dinos, qui avaient en réseau interne et sans 
> firewall dans
> les années 90 leur réseau interne et a poil sur le net. Ca fait science 
> fiction ?
> bah oui les firewall n'existaient a peine, ssh était a ses début et les seules
> protections étaient ... les ACL sur un cisco 2500 (quand on les mettais).

Tu te rappelles pas tu Centri Firewall ? un produit Cisco.
J'ai encore un PIX original aussi, c'était un PC DAUBIQUE.
Les ACL c'est bien, mais la partie "reflexive" presque personne ne connaissait.
En ce qui concerne le 2500, j'avais IPv6 dessus il y a 20 ans.

>> Michel Py a écrit :
>> Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que
>> la même merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé.

> Xavier Beaudouin a écrit :
> Idem, mon IOT est dans un vlan ipv4 only, avec pas de sortie autorisée
> sauf quelques devices prévu avec des bonne ACL (par exemple j'ai un peu
> relouté netatmo pour avoirla liste des ips de leur cloud).

>> Michel Py a écrit :
>> La caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté
>> IPv6 directement accessible de l'extérieur, çà me fait carrément peur.

> Stéphane Rivière a écrit :
> Bien au chaud dans le NAT, c'est... mieux ?

Oui, regarde ce que Xavier a écrit. Ce n'est pas à l'épreuve des balles, et il 
y a plein de moyens connus pour traverser, mais cela ne change rien au fait que 
la moitié de l'IoT de merde peut être cassé en quelques secondes s'il est 
directement accessible. On est revenu 15 ans en arrière avec IoT.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur 4 G

[Anthony Deshayes]

Teltonika également de mon côté (je ne pose quasiment que du RUT950).
Seul défaut de cette gamme : pas de CAT6 (réservé à la gamme RUTX comme l'a
indique David).

Mais je préfère avoir un peu moins de débit et un produit robuste, gérable
à distance via le RMS (ou dans le pire des cas par SMS).
J'ai pas loin d'une cinquantaine de RUT950 en fonction dont certain depuis
plusieurs années avec ou sans antenne externe et je ne suis que très
rarement intervenu pour un problème matériel (quelques alim non protégées
en amont qui ont pris une surtension, ou bien souvent des problèmes
externes au routeur).

Le lun. 11 mai 2020 à 16:42, Kevin CHAILLY | Service Technique <
kchai...@adeo-informatique.com> a écrit :

> Teltonika, c'est du très bon matos, et indus ( alim 9-30v, toumétal,
> toussa toussa )
>
> Nous avons essayé un autre modem que pour avoir du CAT16 avec le Netgear
> MR1100 qui fait 2 choses :
>
> - Port ethernet bridgeable pour récupérer ton IP lubrique sur ton routeur
> - CAT16 avec des vitesses a en décoiffer oncle fétide.
>
> Pour l'instant nous n'en avons qu'un en test. C'est en plastique, ça a
> moins de fonctionnalités, et surtout, ça coûte cher ( et le connecteur
> d'antenne extérieur est exotique, c'est du TS9 )
>
> Par contre, ça grodébite.
>
> Kévin
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : lundi 11 mai 2020 16:16
> À : Xavier ROCA 
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Routeur 4 G
>
> Teltonika, je pourrais écrire un roman dessus.
> Ca remplit à peu près toutes les cases, sauf le portail captif.
> Côté solidité, ça passe sur la gamme RUTX09.
> Sur l’ancienne (RUT240/950), on a eu une casse de port antenne, donc je
> mettrais une réserve.
> Le firmware des RUTX a pas encore rattrapé celui des anciens modèles.
>
> Le plus Telco pour moi, c’est le contrôle complet par SMS. Tu peux
> littéralement tout reprogrammer par SMS.
>
> Sinon y a Sierra Wireless qui est incontournable sur ce marché, mais plus
> cher et j’en ai qu’un en test, donc je sais pas si ça fait tout ce que tu
> veux.
>
> Et récemment, on m’a proposé de tester Multitech, mais pas eu le temps.
>
>
> > Le 11 mai 2020 à 15:13,   a écrit
> :
> >
> > Bonjour,
> >
> >
> >
> > Plusieurs fois évoqué ici mais comme cela bouge dans ce domaine, je
> > repose la question avec un contexte un peu particulier.
> >
> > On cherche sans parler de budget car on cherche un modèle « universel » :
> >
> > * Qu’ils conviennent à toutes les fréquences de tous les opérateurs
> > (France pour le moment)
> > * Que l’on puisse lui changer d’antenne pour les déportés si
> > nécessaire
> > * Deux ports RJ de préférence ou plus
> > * Puisse faire aussi routeur LAN/WAN a travers un réseau local mais
> > devant s’authentifier sur un proxy pour l’accès Internet
> > * Watchdog et reboot auto
> > * Fiable / solide
> > * Solide Fanless milieu industriel
> >
> > Donc pour vous ce serait quoi la bête parfaite ?
> >
> > Teltonika, Huawei , Microtik …
> >
> >
> >
> > Si c’était un choix perso je précise que je serais parti sur un UTM
> > avec 4G au Q ou Mini PC routeur avec clé 4G.
> >
> > Mais là ce n’est pas mon besoin ;) donc vraiment un routeur 4G, sans
> > bricolage, un truc sur étagère quoi…
> >
> >
> >
> > Merci
> >
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Laurent-Charles FABRE]

Juste pour du Nat, le 1er Nux venue + IPFilter et hop !

Sous VMWware le Mikrotik marche nickel aussi
Avec the Dude même

ZeroShell aussi si on veut du Nux et pas du BSD et qu'on est allergique 
au Shell


Le 11/05/2020 à 20:03, David Ponzone a écrit :

T’as un vrai besoin de sécurisation, ou juste de mettre une couche de NAT en 
frontal des serveurs ?
Sinon, une VM avec un VyOS fera le job pour du NAT, et c’est assez simple à 
automatiser (CLI juniper-like).


Le 11 mai 2020 à 18:37, Jerome Lien  a écrit :

justement vue les prix fortigate ... pour cette partie de micro dmz, je
pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups
sur de la production.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[David Ponzone]

T’as un vrai besoin de sécurisation, ou juste de mettre une couche de NAT en 
frontal des serveurs ?
Sinon, une VM avec un VyOS fera le job pour du NAT, et c’est assez simple à 
automatiser (CLI juniper-like).

> Le 11 mai 2020 à 18:37, Jerome Lien  a écrit :
> 
> justement vue les prix fortigate ... pour cette partie de micro dmz, je
> pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups
> sur de la production.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Jerome Lien]

justement vue les prix fortigate ... pour cette partie de micro dmz, je
pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups
sur de la production.


Garanti
sans virus. www.avast.com

<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Le lun. 11 mai 2020 à 18:01, Richard Klein  a écrit :

> Bonjour,
>
> Netgate = Pfsense
> Opnsense =  ex-pfsense
>
> UTM sous pfsense => voir la liste des features :
> https://www.netgate.com/solutions/pfsense/features.html
>
> Richard
>
>
> Le lun. 11 mai 2020 à 17:48, Guillaume Tournat via frnog 
> a écrit :
>
>> pfsense est un très bon firewall L4 opensource
>>
>> mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif.
>>
>>
>> Le 11/05/2020 à 17:45, Xavier Lemaire a écrit :
>> > Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
>> > opensource.
>> >
>> > Le lun. 11 mai 2020 à 16:19, David Ponzone  a
>> > écrit :
>> >
>> >> Ben demande un devis d’un Forti en VM :)
>> >> Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
>> >> d’être de ce produit chez eux, à ce prix en tout cas).
>> >>
>> >>> Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
>> >>>
>> >>> Bonjour à tous,
>> >>>
>> >>> nous recherchons une méthode, solution pour isoler les
>> >>> vm's accessible depuis l'extérieurs. Etant une industrie nous avons
>> >>> plusieurs type de vm devant écouter du https, ftp, et d'autres
>> protocoles
>> >>> plus ou moins fiable avec des languages/os plus ou moins à jours.
>> >>> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout
>> passant
>> >> par
>> >>> un fortigate physique ... mais il faut avouer que remonter les vlan à
>> >>> chaque fois, fortigate..., switch, vswitch ... c'est plutôt
>> >> fatiguant.
>> >>> Du coups, on réfléchi à monter un firewall en VM, par exemple un
>> pfsense,
>> >>> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre
>> vers
>> >>> l’extérieur.
>> >>>
>> >>> avez vous des retours sur ce type d'archi ? ou est ce complètement
>> *** ?
>> >> :-)
>> >>> ä l'écoute de toutes proposition,
>> >>> jerome et merci d'avance
>> >>>
>> >>> ---
>> >>> Liste de diffusion du FRnOG
>> >>> http://www.frnog.org/
>> >>
>> >> ---
>> >> Liste de diffusion du FRnOG
>> >> http://www.frnog.org/
>> >>
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Richard Klein]

Bonjour,

Netgate = Pfsense
Opnsense =  ex-pfsense

UTM sous pfsense => voir la liste des features :
https://www.netgate.com/solutions/pfsense/features.html

Richard


Le lun. 11 mai 2020 à 17:48, Guillaume Tournat via frnog 
a écrit :

> pfsense est un très bon firewall L4 opensource
>
> mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif.
>
>
> Le 11/05/2020 à 17:45, Xavier Lemaire a écrit :
> > Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
> > opensource.
> >
> > Le lun. 11 mai 2020 à 16:19, David Ponzone  a
> > écrit :
> >
> >> Ben demande un devis d’un Forti en VM :)
> >> Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
> >> d’être de ce produit chez eux, à ce prix en tout cas).
> >>
> >>> Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> >>>
> >>> Bonjour à tous,
> >>>
> >>> nous recherchons une méthode, solution pour isoler les
> >>> vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> >>> plusieurs type de vm devant écouter du https, ftp, et d'autres
> protocoles
> >>> plus ou moins fiable avec des languages/os plus ou moins à jours.
> >>> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant
> >> par
> >>> un fortigate physique ... mais il faut avouer que remonter les vlan à
> >>> chaque fois, fortigate..., switch, vswitch ... c'est plutôt
> >> fatiguant.
> >>> Du coups, on réfléchi à monter un firewall en VM, par exemple un
> pfsense,
> >>> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> >>> l’extérieur.
> >>>
> >>> avez vous des retours sur ce type d'archi ? ou est ce complètement ***
> ?
> >> :-)
> >>> ä l'écoute de toutes proposition,
> >>> jerome et merci d'avance
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Guillaume Tournat via frnog]

pfsense est un très bon firewall L4 opensource

mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif.


Le 11/05/2020 à 17:45, Xavier Lemaire a écrit :

Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
opensource.

Le lun. 11 mai 2020 à 16:19, David Ponzone  a
écrit :


Ben demande un devis d’un Forti en VM :)
Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
d’être de ce produit chez eux, à ce prix en tout cas).


Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les
vm's accessible depuis l'extérieurs. Etant une industrie nous avons
plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
plus ou moins fiable avec des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant

par

un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt

fatiguant.

Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ?

:-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Xavier Lemaire]

Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
opensource.

Le lun. 11 mai 2020 à 16:19, David Ponzone  a
écrit :

> Ben demande un devis d’un Forti en VM :)
> Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
> d’être de ce produit chez eux, à ce prix en tout cas).
>
> > Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> >
> > Bonjour à tous,
> >
> > nous recherchons une méthode, solution pour isoler les
> > vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> > plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
> > plus ou moins fiable avec des languages/os plus ou moins à jours.
> > Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant
> par
> > un fortigate physique ... mais il faut avouer que remonter les vlan à
> > chaque fois, fortigate..., switch, vswitch ... c'est plutôt
> fatiguant.
> > Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
> > opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> > l’extérieur.
> >
> > avez vous des retours sur ce type d'archi ? ou est ce complètement *** ?
> :-)
> >
> > ä l'écoute de toutes proposition,
> > jerome et merci d'avance
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fwd: Message important concernant les élections du RIPE

[Denis Fondras]

On Mon, May 11, 2020 at 03:08:05PM +0200, Paul Rolland (ポール・ロラン) wrote:
> Bonjour,
> 
> On Mon, 11 May 2020 14:52:56 +0200
> Crazy Land  wrote:
> 
> > Et peut-être l'usage des (16x  /8  en enlevant broadcast et celles qu'on
> > retrouvent dans certains usages/expérimentations) de la classe E
> > pourraient être acceptées (difficiles d'évaluer cette possibilité car qui
> 
> C'est le meme probleme de retrocompatibilite Internet n'a pas toujours
> ete CIDR et beaucoup d'equipements ne le sont toujours pas. 
> Bref il reste encore des tonnes de 
> if (l'octet A est superieur a 240 (voire 224)) alors
>   traitement_special();
> 
> et c'est juste illusoire de penser que ca va marcher, meme mal ;)
> 

Et combien d'équipements ont du mal quand le dernier octet est 0 ou 255 ?

(d'ailleurs on à aussi des problèmes en IPv6 avec les IP dont l'identifiant
d'hôte est :: avec la GUI de certains équipements, mais là j'ai encore espoir
que ça évolue dans le bon sens :D)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Routeur 4 G

[Kevin CHAILLY | Service Technique]

Teltonika, c'est du très bon matos, et indus ( alim 9-30v, toumétal, toussa 
toussa ) 

Nous avons essayé un autre modem que pour avoir du CAT16 avec le Netgear MR1100 
qui fait 2 choses : 

- Port ethernet bridgeable pour récupérer ton IP lubrique sur ton routeur
- CAT16 avec des vitesses a en décoiffer oncle fétide.

Pour l'instant nous n'en avons qu'un en test. C'est en plastique, ça a moins de 
fonctionnalités, et surtout, ça coûte cher ( et le connecteur d'antenne 
extérieur est exotique, c'est du TS9 )

Par contre, ça grodébite.

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de David 
Ponzone
Envoyé : lundi 11 mai 2020 16:16
À : Xavier ROCA 
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Routeur 4 G

Teltonika, je pourrais écrire un roman dessus.
Ca remplit à peu près toutes les cases, sauf le portail captif.
Côté solidité, ça passe sur la gamme RUTX09.
Sur l’ancienne (RUT240/950), on a eu une casse de port antenne, donc je 
mettrais une réserve.
Le firmware des RUTX a pas encore rattrapé celui des anciens modèles.

Le plus Telco pour moi, c’est le contrôle complet par SMS. Tu peux 
littéralement tout reprogrammer par SMS.

Sinon y a Sierra Wireless qui est incontournable sur ce marché, mais plus cher 
et j’en ai qu’un en test, donc je sais pas si ça fait tout ce que tu veux.

Et récemment, on m’a proposé de tester Multitech, mais pas eu le temps.


> Le 11 mai 2020 à 15:13,   a écrit :
> 
> Bonjour,
> 
> 
> 
> Plusieurs fois évoqué ici mais comme cela bouge dans ce domaine, je 
> repose la question avec un contexte un peu particulier.
> 
> On cherche sans parler de budget car on cherche un modèle « universel » :
> 
> * Qu’ils conviennent à toutes les fréquences de tous les opérateurs
> (France pour le moment)
> * Que l’on puisse lui changer d’antenne pour les déportés si
> nécessaire
> * Deux ports RJ de préférence ou plus
> * Puisse faire aussi routeur LAN/WAN a travers un réseau local mais
> devant s’authentifier sur un proxy pour l’accès Internet
> * Watchdog et reboot auto
> * Fiable / solide
> * Solide Fanless milieu industriel
> 
> Donc pour vous ce serait quoi la bête parfaite ?
> 
> Teltonika, Huawei , Microtik …
> 
> 
> 
> Si c’était un choix perso je précise que je serais parti sur un UTM 
> avec 4G au Q ou Mini PC routeur avec clé 4G.
> 
> Mais là ce n’est pas mon besoin ;) donc vraiment un routeur 4G, sans 
> bricolage, un truc sur étagère quoi…
> 
> 
> 
> Merci
> 
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] [Bricolage] Cherche gens qui ont un ASR1001 a benner.

[Xavier Beaudouin]

Hello,

J'ai dans ma cave un ASR1001-1U de récup... Qui fait bien le boucan au niveau 
des ventilateurs, mais... Qui as une erreur bien connue "Fpga load not 
complete".

Dans ce monde il y a deux type des gens, ceux qui s'en foutent et qui balancent 
le matériels, et ceux qui ont le temps de jouer.

A mon avis, c'est peut-être la Rommon qui est fracassée... Sauf qu'on la 
retrouve en .pkg (proprio cisco) et donc je peux pas la mettre sur l'USB pour 
tenter de booter dessus et la reflasher.

Après avoir démonté la bête il me semble que la carte 16-3613-01 "serait" 
peut-être cette bootrom / rommon. Evidement cette carte ne peux pas être 
revendue dans les canal officiels sans le reste du châssis, donc je cherche 
autrement :)
Si quelqu'un veux se débarrasser d'un ASR qui a flambé : chaleur / orage / 
inondation, je serait intéressé pour récup cette carte :)

N'hésitez pas à me faire un coucou :)
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[David Ponzone]

Ben demande un devis d’un Forti en VM :)
Je pense que tu vas pousser un cri (j’ai pas encore compris la raison d’être de 
ce produit chez eux, à ce prix en tout cas).

> Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> 
> Bonjour à tous,
> 
> nous recherchons une méthode, solution pour isoler les
> vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
> plus ou moins fiable avec des languages/os plus ou moins à jours.
> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
> un fortigate physique ... mais il faut avouer que remonter les vlan à
> chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
> Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> l’extérieur.
> 
> avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)
> 
> ä l'écoute de toutes proposition,
> jerome et merci d'avance
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur 4 G

[David Ponzone]

Teltonika, je pourrais écrire un roman dessus.
Ca remplit à peu près toutes les cases, sauf le portail captif.
Côté solidité, ça passe sur la gamme RUTX09.
Sur l’ancienne (RUT240/950), on a eu une casse de port antenne, donc je 
mettrais une réserve.
Le firmware des RUTX a pas encore rattrapé celui des anciens modèles.

Le plus Telco pour moi, c’est le contrôle complet par SMS. Tu peux 
littéralement tout reprogrammer par SMS.

Sinon y a Sierra Wireless qui est incontournable sur ce marché, mais plus cher 
et j’en ai qu’un en test, donc je sais pas si ça fait tout ce que tu veux.

Et récemment, on m’a proposé de tester Multitech, mais pas eu le temps.


> Le 11 mai 2020 à 15:13,   a écrit :
> 
> Bonjour,
> 
> 
> 
> Plusieurs fois évoqué ici mais comme cela bouge dans ce domaine, je repose
> la question avec un contexte un peu particulier.
> 
> On cherche sans parler de budget car on cherche un modèle « universel » :
> 
> * Qu’ils conviennent à toutes les fréquences de tous les opérateurs
> (France pour le moment)
> * Que l’on puisse lui changer d’antenne pour les déportés si
> nécessaire
> * Deux ports RJ de préférence ou plus
> * Puisse faire aussi routeur LAN/WAN a travers un réseau local mais
> devant s’authentifier sur un proxy pour l’accès Internet
> * Watchdog et reboot auto
> * Fiable / solide
> * Solide Fanless milieu industriel
> 
> Donc pour vous ce serait quoi la bête parfaite ?
> 
> Teltonika, Huawei , Microtik …
> 
> 
> 
> Si c’était un choix perso je précise que je serais parti sur un UTM avec 4G
> au Q ou Mini PC routeur avec clé 4G.
> 
> Mais là ce n’est pas mon besoin ;) donc vraiment un routeur 4G, sans
> bricolage, un truc sur étagère quoi…
> 
> 
> 
> Merci
> 
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fwd: Message important concernant les élections du RIPE

[Erwan David]

Le 11/05/2020 à 15:08, Paul Rolland (ポール・ロラン) a écrit :
> Bonjour,
> 
> On Mon, 11 May 2020 14:52:56 +0200
> Crazy Land  wrote:
> 
>> Et peut-être l'usage des (16x  /8  en enlevant broadcast et celles qu'on
>> retrouvent dans certains usages/expérimentations) de la classe E
>> pourraient être acceptées (difficiles d'évaluer cette possibilité car qui
> 
> C'est le meme probleme de retrocompatibilite Internet n'a pas toujours
> ete CIDR et beaucoup d'equipements ne le sont toujours pas. 
> Bref il reste encore des tonnes de 
> if (l'octet A est superieur a 240 (voire 224)) alors
>   traitement_special();
> 
> et c'est juste illusoire de penser que ca va marcher, meme mal ;)
> 
> Paul

IL s'est passé plus longtemps depuis l'abandon des classes que la durée
de vie de la notion de classes...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Jérôme BERTHIER via frnog]

Bonjour,

Le 11/05/2020 à 15:20, Jerome Lien a écrit :

Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.



Oui mais ça traite les bonnes fonctions sur un équipement qui le fait bien.



Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.


Si ça reste de la segmentation par vlan / préfixe, je ne comprend pas en 
quoi s'appuyer sur un firewall en VM va améliorer la situation.


ça a l'air même pire puisque ça crée du steering entre hyperviseurs. Il 
faut gérer le HA donc deux VMs... Bref, ça déplace le problème.


A la rigueur dans l'univers VMWare, NSX aurait un intérêt dans ce cas en 
faisant de la microsegmentation.


Un seul vlan / préfixe + NSX qui gère la segmentation par VM au niveau 
de l'hyperviseur, ça ressemble à ce qui est recherché.


Par contre, en dehors , de cas récurrents (pour faire de la masse), 
c'est plutôt très chiant à gérer pour des flux très hétérogènes (du 
moins de que j'en ai vu lors d'un POC qui date de 3 ans maintenant...).


Bonne fin de journée

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur 4 G

[Emmanuel DECAEN]

Bonjour,

Le 11/05/2020 à 15:13, x.r...@sipleo.com a écrit :
> Plusieurs fois évoqué ici mais comme cela bouge dans ce domaine, je repose
> la question avec un contexte un peu particulier.
>
> On cherche sans parler de budget car on cherche un modèle « universel » :
>
> * Qu’ils conviennent à toutes les fréquences de tous les opérateurs
> (France pour le moment)
> * Que l’on puisse lui changer d’antenne pour les déportés si
> nécessaire
> * Deux ports RJ de préférence ou plus
> * Puisse faire aussi routeur LAN/WAN a travers un réseau local mais
> devant s’authentifier sur un proxy pour l’accès Internet
> * Watchdog et reboot auto
> * Fiable / solide
> * Solide Fanless milieu industriel
>
> Donc pour vous ce serait quoi la bête parfaite ?
>
> Teltonika, Huawei , Microtik …

Si le prix n'est pas un problème, tu peux voir avec Etic Telecom, nous
travaillons avec eux depuis bientôt 10 ans.
https://www.etictelecom.com/fr/nos-gammes/routeur-industriel-gamme-ipl/

Ils sont français et disponibles pour discuter produit.

Si besoin, je peux te donner un contact.

Merci.
-- 
*Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Guillaume Tournat via frnog]

Bonjour,

La ségrégation du trafic, en particulier celui venant d'internet, est 
importante pour des questions de sécurité.


L'idéal étant d'avoir une rupture protocolaire en dmz, via un équipement 
intermédiaire.


Pour les flux http/https, un reverse proxy WAF sert à cela, en 
complément du firewall FortiGate.


Chez Fortinet, le produit FortiWeb (dispo en VM) sert à analyser et 
bloquer les attaques applicatives pour les flux http/https et ftp/ftps.


N'hésitez pas à me contacter en privé, je connais bien ces solutions.


gu!llaume


Le 11/05/2020 à 15:20, Jerome Lien a écrit :

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les
vm's accessible depuis l'extérieurs. Etant une industrie nous avons
plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
plus ou moins fiable avec des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] vmware, firewall dmz

[Jerome Lien]

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les
vm's accessible depuis l'extérieurs. Etant une industrie nous avons
plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
plus ou moins fiable avec des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Routeur 4 G

[x.roca]

Bonjour,

 

Plusieurs fois évoqué ici mais comme cela bouge dans ce domaine, je repose
la question avec un contexte un peu particulier.

On cherche sans parler de budget car on cherche un modèle « universel » :

*   Qu’ils conviennent à toutes les fréquences de tous les opérateurs
(France pour le moment)
*   Que l’on puisse lui changer d’antenne pour les déportés si
nécessaire
*   Deux ports RJ de préférence ou plus
*   Puisse faire aussi routeur LAN/WAN a travers un réseau local mais
devant s’authentifier sur un proxy pour l’accès Internet
*   Watchdog et reboot auto
*   Fiable / solide
*   Solide Fanless milieu industriel

Donc pour vous ce serait quoi la bête parfaite ?

Teltonika, Huawei , Microtik …

 

Si c’était un choix perso je précise que je serais parti sur un UTM avec 4G
au Q ou Mini PC routeur avec clé 4G.

Mais là ce n’est pas mon besoin ;) donc vraiment un routeur 4G, sans
bricolage, un truc sur étagère quoi…

 

Merci


Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fwd: Message important concernant les élections du RIPE

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Mon, 11 May 2020 14:52:56 +0200
Crazy Land  wrote:

> Et peut-être l'usage des (16x  /8  en enlevant broadcast et celles qu'on
> retrouvent dans certains usages/expérimentations) de la classe E
> pourraient être acceptées (difficiles d'évaluer cette possibilité car qui

C'est le meme probleme de retrocompatibilite Internet n'a pas toujours
ete CIDR et beaucoup d'equipements ne le sont toujours pas. 
Bref il reste encore des tonnes de 
if (l'octet A est superieur a 240 (voire 224)) alors
  traitement_special();

et c'est juste illusoire de penser que ca va marcher, meme mal ;)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Fwd: Message important concernant les élections du RIPE

[Crazy Land]

Bonjour à tous,

Il est illusoire de croire que la couche Ipv4 sera réécrite ou ajustée
compte tenu du parc installé et du cycle de vie (de mort) des couches
logicielles et matérielles.
Même en cas de découverte d'une faille de sécurité il faudra se contenter
dans le cas où le soft n'est plus maintenu de migrer sa plateforme ou alors
de maintenir l'existant en l'isolant pour mitiger le risque

La seule possibilité pour continuer à pouvoir répondre à la demande en IpV4
reste de rationaliser l'usage des IPs qui est actuellement inférieur à 40%
à ce qu'il pourrait être tant le gâchis est énorme (on peut rêver de la
libération d'une partie des LEGACY/DARPA qui représentent plus d'une
dizaine de /8).

Et peut-être l'usage des (16x  /8  en enlevant broadcast et celles qu'on
retrouvent dans certains usages/expérimentations) de la classe E pourraient
être acceptées (difficiles d'évaluer cette possibilité car qui voudrait
prendre le risque d'avoir une IP avec une partie de l'Internet
potentiellement non joignable).






Le 11/05/2020 10:51, « frnog-requ...@frnog.org au nom de Xavier Beaudouin
»  a écrit :



Hello Michel et la liste..



> Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute
façon. Il

> y a 20 ans, quand je croyais encore à IPv6, il y avait un vague
consensus que

> faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en
sommes

> aujourd'hui, écrit par Monsieur IPv6 lui-même :

>
https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet

> Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types
de NAT

> différents, dont aucun ne marche ?



Parce que reproduire le NAT c'est essayer de se rassurer des techniques
largement

déployées partout et que les nouveau "ops" n'ont vu que ça.

Certains font partie des dinos, qui avaient en réseau interne et sans
firewall dans

les années 90 leur réseau interne et a poil sur le net.

Ca fait science fiction ? bah oui les firewall n'existaient a peine,
ssh était a

ses début et les seules protections étaient ... les ACL sur un cisco
2500 (quand

on les mettais).



[...]



>> Pierre Emeriaud a écrit :

>> Mon point concernait la sécurité. IPv6 la boite de pandore, oulala
y'a plus de

>> nat, on va tous se faire pirater.

>

> Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P

>

> Ceci étant dit, et même si çà fait des lustres que çà ne fait plus
grand-chose,

> NAT continue à emmerder la vie de tout le monde, bien ou mal.
Impossible de

> faire sans, et en fait le pare-feu "diode" que NAT procure à toutes
ces

> merdasses IoT qui ont du code écrit avec les pieds, c'est pas si
pire. La

> caméra ou le thermomètre achetés pour 20€ sur banggood ou wish
connecté IPv6

> directement accessible de l'extérieur, çà me fait carrément peur.



Ah ce putain de firewall diode... Heureusement qu'on ne charge pas le
accu lithium

qu'avec une diode, sinon on en aurais des VE qui exploseraient a 250KVA
de charge...



(Juste pour donner une idée de la betise du NAT).



> Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que
la même

> merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé.



Idem, mon IOT est dans un vlan ipv4 only, avec pas de sortie autorisée
sauf quelques

devices prévu avec des bonne ACL (par exemple j'ai un peu relouté
netatmo pour avoir

la liste des ips de leur cloud).



Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

[JCLB]

Bonjour,

Page 57 Jordi parle des mécanismes de transition, ça n'est pas vraiment pour 
remplacer le NAT.

Dans un premier temps pour déployer du v6, on utilisait généralement des 
tunnels Maintenant ça se répand pour économiser des v4 en les partageant, y 
compris sur des abonnées fixes, via d'autres mécanismes plus performants.

Free a inversé son 6rd en 4rd pour partager les IPv4 entre 4 abonnés Le MAP T 
ou E est étudié par Bouygues pour son réseau fixe grand public SFR semble faire 
du NAT444 avec la box (1re fois le NAT de RFC1918 comme partout, seconde fois 
avec le préfixe 100.64/10 RFC6598 et un Carrier Grade NAT centralisé)

Un opérateur mobile faisait déjà du NAT44 en central, il fait maintenant du 
NAT64 avec les mêmes équipements et NAT finalement moins de sessions qu'avant 
vu que certaines s'établissent dès lors en IPv6 (coucou Orange et Bouygues)

Android fait du XLAT464 dans l'OS, l'iPhone le propose en tethering ainsi que 
dans la gestion des URL dans webkit afin d'éviter de casser des URL IPv4 en 
dur, de mêmes webkit sait valider un certificat TLS avec une IPv4 au travers de 
NAT64 (inutile en temps normal puisqu’on utilise le nom de domaine) Reste le 
problème de DNSEC, et le futur proche problème de DoH (un Firefox Android qui 
ferait du DoH casserait le DNS64 nécessaire au NAT64)
https://lafibre.info/ipv6/ipv6-iphonex/msg689355/#msg689355

Tout cela est de la salade interne d'ISP pour économiser les IPv4 d'une part, 
et éviter le surcout du dual stack de bout en bout.
Mais in fine on arrive à des cas où v6 est natif et v4 non, preuve de la 
considérable avancée du sujet.


Pour en revenir au sujet du NAT, un client lamba particulier a besoin qu'un 
logiciel puisse s'ouvrir un port si besoin sans intervention manuelle (skype, 
torrent, jeu en ligne,...) On le fait avec de l'UPnP et sa partie NAT-PMP, PCP 
le remplace et supporte l'ouverture de port IPv6. Cette dernière n'est plus un 
port forward, mais une véritable ACL dynamique

Bien évidemment on doit avoir des routeurs domestiques qui bloquent par défaut 
le trafic entrant en dehors des besoins UPnP et de certains messages ICMP.
Là-dessus, mention spéciale à Free, qui a mis 10 années à implémenter un FW 
dans la feebox ! Et ne permet toujours pas d'ouvrir un port en IPv6  -_- La 
livebox le permet, mais l'implémentation actuelle est boguée. 
https://lafibre.info/orange-internet/firewall-ipv6-livebox/

La seule translation utile en IPv6, c'est NPTv6, pour changer le préfixe à la 
volée Typiquement changer le /56 attribué par son opérateur sur un petit site, 
car on ne veut pas tout reparamétrer si on change d'opérateur, où parce qu'on 
utilise l'adressage privé IPv6 en interne et non du global.
Ou encore, pour une grande entreprise, avec son propre préfixe, permettre à la 
solution SD-WAN ou autre d'utiliser le préfixe de l'opérateur pour faire du 
Local BreakOut vers internet histoire d'aller plus vite vers son CRM ou sa 
suite bureautique préférée en SaaS.


Un problème majeur d'IPv6 pour les particuliers et les PME, est qu'il n'est pas 
facile de reproduire la configuration manuelle IPv4 dans le LAN pour un 
serveur, une imprimante...
"récupère le préfixe opérateur dynamiquement, mais ensuite assigne le reste de 
ton IPv6 avec ces bits que j'ai choisis sur la portion 65 à 128e bit"

Au mieux on peut faire du DHCP, mais Android ne le gère pas, on peut aussi 
utiliser l'adresse EUI-64 à partir de la mac en désactivant les privacy 
extension, mais si on change de carte bah...
On peut enfin utiliser du privé pour le lan et laisser de l'assignation 
automatique pour sortir vers internet, mais ça représente plus de travail et 
peut être source de comportement indésirable notamment avec DNS...

L'idéal serait donc un jour que chaque entreprise puisse annoncer son propre 
/48 de site directement vers l'opérateur et internet, et donc de faire du 
peering.
Utopiste, mais qui sait...

JC Bisecco


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Michel Py 
Envoyé : lundi 11 mai 2020 03:53 À : 'Pierre Emeriaud'  Cc 
: frnog@frnog.org Objet : RE: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: 
Message important concernant les élections du RIPE

Je fais d'une Pierre deux coups :P ou de deux Pierres un coup :P

> Pierre Lagoutte a écrit :
> Hallucinant... On en est à discuter du réalisme d'une proposition  
> "d'extension" et "rétrocompatible"
> pourquoi a-t-on oublié le sens des mots ??? une "extension" n'est 
> JAMAIS rétrocompatible, sauf si elle a été prévue comme telle à la 
> conception, auquel cas, ce n'est pas une "extension", c'est un "phasage".

Exactement, mais c'est trop tard pour en parler. Mea culpa, il y a 20 ans 
j'avais pas vu çà.

> Nous sommes en train de discuter d'un franc délire:
> - OUI, IPv6 est une catastrophe
> - OUI nous avons besoin d'une évolution de l'ARCHITECTURE de 
> l'internet réellement COMPATIBLE
> IPv4 (au moins au niveau des installations terminales; même s'il faut 
> sacrifier des 

Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

[Xavier Beaudouin]

Hello Michel et la liste..

> Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute façon. 
> Il
> y a 20 ans, quand je croyais encore à IPv6, il y avait un vague consensus que
> faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en sommes
> aujourd'hui, écrit par Monsieur IPv6 lui-même :
> https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet
> Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types de NAT
> différents, dont aucun ne marche ?

Parce que reproduire le NAT c'est essayer de se rassurer des techniques 
largement
déployées partout et que les nouveau "ops" n'ont vu que ça.
Certains font partie des dinos, qui avaient en réseau interne et sans firewall 
dans
les années 90 leur réseau interne et a poil sur le net.
Ca fait science fiction ? bah oui les firewall n'existaient a peine, ssh était 
a 
ses début et les seules protections étaient ... les ACL sur un cisco 2500 (quand
on les mettais).

[...]

>> Pierre Emeriaud a écrit :
>> Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a plus 
>> de
>> nat, on va tous se faire pirater.
> 
> Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P
> 
> Ceci étant dit, et même si çà fait des lustres que çà ne fait plus 
> grand-chose,
> NAT continue à emmerder la vie de tout le monde, bien ou mal. Impossible de
> faire sans, et en fait le pare-feu "diode" que NAT procure à toutes ces
> merdasses IoT qui ont du code écrit avec les pieds, c'est pas si pire. La
> caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté IPv6
> directement accessible de l'extérieur, çà me fait carrément peur.

Ah ce putain de firewall diode... Heureusement qu'on ne charge pas le accu 
lithium
qu'avec une diode, sinon on en aurais des VE qui exploseraient a 250KVA de 
charge...

(Juste pour donner une idée de la betise du NAT).

> Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que la même
> merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé.

Idem, mon IOT est dans un vlan ipv4 only, avec pas de sortie autorisée sauf 
quelques
devices prévu avec des bonne ACL (par exemple j'ai un peu relouté netatmo pour 
avoir
la liste des ips de leur cloud).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

[Remi Desgrange]

euh... Y'a que moi que ça fait tiquer vos truc de "j'ai une ip publique==je 
peux initier une connexion depuis le net sur votre device" Dans toute les box 
et autre routeurs que j'ai eu entre les mains y'a une petite case "IPv6 WAN to 
LAN". Et ça fait un bout de temps que j'ai pas vu de device qui gère pas la 
RFC4941 (mais ça dois forcement exister :-) ).

Cordialement/Best Regards, Rémi Desgrange

On May 11 2020, at 8:26 am, Stéphane Rivière  wrote:
> > https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet
> >  Pour un newbie like me, synthèse intéressante. > Ah j'avais loupé çà. NAT 
> > == Sécurité, tout le monde le sait :P +1000 > Ceci étant dit, et même si çà 
> > fait des lustres que çà ne fait plus grand-chose, NAT continue à emmerder 
> > la vie de tout le monde, bien ou mal. Impossible de faire sans, et en fait 
> > le pare-feu "diode" que NAT procure à toutes ces merdasses IoT qui ont du 
> > code écrit avec les pieds, c'est pas si pire. Parce ce que mettre le souk 
> > dans ton intranet, voire mater et ressortir tranquille car ton NAT "diode" 
> > n'est pas un "diac" (deux diodes têtes-bêches) et laisse tout partir, c'est 
> > cool ;) ? >La caméra ou le thermomètre achetés pour 20€ sur banggood ou 
> > wish connecté IPv6 directement accessible de l'extérieur, çà me fait 
> > carrément peur. Bien au chaud dans le NAT, c'est... mieux ? Imho, le NAT, 
> > c'est juste un truc qui devrait pas exister. On vit très bien sans NAT. 
> > Non, correction, on vit mieux, beaucoup mieux sans cette aberration. Il 
> > suffit d'avoir fait je job, avec un FW sur chaque entité. On fait bien ça 
> > depuis toujours pour nos VM exposées... Le généraliser est juste mettre 
> > l'ensemble au niveau. Là où je te rejoins : - C'est pas demain la veille 
> > que les NAT et ipv4 vont disparaître, au moins dans les intranet, afin 
> > d'amortir le matériel ; - Oui, la communication de bout en bout. 
> > Nécessairement, et de ce point de vue uniquement, l'intérêt d'ipV6 sera un 
> > peu tempéré. -- Be Seeing You Number Six --- Liste 
> > de diffusion du FRnOG http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

[Stéphane Rivière]

> https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet
Pour un newbie like me, synthèse intéressante.

> Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P
+1000

> Ceci étant dit, et même si çà fait des lustres que çà ne fait plus 
> grand-chose, NAT continue à emmerder la vie de tout le monde, bien ou mal. 
> Impossible de faire sans, et en fait le pare-feu "diode" que NAT procure à 
> toutes ces merdasses IoT qui ont du code écrit avec les pieds, c'est pas si 
> pire.

Parce ce que mettre le souk dans ton intranet, voire mater et ressortir
tranquille car ton NAT "diode" n'est pas un "diac" (deux diodes
têtes-bêches) et laisse tout partir, c'est cool ;) ?

>La caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté 
>IPv6 directement accessible de l'extérieur, çà me fait carrément peur.

Bien au chaud dans le NAT, c'est... mieux ?

Imho, le NAT, c'est juste un truc qui devrait pas exister. On vit très
bien sans NAT. Non, correction, on vit mieux, beaucoup mieux sans cette
aberration. Il suffit d'avoir fait je job, avec un FW sur chaque entité.
On fait bien ça depuis toujours pour nos VM exposées... Le généraliser
est juste mettre l'ensemble au niveau.

Là où je te rejoins :
- C'est pas demain la veille que les NAT et ipv4 vont disparaître, au
moins dans les intranet, afin d'amortir le matériel ;

- Oui, la communication de bout en bout. Nécessairement, et de ce point
de vue uniquement, l'intérêt d'ipV6 sera un peu tempéré.

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/