RE: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?

[Duchet Rémy]

Reçu aussi. 
Origine, cette université 
https://fr.wikipedia.org/wiki/Universit%C3%A9_Brigham_Young 
Perso => [.]

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of David 
Ponzone
Sent: Tuesday, 13 October 2020 10:35
To: Frnog misc 
Subject: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?

J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans 
l’Utah), qui me semble surprenant.
D’autres ont reçu un mail de leur part affirmant avoir détecté une faille 
n’existant à priori pas ?
Je vais les contacter pour avoir la méthode et la trace.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] uRPF : les méchants de l'Internet auraient-ils disparu ?

[Duchet Rémy]

Salut Michel,

Rassure toi. Ici rien n'a changé   

Sur 1 lien, 1 routeur :
Last clearing of "show interface" counters 00:16:08
13253 verification drops

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: Friday, 9 October 2020 04:35
To: frnog@frnog.org
Subject: [FRnOG] [TECH] uRPF : les méchants de l'Internet auraient-ils disparu ?

Bonjour la liste,

Pas vraiment un troll mais j'ai quand même attendu dreudi, Comme plusieurs 
autres ici, j'ai uRPF contre plusieurs blacklists : Spamhaus/BCL, Cymru, et le 
CBBC.


C'est UNE IP résidentielle que je regarde, donc pas significatif.
En plus, j'avais pas mis le nez dedans depuis pas mal de temps.


Ceci étant dit, j'avais l'habitude de bien pire; la dernière fois que j'ai 
regardé, c'était des dizaines de paquets par minute à la maison et parfois 
plusieurs milliers de paquets par seconde sur un /24 au boulot qui ne passaient 
pas uRPF.

J'ai fait un "clear counters" il y a une demi-heure, et je regarde :

> Last clearing of "show interface" counters 00:33:15  IP verify source 
> reachable-via RX, allow default
>   9 verification drops

"que" 9 p... de paquets bloqués en 33 minutes, ç'est mon FAI résidentiel qui 
finalement a adopté un filtrage décent, ou c'est les méchants de l'Internet qui 
sont allés voir ailleurs ? Ou c'est juste calme à cette heure (1930 PDT) ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [TECH] [FRnOG] Sécurité - Scan d'ip pu blique

[Duchet Rémy]

> La solution de Michel a comme avantage de se jouer au niveau du routeur, et 
> pas d'une installation sur une machine linux, même si les deux peuvent être 
> complémentaires.

Michel s'est occupé d'agréger plusieurs flux (de différentes forme, BGP  mais 
pas seulement) et les redistribue en BGP. 
Tout est automatisé, et le nombre d'IP change rapidement. Cela évite de se 
retrouver avec des IP bloqués pendant des minutes/heures/jours/semaines 
inutilement.
Il est possible de recevoir la liste des IP, sans être participant 
(c’est-à-dire d'envoyer des infos de son infra) mais il est aussi possible de 
le devenir simplement.

Rémy
(Datasource pour Michel  )


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Arista - VxLAN - REX

[Duchet Rémy]

 

> mais du moment que tes VTEP sont homogènes, le reste...

 

C’est ce que je pensais, mais avant de regarder l’aspect commercial, je voulais 
valider l’aspect technique..

 

 

Rémy

 



smime.p7s
Description: S/MIME cryptographic signature

[FRnOG] [MISC] Arista - VxLAN - REX

[Duchet Rémy]

Bonjour la liste,

 

Je recherche des retours d’expérience sur les LEAF ARISTA pour du VXLAN.

Et plus généralement, si quelqu’un a déjà tenté de « mixer » les marques en
VXLAN (SPINE / LEAF).

 

Merci pour vos retours,

 

Rémy 

 



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] split BX vers LX/LH

[Duchet Rémy]

> J'avoue que le coup des optiques LX qui lisent le 1490 en provenance d'une BX 
> alors qu'elles attendent du 1310, j'ai pas encore fait. Je me demande 
> toujours si t'es pas en train de pratiquer la pêche au troll, d'ailleurs. Moi 
> Saint-Thomas :P

Testé recement, (par erreur) 1535 (DWDM) =>  1310 . Le lien monte sans soucis. 
Après, j'ai pas fait de test de perf..

Rémy


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Charte informatique et sobriété énergétique

[Duchet Rémy]

> C'est certainement plus risqué de vivre autour d'une centrale à charbon telle 
> que décrite ici (un bémol tout de même il existe différent types de centrales 
> à charbon et tous n'ont pas le même impact sur l'environnement), qu'autour 
> d'une centrale nucléaire. 

> Par contre les dangers ne sont pas du même ordre, la centrale nucléaire est 
> plus dangereuse. Prenons un exemple avec pripiyat qui a fait l'expérience 
> d'être confronté à la matérialisation du danger d'une centrale dont le risque 
> est très faible.

Définition du Danger pour Larousse: "Ce qui constitue une menace, un risque 
pour quelqu'un, quelque chose."

En quoi un "danger" est different d'un risque ?  Puisque le danger fait 
référence au risque.

Par exemple, on doit parler de danger ou de risque pour les GES ? 
Visiblement, c'est un peu l'urgence absolue.. Peut-on encore dire que les 
centrales à charbon, sont moins risqués que les centrales nucléaires ?
Sur ces 40 dernières années, combien de décés liés au Nucléaire, et combien lié 
aux autres énergies ? (*)

* 
https://www.contrepoints.org/2017/08/04/296088-nucleaire-source-denergie-plus-sure
 

Rémy.


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Charte informatique et sobriété énergétique

[Duchet Rémy]

> Produire toute l'électricité mondiale de 2011 avec du nucléaire, implique de 
> construire une nouvelle centraler chaque jour et décommisionner une centrale 
> en fin de vie chaque jour, tous les jours. Aujourd'hui la construction d'une 
> centrale prends 6 à 12 ans, > décommissionner une centrale prends 20 ans.
C'est une affirmation basé sur un mensonge.  Une centrale nucléaire, n'a pas de 
durée de vie fixe. 
https://www.irsn.fr/FR/connaissances/faq/Pages/duree_de_vie_d_une_centrale.aspx 
D'autre part, cela revient à occulter les differences notable entre toutes les 
centrales, et leurs évolutions, et l'avenir que cette filière permet.  
(recyclage des dechets).



> L'affirmation que des milliards de gens sont sortis de la pauvreté est fausse 
> et même si elle était vraie le lien de causalité avec le modèle de société 
> est loin d'être établi.
Avant de parler de pauvreté, et d'extrème pauvreté, il faut déjà en définir les 
valeurs. Hors, les baser sur un "montant" (fut-il en dollar ) est faux. 
Cela revient à dire que l'accès à l'eau potable (par exemple) à le même coût, 
quelque soit l'endroit sur la planète.


> Je vais résumer très rapidement, si on cesse de consommer plus que la planète 
> peut fournir, ce sont les endroits tels que l'Inde, l'Afrique et l'Amérique 
> du Sud parce que ça ne changera pas fondamentalement leur niveau de vie. Ce 
> sont les pays dits développés et les sociétés de consommation telle qu'en 
> France qui vont avoir plus de difficultés à s'adapter.
La je crois qu'il n'y a aucun concensus.  
L'inde, l'Afrique, et l'Amérique du Sud sont en "voie" de développement pour 
répondre à leur demande (leur croissance interne) et la demande des autres 
pays. 
Penser qu'une difficulté d'un coté de la planète n'affectera pas l'autre coté, 
c'est un mythe (déjà démonté par le COVID). 
 

> Autrement dit c'est l'industrialisation de l'agriculture qui la cause du 
> problème et la solution est connue et existe mais n'est pas industrialisable.
Chouette, tout le monde doit retourner aux champs. 
Moi qui croyais naivement que l'industrialisation de l'agriculture avait permis 
à de nombreuses personnes sur terre de faire autre chose, tout en nourrissant 
de plus en plus de monde, avec de moins en moins de surfaces..

Rémy




smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Charte informatique et sobriété énergétique

[Duchet Rémy]

> Bref, une technologie rétrograde de l'ancien ancien monde.
J'attends avec impatience la technologie du "nouveau" monde.

#PopCorn.

Rémy


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Charte informatique et sobriété énergétique

[Duchet Rémy]

> 1) Éviter de dupliquer la PJ en plein d'exemplaires :
> - sur tous les terminaux de tous les destinataires
> - sur les serveurs (mail, backup, etc)

La deduplication existe depuis des années. 
Envoyer une PJ par lien, ça revient à la faire télécharger à chaque lecture. 
(les utilisateurs ne vont jamais la chercher dans les "téléchargements").


Bannir les scanner. 
Ça évitera de retrouver des formulaires administratifs de mauvaise qualité, 
imprimé, puis remplit, puis scanné, et enfin expédié.


Rémy


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Choix de routeur en 2020

[Duchet Rémy]

> 96 Go de Ram; quel gaspillage. Avec 24Go tu serais le roi du pétrole. Ou 
> alors j'ai pas tout compris avec Bird.
Tu peux même descendre encore. On utilise la moitié des 24.. 
Et c'est parce qu'on fait des trucs gourmand.

> Question encore plus c.. : pour pousser le paquet du as toujours du Cisco; si 
> c'est possible, est-ce que tu pourrais dire à la liste quoi ?
Rien de bien exotique, de l'ASR en bordure. 

Rémy



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Choix de routeur en 2020

[Duchet Rémy]

J'ai des questions pour toi :
>C'était pas possible de payer quelqu'un pour résoudre le bug ? Je ne connais 
>pas bien la communauté FRR mais sur FreePBX j'ai déjà fait çà au lieu 
>d'attendre que quelqu'un s'y intéresse éventuellement.

C'était avant la mise en production. Du coup, suffit de trouver le produit qui 
va bien et de tester.

>Combien de bande passante tu passes avec Bird, et sur quel matos ?

0 , ce sont des routes servers.
Bi proc 12 coeurs et 96Go de Ram. Ubuntu en os.
C'est très stable et sur dimensionné.   15 bgp Peers par serveur (10 full view) 
Plus d'autres proto.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Choix de routeur en 2020

[Duchet Rémy]

On n’a pas testé sur Quagga.

On a bascule sur Bird, et tout fonctionne sans soucis.



Rémy



From: Sébastien 65 
Sent: Thursday, 2 July 2020 08:39
To: Duchet Rémy ; Emmanuel DECAEN ; 
frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Choix de routeur en 2020



Ha m***e !!!



C'est chaud quand même que le support FRR ne bouge pas la correction...



J'allais planifier le changement vers du FRR... Est-ce que le bug est également 
présent sur Quagga ?

  _

De : Duchet Rémy mailto:r...@duchet.eu>>
Envoyé : jeudi 2 juillet 2020 08:35
À : Sébastien 65 mailto:sebastien...@live.fr>>; Emmanuel 
DECAEN mailto:emmanuel.dec...@xsalto.com>>; 
frnog@frnog.org<mailto:frnog@frnog.org> 
mailto:frnog@frnog.org>>
Objet : RE: [FRnOG] [TECH] Choix de routeur en 2020



La session BGP ne montait pas correctement, et était reset dès qu’une route 
était envoyé par un Peer.

Et pas de problème en IPv4, uniquement en IPv6..

J’ai demandé ici, et chez FFR (forum) aucune solution.

Du coup, on est passé sur du Bird. (et 0 problèmes avec la même config 
hardware).



Rémy



From: Sébastien 65 mailto:sebastien...@live.fr>>
Sent: Thursday, 2 July 2020 08:25
To: Duchet Rémy mailto:r...@duchet.eu>>; Emmanuel DECAEN 
mailto:emmanuel.dec...@xsalto.com>>; 
frnog@frnog.org<mailto:frnog@frnog.org>
Subject: RE: [FRnOG] [TECH] Choix de routeur en 2020



Rémy,



Quel est exactement le problème avec OSPF en IPv6 avec FRR ?

  _

De : frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> 
mailto:frnog-requ...@frnog.org>> de la part de Duchet 
Rémy mailto:r...@duchet.eu>>
Envoyé : jeudi 2 juillet 2020 08:09
À : Emmanuel DECAEN 
mailto:emmanuel.dec...@xsalto.com>>; 
frnog@frnog.org<mailto:frnog@frnog.org> 
mailto:frnog@frnog.org>>
Objet : RE: [FRnOG] [TECH] Choix de routeur en 2020




> Avec FRR, la partie BGP me convient très bien, malheureusement la partie OSPF 
> avec IPv6 pose vraiment problème.

Perso, FRR ne fonctionnait pas en BGP sur un Bond Linux en 2x10Gbps.

Rémy

---
Liste de diffusion du FRnOG
https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7C%7C16315b0720844e21857808d81e4e9374%7C84df9e7fe9f640afb435%7C1%7C0%7C637292670111418232sdata=RfmLk37iU%2BrcEXcKh3RVBZVL9o7El7J3RomcPcW%2FHrU%3Dreserved=0<https://eur04.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=02%7C01%7C%7C9c776d2e925d4680c75508d81e521928%7C84df9e7fe9f640afb435%7C1%7C0%7C637292685235119624=eXIHk59Tj75G9cugf%2Fnw1pqQBuxhmTKrgEO8S2YAYF4%3D=0>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Choix de routeur en 2020

[Duchet Rémy]

La session BGP ne montait pas correctement, et était reset dès qu’une route 
était envoyé par un Peer.

Et pas de problème en IPv4, uniquement en IPv6..

J’ai demandé ici, et chez FFR (forum) aucune solution.

Du coup, on est passé sur du Bird. (et 0 problèmes avec la même config 
hardware).



Rémy



From: Sébastien 65 
Sent: Thursday, 2 July 2020 08:25
To: Duchet Rémy ; Emmanuel DECAEN ; 
frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Choix de routeur en 2020



Rémy,



Quel est exactement le problème avec OSPF en IPv6 avec FRR ?

  _

De : frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> 
mailto:frnog-requ...@frnog.org>> de la part de Duchet 
Rémy mailto:r...@duchet.eu>>
Envoyé : jeudi 2 juillet 2020 08:09
À : Emmanuel DECAEN 
mailto:emmanuel.dec...@xsalto.com>>; 
frnog@frnog.org<mailto:frnog@frnog.org> 
mailto:frnog@frnog.org>>
Objet : RE: [FRnOG] [TECH] Choix de routeur en 2020




> Avec FRR, la partie BGP me convient très bien, malheureusement la partie OSPF 
> avec IPv6 pose vraiment problème.

Perso, FRR ne fonctionnait pas en BGP sur un Bond Linux en 2x10Gbps.

Rémy

---
Liste de diffusion du FRnOG
https://eur06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7C%7C16315b0720844e21857808d81e4e9374%7C84df9e7fe9f640afb435%7C1%7C0%7C637292670111418232sdata=RfmLk37iU%2BrcEXcKh3RVBZVL9o7El7J3RomcPcW%2FHrU%3Dreserved=0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Choix de routeur en 2020

[Duchet Rémy]

> Avec FRR, la partie BGP me convient très bien, malheureusement la partie OSPF 
> avec IPv6 pose vraiment problème.

Perso, FRR ne fonctionnait pas en BGP sur un Bond Linux en 2x10Gbps.

Rémy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Orange, SMTP et DNS....

[Duchet Rémy]

Curieux d'envoyer depuis un SMTP d'Orange, le SPF doit pas trop apprécier.
Après, des mailboxs + nom de domaine, Imap / Pop3 + SMTPS (587 / 463) ça se 
trouve pour pas très cher (y'a même des fournisseurs qui ne lisent pas les 
emails) . 
Ce qui coute, c'est le stockage.

(sans faire de l'auto-promo)

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Paul 
Rolland (???·???)
Sent: vendredi, 29 mai 2020 14:18
To: frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Orange, SMTP et DNS

Hello,

On Fri, 29 May 2020 14:04:21 +0200
David Ponzone  wrote:

> Pas compris là.
> N’importe quelle VM (3€/mois chez OVH, ou si tu préfères des gens plus 
> sérieux, la VM de base chez Outscale doit revenir à environ 10€/mois), 
> avec Postfix/Exim dessus et voilà. J’ai raté un truc ?

Non, je ne crois pas que tu aies rate un truc, mais je veux juste m'assurer 
avant de prendre une VM qq part que je ne vais pas tomber sur qq'un qui fait de 
la VM avec du reseau filtre sur le port 25 pour que la VM serve pas a faire du 
spam.
Prudent je suis, trop de choses ont gache l'Internet ouvert ;)

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Scan RDP venant de 94.177.238.132

[Duchet Rémy]

Je suis assez étonné de lire que des serveurs avec le port standard RDP ouvert 
sur le net n'ont pas de problème.
Tout ceux que je connais qui le font, sont brute forcé en permanence.  (Brute 
force permis par la découverte du service, grâce à un scan).

N'ayant jamais signalé un seul scan, je ne dois probablement pas surcharger les 
Abuses. 
J'attends, a minima, les traces de brutes force. Et encore, peu de chance que 
le signalement soit pris en considération. Du coup, dans 99% des cas je 
m'abstiens. 

Donc, je me posais la question, jusqu'à quel moment doit-on laisser faire ? 

Rémy 
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Pavel 
Polyakov
Sent: dimanche, 24 mai 2020 01:48
To: frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Scan RDP venant de 94.177.238.132

On Sat, 23 May 2020 22:49:11 +0200
David Ponzone  wrote:

> Tu dis donc le contraire de tout le monde ici qui confirme que laisser 
> un port RDP ouvert, c’est pas une super idée. Dois-je croire ton 
> expertise ou la leur ?

Je n'ai pas dit que c'était une bonne idée. J'ai dit qu'il y en a qui le font, 
et que ça ne pose pas de problèmes.

Maintenant si tu me demandes si je ferais ça pour un client, la réponse est 
non, vpn.

J'ai une machine Windows pour faire joujou, elle à un vrai accès à l'Internet 
aussi bien en IPv6 qu'en IPv4, il n'y a pas de pseudo « antivirus », même pas 
celui qui est intégré à l'OS, j'ai juste laissé le pare-feu qui bloque les 
connexions entrantes et ça se passe très bien.

> Non c’est normal, c’est pas mon métier de gérer son IT. Je lui vends 
> l’accès moi. Il a généralement déjà un prestataire.

Mais alors ce n'est pas ton problème si il se fait péter.

> Dans le cas présent, il s’est fait cryptolocké récemment et le vecteur 
> d’attaque reste inconnu,

Pebcak dans 99% des cas. L'utilisateur exécute n'importe quoi sur sa machine, 
le plus efficace c'est l'éducation.

Il y a quelques mois nous avons eu un appel d'un dirigeant d'entreprise en 
France catastrophé parce qu'il y avait un ransomware sur son réseau 
d'entreprise. Alors sur place bien sûr on lui a demandé si il savait comment 
c'est arrivé, si à tout hasard, bien sûr, il n'avait pas reçu un email avec un 
fichier pour Microsoft Office un peu étrange...

Il pensait que ça s'était répandu sur le réseau parce que d'autres machines 
avaient des fichiers chiffrés.. En fait ils faisaient du partage SMB en donnant 
la permission aux invités de tout lire et écrire, donc le ransomware à juste 
tout chiffré depuis la machine du boss.

Il était vraiment perplexe, il répétait qu'il ne comprennait pas comment ça 
avait pu se produire alors qu'il paie le pare-feu et les antivirus.

Donc on lui à dit d'arrêter de payer ces merdes et d'embaucher quelqu'un qui 
sait ce qu'il fait et qu'à la fin ça lui coûtera moins cher.

Et voilà, tout se passe très bien maintenant. Plus de pare-feu Fortigate je 
sais pas quoi, plus d'antivirus bidons et moins de produits Microsoft, c'est 
bien aussi.

> donc on est vigilants le temps que les accès SSL soient déployés en 
> collaboration avec le prestataire.

Mais c'est quoi le rapport ? Il me semble que RDP utilise TLS par défaut et je 
ne sais même pas si il est possible de le désactiver..

> Déjà, en ajoutant un DENY SRC IP <> FR, ça a viré quasiment tous les 
> scans.

C'est un peu normal qu'en n'autorisant l'accès qu'à une infime partie de 
l'Internet il y en ait moins.

PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Duchet Rémy]

J'ai quand même l'impression que ce fil est en train de disserter sur la 
longueur de la jupe de la dame, en oubliant qu'il y a une (ou des) victimes.
Aujourd'hui on parle de scan RDP, mais c'est la même chose pour n'importe quel 
service. 
Croire que le service XX sera épargné parce qu'il est protégé par la solution 
YY, et que du coup, on s'en tape du scan, c'est se mettre des œillères. 


Rémy 
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of 
Radu-Adrian Feurdean
Sent: samedi, 23 mai 2020 10:57
To: frnog@frnog.org
Subject: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

On Fri, May 22, 2020, at 19:48, David Ponzone wrote:
> Votre politique de (non-)gestion de vos clients vous regardent, je 
> n’ai aucun problème avec ça (sauf qu’à force, la Terre entière aura un 
> DENY sur *.ua), et moi de même, je gère les clients et les clients de 
> mes clients comme je l’entends, c’est-à-dire que j’ai un devoir de 
> conseil, mais aucun droit de leur faire la leçon.

La gestion "molle" des "abus" c'est un peu la regle a partir d'une certaine 
taille, pour plusieurs raisons:
 - ceux qui envoient un email a abuse@ a chaque paquet arrivant chez eux qu'ils 
n'aiment pas
 - pourcentage tres faible de client "problematiques" x grand nombre de clients 
= nombre non-negligeable de clients problematiques
 - la gestion des abus "un par un" ca prend beaucoup de temps et ca NE RAPPORTE 
RIEN ($$$)

On ajoute le fait que d'office l'internet n'est pas une "environnement 
sterile", malgre le desir de certains.

Ca fait pas si longtemps, j'entendais des "petits" operateurs aux US (ca se 
passait sur NANOG) se plaindre d'un certain "petit hebergeur francais, qui 
d'apres eux ca fait que heberger des mecreants. Ca a cote d'OVH, qui avait un 
peu la meme reputation, modulo qu'ils savaient que ce n'est pas exactement 
"petit". Cet hebergeur, appele "Online" il fallait le banir eniterement, ainsi 
que son transitaire chelou, "PoneyTelecom".

Evidemment, vu de ce cote de l'atlantique, les choses ne sont pas du tout 
pareil. Online == PoneyTelecom == Scaleway (mais avec un peu d'effort ca se 
voit aussi depuis les US), ce ne colle absolutement pas dans la categorie 
"petit". Par ici je doute qu'il y en a qui osent les filtrer completement, meme 
si de temps en on a tous des portscans venant de leurs reseaux.

Des problemes de "scan RDP" ? Assure-toi que ca reste que du scan. Si ca 
devient du DoS, oui ca peut justifier de monter le ton, par contre si ca finit 
par une intrusion, c'est que tu (ou ton client) n'as pas bien fait ton boulot.

> Si je suis votre raisonnement, si j’ai un terrain entouré par une 
> barrière de 30cm et qu’un mec laisse ses chiens sauter la barrière 
> pour y déféquer, c’est de ma faute.

Si tu as un terrain, s'il y a des chiens qui se promenent a cote, oui, c'est ta 
faute. Si c'est juste pour un ou 2 cas isoles, ton point de vue ca peut se 
defendre, mais ca reste toujours une mauvaise idee. Apres, entre mini-barriere 
de 30cm et le mur en beton de 3m, il y a plein d'options intermediaires, plus 
ou moins efficaces, plus ou moins moches.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Scan RDP venant de 94.177.238.132

[Duchet Rémy]

> Rémy, ton système n'a pas vu passer cette IP ? Elle n'est pas dans ton feed.

Michel,

Rien, même pas un paquet. Ce qui me laisse penser que c'est "ciblé".
Je l'avais proposé à David, je peux "ajouter en manuel" des IP, avec une durée 
de BAN variable.

> Ouais justement je prends ce genre de feed, récemment je me suis appairé avec 
> Rémy Duchet, il serait bien temps qu'il y ait une meilleure collaboration 
> entre les blacklists que chacun fait dans son coin, plus on est de fous plus 
> il y a de riz. L'IP en question n'est pas dans les 47.000 que je bloque 
> aujourd'hui, çà serait bien qu'elle y soit.

Mais je rejoins aussi ton commentaire. Il suffit que l'IP soit listé pour que 
les participants puissent la bloquer automatiquement.

Rémy 

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: mercredi, 20 mai 2020 00:25
To: 'Wallace' ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Scan RDP venant de 94.177.238.132





---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

> Mais est-ce que c'est vraiment du DDoS ?
Le Ddos n'est-il pas une attaque en soit ? Différente, certes, mais une attaque 
quand même. 

De mon point de vue, il me semble qu'il y a de plus en plus d'attaques 
structurés et distribués. 
Peut-être lié, justement, au fait du FTTH, et du nombre d'hébergeurs "peu 
regardant".

Rémy


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

Tout est envisageable. 
Et avec de la virtualisation du docker ou autre, il suffit de "relier" tout 
ça.. 
Perso, si je devais regarder quelque chose, j'ajouterai pleins de sondes avec 
différents services, le tout en agrégation pour la partie analyse.
Il suffirait d'avoir des volontaires, et on peut "détecter" à plein 
d'endroits..(tu vois ou je veux en venir?)

Rémy

-Original Message-
From: David Ponzone  
Sent: mercredi, 6 mai 2020 11:20
To: Duchet Rémy 
Cc: Philippe Bourcier ; frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

Avec des Philips Hue et autres ponts domotique, des alarmes telles que celles 
vendues par les FAI par exemple, et aussi des caméras chinoises à 2€, des NAS, 
des Chromecast et équivalents, etc… ?
Si y a ça, c’est fabuleux, mais si y a pas, je me disais que l’étudiant pouvait 
peut être monter ça si timing/budget le permet.


> Le 6 mai 2020 à 11:16, Duchet Rémy  a écrit :
> 
> Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
> analyse live. Certains font même du RTBH basé la-dessus..  )
> 
> Rémy



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

[Duchet Rémy]

Il y a déjà des HoneyPot qui permettent ce genre de truc (avec capture et 
analyse live. Certains font même du RTBH basé la-dessus..  )

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of David 
Ponzone
Sent: mercredi, 6 mai 2020 11:12
To: Philippe Bourcier 
Cc: frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Projet de recherche sur l'étude des DDoS

Je dis peut-être une connerie (j’en dis plein) mais ça serait pas intéressant 
pour une telle étude (si le timing le permet) de construire un gros honey-pot, 
avec du PC windows, Linux, Mac, un peu de serveur, les équipements IoT du 
marché les plus courants, et voir ce qui se passe ?
De nos jours, ça va assez vite si on blinde pas, voir si on laisse des trucs 
ouverts volontairement.

> Le 6 mai 2020 à 11:08, Philippe Bourcier  a écrit :
> 
> Re,
> 
>> * Comment tu traite des gros pcap. Des gens font de grosses captures 
>> ? j'ai quitté ce jeux là il y a trop longtemps. A l'époque libpcap 
>> etait pas top niveau perf et sur des interfaces rapide (>1G) ça défonçait 
>> n'importe quel CPU.
> 
> Si tu veux juste différencier le résidentiel vs pro vs serveurs, je dirais 
> que tu n'as surtout pas besoin d'une capture pcap, mais juste d'un log 
> netflow et d'une base Maxmind Enterprise (ils donnent accès aux bases 
> gratuitement pour les projets de recherche)...
> 
>> * Comment tu trouve un device IoT dans le lot ? Imagine une 
>> chromecast chez toi, il aura l'IPv4 publique de ta box. Et si le 
>> smart bidulle à une puce 2/3/4/5G ça passera par le CG-NAT de l'opérateur ça 
>> noie le poisson non ? On reconnait ça avec du fingerprinting ?
> 
> Passive fingerprinting ? D'où le pcap ?
> 
> Effectivement, on peut noter qu'il y a quelques challenges techniques pour 
> pouvoir réaliser cette partie de l'étude de manière fiable...
> 
> 
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Salut la liste,

Nous avons donc mis en place, avec Michel, l'échange des IP via BGP, il y a 
maintenant plusieurs jours.
Tout ce passe très bien,  aucun dégât. Michel nous annonce ses  routes RTBH, et 
nous avons la même chose dans l'autre sens.
Evidement il est encore tôt pour juger de l'efficacité, mais il est maintenant 
possible d'envisager d'agrandir cette "communauté" d'IP malveillante.  
S'il y a des volontaires pour tenter "l'expérience", il est possible d'ajouter 
1 session BGP (ou 2 pour la redondance) sur nos équipements (ou simplement d'en 
discuter en OFF).
Dans tous les cas, un grand merci à Michel qui n'a pas hésité.

Rémy 

-Original Message-----
From: Duchet Rémy 
Sent: jeudi, 16 avril 2020 10:14
To: 'Michel Py' ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS

Pas de soucis pour redistribuer les IP. Ce ne sont que des /32 (IPv4) /128 
(IPv6). Environ 54 000 IP se sont fait "flashé" sur les derniers 15 jours. Seul 
9 500 IPv4 et 650 IPv6 (environ) sont vraiment bannis à un instant T.
Pour la communauté, je peux mettre ce que tu souhaites, pas de soucis.
Je te réponds en OFF pour la suite. 
Pour les autres,  si ça intérésse, pas de soucis pour monter une session BGP 
sur nos RS.  
J'ajoute qu'on surveille autant des Honeypot que des "vrais" services en prod. 
Pas seulement du http/https, mais aussi du SIP/SMTP/Pop3/Imap4/Rdp/SMB/VNC etc.
On a un seuil de sensibilité différent en fonction des services et on tracke 
les tentatives sur des longues périodes. 
Bref, on a un outil fait "in-housse" pas mal flexible qui s'adapte à tous les 
services.

Rémy
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: mercredi, 15 avril 2020 20:00
To: Duchet Rémy ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS

> Rémy Duchet a écrit :
> Comme nous avons des sondes sur plein de services différents, la 
> "liste" évolue sans arrêt. Du coup, je ne me vois pas faire un fichier (je 
> l'aurais fait avec Git) et des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.

C'est la manière propre de faire çà. Je te contacte en privé pour les détails 
BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ?


>> Daniel a écrit :
>> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que 
>> l'on va retrouver en grande partie les mêmes adresses. Une mise à jour 
>> hebdomadaire voire bi-mensuelle me parait suffisante.

Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le 
feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans 
mon trou noir aussi, donc viendu le l'attends déjà.

> Rémy Duchet :
> En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent 
> jamais des même IP.
> Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, 
> dès qu'elle a été détecté / bannis). Dans notre automatisation, nous 
> avons justement prévu le cas des attaques d'IP dynamique, pour ne pas 
> pénaliser la personne qui va hériter d'une IP qui a été bannis.

Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va 
être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que 
quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, 
et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité.

Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me 
sers. 

> Je pense qu'il faudrait faire quelque chose de plus centralisé, avec 
> de la redondance, et la capacité d'accueillir du monde.

Cà m'avais traversé l'esprit aussi.

> J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme 
> comme job. Qu'est-ce que tu as envisagé comme amélioration future, hormis des 
> listes supplémentaires ?

Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, 
c'est :

1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à 
ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer 
les listes dont ils ne veulent pas.

2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire 
uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà 
permettrait d'augmenter la fréquence et d'économiser de la bande passante.

Michel.
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Pas de soucis pour redistribuer les IP. Ce ne sont que des /32 (IPv4) /128 
(IPv6). Environ 54 000 IP se sont fait "flashé" sur les derniers 15 jours. Seul 
9 500 IPv4 et 650 IPv6 (environ) sont vraiment bannis à un instant T.
Pour la communauté, je peux mettre ce que tu souhaites, pas de soucis.
Je te réponds en OFF pour la suite.
Pour les autres,  si ça intérésse, pas de soucis pour monter une session BGP 
sur nos RS.
J'ajoute qu'on surveille autant des Honeypot que des "vrais" services en prod.
Pas seulement du http/https, mais aussi du SIP/SMTP/Pop3/Imap4/Rdp/SMB/VNC etc.
On a un seuil de sensibilité différent en fonction des services et on tracke 
les tentatives sur des longues périodes.
Bref, on a un outil fait "in-housse" pas mal flexible qui s'adapte à tous les 
services.

Rémy
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: mercredi, 15 avril 2020 20:00
To: Duchet Rémy ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS

> Rémy Duchet a écrit :
> Comme nous avons des sondes sur plein de services différents, la
> "liste" évolue sans arrêt. Du coup, je ne me vois pas faire un fichier (je 
> l'aurais fait avec Git) et des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.

C'est la manière propre de faire çà. Je te contacte en privé pour les détails 
BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ?


>> Daniel a écrit :
>> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que
>> l'on va retrouver en grande partie les mêmes adresses. Une mise à jour 
>> hebdomadaire voire bi-mensuelle me parait suffisante.

Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le 
feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans 
mon trou noir aussi, donc viendu le l'attends déjà.

> Rémy Duchet :
> En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent 
> jamais des même IP.
> Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant,
> dès qu'elle a été détecté / bannis). Dans notre automatisation, nous
> avons justement prévu le cas des attaques d'IP dynamique, pour ne pas 
> pénaliser la personne qui va hériter d'une IP qui a été bannis.

Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va 
être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que 
quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, 
et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité.

Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me 
sers.

> Je pense qu'il faudrait faire quelque chose de plus centralisé, avec
> de la redondance, et la capacité d'accueillir du monde.

Cà m'avais traversé l'esprit aussi.

> J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme
> comme job. Qu'est-ce que tu as envisagé comme amélioration future, hormis des 
> listes supplémentaires ?

Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, 
c'est :

1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à 
ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer 
les listes dont ils ne veulent pas.

2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire 
uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà 
permettrait d'augmenter la fréquence et d'économiser de la bande passante.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent jamais 
des même IP. 
Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès qu'elle 
a été détecté / bannis).
Dans notre automatisation, nous avons justement prévu le cas des attaques d'IP 
dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a été 
bannis.

Rémy 

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: mercredi, 15 avril 2020 09:01
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on va 
retrouver en grande partie les mêmes adresses. Une mise à jour hebdomadaire 
voire bi-mensuelle me parait suffisante.

Le 15/04/2020 à 08:52, Duchet Rémy a écrit :
> Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
> minute.
> Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
> Comme nous avons des sondes sur plein de services différents, la "liste" 
> évolue sans arrêt.
> Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et 
> des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.
>
> Rémy
>
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of 
> Daniel via frnog
> Sent: lundi, 13 avril 2020 12:37
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS
>
> Voici le mien
>
> https://tdrive.tootai.net/s/agWxa4wXXTGR4Py
>
> Le 12/04/2020 à 22:10, Richard Klein a écrit :
>> Voici mon fichier depuis un synology qui est une simple liste d'IPs 
>> (ban
>> permanent):
>> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/vie
>> w ?usp=sharing Il faudrait ajouter une colonne avec la date du 
>> dernier BAN et après un "timeout" de 7 jours suppression de la liste 
>> .
>> Une troisieme colonne pour le nombre de signalement sur 7 jours .
>> Libre a chacun de définir si il y a eu un seul signalement de prendre 
>> en compte cette IP par rapport a une IP qui a 200 signalements .
>> Une bonne mutualisation permet d'etre réactif et pro actif plutot que 
>> d'attendre son tour pour se faire scanner /attaquer ...
>>
>> Richard
>>
>>
>> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier 
>>  a écrit :
>>
>>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de 
>>> suppression de ta liste.
>>>
>>> C’est assez dommageable pour nous autres opérateurs, par exemple, 
>>> j’ai régulièrement des clients qui se font trouer leur 
>>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie 
>>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
>>> Alors, certes, il y’a peu de chances que mes clients parlent aux 
>>> tiens, néanmoins, si tout le monde commence à se partager ses 
>>> blacklists, ça risque de devenir un vrai problème.
>>>
>>>
>>>
>>> Hugues
>>> AS57199 - AS50628
>>>
>>>> On 12 Apr 2020, at 21:52, Michel Py 
>>>> 
>>> wrote:
>>>> Je passe cà dans [TECH]
>>>>
>>>>> Duchet Rémy
>>>>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en 
>>>>> bgp
>>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>>>
>>>>
>>>>> Richard Klein a écrit :
>>>>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un 
>>>>> exabgp qui nous feed les IP à null-router, ça serait sympa.
>>>> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
>>> j'avais plus de sources.
>>>> Michel.
>>>>
>>>>
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> --
> Daniel Huhardeaux
> +33.368460...@tootai.net  sip:8...@sip.tootai.net
> +41.445532...@swiss-itech.chtootaiNET
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
minute.
Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
Comme nous avons des sondes sur plein de services différents, la "liste" évolue 
sans arrêt.
Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
milliers de commits par jour.
Donc, je veux bien les annoncer via BGP, ça me semble plus simple et utilisable 
comme cela.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: lundi, 13 avril 2020 12:37
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Voici le mien

https://tdrive.tootai.net/s/agWxa4wXXTGR4Py

Le 12/04/2020 à 22:10, Richard Klein a écrit :
> Voici mon fichier depuis un synology qui est une simple liste d'IPs
> (ban
> permanent):
> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view
> ?usp=sharing Il faudrait ajouter une colonne avec la date du dernier
> BAN et après un "timeout" de 7 jours suppression de la liste .
> Une troisieme colonne pour le nombre de signalement sur 7 jours .
> Libre a chacun de définir si il y a eu un seul signalement de prendre
> en compte cette IP par rapport a une IP qui a 200 signalements .
> Une bonne mutualisation permet d'etre réactif et pro actif plutot que
> d'attendre son tour pour se faire scanner /attaquer ...
>
> Richard
>
>
> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier
>  a écrit :
>
>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de
>> suppression de ta liste.
>>
>> C’est assez dommageable pour nous autres opérateurs, par exemple,
>> j’ai régulièrement des clients qui se font trouer leur
>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie
>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
>> Alors, certes, il y’a peu de chances que mes clients parlent aux
>> tiens, néanmoins, si tout le monde commence à se partager ses
>> blacklists, ça risque de devenir un vrai problème.
>>
>>
>>
>> Hugues
>> AS57199 - AS50628
>>
>>> On 12 Apr 2020, at 21:52, Michel Py
>>> 
>> wrote:
>>> Je passe cà dans [TECH]
>>>
>>>> Duchet Rémy
>>>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en
>>>> bgp
>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>>
>>>
>>>> Richard Klein a écrit :
>>>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
>>>> exabgp qui nous feed les IP à null-router, ça serait sympa.
>>> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
>> j'avais plus de sources.
>>> Michel.
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Perso,  on fait du ban graduellement. Et de façon automatique.
Parce que chez nous 1 mot de passe faux ca a des conséquences sur n'importe 
quel service.



 Message d'origine 
De : Hugues Voiturier 
Date : 12/04/2020 21:59 (GMT+01:00)
À : Michel Py 
Cc : FRench Network Operators Group 
Objet : Re: [FRnOG] [TECH] Attaque SIP et SIPS

> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression de ta 
liste.

C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai 
régulièrement des clients qui se font trouer leur VM/Firewall/Routeur, et 
j’aimerais bien éviter un bannissement à vie d’une IP pour un “abuse” qui dure 
rarement plus d’une semaine.
Alors, certes, il y’a peu de chances que mes clients parlent aux tiens, 
néanmoins, si tout le monde commence à se partager ses blacklists, ça risque de 
devenir un vrai problème.



Hugues
AS57199 - AS50628

> On 12 Apr 2020, at 21:52, Michel Py  
> wrote:
>
> Je passe cà dans [TECH]
>
>> Duchet Rémy
>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp
>
> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>
>
>> Richard Klein a écrit :
>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
>> exabgp qui nous feed les IP à null-router, ça serait sympa.
>
> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si j'avais 
> plus de sources.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Attaque SIP et SIPS

[Duchet Rémy]

Ca peut s'envisager..
 On a 9500 ip en ipv4 et 650 en ipv6.
Toutes bannies, et annoncé en bgp

Rémy


 Message d'origine 
De : David Ponzone 
Date : 12/04/2020 20:51 (GMT+01:00)
À : Richard Klein 
Cc : Jacques Lavignotte , FRench Network Operators 
Group 
Objet : Re: [FRnOG] [ALERT] Attaque SIP et SIPS

> Le 11 avr. 2020 à 16:16, Richard Klein  a écrit :
> Sinon les Synology ont leurs petit fail2ban interne et effectivement il
> serait bien de faire de la collect en FR et partager nos IPs parasites

J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un exabgp qui 
nous feed les IP à null-router, ça serait sympa.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] accès à https://myaccount.google.com

[Duchet Rémy]

https://bgp.he.net/net/172.217.0.0/16
AS15169
Ça me semble normal 
Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Raphael 
Mazelier
Sent: lundi, 6 avril 2020 17:27
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] accès à https://myaccount.google.com

172. Il n'y a que moi que cela fait tilter ? :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Carte Intel 10Gbs SFP+ pour VMWare ESXI 6.5

[Duchet Rémy]

>> Michel Py a écrit :
>> J'ai une question con : un DAC fs.com, on peut programmer un coté Cisco et 
>> l'autre HPE (par exemple) ?

> Frank ALEXIS a écrit :
Tu lis dans mes pensées :-o ?? Me pose la même question !

 Chez FS.com. avec le boitier, la réponse est oui, sans aucun soucis.

Rémy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Netbox API

[Duchet Rémy]

On utilise aussi.

Rémy
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Alarig Le 
Lay
Sent: mardi, 31 mars 2020 00:10
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Netbox API

On lun. 30 mars 18:44:21 2020, David Ponzone wrote:
> Confiné.e.s,
>
> Rien de mieux qu’un confinement pour s’occuper des projets pénibles,
> comme l’IPAM par exemple….
>
> Est-ce qu’il y a des utilisateurs de Netbox sur la liste, qui
> utilisent ou ont envie d’utiliser son API ?
> J’aimerais bien échanger à ce sujet, je pense qu’il y a des fonctions
> qui manquent, j’ai vu des discussions à ce sujet dans leur ticketing,
> mais ça semble un peu stagner.
>
> David

J’utilise. Tu penses qu’il manque quoi ?

--
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] OVH down

[Duchet Rémy]

Twitter :
OVH Support FR
@ovh_support_fr
·
1 min
Bonjour, nous rencontrons un incident, les investigations sont en cours, nos 
équipes techniques travaillent à rétablir la situation dans les plus brefs 
délais. Nous vous présentons nos excuses pour la gêne occasionnée. ^MaxR

Bon courage, surtout s'il faut dépécher quelqu'un sur place..
Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Cyril 
LAVIER
Sent: lundi, 30 mars 2020 17:34
To: David Ponzone 
Cc: Aymeric ; frnog-alert 
Subject: Re: [FRnOG] [ALERT] OVH down

Salut.

Perso, ma machine à Montréal semble OK, mais mes 2 machines Roubaix et 
Francfort semblent inaccessible.

Bon courage aux équipes mobilisées !!

On Mon, 30 Mar 2020 at 11:32, David Ponzone  wrote:

> Je confirme, gros souci aussi depuis 2 AS différents.
>
>
> > Le 30 mars 2020 à 17:28, Aymeric  a écrit :
> >
> > Bonjour,
> >
> > Il semble que tout le réseau OVH (AS16276) soit inaccessible.
> >
> > à suivre…
> >
> > --
> > Aymeric
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


--
Cyril Lavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] FRnOG 34.0 - RC2

[Duchet Rémy]

C'est la tenue pour intervenir en Spaghetti land ?

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: dimanche, 8 mars 2020 22:25
To: 'Philippe Bourcier' ; frnog@frnog.org
Subject: RE: [FRnOG] [MISC] FRnOG 34.0 - RC2

> Philippe Bourcier a écrit :
> En fait si tu n'es pas capable de taper sur le clavier de ton propre
> PC, mieux vaut ne pas venir... :)

J'ai la tenue qui va bien : http://ipvii.com/Spaguetti.jpg Vous inquiétez pas 
les enfants, le masque et taper avec les gants on s'habitue.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [ML] [FRnOG] [TECH] A record mail outloock

[Duchet Rémy]

Et il semblerait que cela fait un moment qu'il n'y a pas eu de modification sur 
leur zone :

dig soa match-supermarches.lu +trace

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> soa match-supermarches.lu 
+trace
;; global options: +cmd
.   1125IN  NS  e.root-servers.net.
.   1125IN  NS  a.root-servers.net.
.   1125IN  NS  j.root-servers.net.
.   1125IN  NS  m.root-servers.net.
.   1125IN  NS  i.root-servers.net.
.   1125IN  NS  b.root-servers.net.
.   1125IN  NS  l.root-servers.net.
.   1125IN  NS  h.root-servers.net.
.   1125IN  NS  d.root-servers.net.
.   1125IN  NS  g.root-servers.net.
.   1125IN  NS  k.root-servers.net.
.   1125IN  NS  f.root-servers.net.
.   1125IN  NS  c.root-servers.net.
.   9345IN  RRSIG   NS 8 0 518400 2020022605 
2020021304 33853 . ditoHqapP99nTeZv0GkpcnJti8iUd0nHB94bhYcJ4x1VQ811Gc8ir2Ta 
el5kHBT8Dn+20o1sDJKLLEPFipDZdAwWs21Ga2iKYAGLk2J9dXwQLuZR 
DIR6bw6ca8Lum2S4nTPyquw0PyD/wTu6/hG8B6MvUg4phwz6Jn240EjW 
5mqceqUby51iPf19JV6U3G2XvZHfkkzP4D+Pjdpia5Wanmdk39hsbsCl 
zFxT5Ft85woB4yOybZ2Y6tt+SL9BxQaXkXDDdXDDct5OYLUu8wjRBlrf 
I1/4opEwuk+qtzC2GG6mRGuWmbKN6ORqt3BhY++ZBr5gc+qY5Yqxho1P cYwjNw==
;; Received 1097 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms

lu. 172800  IN  NS  g.dns.lu.
lu. 172800  IN  NS  p.dns.lu.
lu. 172800  IN  NS  ns1.dns.lu.
lu. 172800  IN  NS  k.dns.lu.
lu. 172800  IN  NS  i.dns.lu.
lu. 172800  IN  NS  j.dns.lu.
lu. 86400   IN  DS  20752 8 2 
2BBE0B0C438F336CA96F655DCCB9A72D7359064225D9E38A0A09804F 9BE20415
lu. 86400   IN  RRSIG   DS 8 1 86400 2020022605 
2020021304 33853 . Rxrm367uPPSsv1xr7J5VPqlgmQ9q6yGDr8Re9dZBEo2aGY/FRywKQGZw 
Chta7QpBoOKWAbOkCprYn/TGKM/gd2tf6EQsCaZWBcJxhHOm+uhOc+np 
CzH5K+iorgqGf2Myj+Wbzok4bCRtgz66L9srAu5S2uFuYMKyKEVtpZOF 
svjMo0fu5a85XKf6AdZcoGp4gR2HZy4HmLh1zOeZIbH1E+So2yA89aKn 
Jb2wWojaioyyDgulcW50Atm1L1a65Yi+PY9oV56wMrGCHCADHjR1+Xbs 
1gCXKvR8MJfZPUuEa0Q2l2YHZpLOpcKKf8chxlQ1RpluVda7jksuQF1D XZ//yg==
;; Received 751 bytes from 2001:500:2::c#53(c.root-servers.net) in 11 ms

match-supermarches.lu.  43200   IN  NS  ns1.eurodns.com.
match-supermarches.lu.  43200   IN  NS  ns2.eurodns.com.
mkjja589k7ckh53ur36sd2hu71uh3kq7.lu. 3600 IN NSEC3 1 1 3 1F37DFFB 
MKNDCBKUF8KR1NANBNF8R05LB2626DE1 NS SOA TXT RRSIG DNSKEY NSEC3PARAM
mkjja589k7ckh53ur36sd2hu71uh3kq7.lu. 3600 IN RRSIG NSEC3 8 2 3600 
20200222110131 20200208120108 963 lu. 
Q+EmxXEZNmbfJ3hMhpiWvKW1fvv4xKt9+D0aC9hHJ1P6yG4EKOpIPEpk 
MvnOPcsfAzNYU7E3CnIegwGP/8Ivm46JJjAoZv+K6JOxolufkkiOsc2W 
F+ZZFd0CG4C7jcLDpmIc+PmXW+u5m8Lzuy9zCi1+klZRQYA+KdlcJx4n CBI=
d0uhaufuocrekdbphm1aa2c557e501kc.lu. 3600 IN NSEC3 1 1 3 1F37DFFB 
D1O2KBF0R9UTD3LH9M60BITNELRNKK4G NS DS RRSIG
d0uhaufuocrekdbphm1aa2c557e501kc.lu. 3600 IN RRSIG NSEC3 8 2 3600 
20200224202733 20200210170107 963 lu. 
mZONJqHi0VHzIIomUY+MXtD7NYImPU84TCID8nrUCwL1Op+4OtO80EAQ 
dUlQsHJRWv8DRvoLqRkQv5ZU2nw1FDNP6mxn/irm57TO7JNroPVLKVBr 
6KPEzeFLQ/IwF+tADioEoLK0VeU+jgoBtaBV6q6BKztntxR4ZlB7X4dL 5uo=
;; Received 603 bytes from 2001:678:4::d#53(k.dns.lu) in 50 ms

match-supermarches.lu.  86400   IN  SOA ns1.eurodns.com. 
hostmaster.eurodns.com. 2019052202 43200 7200 1209600 86400
;; Received 112 bytes from 8.20.241.107#53(ns1.eurodns.com) in 16 ms




Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Manuel 
Guesdon
Sent: jeudi, 13 février 2020 15:28
To: Jerome Lien 
Cc: frnog-tech 
Subject: Re: [ML] [FRnOG] [TECH] A record mail outloock

Bonjour,

On Thu, 13 Feb 2020 12:51:33 +0100
Jerome Lien  wrote:
>| depuis hier on remarque que plusieurs domaines sur les serveurs mail
>| outloock.com ne propagent plus les A record
>|
>| exemple :
>| https://dnschecker.org/#A/match-supermarches.lu
>| https://dnschecker.org/#MX/match-supermarches.lu
>|
>| ce qui nous pose pas mal de probléme pour l'envoi des mails .
>|
>| avez vous vue cela ?

Heu, je ne suis pas sur de comprendre:

$ dig -t ns match-supermarches.lu
match-supermarches.lu.  86400   IN  NS  ns4.eurodns.com.
match-supermarches.lu.  86400   IN  NS  ns3.eurodns.com.
match-supermarches.lu.  86400   IN  NS  ns2.eurodns.com.
match-supermarches.lu.  86400   IN  NS  ns1.eurodns.com.


$ dig -t a supermarches.lu @ns1.eurodns.com.

; <<>> DiG 9.9.7-P3 <<>> -t a supermarches.lu @ns1.eurodns.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: 

RE: [FRnOG] [MISC] Révision tarif XCo Equinix

[Duchet Rémy]

Les MRC Xco UTP ont pris +20% en CH. Est-ce pareil dans les autres pays ?
Une volonté de faire passer tout en fibre ?

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of David 
Ponzone
Sent: jeudi, 30 janvier 2020 10:31
To: sebastien lesimple 
Cc: Hugues Voiturier ; frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Révision tarif XCo Equinix

Se foutent de la gueule du monde.

On lance un boycott ?

> Le 30 janv. 2020 à 10:26, Sébastien Lesimple 
>  a écrit :
>
> Reçu!
> D'où l'importance de prendre le temps de lire ses mails...
>
> Ça commence a faire un budget cette histoire de crossconnect!
>
> Le 30/01/2020 à 10:17, Hugues Voiturier a écrit :
>> C’est un rappel des nouveaux tarifs de 2019, pour t’annoncer qu’ils
>> ont aligné les prix des anciens Xcos sur les nouveaux.
>>
>> Et bonne année, hein ;D
>>
>>
>> Hugues
>> AS57199 - AS50628
>>
>>> On 30 Jan 2020, at 10:16, Sébastien Lesimple
>>> >> > wrote:
>>>
>>> Hello tous,
>>>
>>> C'est moi ou il y a comme une erreur dans la communication d'Equinix
>>> sur les motifs tarifaire des Cross Connects?
>>>
>>> Je lis "à compter du 01/01/2019", l'age probablement...
>>>
>>> Seb.
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] OSPF Bird et configure

[Duchet Rémy]

En fait, après les quelques échanges, j'ai revu un peu les options disponibles, 
et testé Bird2.
On va faire simple :
- routes ajoutés / supprimé sous linux (avec un proto spécifique)
- Bird apprends les routes kernel ( avec filtrage) et les distribue en BGP aux 
peers.

On va virer l'OSPF, en regardant bien il y a quelques ASR qui semble ne pas 
apprécier trop de routes OSPF qui change trop souvent.

Merci à tous pour vos retours, ça m'a permis de prendre un peu de recul.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Raphael 
Mazelier
Sent: vendredi, 17 janvier 2020 18:25
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] OSPF Bird et configure

Personnellement j'injecterais ces routes en BGP (via exabgp ou autre). Pas 
besoin de reloader quoi que ce soit coté Bird.

(Btw je migrerais tes 8k routes ospf dans ibgp)

--

Raphael Mazelier

On 16/01/2020 18:03, Duchet Rémy wrote:
> L'objectif c'est justement que Bird apprenne les routes via autre chose que 
> "STATIC".  Aujourd'hui c'est un script qui modifie un simple fichier, via de 
> l'automatisation. Et c'est STATIC => OSPF .
> Mais dans ce sens pour ajouter une route dans la table STATIC, ça demande le 
> "configure" pour que la route soit active pour Bird. Et donc le changement de 
> la table STATIC provoque la propagation de l'intégralité de la table OSPF à 
> tous les autres devices.
>
> Pour la partie BGP je n'ai pas de soucis, d'autant que c'est un de nos RS.
> Par contre, dans la 2.0.7 Ipv4 et IPv6 c'est le même process. Et c'est les 
> TABLE qui semblent séparer les versions, du coup toute la config change.
>
> Cordialement,
>
> Rémy
>
> -Original Message-
> From: Alarig Le Lay 
> Sent: jeudi, 16 janvier 2020 17:49
> To: Duchet Rémy 
> Cc: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] OSPF Bird et configure
>
> What ?!
>
> bird> show route
> Table master4:
> 0.0.0.0/0unicast [kernel_ipv4 09:46:49.133] (10)
>  via 85.166.184.1 on enp2s0
> 45.91.126.32/28  unicast [ospf_ipv4 09:47:05.225] E1 (150/20) 
> [45.91.126.96]
>  via 45.91.126.96 on enp3s0.50
> 79.170.80.128/25 unicast [ospf_ipv4 10:10:59.225] E2 (150/10/64) 
> [4faa50fa] [45.91.126.236]
>  via 45.91.126.236 on tinc0
> […]
> bird> show route protocol kernel_ipv4
> Table master4:
> 0.0.0.0/0unicast [kernel_ipv4 09:46:49.133] (10)
>  via 85.166.184.1 on enp2s0
> 85.166.184.0/22  unicast [kernel_ipv4 09:46:49.133] (10)
>  dev enp2s0
> bird> show route protocol kernel_ipv6
> Table master6:
> ::/0 unicast [kernel_ipv6 09:46:49.133] (10)
>  via fe80::5e5e:abff:fe43:1ece on enp2s0
> 2001:4640:a14f::/48  unreachable [kernel_ipv6 09:46:49.133] (10)
>
> J’ai bien des routes OSPF et bird ne les apprend pas via le kernel. Je ne 
> vois pas comment ça pourrait marcher s’il le faisait d’ailleurs.
>
> Et en version BGP (avec une full) c’est pareil :
>
> bird> show route
> 128.0.128.0/20 via 89.234.186.33 on vmbr12 [ibgp_asbr01_ipv4 2020-01-04] 
> * (100/?) [AS25513i]
> via 89.234.186.33 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11 
> from 89.234.186.34] (100/?) [AS25513i]
> 208.0.208.0/24 via 89.234.186.34 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11] 
> * (100/20) [AS46559i]
> via 89.234.186.34 on vmbr12 [ibgp_asbr01_ipv4 2020-01-11 
> from 89.234.186.33] (100/20) [AS46559i]
> 40.0.40.0/24   via 89.234.186.34 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11] 
> * (100/20) [AS4249i]
> via 89.234.186.34 on vmbr12 [ibgp_asbr01_ipv4
> 2020-01-11 from 89.234.186.33] (100/20) [AS4249i] […]
> bird> show route protocol kernel1
> 89.234.186.114/32  dev tap109i0 [kernel1 2019-09-29] * (10)
> 89.234.186.115/32  dev tap106i0 [kernel1 2019-09-29] * (10)
> 80.67.190.218/32   dev tap140i0 [kernel1 2019-09-29] * (10)
> […]
>
> Et ça correspond bien aux routes que j’exporte :
>
> bird> show route export ibgp_asbr01_ipv4
> 89.234.186.114/32  dev tap109i0 [kernel1 2019-09-29] * (10)
> 89.234.186.115/32  dev tap106i0 [kernel1 2019-09-29] * (10)
> 80.67.190.218/32   dev tap140i0 [kernel1 2019-09-29] * (10)
> 89.234.186.112/32  dev tap101i0 [kernel1 2019-09-29] * (10) […]
>
> Et là, c’est du 1.6 (merci debian…)
>
> On jeu. 16 janv. 16:28:36 2020, Duchet Rémy wrote:
>> En fait les routes BGP apparaissaient dans le kernel avec les routes OSPF.
>> En lisant le mail, je viens de relire la config de Bird.
>> Je viens de me rendre compte que j'avais un export all sous le protocol 
>> kernel qui me polluait.
>>
>> Du coup, je regarde pour upgrader en 2.0.7, pour loader les routes (dans 
>> l'idée linux => kernel =&g

RE: [FRnOG] [TECH] OSPF Bird et configure

[Duchet Rémy]

L'objectif c'est justement que Bird apprenne les routes via autre chose que 
"STATIC".  Aujourd'hui c'est un script qui modifie un simple fichier, via de 
l'automatisation. Et c'est STATIC => OSPF . 
Mais dans ce sens pour ajouter une route dans la table STATIC, ça demande le 
"configure" pour que la route soit active pour Bird. Et donc le changement de 
la table STATIC provoque la propagation de l'intégralité de la table OSPF à 
tous les autres devices. 

Pour la partie BGP je n'ai pas de soucis, d'autant que c'est un de nos RS.
Par contre, dans la 2.0.7 Ipv4 et IPv6 c'est le même process. Et c'est les 
TABLE qui semblent séparer les versions, du coup toute la config change. 

Cordialement,

Rémy 

-Original Message-
From: Alarig Le Lay  
Sent: jeudi, 16 janvier 2020 17:49
To: Duchet Rémy 
Cc: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] OSPF Bird et configure

What ?!

bird> show route
Table master4:
0.0.0.0/0unicast [kernel_ipv4 09:46:49.133] (10)
via 85.166.184.1 on enp2s0
45.91.126.32/28  unicast [ospf_ipv4 09:47:05.225] E1 (150/20) [45.91.126.96]
via 45.91.126.96 on enp3s0.50
79.170.80.128/25 unicast [ospf_ipv4 10:10:59.225] E2 (150/10/64) [4faa50fa] 
[45.91.126.236]
via 45.91.126.236 on tinc0
[…]
bird> show route protocol kernel_ipv4
Table master4:
0.0.0.0/0unicast [kernel_ipv4 09:46:49.133] (10)
via 85.166.184.1 on enp2s0
85.166.184.0/22  unicast [kernel_ipv4 09:46:49.133] (10)
dev enp2s0
bird> show route protocol kernel_ipv6
Table master6:
::/0 unicast [kernel_ipv6 09:46:49.133] (10)
via fe80::5e5e:abff:fe43:1ece on enp2s0
2001:4640:a14f::/48  unreachable [kernel_ipv6 09:46:49.133] (10)

J’ai bien des routes OSPF et bird ne les apprend pas via le kernel. Je ne vois 
pas comment ça pourrait marcher s’il le faisait d’ailleurs.

Et en version BGP (avec une full) c’est pareil :

bird> show route
128.0.128.0/20 via 89.234.186.33 on vmbr12 [ibgp_asbr01_ipv4 2020-01-04] * 
(100/?) [AS25513i]
   via 89.234.186.33 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11 
from 89.234.186.34] (100/?) [AS25513i]
208.0.208.0/24 via 89.234.186.34 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11] * 
(100/20) [AS46559i]
   via 89.234.186.34 on vmbr12 [ibgp_asbr01_ipv4 2020-01-11 
from 89.234.186.33] (100/20) [AS46559i]
40.0.40.0/24   via 89.234.186.34 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11] * 
(100/20) [AS4249i]
   via 89.234.186.34 on vmbr12 [ibgp_asbr01_ipv4 2020-01-11 
from 89.234.186.33] (100/20) [AS4249i] […]
bird> show route protocol kernel1
89.234.186.114/32  dev tap109i0 [kernel1 2019-09-29] * (10)
89.234.186.115/32  dev tap106i0 [kernel1 2019-09-29] * (10)
80.67.190.218/32   dev tap140i0 [kernel1 2019-09-29] * (10)
[…]

Et ça correspond bien aux routes que j’exporte :

bird> show route export ibgp_asbr01_ipv4
89.234.186.114/32  dev tap109i0 [kernel1 2019-09-29] * (10)
89.234.186.115/32  dev tap106i0 [kernel1 2019-09-29] * (10)
80.67.190.218/32   dev tap140i0 [kernel1 2019-09-29] * (10)
89.234.186.112/32  dev tap101i0 [kernel1 2019-09-29] * (10) […]

Et là, c’est du 1.6 (merci debian…)

On jeu. 16 janv. 16:28:36 2020, Duchet Rémy wrote:
> En fait les routes BGP apparaissaient dans le kernel avec les routes OSPF.
> En lisant le mail, je viens de relire la config de Bird.
> Je viens de me rendre compte que j'avais un export all sous le protocol 
> kernel qui me polluait.
> 
> Du coup, je regarde pour upgrader en 2.0.7, pour loader les routes (dans 
> l'idée linux => kernel => annonce bgp) et ainsi supprimer l'OSPF.
> Mais bien évidement la migration 1.6 => 2 se fait dans la ré-écriture 
> complète de la conf.
> 
> Merci à tous pour les réponses.
> 
> Rémy
> 
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of 
> Alarig Le Lay
> Sent: jeudi, 16 janvier 2020 09:41
> To: Duchet Rémy 
> Cc: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] OSPF Bird et configure
> 
> Non, tu connais seulement les routes qui sont insérées « à la main » (ou via 
> un autre soft).
> Sinon bird apprendrait ses propres routes et bonjour la boucle infinie.
> 
> On jeu. 16 janv. 08:08:22 2020, Duchet Rémy wrote:
> > Bonjour,
> >
> > Sur cette même instance Bird, on a déjà du BGP pour agréger 
> > plusieurs full view.
> > Du coup, le kernel connaissant déjà toutes les routes BGP, ça va 
> > faire mal de chercher à voir si une route OSPF est déjà dans la table..
> >
> > Mais oui, une des pistes est de basculer sur du "tout" BGP. Mais la 
> > problèmatique sera identique si on doit faire du configure pour 
> > ajouter des routes.
> >
> > Cordialement,
> >
> > Rémy
> >
> > -Original Message-
> > From: frnog-requ...@frnog.org  On Behal

RE: [FRnOG] [TECH] OSPF Bird et configure

[Duchet Rémy]

En fait les routes BGP apparaissaient dans le kernel avec les routes OSPF.
En lisant le mail, je viens de relire la config de Bird.
Je viens de me rendre compte que j'avais un export all sous le protocol kernel 
qui me polluait.

Du coup, je regarde pour upgrader en 2.0.7, pour loader les routes (dans l'idée 
linux => kernel => annonce bgp) et ainsi supprimer l'OSPF.
Mais bien évidement la migration 1.6 => 2 se fait dans la ré-écriture complète 
de la conf.

Merci à tous pour les réponses.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Alarig Le 
Lay
Sent: jeudi, 16 janvier 2020 09:41
To: Duchet Rémy 
Cc: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] OSPF Bird et configure

Non, tu connais seulement les routes qui sont insérées « à la main » (ou via un 
autre soft).
Sinon bird apprendrait ses propres routes et bonjour la boucle infinie.

On jeu. 16 janv. 08:08:22 2020, Duchet Rémy wrote:
> Bonjour,
>
> Sur cette même instance Bird, on a déjà du BGP pour agréger plusieurs
> full view.
> Du coup, le kernel connaissant déjà toutes les routes BGP, ça va faire
> mal de chercher à voir si une route OSPF est déjà dans la table..
>
> Mais oui, une des pistes est de basculer sur du "tout" BGP. Mais la
> problèmatique sera identique si on doit faire du configure pour
> ajouter des routes.
>
> Cordialement,
>
> Rémy
>
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of
> Alarig Le Lay
> Sent: mercredi, 15 janvier 2020 20:24
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] OSPF Bird et configure
>
> Bonsoir,
>
> On mer. 15 janv. 17:01:28 2020, Duchet Rémy wrote:
> > Bonsoir la liste,
> >
> >
> >
> > S’il y a des utilisateurs de Bird sur la liste (je suis sur que oui)
> > connaissez-vous un moyen de rajouter une route (autrement qu’en
> > STATIC) sur le serveur Bird, pour que ce dernier l’annonce (OSPF ou
> > BGP) sans avoir à faire un « configure » à chaque changement ?
> >
> > Nous avons quelques routes OSPF que nous annonçons (+ 8000) et à
> > chaque « configure » Bird renvoie toute la table (on lui fait relire
> > un fichier de conf), du coup ça flood pas mal nos équipements
> > (toutes les minutes)..
>
> Pourquoi tu n’apprends pas les routes depuis le kernel ?
>
> BTW, 8k routes dans un OSPF, soit tu as un très gros réseau, mais dans ce cas 
> y’a peu de chances que tu utilises bird, soit faut passer à BGP.
>
> --
> Alarig
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] OSPF Bird et configure

[Duchet Rémy]

Bonjour,

Sur cette même instance Bird, on a déjà du BGP pour agréger plusieurs full view.
Du coup, le kernel connaissant déjà toutes les routes BGP, ça va faire mal de 
chercher à voir si une route OSPF est déjà dans la table..

Mais oui, une des pistes est de basculer sur du "tout" BGP. Mais la 
problèmatique sera identique si on doit faire du configure pour ajouter des 
routes.

Cordialement,

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Alarig Le 
Lay
Sent: mercredi, 15 janvier 2020 20:24
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] OSPF Bird et configure

Bonsoir,

On mer. 15 janv. 17:01:28 2020, Duchet Rémy wrote:
> Bonsoir la liste,
>
>
>
> S’il y a des utilisateurs de Bird sur la liste (je suis sur que oui)
> connaissez-vous un moyen de rajouter une route (autrement qu’en
> STATIC) sur le serveur Bird, pour que ce dernier l’annonce (OSPF ou
> BGP) sans avoir à faire un « configure » à chaque changement ?
>
> Nous avons quelques routes OSPF que nous annonçons (+ 8000) et à
> chaque « configure » Bird renvoie toute la table (on lui fait relire
> un fichier de conf), du coup ça flood pas mal nos équipements (toutes
> les minutes)..

Pourquoi tu n’apprends pas les routes depuis le kernel ?

BTW, 8k routes dans un OSPF, soit tu as un très gros réseau, mais dans ce cas 
y’a peu de chances que tu utilises bird, soit faut passer à BGP.

--
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] OSPF Bird et configure

[Duchet Rémy]

Bonjour Elise,



En fait c’est uniquement la partie OSPF qui est réannoncé, et heureusement, car 
j’ai du BGP sur la même instance de Bird.



Cordialement,

Rémy



From: Elise Vennegues 
Sent: mercredi, 15 janvier 2020 18:59
To: Duchet Rémy 
Cc: frnog-t...@frnog.org
Subject: Re: [FRnOG] [TECH] OSPF Bird et configure



Bonsoir Rémy,



Tu peux sans doute regarder du coté de la feature "BGP: Optional Adj-RIB-Out”, 
par contre tu auras besoin de la version 2.0.7 pour supporter cette 
fonctionnalité.

Sinon tu peux aussi considérer l’ajout d’une table supplémentaire connectée par 
un pipe à la table master et ensuite tu y appliques sur le pipe un “export” 
spécifique et tu peer en out vers tes routeurs depuis cette table (j’avoue 
c’est un peu tordu mais tu reload que le pipe et non toutes tes sessions).



Bonne soirée.



—

Elise Vennéguès





   On Jan 15, 2020, at 6:01 PM, Duchet Rémy 
mailto:r...@duchet.eu>> wrote:



   Bonsoir la liste,



   S’il y a des utilisateurs de Bird sur la liste (je suis sur que oui) 
connaissez-vous un moyen de rajouter une route (autrement qu’en STATIC) sur le 
serveur Bird, pour que ce dernier l’annonce (OSPF ou BGP) sans avoir à faire un 
« configure » à chaque changement ?

   Nous avons quelques routes OSPF que nous annonçons (+ 8000) et à chaque « 
configure » Bird renvoie toute la table (on lui fait relire un fichier de 
conf), du coup ça flood pas mal nos équipements (toutes les minutes)..



   Merci pour vos suggestions.



   Cordialement,



   Rémy




   ---
   Liste de diffusion du FRnOG
   http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] OSPF Bird et configure

[Duchet Rémy]

Bonsoir la liste,



S’il y a des utilisateurs de Bird sur la liste (je suis sur que oui) 
connaissez-vous un moyen de rajouter une route (autrement qu’en STATIC) sur le 
serveur Bird, pour que ce dernier l’annonce (OSPF ou BGP) sans avoir à faire un 
« configure » à chaque changement ?

Nous avons quelques routes OSPF que nous annonçons (+ 8000) et à chaque « 
configure » Bird renvoie toute la table (on lui fait relire un fichier de 
conf), du coup ça flood pas mal nos équipements (toutes les minutes)..



Merci pour vos suggestions.



Cordialement,



Rémy




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] LWS.FR panne totale des services

[Duchet Rémy]

Sur leur Twitter :

" Un opérateur réseau dont nous dépendons à rencontré des problèmes de réseaux 
qui ont été résolus ce matin à 9H. Le problème a été corrigé afin qu'il ne se 
reproduise plus de leur coté. Nous nous excusons pour eux de la gène 
occasionnée. Les services sont en cours de redémarrage."

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Camille - 
Clean Mailbox
Sent: mercredi, 8 janvier 2020 09:16
To: 'Vincent Lamy' ; frnog-al...@frnog.org
Subject: RE: [FRnOG] [ALERT] LWS.FR panne totale des services

Je ne sais pas si c'est lié, mais hier soir il y a également eu 
(approximativement à la même heure) un incident DNS chez Vultr.

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Vincent 
Lamy Envoyé : mercredi 8 janvier 2020 09:12 À : frnog-al...@frnog.org Objet : 
[FRnOG] [ALERT] LWS.FR panne totale des services

Bonjour à tous,

Est ce que quelqu'un sait ce qui ce passe exactement avec l'hébergeur Lws.fr ?

Depuis hier 22H hier soir environ plus de réponse DNS , plus de services en 
général de la part de LWS, leur panel web est inaccessible, ligne tel est coupé.

Sur Tweeter la seul infos est : https://twitter.com/Lwshosting

> Nous subissons actuellement une perturbation réseau. Toutes notre
> équipe réseau est sur le problème. Nous mettons tout en œuvre pour
> rétablir le service dans les meilleurs délais.

*Vincent LAMY*
Informaticien
Service Support Utilisateurs
Direction des Systèmes d'Information et du Numérique


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Datacenter sur Annecy ?

[Duchet Rémy]

De mémoire, il n'y a plus rien de viable.
Demande à Jaguar Network, peut-être qu'ils ont finalement monté quelque chose 
en local.

Rémy
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Lucas 
Viallon
Sent: mercredi, 18 décembre 2019 12:06
To: frnog-m...@frnog.org
Subject: [FRnOG] [MISC] Datacenter sur Annecy ?

Bonjour,

Quelqu'un connaîtrait un Datacenter sur Annecy/Annecy le vieux autre qu'une 
salle de tutor/covage ?

Il me semble qu'il y a une solution sous Modulo mais impossible de trouver sur 
google, il est bien caché

merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel

[Duchet Rémy]

La motivation est le point le plus important lors d’un entretien. Mais il faut 
déjà arriver à passer le cap des sélections.

Même si j’applique (pour mon entreprise) une sélection en privilégiant 
l’attitude plutôt que les compétences (différence entre savoir-être et savoir 
faire), il faut avant tout donner envie sur le papier.

Et comme je l’ai évoqué, pas de diplôme c’est personnellement réducteur pour 
l’avenir, et plutôt handicapant pour les entreprises qui travaille avec des 
appels d’offres, des apprentis (il y a surement plein d’autres exemples).





From: Emmanuel Jacquet 
Sent: lundi, 18 novembre 2019 16:27
To: Duchet Rémy 
Cc: Jonathan Roulé ; frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel







Le lun. 18 nov. 2019 à 16:11, Duchet Rémy 
mailto:r...@duchet.eu>> a écrit :

   > ça peut te sembler long mais en France, sans diplôme ça peut vite être 
compliqué même quand tu es motivée et que tu as des compétences...

   Je n'ai pas précisé, mais cette problématique n'est pas limité à la France 
(je ne recrute plus pour la FR depuis +20ans)..



   Attends attends.. évitons les négations :) Tu veux dire que tu constates 
dans d'autres pays que le diplôme est parfois plus important que la motivation 
et les compétences, c'est ça ? Dans quel contexte (quel pays, quel type 
d'entreprise, privés/public) ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel

[Duchet Rémy]

> ça peut te sembler long mais en France, sans diplôme ça peut vite être 
> compliqué même quand tu es motivée et que tu as des compétences...

Je n'ai pas précisé, mais cette problématique n'est pas limité à la France (je 
ne recrute plus pour la FR depuis +20ans)..

Rémy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel

[Duchet Rémy]

Même avis que David. 
J'ajouterai plusieurs choses. Dans une entreprise, et pas forcément 
outre-Atlantique, il est aussi important d'avoir des diplômes pour les 
employés. 
Par exemple, les appels d'offres demandent de valoriser les équipes qui 
travailleront sur le projet, il faut un diplôme officiel pour ensuite 
accueillir des apprentis. Il y a pas mal de "cas" ou le diplôme, pour 
l'entreprise, est un vrai plus. 
A titre perso, j'ajouterai aussi que pour ton avenir c'est largement mieux. Si 
tu veux te spécialiser ensuite, avec des cours du soir, ou autre, ça sera plus 
simple. 
Parce que, tu l'as dis toi-même, l'informatique, c'est très vaste. Et avoir 
envie d'apprendre, c'est une qualité qu'il faut cultiver !

Pour ce qui est de la lassitude et de la routine, tu la retrouveras dans 
beaucoup de "grandes" structures. C'est un mal nécessaire pour toute 
organisation conséquente. 
Et, pour avoir recruter pas mal de personnes dans ma carrière, beaucoup 
n'adhère pas, mais pas tout le monde. 
Une SSII totalement désorganisé, ça peut avoir des côtés sympas. Mais pas 
longtemps.  (Ok, c'est un peu extrémiste comme exemple).

Bon courage pour ton choix,

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of David 
Ponzone
Sent: lundi, 18 novembre 2019 08:15
To: Cécile MORANGE 
Cc: frnog-m...@frnog.org
Subject: Re: [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel

Cécile,

Ma réponse est un peu entre 2 chaises.

Personnellement, je préfère 1000 fois recruter un jeune motivé, passionné et 
qui en veut, plutôt qu’un autre jeune, diplômé d’un BTS/IUT (et honnêtement, je 
ne sais même pas ce que ça vaut de nos jours vu que le BAC est quasiment donné) 
qui pense qu’il a fini les efforts, qui commence à parler horaires, vacances, 
avantages, et heure de départ le vendredi.
Après sacrifié son cursus académique, c’est une connerie aussi: le jour où tu 
veux t’expatrier dans un pays qui recrute des diplômés (le Canada, déjà cité), 
ou tu veux reprendre tes études pour faire un MBA par exemple.

Donc si tu es proche de la fin, termine, et termine haut la main même!
Avec une mention TB au Bac, et des compliments/félicitations du jury en BTS, ça 
va quand même aider un recruteur parce qu’il sait qu’il a en face de lui une 
personne avec un cerveau et avec un sens du sérieux et de l’effort.
Si en plus tu lui montres que tu as une réelle passion pour le domaine, il 
serait idiot de te prendre pour du boulot de ticketing.

> Le 17 nov. 2019 à 22:10, Cécile MORANGE  a écrit :
> 
> Hello la liste !
> 
> Avant de me lancer dans une aventure pour le moins risqué (= quitter ma 
> formation actuelle et aller faire un vrai métier qui me plait), j’aimerais 
> avoir votre avis, vous qui travaillez dans ce secteur d’activité et vous qui 
> savez la réalité des choses.
> Pour ceux qui ne me connaissent pas, Cécile, 19 ans, Aix-en-Provence, en 
> alternance BTS SIO SISR (en gros système réseau) chez un OIV. Mon CV est 
> disponible ici : https://cecilemorange.fr. @AtaxyaNetwork sur twitter (oui 
> oui, la folle qui a fait une server room chez elle).
> 
> Ma question est la suivante :
> - Si je quitte mon BTS maintenant, aurai-je des chances de trouver un boulot 
> qui me plait ?
> (Le pourquoi du comment se trouve ici : 
> https://www.twitlonger.com/show/n_1sr2c32. En résumé, j’ai l’impression de 
> rien apprendre en cours, et mon travail consiste à 90% à faire des tickets)
> 
> J’en ai parlé avec plusieurs personnes dans cette liste, on a déjà débattu 
> sur le « Oui, mais un diplôme c’est mieux », mais dans l’état actuel des 
> choses, la seule chose qui me freine à arrêter ce BTS et l’alternance est de 
> ne pas retrouver de travail.
> 
> Un boulot qui me plairait ? De la technique. (bon, plus en système qu’en 
> réseau), c’est-à-dire toucher à des serveurs, des configs, et pas faire des 
> tickets pour que ce soit l’infogérant qui le fasse. 
> Et un qui me fait rêver ? En datacenter.
> 
> Voilà, j’ai besoin de vos avis (et des idées de métier que je pourrais viser) 
> pour m’aider dans ma décision finale
> 
> Merci d’avance et bonne fin de week-end à tous (ou bon lundi, ça dépends de 
> quand vous lirez ce mail !)
> 
> Cordialement,
> 
> Cécile MORANGE 
> cont...@cecilemorange.fr
> @AtaxyaNetwork
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Filtrage ICMP > 96 bytes sur 8.8.8.8/8.8.4.4

[Duchet Rémy]

> Tu n’as pas une réponse tronquée ?

Si effectivement, depuis ici c'est truncated.

ping  -s 150 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 150(178) bytes of data.
76 bytes from 8.8.8.8: icmp_seq=1 ttl=51 (truncated)
76 bytes from 8.8.8.8: icmp_seq=2 ttl=51 (truncated)
76 bytes from 8.8.8.8: icmp_seq=3 ttl=51 (truncated)
76 bytes from 8.8.8.8: icmp_seq=4 ttl=51 (truncated)
76 bytes from 8.8.8.8: icmp_seq=5 ttl=51 (truncated)

Rémy DUCHET


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Routeur 3 full tables BGP et 10G

[Duchet Rémy]

> avec 8Go de ram => c'est bon pour 3 full tables ?

J'ai déjà eu plusieurs ASR1001X, avec 8 Go RAM qui tournent sans soucis avec 
plus que 3 full views.
Un ASR1001X, neuf (chez CISCO) c'est largement moins que 10k.
Et ici, c'est pas réputé pour être bon marché.. (CH).



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Update firmware sur switch root RSTP

[Duchet Rémy]

Hello,

Pour les N4032, il faut aussi vérifier si l'iSCSI est activé, avec le 
session-monitoring. 
Autre chose, la liaison stockage <-> serveurs doit probablement utiliser du 
multipath. 
Si c'est une seule fabrique (comme le disait Michel) il faut aussi vérifier que 
les serveurs aient bien tous les "path" actifs.
La bascule d'un path est souvent un peu "lente", surtout si les timeout sont 
élevés (coté serveur), et j'ai déjà vu des VM (sous VMWARE) qui freeze dans des 
conditions identiques. 
Bref, pour un upgrade serein, avec le moins d'IO possible, vu le design.

Rémy 

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Rémi 
Holveck
Sent: Monday, 9 September 2019 10:51
Cc: frnog-t...@frnog.org
Subject: Re: [FRnOG] [TECH] Update firmware sur switch root RSTP

Bonjour,

Merci pour vos réponses. En y ayant un peu plus réfléchi et en prenant en 
compte l'astuce de Michel je comprends mieux ce que fera RSTP à chaque étape.

Je suis presque serein maintenant ! Je vous ferai un retour après l'opération 
qui aura lieu d'ici quelques semaines.

On est d'accord que ce genre de réseau pour du stockage c'est pas idéal. 
Mais, "c'est comme ça pour le moment", pas le choix..

Ça a le mérite de faire se creuser un peu la tête ;) J'aurai appris des choses.

Cordialement,
  
Rémi Holveck
Ingénieur Infrastucture
SMILE OPS - https://ops.smile.eu



---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

[FRnOG] [TECH] RE: Conseil switchs 10G

[Duchet Rémy]

> Les Cisco, comme les DELL et beaucoup d'autres sont LifeTime warranty. 
> Ça ne veux pas dire qu'ils seront réparé encore dans 10 ans :

> Ca veux dire que s'il crame t'en auras un mieux dans 10 ans. Déjà eu ça avec 
> les switch HP... mais c'était il y a 10 ans :)

En fait, non. Ça ne veux pas dire ça, sur les conditions CISCO.
C'était le cas sur les anciens Switchs (j'ai eu plusieurs fois le cas sur du 
HP, des 3Com ) mais ce n'est plus valide :

https://www.cisco.com/c/en/us/products/warranties/warranty-doc-c99-740619.html 
Et pour la version Française 
https://www.cisco.com/c/en/us/products/warranties/warranty-doc-c99-740690-fr.html
 .


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Conseil switchs 10G

[Duchet Rémy]

Y'as des Uplink à 100 G sur les Cisco Nexus 3064PQ-10GX ?
Les Cisco, comme les DELL et beaucoup d'autres sont LifeTime warranty. Ça ne 
veux pas dire qu'ils seront réparé encore dans 10 ans :

Duration of Hardware Warranty: Lifetime*
*Contingent that original end user continues to own or use the product. In the 
event of discontinuance of product manufacture, Cisco hardware warranty support 
will be discontinued on the Last Date of Support (LDoS) published in the 
product End of Life Announcement.

D'autant que 
https://www.cisco.com/c/en/us/products/collateral/switches/nexus-3000-series-switches/eos-eol-notice-c51-738099.html
 


-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Jeremy
Sent: Tuesday, 30 July 2019 00:09
To: Matthieu Courtois 
Cc: frnog-t...@frnog.org
Subject: Re: [FRnOG] [TECH] Conseil switchs 10G

Achète des Cisco Nexus 3064PQ-10GX, ça coute 700 balles en occasion garantie à 
vie, et ça fait tout ce que tu veux à un prix défiant toute concurrence.
48 ports 10Gb/s SFP+, 4 ports 40Gb/s QSFP, double alim, IOS, port console, et 
ça fait du niveau 3 si necessaire.

Certains font peut être du DELL mais franchement, qui prend du DELL de nos 
jours ? :)

Liste de broker dispo dans les archives. Sinon, à la louche : Alturna Networks, 
MercadoIt, Terabits Systems, etc...

Jérémy

Le 29/07/2019 à 23:33, Matthieu Courtois a écrit :
> Bonjour à tous,
>
>   
>
> Avec l’extension de notre réseau MAN et des nouveaux besoins qui vont 
> avec, je suis en train de revoir l’architecture réseau actuelle ainsi 
> que le passage en 10G
>
>   
>
> Actuellement nous avons 3 Dell S3048ON en stack qui font office de 
> cœur de réseau puis des Dell N2000 pour la distribution.
>
>   
>
> Mon premier choix était de rester sur du Dell et de partir sur 2 S4148F.
>
>   
>
> J’ai vu le S5850-48S6Q de chez FS.com qui correspond à mes besoins.
> Quelqu’un a-t-il déjà tester cette gamme ? C’est quand même moitié 
> prix qu’un S4148F !
>
>   
>
>
> Mes besoins sont plutôt basiques, un switch L3 (MLAG/VLT - LACP – STP-
> VLAN) 48 Ports SFP+ 10G, Uplink 40G/100G
>
>   
>
> Auriez-vous des conseils pour des switchs 10G ?
>
>   
>
> Merci d’avance !
>
> Matthieu.
>
>   
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [TECH] Serveur avec disques NVMe

[Duchet Rémy]

Nagios ou équivalent + logiciel du fabricant (pour moi Dell, qui le fournit 
gratuitement).
Fonctionne sur Linux et Windows, vmware.
Préviens même des updates firmware, des predictives failures etc..

Rémy



 Message d'origine 
De : Stéphane Rivière 
Date : 15/06/2019 19:07 (GMT+01:00)
À : Duchet Rémy , Richard Klein , 
Ludovic Scotti 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Serveur avec disques NVMe

> Le choix raid soft ou hard est un choix d'économie avant tout selon moi.

Sincèrement... non... En tout cas pour moi...

J'ai eu des clients haut de gamme, au début, j'ai voulu les soigner,
leur mettre le meilleur, pas lésiner... La seule fois où j'ai perdu un
RAID... La honte... Bon, y'avait des sauvegardes...

Depuis, je suis KISS pour ça... Et KISS pour tout en fait... Je ne
touche que des trucs qui se caressent à la ligne de commande et qui
restent simples (j'ai pas dit simplistes :).

Pour moi le choix RAID hard/soft peut aussi découler d'une contrainte
soft, comme certains hyperviseurs ou systèmes aiment bien croire qu'ils
sont sur un seul disque...

Marrant comme on a tous des expériences différentes...

Les cycles de recharge monitorables : compatible avec quel OS ou
hyperviseur ? (par curiosité).

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur avec disques NVMe

[Duchet Rémy]

Courte expérience de quelques milliers de serveur avec carte raid et batterie 
intégrée.:
Les cycles de charge et recharge sont monitorable, tout comme l'état de la 
batterie.
Si le monitoring ne remonte rien, c'est un autre problème.
En presque 30 ans, une seule carte Raid m'a obligé de remonter une sauvegarde.

Le choix raid soft ou hard est un choix d'économie avant tout selon moi.

Rémy



 Message d'origine 
De : Richard Klein 
Date : 15/06/2019 18:30 (GMT+01:00)
À : Ludovic Scotti 
Cc : frnog@frnog.org, s...@genesix.org
Objet : Re: [FRnOG] [TECH] Serveur avec disques NVMe

Bonjour,

Avec vos RAID hard et le flush du cache en ram sauvegardé par une pile au
lithium avec 500 cycles de charge/décharge qui génère des alarmes dans les
logs lorsque la pile est HS vous faite quoi?
Et pas de supervision sur ce type d’alarme et bien les serveurs étaient en
mode dégradé pendant plusieurs années.

Voilà ma petite expérience :-)

Richard

Le sam. 15 juin 2019 à 17:38, Ludovic Scotti  a écrit :

> Avec vos RAID soft comment gérez-voud la coupure électrique ou autre et que
> les données n'ont pas été flushé sur les disques ?
> Les cartes HW ont en général une batterie associé pour garder en cache les
> données en mémoire le temps que cela soit de nouveau possible d'écrire sur
> les disques.
>
> Le ven. 14 juin 2019 à 18:50, Stéphane Rivière  a écrit
> :
>
> > > Donc oui, je ne vois pas l'avantage du RAID HW en 2019 ?
> >
> > +1
> >
> > Dans la plupart des cas : que des emmerdes, de la complication et des
> > incompatibilités. Et ça fait au moins 10 ans que le raid soft est plus
> > rapide que 90% des cartes hardware...
> >
> > Mais il y a des os ou des virtualiseurs qui adorent les cartes raid
> > hardware car elles présentent une topologie disque compréhensible pour
> > eux...
> >
> > --
> > Be Seeing You
> > Number Six
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [MISC] Re: [FRnOG] [JOBS] Concours d'ingénieur des systèmes d'information et de communication

[Duchet Rémy]

Je suis sûr que chacun connais pas mal  de personnes qui ont des jobs dans le 
privé plutôt cool (en terme d'activité), et plein de fonctionnaires qui sont 
plus proche des 200% d'activité.
Les fonctionnaires sont avant tout des humains. Et avant de vouloir 
stigmatiser, il faut avoir un peu de recul, sur la personne, son poste, son 
environnement et sa capacité à évoluer. 
Il m'arrive aussi de pester contre l'administratif Français (et d'autres pays). 
 Mais est-ce la personne en face qui en est la cause ?

Et oui, il m'arrive aussi de penser que le système scolaire n'est pas adapté à 
MA réalité. Mais MA réalité n'est pas celle de tous. (et heureusement..).
J'ai eu la chance d'avoir des stagiaires (IUT Annecy inclut). Et même d'en 
avoir engagé. 
Le système n'est pas parfait, c'est aussi ce qui nous permet de rêver qu'il 
nous reste de belles expériences à vivre.

Rémy

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Kavé 
Salamatian
Envoyé : vendredi, 24 mai 2019 12:20
À : Benoît ALBERT - OBSPM 
Cc : frnog@frnog.org
Objet : Re: [MISC] Re: [FRnOG] [JOBS] Concours d'ingénieur des systèmes 
d'information et de communication

Je ne sais pas pour les entreprises, mais je suis fonctionnaire et donc par 
définition un fainéant et un tire-au-flanc qui ne fout rien et en plus qui 
n’apprend rien au étudiants. Mais pour justifier des financements de l’UE je 
dois enregistrer mon activité et j’ai donc un fichier excel qui récapitule 
heure par heure le travail que je fais. Voici un extrait de la semaine 13/05 au 
20/05:

- 17,5 heures d’enseignement devant les élèves
- 10 h réunion (administration)
- 4 h réunion (recherche)
- 8 h revue d’articles/conférence
- 3,5h  phone call
- 4 h correction copie/preparation de cours
-13,5 h recherche
- 4,75 h transport

Soit 65,25. C’était une bonne semaine ou j’ai pu dormir en moyenne (ma montre 
connecté le dit 6h par soir).

Je ne compte pas la dedans le temps pour déjeuner. Ni celui pour aller de chez 
moi au bureau. Journée type : départ maison 8h-retour 19h30 Activité de 
recherche, de relecture  d’article en général de 10 du soir à 1 AM, et les week 
ends. Et tous ceci pour un salaire faramineux de fonctionnaire < 3500 € net 
avec les primes après 20 ans de carrière.

Ca suffit comme exemple ? Ou je sors les semaines d’avant ?

Kv



> Le 24 mai 2019 à 09:05, Benoît ALBERT - OBSPM  a 
> écrit :
> 
> Mouaip 70h par semaine
> 
> Juste un rappel une semaine de 7 jours c'est 168 heures donc en gros 
> tu dors 7h tu bouffes 3h par jours (2x 1h30) il te restera un peu de 
> temps
> 
>  une semaine de 5 heures c'est 120 la aux mêmes  conditions il te reste 
> zéro...
> 
> Donc moi les mecs qui me disent faire 70h par semaine soit 10h 7/7 ou 14h 5/7 
> ils me font bien marrer. En gros ils vont jamais chier un cake...
> 
> Bon vendredi
> 
> 
> Le 23/05/2019 à 22:47, Jeremy a écrit :
>> Bonjour,
>> 
>> Pour répondre rapidement via MISC car on s'écarte un peu du sujet, je suis 
>> d'accord avec ce jolie bordel.
>> Quand j'ai compris ça lors de mon premier job à 18 ans, j'ai démissionné, 
>> créé ma boite, étudié par moi même les notions techniques et analytiques qui 
>> m’intéressaient, et 10 ans plus tard, je suis en train de concevoir, 
>> préparer et construire mon 2ème datacenter. Les études de charges, 
>> climatiques, électriques, les plans sur toutes les couches, les normes, les 
>> certifs, etc... je fais tout moi même.
>> Bon, je fais passer un Bureau de contrôle à la fin par principe mais j'ai 
>> jamais eu une seule annotation à mes plans.
>> 
>> Alors, oui, il y a plein de gens qui se pensent plus pertinent, 
>> intéressants, utiles sur ce genre de projets. Mais en fait, non merci. 
>> Sinon, j'me fais chier en fait !
>> 
>> Et je n'ai qu'un BAC (parce que honnêtement, je me faisais plus que chier à 
>> l'univ ensuite).
>> 
>> En résumé, le diplôme ne sert qu'à frimer devant le recruteur. Je ne 
>> pourrais jamais devenir fonctionnaire, surtout si je veux continuer à faire 
>> ce métier, et pourtant, il y en aurait bien besoin. Mais ces règles sont 
>> débiles et je ne peux rien y faire.
>> Le pire dans l'histoire, c'est que je donne des cours à des BAS+3 / BAC+5 à 
>> cette même univ 10 ans plus tard (ou j'ai fait 2 mois d'études) car ils me 
>> trouvent plus pertinent que leur collège de doctorants...
>> 
>> Bref, le système est pourrit, c'est pas nouveau. Je pourrais bien passer une 
>> VAE. Mais la flemme d'écrire 80 pages pour "prouver" ce que je sais faire. 
>> Il suffit de visiter et/ou regarder mes projets pour s'en rendre compte.
>> 
>> Bon, par contre, les 70h / semaine, je les avais pas anticipé. Mais bon, 
>> j'adore ça donc bon, c'est un bien maigre sacrifice... (Ceci dis, qui est 
>> prêt à faire 70h par semaine pour mon salaire juste parce que ça le 
>> passionne sur cette nouvelle génération ? Y aura pas grand monde devant la 
>> porte... Pays de fainéant vous avez dis ? Allez, insultez moi ! J'adore ça ! 
>> ).
>> 
>> Jérémy
>> 

RE: [FRnOG] [TECH] fichier full view Quagga

[Duchet Rémy]

C’est sûr que ce n’est pas rapide, mais il me semble que ça vient du fait que 
c’est des replay.
Du coup, nous l’avons testé sur plusieurs VM pour monter à +4M de routes, 
c’était l’objectif principal.
Je n’avais pas trouvé d’autre possibilité pour « stresser » en BGP, hormis des 
scripts pour générer des routes statiques (encore plus lent).

Rémy


De : Sylvain sbu 
Envoyé : mardi, 30 avril 2019 16:58
À : Duchet Rémy 
Cc : frnog-tech 
Objet : Re: [FRnOG] [TECH] fichier full view Quagga

Nous aussi mais ça fonctionne pas terrible et c'est très lent avec ce script. 
il faut modifier les timer pour que ca keep etc ...
avec quagga nous somme a 30 s d'enfournation d'une full view e 800k  (omogène 
donc forgé) alors qu'avec ce script il faut 15 min pour 500k de routes.

SBU

Le mar. 30 avr. 2019 à 16:51, Duchet Rémy 
mailto:r...@duchet.eu>> a écrit :
Bonjour,

Nous avons joué avec ça 
https://www.stubarea51.net/2016/01/21/put-50-bgp-routes-in-your-lab-network-download-this-vm-and-become-your-own-upstream-bgp-isp-for-testing/

Rémy

-Message d'origine-
De : frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> 
mailto:frnog-requ...@frnog.org>> De la part de Sylvain 
sbu
Envoyé : mardi, 30 avril 2019 16:47
À : frnog-tech mailto:frnog-t...@frnog.org>>
Objet : [FRnOG] [TECH] fichier full view Quagga

Bonjour,
Qqu'un aurrait-il une méthode pour injecter une full view (idéalement de 
plusieurs point du net) dans un quaqqa afin de faire un LAB d'injection de 
routes + summarization) dans des routers.
J'ai essayé avec un script convertisseur depuis un MRT, mais je n'en trouve pas 
qui fonctionne... trop view pour mes interpréteurs je pense) cdt SBU

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] fichier full view Quagga

[Duchet Rémy]

Bonjour,

Nous avons joué avec ça 
https://www.stubarea51.net/2016/01/21/put-50-bgp-routes-in-your-lab-network-download-this-vm-and-become-your-own-upstream-bgp-isp-for-testing/
 

Rémy

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Sylvain sbu
Envoyé : mardi, 30 avril 2019 16:47
À : frnog-tech 
Objet : [FRnOG] [TECH] fichier full view Quagga

Bonjour,
Qqu'un aurrait-il une méthode pour injecter une full view (idéalement de 
plusieurs point du net) dans un quaqqa afin de faire un LAB d'injection de 
routes + summarization) dans des routers.
J'ai essayé avec un script convertisseur depuis un MRT, mais je n'en trouve pas 
qui fonctionne... trop view pour mes interpréteurs je pense) cdt SBU

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Juniper MX80 et export netflow/ipfix : AS4294967295

[Duchet Rémy]

C’est vrai qu’ELK c’est pas « light ».
Par contre, on fait du TOP AS, du TOP AS IN , du TOP AS OUT , du TOP AS IPv6 ou 
IPv4..
Il est possible de tout faire, beaucoup plus qu’AS-STATS.
Mais il faut de toute façon du stockage, et un peu de RAM (Java quand même..).

Rémy

De : Mathieu Poussin 
Envoyé : vendredi, 12 avril 2019 16:07
À : Hugues Voiturier 
Cc : Duchet Rémy ; Radu-Adrian Feurdean 
; frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Juniper MX80 et export netflow/ipfix : AS4294967295

En faite on est dans une situation ou toute l'infra netflow doit être refaite, 
donc je pensais couvrir a la fois la partie AS-Stats et NfSen d'un coup. Et si 
en plus ca peut nous donner des stats intéressantes je pense que ca peut être 
bon a prendre.


 On Fri, 12 Apr 2019 15:57:57 +0200 Hugues Voiturier 
mailto:hugues-lis...@milkywan.fr>> wrote 

C’est a mon sens assez moyen : Ça consomme à mort, et j’ai un gros souci : il 
ne sait pas différencier les usages internes des usages externes, donc j’ai 
plein de trafic a destination de moi.

Et ça ne répond pas du tout au besoin d’AS-Stats, a savoir avoir un top des AS 
avec qui tu fais du traf.

Bref, un outil fancy pour une équipe qui opère un CDN, mais pour du contexte 
opérateur ça me semble casse gueule…

Hugues
AS57199 - AS50628

> On 12 Apr 2019, at 15:51, Mathieu Poussin 
> mailto:m...@mpouss.in>> wrote:
>
> Ah oui je viens de tomber la dessus, ca a l'air pas mal en effet... Pour 
> remplacer as-stats et nfsen : https://github.com/robcowart/elastiflow
>
>
>
>
>  On Fri, 12 Apr 2019 15:26:38 +0200 Duchet Rémy 
> mailto:r...@duchet.eu>> wrote 
>
>
>
>
>
>> AS-Stats c'est du open-source, donc ca se modifie. Surtout qu'un changement 
>> pour palier a ca ca ne doit pas etre super-complique.
>
>
>
> C'est les routeurs (Juniper en l'occurrence) qui envoient les AS, pas 
> AS-STATS qui les "trouve" tout seul.
>
> On peut modifier l'AS reçu, mais si les JUNIPER ne font pas de distinction 
> entre les AS (90% de son trafic) AS-STATS aura du mal à savoir d’où vient le 
> trafic.
>
>
>
> Du coup pour palier à ça faut passer par une "moulinette" qui modifie le 
> paquet envoyé à AS-STATS.
>
> En l'occurrence, nous sommes passé sur du ELK. Et Logstash gère ça en "input".
>
>
>
> Rémy
>
>
>
> ---
>
> Liste de diffusion du FRnOG
>
> http://www.frnog.org/
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Juniper MX80 et export netflow/ipfix : AS4294967295

[Duchet Rémy]

> AS-Stats c'est du open-source, donc ca se modifie. Surtout qu'un changement 
> pour palier a ca ca ne doit pas etre super-complique.

C'est les routeurs (Juniper en l'occurrence)  qui envoient les AS, pas AS-STATS 
qui les "trouve" tout seul. 
On peut modifier l'AS reçu, mais si les JUNIPER ne font pas de distinction 
entre les AS (90% de son trafic) AS-STATS aura du mal à savoir d’où vient le 
trafic.

Du coup pour palier à ça faut passer par une "moulinette" qui modifie le paquet 
envoyé à AS-STATS. 
En l'occurrence, nous sommes passé sur du ELK. Et Logstash gère ça en "input".

Rémy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] FRR / BGP / IPv6 NLRI

[Duchet Rémy]

Hello,

> Tu as essayé d'ajouter "version 4+" à ta conf neighbor de FRR ?

Désolé, dans le flux j'ai zapé la demande. 
A priori, ça ne marche pas dans la version que j'ai (6.0.2)

neighbor 192.168.0.2 version 4+
% Unknown command:  neighbor 192.168.0.2 version 4+

Rémy 





smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] FRR / BGP / IPv6 NLRI

[Duchet Rémy]

Oui, mais sur les versions récentes c'est ajouté automatiquement. 
Tous les neighbor sont en "no neighbor xxx:::xx activate" sur 
l'address-family ipv4.

Ce qui semble poser problème c'est .. les routes IPv6 annoncés des ASR au 
route-server (FRR):
Si je n'annonce rien depuis les ASR, les sessions BGP restent UP (j'ai changé 
les IP et l'AS) mais en "NoNeg"..:

NeighborVAS MsgRcvd MsgSent   TblVer  InQ OutQ  Up/Down 
State/PfxRcd
192.168.0.174  65129   7   6000 00:02:00
2
192.168.0.184  65129   7   4000 00:01:58
2
2001:4fe0::17   4  65129   6   3000 00:01:59 NoNeg
2001:4fe0::18   4  65129   6   4000 00:02:00 NoNeg

Dès que je mets une route sur un ASR (en IPv6), c'est le drame..
%BGP-3-NOTIFICATION: received from neighbor 2001:4fe0::16 3/10 (illegal 
network) 0 bytes d


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de 
Radu-Adrian Feurdean
Envoyé : mardi, 29 janvier 2019 12:13
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] FRR / BGP / IPv6 NLRI

On Mon, Jan 28, 2019, at 20:50, Pierre Emeriaud wrote:

> afi 1 ça risque de poser problème ici... lié à la première erreur 
> peut-être ?
> (pour mémoire les address families sont définies ici :
> https://www.iana.org/assignments/address-family-numbers/address-family
> -numbers.xhtml)

Ce qui me rapelle que par default sur Cisco il faut faire attention a deactiver 
un peer IPv6 dans "address-family ipv4" et le peer ipv4 dans "address-family 
ipv6". De memoire, au moins le premier cas est actif par default.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

[FRnOG] [TECH] FRR / BGP / IPv6 NLRI

[Duchet Rémy]

Bonjour la liste,

 

Nous avons décidé de nous lancer sur du RS pour collecter toutes nos routes.
Nous avons donc nos serveurs installé et UP-TO-DATE avec FRR.

Pour la partie IPv4 tout roule. 

Pour la partie IPv6, ça ne fonctionne pas du tout, la session BGP est reset.


Coté routeur, c’est du Cisco ASR, avec rien d’exotique (à mon sens) dans la
config :

 

router bgp X

bgp router-id XXX.XXX.XXX.XXX

no bgp enforce-first-as

bgp log-neighbor-changes

neighbor :::XX remote-as X

 

address-family ipv6

  network :::XX::/32

  neighbor :::XX activate

  neighbor :::XX next-hop-self

  neighbor :::XX allowas-in

  neighbor :::XX soft-reconfiguration inbound

exit-address-family

 

Coté FRR : 

router bgp X view route-server 

 bgp router-id XXX.XXX.XXX.XXX

neighbor :::XX remote-as X

!

address-family ipv6 unicast

  neighbor :::XX activate

  neighbor :::XX as-override

  neighbor :::XX soft-reconfiguration inbound

  neighbor :::XX route-server-client

  neighbor :::XX attribute-unchanged next-hop

exit-address-family

 

Extrait de logs de FRR : 

 

2019/01/28 15:21:06 BGP: u903:s941 add peer :::XX

2019/01/28 15:21:06 BGP: :::XX: Interface not set appropriately to
handle this some attributes

2019/01/28 15:21:06 BGP: :::XX: Attribute MP_REACH_NLRI, parse error
- treating as withdrawal

2019/01/28 15:21:06 BGP: :::XX rcvd UPDATE with errors in attr(s)!!
Withdrawing route.

2019/01/28 15:21:06 BGP: :::XX [Error] Update packet error (wrong
prefix length 64 for afi 1)

2019/01/28 15:21:06 BGP: :::XX [Error] Error parsing NLRI

2019/01/28 15:21:06 BGP: bgp_process_packet: BGP UPDATE receipt failed for
peer: :::XX

2019/01/28 15:21:06 BGP: :::XX remove from all update group

2019/01/28 15:21:06 BGP: delete subgroup u903:s941

2019/01/28 15:21:06 BGP: delete update group 903

2019/01/28 15:21:21 BGP: bind to interface route-server failed, errno=1

2019/01/28 15:21:21 BGP: :::XX unrecognized capability code: 70 -
ignored

2019/01/28 15:21:21 BGP: create update group 904

2019/01/28 15:21:21 BGP: create subgroup u904:s942

2019/01/28 15:21:21 BGP: u904:s942 add peer :::XX

2019/01/28 15:21:21 BGP: :::XX: Interface not set appropriately to
handle this some attributes

2019/01/28 15:21:21 BGP: :::XX: Attribute MP_REACH_NLRI, parse error
- treating as withdrawal

2019/01/28 15:21:21 BGP: :::XX rcvd UPDATE with errors in attr(s)!!
Withdrawing route.

2019/01/28 15:21:21 BGP: :::XX [Error] Update packet error (wrong
prefix length 64 for afi 1)

2019/01/28 15:21:21 BGP: :::XX [Error] Error parsing NLRI

2019/01/28 15:21:21 BGP: bgp_process_packet: BGP UPDATE receipt failed for
peer: :::XX

2019/01/28 15:21:21 BGP: :::XX remove from all update group

2019/01/28 15:21:21 BGP: delete subgroup u904:s942

2019/01/28 15:21:21 BGP: delete update group 904

 

J’ai regardé sur le « unrecognized capability code: 70 » qui semble être ça
https://github.com/FRRouting/frr/issues/2864 , mais rien de sûr. 

Du coup, comme j’imagine que d’autre ont déjà en prod du FRR avec IPv6 et du
CISCO, peut-être que l’un de la liste aurais une idée.

Je précise que j’ai déjà essayé avec 0 options sur le FRR + ASR (as-override
, soft-reconfig, attribute-unchanged etc..)

 

Merci pour vos lumières,

 

Rémy

 



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] le prix de l'essence

[Duchet Rémy]

D’autant que l’urgence aujourd’hui c’est les émissions de CO2 non ? 

Et de ce point de vue-là, La France est pas si mal en production d’électricité..

  
https://www.electricitymap.org/?page=map=false=true=true 

 

De : frnog-requ...@frnog.org  De la part de 
r...@futomaki.net
Envoyé : vendredi, 21 décembre 2018 12:44
À : Ge DUPIN 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] le prix de l'essence

 

Je ne pense pas que jacovici soit un pro nucléaire. Il interroge sur la 
transition énergétique et je le trouve assez convainquant quand il explique 
qu'à très court terme sortir du nucléaire à la hâte serait mauvais/contre 
productif. 

Sent from my Mobile



 Original Message 
Subject: Re: [FRnOG] [MISC] le prix de l'essence
From: Ge DUPIN 
To: Raphael Mazelier 
CC: frnog@frnog.org




Bonjour
Plutôt que de lire un pro-nucléaire, je recommanderais plutôt la lecture des 
scénarios Negawatt
https://www.negawatt.org/Publications 
Cdt
Ge

> Le 21 déc. 2018 à 12:14, Raphael Mazelier a écrit :
> 
> On 21/12/2018 11:20, Stéphane Rivière wrote:
> 
>> C'est toujours mieux que de l'électricité nucléaire (à part le pétrole de 
>> schiste toutefois).
> 
> Tout dépend de ce que tu veux dire par la. Si tu veux dire que la voiture 
> électrique n'est pas une très bonne solution écologique je te l'accorde. La 
> meilleure solution pour le déplacement autonome à l'heure actuelle reste une 
> voiture avec moteur à combustion a faible consommation (1L au 100).
> 
> Pour le reste je t'invite a lire Jean-Marc Jancovici sur le nucléaire. Ce 
> n'est certainement pas une solution long terme (puisque de toute manière il 
> faut décroître), mais s'en passer pour la transition semble une erreur.
> 
> --
> Raphael Mazelier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] le prix de l'essence

[Duchet Rémy]

+1000 Un mail comme ça, ça redonne fois en l'humanité pour quelques heures (au 
moins!).
Merci Alexis, vraiment. 

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Alexis 
Prodhomme
Envoyé : vendredi, 21 décembre 2018 09:26
À : Michel Py 
Cc : Frnog misc 
Objet : Re: [FRnOG] [MISC] le prix de l'essence

Ce vendredi commence bien :) 

Je pense que tous les français sont au courant qu’on l’a bien profond sur les 
taxes. 
Mais il y a un gros avantage quand même : ce beau pays est super lent pour 
voter les lois. Du coup, ceux qui sautent sur les nouvelles techniques, 
essayent, innovent ou que sais-je s’en sortent et les autres trinquent. 
Je prends par exemple la trottinette électrique. Ça fait déjà quelques années 
que des modèles sérieux existent (ça monte à 85km/h ces trucs la). Ceux qui en 
ont profité au début ont économisé pas mal d’argent. Maintenant ils parlent de 
légiférer tout ça. 
Alors c’était déjà illégal de s’en servir sur route (+25km/h -> Il faut 
homologuer) mais comme personne n’en avait, y’avait peu d’abus (En nombre) donc 
ça passait. 

Pour ce qui est des taxes sur le carburant, franchement ça m’en touche une sans 
bouger l’autre. Je suis un fervent défenseur de l’essence (un fervent opposant 
au diesel aussi). Ça fait des années que je paye + que la majorité des gens. 
Mais je m’en fiche. On sait depuis les années 80 (!) que le diesel est une 
belle merde, qu’il provoquera à terme de gros soucis de santé, notamment 
respiratoires chez les personnes les plus jeunes. Mais non, les gens continuent 
à acheter une Twingo Diesel pour faire 10km/jour. Super. Pour rappel, le soucis 
du diesel sur les moteurs récents, ce sont les NOx. Le soucis de l’essence, 
c’est le CO2. Pour supprimer le CO2, on plante des arbres. Pour supprimer les 
NOx, c’est juste une galère. Mais, comme pour le nucléaire, la France a choisi 
de promouvoir le diesel parce qu’il était plus avantageux sur le court terme. 

Pour ce qui est des gilets jaunes, je ne comprends pas ce mouvement. On est 
dans un pays où la durée légale de travail est de 35h/semaine. Une semaine, 
c’est 168h. On travaille 20% de notre semaine et le reste du temps on fait ce 
qu’on veut. Et les gens se plaignent de ne pas gagner assez. 
Quand je vois des reportages de gens qui se plaignent de gagner trop peu pour 
vivre, le manifestent et se font filmer le cul sur leur canapé devant la TV 
pour le dire, je rigole fort. 
Du travail, en France, il y en a. Pas partout, clairement. Mais il y en a. Je 
viens d’un lieu où il suffit de traverser la rue pour en trouver. Les 
entreprises, nombreuses, mettent des banderoles « recrute x en CDI » sur 
leurs grillages, le long des routes, et ces banderoles restent plusieurs ANNÉES 
accrochées. 
Et bien dans ce lieu (Ille-et-Vilaine), on trouve encore du chômeur longue 
durée. « Oui mais moi je veux travailler dans le tricot de bonnets fait main en 
poils de mouche, le travail que vous me proposez ne correspond pas à ce que je 
cherche ».
Quand il n’y a pas de boulot chez soit, on déménage. C’est pas facile, 
contraignant, pas drôle. Mais même a la préhistoire ils l’avaient compris ! 
L’homme se déplaçait en fonction de la nourriture. Y’a pas à manger ici ? Ils 
allaient voir ailleurs.
« Difficile n’est pas impossible, c’est juste moins évident que facile ». A 
toujours choisir la facilité, on ne peut pas se plaindre. Sauf en France. 

Bref, ce pays se fait emmerder par des gens qui n’innovent pas, font comme tout 
le monde, se plaignent de ne pas sortir leur épingle du jeu et attendent que le 
gouvernement les épargnent. 

J’ai fait trop long, zut. 

Alexis


> Le 21 déc. 2018 à 04:42, Michel Py  a 
> écrit :
> 
> En lisant la presse qui parle des gilets jaunes, et comme nous les 
> Américains on aime bien foutre le boxon dans les autres pays ;-)
> 
> J'ai fait le plein de ma camionnette (Nissan Frontier, en Français Nissan 
> Navara King Cab) ce matin.
> 69,2 litres (18,28 Gallons)
> Prix "blaireau" à la pompe : 0,68 € / l  ($2.979 / G) c'est cher, mais je 
> suis en Californie.
> Coupon Safeway (le même supermarché ou je fais mes courses, il ya a une 
> station essence aussi) : 1 dollar par gallon.
> Prix payé à la pompe : 31,48 €
> Cashback American Express 5% (j'en vois la couleur le mois prochain) : 
> 1,57 € Mon plein m'a donc couté : 29.91 €, soit 0,43 € le litre.
> 
> Et c'est une camionnette ! Une voiture de petite taille on fait le plein pour 
> 15 €.
> 
> J'ai l'impression que vous vous faites empapaouter :-)
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Collecteur de logs réseau

[Duchet Rémy]

Par ici on gère avec ELK. Les logs sont insérés avec le minimum de traitement, 
et ensuite c'est un ou plusieurs daemon qui vont utiliser les API d'ELK pour 
extraire les infos avec des requêtes particulières et gérer le nombre 
d'occurrence pour déclencher des actions.
C'est stable et très rapide malgré la volumétrie, et ça permet de gérer pas mal 
de scénario.

Rémy 

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Raphael 
Mazelier
Envoyé : lundi, 19 novembre 2018 18:38
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Collecteur de logs réseau



> * "port_x_connected=false"
> * "port_x_disconnection_count=42"
> * "user_x_logged=true"
> * "user_x_login_count=666"

C'est l'idée oui.

> 
> Soit parce qu'on a pas le contrôle sur le générateur de l'événement 
> (équipement fermé) soit parce qu'on pense que ça n'est pas à 
> l'application instrumenté de se souvenir des événements -nombre
> d'authentification- pour les transformer en métriques).
> 
> Donc je me demande si vous n'auriez pas 2/3 suggestions de solution 
> (logiques ou logicielles) à ce "problème"...
> 

Je n'ai pas trouvé, mais cela semble assez trivial de coder un snmptrap to 
prometheus. Ca doit pouvoir se coder en 100 lignes de python ou go.

Cdt,

--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Question CPU Intel Scalable

[Duchet Rémy]

Un ptit tour sur la toile permet de savoir ce qu'il y a sous le capot des 
nouveaux Intel

Exemple https://www.thinkmate.com/inside/articles/intel-xeon-scalable

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Michel 
'ic' Luczak
Envoyé : mercredi, 3 octobre 2018 14:47
À : Julien Escario 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Question CPU Intel Scalable



> On 3 Oct 2018, at 14:42, Julien Escario  wrote:
>
> FRsaG eue été peut être plus pertinente pour cette question.
>
> Mais ça m'intéresse aussi : en dehors du côté 'hype' de les appeler
> Bronze/Argent/Or/Platine, ce sont essentiellement des bouzes extrêmement 
> chères.


Sauf erreur ces trucs sont à la base destinés pour faire du VDI, mais ils se 
sont retrouvés par magie dans toutes les machines…

++ ic



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] CISCO ASA API

[Duchet Rémy]

Bonjour la liste,



Est-ce que quelqu'un aurait déjà utilisé l'API des CISCO ASA en prod ?

On a quelques soucis de stabilité : TIMEOUT assez fréquent sur un cluster 
sous-utilisé, et reproduit sur des appliances hors prod (et ce ne sont pas 
ASAv).



Merci,



Rémy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Network Provider LATAM

[Duchet Rémy]

Bonjour Frnog,



Pour un de mes clients je suis à la recherche de contact pour des liens L2 sur 
plusieurs pays d'Amérique du Sud (Perù, Chili, Mexique, Brésil, Bolivie), 
idéalement un seul capable de couvrir chaque pays.

Si vous avez des contacts, je galère pour obtenir des réponses..



Merci.



Rémy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Switch / Routeur 100G cheap or not ?

[Duchet Rémy]

OS9 est très stable.
OS10 aucun soucis non plus, mais toutes les features L3 ne sont pas encore 
dispo (ex QinQ) , mais ça arrive vite (donc pas mal d'upgrade à venir).
Gros avantage d'OS10 c'est du Debian, donc possible de faire pas mal de truc 
très sympas dessus.

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Raphael Mazelier
> Envoyé : vendredi, 18 mai 2018 18:45
> À : Julien Thomas ; BLANCPAIN Nicolas
> 
> Cc : Xavier ROCA ; frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Switch / Routeur 100G cheap or not ?
>
> On 18/05/2018 10:27, Julien Thomas wrote:
> > Salut,
> > Dell série Z!
> >
> > http://www.dell.com/en-us/work/shop/povw/networking-z-series
> >
> > Tu peux même choisir l'OS que tu mets dessus derrière (Dell OS9, 0S10,
> > Cumulus, etc.) Le support Dell network est réactif et compétent et le
> > prix est très correcte par rapport à la concurrence, donc c'est
> > vraiment pas mal.
> >
> >
>
> Mhm les pricing que j'avais eu n'était pas fou fou.
> OS9 , OS10 je n'ai jamais testé. C'est censé être stable et avoir des features
> en L3 ?
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Duchet Rémy]

Autre option :
Utiliser un serveur avec IP et fqdn "resolvable" pour générer la demande et 
ensuite exporter le tout pour l'importer sur le server avec l'IP privé.


> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Laurent
> Envoyé : lundi, 30 avril 2018 14:32
> À : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée
>
> Merci pour toutes ces réponses. Je retiens :
>
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste 
> n'est
> pas faisable comme indiqué dans mon message initial).
>
> À bientôt.
>
> L.
>
> Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> écrit :
>
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> > >> puisque lest'encrypt se connecte a ton serveur pour verifier sa
> > >> validité. mais
> > tu
> > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > serveur
> > >> publique puis en copiant (plus ou moins automatiquement) la clef
> > >> sur
> > ton serveur
> > >> privé quand celle-ci change.
> > > Ou passer par une API DNS (support qui s'élargit chaque jour mais
> > > pas de
> > Bind).
> > > D'ailleurs indispensable (si j'ai bien compris) pour générer du
> > > wildcard
> > avec L.E.
> > >
> > > Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton
> > Bind/Knot/NSD/Whatever, tu peux très bien gérer l’ajout du champ
> > correspondant qui va bien dans ta zone. ;)
> >
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je
> > suis parfaitement d’accord).
> >
> > Bruno
> >
> >
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] "Chef, j'ai glissé"

[Duchet Rémy]

En Suisse, c'est plutôt l'agent de sécurité qui t'accompagne pour faire ton 
carton et te raccompagne à la sortie. (Et ça ne concerne pas que la partie IT)
Cela n'empêche pas les cas de sabotage avant le licenciement, c'est évident. 

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Michel Py
> Envoyé : mercredi, 25 avril 2018 17:30
> À : 'Raphaël Jacquot' 
> Cc : frnog@frnog.org
> Objet : RE: [FRnOG] [MISC] "Chef, j'ai glissé"
> 
> > Raphaël Jacquot a écrit :
> > aux US la mode est d'escorter le mec hors de la boite a la seconde ou il est
> viré, pas de pb de préavis comme ca
> 
> C'est bien pratique en effet, les HR t'attendent à ton bureau quand tu
> arrives, ton compte a déjà été désactivé, tu rends ton portable et ton mobile,
> mets tes affaires perso dans une boite, et les deux semaines de préavis ils te
> les paient plus les jours de vacances que tu a accumulés.
> 
> Ceci étant dit, çà ne sert pas à grand-chose avec un employé qui a senti le
> vent tourner et qui a préparé son coup.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Qualité de service IP

[Duchet Rémy]

> Alors pourquoi de nos jours une entreprise qui emploie 10 personnes qui
> sont en quasi-chômage technique sans Internet, avec une masse salariale
> d'au moins 30k€/mois, a tant de mal que ça à accepter l'idée de dépenser
> plus que 30€/mois pour un ADSL ?


Les ravages de la communication.
Avoir Internet, ça ne coute "rien" grâce à la publicité martelé des FAI GP.
(L'unité de mesure pour beaucoup étant la bande passante).

Ce même genre d'argument existe dans pas mal d'autres domaines.
Sans aller bien loin, un disque dur de 8 To ne coute plus rien,  une mailbox de 
10 Go c'est gratuit, etc.
Il y a plein d'exemple ou l'unité de mesure martelé au GP est totalement biaisé.

C'est le combat permanent des PME, savoir se différencier, et valoriser ses 
services.

Rémy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [TECH] TCP vs. UDP : les chiffres

[Duchet Rémy]

Beaucoup de DNS en UDP.

-Message d'origine-
De : Stephane Bortzmeyer [mailto:bortzme...@nic.fr] 
Envoyé : vendredi, 9 février 2018 12:59
À : Duchet Rémy <r...@duchet.eu>
Cc : Stephane Bortzmeyer <bortzme...@nic.fr>; frnog-t...@frnog.org
Objet : Re: [TECH] TCP vs. UDP : les chiffres

On Fri, Feb 09, 2018 at 10:52:13AM +0000,  Duchet Rémy <r...@duchet.eu> wrote  
a message of 14 lines which said:

> TCP 70%
> UDP 27%

Marrant, c'est beaucoup plus d'UDP que tous les autres.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] TCP vs. UDP : les chiffres

[Duchet Rémy]

Pour nous, uniquement le trafic (nombre de paquets)  FROM/TO Internet :

TCP 70%
UDP 27%

Mais si on regarde coté bytes, ça donne

TCP 68%
ESP 24%
GRE 6%
UDP 0.83%

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Stephane Bortzmeyer
Envoyé : jeudi, 8 février 2018 11:57
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] TCP vs. UDP : les chiffres

Est-ce que quelqu'un a des chiffres *récents* sur la part de trafic TCP vs. 
UDP, à divers endroits du réseau ? Je ne trouve que des vieux chiffres comme 
 qui ne tiennent 
pas compte, par exemple, de WebRTC.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Gros incident chez Colt ?

[Duchet Rémy]

Pas d'info, mais Suisse (Romandie) impacté aussi.

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : mercredi, 24 janvier 2018 10:21
À : frnog-al...@frnog.org
Objet : [FRnOG] [ALERT] Gros incident chez Colt ?

A priori, Colt France au moins subit un gros incident.
DNS et autres services injoignables par Equinix-IX et par transit.

Quelqu'un a de l'info ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Win Update

[Duchet Rémy]

Plan C.
Tu passes tout tes Windows en v10.
Via le client tu limites la BP, et tu autorises la distribution sur ton réseau 
local.

Le tout sans WSUS.


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Raphael Maunier
Envoyé : mercredi, 20 décembre 2017 11:10
À : Dominique Rousseau 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Win Update



> On 20 Dec 2017, at 11:07, Dominique Rousseau  wrote:
>
> Le Wed, Dec 20, 2017 at 11:04:43AM +0100, Raphael Maunier 
> [raph...@maunier.net] a écrit:
 Pour moi pas le choix pour les x prochains mois, on est dans la
 course aux upgrades. 10G comme unité de base et 100G pour ceux qui
 investissent en ce moment.
 Je conseille de regarder l???excellente présentation de Tim Stronge
 de Telegeography qu???il a faite lors du dernier Nanog :
 https://blog.telegeography.com/optical-illusions-content-providers-
 and-the-impending-transformation-of-international-transport?hs_amp=
 true
>>>
>>> Sauf que Raph, je ne crois pas que le problème des FAI soit leur
>>> propre bande-passante... le problème c'est de saturer la SDSL de
>>> leurs clients... et d'avoir un pouvoir sur l'heure à laquelle ça se
>>> produit (nuit vs jour).
>>
>> Bah je ne vois pas en quoi le varnish va aider a résoudre le pb du
>> SDSL ? :)
>
> Ben si. Si tu controles la source et connait tes clients, tu
> rate-limites ce que tu leur envoie pour ne pas saturer leur lien.
rohh
Net Neutralité toussa

>
>
> --
> Dominique Rousseau
> Neuronnexion, Prestataire Internet & Intranet
> 21 rue Frédéric Petit - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 -
> http://www.neuronnexion.coop
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

[Duchet Rémy]

Sinon https://opnsense.org



Rémy Duchet


 Message d'origine 
De : Gregory Bousselin 
Date : 28.07.17 20:42 (GMT+01:00)
À : Guillaume Tournat , Michel Py 

Cc : "'frnog-t...@frnog.org' (frnog-t...@frnog.org)" 
Objet : Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

J'aurais conseiller pfsense !

J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
mal de bug), apres ca s'est sûrement améliorer depuis !

Le ven. 28 juil. 2017 à 20:38, Guillaume Tournat  a
écrit :

> J'utilise FortiGate. Mais ça n'est pas gratuit.
> Sinon pfSense est très bien.
>
>
> > Le 28 juil. 2017 à 20:33, Michel Py 
> a écrit :
> >
> > Salut la liste,
> >
> > Comme beaucoup ici j'ai été "désigné par le sort" pour être le support
> technique de la famille (!) et je voudrais savoir ce que vous utilisez
> comme Pare-feu / IDS / UTM. Les paramètres :
> >
> > - Gratuit.
> > - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> > - En mode Bridge / Transparent. Voir schéma ci-dessous.
> > - Pas chiant à installer.
> > - Pas ou très peu d'administration : installe et oublie.
> >
> > J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible)
> et Untangle.
> >
> > Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut
> faire quelque chose, il bloque des trucs utilisés par tout le monde ou
> presque, donc faut s'en occuper.
> >
> > Untangle j'ai trouvé facile et pas emmerdant.
> >
> > pfSense c'est le prochain que je regarde.
> >
> > Vos avis les enfants ?
> >
> > Michel.
> >
> > ++
> > | Internet   |
> > +-+--+
> >  |
> > +-+--+
> > | Modem ou   |
> > | machinbox  |
> > +-+--+
> >  |
> > +-+--+
> > | Routeur|
> > | NAT DHCP   |
> > +-+--+
> >  |
> > +-+--+
> > | FW/IDS/UTM |
> > +-+--+
> >  | ++
> >  |   +-+ Wifi   |
> >  |   | ++
> > +-+---+--+
> > | Switch |  ++
> > |+--+ PC |
> > +-+--+  ++
> >  |
> > +-++
> > | PC   |
> > +--+
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] HP Dual 8GB microSD EM USB kit

[Duchet Rémy]

On met les LOGS sur un volume (SAN). Vmware le gère très bien, et on peut même 
mettre plusieurs ESXI sur le même volume.
(https://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vsphere.install.doc_50%2FGUID-9F67DB52-F469-451F-B6C8-DAE8D95976E7.html
 ) 
Après, comme on est sur des M6xx, faut sortir la lame pour changer la/les 
cartes. De toute façon, vaut mieux éviter les unplug sous tension.

-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com] 
Envoyé : lundi, 19 juin 2017 13:59
À : Duchet Rémy <r...@duchet.eu>
Cc : Arnaud Launay <a...@launay.org>; frnog@frnog.org
Objet : Re: [FRnOG] [TECH] HP Dual 8GB microSD EM USB kit



> Le 19 juin 2017 à 13:28, Duchet Rémy <r...@duchet.eu> a écrit :
> 
> Par ici on est plutôt adepte de la SD en dual (RAID1 directement intégré sur 
> la carte mère) des PowerEdge.
> Pas une seule SD de HS sur les 6 dernières années, sur une centaine de 
> serveurs.
> Économie à l'achat, + la conso électrique.
> C'est sûr que le cout de remplacement (humain) est important, mais c'est le 
> même entre les cartes et les disques.

Tu as la version avec les 2 slots visibles à l’arrière (donc remplacement 
facile) ?
C’est vrai qu’ils ont été plus malins que HP sur ce coup-là.

> Dans ce genre de config l'ESX boot plus lentement, et faut oublier les R/W 
> sur les cartes de façon trop répété.

C’est un point intéressant ça.
On fait quoi des logs quand on boot sur de la flash ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] HP Dual 8GB microSD EM USB kit

[Duchet Rémy]

Par ici on est plutôt adepte de la SD en dual (RAID1 directement intégré sur la 
carte mère) des PowerEdge.
Pas une seule SD de HS sur les 6 dernières années, sur une centaine de serveurs.
Économie à l'achat, + la conso électrique.
C'est sûr que le cout de remplacement (humain) est important, mais c'est le 
même entre les cartes et les disques.
Dans ce genre de config l'ESX boot plus lentement, et faut oublier les R/W sur 
les cartes de façon trop répété.

Rémy

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : lundi, 19 juin 2017 13:07
À : Arnaud Launay 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] HP Dual 8GB microSD EM USB kit

+1

Et en plus, en mettant un 3ème HD à 30€ en hot-spare dans le volume RAID1, tu 
as même plus besoin de gérer le remplacement du HD mort en quasi-urgence, mais 
tu peux attendre le prochaine maintenance sur site, donc encore une économie.


> Le 19 juin 2017 à 13:01, Arnaud Launay  a écrit :
>
> Le Mon, Jun 19, 2017 at 12:20:54PM +0200, Olivier Vailleau a écrit:
>> suis-je le seul à penser que l'hyperviseur esx n'a pas besoin d'être
>> protégé comme n'importe quel autre OS ?
>
> De mon point de vue, c'est une "simple" question de coût. Si ça en
> coûte basiquement rien d'avoir l'hyperviseur en raid1 (ie, 2 disques à
> 30€ au lieu d'un seul), et donc de ne changer qu'un disque en cas de
> casse (éventuellement à chaud, donc en plus transparent), avec le peu
> de temps que ça peut prendre -- à opposer au temps humain (et
> éventuellement aux coûts de downtime le temps de réinstaller
> l'hyperviseur et sa configuration sur une machine HS) pour tout
> "refabriquer" -- et s'apercevoir que le dernier backup ne marche pas,
> ou qu'on ne sait plus où il est, etc.
>
> J'estime donc que mettre du raid partout (mais sans le spof du dongle,
> hein), c'est rentable.
>
>   Arnaud.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Test latence et sauts entre 2 pays

[Duchet Rémy]

Hello,

De prime abord, je testerai depuis  telnet://route-server.ip-plus.net sur 
plusieurs IP. 
Et idem depuis un des 2 providers :  http://lg.emix.net.ae/lg 


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Florent Arrgn
Envoyé : mercredi, 19 avril 2017 17:25
À : frnog 
Objet : [FRnOG] [TECH] Test latence et sauts entre 2 pays

Bonjour la liste,


Je dois choisir un opérateur internet pour un client à Dubai.
Le débit je m'en moque, ee qui m'intéresse réellement c'est la connectivité de 
cet opérateur (aux Emirats) avec l'Europe et plus précisément la Suisse (au 
hasard Swisscom).

J'ai donc besoin de tester la latence et le nombre de saut entre ces 2 
opérateurs (EAU vers CH).

J'ai pu voir que le peering de "Etisalat - Emirates Telecommunications 
Corporation" est plus complet que celui de "Emirates Integrated 
Telecommunications Company PJSC (EITC-DU)" mais je ne sais pas comment prouver 
par a+b que la latence sera meilleure.

http://bgp.he.net/AS8966#_asinfo
http://bgp.he.net/AS15802#_asinfo

Mon opérateur en suisse : http://bgp.he.net/AS3303

Je sais qu'il faudra que je prenne en compte la terminaison dans mon calcul 
final, mais je veux déjà m'assurer si un opérateur est mieux qu'un autre.


Merci

Florent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Passage en domaine et licence microsoft Windows

[Duchet Rémy]

Dans les CAL RDS il y a plusieurs choix :
- CAL User
- CAL Device
- CAL External Connector

Pour la partie DC, rien de différent, sauf si c'est un hébergeur qui fournis 
les VPS / Serveur.
Dans ce cas c'est obligatoirement du SPLA.

Pour info, je n'ai pas de trace de licences chez MS en "utilisateurs 
simultanées" .
(Pas comme chez CITRIX.)


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : mercredi, 8 mars 2017 11:59
À : Sebastien LESIMPLE 
Cc : Toussaint OTTAVI ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Passage en domaine et licence microsoft Windows

C’est pas spécialement en DC ça, c’est pas une limitation des CAL RDS ?

> Et en DC, le nombre de CAL doit correspondre au nombre d'utilisateurs
> potentiels, pas a un nombre d'utilisation simultanées.
> Donc si vous faites du VDI, il vous faudra une CAL par VDI, meme si
> vos users sont jamais connectés à leur PC virtuel en meme temps.
> Joie bonheur :)
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Passage en domaine et licence microsoft Windows

[Duchet Rémy]

Le nombre de CAL est indiqué sur les licences, ou a défaut sur le contrat Open .
Pour ouvrir un contrat Open, il faut minimum 5 articles, d’où, bien souvent,  1 
licence serveur + 5 CAL. Mais ce n'est pas une règle fixe.
Concernant Exchange , SQL et les autres produit, cela dépends des 
fonctionnalités pour chacun).
Il existe une licence SQL qui permet, par exemple, un nombre illimité 
d'utilisateur.  


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Nathan TUTARD
Envoyé : lundi, 6 mars 2017 18:43
À : Joël DEREFINKO ; Stéphane Karges 

Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Passage en domaine et licence microsoft Windows

Merci à tous pour vos réponses. En les CALs n'ont pas été achetées en même 
temps que les DCs... du coup je me retrouve avec 4 DC 2012 server donc 20 CALs 
d'après ce que vous me dites. Donc il va falloir que je commande des CALs en 
plus.

Du coup si j'ai admettons 2 serveurs d'applications sous windows server 2012, 
leurs CALs comptent aussi ? Je précise que ces derniers ne sont pas DC.

Merci pour vos réponses!


Le 06/03/2017 à 18:31, Joël DEREFINKO a écrit :
> Bonjour,
>
> En gros, il faut, au-delà des licences Windows Server
> - X CAL pour les utilisateur : X = nombre d'utilisateurs moins les CAL 
> incluses dans la licence Windows, 5 de mémoire; Si tu as 2 DC, tu as 
> 10 CAL
>
> Et par la suite
> - X CAL Exchange (une par utilisateur humain ayant une boite). Pas de CAL 
> pour les boites génériques par exemple.
> - Y CAL SQL Server : attention, seulement si les utilisateurs se connectent 
> en direct à la BDD : si tu branche un site web sur le SQL Server, une seule 
> CAL est nécessaire.
>
> Evidemment il a va de meme pour "le reste" (sharepoint, etc...)
>
> Joël
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
> part de Stéphane Karges Envoyé : lundi 6 mars 2017 17:43 À : Nathan 
> TUTARD  Cc : frnog-t...@frnog.org Objet : Re: 
> [FRnOG] [TECH] Passage en domaine et licence microsoft Windows
>
> hello,
>
> après ca depends du package que tu as tu a certain serveur qui on deja un 
> nombre de CAL.
>
> Stéphane
>> Le 6 mars 2017 à 17:06, Nathan TUTARD  a écrit :
>>
>> Salut la liste,
>>
>> J'ai un gros doute et ne trouvant pas de détails explicite sur ma 
>> demande, je la poste ici.
>>
>> J'ai un passage en domaine de prévu dans mon entreprise cependant il 
>> n'a pas été prévu de licence associées à ce passage en domaine. De 
>> mémoire, il fallait des CAL de mise en domaine par PC ou 
>> utilisateurs. Mon collègue me soutient que non aucune licence n'est 
>> nécessaire.
>>
>> Quelqu'un peut-il me confirmer ou infirmer les dires de mon collègues?
>> Par la même occasion où achetez vous les CAL pour vos entreprises?
>>
>>
>> Merci d'avance,
>>
>> Nathan
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Retours d'expériences KVM IP

[Duchet Rémy]

je viens de vérifier sur mes blades , les Idrac DELL fonctionnent en HTML5 
aussi  (en plus du JAVA), lorsqu’elles sont pas trop agées.. (et up-to-date..)
Après sur les serveurs plus classiques, faut voir.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Supervision réseau

[Duchet Rémy]

Centreon devrait faire le job sans soucis.

Le 20 nov. 2016 à 16:48, Nathan TUTARD  a écrit :

Netdb est bien utile aussi :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] EMC VNXe3200

[Duchet Rémy]

La latence est dans tous les cas cruciale, c’est certain. Entre 2ms R/W ou 350 
ms (déjà vu plus), les performances ne seront pas les mêmes, mais surtout les 
hosts n’auront pas la même utilisation CPU.

Mais tout n’est pas de la responsabilité du SAN, il y a aussi l’environnement 
(Switchs, protocole utilisé, config etc).

Le cahier des charges doit comporter au minimum IO Max , IO size , Latence. 
Ensuite on construit autour.



Quelques éléments ici  
https://www.emc.com/collateral/white-papers/h13512-vnxe3200-best-practices-for-performance-wp.pdf



+1 pour l’interface Java. D’autre constructeurs / éditeurs ont les même soucis, 
et ont décidé de passer par un client « lourd ».







De : Guillaume Barrot
Envoyé le :lundi, 17 octobre 2016 11:00
À : Youssef Ghorbal
Cc : MERCKEL Aurélien; 
frnog-t...@frnog.org
Objet :Re: [FRnOG] [TECH] EMC VNXe3200



Pour les perfs, ça date, mais la méthodo est toujours d'actualité

https://www.spec.org/sfs2008/results/sfs2008.html

Notamment pour un EMC

https://www.spec.org/sfs2008/results/res2011q1/sfs2008-20110207-00177.html

On voit bien ce que disait Cyril : les IOPS sont à correler avec la
latence, et il faut chercher le point de décrochage

Le 16 octobre 2016 à 21:10, Youssef Ghorbal  a
écrit :

> Au dela des IOPS, attend toi a souffir le martyre avec l'interface
> d'admin Unispehere (si tu part sur l'option EMC VNX)
> La moindre MAJ de Java (cote client) et ce machin arrete de fonctionner !
> Nous avons fini par dedier une VM rien que pour ca avec une version
> figee de Java et un bon IE qui tache pour etre sure de pouvoir prendre
> la main tout le temps.
>
> Youssef
>
>
> 2016-10-15 19:02 GMT+02:00 MERCKEL Aurélien :
> > Bonjour à tous.
> >
> > Est-ce que certain d'entre vous utilise des SAN EMC VNXe3200 ?
> >
> > En êtes-vous satisfait ?
> > Quel est la capacité d'IOPS sur ce modèle ?
> > Ou se place cette solution par rapport à DataCore ?
> >
> > Merci d'avance pour vos retours.
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



--
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [TECH] Re: [FRnOG] [MISC] Grosse mise à jour Win10 ce matin ?

[Duchet Rémy]

Bonjour,



Il y a un tout un tas de paramètre pour gérer cela, avec ou sans domaine 
Windows, via les stratégies locale du PC client. (la console : gpedit.msc )

En Anglais : Computer Configuration -> Administrative Templates -> Network -> 
Background Intelligent Transfer Service (BITS).

Il est possible de limiter la BP dans une plage horaire (par exemple). Pour les 
DL via MS, et de les laisser en FULL pour les échanges entre PC.



Pour les plus gros réseaux, rien n’oblige d’avoir un WSUS dans le domaine, il 
est possible d’en monter un dans un DC, et ensuite limiter la BP des clients 
qui viennent chercher les updates.







De : Edouard Chamillard
Envoyé le :mercredi, 5 octobre 2016 01:49
À : Radu-Adrian Feurdean; Fabien 
NAVEL; frnog-tech
Objet :Re: [TECH] Re: [FRnOG] [MISC] Grosse mise à jour Win10 ce matin ?



c'est pas encore trolldi. patience, patience.

On 10/04/2016 11:11 PM, Radu-Adrian Feurdean wrote:
> On Tue, Oct 4, 2016, at 16:02, Fabien NAVEL wrote:
>> - Trafic Shaping sur routeur ou firewall par IP destination (en utilisant
>> les réseaux IPv4 Microsoft et ceux des CDN Akamaï et LimeLight, mais
>> certains CDN exotiques ne sont pas filtrés)
> Raconte-nous un peu comment tu fais du shaping sur un CDN. J'hesite
> entre le popcorn et une bougie a l'eglise :)
> Plus generalement, combien de temps tu passes a gerer les blcs
> d'adresses de CDN. Surtout quand le CDN peut changer :)
>
>> Nous aimerions essayer le trafic shaping sur des équipements de routage
>> d'infrastructure en configurant de la QoS sur les IP utilisées pour la
>> méthode 1. Certains ont-ils déjà expérimentés quelque chose d'approchant
> Wow ! QoS sur backbone popcorn !
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH]

[Duchet Rémy]

Faxmaker (GFI) est pas mal, nous l’utilisons depuis des années. Il faut juste 
faire attention à la compatibilité hardware, avec les cartes retenues.

Pas mal de déploiement avec de l’EICON DIVA, pas trop de soucis de stabilité, 
driver Windows et Linux.







De : David Ponzone
Envoyé le :jeudi, 22 septembre 2016 08:33
À : Jerome Lien
Cc : frnog-t...@frnog.org
Objet :Re: [FRnOG] [TECH]



GFI est dans le métier depuis un moment mais je sais pas ce que ça vaut:

http://www.gfi.com/products-and-solutions/email-and-messaging-solutions/gfi-faxmaker/specifications/fax-over-ip-support

David Ponzone



> Le 22 sept. 2016 à 08:16, Jerome Lien  a écrit :
>
> Bonjour à tous,
>
> Nous avons toujours et encore pour quelques années besoin de serveurs faxs
>  Actuellement nous avons plusieurs tours avec des cartes mainpines, IQ
> express ...
> mais les cartes vieillissent et le système devient un peu obsolète.
>
> nous avons besoin de 16 lignes entrantes et 8 sortantes.
>
> De votre coté, quelle solution utilisez vous ?
> Connaissez vous des solutions hardwares ?
> J'ai pu trouver des solutions du genre : LINKCOM link efax .. mais sans
> retour d'expérience
>
> merci à tous, jerome
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] new stuff

[Duchet Rémy]

En l’occurrence le SPF de pulseheberg.com est bien présent :
v=spf1 mx a ptr include:spf.sendinblue.com ip4:89.234.180.0/24 
ip4:149.91.80.0/24 ip4:92.103.69.44/32 ip4:217.74.103.251/32 
ip4:5.135.187.30/32 -all

Faut-il encore que le serveur distant le check..


De : Edouard Chamillard
Envoyé le :vendredi, 10 juin 2016 10:49
À : frnog@frnog.org
Objet :Re: [FRnOG] [MISC] new stuff

merci SPF winkwinknudgenudge

On 06/10/2016 09:22 AM, David Ponzone wrote:
> Received : from lvps87-230-94-117.dedicated.hosteurope.de (unknown 
> [IPv6:2a01:488:66:1000:57e6:5e75:0:1]) by cabale.usenet-fr.net (Postfix) with 
> ESMTP id 40CB598A504A for ; Fri, 10 Jun 2016 03:16:41 
> +0200 (CEST)
> Received : from fhrjn.net (unknown [24.96.59.159]) by 
> lvps87-230-94-117.dedicated.hosteurope.de (Postfix) with ESMTPSA id 
> 8454D851C9 for ; Fri, 10 Jun 2016 00:50:54 +0200 (CEST)
>
> Je dirais plutôt un simple spoofing de son adresse mail, car un serveur dédié 
> en Allemagne comme intermédiaire et une IP aux USA comme source du mail, ça 
> semble improbable.
>
>
>> Le 10 juin 2016 à 09:13, Philippe Bourcier  a écrit :
>>
>>
>> Bonjour,
>>
>> ... quand un collègue se fait pirater sa boîte mail pro ou infecter par un 
>> trojan.
>>
>> #facepalm #bad_marketing
>>
>>
>>> Hello,
>>>
>>> Just look at that new stuff, I was surprised so much, you have to
>>> take a look here
>>>
>>> Best Wishes, oliv***@pulseheberg.com
>> J'ai toujours mis en place du filtrage sortant sur mes serveurs SMTP (virus, 
>> spam, etc.) et je crois que c'est une bonne pratique.
>>
>>
>> Cordialement,
>> --
>> Philippe Bourcier
>> web : http://sysctl.org/
>> blog : https://www.linkedin.com/today/author/philippebourcier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Re: Site inaccessible avec le réseau Free (DNS)

[Duchet Rémy]

Ce que je remarque, depuis une ligne Free, aucun soucis avec un record bidon 
(test-11yann …) sur le même serveur :





; <<>> DiG 9.10.3-P4 <<>> test-11yann.myshopify.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54662

;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 1



;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;test-11yann.myshopify.com. IN  A



;; ANSWER SECTION:

test-11yann.myshopify.com. 1795 IN  CNAME   shops.shopify.com.

shops.shopify.com.  1749IN  A   23.227.38.69

shops.shopify.com.  1749IN  A   23.227.38.68

shops.shopify.com.  1749IN  A   23.227.38.70

shops.shopify.com.  1749IN  A   23.227.38.71



;; AUTHORITY SECTION:

shopify.com.43578   IN  NS  ns4.p19.dynect.net.

shopify.com.43578   IN  NS  ns2.p19.dynect.net.

shopify.com.43578   IN  NS  ns1.p19.dynect.net.

shopify.com.43578   IN  NS  ns3.p19.dynect.net.



;; Query time: 375 msec

;; SERVER: 212.27.40.240#53(212.27.40.240)

;; WHEN: Mon Apr 25 22:14:10 W. Europe Daylight Time 2016

;; MSG SIZE  rcvd: 232



Un bug sélectif ?





From: yann assouline
Sent: lundi, 25 avril 2016 21:40
To: Frédéric GANDER
Cc: Stephane Bortzmeyer; 
frnog-t...@frnog.org
Subject: [FRnOG] [TECH] Re: Site inaccessible avec le réseau Free (DNS)



Bonjour,

Merci de toutes ses infos, mais à mon niveau puis je faire quelque chose ?

Merci

Le lundi 25 avril 2016, Frédéric GANDER  a écrit :

> bon on ma dit de regarder ici
> donc en résumé:
>
> - si cache vide requette recursive => réponse correcte des recursifs
>
> ;; ANSWER SECTION:
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> shops.shopify.com.  1800IN  A   23.227.38.69
> shops.shopify.com.  1800IN  A   23.227.38.68
> shops.shopify.com.  1800IN  A   23.227.38.70
> shops.shopify.com.  1800IN  A   23.227.38.71
>
>
> - on attend 61 seconde et la serverfail et le récursif ne refait pas de
> requettes jusqu’à attendre les 1800 secondes (ou 600 si je vire le "force
> ttl")
> et ca remarche pendant 60 secondes.
>
> et donc j'ai des question pour mr dns
> en regardant de plus prêt
>
>
> dig +trace  test-yann.myshopify.com
>
>
> ;; Received 401 bytes from 192.33.14.30#53(b.gtld-servers.net) in 239 ms
>
>   test-yann.myshopify.com. 600  IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 600IN  RRSIG   CNAME 5 2 600
> 20160519013040 20160419013040 12663 myshopify.com.
> K3oRwkmXUkzNYbFO1jNLGLrSkhaRRBnKeGvld9YdcZo+nUOpJzGUECTz
> rzOTBGpbGXdJB5M3nJ6pebAGpr46m5RkHfG3+FOdgCRS+CG5lpu0+KC8
> w80718ywOFO8LROdIjwmh4swblM+0Aft4o1lj5ChnCBefWgn2Cs4qSqM T0g=
> test-yann.myshopify.com. 600IN  RRSIG   CNAME 5 2 600
> 20160519013040 20160419013040 39852 myshopify.com.
> lBsyv5zrQ4twd4LNzLrdQpHWyxL9SQGM2wfhVR/GfnWETXNV3wyW5bIw
> RDySbmdRg9RLiz9h1sBFByIeITYEJeKv7daLBZSwoI7551mz0jJX5fMg
> EuW7FEFOP25pYb6p5o1r1VFvc47+X8qTLaV5j0Uz+PXJjFBvF7GB4i3g Fb0=
> test-winkel.myshopify.com. 60   IN  NSECtest1012345.myshopify.com.
> CNAME RRSIG NSEC
> test-winkel.myshopify.com. 60   IN  RRSIG   NSEC 5 3 60
> 20160519013040 20160419013040 12663 myshopify.com.
> BHS+QE4Pdu0qFdTW2XHN4Z6mbiqu3eb89UhwO3f5/C7WvpQmlNEmuYNl
> UlAHgUWbXvCwmDr+9k0bVZuiZh0UuSCppveXWvYzr6nJjCRy5CZoUJy6
> C60Dyt1LfW2kCNTXUdjXVp8HwMlKN0np6jxe2o/ryU/BphzdYA1OEmqp 9/0=
> test-winkel.myshopify.com. 60   IN  RRSIG   NSEC 5 3 60
> 20160519013040 20160419013040 39852 myshopify.com.
> I8LqnvjOSLhivVteqv6gqeeytZ9YZU9heYIj/hNfYUz+vOQ2PQBCk7N0
> ujbI9vWpFkj+3YSNnsxBshxjVZfWQoLpCpde8Ir+zP8WK95/04VQBpU1
> HjI7QBAARkPCD0YCnTBYU/hTVe6gcB43c9CFAUaJ5qynRmnTZFIsvtcG Bz8=
> ;; Received 831 bytes from 204.13.251.19#53(ns4.p19.dynect.net) in 28 ms
>
>
>
> nsec ??? 60 sec ? test-winkel.myshopify.com  et test1012345.myshopify.com
> ??!
> et 60sec
>
> après je dis pas que unbound  ne répond pas de la merde si le domaine est
> invalidé mais que fait ce nsec dans les authoritative namesservers ?
>
>
> A+
>
>
> - Mail original -
> > De: "Stephane Bortzmeyer" >
> > À: "yann assouline" >
> > Cc: frnog-t...@frnog.org 
>
>
> > Envoyé: Dimanche 24 Avril 2016 18:20:16
> > Objet: [FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)
> >
> > On Sun, Apr 24, 2016 at 03:52:17PM +0200,
> >  yann assouline > wrote
> >  a message of 24 lines which said:
> >
> > > D’où cela peut il venir ?
> >
> > Et ma synthèse (une fois qu'on connait le nom de domaine en cause,
> > l'analyse est bien plus facile) :
> >
> > 

RE: [FRnOG] [TECH] Site inaccessible avec le réseau Free (DNS)

[Duchet Rémy]

Bonjour,

Depuis une ligne free, le dig ne passe pas :
dig test-yann.myshopify.com

; <<>> DiG 9.10.3-P4 <<>> test-yann.myshopify.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 9308
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;test-yann.myshopify.com.   IN  A

;; Query time: 68 msec
;; SERVER: 212.27.40.240#53(212.27.40.240)
;; WHEN: Sun Apr 24 16:27:40 W. Europe Daylight Time 2016
;; MSG SIZE  rcvd: 52

Si j'ajoute +cd , j'ai une réponse:

dig test-yann.myshopify.com +cd

; <<>> DiG 9.10.3-P4 <<>> test-yann.myshopify.com +cd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12917
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 10, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;test-yann.myshopify.com.   IN  A

;; ANSWER SECTION:
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
shops.shopify.com.  1800IN  A   23.227.38.69
shops.shopify.com.  1800IN  A   23.227.38.70
shops.shopify.com.  1800IN  A   23.227.38.71
shops.shopify.com.  1800IN  A   23.227.38.68

;; AUTHORITY SECTION:
shopify.com.64085   IN  NS  ns1.p19.dynect.net.
shopify.com.64085   IN  NS  ns2.p19.dynect.net.
shopify.com.64085   IN  NS  ns3.p19.dynect.net.
shopify.com.64085   IN  NS  ns4.p19.dynect.net.

;; Query time: 78 msec
;; SERVER: 212.27.40.240#53(212.27.40.240)
;; WHEN: Sun Apr 24 16:32:23 W. Europe Daylight Time 2016
;; MSG SIZE  rcvd: 300


Peut-être un début de réponse ici 
http://dnsviz.net/d/test-yann.myshopify.com/dnssec/

Rémy.

-Original Message-
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
yann assouline
Sent: dimanche 24 avril 2016 15:52
To: frnog-t...@frnog.org
Subject: [FRnOG] [TECH] Site inaccessible avec le réseau Free (DNS)

Bonjour,

Je reviens encore une fois par rapport à mon soucis d’inaccessibilité de mon 
site sous le réseau Free que ce soit en wifi ou sur mobile, www.wee-bot.com.

C'est un site qui tourne sous shopify, donc l'url d'origine est 
test-yann.myshopify.com, c'est celle la que Free n'arrive pas à y accéder.

Cela fait des mois je ne trouve aucune solution, car c'est très aléatoire, ça 
marche chez certaine personne et d'autre non, et en actualisant, cela peut 
fonctionner à nouveau.

D’où cela peut il venir ?

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Serveurs de noms d'Oleane down

[Duchet Rémy]

Je confirme, quelques clients FR sont impactés.

> Le 19 févr. 2016 à 15:21, Stephane Bortzmeyer  a écrit :
> 
> ns{0,1,2}.oleane.net semblent ne plus répondre du tout depuis sept ou
> huit minutes.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] Arrêt du RTC

[Duchet Rémy]

Aux US, dans la vrai campagne, comment ça se passe? Les gens derrière une 
longue ligne non eligible à l'ADSL se tape sur le ventre pour l'accès à 
Internet? Ont-ils prévu une fin du PSTN?

En Suisse, l'arrêt est prévu pour 2017, par Swisscom,  la campagne et la 
montagne ne faciliteront pas. Il sera donc intéressant de voir ce qu'il va se 
passer..



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeurs pour relier 3 sites en 10Gbps

[Duchet Rémy]

Bonjour,

Le /31 ne fonctionne pas non plus sur les RB1100 que j’ai testé.

Rémy

> Le 12 nov. 2015 à 09:32, Patrice Blot - FCNET  a écrit :
> 
> Bonjour Cédric,
> 
> J'utilise les Mikrotik sur des /31 ça a l'air de fonctionner, tu rencontres 
> des pb ?
> 
> Patrice
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
> Oceanet - Cédric BASSAGET
> Envoyé : jeudi 12 novembre 2015 09:28
> À : t.w...@widevoip.com; slesim...@laposte.net; Raphael Mazelier; 
> frnog@frnog.org
> Cc : n...@widevoip.com
> Objet : Re: [FRnOG] [TECH] Routeurs pour relier 3 sites en 10Gbps
> 
> Bonjour Thierry,
> Tu as l'air d'avoir plus de poids que moi au niveau du support mikrotik, 
> pourrais tu leur demander s'il pensent un jour intégrer la gestion des /31 ?
> https://tools.ietf.org/html/rfc3021
> 
> La dernière réponse que j'ai eu est :
> 
> "There is no plans for such features in v7.x at the moment."
> 
> 
> Merci
> Cédric
> 
> On 11/11/2015 19:11, Thierry Wehr wrote:
>> tout n'est pas pafait mais au moins il y a une équipe de dev réactive
>> et quand j'envoie un ticket au support décrivant un problème sur ROS
>> j'ai toujours une réponse du grand chef Mikrotik me disant : on
>> corrige ou ce sera pour la prochaine version
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Hotspot

[Duchet Rémy]

Salut,

On teste les Aruba IAP.
Hormis quelques soucis en WPA2 entreprise sur les Android (VLAN) ça marche pas 
mal.


> Le 12 nov. 2015 à 15:36, Jeremy  a écrit :
> 
> Pour le coup, on joue un peu au poker sur ce chantier...
> On le fait pour rendre service en fait (gratuit mais faut que ça marche bien).
> C'est un bâtiment dans lequel il y a une dizaine de box pour travailleurs 
> collaboratifs, donc on peut se retrouver à avoir 2 gus qui se font chier, ou 
> 50 personnes en cas de situation de crise.
> 
> Le but étant de pouvoir avoir un bon mix entre débit crête maximum, et quand 
> même de quoi tenir une trentaine de devices dessus sans qu'il y ai d'effet de 
> perte ou de saturation du spectre.
> 
> En principe, je dois couvrir juste 2 plateaux avec un jolie mur coupe feu 4h 
> au milieu, donc je part sur 2 point d'accès connecté vers le même portail 
> capture en gigabit.
> 
> Jérémy
> 
> 
> Le 12/11/2015 15:31, David Ponzone a écrit :
>> Il faut que tu donnes tes priorités.
>> SI ce qui est important, c’est le débit effectif ET le nombre d’utilisateurs 
>> connectés, donc avoir une répartition du débit par utilisateur équitable, 
>> les champions sont à priori Ruckus.
>> J’ai pas joué avec, mais c’est ce qui ressort d’un test réalisé par un 
>> organisme indépendant.
>> Si tu veux du cheap, faut aller voir côté Ubiquiti.
>> 
>> Mais vraiment, la question importante est: combien d’utilisateurs simultanés 
>> par borne ?
>> 
>>> Le 12 nov. 2015 à 15:16, Jeremy  a écrit :
>>> 
>>> Salut les barbus,
>>> 
>>> Toujours dans l'esprit du partage, je viens aux infos pour savoir ce que 
>>> vous déployez en général comme antennes/point d'accès Wifi en intérieur 
>>> pour couvrir avec le plus de débit possible dans un batiment assez costaux.
>>> 
>>> Je vois les solutions Airnet de Cisco que je croise souvent dans les 
>>> hopitaux ou batiments publics. Ca marche si bien que ça ou c'est juste la 
>>> marque Cisco qui se vend bien ?
>>> 
>>> L'objectif est de poser 1 ou 2 point d'accès connectés à un portail capture 
>>> derrière. Mon objectif est de pouvoir proposer la meilleure couverture et 
>>> surtout le meilleur débit max.
>>> 
>>> J'ai trouvé ZyXEL WAC6502D-E qui promet plus de 1.2 Gb/s sur un cumul de 
>>> bande a/c et n mais je suis dubitatif.
>>> 
>>> Qu'en pensez vous ?
>>> 
>>> Merci !
>>> Jérémy
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Duchet Rémy]

Salut, 

J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
SIP ne le supporte pas.
‎Si ça fonctionne, pourquoi changer ? 

Rémy
  Message d'origine  
De: Antoine Durant
Envoyé: vendredi 9 octobre 2015 18:22
À: frnog-t...@frnog.org
Répondre à: Antoine Durant
Objet: [FRnOG] [TECH] SIP ALG sur routeur

Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



pgptEMJjuQVof.pgp
Description: PGP signature

Re: [FRnOG] [TECH] Corrélation de log/Event Log MGMT

[Duchet Rémy]

Bonjour,

Nous utilisons Graylog comme base, pour tout nos devices.

Rémy

 Le 21 juil. 2015 à 18:36, Joe Yabuki joeyabuki...@gmail.com a écrit :
 
 Bonjour à tous,
 
 Nous souhaitons mettre en place une solution de corrélation de logs.
 
 Il serait grandement intéressant d'avoir un retour d'expérience sur ce que
 vous utilisez chez vous ?
 
 Merci,
 Joe
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SMTP orange : mails rejetés.

[Duchet Rémy]

Bonjour,

Il semble qu’Orange utilise des règles pour bloquer le mailing de masse.

Vu ici :
https://productforums.google.com/forum/#!topic/gmail-fr/GA2vimZk4N4
Bonjour,

Pour le cas où vous vous adonneriez au mailing de masse, Orange/Wanadoo indique 
que OFR_506 correspond à un rejet suite à la détection de trop de mails de 
spam sortant d'une adresse IP ou à un excès de connexions simultanées à 
partir de la même IP.

Bon courage.

Rémy.

Le 31 mars 2015 à 11:34, Dominique Rousseau 
d.rouss...@nnx.commailto:d.rouss...@nnx.com a écrit :

Le Tue, Mar 31, 2015 at 11:12:13AM +0200, OCEANET - Cédric BASSAGET 
[ced...@oceanet.commailto:ced...@oceanet.com] a écrit:
Bonjour,
Peut être que ce mail aurait plus sa place sur frsag, je ne sais pas...

Plutot, oui ;)

[...]

J'ai trouvé ça sur frsag :
http://www.frsag.org/pipermail/frsag/2011-April/001602.html, mais ça
n'en dit pas plus.

Ça donne quand même la piste que ça puisse être un mot-clef particulier
qui déclenche l'antispam.


--
Dominique Rousseau
Neuronnexion, Prestataire Internet  Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS Questions

[Duchet Rémy]

 Le 15 févr. 2015 à 23:57, Radu-Adrian Feurdean 
 fr...@radu-adrian.feurdean.net a écrit :
 
 On Sun, Feb 15, 2015, at 08:44, Bensay 1 wrote:
 Bonjour,
 Et tu serais dans cette fameuse liste de Bogons pour quel raison??
 
 Raison de liste mon mise a jour depuis un bon bout de temps par exemple
 ?

Je leur ai posé la question, et je n’ai pas eu de réponse pour l’instant. C’est 
aussi mon avis.
Et c’est aussi la première fois que je vois une liste qui bloque les réponses 
des requêtes DNS (puisque le ping passait..).
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS Questions

[Duchet Rémy]

Je viens d’avoir la réponse, après les avoir contacté.
Ils filtrent les réponses de leurs DNS à une liste de BOGON...



Le 13 févr. 2015 à 11:19, David Ponzone 
david.ponz...@gmail.commailto:david.ponz...@gmail.com a écrit :

Ou alors ils te filtrent pour une raison obscure…



Le 13 févr. 2015 à 10:48, Duchet Rémy r...@duchet.eumailto:r...@duchet.eu a 
écrit :

De ce que je comprends, le serveur refuse simplement de me répondre. J’ai 
d’ailleurs le même comportement sur leur dns3. Par contre le dns2 est lui 
injoignable (ping ou query dns).

dig mx laeuropea.com.mxhttp://laeuropea.com.mx/ 
@dns3.triara.comhttp://dns3.triara.com/ +qr

;  DiG 9.8.3-P1  mx laeuropea.com.mxhttp://laeuropea.com.mx/ 
@dns3.triara.comhttp://dns3.triara.com/ +qr
;; global options: +cmd
;; Sending:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 45568
;; flags: rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;laeuropea.com.mxhttp://laeuropea.com.mx/. IN MX

;; Got answer:
;; -HEADER- opcode: QUERY, status: REFUSED, id: 45568
;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; Query time: 183 msec
;; SERVER: 200.57.177.65#53(200.57.177.65)
;; WHEN: Fri Feb 13 10:42:18 2015
;; MSG SIZE  rcvd: 12



Je penche pour un filtrage sur les serveurs DNS de 
Triara.comhttp://triara.com/.
D’ailleurs, depuis d’autre provider (COLT, ou VTX, comme c’est le cas pour 
FREE) pas de soucis.
Si mon seul réseau était affecté, je pourrais penser que je leur envoie des 
paquets mal formaté qu’ils ne traitent pas.
Le dns2 est par contre joignable depuis les providers dont j’ai une réponse.




Le 13 févr. 2015 à 09:54, David Ponzone 
david.ponz...@gmail.commailto:david.ponz...@gmail.com a écrit :

Ce qui me choque dans les 2 premiers cas, c’est:

;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

Le serveur est autoritaire, tu devrais au moins avoir AUTHORITY: 1, et aa dans 
les flags.

Et QUERY: 1, puisque tu envoies une demandes.
J’avoue ne pas comprendre pourquoi tu as QUERY: 0, il faudrait que quelqu’un de 
bien plus caler (suivez mon regard) puisse éclaircir ce point.

Sinon, cette différence pourrait s’expliquer si les dns en question étaient 
anycastés avec des problèmes de synchro entre les différents serveurs, mais ce 
n’est à priori pas le cas.
Un check sur le domain affiche juste un petit warning sur la liste des DNS 
entre les Root et la zone (que d’ailleurs, je n’ai pas réussi à constater).


Le 13 févr. 2015 à 08:47, Duchet Rémy r...@duchet.eumailto:r...@duchet.eu a 
écrit :

Ce n’est malheureusement pas aussi simple qu’un problème de routage.
Depuis mon réseau je ping le 
dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/
 sans soucis.

PING 
dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/
 (200.57.128.34) 56(84) bytes of data.
64 bytes from 
dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/
 (200.57.128.34): icmp_seq=1 ttl=42 time=178 ms

D’ailleurs dans mon précédent email, j’ai bien une réponse de ce même serveur 
(même avec une faute de frappe, le serveur répondait).

Ce matin :

dig mx 
laeuropea.com.mxhttp://laeuropea.com.mx/http://laeuropea.com.mxhttp://laeuropea.com.mx/
 
@dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/

;  DiG 9.9.5-3ubuntu0.1-Ubuntu  mx 
laeuropea.com.mxhttp://laeuropea.com.mx/http://laeuropea.com.mxhttp://laeuropea.com.mx/
 
@dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: REFUSED, id: 21097
;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; Query time: 173 msec
;; SERVER: 200.57.128.34#53(200.57.128.34)
;; WHEN: Fri Feb 13 08:45:15 CET 2015
;; MSG SIZE  rcvd: 12


Si je fait la même requête depuis le réseau d’un autre (K-NET) :

dig mx 
laeuropea.com.mxhttp://laeuropea.com.mx/http://laeuropea.com.mxhttp://laeuropea.com.mx/
 
@dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/

;  DiG 9.8.3-P1  mx 
laeuropea.com.mxhttp://laeuropea.com.mx/http://laeuropea.com.mxhttp://laeuropea.com.mx/
 
@dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: REFUSED, id: 23735
;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; Query time: 172 msec
;; SERVER: 200.57.128.34#53(200.57.128.34)
;; WHEN: Fri Feb 13 08:39:02 2015
;; MSG SIZE  rcvd: 12

Depuis chez FREE (hier soir)

dig mx 
laeuropea.com.mxhttp://laeuropea.com.mx/http://laeuropea.com.mxhttp://laeuropea.com.mx/
 
@dns1.triara.comhttp://dns1.triara.com/http://dns1.triara.comhttp://dns1.triara.com/

;  DiG 9.8.3-P1  mx 
laeuropea.com.mxhttp

[FRnOG] [TECH] DNS Questions

[Duchet Rémy]

De ce que je comprends, le serveur refuse simplement de me répondre. J’ai 
d’ailleurs le même comportement sur leur dns3. Par contre le dns2 est lui 
injoignable (ping ou query dns).

dig mx laeuropea.com.mxhttp://laeuropea.com.mx 
@dns3.triara.comhttp://dns3.triara.com +qr

;  DiG 9.8.3-P1  mx laeuropea.com.mxhttp://laeuropea.com.mx 
@dns3.triara.comhttp://dns3.triara.com +qr
;; global options: +cmd
;; Sending:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 45568
;; flags: rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;laeuropea.com.mxhttp://laeuropea.com.mx. IN MX

;; Got answer:
;; -HEADER- opcode: QUERY, status: REFUSED, id: 45568
;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; Query time: 183 msec
;; SERVER: 200.57.177.65#53(200.57.177.65)
;; WHEN: Fri Feb 13 10:42:18 2015
;; MSG SIZE  rcvd: 12



Je penche pour un filtrage sur les serveurs DNS de 
Triara.comhttp://Triara.com.
D’ailleurs, depuis d’autre provider (COLT, ou VTX, comme c’est le cas pour 
FREE) pas de soucis.
Si mon seul réseau était affecté, je pourrais penser que je leur envoie des 
paquets mal formaté qu’ils ne traitent pas.
Le dns2 est par contre joignable depuis les providers dont j’ai une réponse.




Le 13 févr. 2015 à 09:54, David Ponzone 
david.ponz...@gmail.commailto:david.ponz...@gmail.com a écrit :

Ce qui me choque dans les 2 premiers cas, c’est:

;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

Le serveur est autoritaire, tu devrais au moins avoir AUTHORITY: 1, et aa dans 
les flags.

Et QUERY: 1, puisque tu envoies une demandes.
J’avoue ne pas comprendre pourquoi tu as QUERY: 0, il faudrait que quelqu’un de 
bien plus caler (suivez mon regard) puisse éclaircir ce point.

Sinon, cette différence pourrait s’expliquer si les dns en question étaient 
anycastés avec des problèmes de synchro entre les différents serveurs, mais ce 
n’est à priori pas le cas.
Un check sur le domain affiche juste un petit warning sur la liste des DNS 
entre les Root et la zone (que d’ailleurs, je n’ai pas réussi à constater).


Le 13 févr. 2015 à 08:47, Duchet Rémy r...@duchet.eumailto:r...@duchet.eu a 
écrit :

Ce n’est malheureusement pas aussi simple qu’un problème de routage.
Depuis mon réseau je ping le 
dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com sans soucis.

PING dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com 
(200.57.128.34) 56(84) bytes of data.
64 bytes from dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com 
(200.57.128.34): icmp_seq=1 ttl=42 time=178 ms

D’ailleurs dans mon précédent email, j’ai bien une réponse de ce même serveur 
(même avec une faute de frappe, le serveur répondait).

Ce matin :

dig mx laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx 
@dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com

;  DiG 9.9.5-3ubuntu0.1-Ubuntu  mx 
laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx 
@dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: REFUSED, id: 21097
;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; Query time: 173 msec
;; SERVER: 200.57.128.34#53(200.57.128.34)
;; WHEN: Fri Feb 13 08:45:15 CET 2015
;; MSG SIZE  rcvd: 12


Si je fait la même requête depuis le réseau d’un autre (K-NET) :

dig mx laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx 
@dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com

;  DiG 9.8.3-P1  mx 
laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx 
@dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: REFUSED, id: 23735
;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; Query time: 172 msec
;; SERVER: 200.57.128.34#53(200.57.128.34)
;; WHEN: Fri Feb 13 08:39:02 2015
;; MSG SIZE  rcvd: 12

Depuis chez FREE (hier soir)

dig mx laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx 
@dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com

;  DiG 9.8.3-P1  mx 
laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx 
@dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 53268
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx. IN MX

;; ANSWER SECTION:
laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx. 3600 IN MX 
0 
laeuropea-com-mx.mail.eo.outlook.comhttp://laeuropea-com-mx.mail.eo.outlook.comhttp://laeuropea-com-mx.mail.eo.outlook.com.

;; AUTHORITY SECTION:
laeuropea.com.mxhttp://laeuropea.com.mxhttp

Re: [FRnOG] [TECH] DNS Questions

[Duchet Rémy]

Ah le boulet.. :-(
Oui, ça marche mieux avec le point sur les DNS de Google.:

dig mx laeuropea.com.mxhttp://laeuropea.com.mx @8.8.8.8

;  DiG 9.9.5-3ubuntu0.1-Ubuntu  mx 
laeuropea.com.mxhttp://laeuropea.com.mx @8.8.8.8
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 50288
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;laeuropea.com.mxhttp://laeuropea.com.mx. IN MX

;; ANSWER SECTION:
laeuropea.com.mxhttp://laeuropea.com.mx. 3512 IN MX 0 
laeuropea-com-mx.mail.eo.outlook.comhttp://laeuropea-com-mx.mail.eo.outlook.com.

;; Query time: 22 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Feb 12 20:07:22 CET 2015
;; MSG SIZE  rcvd: 97


Du coup je viens de tester via Free, et ça fonctionne.
Me reste plus qu’à prendre des vacances.

Merci à tous.


Le 12 févr. 2015 à 18:25, Jean-Yves Bisiaux 
j...@efficientip.commailto:j...@efficientip.com a écrit :

Si tu mettais un point a la place du tiret ca marcherais peut-etre mieux :-)


laeuropea.com.mxhttp://laeuropea.com.mx/


laeuropea-com.mxhttp://laeuropea-com.mx/

--
jyb



---
Liste de diffusion du FRnOG
http://www.frnog.org/