Re: [FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

[Eric Belhomme (FRnOG)]

Le 24/06/2020 à 10:27, Nico CARTRON a écrit :

Débrayer une solution de protection de la vie privée parce que
Microsoft a fait n'importe quoi ? Le pouvoir des GAFA est vraiment
dingue.


Oui, il l'est. Comment veux-tu expliquer à ton utilisateur que non, il 
n'accèdera pas à sa messagerie *pro* parce que MS fait de la merde ? 
C'est in-entendable. Hélas.




Non, le problème a été causé par l'introduction de la fonction
qname-minimization dans PowerDNS Recursor, cf. l'issue GH:

"With the introduction of qname minimization, a function
doResolveNoQNameMinimization() was introduced. This function is
called by doResolve() with depth incremented. Due to the recursive
nature of the resursor algortihm (Nomen est Omen) we end up
incrementing the depth too much"


Il s'agit donc d'un bug de pdns. Et au passage un grand merci pour la 
solution de contournement, elle fonctionne :D


La suite est HC ici, mais je me demande bien pourquoi la limite de 
récursion appliquée aux CNAME est codée en dur et ne tient pas compte de 
la conf...


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] récursion DNS en SERVFAIL pour outlook.office.com

[Eric Belhomme (FRnOG)]

Bonjour la liste : je suis confronté à un problème de récursion DNS que 
je ne sais pas comprendre, et donc que je n'arrive pas à résoudre, 
lorsque des clients de mon réseau local tentent d'accéder à 
'outlook.office.com' :

$ dig @172.16.81.10 outlook.office.com

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @172.16.81.10 
outlook.office.com

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 53342
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;outlook.office.com.        IN    A

;; ANSWER SECTION:
outlook.office.com.    9    IN    CNAME substrate.office.com.
substrate.office.com.    300    IN    CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 8    IN    CNAME afd-k.office.com.
afd-k.office.com.    8    IN    CNAME 
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net.    188 IN CNAME 
outlook.ha.office365.com.

outlook.ha.office365.com. 60    IN    CNAME outlook.ms-acdc.office.com.

;; Query time: 213 msec
;; SERVER: 172.16.81.10#53(172.16.81.10)
;; WHEN: Wed Jun 24 08:10:19 CEST 2020
;; MSG SIZE  rcvd: 232

On se mange un SERVFAIL la plupart du temps (mais pas tout le temps, il 
y a des fois où àa arrive à passer, là non plus, je ne sais pas par quel 
miracle)


Le serveur DNS en 172.16.81.10 est un PowerDNS--recursor 4.3.1, qui 
tourne sur une Debian 10. Sa configuration spécifique ce résume à ces 
quelques primitives:


allow-from=127.0.0.0/8, 172.16.80.0/23, ::1/128, fc00::/7, fe80::/10
api-key=uotCEgO01KQYX2W1dHXfOsmhnPgcwGOl
forward-zones-file=/etc/powerdns/forward-zones.conf
local-address=0.0.0.0
max-recursion-depth=0

J'ai rajouté le "max-recursion-depth=0" pour tenter de résoudre mon 
présent problème (la limite de récursion étant par défaut de 40)


J'ai tracé coté pdns les questions-réponses générées par le dig plus 
haut, ça m'a craché plus de 800 lignes de log que je ne sais pas 
interpréter. J'ai collé ça sur pastiebin ici : 
https://www.pastiebin.com/5ef30139ea1ee


J'ai bien compris qu'il y a moult indirections de CNAME en CNAME, je 
vois bien dans les logs que pdns remonte la piste jusqu'à ce qu'il en 
ait marre en ligne 809 et lache l'affaire en retournant un SERVFAIL. Le 
message est clair: "but recursing too deep"


Pourtant j'ai désactivé la limite de profondeur de récursion

Pourtant si je demande aux DNS de cloudflare ou de google, eux savent 
résoudre :


$ dig @1.1.1.1 outlook.office.com

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @1.1.1.1 outlook.office.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47479
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;outlook.office.com.        IN    A

;; ANSWER SECTION:
outlook.office.com.    52    IN    CNAME substrate.office.com.
substrate.office.com.    292    IN    CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 52 IN    CNAME afd-k.office.com.
afd-k.office.com.    52    IN    CNAME 
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net.    232 IN CNAME 
outlook.ha.office365.com.

outlook.ha.office365.com. 52    IN    CNAME outlook.ms-acdc.office.com.
outlook.ms-acdc.office.com. 52    IN    CNAME CDG-efz.ms-acdc.office.com.
CDG-efz.ms-acdc.office.com. 2    IN    A    52.97.233.66
CDG-efz.ms-acdc.office.com. 2    IN    A 40.101.136.242
CDG-efz.ms-acdc.office.com. 2    IN    A    52.97.150.2

;; Query time: 25 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Wed Jun 24 09:45:01 CEST 2020
;; MSG SIZE  rcvd: 320

Alors, je me doute bien que je dois être un sombre idiot à rester planté 
sur un truc praeil, mais là je suis sec, alors une âme charitable 
pouvait me mettre sur la piste, je lui en serait vraiement reconnaissant :)



--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 07/03/2020 à 05:04, Michel Py a écrit :
- Si çà dit POE mais pas 802.af ou 802.3at, à éviter : c'est du passif 
avec un pinouillage batard et un voltage batard.
possiblement va falloir un injecteur et un déjecteur (à défaut de 
français pour reverse-injector) spécial.

- Si çà dit "digital zoom" et pas "optical zoom", c'est daubique.
- Si çà dit "optical zoom", çà veut pas dire que c'est vrai.
- Si c'est pas ONVIF, à éviter. Tous les softs gratuits propriétaires 
sont de la merde en boite.


J'essaie de pas être méchant, mais les merdasses à 20 balles sur 
Bangood ou Aliexpress, il y à une bonne raison pour laquelle elles 
sont à 20 balles.


Alors sur le papier, la daube que j'ai achetée est :

- 802.3af et dans les faits je l'ai bien alimenté en 802.3af, même si 
elle n'a linké qu'à 100Mbps et pas en gigabit


- elle est supposée ONVIF

Le (peu de) temps où elle a correctement fonctionnée, je l'ai utilisée 
sans aucun problème avec ZoneMinder en RTSP. Elle sortait du 720p plutôt 
correct, avec bascule auto en mode IR, et elle m'éclairait le garage en IR !


Après tu as raison, et si je me suis laissé tenter par un achat 
impulsif... ben c'est précisément parce que je prenais pas un gros risque ;)


Cela dit, maintenant que je me suis fait c***r à tirer une ligne 
ethernet jusque dans le garage, va falloir que je trouve une *vraie* cam 
à brancher dessus :p


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 05/03/2020 à 12:49, David Ponzone a écrit :

Je suis déçu, je trouve que tu baisses les bras un peu vite.
C'est que j'ai aussi un métier, et que je préfères me casser les dents 
sur du trucs un peu plus rigolos, genre utiliser une SBC pour monter un 
NAS (ou une borne d'arcade, ou un AP wifi, ou...) ;)

Y a des modèles qu’il faut secouer pendant 10 sec pour le reset usine.
Essaie.


???

Et il faut aussi que je lève la jambe gauche et le bras droit, et que je 
sautille en tournant 3 fois autour de moi-même ? Ca ressemble à la 
chasse au Dahut ton affaire...


Bon pour en finir avec cette histoire et pour répondre à ceux qui 
voulaient connaitre la marque, il s'agit d'une cam HC612-P vendue sous 
la marque "hiseeu" (appréciez le jeu de mots pourri).


Et pour l’anecdote, j'ai fait une énième tentative hier, en la branchant 
directement au cul de mon laptop, en configurant mon laptop en IP fixe 
sur le plan d'adressage "usine de la cam (192.168.1.0/24) avec un 
wireshark tournant en tâche de fond. Je lance l'appli "DeviceManager" du 
"constructeur" qui permet de configurer la cam :
- je vois toujours les annonces ARP en provenance de la MAC de la CAM 
pour 172.16.80.81 (l'ip initialement attribué)
- le clique sur le bouton "search" de leur soft moisi. Coté wireshark, 
je vois que "DeviceManager" balance du broadcast UDP sur le port 12349. 
Et là, miracle, je vois la cam apparaître dans la liste du soft 
pourri... avec son IP en 172.16.80.81 (je rappelle que je suis en 
192.168.1.1, avec une seule interface, et une seule IP configurée sur 
ladite interface). Évidemment quand j'ai tenté de modifier la conf, je 
me suis pris un message d'insulte "device unreachable". Définitivement, 
le chinois, c'est plus fort que moi.
- malgré de nombreuses autres tentatives, je n'ai pas réussi à faire 
réapparaître cette satanée cam dans la liste du "DeviceManager". Je ne 
sais pas par quelle invocation Vaudou j'ai réussi à la voir à un moment. 
Mais bon, définitivement, la stack IP de cette cam, c'est du grand 
n'importer quoi !



--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 05/03/2020 à 10:46, David Ponzone a écrit :

oh la vache, le coup-bas:)
Alors déjà moi, j’ai pas vraiment sollicité de temps sur un problème réseau, 
sans filer ma conf:)
Et puis le but correspond à un besoin puisque le NAS enfin fabriqué est plus 
puissant qu’un NAS commercial 2 fois plus cher, ta caméra à 20€ peut-elle en 
dire autant ?:)


Pas un coup bas, juste un clin d'oeil entres adeptes de la bricole et du 
DIY :D


Quant à ma conf, il s'agit de mon "lab à moi que j'ai" dans ma cave, 
j'en ai un peu rien à braire que le Monde sache que j'ai 4 VLAN qui se 
battent en duel avec un plan d'adressage en 172.16.80.0/21 derrière ma 
freebox :p Et tu noteras tout de même que j'ai pris soin de virer mes 
secrets ('blablabla', ce n'est pas un mot de passe !) La sécurité par 
l'obscurité, ce n'est pas un bon modèle ;)



Et un ping depuis le switch, ça marche mieux ?
Sinon, remplace la cam par un PC avec la même IP.
Si ça marche, tu jettes la caméra (tu peux éventuellement vérifier s’il y a pas 
un upgrade à faire, car souvent les produits chinois de ce type restent 2 ans 
dans un vieux stock dont personne ne veut, jusqu’à ce que Alitruc réussisse à 
les fourguer.à un gogo (ça c’est toi)


Comme répondu à Dominique, la cam va partir à la benne et je vais partir 
un chasse d'une caméra dôme + IR digne de ce nom. Il faut savoir 
reconnaitre ses echecs ;)


--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

À tout hasard :
- as-tu essayé de ping vers l'ip 192.168.1.10 depuis qu'elle ne
   "fonctionne plus" ?
- pas vu passer le fait que tu aies essayé de la réinitialiser en
   config usine ; si c'est vraiment parceque le mode DHCP ne fonctionne
   pas, tu reset et mets en statique.



Oui, j'ai bien tenté de retaper sur son IP "usine", ça na rien donné. 
J'ai aussi tenté de la brancher direct au cul d'un laptop, sans POE, 
même résultats...


Pour la conf usine, c'est là que vous allez rigoler... Y'a pas de bouton 
"reset to factory defaults" ! Me disant que c'était pas possible, qu'ils 
avaient dû le planquer à l'intérieur, je l'ai désossé : rien, nada, que 
pouic ! pas le moindre bouton, ou jumper, ou même seulement des touches 
de contacts directement sur le PCB ! Même pas vu un truc qui 
ressemblerait de près ou de loin à du JTAG, c'est à se demander 
/comment/ ils flashent leur firmware de merde sur cette cam ???


Je laisse tomber, j'ai ouvert un litige sur aliexpress. Comme l'a fort 
justement fait remarquer David, le jeu n'en vaut pas la chandelle ;)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 05/03/2020 à 09:43, David Ponzone a écrit :

Ma sagesse très personnelle dit:

Faut arrêter d’acheter des (mauvais) trucs chinois à 20€ sur Alibaba, 
pour finalement perdre 80€ de son temps personnel (ou des autres) à 
les faire marcher, alors qu’une cam à 100€ aurait fait le boulot direct :)


C'est pas faux, j'ai agit sous l'impulsion d'un coup de tête... Je te 
dirais bien que ça me servira de leçon, mais je n'y crois pas, et toi 
non plus ;) Et puis venant de la part d'un gars qui voulait monter un 
NAS à coups de SBC chinetoque y'a pas deux mois, et qui en a chié comme 
un Turc pour faire tourner une carte SATA de provenance douteuse, la 
remarque ne manque pas de sel ;-)



Ceci était, à vue de nez rapide, le comportement que tu as fait penser à:
-caméra dans le VLAN10
-interface IP 172.16.80.1/24 sur le catalyst pas dans le VLAN 10


la cam est effectivement sur le VLAN10, tout comme mon host en 
172.16.80.90, le Catalyst est bien mon routeur de "cœur de réseau" et 
172.16.80.1 est bien l'IP associée au VLAN10 sur le catalyst.



Sans la conf complète du Catalyst, c’est pas simple, et y a rien à 
gagner en plus :)


Je ne voulais pas polluer la liste avec 200 lignes de fichier de conf, 
mais puisque tu demandes... et pour la carotte, ma gratitude éternelle, 
ça compte ? :D


version 15.0
no service pad
service timestamps debug datetime
service timestamps log datetime
no service password-encryption
!
hostname quicksilver
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 blablabla
enable password blablabla
!
username admin password 0 blablabla
aaa new-model
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
ip routing
no ip cef optimize neighbor resolution
ip domain-name ricolan
ip name-server 172.16.81.10
!
ip multicast-routing distributed
!
crypto pki trustpoint blablabla
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
ip ssh logging events
ip ssh version 2
ip ssh pubkey-chain
  username blablabla
!
interface GigabitEthernet0/6
 description bureau - desktop eric
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/39
 description POE camera
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/47
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 description interconnect
 ip address 172.16.87.254 255.255.255.252
!
interface Vlan10
 description workstations
 ip address 172.16.80.1 255.255.255.0
 ip helper-address 172.16.81.10
 ip pim sparse-dense-mode
!
interface Vlan11
 description servers
 ip address 172.16.81.1 255.255.255.0
!
interface Vlan12
 description wifi
 ip address 172.16.82.1 255.255.255.0
 ip helper-address 172.16.81.10
 ip pim sparse-dense-mode
!
interface Vlan13
 description sandbox
 ip address 172.17.0.1 255.255.255.0
!
interface Vlan20
 ip address 172.16.83.1 255.255.255.0
!
interface Vlan30
 no ip address
!
no ip http server
no ip http secure-server
!
ip pim send-rp-announce Vlan10 scope 5
ip pim send-rp-announce Vlan12 scope 5
ip pim send-rp-discovery scope 5
ip route 0.0.0.0 0.0.0.0 172.16.87.253
ip route 172.16.86.0 255.255.255.0 172.16.87.253
ip route 192.168.16.0 255.255.255.0 172.16.80.5
ip route 192.168.27.0 255.255.255.0 172.16.87.253
!
logging host 172.16.81.13 transport tcp port 514
!
snmp-server community blablabla RO
!
vstack
!
line con 0
line vty 0
 password blablabla
 transport input telnet
line vty 1 4
 password blablabla
 transport input ssh
line vty 5 10
 password blablabla
 transport input ssh
line vty 11 15
 password blablabla
!
monitor session 1 source interface Gi0/39
monitor session 1 destination interface Gi0/47
ntp server 172.16.81.2 prefer version 2
ntp server mafreebox.freebox.fr prefer version 2
end

Je n'ai laissé que les interfaces qui entrent en jeu:
- g0/6 : mon host source en 172.16.80.90/24, sur le VLAN10 sur lequel 
tourne une Debian

-g0/39: l'interface sur laquelle est conectée la cam, sur le VLAN10
- g0/47 : une interface non utilisée que j'ai configuré en mirroring du 
port g0/39 pour les captures (les captures ont été faites sur une 
interface non utilisée de mon FW à coups de tcpdump)


Mon serveur DHCP est sur le VLAN11 (172.16.81.10)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Bonjour la liste,

Ayant acheté une chinoiserie connectée sur un site bien connu, en 
l’occurrence aliexpress, je me retrouve confronté à un problème que je 
n'arrive pas à comprendre, et j'aurais besoin de votre science 
Ciscotienne, mes compétences en la matière étant somme toute quelque peu 
limitées.


Voici le topo : j'ai donc acheté une caméra POE sur aliexpress. J'ai 
profité de ce dernier week-end gris pour l'installer et la brancher sur 
mon installation:


- un injecteur Gigabit POE 802.3af/at en mode A à 4 ports, qui 
alimentent également mon AP WIFI (un Linksys)


- un switch Cisco WS-C3560G-48TSen version 15.0(2)SE11 qui tourne sur 
l'image C3560-IPSERVICESK9-M


Je vous passe les détails rocambolesques avec une appli (très) mal 
traduite du chinois pour pouvoir configurer la cam en DHCP, lui coller 
un mot de passe, et désactiver tout ce qui est inutile (j'ai laissé 
uniquement NTP et RTSP), la caméra finit donc par tomber en marche et je 
peux l'ajouter à mon ZoneMinder. Ca c'était dimanche.


Hier, je me rends compte que ZM ne capture plus le flux RTSP de cette 
cam. Je me rends compte qu'en fait la cam n'est plus joignable. Je 
regarde donc les logs de mon dhcpd et je constate que le dernier lease 
date de dimanche tard dans la nuit, depuis plus rien !


Comme j'ai un switch L3 sous la main, je regarde son cache ARP, ainsi 
que sa table MAC:


quicksilver>show interfaces status

Gi0/39    POE camera connected    10 a-full  a-100 
10/100/1000BaseTX


Le port est bien up

quicksilver>show mac address-table
  Mac Address Table
---

Vlan    Mac Address   Type    Ports
    ---       -
...
  10    0012.4134.5e76    DYNAMIC Gi0/39
...

la MAC de la cam est bien présente dans la table du switch, sur le port 
gb sur lequel je l'ai connecté


quicksilver#show interfaces gi0/39 | include ARP
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00

config ARP par défaut pour un cisco

quicksilver>show arp
Internet  172.16.80.81    0 0012.4134.5e76  ARPA   Vlan10

à priori, la cam a annoncé son conf IP via ARP

Pourtant, pas de réponse au ping, ni sur aucun port supposément ouvert 
(HTTP, RTSP), nmap reste aveugle (depuis un host sur le même VLAN que la 
CAM) et le soft "DeviceConfig" livré avec la cam ne la voit plus lui non 
plus !


A court d'idée, je finis par configurer un port-mirroring sur mon port 
g0/39 afin de lancer une capture du trafic au boot de la cam. Voici ce 
que j'obtiens:


No. Time   Source Destination   Protocol Length Info
  6 58.060403  a2imarke_34:5e:76 Broadcast ARP  
60 Who has 172.16.80.1? Tell 172.16.80.81


Frame 6: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

No. Time   Source Destination   Protocol Length Info
  7 59.059478  a2imarke_34:5e:76 Broadcast ARP  
60 Who has 172.16.80.1? Tell 172.16.80.81


Frame 7: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

No. Time   Source Destination   Protocol Length Info
  8 60.059471  a2imarke_34:5e:76 Broadcast ARP  
60 Who has 172.16.80.1? Tell 172.16.80.81


Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

No. Time   Source Destination   Protocol Length Info
 18 88.820063  a2imarke_34:5e:76 Broadcast ARP  
60 ARP Announcement for 172.16.80.81


Frame 18: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (ARP Announcement)

rien de plus que du trafic ARP. Ce qui explique les entrées au niveau du 
switch. Par contre aucun trafic DHCP ou BOOTP. Pourtant la cam me 
ressort l'IP que mon dhcpd est sensé lui attribuer. Il a donc dû stocker 
ça quelque part dans une NVRAM. Bref, j'en arrive à la conclusion que la 
stack DHCP de cette cam pue grave du fion, ce qui explique pourquoi dans 
la doc succincte fournie avec la cam ils spécifient "We do not recommand 
leaving the IP camera on DHCP" (en config usine elle est en 
192.168.1.10/24 statique)


Quand je tente de pinger cette saleté de cam, voici ce que j'obtiens en 
capture:


No. Time   Source Destination   Protocol Length Info
  1 0.00   ASUSTekC_c4:19:e3 Broadcast ARP  
60 Who has 172.16.80.81? Tell 172.16.80.90


Frame 1: 60 bytes on wire (480 

Re: [FRnOG] [MISC]QNAP/NETAPP/SYNO

[Eric Belhomme (FRnOG)]

Le 09/12/2019 à 20:45, Frank ALEXIS a écrit :

Mon Atari 512ste et les démos de hackeurs en overscan (infaisable paraît-il
) ont vécu aussi de belles heures sur mon bureau ...

Tout a une fin 梁


... ou pas...

Il y toujours des furieux qui codent sur ces plate-formes, des démos sur 
Amtrad, des cartouches de jeu "homebrew" sur Colecovision, et qui se 
retrouvent lors de demoparties !


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC]QNAP/NETAPP/SYNO

[Eric Belhomme (FRnOG)]

Le 09/12/2019 à 10:12, Stéphane Rivière a écrit :

Et 15 ans plus tard, moment de solitude quand tu vois un bidule
foutinaze qui avait fini à la déchèt' à plus de 500 € sur ebay...


Ca me rappelle une anecdote: il y a un disaine d'années, en faisant 
justement du tri dans de vieux cartons, je retombe sur mon interface "Le 
Hacker" : Une petite interface que l'on connectait au port d'extension 
d'un Amstrad CPC et qui faisait un freeze mémoire et registres avant de 
basculer sur un déboggeur en ligne. Du haut de mes 14 ans, je bavais sur 
les publicités insérées dans l'illustre mag "Amstrad 100%". Je me 
rappelle même du prix : 500 FF, une véritable fortune pour moi à 
l'époque (je vous passe les détails du lobbying parental pour obtenir ce 
graal...)


"Tiens j'ai encore ce truc ? Je vais essayer de le coller sur eBay avant 
de le jeter"


J'ai du mettre le truc à 20 €, les enchères se sont affolées et le 
bidule est parti à presque 150 € ! Je contacte l'acheteur pour les 
détails em m'excusant du fait que ça soit parti aussi cher, et là le 
type me répond qu'il faut pas, qu'il a fait une bonne affaire, que ça 
faisait longtemps qu'il lurkait pour en chopper un, et que d'habitude ça 
part encore plus cher...


En même temps, j'ai moi-même longtemps cherché (en vain) un 
flicker-fixer et une interface ethernet pour Amiga à prix raisonnable... 
Jamais trouvé !


La grande époque de la micro-informatique 8 et 16 bits, c'était le bon 
temps :)


PS: j'ai toujours une UC de CPC 6128. J'arrive pas à le jeter...

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Installer sa box au garage en utilisant les sortie du DTI

[Eric Belhomme (FRnOG)]

Le 07/12/2019 à 06:12, David Touitou a écrit :
comme tout le monde y va de son avis, moi aussi 8) 


Bon alors y'a pas de raison que je me prive moi aussi :D


Lorsqu'on a fait rénover la maison actuelle (2003), l'électricien (et 
les autres) nous ont regardé avec des gros yeux ronds parce qu'on 
voulait une paire de RJ45 en Cat5 dans chaque pièce (chaque chambre, 
cuisine, salons, bureaux, etc) et une paire de coax qui descende du 
toit ("master bedroom" et salon/HC). On envisageait à l'époque d'avoir 
des ordinateurs branchés dans les chambres (et cuisine et salon/HC), 
des players multimedia en RJ45 (qui se souvient des Popcorn Hour ?) et 
aussi quelques phones (un par niveau, il y en a trois). Je précise, on 
bosse à la maison. Au final, quelques années plus tard : . il y a une 
base DECT au premier et c'est tout (avec un combiné qui bouge très peu 
du bureau, on utilise nos mobiles) . on a arrêté le sat parce que... 
L'offre (et la box C-Sat, au secours). . pas de box opérateur (une 
APU2 branchée sur un vieux SpeedTouch ADSL2, on n'a pas droit à plus) 
. des Mibox en WiFi comme players (Plex, Arte.tv, C-Sat, etc) . le 
serveur Plex est parti au DC et il y a une Bitscope Blade en PoE avec 
4 Pi pour jouer (PiHole, emoncms, etc) Ce qui reste de l'utilisation 
du réseau Cat5 : . l'APU2 remonte au switch (qui est devenu PoE et 
fanless) . la ligne support de l'ADSL remonte au bureau pour le fax 
(mais c'est fini) . un switch (alimenté en PoE) pour le bureau (pour 
une vieille imprimante et pouvoir brancher des bidules pour faire des 
tests) . trois bornes Ruckus 7363 (en occasion, ça vaut plus rien et 
ça juste fonctionne), une par niveau, en PoE Dans la prochaine maison 
(passive, en cours de construction), on va retrouver ce même principe 
: tout en WiFi. 


Je suppose donc qu'en usage domestique, c'est avant tout une question de 
sensibilité car étant dans la même situation que toi, j'ai un usage 
radicalement différent du réseau, à tel point que j'ai dû remplacer mon 
vénérable C3560-24 par un non moins vénérable C3560-48...


Chez moi, c'est :

- 130 m² habitable, plus sous-sol (garage et atelier complet)

- dans ma "salle serveur" (un recoin du sous-sol où arrivent les 
adductions eau, EDF, et telecom), j'ai un coffret de brassage avec une 
30aine de noyaux ethernet.


- a noter que je ne me suis pass emm^Wembêté avec le bazar"DTI" et Cie : 
la paire de cuivre qui vient de la rue part directement sur un noyau 
cat. 5e dans mon armoire de brassage...


Rien que dans le séjour, j'ai 6 ethernet qui arrivent au coin TV : entre 
la TV connectée, la box TV, la Playstation, et l'OragePI qui me sert de 
serveur mpd (et accessoirement de serveur domotique) c'est déjà bien 
plein...


Ensuite le bureau, comme toi, ma femme et moi-même travaillons beaucoup 
depuis chez nous. Il y a donc encore 6 ethernet dans le bureau : 
imprimante, nos 2 desktops, ma base de laptop, et la base du téléphone dect.


Pour le Wifi, j'ai collé un AP Linksys dans les combles alimenté en PoE. 
Quitte à me faire suer à tirer un câble dans les combles, je l'ai 
doublé.. on sait-jamais. Chez moi le wifi sert surtout à la tablette et 
au téléphone. Les laptops sortent finalement assez peu du bureau ;)


J'ai aussi pas mal câblé mon atelier et mon garage. Un vieux pécé sur 
l'établi, ça sert toujours ;)


Pour l'anecdote, lorsqu'on a acheté notre maison, on a signé chez le 
notaire un vendredi, et le lundi j'avais les peintres qui débarquaient 
pour repeindre entièrement la maison. J'ai bossé tout le week-end pour 
faire les préparations (saignées, percements de dalle, gainage, 
scellement des boîtes et rebouchage) dans le week-end... c'est dire 
l'ordre de mes priorités :D--


Pour moi, rien ne remplace (encore) un bon vieux cable ethernet ;)

PS: J'ai aussi du Coax... mais pas d'antenne... et j'ai viré la parabole 
qu'avait posé l'ancien proprio ! Et si je me suis tâté pour mettre un 
rateau (pas  fait car je suis dans une zone d'ombre, et dans une région 
où le mistral souffle fort, et que la perspective de coller 2 ou 3 
mètres de mât pour suspendre au râteau à au moins 15 éléments ne 
m'enchante pas plus que ça) la lecture de vos commentaires sur le 
devenir de la TNT a fini de m'en dissuader !


--
Rico



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Installer sa box au garage en utilisant les sortie du DTI

[Eric Belhomme (FRnOG)]

Le 06/12/2019 à 08:11, Radu-Adrian Feurdean a écrit :

- La norme *T568B *étant plus répandue, dois-je systématiquement l'utiliser
lors de ce raccordement

Faut juste etre coherent et avoir le meme code couler des deux cotes (fort 
preferablement un des 2 versions de T568)


J'avais souvenance que de par des questions bassement physiques 
(constantes diélectriques, diaphonie entre les paires) la norme T568B 
était à privilégier pour du gigabit.


Évidemment je ne retrouve plus la source... Un Barbu pour confirmer ?

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Boitier étanche pour poteau 'cerclable'

[Eric Belhomme (FRnOG)]

Le 28/11/2019 à 10:26, Stéphane Rivière a écrit :

J'anticipe une remarque : pour le poteau béton c'est pas 2 chevilles de
8 qui vont attaquer sa structure mais le cerclage serait effectivement
plus propre - si on tape une ferraille au perçage, elle va s'oxyder et
ça finira par gonfler et claquer le béton...


C'est pas pré-contraint ça, comme les poutrelles béton ? Si c'est le 
cas, il est *interdit* de faire le moindre percement dedans : si par 
malheur tu touches et endommages une contrainte, c'est l'intégrité même 
de la poutrelle (ou du poteau) qui est remise en cause. En tout cas pour 
les poutrelles, la responsabilité de l'auteur du trou serait engagée en 
cas de sinistre.


Le feuillard, c'est bien ;)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Incident Free depuis 1h du matin

[Eric Belhomme (FRnOG)]

Le 27/11/2019 à 11:29, David Ponzone a écrit :


On doit pas avoir les mêmes clients :)
Les miens veulent pas claquer d’oseille pour un truc aussi inutile mais le jour 
où c’est coupé, ils perdent 10k€ de CA par jour de coupure.


Alors 2 précisions s'imposent:

1. le telco n'est pas mon métier, juste un centre d'intérêt.

2. Moi mon métier, c'est l'infra, l'automation et le cloud. D'où mon 
intérêt pour FRnOG (je suis aussi FRsAG, mais j'aime beucoup l'ambiance 
de FRnOG), parce-ce que même si le réseau n'est pas mon cœur de métier, 
j'en suis tout de même assez proche pour me sentir /très/ concerné ;)


Donc si, nous avons bien les mêmes clients. C'était justement l'objet de 
mon message, qui visait à nous rappeler que le monde professionnel ne 
tourne pas *que* autour de boîtes pour lesquelles l'IT est un enjeu vital ;)



Quand même la chance d’avoir quelqu’un qui répond au téléphone, qui gère la 
coupure, fait intervenir qui il faut si pas problème général et t’informe d’un 
délai de rétablissement si c’est un incident général.
Et aussi (très fréquent), qui t’explique que Internet marche bien, que c’est 
plutôt le super firewall Zyxel/Sophos/Netasq/bouze installé par le talentueux 
prestataire qui déconne (mais comme le prestataire ne répond pas au téléphone, 
on appelle qui ?)
Après, effectivement, rien de mieux que 1 lien cuivre, 1 lien optique et 1 4G. 
Là tu peux presque acheter que du GP, mais ça va coûter de toute façon plus de 
30€.


Question de réponse proportionnée au besoin ! Un exemple "moi-ma-vie" : 
Ma femme est indépendante, architecte de son état. Le siège social, ben 
c'est notre domicile. Elle a *besoin* d'internet au quotidien pour son 
travail (email, échange de plan, devis, factu... URSSAF, etc) pour 
autant un dysfonctionnement d'internet, même durable, est chiant, mais 
pas critique.


J'ai envisagé à un moment d'aller sur une offre pro, mais quel intérêt ? 
l'offre Free basique fait le job, et comme elle en est encore au stade 
où tout compte, c'est une dépense qui a été jugée inutile.


Ce cas particulier s'applique à une énorme masse de la population des 
TPE/indéps, j'en suis convaincu.


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

[Eric Belhomme (FRnOG)]

Le 27/11/2019 à 09:58, Hugues Voiturier a écrit :

Et je ne suis pas d’accord avec toi, ces boîtes ont quasiment toutes besoin de 
leur connexion, que ce soit pour les TPE, pour les mails, pour leur stock...


C'est ton droit :) Mais le monde entier ne tourne pas /encore/ sur 
Internet, et il y a encore plein de pros qui n'on pas un besoin *vital* 
d'internet et qui peuvent supporter une coupure plus ou moins longue 
sans dommage aucun.



Et ces gens là tournent derrière des offres pas adaptées, et ne savent même pas 
quoi faire en cas de souci.


Stéphane a bien résumé : les offres "pro" à destination des TPE n'ont de 
pro que le prix...


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

[Eric Belhomme (FRnOG)]

Le 27/11/2019 à 09:01, Hugues Voiturier a écrit :

Y a quelques « prestataires » qui vont avoir du boulot pour remettre leurs 
clients sur autre chose en urgence.
Mais sérieux, mettre des pro sur des freebox en nominal...


Les mecs descendez un peu de vos tours d'Ivoire de temps en temps : il n'y a pas que des grands 
comptes qui ouent des liens à xxx Gbps et autres fibres noires avec des meshs MLPS dans tous les 
sens... Parmis les "professionnels" il y a aussi des TPE, indépendants, professions 
libérales, pour lesquels Internet n'est qu'une commodité, et pour qui bien souvent l'IT se limite à 
une "box" et un laptop sous Windows.

Ces gens-là font vivre des "prestataires informatique" à leur échelle, qui n'ont pas 
forcément vos niveaux en ingénierie telco, et de toutes façons ces clients-là ne comprennent pas 
pourquoi leur abonnement à internet "pro" devrait leur coûter 3x ce qu'ils ont à la 
maison.

Et pour ces clients là, une coupure de service, c'est chiant, mais c'est pas la 
cata. Leur métier ne tourne pas autour de l'IT.

D'ailleurs, pour la vaste majorité de cette clientèle, le fait que leur FAI 
fasse de la CGNAT ou du 4RD n'a aucun impact : du moment qu'ils puissent faire 
leurs déclarations d'URSSAF et suivre leur comptes en banque, le reste n'a 
aucune importance :)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Covage - SFR

[Eric Belhomme (FRnOG)]

Le 25/11/2019 à 12:39, Raphael Jacquot a écrit :

et oui...
la vraie révolution aurait été d'avoir une seule infra de dark
appartenant a l'état, louant a tout le monde aux memes conditions...


Allons bon ! et pourquoi pas, tant qu'on y est, fournir un vrai service 
public équitable, défendant l'intérêt du contribuable, plutôt que les 
intérêts court-termistes des copains (aux dépens dudit contribuable, 
cela va sans dire) ? ;)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] La chasse à la licorne 1U et en-dessous

[Eric Belhomme (FRnOG)]

Le 23/11/2019 à 22:23, Raphaël Jacquot a écrit :

ca a un peu coulé.
par contre, tu peux regarder chez pcengines.ch


J'ai utilisé par le passé leurs cartes "Alix" avec bonheur pour quelques 
bureaux en remote. PC Engines à rafraîchi quelques peu son offre avec 
une nouvelle base hardware "APU".


Leur "APU4c2" https://www.pcengines.ch/apu4c2.htm est juste génial : un 
CPU pas ashmatique, 4 *vrais* NICs Gbits (Intel 211), on peut y coller 
du stockage m.2 ou SATA, du mini-pcie pour du wifi et/ou du wwan, le 
tout pour une conso anecdotique :)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE : [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel

[Eric Belhomme (FRnOG)]

Le 20/11/2019 à 18:23, Cécile MORANGE a écrit :

Je voulais vous remercier pour tout vos mail ! Je m’attendais pas à autant de 
réponse…
Je pense suivre la voie de la raison et finir ce BTS. On verra plus tard pour 
un bac +3/+5, mais j’en ai ni l’envie ni la force pour l’instant.


La voie de la raison ;)

Autre chose, que personne n'a évoqué dans la discussion, mais qui me 
semble pourtant crucial étant donné tes aspirations: un BTS, c'est un 
Brevet de *Technicien* Supérieur. Avec un tel diplôme en poche, ne 
t'attends pas à faire de /l'ingénierie/ avant un certain nombre 
d'années... Pour ça il faudra d'abord que tu démontes tes talents et que 
tu justifies d'une certaine expérience... D'où l'intérêt de pousser à +3 
ou +5.


Vraiment, si tu ne t'éclates pas chez ton employeur en alternance, 
changes-en à la fin de ton cursus. J'ai jeté un œil à ton blog, tu es 
chez un "client final". A ton age, et étant en alternance, tu perds ton 
temps dans ce genre de société.  Vas plutôt voir du coté des sociétés de 
services et des intégrateurs. Sur le secteur d'Aix-Marseille, ce n'est 
pas ce qui manque... Tu rencontreras un paquet de gens aux profils très 
différents qui t'apprendront beaucoup, tu auras accès à un paquet de 
matos et de technologies que tu ne verra /jamais/ chez un unique 
employeur, et tu bénéficieras du mentorat des consultants seniors qui 
auront beaucoup de choses à t'apprendre.


... Et je suis sûr que dans ces conditions, le BAC +3 ou +5 te semblera 
beaucoup plus supportable ;)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Configuration network, service publicité

[Eric Belhomme (FRnOG)]

Le 19/11/2019 à 11:28, David Ponzone a écrit :

Tu pars du principe qu’un transfert SMB n’utilise qu’une connexion.
Je pense que même Microsoft a fait des progrès à ce niveau:
https://blogs.technet.microsoft.com/josebda/2012/06/28/the-basics-of-smb-multichannel-a-feature-of-windows-server-2012-and-smb-3-0/
 

http://www.frnog.org/


Effectivement, j'y ai pensé après coup :) Je note tout de même cette amélioration est 
arrivée avec SMB3, qui n'a été introduit "que" depuis Windows 2012 ;)

--
Rico, notoirement ignorant de l'éco-système Microsoft...


---
Liste de diffusion du FRnOG
http://www.frnog.org/