[MISC] Re: [FRnOG] Re: [TECH] DNS Questions
Bonjour, J'invoque l'esprit de Bortzmeyer ! ;) https://twitter.com/bortzmeyer/status/156124321813770242 Cordialement Emmanuel Thierry Le 13 févr. 2015 à 09:54, David Ponzone a écrit : Ce qui me choque dans les 2 premiers cas, c’est: ;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 Le serveur est autoritaire, tu devrais au moins avoir AUTHORITY: 1, et aa dans les flags. Et QUERY: 1, puisque tu envoies une demandes. J’avoue ne pas comprendre pourquoi tu as QUERY: 0, il faudrait que quelqu’un de bien plus caler (suivez mon regard) puisse éclaircir ce point. Sinon, cette différence pourrait s’expliquer si les dns en question étaient anycastés avec des problèmes de synchro entre les différents serveurs, mais ce n’est à priori pas le cas. Un check sur le domain affiche juste un petit warning sur la liste des DNS entre les Root et la zone (que d’ailleurs, je n’ai pas réussi à constater). Le 13 févr. 2015 à 08:47, Duchet Rémy r...@duchet.eu a écrit : Ce n’est malheureusement pas aussi simple qu’un problème de routage. Depuis mon réseau je ping le dns1.triara.comhttp://dns1.triara.com sans soucis. PING dns1.triara.comhttp://dns1.triara.com (200.57.128.34) 56(84) bytes of data. 64 bytes from dns1.triara.comhttp://dns1.triara.com (200.57.128.34): icmp_seq=1 ttl=42 time=178 ms D’ailleurs dans mon précédent email, j’ai bien une réponse de ce même serveur (même avec une faute de frappe, le serveur répondait). Ce matin : dig mx laeuropea.com.mxhttp://laeuropea.com.mx @dns1.triara.comhttp://dns1.triara.com ; DiG 9.9.5-3ubuntu0.1-Ubuntu mx laeuropea.com.mxhttp://laeuropea.com.mx @dns1.triara.comhttp://dns1.triara.com ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: REFUSED, id: 21097 ;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; Query time: 173 msec ;; SERVER: 200.57.128.34#53(200.57.128.34) ;; WHEN: Fri Feb 13 08:45:15 CET 2015 ;; MSG SIZE rcvd: 12 Si je fait la même requête depuis le réseau d’un autre (K-NET) : dig mx laeuropea.com.mxhttp://laeuropea.com.mx @dns1.triara.comhttp://dns1.triara.com ; DiG 9.8.3-P1 mx laeuropea.com.mxhttp://laeuropea.com.mx @dns1.triara.comhttp://dns1.triara.com ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: REFUSED, id: 23735 ;; flags: qr rd; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; Query time: 172 msec ;; SERVER: 200.57.128.34#53(200.57.128.34) ;; WHEN: Fri Feb 13 08:39:02 2015 ;; MSG SIZE rcvd: 12 Depuis chez FREE (hier soir) dig mx laeuropea.com.mxhttp://laeuropea.com.mx @dns1.triara.comhttp://dns1.triara.com ; DiG 9.8.3-P1 mx laeuropea.com.mxhttp://laeuropea.com.mx @dns1.triara.comhttp://dns1.triara.com ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 53268 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;laeuropea.com.mxhttp://laeuropea.com.mx. IN MX ;; ANSWER SECTION: laeuropea.com.mxhttp://laeuropea.com.mx. 3600 IN MX 0 laeuropea-com-mx.mail.eo.outlook.comhttp://laeuropea-com-mx.mail.eo.outlook.com. ;; AUTHORITY SECTION: laeuropea.com.mxhttp://laeuropea.com.mx. 900 IN NS dns3.triara.comhttp://dns3.triara.com. laeuropea.com.mxhttp://laeuropea.com.mx. 900 IN NS dns1.triara.comhttp://dns1.triara.com. laeuropea.com.mxhttp://laeuropea.com.mx. 900 IN NS dns2.triara.comhttp://dns2.triara.com. ;; Query time: 213 msec ;; SERVER: 200.57.128.34#53(200.57.128.34) ;; WHEN: Thu Feb 12 20:14:31 2015 ;; MSG SIZE rcvd: 150 Le 12 févr. 2015 à 18:02, Stephane Bortzmeyer bortzme...@nic.frmailto:bortzme...@nic.fr a écrit : On Thu, Feb 12, 2015 at 04:51:19PM +, Duchet Rémy r...@duchet.eumailto:r...@duchet.eu wrote a message of 93 lines which said: laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx. 86400 IN NS dns1.triara.comhttp://dns1.triara.comhttp://dns1.triara.com. laeuropea.com.mxhttp://laeuropea.com.mxhttp://laeuropea.com.mx. 86400 IN NS dns2.triara.comhttp://dns2.triara.comhttp://dns2.triara.com. Ça ressemble à un bête problème de routage. laeuropea.com.mxhttp://laeuropea.com.mx n'a que trois serveurs d enoms, dans le même /20, et le même AS (Triara). Il suffit donc que ce préfixe/AS soit injoignable de chez vous et joignable du forwarder pour expliquer cela. Donc, déboguage IP classique, traceroute, looking glasses, etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [MISC] Migration Office 365
Le 11 févr. 2015 à 10:22, Raphaël Jacquot a écrit : On 11.02.2015 09:31, Julien Schafer wrote: Bonjour Un de nos clients envisage de migrer sur Office 365. Ils souhaitent utiliser la messagerie externalisée, Sharepoint Online, installer Office sur les PC et tester Lync sur qlqs utilisateurs. Ils partent d'un environnement Lotus Domino/Notes et ils s'interrogent sur les chemins de migrations, risques ou points de vigilance principaux. Si vous avez des avis/retours d'expériences je suis preneur. sont ils en concurrence avec une entreprise américaine dans ce qu'ils font ? Bonne question, quoique surtout importante pour des domaines stratégiques. A noter que des hébergeurs comme OVH proposent des boites mails Exchange (je ne sais pas si c'est équivalent mais ça doit se rapprocher), donc qu'il n'est pas absolument nécessaire de passer par un service Microsoft pour cela et que des services locaux devraient pouvoir répondre à la plupart des cas d'usages, et surtout se révéler moins cher... Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveurs pour cloud
Bonjour, Sinon il y a des distros spécialisés openstack : http://www.openstack.org/marketplace/distros/ Et openstack en termes d'API il y a ce qu'il faut (et vous pourrez mettre remigrer vers UCS ou VMWare ensuite si besoin, sans changer l'administration de la platforme). Cordialement Emmanuel Thierry Le 22 janv. 2015 à 09:42, David Ponzone a écrit : Xav, les avantages d’UCS sont indéniables, mais si on prend le point de vue de ceux qui considèrent qu’un Cloud doit être indépendant du HW, se retrouver coincé avec Cisco serait un échec (Yet Another Monopoly). Cisco a clairement implémenter une API sur le HW qui mériterait d’être imitée/copiée par les autres, mais dans ce domaine (dites-moi si je me trompe), on en est encore au stade « je dépose mes brevets, tu veux faire pareil, tu raques ». Pour revenir à du concret, un UCS, ça coute combien actuellement par rapport à un rack Dell ou HP équivalent ? Le 22 janv. 2015 à 09:29, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 22 janv. 2015 à 00:37, Romain GUICHARD rom...@rguichard.fr a écrit : Le 21 janv. 2015 22:55, Laurent Seror laur...@seror.com a écrit : Hello, le mieux pour faire du vrai Cloud, c'est Cisco UCS car cela permet d'avoir des APIs aussi sur la partie baremetal. Il y a plein de gens qui ne seront pas d'accord avec moi sur cette liste, je donne juste mon avis issue d'une étude avec tests de tous les constructeurs du marché. Nous avons aujourd'hui un millier de ces bécanes et c'est moins cher qu'on le croit au final. UCS n'embarque à ma connaissance que du vmware. Même si je me trompe la dessus, monter du cloud (automation, time to market, hypervision du stockage et du réseau etc) sur du vmware ça va te coûter les yeux de la tête et te faire intégrer un sacré paquets de techno pure vmware (nsx, vsan, vCac, vCO etc). Clairement pas la bonne optique pour du vrai cloud. Ca marche sur Xen, hein Laurent ? :) Je rejoin Laurent sur son analyse, UCS te permet de te passer de Yet Another Fucking Bios To Upgrade, même aussi d'avoir la même conf partout car tout est scriptable y compris les MAJ diverses, adresses MAC, adresses SAS etc... Avec cette methode tu as plusieurs API : - le hardware (coucou UCS) - l'hyperviseur (coucou Linux / Xen / ...) - le storage - le cloud (coucou les truc compatibles AWS) Sans l'UCS tu ajoute une partie manuelle sur le hardware, ce qui est assez relou. Vis a vis de UCS vs VMware, UCS ajoutes un accélérateur au niveau de vmware. Au lieu d'avoir une carte virtuelle, la carte réseau interne fait une instance hardwaro-logicielle pour avoir une carte physique dans ta vm Mais c'est a peu près ce que fait SR-IOV si on prends du matériel intel, mais ca demande plus de lourdeur logicielle... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
Le 21 janv. 2015 à 10:00, Michel Py a écrit : Alexis Lameire a écrit : - Relais DNS (si possible pouvoir gérer les nom interne aussi) Michel Py a écrit : Pour quelle raison ? surtout pour gérer les domaines internes (comme .local, à la grande consternation de notre Bortzmeyer national), je ne confierais pas çà au routeur. Pierre-Yves Le Dirach a écrit : Tu m'intéresses. Pourquoi (dans le cas d'un domaine vraiment local, comme .kleber) ? Peut-être que je suis devenu un vieux con, mais un routeur c'est fait pour pousser des paquets et éventuellement les filtrer. Et contenir les feed BGP, etc etc. Un serveur DNS, c'est pas la même chose. A la maison, j'ai un routeur (Cisco) et un domaine local (arneill-py.local) qui est résolu par mon serveur Windows 2008 R2 (ceux qui crient comme des vierges effarouchées, taisez-vous, je viens de mettre à jour de Serveur 2003). Pour ce qui est de DNS, aucun rapport. Bah entre faire faire la résolution DNS par mon routeur ou par un Windows Server, pour moi le choix est vite fait ! ;) Avec Windows Server : 600€ le serveur DNS (hors matériel), ça a intérêt de bien dépoter ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
Bonjour, Le 21 janv. 2015 à 09:28, Pierre-Yves Le Dirach a écrit : On Wed, 21 Jan 2015 09:17:33 +0100, Michel Py mic...@arneill-py.sacramento.ca.us wrote: Alexis Lameire a écrit : - Relais DNS (si possible pouvoir gérer les nom interne aussi) Pour quelle raison ? surtout pour gérer les domaines internes (comme .local, à la grande consternation de notre Bortzmeyer national), je ne confierais pas çà au routeur. Michel. Tu m'intéresses. Pourquoi (dans le cas d'un domaine vraiment local, comme .kleber) ? Justement, .kleber n'est pas un domaine local, c'est un domaine éligible pour être TLD, et ça ne doit pas être utilisé en interne. Si tu veux un domaine *vraiment* local, tu utilises local.ma-compagnie.com, en t'étant assuré auparavant d'avoir le contrôle sur ma-compagnie.com. Par contre, je ne vois pas de problème à ce que le routeur gère les noms vraiment locaux, dans la mesure où cela te permet de faire facilement un split-horizon DNS entre les noms visibles depuis l'extérieur et les noms qui doivent n'être visibles qu'à l'intérieur seulement. Ajouter à cela la validation DNSSEC et tu as un résolveur parfait ! Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
Bonsoir, Le 20 janv. 2015 à 21:22, Pierre-Yves Le Dirach a écrit : Basiquement, tu installes pfSense sur ce que tu veux :) Sinon, en presque tout pret, plus qu'a installer : - les minimachines, soekris et Alix (il me reste quelques 2D13 en prod) Quitte à acheter du PCengines, autant prendre des APU. Les Alix sont devenues obsolètes. Cordialement Emmanuel Thierry Les appliances : - osnet.eu sur la France. - LogicSupply (http://www.logicsupply.com/fr-fr/computers/solutions/firewall-networking/), pays-bas, pas mal sur les Atom et livraison rapide. - ailleurs pour moins cher / custom / ... (si vous en avez d'autres en europe et pas cher, je suis preneur) Retour d'expérience : - pour les Intel Atom, je ne prends que du D525, jamais de D2550. Mauvaises surprises sur les qqs experiences que j'ai eu. - en termes de NIC, eviter Realtek autant que possible. HTH, HAND Pierre-Yves On Tue, 20 Jan 2015 19:43:17 +0100, Alexis Lameire alexis.lame...@gmail.com wrote: Merci à tous pour ces bonnes adresses. J'ai eu beaucoup de retour concernent des revendeurs mikrotik mais rien concernent pfsense. Je cherche à avoir un point de comparaison entre les deux solutions qui ont été majoritairement cité sur ce thread. Cordialement Alexis Lameire Le 20 janvier 2015 18:27, Pierre Schweitzer pie...@reactos.org a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 01/20/2015 05:20 PM, Clement Cavadore wrote: On Tue, 2015-01-20 at 16:57 +0100, Pierre Schweitzer wrote: On en utilise pour l'infrastructure ReactOS. Ça juste marche. Aucun problème, rien. Evidemment, avec un mail from en @reactos.org, tu ne vas pas dire le contraire. Manque plus que le tag [BIZ], et la cravate, maintenant :) C'est un retour d'expérience de ce qui fonctionne chez nous ;-) - -- Pierre Schweitzer pie...@reactos.org System Network Administrator Senior Kernel Developer ReactOS Deutschland e.V. -BEGIN PGP SIGNATURE- Version: GnuPG v1 iQIcBAEBAgAGBQJUvpAFAAoJEHVFVWw9WFsL80kP/RIt3pfZ53kVCBkE8sLDMyoY EHLWVE2zidg1VHy8lHhV9KI+ahsD5R4Xga5Ocum0cav/urfzU/d70pEHSLiOsUHT xVUbMEhkGAvSYt8Bi3Ltwz+yuSTxQzcLAKrcN90N0cjG8wvfSA5DoGLhaxS7ib67 G2ZdhOp/DAKDQ36qO7jQVZYpPVsNHMHP3d833BxI2Y6meR78Fy6YQc9NJmXCkxPo 61nHA5qXzpfXiSU8OMhOR6wddq8KERvZw4jfpR7bC5/WaFj5ZVvfVZC20DU0DVfa tthhUc2cJMmRFdYWREJIDvV0sA+orpw2lswNy2V049jx/j/5U6TB7Mxjfvk/c+zy 5DJr4FX3SH3hoEkco6kBHmF4brSK6p4W4lRlkzciZFWnh84sve0tVtUaXvqXvLfZ DVkUVAjTZYTKpSyDh2Zlw/oaCGoixSfIoOldt6T7TUYvgH1ulH3B3itXHEA7Znf+ 4FAHcKdJ0qEbFb35Z+xgjCpswQ6QWbxWC2Z3tbARjUJQtlJVVBFDSrqr8DS3LOkQ zTruKX37mL9P3wJwvpj0TnpvCHqJ88Zuo6ERzvmup9mb2tHcjVasIWLkx0xiFNbO dpS6b5wMRtq9FC4QpEE72Kz8WJqy01ATM5AGcqbWsUGOtsOUQ27u+7X/tPPyAn28 D9i2xgzt7laviF4O6pEP =YSvA -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Bonjour, Le 16 janv. 2015 à 22:02, Pierre Jaury pie...@jaury.eu a écrit : On 01/16/15 21:11, Emmanuel Thierry wrote: Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de faire de la grosse crypto * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans contact, mais le principe est tout à fait possible. * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans contact c'est inadmissible) Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle demande un PIN à l'utilisateur. A moitié d'accord. NFC dans sa spec actuelle ne verra peut-être pas 2020, mais on fait de l'ECC-320 sans difficulté, pareil pour RSA ; c'est suffisant pour les prochaines années et la puissance transmise n'est virtuellement pas limitée pour de futures technos. Le media importe donc peu de ce côté. Y compris pour un périphérique passif ? Je ne mets pas en cause la spécification en elle-même, je ne doute pas qu'elle prévoit des évolutions crypto. Je veux bien qu'un téléphone soit capable de faire des opérations de crypto complexes (lorsqu'il est utilisé en périphérique NFC) mais est-ce qu'un périphérique passif alimenté par les ondes de son pair est capable de faire les mêmes opérations de crypto ? Par contre, il faut (que ce soit pour le paiement ou quelque device sans contact que ce soit) une validation physique, sur le device et non sur le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec écran embarqué et bouton de confirmation de la transaction et je ne vois pas de limite physique à porter ça sous forme de pin ou autre authentification. Toujours sans alimentation autonome ? ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le 16 janv. 2015 à 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de faire de la grosse crypto * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans contact, mais le principe est tout à fait possible. * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans contact c'est inadmissible) Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle demande un PIN à l'utilisateur. Cordialement Emmanuel Thierry L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Le 16 janv. 2015 à 15:39, Wallace wall...@morkitu.org a écrit : Le 16/01/2015 08:50, nico...@ncartron.org a écrit : On Fri Jan 16 01:48:21 2015 GMT+0100, Emmanuel Thierry wrote: [...] Par ailleurs ils parlent des certificats client en R4, mais pour l'administration seulement, parce que ça parait compliqué de faire installer par chaque utilisateur un certificat. C'est ce que faisait le site des impôts il y a quelques années, bonjour la galère en cas de réinstallation d'OS =) Heureusement ce n'est plus le cas. C'est bête mais je préférais ce système. Même au RIPE qui s'adresse à des personnes techniques à du le retirer. Sauvegarder un fichier et son mot de passe dans un trousseau et correctement le sauvegarder si des gens techniques savent pas faire ça de nos jours j'ai comme un doute sur leurs mots de passes. Ils doivent être tous facilement mémorisables donc faibles. Après que le tout à chacun trouve le certificat trop dur à installer / sauvegarder bon à la rigueur mais au moins qu'on laisse le choix aux gens. J'aimerais tellement un certificat pour mon interface banque / opérateur ... plutôt que ces mots de passe visuels où tout le monde derrière toi le voit ou la personne qui est volontairement à côté de toi pour travailler sur un élément va facilement le retenir à force de t'y connecter ... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le 15 janv. 2015 à 14:11, Florent Daigniere a écrit : On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote: Bonjour, L'ANSSI vous parle http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html --- La question c'est de savoir si ça vaut la peine de les écouter :) Certaines des recommandations tombent sous le sens.. d'autre sont complètement farfelues Au contraire ça me parait très équilibré, avec une approche aussi bien sur l'hébergement que sur le code en lui même. Le seul problème que je vois est qu'il ne sera probablement jamais lu par les gens qui en ont vraiment besoin... Exemples : R19 Les identifiants de session doivent être aléatoires et d’une entropie d’au moins 128 bits. - 128bits pour une attaque en ligne... c'est beaucoup et complètement arbitraire Il faut bien placer une limite, qui par ailleurs soit durable dans le temps. En même temps 128bits d'entropie ce n'est pas vraiment compliqué à générer. R20 Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès lors que l’on associe une session à des privilèges particuliers. - ce n'est pas réducteur du tout comme approche. C'est bien connu, l'authentification ça ne sert que dans un sens ;) L'idée dans ce cas est surtout de protéger les credentials de l'utilisateur et la confidentialité des informations. Je crois que c'est clair dans le texte : En chiffrant les communications au moyen de TLS, on empêche un attaquant qui « écoute » le réseau d’apprendre les identifiants de sessions. Certains sites ont recours à TLS uniquement pour la page d’authentification. Cela protège certes le mot de passe mais pas l’identifiant de session. Par ailleurs ils parlent des certificats client en R4, mais pour l'administration seulement, parce que ça parait compliqué de faire installer par chaque utilisateur un certificat. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problème ip route subnet
Bonjour, Le 7 janv. 2015 à 14:05, Sébastien 65 a écrit : Non je ne vais pas passer sur chaque machine pour rajouter la route du /31... Tu peux annoncer une route par le serveur DHCP si tu en utilises un et qu'il l'accepte. Il manque une info importante : c'est quel OS ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] EU: Arrêt (temporaire?) des ventes de licence Observium
Le 31 déc. 2014 à 17:38, Xavier Beaudouin k...@oav.net a écrit : Hello, Non, sérieux, le code est une honte, zéro ingénierie logicielle. Ça ne me gène pas dans le sens où c'est probablement codé par un sys/netadmin pour des sys/netadmin et donc qu'on ne peut pas lui demander la même compétence que des développeurs en terme de programmation, mais non, le code n'est absolument pas bien foutu ! Heu et tu crois que Linux est fait avec une ingénierie logicielle telle que tu l'entends des jolis vendeurs de viandes (aka SSII) qui propose du code qui merdoie vendu plusieurs millier d'€ et qui arrive pas a fonctionner ? Des exemples t'as le choix : l'usine à gaz du RSI, celle du système de paiement de l'armée française, … Linux a une relativement bonne ingénierie logicielle justement, avec un soin (relatif mais existant) porté sur la clarté, la modularité et la non duplication du code, avec du code C orienté objet. Je veux écrire un module noyau Linux, je sais que ce sera assez propre au final. Qu'ils commencent à utiliser des classes et on en reparle... C'est open source. T'es pas content tu forkes. Tiens tu n'aimes pas Adam, bah tu vas sur https://github.com/librenms/librenms. Now on vas rire, est-ce que cacti est bien codé ? Est-ce nagios est bien codé ? Arrêtes de cracher sur des gens qui font des choses qui marchent et teste le soft avant de dire n'importe quoi. Pourquoi tant de violence ? Ai-je dit que le logiciel était mauvais ? Ai-je cherché la comparaison avec Nagios cie ? Quelqu'un dit Observium est bien codé, j'ai quand même le droit de contredire, non ? J'utilise Observium par ailleurs, et j'ai eu à le modifier (c'est pour cela que je me permet d'émettre un avis sur le code). J'en suis tout à fait satisfait en tant qu'utilisateur et je n'ai rien à dire sur le logiciel en lui-même, à condition qu'on ne l'utilise pas comme référence des best-practices de développement logiciel ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] EU: Arrêt (temporaire?) des ventes de licence Observium
Le 31 déc. 2014 à 12:08, Mathieu Poussin a écrit : Le code est assez bien foutu d'ailleurs, c'est une sorte de framework web orienté monitoring/réseau et au final c'est assez simple de se plonger dedans pour faire des pages customs :) s/bien/mal/ Non, sérieux, le code est une honte, zéro ingénierie logicielle. Ça ne me gène pas dans le sens où c'est probablement codé par un sys/netadmin pour des sys/netadmin et donc qu'on ne peut pas lui demander la même compétence que des développeurs en terme de programmation, mais non, le code n'est absolument pas bien foutu ! Qu'ils commencent à utiliser des classes et on en reparle... Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Formation IPv6
Bonjour, Le 17 déc. 2014 à 14:02, Brunet Thibaut a écrit : Bonjour, je suis à la recherche d'un formation IPv6, avez-vous des retours d’expérience sur ce type de formation ou des organismes à conseiller ? Je te conseille la liste ipv6-t...@g6.asso.fr, sur laquelle tu as notamment des formateurs. Ils pourront t'orienter vers l'organisme adéquat. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fourreaux disponibles a Alençon 61, PA Ecouves
Le 15 nov. 2014 à 02:24, Radu-Adrian Feurdean a écrit : On Fri, Nov 14, 2014, at 23:14, Jérôme Nicolle wrote: leur activité d'hébergeur (ils ont un datacenter bien redondé, plusieurs Ah bon ? http://www.societe.com/societe/abf-hebergement-500096052.html Tu n'as jamais entendu parlé des fusion-acquisitions ? ;) Voir : http://www.societe.com/societe/aznetwork-423880061.html (bas de la page) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Livraison d'un lien à Alger
Bonjour, Le rapport avec Alger ? Cordialement Emmanuel Thierry Le 30 oct. 2014 à 17:51, Antoine GANCEL a écrit : Bonjour, Il faut savoir que l'internet Tunisien est filtré. Amener un lien (E1) via Orange BS ou T.I. SPARKLE est facile. Les conditions d'exploitation le seront moins. Cordialement, Le 22/10/2014 09:19, ADENIS | David MARCIANO a écrit : Hello, En fait je cherche ce que je peux avoir de plus simple et rapide a livrer . L'idée est d'avoir un lien Fiable et garantie , si c'est un lien Internet j'en ferais mon affaire en IPSEC, si c'est un L2 livré chez moi à Paris (Data Center), tout va bien Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : mardi 21 octobre 2014 09:36 À : ADENIS | David MARCIANO Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Livraison d'un lien à Alger SDSL locale et aboutement L2 ou L3 vers la France ? A mon avis, c'est sur la techno de boucle locale qu'ils bloquent. Terminer la partie internationale SEA-ME-WE-X et autre dont ils maitrisent les SLA, avec une SDSL et les SLA de l'OBL, ça doit pas trop leur plaire. Ils savent pas faire avec une autre techno pour la partie locale (genre Transfix ou équivalent) ? Je pense que Sparkle peut faire ça aussi. Le 21 oct. 2014 à 08:40, ADENIS | David MARCIANO dmarci...@adenis.fr a écrit : Bonjour La Liste, Savez-vous quel opérateur est capable de me livrer un lien type SDSL 2 Meg à Alger ? J'ai fait une demande à KPN, mais ils n'ont pas l'air motivé à vendre . . Merci d'avance DM Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Offres 3G/4G data en volume
Bonjour, J'aimerais savoir si certains ici font (ou connaissent) des offres 3G/4G en volume, et pour de la data uniquement ? L'usage est pour des objets connectés, nécessitant un volume non négligeable de data. Merci Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Point de vue sur cette réflexion sur l'adressage en IPv6
Le 27 sept. 2014 à 18:34, Gilou a écrit : On 27/09/2014 17:44, Romain SIBILLE wrote: Bonjour la liste, J'ai également du mal avec la notion du 1 subnet = 1 /64. c'est quoi l'intérêt de gaspiller (je vais peut être faire sauter des gens au plafond, mais c'est le terme selon moi) 2^64 adresses pour un réseau de 100 machines par exemple? Si on fait comme avant et qu'on découpe en dessous du /64 il se passe quoi? on se fait frapper/on va en enfer/*insérez ici votre châtiment favori*/? Pardonnez mon ignorance d'étudiant, Salut, Bah non, il ne se passe rien (même pas de coups de fouet) mais tu dois adresser tes 100 machines à la main (ou via DHCPv6), car tu (ou l'admin du subnet) ne pourras pas profiter de SLAAC s'il n'a pas ses 64 bits, c'est tout. Et les autres RFC étendant de manière intéressante le SLAAC comme les privacy extensions. Une liste plus exhaustive des protocoles impactés ici : http://tools.ietf.org/html/draft-ietf-6man-why64-03 Par ailleurs, notons que les politiques d'allocation des RIR (en particulier du RIPE) sont basées sur le fait que les subnets seront adressés en /64, raison pour laquelle ils fournissent au minimum un /48 (PI). Notons également que dans le préfixe 2000::/3 actuellement destiné à l'allocation IPv6 sur Internet, il y a 2^61 /64, soit 2,3*10^18 subnets, soit 384 307 168 /64 IPv6 par personne vivant sur Terre. A moins de conquérir d'autres planètes, nous devrions épuiser les ressources de la Terre avant d'épuiser le stock de préfixes /64. Cordialement Emmanuel Thierry Romain Le 27/09/2014 12:25, David Ponzone a écrit : Bonjour à tous, j’aurais bien voulu avoir vos opinions sur ce document: http://www.networkworld.com/article/2223248/cisco-subnet/the-logic-of-bad-ipv6-address-management.html histoire de savoir quel est l’état de l’art actuellement pour adresser un lien point-à-point en IPv6 (/64 ou /127) ? J’avoue que comme beaucoup probablement, j’ai un peu de mal à passer en mode « on s’en fout, on peut gaspiller » après des années dans le mode « cher client, vous n’utilisez pas ce /29, merci de nous le rendre » . Je serais donc curieux de savoir comment chacun gère ça, histoire de pas avoir d’état d’âme le moment venu. Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Le 25 sept. 2014 à 10:22, Alexis Lameire a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. 1/ Ça ne me dérange pas de laisser visible mon IPv6 temporaire générée toutes les n minutes. Qui est au passage la seule adresse que j'utilise pour me connecter en IPv6 de mes ordinateurs à mes comptes mails, services web, etc (au passage, je n'ai rien configuré, c'est par défaut sous Mac OS X, Ubuntu et d'autres distributions Linux, Windows) 2/ Ça ne me dérange pas non plus de laisser un attaquant itérer sur l'espace de 2^64 adresses IPv6 de mon subnet IPv6 (pour l'instant il y a des heuristiques pour faciliter le parcours en se basant sur le fait que la génération utilise les adresses MAC mais c'est bientôt fini du fait des travaux à l'IETF). A titre de comparaison, l'ordre de grandeur pour le parcours de l'Internet IPv4 (~2^32 adresses) sur une connexion fibre 10G est de 45 minutes : [http://events.ccc.de/congress/2013/Fahrplan/events/5533.html] . Je vous laisse inférer le temps nécessaire pour un parcours de 2^64 adresses. 3/ Enfin ma box est accessible via une adresse PREFIX::1 mais rien n'oblige à utiliser une adresse aussi simple pour adresser un routeur, et même rien n'oblige à adresser un routeur, lequel peut très bien s'accommoder de n'avoir que des adresses link-local sur ses interfaces (bon, ça pose problème si on veut l'administrer) Dans tout ça, où est le besoin de masquer le réseau interne ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Le 25 sept. 2014 à 14:12, Guillaume Barrot a écrit : Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Je pense que la bonne dénomination est routables sur Internet, à la différence des RFC1918 qui sont non routables sur Internet [/grammar_nazi] Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
Le 24 sept. 2014 à 07:05, Michel Py a écrit : Tant qu'on y est, on mets aussi dedans l'ExaBGP de Thomas Mangin, qui donne à bouffer au routeur les IPs louches qu'on route sur null0 et qu'on dégage dès l'entrée avec RPF en mode strict (*). Juste une précision : Il est où ton routeur ? Chez toi ou dans un DC ? Je ne comprends pas trop ton schéma. (si c'est chez toi, inutile de dire que je ne comprend pas l'utilité de filtrer par BGP vu que le goulot d'étranglement est en amont) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La machinbox du geek barbu
Bonjour, Dans ton cas on dirait un Raspberry Py ! ;) Est-ce que les APU de chez PC Engines ne répondraient pas à la majorité des requirements ? (à part le HDMI) http://www.pcengines.ch/apu.htm Cordialement Emmanuel Thierry Le 6 sept. 2014 à 06:50, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Salut la liste, Je cherche des alternatives au Raspbery Pi pour faire un routeur maison. Ce qui serait sympa ca serait un Pi avec une 2ème Ethernet et possiblement un switch 4 ports intégrés et possiblement un WiFi aussi. J'ai regardé ce que Mikrotik fait, mais dans des prix raisonnables c'est un peu maigrichon en mémoire, flash fixe, pas de vidéo. En plus le connecteur pour l'antenne externe, merci :-( Pareil pour tous les routeurs du commerce qui tournent avec OpenWRT ou similaire. Sur tous ceux que j'ai regardé, pas suffisamment de patate pour mettre Samba, Mysql, ExaBGP, Asterisk, http serveur, client bittorrent et 2 ou 3 autres détails du genre les scripts sympa pour incorporer adblockplus.org, un proxy TOR, etc etc. Sur un Pi B+ il faut une clé USB pour le Wifi, une autre pour le WAN, le switch 4 ports, ça fait 2 prises de courant et des câbles partout. Si on rajoute le disque dur externe USB çà fait 3 alims et çà commence à ressembler à un Datacenter. Voici le mouton à 5 pattes: - Un machin qui boote sur micro-SD. - Un CPU qui pédale un peu, c'est pas parce que vendeur C et vendeur J mettent de la daube qui coûte moins de €10 dans leur produits à €10K qu'il faut faire pareil avec un produit à €100. - 512 Megs, ça coûte plus trop cher de nos jours. - (1 connecteur SODIMM DDR3 peut-être voir le prix) - 2 Ethernet (1 LAN 1 WAN). - 1 Wifi b/g/n avec antenne externe (RP-SMA, pas bâtard). - 4 ports switchés dont 2 POE du coté LAN. - 1 ou 2 slot(s) mini-PCIE pour 2ème WAN ou autres, cannibalisé de portable en panne. - 2 connecteurs SATA pour s'en servir de NAS. - Une baie de taille disquette 3,5 pouces pour mettre un de ces gadgets qui contient 2 disques durs de portable 2,5 pouces, pour stocker les séries à l'eau de rose et dorcel^H^H^H^H^H. - 4 ports USB. - HDMI (VGA je ne demande plus). Des idées ? 1 carte, 1 alim, 1 boitier ? La machinbox du geek barbu. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenBGPD vrf-lite
Le 29 août 2014 à 15:35, Jérôme Nicolle a écrit : Le 27/08/2014 10:49, Emmanuel Thierry a écrit : Excuse moi mais la proposition de le faire avec des net namespace est totalement on-topic. C'est d'ailleurs un mécanisme très adapté et qui permet *énormément* de choses. Ton soft tourne dans un domaine réseau totalement indépendant du domaine principal, et ce sans aucune modification. Sauf erreur de ma part, tu proposes de monter un routeur virtuel au lieu d'un L3VPN, c'est bien ça ? Un peu comme un logical-system face à une routing-instance ? Le cloisonnement se fait comment ? LXC-like ? J'ai pas compris le reste du message... et la dernière question sur LXC a déjà été répondue ! Bon, je n'ai aucune expérience de BGP, je ne peux pas te dire exactement comment je l'utiliserais dans ce cas, mais essayons quelquechose : * Si l'interface sur laquelle tu fais tourner openbgpd/bird/whatever est une interface physique, tu peux migrer cette interface physique dans le netns et ton démon ne travaille que sur cette interface (à voir dans quel cas ce serait utile), en gardant l'autre sur ton hôte. * Si l'interface sur laquelle tu fais tourner openbgpd/bird/whatever est une interface virtuelle (VPN), tu peux également la migrer dans le netns et de la même manière ton démon ne travaille que dans cet envrionnement. Tu n'as même pas à activer le forwarding sur l'hôte * Dans tous les cas tu peux relier tes différents namespace via des paires ethernet, ce qui te permet de te faire ton petit réseau virtuel avant de ressortir sur une ou plusieurs pattes physiques ou VPN. Et dans tous les cas ton démon ne fout pas le bordel sur ton hôte. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]
Bonjour, Ça a changé (du moins avec certaines Freebox). La Freeboxv6 permet maintenant de spécifier des routeurs à l'intérieur du réseau et de leur déléguer des /64 (routés vers leur adresse lien-local). Cordialement Emmanuel Thierry Le 27 août 2014 à 09:07, Mateusz Viste a écrit : En ce qui concerne l'IPv6 (si c'est un critère de choix), ce n'est pas toujours utilisable en pratique, en fonction de ce qu'on veut faire... La dernière fois que j'ai vérifié sur ma freebox, ils ne proposaient qu'un /64, sans possibilité de segmentation/routage. Donc à part pour une utilisation sur un réseau à plat chez soit, sans passerelle custom, cela ne peut pas servir à grand chose d'autre. À moins de rentrer bien sûre dans des usines à gaz de type brouteur IPv4/IPv6, mais ça devient vite fatiguant à maintenir :) Tout ça pour dire que si l'IPv6 est un critère de choix du FAI, ça peut valoir le coup de regarder de plus près ce que les FAI proposent exactement. Mateusz On 08/26/2014 11:30 PM, Emmanuel Thierry wrote: Autre lecture : - Free : IPv6 OK - SFR : IPv6 OK (sauf sur la fibre (?) ) - Bouygues : IPv6 pas encore OK - Numericable : IPv6 KO - Orange : IPv6 KO --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenBGPD vrf-lite
Salut, Le 26 août 2014 à 21:36, Pierre Emeriaud a écrit : Salut, Comme indiqué dans le sujet, je cherche à établir un peering avec un openbgpd et un neighbor dans un rdomain (l'équivalent openbsd d'une vrf), un setup qui ressemble donc à du vrf-lite. bgpd.conf(5) a bien une directive rtable mais il semblerait qu'il cherche toujours à joindre le neighbor via la table par défaut (rdomain 0). Il y a également la directive rdomain, qui est bien prise en compte, mais qui semble plus applicable dans bgpd pour du l3vpn... (Pas de soucis d'ailleurs pour monter des sessions mpbgp vpnv4, mais avec le peer en rdomain0. ldp mpls fonctionnent bien également) Si quelqu'un a une idée (autre que achete un vrai routeur), je suis preneur ! Merci, Reviens sous Linux, ça te simplifiera la vie ! ;) # ip netns exec ton_netns bgpd En plus maintenant systemd peut t'automatiser ça vu qu'il gère les container ! :] Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenBGPD vrf-lite
Le 27 août 2014 à 10:40, Pierre Emeriaud a écrit : Le 27 août 2014 09:40, Emmanuel Thierry m...@sekil.fr a écrit : Reviens sous Linux, ça te simplifiera la vie ! ;) # ip netns exec ton_netns bgpd En plus maintenant systemd peut t'automatiser ça vu qu'il gère les container ! :] Et sinon, pour une fois qu'on parle de réseau, ça vous dirait de rester on-topic ? Excuse moi mais la proposition de le faire avec des net namespace est totalement on-topic. C'est d'ailleurs un mécanisme très adapté et qui permet *énormément* de choses. Ton soft tourne dans un domaine réseau totalement indépendant du domaine principal, et ce sans aucune modification. Par contre ça ne marchera que si tu n'es pas bloqué sur BSD et que tu peux switcher vers Linux. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenBGPD vrf-lite
Le 27 août 2014 à 10:29, technicien hahd a écrit : On Wednesday 27 August 2014 10:25:43 technicien hahd wrote: On Wednesday 27 August 2014 09:40:11 Emmanuel Thierry wrote: Salut, Le 26 août 2014 à 21:36, Pierre Emeriaud a écrit : Salut, Comme indiqué dans le sujet, je cherche à établir un peering avec un openbgpd et un neighbor dans un rdomain (l'équivalent openbsd d'une vrf), un setup qui ressemble donc à du vrf-lite. bgpd.conf(5) a bien une directive rtable mais il semblerait qu'il cherche toujours à joindre le neighbor via la table par défaut (rdomain 0). Il y a également la directive rdomain, qui est bien prise en compte, mais qui semble plus applicable dans bgpd pour du l3vpn... (Pas de soucis d'ailleurs pour monter des sessions mpbgp vpnv4, mais avec le peer en rdomain0. ldp mpls fonctionnent bien également) Si quelqu'un a une idée (autre que achete un vrai routeur), je suis preneur ! Merci, Reviens sous Linux, ça te simplifiera la vie ! ;) # ip netns exec ton_netns bgpd En plus maintenant systemd peut t'automatiser ça vu qu'il gère les container ! :] Cordialement Emmanuel Thierry Après m'être fait méchamment mordre 2 fois par systemd sur debian ce mois-ci [1], je ne recommande à personne d'utiliser systemd en prod, en tout cas pas combiné avec debian. (j'ai eu d'autres mésaventures avec systemd et arch au cours de l'année passée mais rien d'aussi débile qu'un système sain qui refuse en boucle de démarrer en forcant à passer par le mode emergency qui échoue à se lancer.) La situation est bien résumée par reinob sur les forums debian by reinob » 2014-08-07 07:47 From my (relatively short) experience with systemd as init I find that systemd (at least as packed in debian) is really far from being ready. Even the slightest unexpected (to systemd) configuration will make it break from all sides, and even the so-called emergency shell is painfully broken. Together with both the upstream *and* downstream (debian maintainer) attitude (this is not a bug, fix your configuration so that it matches our expectations, which by the way change every day and we don't tell you about it -- i.e. the exact opposite of Linus/kernel's attitude we don't break userspace). oups, j'ai oublié d'incluer le lien vers le bugreport: [1]: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=755581 systemd c'était plus une boutade qu'autre chose ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenBGPD vrf-lite
Le 27 août 2014 à 11:02, Mickael Torres a écrit : On 2014-08-27 10:49, Emmanuel Thierry wrote: Le 27 août 2014 à 10:40, Pierre Emeriaud a écrit : Le 27 août 2014 09:40, Emmanuel Thierry m...@sekil.fr a écrit : Reviens sous Linux, ça te simplifiera la vie ! ;) # ip netns exec ton_netns bgpd En plus maintenant systemd peut t'automatiser ça vu qu'il gère les container ! :] Et sinon, pour une fois qu'on parle de réseau, ça vous dirait de rester on-topic ? Excuse moi mais la proposition de le faire avec des net namespace est totalement on-topic. C'est d'ailleurs un mécanisme très adapté et qui permet *énormément* de choses. Ton soft tourne dans un domaine réseau totalement indépendant du domaine principal, et ce sans aucune modification. Par contre ça ne marchera que si tu n'es pas bloqué sur BSD et que tu peux switcher vers Linux. Cordialement Emmanuel Thierry Sinon comme le propose Denis, les rdomains sous OpenBSD font exactement la même chose, du coup pas besoin de se bloquer sous linux :) Justement à ce que je lis à droite à gauche ce n'est pas la même chose. Si j'ai bien compris, je comparerais plutôt les rdomains aux tables de routage multiples sous Linux, c'est à dire la possibilité de créer plusieurs tables de routage et de définir des règles pour sélectionner laquelle sera utilisée (ou laisser le soft le faire). Le net namespace créée un contexte réseau distinct qui isole toutes les ressources réseau : * Routes * Interfaces * Adresses * Règles de parefeu * Tunnels * Bridges * ... Un soft exécuté à l'intérieur ne voit pas les ressources de l'hôte. Et de la même manière l'hôte ne voit pas les ressources assignées dans des namespaces différents. Par défaut un net namespace contient juste une loopback. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Reverse DNS à la charge du provider de l'IP ou du nom de domaine
Le 26 août 2014 à 13:44, Anthony Bourguignon a écrit : Le mardi 26 août 2014 à 12:36 +0200, Leslie-Alexandre DENIS a écrit : Le 26/08/2014 12:21, Thomas Lecomte a écrit : On Tue, Aug 26, 2014 at 12:17:27PM +0200, David Ponzone wrote: Ton fournisseur IP dit n'importe quoi. +1. Notre fournisseur d'IP s'occupe de nos entrées PTR, et ce indépendamment de notre registrar. Il peut mettre ce qu'il veut. Oui les PTR sont gérés par le détenteur du bloc IP, ici FirstWan, qui doit maintenir au minimum deux serveurs de noms gérant ces mêmes PTR. L'information doit au final être publique et dans la base du Ripe sous la forme d'entité 'NS' ou nameserver. En un mot c'est bien le fournisseur de transit/LIR qui gère cela. Mais rien ne l'empêche de déléguer les NS à quelqu'un d'autre pour une plage d'adresses. Et si les noms de domaines sont gérés par OBS, ça me semble plus logique qu'ils se chargent aussi des reverses. Ils peuvent le faire. Je suis curieux de savoir combien ils facturent l'opération de modification d'un reverse ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]
Le 26 août 2014 à 21:20, Alexis Lameire a écrit : globalement : - orange c'est cher, et service pas top - numericable : le cable c'est pas toujours trés fiable (experiance perso) - sfr ; longué sur l'install de la fibre mais l'interface est sympas - bouygues : pas de retour - free : pas mal d'histoire de perring, donc pas toujours top pour youtube and co Autre lecture : - Free : IPv6 OK - SFR : IPv6 OK (sauf sur la fibre (?) ) - Bouygues : IPv6 pas encore OK - Numericable : IPv6 KO - Orange : IPv6 KO Tout est affaire de lecture. ;) Cordialement Emmanuel Thierry Le 26/08/2014, GMAILtemptem...@gmail.com a écrit : Merci à tous de ces réponses. Je crois que je me dirige sagement vers Bouygues. Depuis qu'ils ont changé de routeur de base, mon estime a remonté. Le 26/08/2014 20:31, David Ponzone a écrit : Pour moi ils se valent tous, ceux-là. Au niveau technique et au niveau support. Mais si faut vraiment choisir: http://www.grenouille.com David Ponzone Le 26 août 2014 à 20:15, Fred frede...@perrod.org a écrit : Le 26/08/2014 20:07, GMAIL a écrit : Bonsoir à tous ! J'aimerai demander conseil par rapport à la meilleure source d'info disponible sur le net pour jauger de la qualité d'une ligne internet. En effet, étant le geek de la famille, je suis de conseil pour quelqu'un qui voudrait s'installer vers Cauderan dans la région de Bordeaux et me demande des conseils sur le FAI à choisir. Au hasard: http://www.aquilenet.fr/ ;) Fred --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015
Le 29 juil. 2014 à 18:44, Pascal PETIT a écrit : C'est quand même dommage d'en arriver là comme ça, de voir arriver le mur et d’être forcé de changer de direction grâce à une loi. Mais au point où nous sommes je plussoie cette initiative* de nos élus. mode loi amazone Une taxe de 1€ par mois sur chaque IP V4 (et 0€ sur les ipv6). /mode loi amazone Ou taper où ça fait mal, interdire aux opérateurs ne fournissant pas d'IPv6 de marketer qu'ils vendent un accès à Internet. Les forcer à afficher clairement à leurs utilisateurs les mesures techniques qu'ils mettent en place aussi bien sur les réseaux fixes et mobiles qui peuvent altérer les données (CGNs, proxys transparents, etc) Concernant les équipements ce n'est malheureusement pas le fond du problème, les applications et devices sont déjà largement compatibles. Après tout il n'y a rien à faire, tout a déjà été fait dans les systèmes d'exploitations, ce qui n'a pas dû être gratuit en terme de développement soit dit en passant ! C'est également pour cela que les arguments de Orange cie pour ne pas déployer sont irrecevables. En terme de logiciel, tout existe déjà (noyau Linux et environnement userspace). Et dans le cas où ils ne veulent pas changer leur infra, les solutions existent et sont éprouvées depuis plusieurs années (6rd, PPP over L2TP, etc). Les autres ont déjà dépensé de l'argent pour développer l'environnement, s'ils le veulent, ils n'ont qu'à se baisser pour supporter IPv6. Manque de volonté... Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015
Le 30 juil. 2014 à 02:40, Garreau, Alexandre galex-...@galex-713.eu a écrit : Concernant les équipements ce n'est malheureusement pas le fond du problème, les applications et devices sont déjà largement compatibles. Après tout il n'y a rien à faire, tout a déjà été fait dans les systèmes d'exploitations, ce qui n'a pas dû être gratuit en terme de développement soit dit en passant ! J’ai eu une impression différente en lisant http://www.bortzmeyer.org/6586.html, je me trompe où il reste des détails à peaufiner ? Après bon, ces quelques détails c’est justement parce qu’on a pas déployé largement IPv6 qu’ils étaient là de toute évidence. C'était il y a deux ans, beaucoup de travail a été fait depuis. Le changement de comportement entre, par exemple, Mac OS X 10.6 et 10.9 est non négligeable concernant l'accès aux réseaux IPv6-only. Idem pour le NetworkManager sous Linux. Par ailleurs, les OS ont suivi les évolutions des RFC elle-mêmes, et des expérimentations pour avoir des Happy Eyeballs. Prenons l'annonce du serveur DNS dans les RA, ça date de fin 2010, le temps que ce soit implémenté, testé, et releasé dans la nouvelle mouture, on a un délai d'au moins 2 ans. Dans tous les cas il est indéniable que les développeurs d'OS ont fait et continuent à faire leur travail. Tous les OS gèrent correctement au minimum le dual-stack, et pour la plupart le single-stack IPv6. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv4 - Nécessité des Adresses de réseau et de broadcast sur Ethernet
Le 22 juil. 2014 à 09:34, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Pierre Colombier, le Tue 22 Jul 2014 09:25:16 +0200, a écrit : Ce que je ne comprends pas, c'est la nécessité d'avoir une adresse IP de broadcast sur de l'ethernet. Je veux dire, généralement, quand on veux faire un broadcast c'est pour faire des choses liées au segment réseau. (ARP / DHCP ce genre de trucs) Pas que, c'est aussi utile pour par exemple découvrir qui sur le réseau fait tourner le même jeu en réseau, et lancer des parties, ce genre de chose. Maintenant on a multicast pour ça, mais c'est venu après. À noter qu'IPv6 a effectivement supprimé les adresses de broadcast. Oui, sans pour autant supprimer la fonction étant donné que l'équivalent fonctionnel est l'adresse multicast linklocal ip6-allnodes : ff02::1 Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Statut adresses IPv4 .0
Bonjour, A mon grand étonnement Oles distribue des IPs en x.y.z.0/32 à ses clients, malgré les problèmes que cela peut/a pu poser chez certains opérateurs (Orange avec Livebox Sagem par exemple). Bon, la surprise, l'énervement et le dédain du support étant passé (on est un client de plus ou de moins là bas), il est temps de passer aux témoignages. Qu'en est-il du routage de ces IPs chez Orange et Numéricable en 2014 ? Question subsidiaire, est-ce que des gens les utilisent pour des services en front-end ? Merci Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Statut adresses IPv4 .0
Le 21 juil. 2014 à 15:03, Pierre Emeriaud a écrit : salut, Qu'en est-il du routage de ces IPs chez Orange et Numéricable en 2014 ? chez orange ça route correctement. Mais en effet le firmware de certaines livebox avait un soucis de ce coté là. Question subsidiaire, est-ce que des gens les utilisent pour des services en front-end ? $ dig +short gcu.info 194.213.125.0 Concernant ce site en particulier on est d'accord, mais ils font leur croisade contre les Livebox. De mon côté c'est pour du pro, une croisade ne m'intéresse pas... Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Statut adresses IPv4 .0
Etonné pour la raison suivante : https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal Le 21 juil. 2014 à 15:02, fr...@jack.fr.eu.org a écrit : Pourquoi être étonné ? C'est quoi le problème ? L'IP est une IP comme les milliards d'autres; Le subnet est une subnet comme la trentaine d'autre. Cela fonctionne donc comme toutes les autres combinaisons IP/subnet. On 21/07/2014 14:47, Emmanuel Thierry wrote: Bonjour, A mon grand étonnement Oles distribue des IPs en x.y.z.0/32 à ses clients, malgré les problèmes que cela peut/a pu poser chez certains opérateurs (Orange avec Livebox Sagem par exemple). Bon, la surprise, l'énervement et le dédain du support étant passé (on est un client de plus ou de moins là bas), il est temps de passer aux témoignages. Qu'en est-il du routage de ces IPs chez Orange et Numéricable en 2014 ? Question subsidiaire, est-ce que des gens les utilisent pour des services en front-end ? Merci Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Recherche d'un ingénieur systèmes et réseaux
Bonjour, YoGoKo, startup en cours de formation, recherche un ingénieur système et réseau confirmé pour participer au développement de ses solutions, ainsi qu'à leur déploiement. Veuillez trouver ci-après la fiche de poste. Cordialement Emmanuel Thierry Descriptif du poste - Vous évoluerez dans une jeune société innovante où vous effectuerez des missions variées (à définir selon profil) : * Définition de cahier des charges et spécification fonctionnelles d'équipements réseau * Mise en oeuvre, principalement à partir de composants logiciels open-source * Déploiement des équipements en test ou en production * Veille technologique sur les protocoles/logiciels réseau * Animation d'équipe et de projet De par votre expérience, vous serez force de proposition dans les choix de RD et référent technique sur les questions relatives à vos compétences propres. Compte-tenu de la taille et de l'expansion rapide de l'entreprise, de fortes perspectives d'évolution de carrière sont possibles. Le poste est à pourvoir à Rennes courant juin. Le salaire est à définir selon profil et expérience. Nous vous invitons à nous communiquer vos candidatures ou demandes d'informations à cont...@yogoko.fr Profil recherché - De formation ingénieur ou Bac +5 (ou inférieur si expérience significative) vous avez au minimum de 3 ans d'expérience en administration ou conception système/réseau, vous maîtrisez les OS et logiciels Open-source, en particulier appliqués au réseau. Seront appréciés en particulier la maîtrise : * de l'administration d'équipements réseau (CPE, routeurs, firewall, switches, etc) * des distributions Linux type Debian et/ou CentOS * de langages de scripts (bash, perl, python, etc) * d'IPv6 et protocoles associés (MIPv6, transition IPv4/IPv6, etc) * d'IPsec et protocoles associés (IKEv2, etc) * des protocoles de routage * de logiciels open-source mettant en oeuvre ces protocoles Une bonne maîtrise de l'anglais est également attendue. La société -- YoGoKo est une société en cours de formation, spécialisée dans la conception et le développement d'équipements réseaux embarqués basés sur IPv6, notamment à destination des transports routiers. Elle industrialise des technologies issues de laboratoires de recherche (Inria, Institut Mines Telecom). L'entreprise bénéficie du soutien d'organismes publics et de grands comptes, ainsi que des laboratoires ayant participé à son essaimage. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Atlernance Technicien Supp Informatique ( BTS )
Le 13 mai 2014 à 18:25, L.M.J a écrit : Le Tue, 13 May 2014 14:53:54 +0200, David Ponzone david.ponz...@gmail.com a écrit : Mais tout ça c’est de la rigolade. Quand on a vraiment la classe, on héberge son CV sur le site web de la NSA, avec un lien sur la homepage. même genre : un lien vers le CV que la NSA s'est fait en collectant tes données personelles ;) Encore mieux : l'uploader sur le site web de l'entreprise dans laquelle tu veux te faire embaucher et ajouter un signet dans le navigateur de ton futur boss ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Pirate ou Arnaque
Bonjour, Pour continuer dans l'inventaire, la solution d'un collègue : le PABX à la maison. Si vous voulez parler à Robert, tapez 1, Si vous voulez parler à Nadine, tapez 2, Si vous voulez parler à Théodore (le petit), tapez 3 Apparemment personne ne passe cette étape, en particulier les robots qui font patienter avant la mise en relation... Cordialement Emmanuel Thierry Le 12 mai 2014 à 07:49, David Ponzone a écrit : Il y a aussi la technique consistant à répondre en parlant une langue complètement inventée. Faut vraiment pas avoir de bol pour qu’ils trouvent un agent qui parle la même langue :) Le 11 mai 2014 à 23:18, m3g4g0lG0t|-| megagolg...@altern.org a écrit : Bonsoir, J'ai la technique suivante, qui m'a permis de bien faire baisser le nombre d'appel de telemarketing : - Allo? Oui bonjour, Sylvain/Crissina/etc... de machin-truc sondage/finance/piscine, est-ce que je peux... - C'est la police (de caractère, mais ça, je ne lui dit pas :) ),c'est une ligne réservé, vous ne pouvez pas appeler ici! -Ah... Désolé.Raccroche Empiriquement, j'ai bien fait baisser le nombre d'appel. Cependant cela ne reste pas efficace contre les fax sur la ligne téléphone. Il y a une bonne dizaine d'années, j'ai eu jusqu’à 2-3 fois par semaines, à la maison, vers 4h-4h30 du matin, des fax d'un vendeur de piscine sur ma ligne fixe. Par usure, un jour, j'ai joué le jeu, en retournant un fax en lui indiquant que j'étais intéressé. Rdv prit à 8h30, il a fait 300km pour que je lui explique que je n'étais pas intéressé, mais que je voulais que les fax cessent. Il n'y a plus eu de soucis avec les fax de cette boite. Par contre les detecteurs-de-radar-espagnol ça eu continué un moment. En tout cas, comme le spam, je trouve que ce sont de vils pratiques. Megagolgoth, Le 11/05/2014 22:42, stephane.martin a écrit : Efficace et poli: lui demander de rappeler à tel numéro, en lui donnant le numéro de l'OCLCTIC Le 11/05/2014 22:34, Jacques Lav!gnotte. a écrit : Le 11/05/2014 22:06, Sylvain Vallerot a écrit : Mon avis : soyez poli, si ce ne sont pas des robots ce sont des gens qui méritent le respect et un poil de compassion, d'autant vu leur situation. Souhaitez-leur bon courage et de trouver autre chose rapidement pour gagner leur vie, dites que vous allez raccrocher ce qui fera gagner du temps à tout le monde, au revoir, clic. +1 Sylvain Jacques --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]
Le 5 mai 2014 à 14:16, Sylvain Vallerot a écrit : On 04/05/2014 20:08, Radu-Adrian Feurdean wrote: Meme en supposant que tu n'est pas PDG ou autre mandataire social, si on te demande d'enfreindre la legislation du pays ou tu habites (et qui te fournit un passeport), tu fais quoi ? Tu t'executes sans poser des questions ? Pardonne-moi mais je te trouve un peu candide sur ce coup-là :) Salarié ou gérant, tu sais ce qu'on attend de toi, et c'est pas toi le patron (c'est l'actionnaire). Si tu fais pas ce qu'on te demande, tu es éjectable. Si la maison mère aux US subit des pressions c'est pas avec tes doutes que tu vas lui barrer le passage, AMHA. A la différence que le salarié est pénalement responsable s'il effectue certaines opérations strictement interdites par la loi comme, mettons, lire ou transmettre des mails. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]
Le 5 mai 2014 à 15:21, Raphaël Jacquot a écrit : On 05.05.2014 14:57, Solarus wrote: Le 05/05/2014 14:39, Emmanuel Thierry a écrit : Si la maison mère aux US subit des pressions c'est pas avec tes doutes que tu vas lui barrer le passage, AMHA. A la différence que le salarié est pénalement responsable s'il effectue certaines opérations strictement interdites par la loi comme, mettons, lire ou transmettre des mails. L'entreprise française aussi est responsable. Sur le territoire française, le CPCE (Code des Postes et Communications Électroniques) s'applique indépendamment du Patriot Act. Solarus et donc le salarié se retrouve pris en tenaille entre 2 feux : d'une part, son patron américain, qui se voit demandé / imposé par les autorités américaines de violer les correspondances d'autre part, la loi francaise, qui punit la dite violation des correspondances... dans tous les cas, le salarié est fautif, et s'expose a des sanctions pouvant aller du licenciement pour faute grave, a la prison... Tu ne peux pas te faire virer (entendre légalement, parce qu'ils peuvent trouver une excuse) pour avoir contrevenu à un ordre illégal. C'est la base du droit. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]Le serveur n'envoie pas d'offre!
Bonjour, Le 30 avr. 2014 à 11:11, Eugène Ngontang a écrit : Bonjour à tous, Le serveur et le client sont sur le même subnet ? pas de soucis sur les switchs intermédiaires quand le phénomène arrive ? Oui ils sont sur le même subet, et il n'y a pas de souci de switch Un truc stupide me vient à l'esprit. Tes extraits de logs ci-dessous indiquent que ton serveur dhcp possède également un client dhcp (dhclient) et fait des requetes sur eth0 pour obtenir lui-même une IP (?!?!) Peut être une piste a explorer de ce côté... Un serveur DHCP ne peut pas être client DHCP (peut être network-manager qui te fout le bronx ?) Les logs que j'ai mis ici sont uniquement ceux des clients (un des clients). Le serveur ne fait pas tourner de client dhcp, ce serait un peu débile pour des système en production. Il n'y a pas non plus de network manager Et l'option wireshark n'est pas envisageable, car ce sont des système distant et je ne peux rien capturer depuis un wireshark installé sur mon dekstop. Un tcpdump encore sur l'un des systèmes. Sur le serveur : $ tshark -i eth0 -w capture.pcap Ou en live : $ ssh user@server tshark -i eth0 -w - | wireshark -k -i - (ne pas oublier de mettre sa clé ssh sur le serveur pour supprimer l'authentification sur le shell). Dans tous les cas wireshark (sous-entendu la capture de trafic) est la façon la plus efficace de débugguer un problème réseau. Cordialement Emmanuel Thierry Je penche plus sur l'option de* GROS Jerome *qui me vient en tête depuis, mais j'attends la prochaine occurrence de la panne pour me le confirmer Merci. Eugène NG. Le 30 avril 2014 10:00, David Ponzone david.ponz...@gmail.com a écrit : L'idéal serait de prendre une trace wireshark du côté d'un client et du côté du serveur jusqu'à la prochaine occurrence du problème, puis de faire une analyse comparative des 2 traces afin de voir ce qu'il s'est passé (DISCOVER jamais envoyé, DISCOVER envoyé mais pas reçu, DISCOVER reçu mais pas de réaction du serveur, …). Le 30 avr. 2014 à 09:23, Eugène Ngontang a écrit : Bonjour, Dans la poursuite de mon analyse, je m'aperçois d'une chose : Ce matin en arrivant encore mes systèmes client (au sens dhcp) étaient tous dans les chous, et je n'ai pas eu le teAmps de faire les tests que j'envisageais, que mon collègue avait naïvement redémarré le serveur. Toutefois j'ai regardé côté client dans les messages d'avant le redémarrage du serveur (à 7h43 heure système locale) , et j'ai ceci (un extrait): Apr 30 03:04:47 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6 (xid=0x1e903fe) Apr 30 03:04:53 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 8 (xid=0x1e903fe) Apr 30 03:05:01 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 10 (xid=0x1e903fe) Apr 30 03:05:11 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 16 (xid=0x1e903fe) Apr 30 03:05:27 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 18 (xid=0x1e903fe) Apr 30 03:05:45 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 3 (xid=0x1e903fe) Apr 30 03:05:48 00-01-80-7e-38-fd dhclient[653]: No DHCPOFFERS received. Apr 30 03:05:48 00-01-80-7e-38-fd dhclient[653]: No working leases in persistent database - sleeping. Et côté serveur (dans /var/log/dhcpd.log), je ne vois aucun DISCOVER reçu dans la plage horaire de 2h47 où l'incident est suvenu à 7h43 où le serveur a été redémarré. Par ailleurs je vois bien qu'il a reçu un DISCOVER à 7H43 (heure de redémarrage) et a bien envoyé un OFFER au client. J'en déduis pour l'instant qu'à une certaine période (apparemment sur un intervalle de 24h environ), le service dhcpd tourne bien sur le serveur, mais celui-ci n'écoute plus sur le port 67 ou ne reçois plus de paquet DISCOVER. Puisqu'à chaque fois aucune action n'est faite côté client pour résoudre le problème, mais un simple redémarrage du serveur. Je ne suis pas sur le même LAN que les systèmes impliqués dans cet incident (clients comme serveurs), j'y accède via ssh. J'attends la prochaine occurrence de la panne pour faire moi même des requêtes DHCP depuis un client et voir ce qu'il se passe. En attendant si quelqu'un à une piste je suis preneur. Merci. Eugène NG Le 30 avril 2014 09:22, Eugène Ngontang sympav...@gmail.com a écrit : Bonjour, J'ai un problème dont je n'arrive pas à identifier concrèetement la source. En effet j'ai un serveur DHCP configuré pour attribuer des adresses statiques et dynamiques. Au moins une fois par jour que tous les clients perdent leur configuration ip alors que le service dhcpd tourne bien sur le serveur. Après mes vérifications, je constate que le client ne reçoit simplement plus d'offre dchp du serveur après un DISCOVER
Re: [FRnOG] [TECH]Le serveur n'envoie pas d'offre!
Le 30 avr. 2014 à 11:28, Emmanuel Thierry a écrit : Bonjour, Le 30 avr. 2014 à 11:11, Eugène Ngontang a écrit : Bonjour à tous, Le serveur et le client sont sur le même subnet ? pas de soucis sur les switchs intermédiaires quand le phénomène arrive ? Oui ils sont sur le même subet, et il n'y a pas de souci de switch Un truc stupide me vient à l'esprit. Tes extraits de logs ci-dessous indiquent que ton serveur dhcp possède également un client dhcp (dhclient) et fait des requetes sur eth0 pour obtenir lui-même une IP (?!?!) Peut être une piste a explorer de ce côté... Un serveur DHCP ne peut pas être client DHCP (peut être network-manager qui te fout le bronx ?) Les logs que j'ai mis ici sont uniquement ceux des clients (un des clients). Le serveur ne fait pas tourner de client dhcp, ce serait un peu débile pour des système en production. Il n'y a pas non plus de network manager Et l'option wireshark n'est pas envisageable, car ce sont des système distant et je ne peux rien capturer depuis un wireshark installé sur mon dekstop. Un tcpdump encore sur l'un des systèmes. Sur le serveur : $ tshark -i eth0 -w capture.pcap Ou en live : $ ssh user@server tshark -i eth0 -w - | wireshark -k -i - (ne pas oublier de mettre sa clé ssh sur le serveur pour supprimer l'authentification sur le shell). Erratum : $ ssh user@server tshark -i eth0 -w - \not port 22\ | wireshark -k -i - ;) Dans tous les cas wireshark (sous-entendu la capture de trafic) est la façon la plus efficace de débugguer un problème réseau. Cordialement Emmanuel Thierry Je penche plus sur l'option de* GROS Jerome *qui me vient en tête depuis, mais j'attends la prochaine occurrence de la panne pour me le confirmer Merci. Eugène NG. Le 30 avril 2014 10:00, David Ponzone david.ponz...@gmail.com a écrit : L'idéal serait de prendre une trace wireshark du côté d'un client et du côté du serveur jusqu'à la prochaine occurrence du problème, puis de faire une analyse comparative des 2 traces afin de voir ce qu'il s'est passé (DISCOVER jamais envoyé, DISCOVER envoyé mais pas reçu, DISCOVER reçu mais pas de réaction du serveur, …). Le 30 avr. 2014 à 09:23, Eugène Ngontang a écrit : Bonjour, Dans la poursuite de mon analyse, je m'aperçois d'une chose : Ce matin en arrivant encore mes systèmes client (au sens dhcp) étaient tous dans les chous, et je n'ai pas eu le teAmps de faire les tests que j'envisageais, que mon collègue avait naïvement redémarré le serveur. Toutefois j'ai regardé côté client dans les messages d'avant le redémarrage du serveur (à 7h43 heure système locale) , et j'ai ceci (un extrait): Apr 30 03:04:47 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6 (xid=0x1e903fe) Apr 30 03:04:53 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 8 (xid=0x1e903fe) Apr 30 03:05:01 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 10 (xid=0x1e903fe) Apr 30 03:05:11 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 16 (xid=0x1e903fe) Apr 30 03:05:27 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 18 (xid=0x1e903fe) Apr 30 03:05:45 00-01-80-7e-38-fd dhclient[653]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 3 (xid=0x1e903fe) Apr 30 03:05:48 00-01-80-7e-38-fd dhclient[653]: No DHCPOFFERS received. Apr 30 03:05:48 00-01-80-7e-38-fd dhclient[653]: No working leases in persistent database - sleeping. Et côté serveur (dans /var/log/dhcpd.log), je ne vois aucun DISCOVER reçu dans la plage horaire de 2h47 où l'incident est suvenu à 7h43 où le serveur a été redémarré. Par ailleurs je vois bien qu'il a reçu un DISCOVER à 7H43 (heure de redémarrage) et a bien envoyé un OFFER au client. J'en déduis pour l'instant qu'à une certaine période (apparemment sur un intervalle de 24h environ), le service dhcpd tourne bien sur le serveur, mais celui-ci n'écoute plus sur le port 67 ou ne reçois plus de paquet DISCOVER. Puisqu'à chaque fois aucune action n'est faite côté client pour résoudre le problème, mais un simple redémarrage du serveur. Je ne suis pas sur le même LAN que les systèmes impliqués dans cet incident (clients comme serveurs), j'y accède via ssh. J'attends la prochaine occurrence de la panne pour faire moi même des requêtes DHCP depuis un client et voir ce qu'il se passe. En attendant si quelqu'un à une piste je suis preneur. Merci. Eugène NG Le 30 avril 2014 09:22, Eugène Ngontang sympav...@gmail.com a écrit : Bonjour, J'ai un problème dont je n'arrive pas à identifier concrèetement la source. En effet j'ai un serveur DHCP configuré pour attribuer des adresses statiques et dynamiques. Au moins une fois par jour que tous les clients perdent leur configuration ip alors que le service dhcpd
Re: [FRnOG] Re: [ALERT] [TCPbleed] Peut affecter les Juniper et les NetApp ?
Bonjour Stéphane, Le 30 avr. 2014 à 12:20, Stephane Bortzmeyer a écrit : On Wed, Apr 30, 2014 at 12:13:17PM +0200, David B. haazel...@gmail.com wrote a message of 22 lines which said: Pourquoi ne pas directement aller voir sur le site du constructeur, c'est pas le plus simple ? Non, ce qui serait simple, ce serait de lire les messages et de ne pas citer une page qui concerne la vulnérabilité à la mode le mois dernier. CVE-2014-0160 ≠ CVE-2014-3000 Peut être qu'utiliser un titre de topic faisant tacitement référence à la faille du mois dernier n'aide pas à lever les ambiguités ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] [TCPbleed] Peut affecter les Juniper et les NetApp ?
Bonjour, TCPbleed est un nom officiel ? Cordialement Emmanuel Thierry Le 30 avr. 2014 à 14:21, FRnOG a écrit : TCPbleed Heartbleed, a moins que tu aies une stack TCP a la place du coeur... :) Emmanuel Thierry a dit le 30/04/2014 14:16 : Bonjour Stéphane, Le 30 avr. 2014 à 12:20, Stephane Bortzmeyer a écrit : On Wed, Apr 30, 2014 at 12:13:17PM +0200, David B. haazel...@gmail.com wrote a message of 22 lines which said: Pourquoi ne pas directement aller voir sur le site du constructeur, c'est pas le plus simple ? Non, ce qui serait simple, ce serait de lire les messages et de ne pas citer une page qui concerne la vulnérabilité à la mode le mois dernier. CVE-2014-0160 ≠ CVE-2014-3000 Peut être qu'utiliser un titre de topic faisant tacitement référence à la faille du mois dernier n'aide pas à lever les ambiguités ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Mais que fait Montebourg ?!?
Le 29 avr. 2014 à 08:52, Jérémie Bouillon a écrit : Le 29/04/2014 08:43, Philippe Bourcier a écrit : Devant le nombre de gens qui me demandent de supprimer leurs vieux posts sur les différentes archives, je dirais que c'est assez rare et que le trolleur, globalement, n'a un courage que de très courte durée, comme les poissons rouges :) Si une telle liste de demandes existe pour FRnOG, elle devrait être publiée sur l'interouaibe. Ça serait franchement éducatif… Malheureusement ce n'est pas comme s'il avait le choix (cf. Loi Informatique et Liberté) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2
Le 7 avr. 2014 à 14:46, Jérôme Nicolle a écrit : Le 05/04/2014 12:13, Raphael Maunier a écrit : Par contre la partie sur la menace terroriste reste entière et pour le coup , il a raison de s’interroger sur ce point. Heuu... Tu préfères qu'on aie un périmètre de sécurité autour du centre névralgique d'Internet en France, avec fouille rectale au checkpoint ? Non parce que le fond du problème reste le manque de redondance de _certains_ réseaux, et probablement pas les plus critiques. Soit faute de moyens, soit par pure inconscience. Je reste curieux de voir ce qu'il se passera le jour ou TH2 tombera sans crier gare, mais je doute qu'on en entende parler au delà de la rubrique chiens écrasés et du FRnOG pour autant. Sauf peut être si les services publics clefs (SDIS, prefs...) n'ont pas réalisé à quel point ils se font arnaquer par leurs RIPs d'ici là... Surtout quand l'ANSSI nous sort un rapport sur la résilience d'Internet qui ne se base que sur les peering/transits et occulte totalement la question de leur localisation. Et qui à l'oral se sont justifiés par le fait que c'était une politique d'opérateur de ne pas peerer en province et que ce n'était pas leur rôle de le commenter. Non, un opérateur qui a 10 000 peerings dans la même salle (et même dans la même ville) n'est pas redondant. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] FRNOG 22.0 - RC1
Bonjour, Le 27 févr. 2014 à 13:25, Bruno CAVROS / SKIWEBCENTER a écrit : Non mais stop quoi.. Si vous n'avez jamais vu un GBIC de votre vie (pourtant vous êtes technicien d'après votre adresse mail ?)alors que ça existe depuis 15 ans ça ne sert à rien de venir assister aux conférences du frnog, vous allez vous ennuyer car vous n'allez rien comprendre aux présentations si vous n'avez pas un minimum de niveau technique. Regardons le programme de la journée : - DPDK : Layer 2/3 / Software - SDN : Layer 2/3 / Software - HAProxy 1.5 : Layer 3/4/7 / Software GBIC : Layer 1 / Hardware C'est drôle, on m'a dit il y a pas longtemps : Tu fais du code, tu ne fais pas du réseau ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Internet européen
Le 17 févr. 2014 à 10:40, Alarig Le Lay a écrit : L’idée n’est pas de faire un réseau limité à l’Europe mais d’éviter que tout passe systématiquement par les USA. Ça permettra à la fois d’éviter l’espionage des USA (au profit de celui de l’Europe) et de contribuer au côté décentralisé du net, je trouve l‘idée bonne pour ma part. Par contre la mise en œuvre risque de poser quelques problèmes. Sinon on incite les gens à utiliser DNSSEC + DANE, IPsec ou encore PGP, en fonction de l'application... . . . Ah non, suis-je bête ! Ça les empêchera de faire leurs propres écoutes ! L'hôpital qui se fout de la charité, rien de plus. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La salle de contrôle de l'Internet
Le 11 févr. 2014 à 10:41, Raphaël Jacquot a écrit : On 11.02.2014 10:37, Emmanuel Jacquet wrote: Le 11 février 2014 09:08, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Je parie que vous ne saviez même pas où se trouvait LA salle de contrôle de l'Internet, de laquelle « [on s'] assure qu'internet fonctionne sans problème et d'où on peut également repérer les cyber attaques » Et au cas où vous n'auriez pas remarqué ou lu les commentaires, regardez bien le gars à gauche sur la photo, comment il contrôle internet : http://www.ariase.com/fr/news/media/centre-supervision-orange-business-02.jpg :-) j'en connais un qu'a pas lu les commentaires, il aurait vu cette version zoomée de la photo http://pbs.twimg.com/media/A2GOIRQCcAAz54M.jpg Et c'est pour être immunisés contre les virus récents qu'ils mettent leurs systèmes sous Windows 3.1 ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peering / net / web ...
Le 4 févr. 2014 à 15:11, Sylvain Vallerot a écrit : Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser un PC est révolu. Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais est incapable d’utiliser un PC correctement. Si tu apprends à un gosse à utiliser IRC au lieu de FaceBook il te surprendra. C'est toi qui fait le choix de le faire rentrer dans le moule ou de lui montrer les alternatives. Je plussoie. Ce qui est drôle, c'est quand je parle avec des non-techniques et qu'ils se rendent compte qu'on utilise le même outil (Internet) totalement différemment. Oui, c'est principalement dû au fait qu'ils n'ont aucune idée qu'on peut se connecter à Internet autrement qu'en tapant Google dans la barre de recherche du navigateur (qui pointe vers Google ! ;) ). Personne ne leur a expliqué que cela existait oui, et s'ils savaient peut-être qu'ils auraient des difficultés à l'utiliser, les deux arguments se valent. Ceci dit, ce qui me parait important, c'est en effet de maintenir cette diversité d'usage. Je rejoins Sylvain pour dire que c'est un enjeu de société. Ce n'est pas parce que Facebook est communément appelé un réseau social que les autres réseaux (IRC, usenet, etc) sont associaux. Et n'en déplaise à certains, ce n'est pas non plus Facebook qui a inventé le concept de sociabilité ni de réseau sur Internet. Il y a énormément de réseaux distincts sur Internet, les couper tous au profit de quelques uns sous prétexte qu'ils sont les plus mainstream, c'est : * Mettre le premier genoux à terre devant les multinationales qui gèrent ces plateformes, leur donnant l'occasion d'asseoir plus encore leur suprématie sur les autres acteurs. * Exclure de facto une partie (la plus technique) de la population d'Internet, encourageant l'émergence de réseaux alternatifs, qui n'utiliseront pas *vos* réseaux (tant mieux finalement, cela favorisera la FFDN ! ;) ) * Aggraver l'abrutissement de la population non-technique qui n'aura même plus la liberté de choisir son utilisation de ce bien de consommation. Malheureusement, Internet n'est pas un simple bien de consommation, c'est un espace public. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] VM, ip failover et routage
Bonjour, Avez-vous une idée de comment ceci est transposé en IPv6 sur ces produits/outils ? - Utilisent-ils la même architecture avec des adresses ULA et du NAT66 ? - Déploient-ils un réseau IPv6 distinct ? - Ou alors osef IPv6 ? Est-ce fait également avec un binding 1:1 ou bien associent-ils un /64 à chaque machine/VM ? Cordialement Emmanuel Thierry Le 5 janv. 2014 à 21:05, Adrien Pestel a écrit : Bonsoir, En ce qui concerne AWS, tu as pour chaque instance (VM) la possibilité d'y associer une EIP (Elastic IP). Cette EIP publique est liée à ton instance jusqu'à temps que tu l'as libère. Techniquement c'est du NAT 1:1 entre ton EIP et l'IP privé de ta VM. Cette gestion du NAT 1:1 est programmable. Il y'a fort à parier qu'il s'agit ni plus ni moins que de machine virtuelle Linux au dessus des quelles ont a déployé un jeu d'API permettant de programmer ces règles. Bien sûr tout cela est hypothétique mais il me semble que c'est le même fonctionnement avec CloudStack (orchestration OpenSource Apache libérée par Citrix). Cordialement, Adrien Le 5 janvier 2014 16:06, Manuel OZAN manuelo...@gmail.com a écrit : Bonjour à tous, Je me tourne vers vous afin de m'éclairer sur quelques points techniques inhérents aux infrastructures cloud de type IaaS. En fait, je souhaiterais surtout savoir comment font les grands avec la problématique du routage des ip failover. L'objectif étant bien entendu de disposer de plusieurs VM (disposant elle-même d'une ou plusieurs ip pub) qui sont exécutées sur un serveur physique. Et surtout de découper un bloc en /32 et donc de limiter le gaspillage d'ipv4 public. Je crois comprendre qu'il est nécessaire de déclarer l'adresse mac virtuelle de la VM (à priori afin que les switch/routeurs routent les paquets vers le serveur physique ?). Mais comment cela fonctionne ? Équipements compatibles / Techno ? Près-requis ? Ps : je précise que le sujet étudié est un hyperviseur ESXi ne disposant pas de fonctionnalités réseaux évolués - pas de vDS et donc pas de vxlan... Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 chez Voo
Le 18 nov. 2013 à 08:54, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Nov 18, 2013, at 0:34, Emmanuel Thierry wrote: Ainsi que des adresses ULA plutôt que des adresses unicast globales. C'est fait pour ça aussi. ULA = STRICTEMENT isole. Meme si des choses sont prevues pour pouvoir interconnecter des reseaux numerotes en ULA, c'est PAS 100% sans risque. Ceux qui ont deja du interconnecter leur 10.0.0.0/24 avec l'autre 10.0.0.0/24 n'ont pas forcement envie de revivre ca en v6. C'est pour cela qu'ils imposent dans la RFC (MUST) que l'identifiant de réseau de 40 bits soit généré aléatoirement ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 sur le réseau privé
Le 18 nov. 2013 à 11:24, Xavier Beaudouin a écrit : Le 18/11/2013 0:13, Gaël a écrit : Pour un réseau privé interne d'une entreprise, ou d'un particulier, y a-t-il une vrai nécessitée de passer à l'IPv6? De mon point de vue, je ne vois pas... Des idées? Pouvoir utiliser n'importe quel logiciel qui a besoin d'une ip publique ? (voix sur IP, transfert direct IRC, etc.) S'habituer aux outils et spécificités de l'IPv6 ? et prévenir toute potentielle obsolescence de l'IPv4 ... +1 L'autre avantage : plus de pb : l'ip 192.168.0.1 c'est qui ? :) Oui enfin on demandera l'IP à la place l'IP 2001:db8::21c6:b0e8:dafa:207d qui a été utilisée de 8h22 à 9h46, c'est à qui ? Bref, prévoir un petit NDPmon. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 chez Voo
Le 18 nov. 2013 à 12:15, Radu-Adrian Feurdean a écrit : On Mon, Nov 18, 2013, at 9:51, Emmanuel Thierry wrote: C'est pour cela qu'ils imposent dans la RFC (MUST) que l'identifiant de réseau de 40 bits soit généré aléatoirement ! ;) Et tu vois les gens dans le monde corporate respecter les RFC juste parce-que c'est du RFC ? Pour rappel, une rapide traduction des termes en question: - MUST, SHALL, REQUIRED - quelque-chose a prendre au serieux, sauf avis contraire (motive ou non, c'est irrelevant) d'un superieur hierarchique - MUST NOT, SHALL NOT - quelque-chose a eviter, sauf avis contraire (motive ou non, c'est irrelevant) de la hierarchie - SHOULD, RECCOMENDED - ca sera pas mal si on nous laisse le faire (*) - SHOULD NOT, NOT RECCOMENDED - ca sera pas mal si on nous oblige pas de le faire (*) - MAY ( / MAY NOT), OPTIONAL - a prendre en compte si le temps et les ressources le permettent. (*) (*) la hierarchie peut s'en contre-ficher totalement de ces elements. En plus, le cote aleatoire ne protege absolutement pas contre le pas de chance. Tu prêches un converti (je suis d'ailleurs le premier à utiliser des adresses ULA non aléatoires sur mes réseaux d'expérimentation). Ceci dit, la personne qui ne veut pas avoir de problèmes a une solution, le random. Ce n'est pas une solution ultime, mais soyons honnête, si tu tombes sur le cas, je te conseille de jouer au loto (tu as plus de chances de gagner que d'avoir des identifiants de réseau ULA identiques) ! Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 sur le réseau privé
Bonjour, Le 19 nov. 2013 à 01:34, Gilles Mocellin a écrit : Le 18/11/2013 23:37, m3g4g0lG0t|-| a écrit : Le 18/11/2013 19:09, Gilles Mocellin a écrit : Est-ce-possible de se réserver une plage IPv6 global, et de la conserver quelque soit l'opérateur ? En posant autrement la question : est-ce que je peux m'acheter un lot d'IPv6 pour mettre à la maison? Je pourrais alors en finir avec les IPv4 qui changent toutes les 24h et/ou à chaque fois que je changes de FAI, non? En effet ! Et maison pouvant s'étendre à entreprise, si celle-ci n'est ni opérateur, ni hébergeur... C'est completement différent, mais il y aussi les adresses pour les mobiles (RFC 3775) qui permettrait de garder un prefix. Mais en lisant rapidement en travers, il faut un home agent sur le réseau en question. On est toujours dépendant d'un tiers joignable des deux interlocuteurs. Comme avec un tunnel. Ouch, la mobilité IPv6 n'est pas ce qu'on peut appeler les adresses pour les mobiles. La dénomination est pour le moins inexacte. Le principe de base est de permettre le déport du réseau maison (Home Network) auprès d'un noeud mobile (dans le sens mouvant) situé dans un autre réseau. On considère que le noeud mobile est naturellement dans son Home Network, et quelquefois part de ce réseau pour se déplacer dans un réseau visité. En gros, conceptuellement, c'est un VPN. Enfin, il est nécessaire de préciser que la RFC 3775 est obsolète, elle est remplacée par la RFC 6275, moins fouillie. Ceci dit, même revisitée, il reste pas mal de trucs à mettre à la poubelle dans le standard (à côté du principe de base et de certaines extensions très intéressants). Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 chez Voo
Le 17 nov. 2013 à 23:57, Samuel Thibault a écrit : m3g4g0lG0t|-|, le Sun 17 Nov 2013 23:44:53 +0100, a écrit : Le 17/11/2013 01:13, alarig a écrit : Le simple fait que l’on puisse avoir une adresse par machine et ne plus avoir à faire du passage de NAT est déjà un argument convaincant. Par exemple, une IPv6 pour une imprimante HP réseau, ça va être sympa. Des failles et bugs, sont découverts et bien documentés, on trouve aussi parfois des how to pwnd didactiques. Les mises à jour de firmware sont rarement appliqués. Le NAT dans ce cas évite d'exposer le réseau privé. Et pourquoi ne pas bêtement mettre un firewall ? Ça coûte moins et ça revient au même... Ainsi que des adresses ULA plutôt que des adresses unicast globales. C'est fait pour ça aussi. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 sur le réseau privé
Allez, une vision d'espoir. Quoi qu'on puisse en dire, la courbe de Google est toujours aussi exponentielle qu'avant: http://www.google.fr/ipv6/statistics.html (ou pour chipoter on peut dire qu'il y a de fortes chances que cela nous donne une loi de Poisson) Cordialement Emmanuel Thierry Le 18 nov. 2013 à 01:17, Frederic Dhieux frede...@syn.fr a écrit : Hello, Plusieurs points pour moi, d'un intérêt très différent : - Pour la beauté technique : Mettre au placard le NAT autant que possible et revenir sur un routage pur sans rustine inélégante (avec firewall bien sûr). - Aspect pratique : Il est plus facile de répartir les subnets et les adresses en IPv6 qu'en IPv4, c'est mieux rangé. Egalement savoir qui est en cause quand on doit retrouver une IP d'un collaborateur qui a fait de la merde sur Internet. - Pour la mentalité : Si on pense IPv4 et qu'on met IPv6 en façade publique juste pour dire de l'avoir, la bascule n'a aucune chance de se passer un jour (ce sera déjà bien difficile de le faire). C'est aussi le moyen de lever les problèmes et de les traiter. IPv6 existera vraiment le jour où à force de changer les petits bouts un par un on aura finalement tout qui fonctionnera dessus. Alors là on pourra se poser la question de pourquoi garder IPv4 au lieu de se poser la question de pourquoi déployer IPv6. Mais de toute façon les problèmes restent souvent l'historique ne supportant pas l'IPv6 (softs, matériel). C'est difficile d'upgrader un réseau existant en IPv6, par contre je trouve ça triste de ne pas le mettre en parallèle quand on refait celui-ci. Parce que ça coûte pas grand chose et que c'est inclus dans un projet valide d'un point de vue utile. Et puis bon si les FAIs faisaient un peu l'effort d'y passer plus vite, ça motiverait plus aussi. C'est psychologique, Google et d'autres fournisseurs de contenu importants y sont, si les FAIs y passent, de suite on verra la part de trafic IPv6 devenir importante et inconsciemment pousser les autres à ne plus le négliger. Quand on voit la table ronde du FRnOG, ça ne surprend malheureusement pas, mais on voit bien que le statu quo n'embête que les gens qui manquent d'IPv4, les autres s'en foutent et même semblent en profiter comme d'un avantage sur les concurrents en pénurie... Depuis le temps que c'est pour dans 2 ans, les produits IPv6 sont là, les backbones IPv6 sont là. Ca ne pose même pas de problème réel pour les historiques de le déployer vu qu'il y a le dual stack. Bref, si les gens peuvent au moins ajouter une petite brique de temps en temps en l'incluant dans leurs projets plus prioritaires et s'ils peuvent se mettre à l'aise avec ça, on avancera un peu plus :) Chaque occasion est bonne... :) (surtout qu'on n'a pas vraiment envie de ce marché de l'IPv4 qui va devenir n'importe quoi avec le temps) My 2 cents Frederic Le 18/11/2013 00:13, Gaël a écrit : Pour un réseau privé interne d'une entreprise, ou d'un particulier, y a-t-il une vrai nécessitée de passer à l'IPv6? De mon point de vue, je ne vois pas... Des idées? Pouvoir utiliser n'importe quel logiciel qui a besoin d'une ip publique ? (voix sur IP, transfert direct IRC, etc.) S'habituer aux outils et spécificités de l'IPv6 ? et prévenir toute potentielle obsolescence de l'IPv4 ... My 2 cents --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 chez Voo
Le 15 nov. 2013 à 23:22, Jimmy Thrasibule thrasibule.ji...@gmail.com a écrit : Salut, Mon opérateur en Belgique, Voo, propose à ses client (à moi en tout cas) un accès IPv6 natif (il semble). Cependant leur routeur ne permet pas grand chose, il a au moins le mérite de proposer un mode bridge, et j'en ai donc profité pour brancher un RouterBoard RB951G-2HnD. Depuis, je tente de faire revivre mon accès IPv6. En reprenant l'adresse WAN du routeur de l'opérateur et en configurant la passerelle 2a02:2788:60::1/64, j'arrive à atteindre mon routeur de l'extérieur. Ça coince par contre au niveau du réseau local. J'ai repris le préfixe qui était annoncé par le routeur opérateur: 2a02:2788:64:20c::/64. Si les paquets émis sortent bien (ils passent par l'interface WAN, je ne sais pas s'ils arrivent à destination par contre), je n'ai pas de retour. La passerelle semble en effet incapable de router ce préfixe vers chez moi. Je pense donc que le routeur opérateur annonce ses routes d'une façon ou d'une autre mais je n'ai pas la moindre idée de comment. Peut être du DHCPv6-PD. Ceci dit si c'est ça il te faut le duid. Il faudrait sniffer la sortie WAN du modem fourni par ton opérateur pour le récupérer... Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Soyez sympas, hébergez un Ancre RIPE Atlas
Le 12 nov. 2013 à 11:01, Stephane Bortzmeyer a écrit : On Tue, Nov 12, 2013 at 09:54:44AM +, Patrice Blot - FCNET b...@fcnet.fr wrote a message of 18 lines which said: Il faut acheter ou fournir le hardware ? J'ai bien compris ? Exactement. Ne vous plaignez pas, le matériel envisagé à l'origine (et qui a été acheté par les participants au projet pilote, comme l'AFNIC) était bien plus cher que celui finalement choisi. Pour les 2000€ d'inscription au RIPE, ils n'offrent pas une sonde Atlas en cadeau ? ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15 oct. 2013 à 11:29, Raphael Maunier a écrit : On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Attention de ne pas interpréter mes propos. Il teste et valide les solutions en fonction des problématiques interne et des clients. C'est de l'ingénierie pure. Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, et il est forcement invité à le faire, par contre Si tu veux du code, il faut un dev qui le fera proprement. Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement bien trop souvent un soucis quand un mec se barre. Quand tu vas voir le SDN arriver dans ton réseau, tu verras, ce n'est *que* du code. Il va falloir commencer à apprendre à coder justement ! ;) Du petit bout de ma lorgnette, je vois surtout qu'un ingé réseau qui ne sait pas coder ne saura se restreindre qu'à des solutions propriétaires (voire des environnements propriétaires, on le voit bien en sysadmin sur les environnements tout intégrés Microsoft). Il sera incapable de voir qu'avec un peu de script, ou de C (bouh, le gros mot ! ), il est capable d'adapter sa solution propriétaire pour qu'elle fasse *exactement* ce qu'il veut. Et il aura tendance à considérer ce manque comme un atout: si j'achète tout Cisco (y compris les DHCP, DNS cie), ce n'est pas parce que je ne sais pas intégrer autre chose à mon environnement, c'est parce que Cisco est le meilleur (en plus vu le prix auquel ils vendent ça ne peut qu'être top moumoute ! ;) ). Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, Le 14 oct. 2013 à 22:44, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Il y a un article Wikipedia pour ça ! ;) http://fr.wikipedia.org/wiki/Prix_d'acceptabilité#D.C3.A9termination_du_prix_d.27acceptabilit.C3.A9 Le prix minimum, prix en dessous duquel le client pense que le produit ne peut pas être de bonne qualité. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fibre SFR et IPv6 (Was: SFR passe la fibre à 300Mbps)
Le 12 oct. 2013 à 19:35, Baptiste Jonglez bapti...@jonglez.org a écrit : On Fri, Oct 11, 2013 at 06:50:11PM +0200, Emmanuel Thierry wrote: Plus précisément du softwire: http://tools.ietf.org/html/rfc5571 Il y aura peut être prochainement une implémentation publique open-source (je suis volontairement évasif). Ah, intéressant. Ceci dit, ça n'utilise que des technos existantes, non ? (L2TPv2, PPP, RA, DHCPv6) Tout à fait. Ceci dit cela peut s'automatiser. C'est ce qu'il manque actuellement dans le paysage open-source. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fibre SFR et IPv6 (Was: SFR passe la fibre à 300Mbps)
Le 11 oct. 2013 à 18:08, Baptiste Jonglez bapti...@jonglez.org a écrit :
Pour IPv6, c'est plus galère. C'est encapsulé dans un tunnel L2TP
au-dessus d'IPv4 :
10:56:30.793614 IP (tos 0x0, ttl 64, id 24349, offset 0, flags [none], proto
UDP (17), length 142)
109.24.XXX.XXX.1701 109.6.3.95.1701: l2tp:[](39614/13184) {IP6 (hlim
63, next-header ICMPv6 (58) payload length: 64)
2a02:8429:::::: 2a00:1450:4007:809::1002: [icmp6
sum ok] ICMP6, echo request, seq 280}
Plus précisément du softwire: http://tools.ietf.org/html/rfc5571
Il y aura peut être prochainement une implémentation publique open-source (je
suis volontairement évasif).
Cordialement
Emmanuel Thierry
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] Fibre SFR et IPv6 (Was: SFR passe la fibre à 300Mbps)
Le 11 oct. 2013 à 19:08, Raphael Jacquot sxp...@sxpert.org a écrit : On Oct 11, 2013, at 6:50 PM, Emmanuel Thierry m...@sekil.fr wrote: Plus précisément du softwire: http://tools.ietf.org/html/rfc5571 Il y aura peut être prochainement une implémentation publique open-source (je suis volontairement évasif). c'était bien trop facile de gérer ça en double stack ;) Je ne juge pas, j'informe ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] : descriptif prestation informatique
Le 3 oct. 2013 à 15:01, Séb a écrit : Le 03/10/2013 12:18, Bruno CAVROS / SKIWEBCENTER a écrit : Bonjour ? C’est une erreur ? Bonjour, En tout cas, le domaine est toujours disponible ... Je dis ça, je dis rien :) Bonne chance pour récupérer la boulette. Bien vu ! Qui veut devenir riche dans l'assistance ? ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] : descriptif prestation informatique
Le 3 oct. 2013 à 18:29, Fernando Alves a écrit : Le 03/10/2013 14:14, Raphaël Jacquot a écrit : On 03.10.2013 12:29, Thomas Basset wrote: Laisse nous deviner, au 68 rue des archives dans le 3ème ? La blague. au Black Rainbow ? Raphael, je pense qu'ils parlent du domaine ci-dessous: https://www.gandi.net/whois/details?search=cabinet-infine.com Dommage, l'anonymat est activé ! Le suspens se prolonge pour savoir si oui ou non ils se sont fait squattés ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] : descriptif prestation informatique
Le 3 oct. 2013 à 18:43, David Frnog a écrit : Si c'est quelqu'un de la liste c'est juste honteux !!! Position intéressante. Une autre position serait de dire que c'est à la limite de la faute professionnelle que de communiquer sur un nom que tu n'as pas encore déposé, que ce soit un nom de domaine, une marque, etc... Cordialement. Emmanuel Thierry Mais comme certains d'entre nous ont des connexions chez Gandi, on va probablement pouvoir débusquer le cyber squatteur et le virer d'ici !!! En plus, demain , c'est Vendredi :) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Emmanuel Thierry Envoyé : jeudi 3 octobre 2013 18:37 À : frnog@frnog.org FRNOG Objet : Re: [FRnOG] [BIZ] : descriptif prestation informatique Le 3 oct. 2013 à 18:29, Fernando Alves a écrit : Le 03/10/2013 14:14, Raphaël Jacquot a écrit : On 03.10.2013 12:29, Thomas Basset wrote: Laisse nous deviner, au 68 rue des archives dans le 3ème ? La blague. au Black Rainbow ? Raphael, je pense qu'ils parlent du domaine ci-dessous: https://www.gandi.net/whois/details?search=cabinet-infine.com Dommage, l'anonymat est activé ! Le suspens se prolonge pour savoir si oui ou non ils se sont fait squattés ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 17 sept. 2013 à 14:05, Simon Perreault a écrit : Le 2013-09-17 13:37, Rémi Laurent a écrit : Si j'ai bien compris le princi de NPTv6 je pense que ce genre de règle devrait faire l'affaire match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 bitmask Pas tout à fait. Le matching doit être inversé, et il manque l'option static-port avec la règle nat-to pour éviter de NATer les ports. match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from $pfx2/64 to any nat-to $pfx1/64 bitmask static-port Ou plus simple, en utilisant binat-to et en éliminant les termes redondants: match on $if from $pfx2/64 binat-to $pfx1/64 bitmask (static-port est implicite avec binat-to.) Normalement le NPTv6 est sensé swapper les adresses de manière à préserver le checksum intact. Est-ce que l'implémentation d'OpenBSD le fait ? Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 17 sept. 2013 à 14:21, Simon Perreault a écrit : Le 2013-09-17 14:15, Emmanuel Thierry a écrit : Normalement le NPTv6 est sensé swapper les adresses de manière à préserver le checksum intact. Est-ce que l'implémentation d'OpenBSD le fait ? Le but de préserver le checksum intact est d'avoir une implémentation plus rapide. C'est une optimisation pure et simple. OpenBSD n'exploite pas cette possible optimisation: il va toujours recalculer le checksum, même si on fait attention de choisir $pfx1/64 et $pfx2/64 de façon à ce que le checksum ne change pas. Le fait est que la performance en forwarding d'un routeur logiciel est limitée par l'I/O réseau, pas par la puissance CPU dépensée pour recalculer des checksums. Implémenter l'optimisation dans OpenBSD serait donc inutile et même nuisible si on considère les coûts engendrés par la complexité additionnelle du code. Le but à mon sens est également de n'avoir pas à toucher au protocole de transport, notamment s'il est inconnu du routeur. Est-ce que je me trompe ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Un tel accord serait-il possible avec un opérateur européen ?
Le 9 août 2013 à 12:13, Refuznikster a écrit : Bonjour, Idem chez silent circle. L'Electronic Frontier Foundation a immédiatement réagi bien sur : https://www.eff.org/deeplinks/2013/08/lavabit-encrypted-email-service-shuts-down-cant-say-why D'ici à ce que ça arrive à riseup et no-log, il n'y a qu'un pas... Cordialement Emmanuel Thierry Le Fri, 09 Aug 2013 07:44:38 +0200, FB fbpa...@gmail.com a écrit: En parlant de canular, on rigole bien en ce moment : http://lavabit.com/ On Wed, Aug 7, 2013 at 11:39 PM, JFC Morfin jef...@jefsey.com wrote: http://www.frontline.in/the-**nation/indian-help/** article4982631.ece?homepage=**truehttp://www.frontline.in/the-nation/indian-help/article4982631.ece?homepage=true Ceci ne semble pas relever du canular, serait-ce envisageable de la part d'opéraeturs européens ? jfc morfin --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Refuznik --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Proxad / Akamai eDNS] Performance de résolution DNS variable (Anycast)?
Le 6 août 2013 à 16:54, Laurent Frigault a écrit : On Tue, Aug 06, 2013 at 04:38:07PM +0200, Cédric Tabary wrote: La plupart du temps on se fiche de la performance de l'autoritaire, car c'est le cache du FAI qui répond. ak-imworld.afcdn.com. 33200 ... Ca va juste lagger 300 ms toutes les 10 heures pour maj le cache... acceptable de mon point de vue. Sauf si on a eu la mauvaise idée de chainer des CNAME avec des TTL ridiculement bas (300s) comme c'est trop souvent le cas avec les CDN. Il faut donc refaire le test sur toute la suite des CNAME jusqu'au A/ et prier que ceux qui ont un TTL très bas aient une résolution rapide ou espérer que les utilisateurs utilisent un FAI dont les resolver utilisent min-cache-ttl (patch bind) ou cache-min-ttl (unbound) ou équivalent pour neutraliser ces TTLs ridicules du genre : a428.g.akamai.net. 20 IN A 158.255.97.74 a428.g.akamai.net. 20 IN A 158.255.97.9 Dommage qu'on ne puisse pas spécifier les TTL en millisecondes ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 6970: Universal Plug and Play (UPnP) Internet Gateway Device (IGD)-Port Control Protocol (PCP) Interworking Function
Le 25 juil. 2013 à 05:46, Raphaël Jacquot a écrit : On 24.07.2013 19:11, Stephane Bortzmeyer wrote: Mettre du PCP dans les boxes ne suffit pas, il faut aussi mettre un relais Upnp-PCP :-) More bricolage... c'en est ou ipv6, qu'on arrete le massacre ? ;) Si je ne me trompe PCP est aussi valide en IPv6 (sans nécessairement avoir besoin de la partie translation d'adresse). Voire, il est indispensable que les constructeurs l'implémentent en IPv6, et mettent en place un firewall stateful, pour des raisons évidentes de sécurité. Donc le bricolage n'a ici rien à voir avec IPv4 ou IPv6, le bricolage a à voir avec le fait que UPnP a été conçu hors de l'IETF, et pour les cas les plus courants. L'IETF cherchant à fournir un protocole plus générique a proposé une solution concurrente et n'a eu d'autre choix que de proposer une passerelle afin d'assurer la rétrocompatibilité. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] IPv6 entre clients Free (Was: Auto hébergement
Le 1 juil. 2013 à 16:03, Stephane Bortzmeyer a écrit : On Mon, Jul 01, 2013 at 03:50:45PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 15 lines which said: Testé aussi avec des adresses quelconques trouvées par un collègue en utilisant Google (moi, je ne sais pas m'en servir). Elles marchent toutes. Bon, en creusant davantage, il y a bien des adresses IPv6 chez Free (dans le 2a01:e00::/26) qui sont joignables depuis l'extérieur de Free mais pas depuis Free :-( Le traceroute stoppe immédiatement après la Freebox. Reste plus qu'à trouver le « pattern » commun à ces adresses... Même diagnostique, sur une 2a01:e35::/32 Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 27 juin 2013 à 17:18, Guillaume Subiron a écrit : Le jeu., juin 27, 2013 at 09:03:50 +0200, Stephane Bortzmeyer claviotta : On Wed, Jun 26, 2013 at 10:17:06AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 48 lines which said: S'il est vrai que les adresses du routeur lui-même risquent d'être bloquées, rien n'empêche le routeur de générer un paquet avec une IP qui circulerait librement. Attention, en TCP, c'est plus compliqué que cela car il faut recevoir les réponses. Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). Ah oui, cool idée, je savais bien que j'avais raison de demander sur cette liste. Je transmets l'idée à Pékin tout de suite et j'attends mon chèque. Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. Un peu de place en RAM pour y stocker quelques Mo pendant quelques dixièmes de secondes. Et toi tu t'arranges d'avoir un ou plusieurs pings qui passent par ce routeur là toutes les secondes ou moins. En soit l'idée est pas idiote si tu cibles un trafic faible mais de haute valeur informative (mail par exemple). Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Critères d'éloignement géographique de vos sauvegardes ?
Le 24 juin 2013 à 12:42, Jérôme Nicolle a écrit : - Attaque nucléaire : tu t'éloignes des villes et bases militaires (risque EM et électrique à 40-60km d'un 0 : TH3 et PA1 : ne se redondent pas mutuellement) Intéressant, tu as des sources pour ces chiffres là ? Et 60km, même en cas d'explosion en haute atmosphère ? Ca n'élargit pas la portée de l'EMP ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Bonjour, Le 12 juin 2013 à 10:53, Stephane Bortzmeyer a écrit : Nos gentils routeurs nous trahissent-ils et autres questions : http://www.slate.fr/story/73741/prism-nsa-francais A ce sujet une conférence très intéressante passée au dernier THSF: http://blog.thsf.net/page/Conferences#mass_surveillance_cloud_computing Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau
Le 4 juin 2013 à 11:05, François Lacombe a écrit : Bonjour, Merci pour cette réponse. Le 4 juin 2013 01:29, Emmanuel Thierry m...@sekil.fr a écrit : Et… la question ? :D Bon, plus sérieusement le macvtap est du genre capricieux. Je me suis plusieurs fois cassé les dents dessus si bien que je suis systématiquement revenu à un bridge regroupant l'interface physique et les interfaces des VMs. On perd en performances mais on a exactement les mêmes fonctionnalités, c'est quasiment invisible du point de vue de la VM. Justement, c'est une question de performance et de propreté, en plus d'être un objet dont je ne comprends pas le fonctionnement et que je souhaite creuser. Le moins qu'on puisse dire c'est que c'est capricieux en effet. De quoi cela vient-il ? Des interfaces des VM (pilotes, ...), du matériel du DC, de l'host ? Du noyau... A vrai dire les VMs n'ont pas grand chose à voir là dedans. Le gros du boulot est fait dans le noyau de l'hôte. Pour preuve, tu peux tout à fait créer une interface macvtap sans la mettre dans une VM. Tu parles de routage entre les deux switchs (auquel cas jouer avec le forwarding) ou bien de relier les deux switchs sur un même L2 ? De routage. J'ai plusieurs réseaux /24 et je souhaiterais régir les échanges entre ces réseaux en utilisant iptables sur l'host. Sur ESXi, je n'avais qu'à mettre une VM disposant d'une patte sur tous les réseaux pour établir le lien entre eux (un routeur quoi). Ici c'est différent, tout peut se passer sur l'host normalement. Je confirme, tu fais ça sur l'hôte. Si tu es joueur tu peux aussi faire ça sur l'hôte dans un netnamespace distinct (si tu es joueur). A vrai dire cela marche très bien si tu le fais hors de libvirt. Ensuite trouver les paramètres du xml qui te généreront la conf que tu veux c'est une autre affaire... Depuis quand un cahier des charges s'immisce dans les détails technique plutôt que de rester dans le pur fonctionnel ? ;) Le CdC recommande un truc propre, pour y répondre on utilise macvtap et non un bridge. En raccourcissant ça donne ce que j'ai dit hier soir :) Mettre son eth0 sur un bridge n'est pas propre ? Tiens, j'apprends des choses ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau
Bonsoir, Le 4 juin 2013 à 00:31, François Lacombe fl.infosrese...@gmail.com a écrit : Disposant actuellement d'un serveur dédié muni de l'hyperviseur VMWare ESXi 4.1, je souhaite depuis le début de l'année monter en compétence sur la technologie KVM/Qemu sous Debian. Donc migrer de ESXi vers KVM en tentant de reproduire à l'identique fonctionnellement mon infra me semblait être un bon défi pour cela. Peut être que FRsAG serait plus approprié pour cette question ! Deux problèmes distincts se présentent à nous : - l'utilisation de la fonctionnalité macvtap de l'hyperviseur pour permettre à nos VM d'accéder directement à Internet (via IP failover, classique). Ça se configure graphiquement sous vSphere quand on utilise ESXi. Sous Debian/libvirt c'est un peu plus confus. Et… la question ? :D Bon, plus sérieusement le macvtap est du genre capricieux. Je me suis plusieurs fois cassé les dents dessus si bien que je suis systématiquement revenu à un bridge regroupant l'interface physique et les interfaces des VMs. On perd en performances mais on a exactement les mêmes fonctionnalités, c'est quasiment invisible du point de vue de la VM. Par ailleurs le plus sûr sur les interfaces macvtap est de rester en mode bridge ou private comme indiqué dans la doc. - La communication inter-vswitches sur l'host (les interfaces vibrX). La documentation disponible à cette adresse (http://wiki.libvirt.org/page/VirtualNetworking) évoque toujours des cas mono-vswitches alors que j'en ai au moins 2 à faire communiquer en local. Tu parles de routage entre les deux switchs (auquel cas jouer avec le forwarding) ou bien de relier les deux switchs sur un même L2 ? Dans le second cas tu ne peux pas relier directement les bridges entre eux. Concrètement tu ne peux pas attacher un switch sur un autre. Par contre ce qui doit marcher c'est de créer une paire de veth et d'ajouter chaque extrémité à un bridge: # ip l add type veth # brctl addif virbr1 veth0 # brctl addif virbr2 veth1 # ip l set veth0 up # ip l set veth1 up Ces deux points ne semblent fonctionner que sur le papier de mon point de vue et je suis à court d'astuce pour triturer la doc d'une manière ou d'une autre. Dans le cas de macvtap, rien ne sort des VM et tout ICMP se solde par un Destination host unreachable envoyé par les interfaces mêmes des VM, invariablement. Il faut voir ce que libvirt t'a généré comme config réseau. Peut être faire des tests sans faire intervenir libvirt (simplement jouer à créer des interfaces macvtap) peut aider au déboggage. Concernant macvtap, ne pas utiliser de bridge traditionnel est un élément du cahier des charges. Depuis quand un cahier des charges s'immisce dans les détails technique plutôt que de rester dans le pur fonctionnel ? ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Sponsoring LIR
Bonjour, Le 29 mai 2013 à 11:49, Pierre-Yves Maunier a écrit : Toutes les ressources indépendantes sont comptées comme ressources : donc AS et PI. Quand t'es LIR avec des PA, il y a un savant calcul : The RIPE NCC Billing Algorithm Scoring unit table IPv4 Allocation IPv6 Allocation Scoring Unit (...) The total score per Member is the sum of all allocation scores. Par curiosité, à quoi est utilisé ce score ? Vu qu'à ce que j'ai compris: * La cotisation ne dépend plus de la taille du LIR depuis cette année * L'allocation de ressources ne dépend que de leur justification Cordialement Emmanuel Thierry Le 29 mai 2013 11:39, Youssef Ghorbal youssef.ghor...@gmail.com a écrit : En effet, j'ai deja pas mal de reponses. J'ai des taris en ressources par an. Qu'est ce qui est appele exactement ressources dans le commerce. Juste les numeros d'AS et les allocations d'IP ? Est ce qu'il y'a une correspondance avec les autres objets annexes de la base RIPE (les delegations de reverses, etc) Merci encore de votre aide a tous. Youssef 2013/5/29 Solarus sola...@ultrawaves.fr: On Wed, 29 May 2013 10:34:22 +0200, Youssef Ghorbal youssef.ghor...@gmail.com wrote: - Est ce qu'il y'a parmi vous des LIRs qui soient pret a devenir Sponsoring LIR meme s'ils ne sont pas FAI. De memoire, j'ai toujours vu les deux aller un peu ensemble (en tout cas de point de vu End User) Il y a sur la liste quelques sociétés pouvant proposer une prestation de LIR, c'est le meilleur choix il me semble, je les laisse vous répondre. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur du vendredi
Bonjour, Le 24 mai 2013 à 09:53, Jérémy Martin a écrit : Dlink DSR-250N J'ai eu une très mauvaise expérience avec celui là, pour des besoins simples (routage only, pas de filtrage applicatif) et pour seulement une dizaine d'utilisateurs. Par ailleurs, si par malheur j'activais l'IPv6 la RAM du routeur s'écroulait sous les simples annonces des adresses link-local des postes clients. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Livebox ou #hadopi^H^H^H^H^H^HCSA :)
Le 13 mai 2013 à 15:41, Alexandre Legrix a écrit : Salut Alors : box en mousse ? ou développeur en bois ? http://www.gcu-squad.org/2013/02/linternet-par-orange/ Livebox Pro = Publicité mensongère ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [IPv6] Problème avec Free
Bonjour, Le 10 mai 2013 à 18:09, MulX (Aymeric) m...@aplu.fr a écrit : Bonjour, Depuis environ 16h mon IPv6 ne fonctionne plus sur ma ligne Free. Une autre personne sur le même DSLAM (sim31) n'a pas de problème mais ils a fait les mises à jour de la machinbox vers la version 1.1.11, moi non. Du coup je me demande si Free ne serait pas entrain de faire un changement sur leurs DSLAM qui rend l'IPv6 non fonctionnel avec une version 1.1.8 (le changelog des versions sur dev.freebox.fr n'est pas des plus explicite), est-ce possible ? Et aussi, est-ce que d'autre personne ont aussi perdu l'IPv6 chez Free et avec quelle version de la box ? Je précise qu'en IPv4 tout beigne. Ca marche avec la 1.1.9 Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Carte sata II pci-express/ESXi 5.0 ou personne motivée pour faire un driver ?
Le 6 mai 2013 à 16:59, Kai-Kai a écrit : 1. Création d'un driver ? J'ai vu sur des forums que des gens ont réussi à ajouter le support de certains matériels à un ESX en compilant les drivers Linux d'une certaine manière pour en faire des pilotes ESXi... mais là, ça va trop loin pour moi. Est-ce qu'il y a des gens ici qu'on ont déjà fait ce genre de choses et qui sauraient le faire dans ce cas ? 2. Achat d'une nouvelle carte Je suis tout disposé à acheter une nouvelle carte, autant que possible sur amazon.fr (j'ai droit à la livraison en 1 jour par amazon premium, donc autant en profiter)... mais avant de gaspiller mes sous une fois encore, je cherche des certitudes. Est-ce que quelqu'un ici aurait un modèle de carte reconnu avec certitude de manière directe par un ESXi 5.0.0 ? Idéalement je voudrais simplement la monter dans la tour et que pouf au boot suivant, je puisse voir mes 2 DD supplémentaires (WD RED 2 To)... Bon, je répète ce que j'ai posté sur FRsAG puisqu'apparemment le sujet est plus actif ici (comme d'habitude ! ;)). Alternativement je pense que ESXi doit pouvoir te permettre de déléguer la gestion d'un périphérique à une VM (comme peut le faire KVM par exemple). Auquel cas tu peux monter un serveur NFS ou 9p sous Linux qui va servir d'extension de disque à toutes tes VMs. Après cela dépend de ton cas d'usage et de si VMWare est capable de faire ça. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Carte sata II pci-express/ESXi 5.0 ou personne motivée pour faire un driver ?
Le 6 mai 2013 à 17:03, Sylvain Donnet a écrit : Bonjour, Le piège à ESX... Il ne faut pas acheter la carte d'abord, puis compter sur Vmware. Il faut acheter la carte uniquement à partir de la liste de compatibilité hardware de Vmware/Esxi : http://www.vmware.com/resources/compatibility/search.php Bof, c'est pas grave, les gens qui font du Libvirt/KVM seront ravis de la récupérer à bon prix ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Misc] Le troll du vendredi par Michel
Le 4 mai 2013 à 12:42, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, May 4, 2013, at 9:14, Solarus wrote: le reste de l'Internet suivra. Le jour ou un des grands decidera d'offrir un service *uniquement* en v6. Pas avant. Tu veux dire Google ? Il y a 10 ans on n'avait pas l'écosystème d'aujourd'hui. Aujourd'hui on a toutes les conditions pour l'adoption massive. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Misc] Le troll du vendredi par Michel
Le 3 mai 2013 à 05:22, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Simon Perreault a écrit: L'adoption d'IPv6 grimpe très rapidement: http://www.google.fr/ipv6/statistics.html Ca fait 15 ans que j'entends ce troll. En plus, le graphique étiquette comme étant natif le trafic 6PE, qui n'est ni plus ni moins qu'un tunnel 6to4 administré par le FAI. Il y a une autre manière de le voir: * Trafic IPv6 natif: Connectivité IPv6 obtenue de manière transparente par l'utilisateur M. ou Mme Michu, qu'il ou elle n'a pas eu à configurer à la main. * Trafic tunnel: Connectivité IPv6 obtenue via un tunnel-broker ou un service de connectivité ouvert au public. Par extension connectivité a priori plus lente et moins stable si le endpoint du tunnel n'est pas sur le même AS. Bon, par contre les IPs HE ou Sixxs doivent je pense être rangées dans Native alors que ce n'est plus du trafic natif que le 6rd. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 6888: Common requirements for Carrier Grade NATs (CGNs)
Le 3 mai 2013 à 06:49, VIGNEAU Martin martinvign...@zeop.re a écrit : Le 2013-05-02 19:40, Simon Perreault t a écrit : Ça va venir. L'adoption d'IPv6 grimpe très rapidement: http://www.google.fr/ipv6/statistics.html Manifestement, il y en a pour qui déployer IPv6 est déjà avantageux. Plus ça se déploie, plus ça devient avantageux pour d'autres. Ce n'est qu'une question de temps. Nos beaux CGNs tout neufs vont devenir désuets trop vite. ;) Simon Je veux pas faire ma mauvaise tête, mais 1.4 % d'tilisateur en ipV6 ca veut dire que 98.6 % sont encore en IPv4... Le taux de progression, quand on part de 0, ne veut rien dire. On pourrait tout aussi bien raisonner en valeur absolu et dire que à 1 % gagné en deux ans il faudra 196 années avant que l'IP v6 soit universellement adopté, ce qui serait tout aussi absurde… Au minimum je dirais plutôt doubler chaque année (0,4 en janvier 2012, 1,0 en janvier 2013), ce qui fait qu'il ne suffira que de 7 ans pour que ce soit mondialement déployé (on fait dire ce que l'on veut aux chiffres). Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Contact orange (Too many SMTP connections)
Le 3 mai 2013 à 11:26, Fabien V. a écrit : Le seul domaine qui deferred encore un peu, c'est gmail, mais je suppose que ce sont des adresses utilisées par des clients pour du monitoring, donc GMail est plus intelligent, il limite par boite la réception (et oui, gmail sert de boite pour l'exploitation de serveurs, c'est quand même dingue, et je comprends pourquoi certains limites). Le problème est que recevoir tes mails de monitoring sur le serveur que tu es en train de monitorer, c'est disons un peu enfin j'me comprend ! ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert
Le 8 avr. 2013 à 10:29, Wallace wall...@morkitu.org a écrit : Le 08/04/2013 10:19, Stephane Bortzmeyer a écrit : les attaques se feront sur les serveurs autoritaires. Je prends ma casquette de nazi grammairien deux secondes : un adjudant est autoritaire. Un serveur DNS fait autorité. Tu m'avais déjà fait cette remarque mais en cherchant bien autorité en tant que nom féminin, je ne vois pas quel adjectif autre qu'autoritaire pour l'accoler à serveur dns sans mettre un verbe. Référent serait à mon sens le plus proche de cette idée dans le sens que sa réponse fait référence. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ip - routage et debian 6
Bonjour, Je ne sais pas si je suis le seul à ne pas avoir compris mais ce n'est pas vraiment clair entre ce qui marche et ce qui ne marche pas. Peut être un schéma serait-il bienvenu ? Concernant le problème, un ping qui passe lorsque qu'il est émis du routeur et qui ne passe pas lorsqu'il est émis d'ailleurs, je dirais naïvement de vérifier que le forwarding est activé, mais sans éléments supplémentaires, je n'ai rien d'autre à proposer. Cordialement Emmanuel Thierry Le 30 mars 2013 à 16:39, ashemta ochenta ashe...@hotmail.fr a écrit : Bonjour, je suis en train de faire du routage entre deux sites distants avec un tunnel gre. mon tunnel est opérationnel ( local ). je viens de récupérer une ip qui devrait arriver vers le routeur A ( linux debian ). pour l'instant elle ne route pas. le routeur A ping bien cette nouvelle ip vers le routeur B. Mais quand je fais un ping depuis internet, l'ip ne ping pas encore. qu'elle est la configuration sur le routeur A pour que l'ip traverse le routeur A, pour ainsi arriver à destination du routeur B ? sur le routeur A j'ai essayé: ip addr add 1X dev greA, mais l'ip ne traverse pas. Cordialement Jean-Baptiste. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Email du RIPE
Le 25 mars 2013 à 13:38, Xavier Beaudouin a écrit : Hello, Le 25/03/2013 10:59, Phibee Network Operation Center a écrit : Le 25/03/2013 09:56, Stephane Bortzmeyer a écrit : Ils nous demandent de devenir LIR ou signer un accord avec un LIR existant (Completel nous fournis cette plage). Ah, la chasse aux adresses du marais continue, on dirait. Je suis un ignare, j'ai pas du suivre une discussion dans le passé ;=) c'est quoi cette chasse ? une chasse au incohérence de la base ? Non c'est plutôt du nettoyage des PI qui sont attribuée précédemment. En gros si tu as pas des docs prouvant que la PI est bien a toi (exemple: la boite a coulé, mais on t'as donné un accord oral qui tu pouvais la récuperer), tu pers ta PI... Est-ce à dire que le RIPE va bientôt être capable de réallouer des IPs dont il a d'autorité décidé qu'elles n'étaient plus utilisées ou légitimes ? A-t-on des statistiques ou des infos officielles à ce sujet ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Email du RIPE
Le 25 mars 2013 à 21:14, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Mar 25, 2013, at 19:16, Fréderic wrote: je ne propose pas de centraliser, donc je proposerais encore moins l'etat de le faire. Donc, pour resumer: si je decide de prendre arbitrairement un bloc d'addresses (qui par hasard etait utilise par toi-meme) et que mon peering est plus gros que le tien, pour toi ca va (de toute facon il n'y aura personne pour prendre ta part dans ce cas-la). C'est bien ca que tu cherches ? Non, c'est plus simple, il suffit de monter un wiki. Exemple: https://dn42.net/trac/wiki/IPv4-topology :] Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave
Bonjour, Le 19 mars 2013 à 10:09, Xavier Beaudouin a écrit : Le 16 mars 2013 à 19:08, Rémi Bouhl remibo...@gmail.com a écrit : Finlande, Corée.. il faut voir les densités de population, aussi. La boucle locale a un sacré poids sur le coût d'une connexion. Je vais donc parler de la Corée du Sud et une petite ville qui s'appelle Séoul que je vais comparer a Paris (capitale vs capitale...). Dans cette ville, Séoul, comparons un truc utile : la téléphonie mobile dans les transports en communs. Dans tous les métros de Séoul même au -5eme sous sol (qui en passant est propre comparé à la porcherie parisienne) le sigle 3G de mon 4S est a fond. Je n'ai jamais perdu un appel (en roaming Free) la bas. Le Wifi dans les rames de métro marche a 100% et des fois tu accès un hotspot gratos. Prenons une station de métro et RER equivalente : la Défense... Je vous demande juste d'essayer de faire un appel, sur le quais de la gare RER la Défense avec un tél... Déjà si on y a arrive c'est déjà pas mal (Orange et SFR selon l'humeur), après charger une page web... La... Si on est en Edge c'est déjà pas mal. Donc des fois j'ai la très nette impression que le pays en voie de développement n'est pas celui qui est sur papier... dans ces domaines. Mais est-ce peut-être parce que je suis un étranger et on fait de la QoS quand on est étranger ? Je prendrais la meme remarque avec une carte prépayée a Shanghai... Bon le réseau 3G est moins bon mais la voix/sms, jamais un soucis... Donc non le pays sous développé en terme de réseau mobile n'est pas celui qu'on crois... Est-on bien en train de comparer un métro inauguré en 1900 qui n'a eu depuis 1929 qu'une seule ligne véritablement créée (le reste étant des extensions) à un métro inauguré en 1974 ? Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre de sysadmin linux en alternance ou CDI débutant sur Paris
Le 9 mars 2013 à 09:06, Fernando Alves fernando.al...@sameswireless.fr a écrit : Oh merde.?!!?*., qu'est-ce que j'ai été raconté ma vie, il faut plus que j'aille sur mon ordi en rentrant d'un apéro trop arrosé :-) T'inquiète pas, ça ne sortira pas d'Internet. :] Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre de sysadmin linux en alternance ou CDI débutant sur Paris
Le 8 mars 2013 à 17:27, Pierre Chapuis catw...@archlinux.us a écrit : Bref, tout ça pour dire que la solution pour avoir un niveau correct *et* un peu de reconnaissance en France c'est : 1) faire un IUT; ... et terminer major de ta promo. Il va falloir des promos super réduites pour démocratiser le système 2) passer les épreuves d'admission sur titre d'une école en 3 ans; 3) partir en double diplôme à l'étranger dès que possible. Ou alors tu fais une école d'ingé à prépa intégrée. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre de sysadmin linux en alternance ou CDI débutant sur Paris
Le 8 mars 2013 à 15:30, Ducassou Laurent laurent.ducas...@spaceshell.fr a écrit : J'ai fait 1 ans sur les 2 ans de la programmation (même pas du réseau), en C et C#, intérêt pour un admin réseau ? Nul, sauf la façon de résonner. Encore ça serait du Perl/python/PHP ou autre langage que tu peux facilement scripter dans le domaine pro, tu résonnerai pareil mais avec un intérêt certain professionnellement parlant. Quand tu sais coder en C, tu as les notions nécessaires pour coder dans n'importe quel langage de script. Voire pour certains langages la syntaxe également (PHP notamment, Perl presque). C'est pour ça que 25% des jeunes sont au chômage. Tu viens d'argumenter le pourquoi du comment. Peu être un peu moins en Informatique car il y a plus de passionné et de gens qui font des licences/masters. Tout le monde n'a pas l'argent pour hélas. C'est bien, tu as bien écouté notre cher ministre du Redressement Productif, on est tous foutus, on ne peut pas s'en sortir. Qu'est ce que ça justifie ton chiffre de 25% ? 25% des jeunes sont au chômage donc les formations en informatique et en réseau sont mauvaises ? Non, là je vois pas ! :) Le chômage en France c'est dans les secteurs industriels, c'est dans la main d'oeuvre non qualifiée, etc. L'informatique c'est quasiment du plein emploi, et tous les jours il y a des nouveaux débouchés dans ce domaine. Après c'est sûr que quelqu'un qui n'a pas au minimum une licence (ou l'expérience professionnelle ou personnelle équivalente), faut pas qu'il s'attende à trouver un poste. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre de sysadmin linux en alternance ou CDI débutant sur Paris
Le 8 mars 2013 à 15:05, Florian Lacommare lacom...@gmail.com a écrit : As tu fait une école d'igné récemment ? Car je peux t'assurer que dans la mienne ce n'était pas comme ca du tout, du point de vu des 5 ans. On a passé 1 an sur une spécialité (pour ma part, le réseau télécom), le reste des années c'est de la programmation, des formations en maths physique etc qui sont obligatoires pour avoir le titre de la CTI (une belle connerie ca d'ailleurs). Et donc tu passes de 5 ans à 1 an de réseau, et pendant cette année, tu n'es pas full sur du réseau, mais tu as du management, de la finance, bref. Et pour le peu qu'il te reste de ta spécialité, et bien la ... Hum, tu ne voit que les choses en surface, et parfois inutilement. Ok, on va répéter les choses parce que visiblement ça ne rentre toujours pas: *Un ingénieur n'est pas un super technicien* D'ailleurs, il n'y a que dans les secteurs tournant autour de l'informatique qu'on emploie des ingénieurs à des tâches de production (pissage de code en SSII notamment), dans les autres domaines on le met plus souvent à de l'encadrement. Un ingénieur est quelqu'un qui est supposé: * Etre autonome * Etre capable de s'approprier une technologie basée sur un paradigme inconnu * Avoir de bonnes capacités d'analyse et de conception * Avoir une vision d'ensemble même sur des sujet non directement relatifs à son travail quotidien Les cours de finance, de droit (c'est capital le droit), de math, de physique sont indispensables pour produire ce genre de profils, et ce sont des choses qu'il n'est pas du rôle de l'entreprise de fournir. Juste une question, si la formation était si mauvaise pourquoi donc des entreprises étrangères ouvriraient-elles des bureaux d'étude en France ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] - France-ix en region
Le 1 mars 2013 à 14:12, Jérôme Nicolle jer...@ceriz.fr a écrit : Salut Vincent, Le 01/03/2013 08:37, Vincent Gillet a écrit : L'offre est destinée aux villes dans lesquelles il n'y a aucun point d'échange local. Ca demande un complément de définition : quid des zones ou il y a déjà un projet en cours ? Allez, petit rafraichissement (merci de compléter): Opérationnels : Paris, Lyon, Toulouse, Marseille, Lille, Saint-Etienne, Grenoble, Strasbourg Projets avancés : Bordeaux Plus précisément (je pense que c'était l'objet de la remarque), est-ce que ça ne risque pas de faire tomber à l'eau des projets futurs en offrant une solution de facilité ? Puisqu'il y a un IX disponible à Paris, pourquoi s'emer à monter un IX local ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRsAG] [FRnOG] [TECH] - IPv6 chez OBS
Le 26 févr. 2013 à 15:45, Sébastien FOUTREL a écrit : Le 26/02/2013 15:10, Raphael Maunier a écrit : C'est une blague ? Tu as indiqué à ton interlocuteur que le premier Avril c'était … en avril ? Vu la pénurie en V4 l'ipv6 va surement décoller quand meme et leur CA va aussi pas mal s'envoler avec ces tarifs. Et puis les vieux adages sont toujours vrais (Si tu n'es pas content, tu vas voir un concurrent). My 2,1 cts (inflation oblige). Il faut leur reconnaître qu'ils ont retenu les leçons d'IPv4, ..., ils économisent leurs préfixes IPv6. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
