Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Non, la solution commerciale enlève de l'emploi car la solution commerciale elle vient presque toujours des states ou de la chine. En meme temps la faute à qui ? Des qu'une équipe a une idée, ils veulent pas monter une startup et laissent ça aux thesards ... :) Bon attention, je jette pas la pierre, il y a des conditions en France (en Europe un peu moins) qui font que c'est pas aussi simple qu'aux US ou en Chine. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
A priori ça ne t'a pas empêche d'en vendre jusqu'à y a pas si longtemps. Y avait même le beau logo Arbor dans les offres sur ton site. Donc soit il y a un manque d'honnêteté dans cette réponse, soit tu vendais du rêve, n'empêche que pour moi ça sent la rancœur tenace et la démarche pas super claire. Bref oui c'est un produit cher mais on est pas opérateur avec 10 euros en poche. La L33 ça fait bien longtemps que ça ne fait plus l'opérateur, le numéro d'AS non plus. Le lundi 14 octobre 2013, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois
tourner en lab. Si ça scalle le N x 10G sur du cpu du marché et que c'est
déployable sans avoir à maintenir une équipe de 20 devops dans la boîte, la
je serai vraiment surpris.
Maintenant si ça marche, mea culpa, lancez votre startup, on sera tous très
heureux d'être les premiers actionnaires, je pense.
Le lundi 14 octobre 2013, Kavé Salamatian a écrit :
Le 14 oct. 2013 à 23:22, Guillaume Barrot
guillaume.bar...@gmail.comjavascript:_e({}, 'cvml',
'guillaume.bar...@gmail.com');
a écrit :
Argument valable pour un truc que tu peux monter en ligne de code sur un
Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former
pour maintenir ta solution et le bricolage du début deviendra le standard
libre et tout le monde sera content.
Mais dans cette logique on oublie toujours qu'aussi beau que soit un
projet comme Apache (par exemple) il continue à tourner sur du prof Intel,
de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites :
il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui
arrivera à sortir le cpu pour tous à photograver dans son garage n'est
pas encore arrivé. Donc en attendant on acheté le hardware.
Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss
dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc
en attendant, oui on a de la solution commerciale et on peut difficilement
s'en passer.
On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base
de packet dam over Tilera mais pour le moment, y a pas. On se demande ce
qu'attende nos brillants pontes du libre pour en faire des projets de labo
... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor
avant d'être un produit hors de prix c'était un projet de deux guss dans
une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est
devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et
en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une
idée. S'il était mort Stallman ferait la toupie sous terraine.
La seule boîte qui a (à ma connaissance) bossé sur une solution maison
digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH
dans la RD, tout le monde ne peut pas se le permettre ...
Maintenant si tu connais un ingénieur qui code du snortlike en développant
des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de
la thermodynamique avec une solution qui remonte le cours du paquet pour
arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le
sous verre…
C'est ce qu'on essaye de faire :-) même en étant des nullards
d'universitaire :-).
HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable
High-Performance Parallel Design for Network Intrusion Detection Systems on
Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for
Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA ,
2013,
Kavé Salamatian
Le lundi 14 octobre 2013, Kavé Salamatian a écrit :
Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit :
On 14/10/2013 21:00, Raphael Maunier wrote:
Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne
compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des
solutions pro pour les opérateurs.
C'est quoi la différence entre bricolage et solution pro ?
Le commercial et la facture au bout ?
Des solutions bricolage qui fonctionnent mieux que des solutions
pro, j'en ai ai la pelle :D
La différence c'est qu'on peut pas craner sur le montant du cheque à 6
chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié
le credo de l'ingénieur qui est de trouver la solution la moins couteuse
qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le
cout récurrent ( le salaire des personnes) quitte à faire exploser le cout
du matériel (qui va fréquemment dans la colonne investissement) qui a le
vent en poupe. La solution d'ingénieur brillante qui répond au besoin à
moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du
bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors
que la solution qui coute bonbon fait pro.
Kavé Salamatian
(Tentative pour détendre l'atmosphère de la mailing-list ..)
--
UNIX was not designed to stop its users from doing stupid things, as
that would also stop them from doing clever things. – Doug Gwyn
Trouve un travail qui te plaît et plus jamais tu ne travailleras
Confucius
Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni
l'autre et perdra les deux
Thomas Jefferson
---
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Cordialement,
Guillaume BARROT
--
Cordialement,
Guillaume BARROT
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
A l'ancienne : - 1 dropbox ou Gdrive - Truecrypt - on créé un fichier bidon de 2Mo, qu'on en encrypte - dedans un fichier txt avec ses mdp et tous les docs un peu sensible qu'on veut garder encryptés (CVs, copie carte identitée, etc...) Et zou, ça marche sur Windows, Mac, Linux. Les sources de Dropbox et Truecrypt sont dispo, donc au pire, ça se compile. Pour une encryption file by file, y avait Axcrypt, mais je crois qu'il est devenu payant. A voir pour une solution équivalent en Osource. Roots, mais ça juste marche. Le 25 juillet 2013 16:02, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Pas mal, mais ça ne fait que enregistrer des passwords :) Le 25 juillet 2013 21:56, Ruhi ASLAN ruhi.aslan+fr...@gyust.com a écrit : Bonjour à tous, C'est beau de voir les multiples astuces de chiffrage. Je propose une solution à la vrai méthode CLOUD et accessible à tous sans logiciels qui fait des chips cryptographiques et des patates chiffrées. Pour ce faire munissez vous de : - Firefox - Extensions suivantes : master password++ ( configuré correctement ) ,saved password editor - Activez Mozilla sync ( un bon 2048-bit RSA https://wiki.mozilla.org/Labs/Weave/Developer/Crypto ) - Cerveau ( configurer master password pour qu'il verrouille automatiquement au bout de 400 sec par exemple, réfléchissez avant de déverrouiller, éviter les sites louches ! ) Accessible, facile à utiliser, compatible avec tous les environnements et GRATUIT bref, la simplicité devant la complexité. Je vous donne même une petite astuce: Quand vous voulez partager une page entre deux appareils, marquez là et vous la retrouverez dans les pages marquées récemment ( toc pour chrome ). Bienvenue dans le 21 ème siècle ;) -- Ruhi ASLAN IT Engineer Network, Storage Linux System ruhi.as...@gyust.com +33 7 70 03 06 59 --- On 25/07/2013 18:19, Guillaume Barrot wrote: A l'ancienne : - 1 dropbox ou Gdrive - Truecrypt - on créé un fichier bidon de 2Mo, qu'on en encrypte - dedans un fichier txt avec ses mdp et tous les docs un peu sensible qu'on veut garder encryptés (CVs, copie carte identitée, etc...) Et zou, ça marche sur Windows, Mac, Linux. Les sources de Dropbox et Truecrypt sont dispo, donc au pire, ça se compile. Pour une encryption file by file, y avait Axcrypt, mais je crois qu'il est devenu payant. A voir pour une solution équivalent en Osource. Roots, mais ça juste marche. Le 25 juillet 2013 16:02, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mail to SMS Service from USA to France
http://en.wikipedia.org/wiki/List_of_SMS_gateways | grep France. Le 15 juillet 2013 18:19, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Thibaud Perret a écrit: Je me demande quand même qui paie dans cette affaire avec Verizon. Te charge-t-il les messages texte entrant dans ce cas? Ah moins que ça ne soit uniquement possible sur des forfaits avec messages texte illimité. Bien sûr tout dépend du plan, mais en général envoyer un SMS via email ne change rien par rapport à l'envoyer d'un autre mobile: ça va compter pareil contre le quota du mobile qui le reçoit. Question bête: en France, est-ce que recevoir un SMS est gratuit (comme recevoir un coup de fil) ? Tous les opérateurs ici ont cette possibilité. C'est un appât à spam, ceci dit. Michel. ATT: num...@txt.att.net Qwest: num...@qwestmp.com T-Mobile: num...@tmomail.net Verizon: num...@vtext.com Sprint: num...@messaging.sprintpcs.com or num...@pm.sprint.com Virgin Mobile: num...@vmobl.com Nextel: num...@messaging.nextel.com Alltel: num...@message.alltel.com Metro PCS: num...@mymetropcs.com Powertel: num...@ptel.com Boost Mobile: num...@myboostmobile.com Suncom: num...@tms.suncom.com Tracfone: num...@mmst5.tracfone.com U.S. Cellular: num...@email.uscc.net --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mail to SMS Service from USA to France
simple et efficace : tu crees un compte / equipement sur twitter, tu configures le callhome (ou n'importe quelle solution equivalente) en consequences et tu t'abonnes. T'auras toutes tes alertes en live sur le truc le plus lu par les sysadmin au boulot. Sinon syslog + plugin irc ca marche aussi. Enfin, treve de blagues, scripting et un serveur en France avec un modem gsm au cul, c'est encore ce qu'il y a de moins cher. Le 16 juil. 2013 00:04, Ccde Cissp ccdeci...@yahoo.fr a écrit : Merci pour vos éclaircissements. Pour répondre à certains points: * La source de SMS via email: sera des scripts de monitoring qui génèrent des alertes en cas d'atteinte de certains seuils aux DCs en US. Certains alertes critiques seront envoyées automatiquement par ce mode. le nombre de SMS via email dépends des alertes critiques dépendant de l'état de l'infrastructure. théoriquement, ça pourra aller de 0 à des dizaines par jour (centaines peut-être en cas de grosses pannes étendues?) * @ Pat M.: la solution avec Orange pourrait m’intéresser. Aurait-tu plus d'info? Est elle applicable en cas d'envoie d'email par scripts? *@ Guillaume B. Je ne suis pas sûr que la liste sur Wikipédia est à jour vue la réponse du contacte SFR, mais on va tenter cette piste. Après, la questions qui se pose (par curiosité) est ce que ce service est juste en locale ou pas. Éventuellement, modification de la tarification pour un exit vers l'internationale. Une transformation des emails en SMS tardive chez l'opérateur dest finale ou intermédiaire est faisable ou pas, selon accord ? * Transformer les emails en SMS en destination (mon portable) est une solution possible mais je préfère que ça soit l'option de dernier recours. -- *De :* Sidney Boumendil sidney.boumen...@gmail.com *À :* Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net *Cc :* frnog@frnog.org *Envoyé le :* Lundi 15 juillet 2013 22h19 *Objet :* Re: [FRnOG] [MISC] Mail to SMS Service from USA to France 2013/7/15 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Pas de facon traditionelle, mais il peut l'etre. Non, je t'assure pas plus en wholesale qu'en retail :) Ou alors chez les fraudeurs patentés comme il en existe tant dans ce milieu. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Donner une adresse se terminant par .0 est-il sadique ?
Idem avec les /31 sur les scopes d'interco ... des fois ça passe, des fois ça passe pas... Mais bon, y aura toujours des implémentations foireuses, et faudra toujours faire avec. Le 3 juillet 2013 16:30, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Cela se traduit par quelques pertes de connectivité : https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Donner une adresse se terminant par .0 est-il sadique ?
On a les implémentations logicielles qu'on mérite, ou tout du moins, celles pour lesquelles on est pret à payer. Donc, quand on fait coder son OS par des mecs qui n'ont jamais vu l'ombre d'une IP en dehors de 192.168.0.0/24, et que les tests sont concentrées sur l'expérience utilisateur, bon on se retrouve avec un un superbe OS avec des beaux effets graphiques, qui fait un écran bleu quand on le ping. Toute référence à un bug connu et pour le moins drole il y a quelques années est fortuite. Le 3 juillet 2013 17:06, Jérôme Fleury jer...@fleury.net a écrit : Je confirme. Il y a déjà quelques années, chez un ISP, on n'attribuait plus d'IP en .0 ou .255 car il y avait des taux de problème supérieurs. C'est effectivement le CPE qui est en cause. Ca rendait la config des équipements aggrégateurs (LNS ou BAS) un peu plus pénible: plusieurs lignes de config pour un pool d'IP contigu. On aurait pu penser que le problème serait réglé quelques années après, visiblement il n'en est rien. 2013/7/3 Stephane Bortzmeyer bortzme...@nic.fr: On Wed, Jul 03, 2013 at 04:44:39PM +0200, Guillaume Barrot guillaume.bar...@gmail.com wrote a message of 65 lines which said: Idem avec les /31 sur les scopes d'interco ... des fois ça passe, des fois ça passe pas... Oui, mais ça ne gêne pas le trafic en transit. Tandis qu'apparemment, certains hébergeurs ou FAI attribuent des adresses dot-zero à des clients innocents qui ne se doutent de rien (et risquent de ne pas comprendre des rapports de bogue « ça marche pas », alors que ça marche dans la plupart des cas). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passer LIR
Le 21 juin 2013 06:33, Raphaël Jacquot sxp...@sxpert.org a écrit : On 21 juin 2013, at 05:45, Raphael Maunier raph...@franceix.net wrote: La gestion entre potes ou communiste, ça ne marche pas. Tu fais des amalgames la. Tu confonds des trucs qu'il est normalement impossible de confondre On peut pas confondre amis et communistes ? Merde, comment on fait quand on a des potes communistes du coup ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passer LIR
Le 21 juin 2013 09:03, Frédéric frede...@placenet.org a écrit : Nous en avons déjà parlé, pour être membre il faut payer, c'est une plutocracie ! Si tu vas par là, en France, il faut payer tes impots, c'est donc une ploutocratie (Oui avec un O en plus et un T à la fin) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Utilité des adresses peering@
Chez un opérateur Telecom en béton armé (dont je ne cite pas le nom hein...), il fut un temps ou la boite abuse était gérée par un presta du noc (ouais ouais, du noc, car le service juridique comprenait pas les mails), et une fois ce presta parti, personne n'ayant pensé à récupérer les mots de passe, ben ... comment dire ... Oserai je ajouter que, plusieurs AS cohabitant au sein de la même structure (aaah les rachats), il y avait plusieurs boites abuse toute gérée différemment les unes des autres, et évidemment la même chose pour les peering, avec disons, des temps de réponse légèrement différent (infini étant un temps de réponse valable). Le 21 juin 2013 13:28, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.neta écrit : On Thu, Jun 20, 2013, at 22:23, Bruno CAVROS / SKIWEBCENTER wrote: Tu veux dire que c'est à cause d'un simple problème sur un alias d'email que l'AS12322 est classé selon Google comme le plus mauvais FAI Français ? Je ne sais pas comment ca se passe chez Free, mais chez d'autres, ceux qui gerent le reseau et ceux qui gerent la messagerie (souvent Exchange), ne parlent pas la meme langue (voir ils ne se parlent pas du tout). --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Je pense qu'il fallait comprendre les conseils, notamment de Raphael, comme cela : vu votre infra et votre business, vous devriez mettre un Arbor. En effet, la situation actuelle le prouve, comme vous l'avez résumé. Donc : - soit vos clients acceptent la situation, car à prix réduits, c'est évident qu'une solution de type Arbor n'est pas déployable. - soit vos clients n'acceptent pas la situation, auquel cas, il aurait fallu prévoir un Arbor ... mais du coup, surement pas à ce prix là. Conclusion, comme depuis des années sur le Net, c'est en cas de crash qu'on se rend compte que les solutions de sécurité étaient nécessaires, et que le Low Cost a toujours un prix. J'espère sincèrement que vous trouverez rapidement une solution cependant, et que cela vous permette de voir l'avenir plus sereinement. Cdt, Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Hello Le 19 juin 2013 12:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). La limite c'est la taille de tes ports de transit et/ou peering. Si tu as 10G de capa, et que tu prends 12G de traf légitime (botnet) sur un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque chose en amont. Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Elles prennent le risque. La période n'est pas facile pour ces boites, car les DDOS se multiplient et seuls ceux qui ont une taille critique peuvent investir dans l'infra nécessaire (ou les services nécessaires chez leur transitaire). Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Pas à ma connaissance sur la partie filtering pur (c'est pas mal de hardware). Sur les manipulations BGP, tu as bien sur des outils libres. Si tu veux faire du filtrage applicatif, les outils existent (snort ?), mais là on est plus du tout dans la protection contre le DDOS. Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Qu'essaye tu de proteger ? Les destinations ou ton infra ? Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Sur du DDWRT la fonctionnalité s'appelle mDNS repeater. http://irq5.wordpress.com/2011/01/02/mdns-repeater-mdns-across-subnets/ A voir : 1) si c'est RFC compliant (rien trouvé dans la 6762 perso) 2) si d'autres constructeurs implementent une fonctionnalité équivalente. Même chose sur MacOS déjà : http://www.chaoticsoftware.com/ProductPages/NetworkBeacon.html A+ Le 19 juin 2013 20:42, Guillaume Leclanche guilla...@leclanche.net a écrit : Le 19 juin 2013 20:37, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 19, 2013, at 19:49, Guillaume Leclanche wrote: 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le s/link-local/multicast/g non c'est pas la bonne correction. Elle est link-local-only si tu préfères. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Update : pour Avahi == reflector mode. A+ Le 19 juin 2013 21:26, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Sur du DDWRT la fonctionnalité s'appelle mDNS repeater. http://irq5.wordpress.com/2011/01/02/mdns-repeater-mdns-across-subnets/ A voir : 1) si c'est RFC compliant (rien trouvé dans la 6762 perso) 2) si d'autres constructeurs implementent une fonctionnalité équivalente. Même chose sur MacOS déjà : http://www.chaoticsoftware.com/ProductPages/NetworkBeacon.html A+ Le 19 juin 2013 20:42, Guillaume Leclanche guilla...@leclanche.net a écrit : Le 19 juin 2013 20:37, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 19, 2013, at 19:49, Guillaume Leclanche wrote: 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le s/link-local/multicast/g non c'est pas la bonne correction. Elle est link-local-only si tu préfères. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Test bandwidth IPERF/CISCO bisarre
Rfc 3511 ... Le dimanche 16 juin 2013, Patrick Maigron a écrit : Pourquoi tu ne testes pas en UDP plutôt (iperf -u) si tu veux juste vérifier les limitations de débit sur le switch, pour ne pas être gêné par les éléments protocolaires de TCP ? Patrick. Le 15/06/2013 23:48, Laurent Cima a écrit : Parce-que la limitation dans l'autre sens drop les ACK, que l'ouverture fait du yoyo et que les 6Mbps restant sont pleins de retransmit ? Laurent Le 14/06/2013 18:04, Antoine Durant a écrit : Bonjour, J’ai un problème d’incompréhension des résultats suivants effectués avec IPERF et un switch cisco ayant un service-policy sur les ports de tests. 192.168.0.160 : Test limité à 1M 192.168.0.170 : Test limité à 0.5M, 1M et 10M interface f0/X service-policy input policy_ip Le test 2 et 3 me semble bon mais pas le 4 !!?? - Test 1 (100M) : Pas de limitation (pas de police activé pour les ports du switch) Client connecting to 192.168.0.160, TCP port 5001 TCP window size: 80.6 KByte (default) [ 5] local 192.168.0.170 port 54551 connected with 192.168.0.160 port 5001 [ ID] Interval Transfer Bandwidth [ 5] 0.0-10.0 sec 113 MBytes 94.8 Mbits/sec [ 4] local 192.168.0.170 port 5001 connected with 192.168.0.160 port 50460 [ 4] 0.0-10.1 sec 113 MBytes 94.1 Mbits/sec - Test 2 (500K) : police 50 10 exceed-action drop Client connecting to 192.168.0.160, TCP port 5001 TCP window size: 115 KByte (default) [ 5] local 192.168.0.170 port 54553 connected with 192.168.0.160 port 5001 [ ID] Interval Transfer Bandwidth [ 5] 0.0-11.1 sec 1.38 MBytes 1.04 Mbits/sec [ 4] local 192.168.0.170 port 5001 connected with 192.168.0.160 port 50462 [ 4] 0.0-15.5 sec 896 KBytes 473 Kbits/sec - Test 3 (1M) : police 100 10 exceed-action drop Client connecting to 192.168.0.160, TCP port 5001 TCP window size: 16.0 KByte (default) [ 5] local 192.168.0.170 port 54554 connected with 192.168.0.160 port 5001 [ ID] Interval Transfer Bandwidth [ 5] 0.0-11.9 sec 1.38 MBytes 968 Kbits/sec [ 4] local 192.168.0.170 port 5001 connected with 192.168.0.160 port 50463 [ 4] 0.0-12.5 sec 1.50 MBytes 1.01 Mbits/sec - Test 4 (10M) : police 1000 10 exceed-action drop Client connecting to 192.168.0.160, TCP port 5001 TCP window size: 16.0 KByte (default) [ 5] local 192.168.0.170 port 54555 connected with 192.168.0.160 port 5001 [ ID] Interval Transfer Bandwidth [ 5] 0.0-11.9 sec 1.38 MBytes 965 Kbits/sec [ 4] local 192.168.0.170 port 5001 connected with 192.168.0.160 port 50464 [ 4] 0.0-10.6 sec 5.00 MBytes 3.94 Mbits/sec Pouquoi le test 4 ne se rapproche pas de 10 Mbits/sec ?? Pouvez-vous m’expliquer ce qui m’échappe ?? Merci... --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Misc] Le troll du vendredi par Michel
Enfin le Troll de Michel est de retour. D'un coup, le vendredi redevient un jour de bonheur complet, de beatitude, et de claques dans le pif. Aller, juste une pierre à l'édifice trollesque : et si on parlait de MPLS justement, et de son signalling, qui ne tourne toujours pas en IPv6 ? Le 3 mai 2013 05:22, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Je soupçonne fortement qu'on aurait pu déployer IPv6 avec le quart des efforts qu'on met à déployer des CGN et à corriger leurs problèmes. Faux. Pour commencer, qu'on, c'est très et trop vague, ce qui ne colle pas du tout à ton rôle quasi-institutionnel de grammar-nazi. Vu ton expérience reconnue dans le domaine de l'Internet, la qualité et la précision de ton Français technique ne te permettent plus depuis longtemps d'écrire ce genre de connerie généraliste (Y'à qu'à, faut qu'on, on aurait du y penser, etc). Dans les détails, déployer IPv6 ça veut dire NAT v4-v6 qui marche (il y en a tellement de variantes que j'en ai perdu le compte) ce qui est considérablement plus compliqué que CGN. Simon Perreault a écrit: Pour un FAI, déployer IPv6 ne résout pas le problème. Un FAI qui a déployé IPv6 à 100% devra quand même installer un CGN tant que la portion de trafic en IPv4 justifie le coût du CGN. C'est un effort sur deux fronts. +1 Stephane Bortzmeyer a écrit: Et je soupçonne [SNIP] que c'est un choix délibéré de faire du Minitel-like, qui correspond bien à la mentalité de beaucoup de telcos. Ca serait un bon argument si les telcos faisaient le marché (elles essaient) mais c'est le contraire: les telcos finalement implémentent ce le marché veut leur acheter, pas l'inverse. Simon Perreault a écrit: L'adoption d'IPv6 grimpe très rapidement: http://www.google.fr/ipv6/statistics.html Ca fait 15 ans que j'entends ce troll. En plus, le graphique étiquette comme étant natif le trafic 6PE, qui n'est ni plus ni moins qu'un tunnel 6to4 administré par le FAI. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Misc] Le troll du vendredi par Michel
Pour référence juste : http://datatracker.ietf.org/doc/draft-ietf-mpls-ldp-ipv6/ Je ne sais pas Stéphane en a parlé de ce draft, mais ça vaut le coup d'oeil... a posteriori, LDP était quand même bien l'archétype du protocole pensé uniquement pour IPv4. Le 3 mai 2013 08:04, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Enfin le Troll de Michel est de retour. D'un coup, le vendredi redevient un jour de bonheur complet, de beatitude, et de claques dans le pif. Aller, juste une pierre à l'édifice trollesque : et si on parlait de MPLS justement, et de son signalling, qui ne tourne toujours pas en IPv6 ? Le 3 mai 2013 05:22, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Je soupçonne fortement qu'on aurait pu déployer IPv6 avec le quart des efforts qu'on met à déployer des CGN et à corriger leurs problèmes. Faux. Pour commencer, qu'on, c'est très et trop vague, ce qui ne colle pas du tout à ton rôle quasi-institutionnel de grammar-nazi. Vu ton expérience reconnue dans le domaine de l'Internet, la qualité et la précision de ton Français technique ne te permettent plus depuis longtemps d'écrire ce genre de connerie généraliste (Y'à qu'à, faut qu'on, on aurait du y penser, etc). Dans les détails, déployer IPv6 ça veut dire NAT v4-v6 qui marche (il y en a tellement de variantes que j'en ai perdu le compte) ce qui est considérablement plus compliqué que CGN. Simon Perreault a écrit: Pour un FAI, déployer IPv6 ne résout pas le problème. Un FAI qui a déployé IPv6 à 100% devra quand même installer un CGN tant que la portion de trafic en IPv4 justifie le coût du CGN. C'est un effort sur deux fronts. +1 Stephane Bortzmeyer a écrit: Et je soupçonne [SNIP] que c'est un choix délibéré de faire du Minitel-like, qui correspond bien à la mentalité de beaucoup de telcos. Ca serait un bon argument si les telcos faisaient le marché (elles essaient) mais c'est le contraire: les telcos finalement implémentent ce le marché veut leur acheter, pas l'inverse. Simon Perreault a écrit: L'adoption d'IPv6 grimpe très rapidement: http://www.google.fr/ipv6/statistics.html Ca fait 15 ans que j'entends ce troll. En plus, le graphique étiquette comme étant natif le trafic 6PE, qui n'est ni plus ni moins qu'un tunnel 6to4 administré par le FAI. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] RFC 6888: Common requirements for Carrier Grade NATs (CGNs)
c'est un choix délibéré de faire du Minitel-like, qui correspond bien à la mentalité de beaucoup de telcos. Rroooh t'es dur, j'peux pas te laisser dire ca. T'aurais pas entendu des operateurs vouloir monetiser la data, segmenter les offres fixes, faire payer ce nouveau service qu'est IPv6, et autres conneries bullshito-marketesque ? Et ben en vrai, c'est encore pire que ça ... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] OpenStack Summit 2013 : keynotes ?
Hello Y-a-t-il des lecteurs du FRNOG à l'OS2013 ? Si oui, acceptent ils de partager leurs keynotes sur les sujets présentés ? En attendant : http://blog.scottlowe.org/tag/openstack/ C'est pas exhaustif mais les présentations sur Folsom Update et NVP Deep Dive donnent quelques infos. A+ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Montrouge : une start-up lance le chauffage par ordinateur
Et puis c'est cool, c'est que ça chauffe quand tu en as besoin, et même quand tu n'en as plus besoin, genre en été. Donc, en été, tu as le choix entre crever de chaud ou arreter tes serveurs... Le 9 avril 2013 09:53, Metalman metalbobi...@gmail.com a écrit : Plus precisement : pour chauffer les batiments... Il faut internet pour envoyer le calcul... Donc plus d internet plus de chauffage ?... C est marrant la double dependance elec/reseau... (Ou alors un while (1); est lance ?) Fabrice BOISSIER Le 9 avr. 2013 à 09:48, Metalman metalbobi...@gmail.com a écrit : La redecouverte du chauffage au mainframe et supercalculateur version 2013 !... Mais plus serieusement : bravo la reussite du deploiement de calculateurs un peu partout, c est l infra qui me rend curieux pour le coup ! Fabrice BOISSIER Le 9 avr. 2013 à 09:24, Christophe Moille whil...@doomfr.com a écrit : Un ingénieur basé à Montrouge a eu une idée lumineuse : utiliser la chaleur dégagée par les processeurs comme source d’énergie. http://www.leparisien.fr/montrouge-92120/et-si-on-se-chauffait-avec-des-ordinateurs-18-03-2013-2649039.php Le principe, que comprendront tous ceux qui ont déjà travaillé avec un ordinateur portable sur les genoux : utiliser la chaleur dégagée par des processeurs informatiques installés dans le radiateur. Vendue à des entreprises, des particuliers, des centres de recherche pour traiter des données ou faire du calcul intensif, leur utilisation suffit largement à couvrir la dépense en électricité. Avantage pour l’habitant du logement ainsi chauffé : c’est gratuit! Et pour les clients des serveurs informatiques, la garantie de tarifs bien inférieurs à ceux des coûteux data centers. Mais l’atout est aussi écologique : « notre système gaspille cinq fois moins d’énergie pour le même résultat », affirme Paul Benoît. -- Christophe Moille 09 50 72 75 25 La tolérance n'est pas une concession que je fais à l'autre ; c'est la reconnaissance de principe qu'une partie de la vérité m'échappe ! --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
t'apprendras peut etre des trucs, et tu sortiras moins d'âneries Attention, t'es à deux doigts du goulag, Radu ! Croire que la dette accumulée globalement depuis 1945 est uniquement due aux traités de Maastricht (1992) et Lisbonne (2003)... quelle douce naïveté. PS : l'interdiction pour le parlement de recourir à la Banque centrale pour financer la dette = 1973, en France. Oui on a été des précurseurs dans la technique de la grenade dans le slip. -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
Le vendredi 5 avril 2013, sxpert a écrit : c'est donc le travail de la force publique de pallier a l'absence de traitement égalitaire, y compris au niveau temporel (aka, tout le monde a le droit d'etre servi en meme temps). Ouais, donc faut vite qu'on se mette au Russe quoi, parce que ça c'était même pas vrai en URSS. Do svidaniya Tovarishch ... -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
Selon Numericable, 100 Mega c'est un débit. Mega quoi, on en s'est rien, mais méga. 100 méga carottes/s même peut etre. Après un petit coup de Numericable + Bouygues Telecom, et on a aussi inventé la fibre en cable coaxiale (remarque vu qu'ils disent pas fibre optique, on peut difficilement les accuser d'etre autre chose qu'incompétents). J'attends toujours la RFC de fiber optical over coax. Le laser dans la gaine du coax peut etre ? Avec 2 opérateurs nationaux déjà qui disent n'importe quoi (histoire de pas dire 4), faut pas s'étonner de voir des débit en Mo après... Le jeudi 4 avril 2013, David B. a écrit : Bonjour, Je vais faire mon pénible, mais j'aimerais bien qu'on fasse attention à employer les bons sigles. mode troll on Un débit c'est une quantité sur un temps. On est sur FRnog, on doit être capable de faire attention à ceci. :) Je suppose donc que débits de 100 Mo, tu souhaitais dire 100 Mo/s ? Peut être même 100 Mb/s, mais on la encore, on a un facteur 8. Mine de rien, cela change pas mal de choses. mode troll off Je retourne dans ma grotte. :) Le 04/04/2013 14:43, mathieu mathieu a écrit : Bonjour, Je suis en train de m’apercevoir qu’il existe pas mal de réseau d’initiative publique mis en place par le conseil général des régions en question ou naissent de nombreux petits opérateurs internet. Comment font-ils pour proposer des connexions fibre optique aux entreprises avec des débits de 100 Mo ? [...] --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
Ce genre de prestation se paye par du CAPEX (FAS..) qui varie fortement selon si tu es déjà POPé, ou si il faut tirer 300m de genie civil. Ca c'est dans le cas d'une DSP qui a réfléchi un peu avant et qui a compris que l'essentiel n'était pas de tirer des fibres, mais de livrer dans un PoP où il y a déjà du monde (Cogent Toulouse ici, c'est bien ça ?), ou au moins dans un DC si possible neutre (**tousse tousse**) Il y a aussi plétore de DSP qui ont oublié ce détail ... -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
??? Si tu dégroupes les NRA, tu te rapproches de clients potentiels ! Ok, il reste du GC à faire pour raccorder les entreprises, mais c'est pas le même cout de faire quelques km pour se raccorder au NRA le plus proche, et quelques dizaines de KM pour se raccorder au PoP le plus proche ! Par contre aucun intéret pour le grand public, ok. Mais bon en même temps si quelqu'un a un argument pour défendre le 100Mbit/s to the home, hors téléchargement illégal et possibilité de DDOS massif, je serai intéressé. A mon avis du 10Mbit/s pour tout le monde et symétrique déjà De plus si en phase 1 tu raccordes les NRA, tu peux faire un phase 2 pour raccorder les sous répartiteurs, et là c'est déjà plus intéressant. (Qui a dit VDSL ?). Le jeudi 4 avril 2013, sxpert a écrit : On 2013-04-04 18:10, Guillaume Barrot wrote: Ce genre de prestation se paye par du CAPEX (FAS..) qui varie fortement selon si tu es déjà POPé, ou si il faut tirer 300m de genie civil. Ca c'est dans le cas d'une DSP qui a réfléchi un peu avant et qui a compris que l'essentiel n'était pas de tirer des fibres, mais de livrer dans un PoP où il y a déjà du monde (Cogent Toulouse ici, c'est bien ça ?), ou au moins dans un DC si possible neutre (**tousse tousse**) Il y a aussi plétore de DSP qui ont oublié ce détail ... il y a surtout plétore de DSP dont le but premier était de dégroupper les NRA, mais pourquoi faire, on sait pas trop... de toutes facons 20% de la population du département ont des lignes 8km ... --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
http://www.stats-degroupage.fr/free Dégroupage de NRA de 500 lignes ... pas forcément 500 abonnés. Mon avis dans le tas, doit y en avoir à quelques dizaines de lignes. Qui a dit backhaul DSL pour les NodeB ? Le jeudi 4 avril 2013, Bruno CAVROS / SKIWEBCENTER a écrit : Bah si, maintenant ils vont fourguer du NRA MED tout naze qui ne permet pas d'apporter du triple play car personne ne dégroupe pour 20 abonnés sur un SR ... Mais au moins le contribuable va payer à vie pour l'entretien des NRA MED, l'énergie (quoi que dans le 77 un dspiste avait oublié de payer les factures et paf plusieurs jours de coupures), et les fibres données à FT entre le NRA et les SR.. Elle est pas belle la vie ? -Message d'origine- De : frnog-requ...@frnog.org javascript:; [mailto: frnog-requ...@frnog.org javascript:;] De la part de sxpert Envoyé : jeudi 4 avril 2013 18:19 À : frnog@frnog.org javascript:; Objet : Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique On 2013-04-04 18:10, Guillaume Barrot wrote: Ce genre de prestation se paye par du CAPEX (FAS..) qui varie fortement selon si tu es déjà POPé, ou si il faut tirer 300m de genie civil. Ca c'est dans le cas d'une DSP qui a réfléchi un peu avant et qui a compris que l'essentiel n'était pas de tirer des fibres, mais de livrer dans un PoP où il y a déjà du monde (Cogent Toulouse ici, c'est bien ça ?), ou au moins dans un DC si possible neutre (**tousse tousse**) Il y a aussi plétore de DSP qui ont oublié ce détail ... il y a surtout plétore de DSP dont le but premier était de dégroupper les NRA, mais pourquoi faire, on sait pas trop... de toutes facons 20% de la population du département ont des lignes 8km ... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
Le jeudi 4 avril 2013, Thomas Barandon a écrit : wow, mauvaise logique du il n'y a pas l'usage donc je ne déploie pas... Déployons l'infrastructure aujourd'hui, il sera toujours temps par la suite de trouver les usages et d'appuyer des business model sur ce nouveau réseau. Absolument pas. Déployons de suite : ok, mais ce n'est pas aux collectivités ou aux citoyens de payer ces infras. Les SP veulent fournir du 100M ? faites donc. Sur le mobile, c'est la promesse de la 4G, c'est pas les collectivités qui payent que je sache ? Comme toute nouvelle techno, le prix sera prohibitif au départ, de manière à assurer une continuité avec les offres actuelles (ben ouais, tu payes 30e pour 20mbit/s, tu vas raler si ton voisin paye le même prix pour 100Mbit/s symétrique, donc on va pas baisser ton abonnement [pas fou], on va juste faire payer 100e à ton voisin. Puis les prix baisseront dans une deuxieme phase) . En 1999, les premiers abonnements DSL en 512k, je payais ça 500 Fr/mois. Pour moins cher, maintenant tu as 20Mbit/s selon éligibilité. Et effectivement l'usage se trouvera tout seul, on est bien d'accord. Donc qui peut profiter maintenant d'un débit élevé, quitte à payer le prix des raccordements, et des abonnements ? Les entreprises... Le grand public viendra après. -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Jusqu'où va la neutralité du net ?
Breaking news ! La neutralite du net, on s'en fout, là y a 100 fois mieux ! Michel Py is back !!! Vivement vendredi prochain :D Le 30 mars 2013 05:59, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : François de Rochebrune a écrit: Loin de moi l'idée de vouloir relancer le débat sur la neutralité du net De mon bout de la lorgnette, tes questions n'ont que peu à voir avec la neutralité du Net et beaucoup avec l'éternelle question qui consiste à a) essayer de faire du QOS et b) installer un plus gros tuyau. je constate que le champ TOS, que je positionne dans mes datagrammes IP, à la sortie de mes machines, est altéré par un (plusieurs ?) routeur(s) avant d'arriver à destination. Aucune surprise. A l'arrivée, suivant les routes, ce champ se retrouve à 0, parfois il manque un bit ou 2, le tout, bien entendu, à l'insu de mon plein gré. Aucune surprise. Je comprends aisément que l'interprétation de la valeur de ce champ est sujette à discussion, que ce champ est, parait-il, peu utilisé, que les RFC ont fait l'objet de nombreuses révisions, qu'il est difficile de mettre d'accord tout les routeurs de la planète, et que chacun est libre d'appliquer ses propres règles sur ses propres réseaux. Appelons ceci un euphémisme. Cela étant dit, pour faire simple, si j'ai envie d'y mettre la valeur 42 (exemple pris tout à fait au hasard), Une partie du problème est qu'il y a 256 possibilités, et que ça fait chier tout le monde de configurer pour les prendre toutes en compte. Pour la voix, il paraît qu'utiliser la valeur 184 est bien, dans la réalité des choses je n'ai pas constaté de différence importante. Des fois ça marche, des fois pas. j'aimerai bien retrouver cette valeur à l'autre bout du tuyau. C'est pas demain la veille. D'où les questions que je me pose : Les principes de neutralité du net s'appliquent-ils à l'intégralité du datagramme (bon ok, sauf pour le TTL et les différents champ techniques genre fragmentation, etc.) ? Chez les bisounours, peut-être. Peut on considérer que l'altération de cette donnée d'en-tête (le champ TOS) va à l'encontre des principes de neutralité ? C'est la vraie question. Voir en bas. Qui décide de la priorité à donner à ses flux ? Le(s) FAI. Quelles sont les pratiques mises en œuvre chez vous ? Ca dépend combien tu payes. Les spécificités de ce champ font elles parties de vos CGV ? Bien sûr que non. Connaissez-vous un moyen de garantir le respect de la valeur positionnée à la source ? Absolument pas. Bon, la vraie question: François de Rochebrune a écrit: Peut on considérer que l'altération de cette donnée d'en-tête (le champ TOS) va à l'encontre des principes de neutralité ? Données de base: Pierre et Paul achètent la même bande passante chez le même FAI pour le même prix (note: je simplifie grandement le problème). Neutralité du Net: Paul et Pierre ont tous les deux droit à un traitement équitable. L'avocat du diable - Paul est l'utilisateur lambda, Pierre est un centre d'appel qui met 1000 utilisateurs en SIP avec un codec de merde à 11Kpbs. Est-ce que Paul mérite que Pierre lui bouffe la bande passante quand, une fois de temps en temps, il Skype (parce que les FAI honorent le TOS)? Non. - Paul télécharge et seede des torrents de cul toute la journée, est-ce que Pierre (utilisateur lambda) mérite que son Skype bégaie parce que les FAI n'honorent pas le TOS? Non. /L'avocat du diable On voit de tout: 1. Le FAI qui _volontairement_ re-écrit le TOS en espérant que les clients qui essaient de faire du SIP à pas cher chez quelqu'un d'autre va rester ou revenir chez eux parce que la qualité de voix est mauvaise. Ca c'est clairement contraire à la neutralité du Net, mais lire plus bas. 2. Le FAI qui re-écrit le TOS pour donner la priorité à _ses_ flux voix (qu'il vend plus cher les données, à bande passante égale. Faut être réaliste, dans le monde compétitif dans lequel nous vivons, je ne vois pas vraiment d'autre solution. C'est bien plus facile et rentable de faire du QOS par source ou destination ou circuit que respecter ce que le client envoie. 3. Le client qui vend du SIP illimité à €10 par mois avec un codec à 11Kpbs depuis Trifouilly-les-Oies et qui prétend que c'est aussi bon que de la vraie voix. 4. Le petit malin qui met 250 étudiants par Mpbs et qui re-écrit le TOS de son flux données avec une valeur ++mieux en espérant que ça va résoudre son problème. La vérité toute nue: aucune solution. Chez les bisounours, les FAIs ne devraient pas changer le champ TOS. Mais en pratique, ils le changent. Non pas parce qu'ils veulent t'empapaouter (ou rarement) mais parce que ça coûte trop cher à configurer et que en plus, à moins que tout le monde le fasse, ça ne sert pas à grand-chose. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de
Re: [FRnOG] [tech] recherche info équipement électrique
Certains switch top of rack propose nativement une double alim 220v AC / 48v DC, ce qui permet de palier ce probleme. Sinon redonder electriquement un spof : pourquoi ? Deuw switchs ToR chacun sur une arrivee electrique differente et chaque serveurs en double attachements repondent au besoin de redondance. Le 23 mars 2013 19:37, Arnaud aberming...@corp.free.fr a écrit : Le 23 mars 2013 à 18:26, Radu-Adrian Feurdean a écrit : J'ai vecu la cas ou le STS, utilise pour securir seulement 3 equipements (sur quasiment une dizaine dans la baie) est arrive dans la situation de mettre la baie entiere HS, en faisant sauter les disjoncteurs des deux circuits electriques. C'est parfaitement exact. Les STS ont la fâcheuse tendance à propager un défaut (ex : un court-circuit, défaut d'isolement, courant de fuite...) sur les deux voies, et il n'existe pas de solution technique simple pour éviter ce genre de désagrément. Il faut impérativement retirer les disjoncteurs différentiels sur l'amont des STS, prendre des disjoncteurs courbe D ou K (attention à la sélectivité et au pouvoir de coupure!) et limiter l'utilisation aux switchs top of rack qui sont rarement en double alimentation nativement. A --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech] recherche info équipement électrique
... Supposant deja que le failover ca fonctionne bien cote serveurs. J'ai vu quelques epic fails a ce sujet. +1 Notamment des Solaris IPMP en mode probe qui pinguent la 224.0.0.2 ttl = 1, les gateways prennent cher ... Surtout quand c'est des vieux checkpoints (mais des 6500 / sup720 tirent bien la gueule aussi si le Copp est pas configuré). --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] ARCEP vs. Skype : clarification ?
Voix sur IP = voix. Le plus important est surtout a mon sens de savoir si : - c'est ta connexion voix principale (dans ton cas non, c'est un choix d'utiliser le sip phone plutot que ta connexion voix over gsm) - c'est interconnecte avec le reseau pots traditionnel (en d'autre terme, si depuis ton sip phone tu fais le 112, est ce que tu tombes au bon dispatch geolocalisé des pompiers ou pas ?). Mais ce n'est qu'une opinion, il faudrait voir le cadre legal et la definition exacte derriere d'un service voix. Le 13 mars 2013 00:05, giles.r.demou...@free.fr a écrit : Question: si j'appelle par le moyen du Skype qui est installé dans mon terminal Windows Phone 8 relié en wifi à ma box une personne à l'étranger répondant d'un autre terminal, disons Android, connecté aussi en wifi à sa box, est-ce de la téléphonie dès lors que le module téléphonique de chacun des terminaux ne joue aucun rôle, ou s'agit il de communications iP entre deux ordinateurs? GRM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs pour small-business
En plus, quand tu arrives a travailler avec du ASA, tu oublies meme les bugs les plus atroces de chez Fortinet :) Nan mais la, tu prends l’extrême aussi ... L'ASA a attendu 2011 ou 2012 pour supporter le LACP, alors le routage ... Pour revenir aux mini CE, je penche pour du Mikrotik : ça a l’intérêt de tourner en VM = pratique pour valider un upgrade, faire des tests, etc. Et niveau reseau, ca fait papa maman et tout le reste de la famille. Le 11 février 2013 23:59, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Feb 11, 2013, at 23:49, Guillaume Barrot wrote: Fortinet et l'Ipv6, un amour impossible. Je crois que le support doit encore se souvenir du case que j'ai ouvert y a un an : IPv6 = supporté Isis = supporté Routage IPv6 via ISIS ? Ops. Ah, oui, la partie ISIS qui venait juste de sortir en 4MR3 (ou MR2 ???).. Apres pour du mini CE, ok en statique, ca juste marchera. Pas (trop) de probleme en OSPF+BGP. Les bugs BGP etait de memoire a peu pres les memes en v4 et en v6. En plus, quand tu arrives a travailler avec du ASA, tu oublies meme les bugs les plus atroces de chez Fortinet :) -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs pour small-business
Donc pas mal, mais pas gagné (p'tet que ca a changé ?) Depuis 2006 ? Oh ben un peu quand meme ! En 2006, le fer de lance Cisco c'etait la FWSM, pour rappel ... on a pas mal progressé depuis ! Ah 2006, on avait pas encore les ISG2000, on jouait aux grands avec du NS208 en 100Meg, et on etait content ... Le 12 février 2013 09:34, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 11/02/2013 23:59, Radu-Adrian Feurdean a écrit : On Mon, Feb 11, 2013, at 23:49, Guillaume Barrot wrote: Fortinet et l'Ipv6, un amour impossible. Je crois que le support doit encore se souvenir du case que j'ai ouvert y a un an : IPv6 = supporté Isis = supporté Routage IPv6 via ISIS ? Ops. Ah, oui, la partie ISIS qui venait juste de sortir en 4MR3 (ou MR2 ???).. :D Apres pour du mini CE, ok en statique, ca juste marchera. Pas (trop) de probleme en OSPF+BGP. Les bugs BGP etait de memoire a peu pres les memes en v4 et en v6. En plus, quand tu arrives a travailler avec du ASA, tu oublies meme les bugs les plus atroces de chez Fortinet :) J'ai utilisé des fortinet il y a longtemps (2006 / 2007) quand il s'agissais d'annoncer en BGP / OSPF une loopback, j'y suis jamais arrivé (et encore je ne parle pas de faire du PAT dessus...). Donc pas mal, mais pas gagné (p'tet que ca a changé ?) Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...
Tu n'as aucune conscience sociale pour un cryptocommuniste :) Faisons des regles de securite qui protegent nos emplois de demain, ca devrait etre le leitmotiv de tout inge secu qui se respecte. Le 11 févr. 2013 23:37, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sun, Feb 10, 2013, at 1:46, Guillaume Barrot wrote: Finalement c'est trs bien de filtrer ICMP. A condition qu'on m'embete pas quand c'est la premiere regle que je desactive :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs pour small-business
Fortinet et l'Ipv6, un amour impossible. Je crois que le support doit encore se souvenir du case que j'ai ouvert y a un an : IPv6 = supporté Isis = supporté Routage IPv6 via ISIS ? Ops. Bon apres je dois etre le seul mec au monde qui route Isis et BGP sur un firewall, mais bon, quand c'est ecrit dans la datasheet, le mieux est que ce soit vraiment implementé... Apres pour du mini CE, ok en statique, ca juste marchera. Le 11 févr. 2013 23:35, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Feb 9, 2013, at 15:18, Jérôme Nicolle wrote: Bon, le problème des appliances / distribs à tout faire est aussi le support IPv6. Vyatta : partiel (support bancal sur les VPN, contournable) pfSense : partiel à partir de 2.1 (pas encore stable) mOnOwall : partiel en beta IPCOP : KO IPFire : KO Deja, la on n'est plus dans la categorie *routeur* mais dans la categorie *firewall*. Et tant qu'on y est, pourquoi pas mentionner les Fortinet (FG-40C ou FG-60C). Le support IPv6 etait deja plus que correct il y a un an (parfaitement utilisable en tant que routeurs v4+v6 pour des remote-offices), et j'ai pu comprendre que sur les dernieres versions d'OS ils ont quasiment arrive a avoir feature parity entre v4 et v6 (je parle des fonctionnalites bling-bling la). Donc globalement, pour un niveau de fonctionnalité correct, en petit routeur, qui ne soit pas du 100% custom, point de salut hors de softs plus ou moins proprio, comme Vyatta ou RouterOS. Encore une fois, faut comparer ce qui est comparable. Pour moi, routeur SMB c'etait plutot des Cisco 88x/89x/19xx, non pas de boitiers avec etiquette securite. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...
/me va remplacer son routeur perso, justement équipé de ces chips Intel. Approche normale quoi : matos bugué = matos remplacé. Evidemment ca dans le monde de l'entreprise, entre la difficulté de changer le matos et le bullshit commercial ehonté de certains fournisseurs, et ben on en arrive a filtrer des trucs qui n'ont pas de problemes. Apres, je pense qu'il faut laisser faire car ca genere du boulot pour pleeein de monde, du fournisseur a l'integrateur, au consultant secu qui devra aller expliquer que si on filtre la meme chose en IPv6, on risque d'avoir quelques problemes de MTU. Finalement c'est trs bien de filtrer ICMP. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP et IPv6 (uniquement) : comment choisir son router ID ?
Le truc marrant, c'est qu'Alain Durand (l'auteur du RFC), est Software Engineering Director chez Juniper :D Y a plus qu'à lui envoyer un mail pour lui demander ce qu'il en pense ! Le 1 février 2013 15:12, Benjamin Abadie benjamin.abadie+fr...@gmail.coma écrit : Bonjour à tous, J'ai récemment décidé de faire joujou avec des olives (mmhhh dit comme ça, c'est bizarre...) sur GNS3. Je me suis amusé à monter une petite topo BGP, et puisque nous sommes en 2013, IPv6 only. Mais vient le moment où il faut configurer les router ID, qui restent en 32 bits. En v4, pas de problème : le routeur choisit tout seul une loopback comme un grand, mais en v6 ? Je suis d'accord qu'avec un IGP, il suffit de faire un zoli plan d'assignation, à la mano, avec la doc kivabien pour éviter les collisions. Mais avec BGP ? Le draft http://tools.ietf.org/html/draft-dupont-durand-idr-ipv6-bgp-routerid-01 apporte un début de solution en proposant de construire son router-id en partant de son numéro d'AS. Mais précise bien que cela ne fonctionne qu'avec des ASN 16 bits, pas les 32 (forcément...). On peut évidemment laisser le dieu du random décider de son router-id, mais il y a à ce moment là un risque de collision. J'ai donc testé, et si JunOS râle lorsque le router en face n'a pas de router-id configuré (il s'annonce comme étant 0.0.0.0), mes olives n'ont pas du tout été gênées par le fait d'avoir le même router-id qu'en face. Je me pose donc plusieurs questions : - Y-a-t'il (ou y aura-t'il) un système d'assignation global, avec l'autorité internationale et tout et tout, ou va-t-on décider des router-id à la mano et croiser les doigts ? - Savez-vous comment les différents systèmes réagissent à une collision de router-id ? - Que pensez-vous de la probabilité que ça arrive, surtout sur des gros GIX. Quid du cas où il y a un route reflector ? - Avez-vous déjà rencontré le cas en prod ? - D, la réponse D. Bonne journée, Benjamin Abadie --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 6820: Address Resolution Problems in Large Data Center Network
Il ne reste plus qu'à décrire proprement une méthode Trill - Lisp interconnect pour avoir un mapping complet entre les différentes couches, mais aussi pour signaler plus proprement un déplacement de ressources (à l'heure actuelle, Lisp attend que la ressource déplacée envoie un premier paquet pour initier la mise à jour, ce qui a comme conséquence d'introduire une latence supplémentaire). Le 31 janvier 2013 11:06, Teto matta...@gmail.com a écrit : Le protocole TRILL propose un système d'annuaire qui permet de réduire l'ARP. Quand on ne connaît pas la MAC attachée à une IP on peut interroger l'annuaire. http://datatracker.ietf.org/doc/draft-ietf-trill-directory-framework/ 2013/1/31 Emmanuel Thierry m...@sekil.fr: Bonjour, Le 31 janv. 2013 à 09:19, Jimmy Thrasibule a écrit : Le plus souvent dans les data center, on possède un inventaire des adresses physiques de chaque machine. Ne serait-il pas imaginable de créer une sorte de serveur DNS pour les adresses physiques ? Le protocole LISP décrit récemment par Stéphane Bortzmeyer [ http://www.bortzmeyer.org/6830.html] n'est-il pas ce genre de protocoles ? Il me parait plutôt adapté à cette utilisation: Migration de VM = Changement de RLOC = Mise à jour de la base ALT Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UPNP ce protocole d'avenir
Admettons pour UPNP IGD, mais IPv6 en lui même ne réglera pas la problématique UPNP AV (ie présentation de services). Le 1 février 2013 00:22, sxpert sxp...@sxpert.org a écrit : On 2013-01-31 23:29, Gunther Ozerito wrote: www.bit-tech.net/news/bits/**2013/01/30/upnp-vuln/1http://www.bit-tech.net/news/bits/2013/01/30/upnp-vuln/1 On peut y mettre le feu maintenant et bosser sur un vrai protocole pour le remplacer ? implementer vite fait ipv6 partout par exemple et arreter de jouer au PAT ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 10Gbps Open Source Routing
Hello Pour parler uniquement du hard, de nombreuses nouveautés ont été annoncées à l'IDF San Francisco 2012, dont Scott Lowe avait fait un bon résumé sur son blog http://blog.scottlowe.org/2012/09/12/clds006-exploring-new-xeon-e5-optimizations-for-10-gb-ethernet/ Globalement, l'architecture Intel repose sur deux points : - coté motherboard, on permet aux cartes réseaux de discuter directement avec les CPU, et donc la RAM (PCIe root port et surtout DDIO) - coté carte réseau, on intègre des modules globalement très proche dans l'idée d'un ASIC ou d'un SOC (mais en moins cher). En tous cas c'est la théorie, il faudra voir en pratique L'article parle beaucoup de l'intérêt de telles innovations pour la virtualisation (augmentation des débits VM to VM, virtualisation des cartes réseaux avec SRIOV) mais globalement le raisonnement est aussi valable uniquement pour faire passer du packet sur un soft opensource de routage. Intel bosse beaucoup sur des optimisation d'OpenVSwitch pour utiliser les performances de ces cartes. On parle plus de performances N x 10G que purement 10G sur ce type d'infra. Niveau cout, on est inférieur à 1000$ pour 2 ports 10G base T. Deux types d'intégration possible : Controller, intégré à la motherboard : http://ark.intel.com/products/60021/Intel-Ethernet-Controller-X540-BT2 Carte dédiée en PCIe2.1 : http://ark.intel.com/products/58953/Intel-Ethernet-Converged-Network-Adapter-X540-T1 Le plus intéressant c'est qu'il n'y pour l'instant aucune carte en PCIe3.0, donc les débits devraient encore pouvoir progresser. Le 30 janvier 2013 10:38, Stephane Bortzmeyer bortzme...@nic.fr a écrit : « 10Gbps Open Source Routing » de Bengt Gördén, Olof Hagsand et Robert Olsson. http://www.iis.se/docs/10G-OS-router_2_.pdf Excellent article technique sur les performances d’un PC/Linux comme routeur sur de l’Ethernet 10 Gb/s. Les auteurs ont mesuré le débit qu’ils arrivaient à faire passer par un PC du commerce, dans différents cas (par exemple avec une DFZ complète ou seulement quelques routes). Conclusion : c’est faisable, mais pas avec toutes les cartes et tous les pilotes, il faut passer du temps à faire des réglages et, le coût par paquet étant important, ce débit n’est atteint que pour les paquets de plus de 256 octets. Deux avantages à de tels routeurs : 100 % logiciel libre (je sors du Forum International sur le Cybersécurité où on a parlé des méchants routeurs chinois pendant deux jours) et le prix. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread : la possibilite de mettre son propre equipement a la place de la box. Bon on peut le faire en mettant son netgear/etc derriere la box en bridge, ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne (qos, marge de bruit etc. En meme temps c'est exactement la volonte des FAI). Rappelons que la box est dans un contexte grand public ou il est rare de trouver des vlans et/ou des dmz puisqu'il est interdit par les operateurs d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
C'est de notoriete publique que la ligne conductrice d'Akamai est tant qu'il y a des cons pour acheter, moi je vends, non ? Le 16 janv. 2013 09:20, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote: Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une volonté de l'hébergeur. public bashing Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard, mais en plus est une option (produit apart) payante. Pire encore, dans le service standard ils disent nous pouvons attaquer une origine en v6, mais on l'expose cote client uniquement en v4. Si vous voulez une exposition client en v6, il faut acheter le produit ZXZXZXZXZX en plus. Je m'attendais a mieux pour le prix que ca coute... /public bashing --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janvier 2013 16:20, Refuznikster refuzniks...@gmail.com a écrit : Ce que je trouverais extraordinairement fair, ca serait de faire un système qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) juste sur demande (et désactivée par défaut), gratuitement. Naaain. Erreur systeme. Les gens du marketing passe par là et dise quoi un truc gratuit alors qu'on pourrait marketer ça en 'offre premium', et faire payer à l'outrecuidant la monopolisation d'une ressource. Et paf. C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une ressource tellement abondante que tu peux en donner des paquets de publiques aux MIT pour que tous les postes, les badgeuses et les imprimantes soient dans le /8 public, à une situation où c'est devenu tellement rare que plusieurs abonnées vont devoir en partager une. Du coup, qui dit rareté, dit économie qui va avec : et vas y que je te revends des scopes, et vas y que je fais payer l'IP publique dédiée. Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci les écoles de marketing. -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.com a écrit : Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat d'un bloc IPv4 au marché noir. De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et certains opérateurs jouent même la rétention dans ce sens... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus logique. Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6 conservee. Le 16 janv. 2013 15:39, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 15/01/2013 17:45, Guillaume Barrot a écrit : Par contre pour le CGN vu qu'il y aura surement un impact juridique (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui marchaient avant qui marchent plus apres), voire economique (nouveau forfaits premium pour conserver une ip publique dediee), la clairement y aura atteinte a la neutralite du net... Pas d'accord. A partir du moment ou tu as une connectivité propre (v6 public routé) mais, par compatibilité et malgré la pénurie, le maintient d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il veut sur l'IPv6. Tant que tous les paquets d'au moins un des protocoles sont transportés sans discrimination, et que les quelques dégradations de service sur l'autre ne sont pas clairement ciblés pour discriminer certains services, c'est plutôt positif comme démarche... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janvier 2013 15:32, Jimmy Thrasibule thrasibule.ji...@gmail.com a écrit : Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau des opérateurs ? Le manque de services accessibles ? Comme dit précédemment, il ne faut pas confondre - mise en place d'IPv6 - gestion de la pénurie d'IPv4 Pour accéder à du contenu en IPv4, les opérateurs doivent fournir une connectivité v4 aux clients : - cas onirique : un bloc v4 par abonné, ce qui lui permet d'avoir une v4 publique / device connecté (ie, la même chose qu'en v6) - soit une IP publique / personne, et Nat locale sur la box == cas général des années 2000 - soit un scope privé + CGN, ou une IP privée, nat local sur la box + CGN (donc plusieurs abonnés partage la même IP publique dans les deux cas) Maintenant, le CGN est-ce mal ? Ok, beaucoup de services à la con ne marcheront pas (Skype, des jeux online). Ok, plein de contraintes légales géniales, du genre logguer les plateforme de CGN pour les réquisitions judiciaires (et hop du cout caché) Ok, cela rajoute un équipement au mieux niveau 4, au pire niveau 7 si on a des ALG pour certains protocoles, donc un point de rupture capacitaire, un spof, et probablement de la latence. Ok, définitivement, plus personne ne pourra héberger de contenu chez lui, car on ne peut que très difficilement partager un port 80 entre plusieurs abonnés. Et ben tout ça c'est GENIAL. En effet, quel meilleur moyen de pousser IPv6 que de rendre IPv4 tout pourri ? Les jeux marchent pas en CGN ? == les plateformes de jeux évolueront du coup beaucoup plus vite en v6 Skype marche pas en CGN ? On parie qu'on aura une release IPv6 ready en quelques mois ? Les grosses plateformes de contenues (youtube, facebook, etc) sont déjà v6 ready, donc pour eux pas de soucis. Bref, les premiers à en pâtir seront les plateformes de contenus qui n'auront pas évoluées, et on peut là aussi parier que si on se prend des pannes en cascade, 50 ms de latence, ou des rupture capacitaires chez les opérateurs, eh ben beaucoup de contenus évolueront en v6, y compris la pub. Enfin, vu le bordel à mettre en place une plateforme de CGN (cout de la plateforme, dimensionnement, positionnement, dimensionnement des scopes etc), et les couts cachés (monstre infernal à mettre en place juste pour gérer les logs, et pouvoir répondre à la Gendarmerie en cas de requisition judiciaire c'est telle personne qui a fait ça et non, ça fait partie de la liste des 200 personnes là), on peut aussi parier que comme par hasard, il coutera à peine plus cher de déployer CGN pour v4 et IPv6 en parallèle, donc beaucoup de FAI franchiront le cap à ce moment là. Dans certains cas, IPv6 est même un prérequis à la mise en place d'une plateforme de CGN pour IPv4 (DS-lite). Que du bonheur quoi ! G. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janvier 2013 17:25, Frédéric GANDER fgan...@corp.free.fr a écrit : avec xp ca va pas marcher des masse http://support.microsoft.com/kb/2478747/fr là encore, solution en trois clics. On retombe sur la discussion : est-ce au FAI de gérer les postes de ses clients ? Si le FAI a besoin que ces clients utilisent de l'IPv6, la hotline peut donc répondre à cette question. Sinon, ben ça marchera en v4 et puis c'est tout. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janv. 2013 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit : ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 d'ailleurs c'est pas une atteinte à la net neutralité ca ? de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ? 1) dual stack : t'obliges personne a utiliser la stack v6 2) tu restes en niveau 3, donc tu n'impactes pas du tout les requetes du client. Rien a redire niveau neutralite du coup. Par contre pour le CGN vu qu'il y aura surement un impact juridique (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui marchaient avant qui marchent plus apres), voire economique (nouveau forfaits premium pour conserver une ip publique dediee), la clairement y aura atteinte a la neutralite du net... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Voilà des slides bien marrant sur le sujet au Nanog Un slide d'analyse sur le cout : http://www.nanog.org/meetings/nanog56/presentations/Wednesday/wed.general.howard.24.pdf Un slide sur un draft RFC pour simplifier l'analyse des logs http://www.nanog.org/meetings/nanog54/presentations/Tuesday/GrundemannLT.pdf N'oublions pas que derrière une box, il y autre chose qu'un PC (console de jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec double NAT ? J'ai un doute... Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a priori selon les trials fait aux US... Du coup, faudrait changer l'acronyme, les FAI deviendront des FAPI : Fournisseur d'Accès à Presque Internet... Le 15 janvier 2013 19:52, Fabien Delmotte fdelmot...@mac.com a écrit : Bonsoir, Il va falloir arrêter un peu avec le CGN. J'ai déployer a travers l'Europe et la Turquie (3 millions de users pour ce projet) des solutions pour des opérateurs et nous n'avons pas eu de problème, même sur la fonction de log. Ou sinon il faut passer tout en IPv6, mais .il faut du NAT64 / DNS64 et donc Donc si la neutralité passe par en autre une adresse IP publique pour le end-user, alors nous allons attendre longtemps avant que cette neutralité revienne. Fabien Le 15 janv. 2013 à 19:26, Frédéric GANDER fgan...@corp.free.fr a écrit : Rien a redire niveau neutralite du coup. Par contre pour le CGN vu qu'il y aura surement un impact juridique (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui marchaient avant qui marchent plus apres), voire economique (nouveau forfaits premium pour conserver une ip publique dediee), la clairement y aura atteinte a la neutralite du net... port block allocation les hebergeur vons devoir logger le port source ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Sauf que ALG = niveau 7, donc en general traitement en CPU, donc tres difficilement scalable, et hyper cher. Deuxio, niveau 7 = porte ouverte a une non neutralite puisque le FAI travaille dans des couches autre que reseau/transport, donc pourquoi ne pas en profiter pour inserer en prime du dpi, du filtrage d'applis ou autres joyeusetees ? Et au dela du CGN, c'est l'aspect nat 444 qui risque de poser probleme a de nombreuses applis, par exemple le peer to peer (qui, dois je le rappeler, n'est pas illegal en soit, tant que le contenu est libre de droit). Donc oubliez la notion on peut couper le peer to peer, c'est illegal ca aura du mal a passer. Et le fait de partager une IP publique entre de nombreux abonnes est encore un concept juridique tres flou, surtout en France, pays de l'hadopi. De plus le fait de ne pouvoir rediriger des flux entrants est une perte de fonctionnalite par rapport aux solutions actuelles. Difficile a faire passer au meme prix qu'un forfait standard. Si en plus ca devient plus cher sous pretexte qu'il faut investir la, honnetement j'ai un gros gros doute sur le retour client... Le 15 janv. 2013 23:54, Fabien Delmotte fdelmot...@mac.com a écrit : Bonsoir, N'oublions pas que derrière une box, il y autre chose qu'un PC (console de jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec double NAT ? J'ai un doute... Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a priori selon les trials fait aux US... Dans le cas ou le NAT ne casse pas la liaison le CGN n'entraine aucun problème. ALG et EIM/EIF sont tes amis. J'ai fait des tests avec Netflix, SIP, et la XBOX (dernier patch de Microsoft) derrière un CPE et il n'y a aucun problème... Je sais que CableLabs indique que le CGN induit de la latence mais cela est faux. Cordialement Fabien Le 15 janv. 2013 à 19:59, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Voilà des slides bien marrant sur le sujet au Nanog Un slide d'analyse sur le cout : http://www.nanog.org/meetings/nanog56/presentations/Wednesday/wed.general.howard.24.pdf Un slide sur un draft RFC pour simplifier l'analyse des logs http://www.nanog.org/meetings/nanog54/presentations/Tuesday/GrundemannLT.pdf N'oublions pas que derrière une box, il y autre chose qu'un PC (console de jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec double NAT ? J'ai un doute... Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a priori selon les trials fait aux US... Du coup, faudrait changer l'acronyme, les FAI deviendront des FAPI : Fournisseur d'Accès à Presque Internet... Le 15 janvier 2013 19:52, Fabien Delmotte fdelmot...@mac.com a écrit : Bonsoir, Il va falloir arrêter un peu avec le CGN. J'ai déployer a travers l'Europe et la Turquie (3 millions de users pour ce projet) des solutions pour des opérateurs et nous n'avons pas eu de problème, même sur la fonction de log. Ou sinon il faut passer tout en IPv6, mais .il faut du NAT64 / DNS64 et donc Donc si la neutralité passe par en autre une adresse IP publique pour le end-user, alors nous allons attendre longtemps avant que cette neutralité revienne. Fabien Le 15 janv. 2013 à 19:26, Frédéric GANDER fgan...@corp.free.fr a écrit : Rien a redire niveau neutralite du coup. Par contre pour le CGN vu qu'il y aura surement un impact juridique (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui marchaient avant qui marchent plus apres), voire economique (nouveau forfaits premium pour conserver une ip publique dediee), la clairement y aura atteinte a la neutralite du net... port block allocation les hebergeur vons devoir logger le port source ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] se passer des box FAI : technique, juridique (Was : Mieux que l'HADOPI, Free !)
Je crois que l'approche de certains FAI dans ce cas est développons une application pour ça. Ordinateur : le retour des kits de connexions ? Smartphone : appli Free/Freemobile et consors. TV Connectés : des protos d'applis pour TV Samsung etc. Ca permet d'interface un appareil tiers sans trop investir en support multi-tiers. Après ça nécessite que les constructeurs prévoient la possibilité de créer des applis, mais c'est de plus en plus courant. Le 14 janvier 2013 12:05, Francois Petillon fan...@proxad.net a écrit : On 01/13/2013 01:49 PM, Sylvain Vallerot wrote: Aider l'utilisateur à mettre son poste en réseau, si c'est un peu le boulot du FAI tout de même, sinon je me demande bien de qui ce serait le boulot. Du support de l'OS concerné, non ? Sinon, cela voudrait dire que le FAI devrait également avoir des compétences pour configurer l'accès au réseau de tous : - les smartphones (quelqu'en soit la marque le firmware) et autres tablettes, - les imprimantes réseaux (si, si, la mienne fait IPv6 et n'importe qui peut imprimer dessus, il y a bien des ACLs en IPv4 mais pas en IPv6), - les téléviseurs connectés (pareil : toutes marques tous modèles), - sans oublier les tout derniers frigos communiquants. J'ai un peu du mal à comprendre pourquoi le FAI serait responsable de la configuration du poste de travail et pas de tout le reste. François --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [IPv6] Tiens… La Roumanie fais mieux que la France ?
Je crois que c'est plus bête que ça. Si à la place de Free, c'était Orange qui avait activé l'IPv6 par défaut, on aurait un taux de pénétration beaucoup plus élevé en France. Il suffit que ce soit l'opérateur majoritaire en Roumanie qui ait fait le choix de déployer IPv6 activé par défaut pour que leur taux d'adoption soit plus élevé. Ca ne répond pas à la question du pourquoi eux et pas nous cependant. Le 11 janvier 2013 13:00, Xavier Beaudouin k...@oav.net a écrit : Bonjour C'est peut-être un appel a Troll, mais selon Google : http://www.google.com/ipv6/statistics.html#tab=per-country-ipv6-adoption Il me semble que nos amis Roumains font mieux que la France en terme d'adoption de l'IPv6 IPv6 Adoption France : 4,9% IPv6 Adoption Roumanie: 8,58% A quoi est-ce dû ? Au fait que la Roumanie n'as pas trop de legacy (vieux antispam proprio qui ne sont pas IPv6 compliant, souvent d'ailleurs la fausse raison de ce non déploiement) ou juste le fait que étant un pays ayant moins de legacy ils sont obligé de faire de l'IPv6 parce que y a pas le choix. /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] se passer des box FAI : technique, juridique (Was : Mieux que l'HADOPI, Free !)
Déjà testé, mais les mailing list d'avocats sont peu receptives aux questions Geek. Un tagg JURI sur Frnog peut etre ? pour les questions juridiques et les juristes qui nous lisent ? Le 7 janvier 2013 13:06, Jérôme Benoit jerome.ben...@grenouille.com a écrit : On Sun, 6 Jan 2013 20:07:14 +0100 Benoit Boissinot bbois...@gmail.com wrote: En général pour la partie légale on demande plutôt à un avocat qu'à une mailing-list. Tu peux demander à une mailing list d'avocat, pour cumuler les chances d'avoir une réponse. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] se passer des box FAI : technique, juridique (Was : Mieux que l'HADOPI, Free !)
Le 6 janvier 2013 07:56, Frédéric Perrod frede...@perrod.org a écrit : Qqun a t-il déjà essayé d'utiliser un autre modem/routeur que celui fourni par Free? J'en profite pour forker sur une question que je me pose depuis des mois sans jamais obtenir de reponse claire et exhaustive. Quel est le contexte legal autour de la fourniture de box par le FAI en France ? 1) y-a-t-il une obligation d'utiliser cet équipement ? 2) le FAI doit il fournir les élèments de connexion dans le cas de l'utilisation d'un autre équipement ? 3) tous les services sont ils disponibles dans le cas d'utilisation d'un autre équipement ? 4) peut-on se passer de la STB et utiliser un équipement tierce à la place (TIVOlike, télé connectée) ? En France, je n'ai trouvé qu'un opérateur ayant un peu documenté son offre autour de ça (OVH) puisque c'était l'argument commercial (No Box), mais bon c'est difficilement comparable à une offre grand public (pas d'IPTV, VOD, etc). Expérience perso : en Suisse, les opérateurs fournissent de manière distincte modem-routeur et set-up box. Il est tout à fait possible d'utiliser la STB avec un modem routeur en propre, genre Cisco 8xx, et de conserver les services IPTV, téléphonie via compte SIP. Certains équipements sont même supportés par les FAI, mais les configurations sont soumises à prestation payante (bien qu'on les trouve sur les forums utilisateurs). Lors de la commande, le FAI fournit tous les élèments nécessaires à l'identification sur le réseau (user/pass pour le PPP, @Mac éventuelle pour le DHCP option 82 si filtrage sur l'@Mac, user/pass pour la téléphonie etc). Cela est-il possible en France, pour les opérateurs majeurs (Orange, SFR, Free, Bouygues). Pour les opérateurs alternatifs, je suis certain que c'est possible et même déjà présents, mais les services ne sont pas équivalents (IPTV et VOD notamment). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] se passer des box FAI : technique, juridique (Was : Mieux que l'HADOPI, Free !)
Hello Personne n'a les infos sur la partie légale ? Lorsque l'on prend un abonnement chez un FAI, est-ce que légalement le FAI peut imposer d'utiliser la box fournie ? Est-ce qu'il peut légalement brider certains services, notamment s'ils sont facturés, en imposant l'usage de la box fournie, et interdisant leurs fonctionnement sur un équipement tierce (au hasard la téléphonie) ? A+ Le 6 janvier 2013 15:29, Baptiste Malguy bapti...@malguy.net a écrit : Hello, Le 06/01/2013 13:02, Ben Carrier a écrit : 1) y-a-t-il une obligation d'utiliser cet équipement ? Non n'importe qui peut passer la TrucBox en mode bridge. La Freebox v3 et v5 oui (pas eu les autres) La Livebox v2 apparemment non, ou bien je veux bien le manuel. Du coup, vive la double NAT ... 3) tous les services sont ils disponibles dans le cas d'utilisation d'un autre équipement ? Non, pas de TV. La VoIP reste disponible il me semble (peut être pas tout les FAI) Chez Free, la VoIP en SIP fonctionne à priori ? Chez Orange, j'essaierai le jour où je retirerai la Livebox pour coller directement mon routeur derrière le boitier ONT. Au nez, je pressens que : - la TV fonctionnera (je m'avance ...) - la téléphonie uniquement avec l'appli Livephone sur Smartphone, vu que les specs SIP sont gardées secrètes (je n'ai peut-être pas assez cherché) -- Baptiste MALGUY NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B 3B71 96D8 6328 0B2F 0EA1 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] se passer des box FAI : technique, juridique (Was : Mieux que l'HADOPI, Free !)
Certes mais rien ne t'empeche de spoofer la bonne mac sur un autre equipement pour autant. Est-ce que le FAI peut te le reprocher / couper ton abo ? De ce que j'en comprends si ce n'est pas marqué explicitement dans les CGV, le FAI peut juste te repondre que c'est non supporté et que tu ne peux pas forcement obtenir tous les services. Dans le cas où l'abonnement TV est distinct de l'abonnement Internet ou telephonie (option), c'est du coup plus contestable : peut-on demander a son FAI de ne pas payer cette/ces options si elles sont de fait non utilisables ? Le 6 janv. 2013 23:18, Grosjean Cyril cygrosj...@gmail.com a écrit : Tout les fournisseurs cable crand public impose la box. Impossible de demander de changer les Mac de leur systeme par des customs. Numericable du moins. Le 6 janv. 2013 à 23:14, Etienne R. ff7se...@gmail.com a écrit : Le 6 janvier 2013 05:57, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Quel est le contexte legal autour de la fourniture de box par le FAI en France ? 1) y-a-t-il une obligation d'utiliser cet équipement ? Bonjour, À ma connaissance, il n'y a que Prixtel (qui revends de l'ADSL SFR) qui oblige contractuellement l'utilisation de la box fournie. Je trouve d'ailleurs leur pratique à ce niveau là assez douteuse... Partout sur leur site ils annoncent un à partir de 19,99€/mois, et location de la box à 3€, qui laisse croire que c'est une option... Puis si on prends le temps de parcourir les conditions générales de vente, on tombe sur La fourniture du Service est conditionnée à l’utilisation de l’Equipement mis à disposition du CLIENT. Le CLIENT s’engage donc à ne pas utiliser d’autre Modem que celui fourni par PRIXTEL. [...] Du coup, leur forfait coute réellement 22,99€/mois au minimum --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free !
Dans ce cas le contenu des pubs devient de la responsabilite du webmaster/ responsable editorial non ? Ca peut poser des problemes juridiques du coup ? Le 5 janv. 2013 08:16, Baptiste bed...@gmail.com a écrit : Salut, Si ca va trop loin, on va changer les archis Web pour proxifier les pubs depuis la même IP que le site visité... Et là, la protection par DNS, elle sera inefficace. D'ailleurs, beaucoup ici ont décrié que les pubs sur lemonde.fr n'étaient pas bloquées, allez donc analyser la page d'accueil, et surprise Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free
Le 5 janvier 2013 17:04, Richard BOIX rb...@free.fr a écrit : Il serait plus intéressant de se concentrer sur le quasi-monopole de Google-Gmail (tuyau, apps, data, sécurité...), ça c'est flippant. Personne n'oblige à utiliser les services de Google. Tu peux toujours faire une recherche sur Bing, te faire un compte Hotmail, et regarder des vidéos sur Dailymotion si le coeur t'en dit. Donc monopole n'est pas franchement le mot qui convient (n'en déplaise à nos politiques). Après que Google collecte des données sur tout, tout le monde, tout le temps, ok. Pour autant, est-ce que Google les utilise, les revends, fais pression avec ? Ca fait des années qu'on se l'entends répéter, et puis la catastrophe annoncée est toujours pas là . Ca ressemble plus à de la paranoia de nerd, cette histoire maintenant... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Certifications : Vers quoi/qui se tourner ?
Les certifications Juniper aussi sont bien vues coté réseau. Coté sécu, coté constructeurs, c'est toujours Checkpoint qui est demandé, Juniper un peu moins. Après il y a aussi les certifications non constructeurs (CISSP, entre autres). Coté système, les plus connues, donc les plus vues dans les annonces restent les certifs Microsoft. Dans tous les cas, il faut faire la part des choses entre l'intérêt technique de la certif, et l'intérêt économique (ie est-ce que les recruteurs les réclament, et sont prêt à payer pour). En général, il n'y a aucun lien entre les deux ! :D Le 10 décembre 2012 10:30, Mickael BENICHOU mickael.benic...@epitech.eu a écrit : Bonjour, L'IPv6 est dors et déjà une transition en cours, elle n'a plus rien d'une technologie d'avenir, c'est la génération actuelle de réseau en prod. SDN/Openflow me semble être une technologie d'avenir a bien plus d'égard, j'espère juste qu'il faudra bien moins de temps pour l'implementer en prod que l'IPv6. Concernant les Certifs qui ont de la valeur en entreprise, CISCO et RedHat sont celles que j'ai trouvées les plus valorisantes/valorisées. Cordialement et bonne semaine a tous, Mickael BENICHOU GNS3 Community Manager On 10 déc. 2012, at 08:34, Laurent Laurent laurent.lecomt...@gmail.com wrote: Bonjour à toi. Pour ma part, je pense que pour du Cisco il faut arriver à CCIE. Sinon je ne sais pas si elle existe, mais pourquoi ne pas te spécialiser sur l'IPv6, je ne pense pas vraiment me tromper en disant que c'est l'avenir et d'ici quelques temps cela sera très recherché (et puis ça fait classe sur un CV ;) ) Laurent. Le 9 décembre 2012 23:55, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Vu l'orientation SDN / Openflow / nouvelles fonctionnalités qui n'en sont pas, mais qui nécessiteront d'être un Dieu dans un langage de programmation pour déployer un vlan, une certification en C#, dotnet, et/ou python me semble une bonne approche. :D Celui qui saura se certifier sur Nicira le premier aura un CV en or, moi je vous le dis ! :) Plus serieusement, en France, je n'ai jamais vu une boite comprendre correctement les certifications : les boites peu intéressantes sont capables de sortir des offres du type Expert Cisco, CCNA un plus, et les boites sérieuses n'ont en général aucune confiance dans les certifications (suffit de bachoter les pass4sure). A l'étranger, ce n'est à priori pas le cas, et le CCIE est encore très en vogue, notamment aux US, où les annonces CCIE written + lab sont légions. A voir pour les autres pays. Si c'est juste pour toi, pour le plaisir, le contenu sera toujours plus intéressant que le titre. Un gros plus si tu travailles dans le réseau LAN de Datacenter, et de connaitre l'environnement qui t'entoure : virtualisation, stockage, sécurité (checkpoint, Fortinet, Juniper, Cisco ... que de choses différentes pour un même besoin). Perso, en ce moment, je trouve qu'un ingé réseau qui connait, voire maitrise, VMWare ou HyperV, notamment les couches réseaux, sont des profils rares et pourtant au combien intéressants. Autre profil pas mal : LAN + SAN, sur le Datacenter, encore que FCoE soit pas la techno la plus déployée au monde, mais le SAN c'est vraiment un monde à part, et c'est pas mal même à titre purement intellectuel de connaitre au moins la base sur ce sujet. Sinon, CCIE + JNCIE, ça me parait un minimum, non ? :D Le 9 décembre 2012 23:39, Mathieu Poussin mathieu.pous...@netyxia.net a écrit : Bonjour tout le monde ! Je suis actuellement en B.T.S S.I.O et mon école a la possibilité d'offrir des certifications (pour certaines gratuitement) et pousse d'ailleurs les élèves motivés à se lancer à fond dans le passage de certifications. Je souhaite me spécialiser dans la sécurité réseau et j'ai fait quasiment toutes mes études en alternance dans ce domaine-là (chez un hébergeur web). Seulement je ne sais pas trop vers quoi me tourner. J'ai pour habitude de travailler sur les Cisco ASA mais plus je progresse dans cette plateforme, plus je trouve cette plateforme trop simple et trop limité (je m'attendais à trouver du challenge en recevant mes bouquins CCNP Security mais même pas...). Du coup j'ai commencé à m'intéresser à la concurrence par exemple chez Juniper avec leur gamme SRX. Comme c'était un constructeur que je convoitait depuis quelques temps par les bons echo sur JUNOS. J'ai pu travailler un peu sur cette plateforme et je confirme que les rumeurs sur JUNOS sont bien fondés ! Un pur bonheur. Du coup pour quelqu'un qui aujourd'hui souhaite se spécialiser dans la sécurité réseau, vers quel entreprise faut-il mieux se tourner pour se spécialiser la dedans ? Rester chez Cisco ? Tenter Juniper ? CheckPoint ? (Je n'ai mais vraiment eu l'occasion de travailler dessus, mais apparemment ça reste une plateforme extrêmement couteuse.). Mon
Re: [FRnOG] [MISC] Certifications : Vers quoi/qui se tourner ?
Le 10 décembre 2012 12:20, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : je ne connais pas beaucoup de certifications IPv6 non plus. Chez Cisco ça fait partie du programme des certifications standards. Après, en pratique, ça ne représente qu'une question sur 100 environ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Certifications : Vers quoi/qui se tourner ?
Vu l'orientation SDN / Openflow / nouvelles fonctionnalités qui n'en sont pas, mais qui nécessiteront d'être un Dieu dans un langage de programmation pour déployer un vlan, une certification en C#, dotnet, et/ou python me semble une bonne approche. :D Celui qui saura se certifier sur Nicira le premier aura un CV en or, moi je vous le dis ! :) Plus serieusement, en France, je n'ai jamais vu une boite comprendre correctement les certifications : les boites peu intéressantes sont capables de sortir des offres du type Expert Cisco, CCNA un plus, et les boites sérieuses n'ont en général aucune confiance dans les certifications (suffit de bachoter les pass4sure). A l'étranger, ce n'est à priori pas le cas, et le CCIE est encore très en vogue, notamment aux US, où les annonces CCIE written + lab sont légions. A voir pour les autres pays. Si c'est juste pour toi, pour le plaisir, le contenu sera toujours plus intéressant que le titre. Un gros plus si tu travailles dans le réseau LAN de Datacenter, et de connaitre l'environnement qui t'entoure : virtualisation, stockage, sécurité (checkpoint, Fortinet, Juniper, Cisco ... que de choses différentes pour un même besoin). Perso, en ce moment, je trouve qu'un ingé réseau qui connait, voire maitrise, VMWare ou HyperV, notamment les couches réseaux, sont des profils rares et pourtant au combien intéressants. Autre profil pas mal : LAN + SAN, sur le Datacenter, encore que FCoE soit pas la techno la plus déployée au monde, mais le SAN c'est vraiment un monde à part, et c'est pas mal même à titre purement intellectuel de connaitre au moins la base sur ce sujet. Sinon, CCIE + JNCIE, ça me parait un minimum, non ? :D Le 9 décembre 2012 23:39, Mathieu Poussin mathieu.pous...@netyxia.net a écrit : Bonjour tout le monde ! Je suis actuellement en B.T.S S.I.O et mon école a la possibilité d'offrir des certifications (pour certaines gratuitement) et pousse d'ailleurs les élèves motivés à se lancer à fond dans le passage de certifications. Je souhaite me spécialiser dans la sécurité réseau et j'ai fait quasiment toutes mes études en alternance dans ce domaine-là (chez un hébergeur web). Seulement je ne sais pas trop vers quoi me tourner. J'ai pour habitude de travailler sur les Cisco ASA mais plus je progresse dans cette plateforme, plus je trouve cette plateforme trop simple et trop limité (je m'attendais à trouver du challenge en recevant mes bouquins CCNP Security mais même pas...). Du coup j'ai commencé à m'intéresser à la concurrence par exemple chez Juniper avec leur gamme SRX. Comme c'était un constructeur que je convoitait depuis quelques temps par les bons echo sur JUNOS. J'ai pu travailler un peu sur cette plateforme et je confirme que les rumeurs sur JUNOS sont bien fondés ! Un pur bonheur. Du coup pour quelqu'un qui aujourd'hui souhaite se spécialiser dans la sécurité réseau, vers quel entreprise faut-il mieux se tourner pour se spécialiser la dedans ? Rester chez Cisco ? Tenter Juniper ? CheckPoint ? (Je n'ai mais vraiment eu l'occasion de travailler dessus, mais apparemment ça reste une plateforme extrêmement couteuse.). Mon autre crainte par rapport aux certifications Cisco (mais peut être une fausse crainte ?) c'est que dans ce domaine-là, d'après ce que j'ai cru voir, « Tout le monde est certifié Cisco » et du coup je pense que ça risque de ne pas apporter grand-chose à une entreprise qui risque de se dire « Bon encore un pro Cisco... » alors qu'une expérience et une certifications d'autres entreprises pourraient apporter un plus et un peu de fraicheur ? (Je ne souhaite pas me tourner à 100% dans la sécurité et souhaite garder une certaine polyvalence dans le domaine des réseaux). Qu'en pensez-vous ? Que me conseillez-vous de faire ? Merci ! Cdlt, Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)
Pense aussi tout simplement à Windows si tu es dans un contexte Campus, sans trop de contraintes. Ca me coute de le dire, mais en général, activer le service DHCP et DNS sur l'AD est amplement suffisant (je me deteste pour avoir dit ça). Il semblerait aussi que dans la version Win2012, les deux services aient pas mal évolués, et il y a aussi un service IPAM intégré mais j'ai pas tout testé donc c'est à regarder. Bon ça sera jamais au niveau d'un produit dédié, et encore moins au niveau d'un fait maison en terme de tunning, et d'interop, mais bien souvent, ça suffit bien. A+ Le 1 décembre 2012 19:07, Youssef Ghorbal youssef.ghor...@gmail.com a écrit : En regle generale je dirais oui, il s'agit de deux offres differentes mais dans mon use case, avoir les deux au meme endroit est un avantage. Je ne suis pas dans le contexte operateur mais plutot dans une logique campus. J'ai un ensemble de departement et de de services a qui j'alloue des ss-reseaux (et des vlans) ainsi que des sous domaines et pour lesquel je declare des terminaux (PC, MAC, imprimantes etc) Jusque la une solution IPAM/DNS/DHCP fait tres bien l'affaire. J'arrive a voir le decoupage de mon plan d'adressage et tout est nickel cote DNS. Par contre, si je veux effectuer de l'allocation dynamique de VLAN au niveau des switchs d'acces, et que je me retrouve a utiliser un autre outil, je vais etre amener a dupliquer les donnees (la liste des adresses MAC des postes et leur association aux VLANs) entre les deux outils. Avoir tout au meme endroit est tres avantageux. Je vais jeter un oeil sur Infoblox. Youssef 2012/12/1 vincent clement clement.vincen...@yahoo.fr Pour moi ce n'est pas la même gamme de produit, et il n'y a pas à ma connaissance de tout en un avec ces 2 offres. Pour ce type de besoin, tu as des solutions dédiées type GreatBay Software qui inventorisent ton parc et le catégorise par type de devices (pc windows, pc linux, imprimante, téléphone) et qui range tout ca dans une base LDAP, donc accessible nativement par ta solution de contrôle d'accès (Juniper, Cisco...) qui se charge de faire l'alloc dynamqiue de vlan et l'authentification MAC sur cet annuaire. Vincent -- *De :* Youssef Ghorbal youssef.ghor...@gmail.com *À :* Raphaël Maunier raphael.maun...@jaguar-network.com *Cc :* frnog-t...@frnog.org frnog-t...@frnog.org *Envoyé le :* Samedi 1 décembre 2012 1h56 *Objet :* Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL) Bonjour, J'en profite pour demander si vous connaissez des solutions integree type EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir authentification par MAC et allocation dynamique de VLAN. Youssef -- 2012/11/30 Raphaël Maunier raphael.maun...@jaguar-network.com Pour ma part, je partirais vraiment sur des solutions constructeurs. Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une solution packagé. Il y a eu un fil de discussion sur le sujet récemment, le libre, ne veut pas dire low-cost. Dans le cas de Sébastien, il faut voir s'il a l'équipe staffée pour maîtriser la mise en prod, l'optimisation et le débug. Pour les constructeurs / fournisseurs, je suis plus pour Efficient IP parce que ce n'est pas la grosse boite américaine :) -- Raphaël Maunier Sent from my iPad On 30 nov. 2012, at 14:17, Guillaume Barrot guillaume.bar...@gmail.com wrote: Si tu cherches une solution toute intégrée, efficient IP, sans aucun doute - Webservices déjà intégrés, interfaces sympas, etc. + Infoblox. Deux solutions concurrentes qui ont les défauts de leur qualité. Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du fait maison pour ce genre de besoin. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)
- Provisionning de VLANs et association d'equipements a des VLANs dynamiquement : tous les produits de type NAC. Sachant que meme dans ce cas, il s'agit d'une sous utilisation d'un produits qui fait un millard d'autres choses C'est pas vraiment le boulot d'un DNS/DHCP/IPAM ça, plus d'un radius ou équivalent. A ce niveau tu es déjà dans de l'AAA, et bon, un AD c'est un peu son rôle aussi. Mais le mieux, c'est encore un bon vieux radius (Radiator en perl, ça se bidouille bien à priori) Ce que je trouve dommage c'est qu'il suffit de peu pourqu'un produit tel que EfficientIP ou Infoblox supporte du vlan provisionning ainsi que la fourniture du dynamic vlan provisionning (dans les cas que j'ai vu c'est des VSA a positionner au niveau Radius) La encore, c'est pas le role d'un DNS/DHCP, et tout mettre dans le même soft, ça veut dire maintenance plus compliqué et probabilité de bugs plus grande. == radius, c'est son role. En prime Radiator peut se baser sur une base de données externe, donc rien ne t'empeche de repiquer les infos de ton appliance favorite au format SQL (sous réserve qu'elle supporte les connexions externes). Enfin, un annuaire LDAP en central est censé reprendre toutes ces infos, et tu peux connecter tes appliances DNS/DHCP et ton Radius directement sur ton annuaire, donc une seule base à maintenir. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveur DHCP et base SQL
Si tu cherches une solution toute intégrée, efficient IP, sans aucun doute - Webservices déjà intégrés, interfaces sympas, etc. + Infoblox. Deux solutions concurrentes qui ont les défauts de leur qualité. Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du fait maison pour ce genre de besoin. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] En tant que FAI, preferez vous beaucoup de connexion courtes, ou du keepalive?
Le multicast c'est sur un réseau dont tu as la maitrise. Qu'il soit local ou non. Donc après on dépasse de ta question ;) En pratique, oui, mais en théorie rien n'empeche d'avoir du multicast Inter-AS. Scope IPv6 multicast routable sur Internet : ffxe::/16 En IPv4, les sources sont plus confuses : RFC6034http://tools.ietf.org/html/rfc6034 et RFC3180 http://tools.ietf.org/html/rfc3180 Après le problème est qu'il manque un protocole de routage pour le multicast Inter-AS digne de nom. Il fut un temps où des papiers tournaient sur un BGMP (et non pas MBGP), qui aurait repris le fonctionnement de PIM mais sur un fonctionnement proche de BGP à savoir utilisation de la notion d'AS (AS path, originating AS etc.) En partie normé dans la RFC3913 http://www.ietf.org/rfc/rfc3913.txt, il est depuis bel et bien abandonné (aucune implémentation, pas de nouveautés depuis 2004). Donc en pratique, chaque SP se construit sa propre plateforme IPTV, route les flux en 239.x.x.x, là où en théorie, une boite tierce (voire les fournisseurs de contenu) pourrait router le flux nativement en multicast pour les différents SP, et éviter ainsi de déployer moultes plateformes là où une ou deux par flux suffiraient. Poussez l'idée à Youtube, pour leurs chaines télés ça permettrait de les avoir en LiveFeed plutot qu'en OnDemand. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] filtrage ipv4 au /26
Ah ben v2, de suite ... IPv6 only, n'est toujours pas supporté par Microsoft en version W2012... Le 10 octobre 2012 00:39, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 09/10/2012 23:51, Guillaume Barrot a écrit : Truc fun sur Windows : Windows 2003 : Netsh routing ip ospf == ok, ça passe. Windows 2008 : Netsh routing ip ospf == la commande n'existe plus... Quel fournisseur sérieux peut virer le support d'un protocole de routage d'une version à une autre ??? C'était de l'OSPF v2 ou v3 ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Et puis bon, tout le monde l'avais dit : fin 2012 cay la fin du monde y a plus d'IPv4. Et ca fait plusieurs années qu'on dit : si tu veux pas te payer un mur déploie ipv6... Bon la le mur... il est la... (2cm de toi). Xavier Le seul problème c'est qu'IPv6 n'est pas une solution contre la pénurie d'IPv4. Avec IPv6, tu as des adresses. Cool. Cependant tant que les utilisateurs qui veulent se connecter à tes ressources sont en v4, tu es obligé de conserver un service en v4. Donc ok, si le monde entier était en v6, on aurait pas de soucis. C'est pas le cas, et quoi qu'on en dise, le problème vient surtout des providers grand public. Si vous connaissez en France un fournisseur d'accès Internet mobile qui tourne IPv6, je suis preneur... C'est pas la faute des terminaux pourtant, tous les smartphones récents sont compatibles v6. Pourtant impossible de creer un service v6 only si tu envisages des eyeballs arrivant via un réseau 3G. Donc en attendant que les providers se bougent, on fait quoi ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Pour reprendre un certain rapport de stage, on peux faire l'analogie avec le mur de téléphonie : passer de 6 chiffres a 10 chiffres à permis de sauver la mise avec le nombre croissant de postes (terminaux?) clients. Pas tellement en fait. Impact limité dans l'espace, un seul opérateur concerné ou presque (en 1996, il n'y avait pas autant d'opérateurs alternatifs que maintenant. Meme sur le mobile, il n'y en avait que 2). Et puis surtout : pas de coexistence entre le plan de num à 8 chiffres et celui à 10 chiffres. C'est une bascule brutale, le 18 octobre 1996 à 23h, point. De plus, le protocole en lui même n'a pas changé, c'est toujours la même SIG avant et après, etc, c'est juste l'identifiant qui a changé. Un peu comme si pour passer d'IPv4 à IPv6, on avait gardé le protocole identique, mais on avait changé le codage des champs d'adresse pour le passer à 128 bits. L'analogie du plan de num ressemble plus au passage des ASN de 32 à 64 bits pour le coup, même si pour les ASN on a encore des vieux routeurs non compatibles. Mais le protocole est le meme, on a juste changé la longueur du champ, pour schématiser grossierement. Passer d'IPv4 à IPv6, c'est bien pire : on change le protocole en entier, mais le fond du problème, c'est qu'il n'y a pas une date pour migrer brutalement de l'un à l'autre, mais une cohabitation entre les deux. Et finalement, ça se réduit à ça. Vu qu'on peut cohabiter, je laisse les autres changer, et moi je changerai que quand je serai obligé (parce que couts, temps, risque etc.). Et comme tout le monde se dit ça, ben ça n'avance pas. Finalement on aurait mieux fait de copier le changement du plan de num, et fixer une date de fin de vie à IPv4 avec bascule obligée ... mais techniquement, c'est quasi impossible à faire. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] filtrage ipv4 au /26
En même temps si Windows était un OS avec une couche réseau correctement codée ça se saurait. Truc fun sur Windows : Windows 2003 : Netsh routing ip ospf == ok, ça passe. Windows 2008 : Netsh routing ip ospf == la commande n'existe plus... Quel fournisseur sérieux peut virer le support d'un protocole de routage d'une version à une autre ??? Si il y a une nouvelle RFC publiée, les OS doivent se mettre à jour. Si les gens utilisent des OS obsolètes, eh bien tant pis pour eux. +1. Sinon on fait du réseau en partant du principe qu'il y a encore un mec dans le monde qui tourne un vieux PDP ou un VAX ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] filtrage ipv4 au /26
Je pensais même pas que ça pouvait exister… Personne s'en sert quand même ? Si : http://social.technet.microsoft.com/Forums/en-US/winserverNIS/thread/8026e9e4-57ad-4675-9f2d-73d9cb0dd80a/ Bon après faut un admin system pas manchot, et qui lie des RFC. C'est pas forcement compatible avec le clicodrome windozien, mais aux US, ça doit se trouver. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Si on veut un métier où les choses sont stables et où les best practices ne changent pas, il ne faut peut-être pas être opérateur réseaux... Ouais enfin là, les métiers possibles sont peu nombreux. Même les best practices chez les tailleurs de pierres changent avec le temps ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le seul probleme avec IPv6 c'est que c'est patte blanche sur comment l'utiliser. C'est aussi son grand avantage : ca permet de changer les mauvais habitudes. C'est aussi ces mauvaises habitudes qui freinent l'adoption d'IPv6. (J'entends encore les y a pas de scopes d'ips privés comme la RFC1918 ? Ben c'est moins sécurisé alors). - les link-local ca part d'une bonne idee, mais il faut imperativement savoir comment NE PAS l'utiliser Même chose en IPv4 si tu utilises le 169.254.x.x. Peu de gens le font, mais est-ce intelligent ? (Ex d'utilisation : heartbeat de cluster, réseau pour VMotion sous vmware, réseau de backup local, voire scopes d'interco entre des routeurs sur un réseau privé etc... Lachez vous sur les commentaires, j'ai tellement peu vu ça déployé que les retours seront forcément intéressants) - les site-local sont utiles pour des reseaux qui ne seront jamais et dans aucun cas connectes a Internet (! AIR GAP !) Ouais, c'est l'équivalent brutal de la RFC1918. On sait comment ça s'est fini, avec du NAT-PAT et des proxys. Je vois déjà les fondus de proxy sortants qui vont sauter sur l'occasion pour adresser tous les sites bureautiques en site-local et proxyfier tout ça pour faire comme avant, parce que c'est sécurisé... Ceux qui ont déjà bossé avec des intégristes Microsoftiens et leurs ISA Servers me comprendront. Sans le lobbying de gens comme ça (la sécurité par l'obscurantisme (c) ), on aurait jamais drafté une RFC pareille... Quand tu veux pas connecter un réseau à Internet, ben tu le connectes pas. En filtrant ses annonces BGP, c'est pas si compliqué à faire si ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Dis moi tu es riche toi ! :) Pour des PME ce n'est clairement pas envisageable. C'est marrant, je viens de travailler sur un client qui avait un problème équivalent, mais en IPv4. Deux accès Internet, il veut faire du loadbalancing entre les deux. Bon approche a pas d'argent pour me mettre sur un PI : le client a donc décidé d'acheter des boubouates qui font du loadbalancing WAN. Juste après, et avec les nouveau tarifs du RIPE, il s'est rendu compte que ça lui aurait couté moins cher d'obtenir son PI, de monter 2 sessions BGP. Ben ouais 2 boibouates, ça coute pas rien, mais payer une boite de service pour les configurer c'est encore pire... Avec des ULA tu ne fais pas de NAT non plus. Tu donnes deux adresses à chaque hôte: une adresse ULA pour les besoins internes, que tu n'auras jamais à changer; une adresse globale pour l'accès à internet, qui si elle change ne te posera pas de problème vu que tu n'as pas basé l'adressage de tes ressources internes avec. Donc dès que tu fusionnes 2 boites, tu vas adresser une Global Unicast sur toutes les machines ayant besoin de communiquer entre elles, dans les deux boites. Comment tu fais si tu as 1 machine dans un vlan, au milieu de centaines d'autres qui ne sont pas concernées ? Tu déploies un plan d'adressage Global juste pour elle ? Donc dans ton réseau, il n'existe que deux notions : visible depuis tout le net (et firewall devant si c'est pas le cas), ou privé. Mais visible que depuis certains partenaires, sans etre annoncé à tout le web, c'est pas possible ? On en revient à la discussion d'il y a quelques jours : c'est pas parce qu'une boite a obtenue un /8 il y a 25 ans, qu'elle annonce tout le scope sur le net, et inversement, c'est pas parce que tout le scope n'est pas annoncé qu'il n'est pas utilisé... Même principe en IPv6. @Radu : les habitudes ont la vie dure ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Apres la fin du dernier /8 ipv4
A la lecture de toute cette discussion, un truc me turlupine. Je n'ai pas la prétention d'avoir été là quand l'IP est née, mais j'ai toujours pensé que la RFC 1918 était une verrue arrivée dans un second temps à cause de : - la sécurité par l'obscurantisme (ie la sécurité par les gens qui ne maitrisent pas ce qu'ils annoncent) - les premiers signes de penurie d'IP, et son pendant : le PAT. Si on prend toutes ces structures déjà nommées qui ont obtenu un /8 à l'origine, et pour en connaitre au moins une indirectement, tout est en adressage publique y compris les badgeuses et les imprimantes. Ceci dit, les regles de sécurités, à commencer par les annonces BGP font que tous les scopes en IP publiques ne sont pas annoncés (quel intéret d'annoncer sur le net le scope des badgeuses ...). Il y a encore des monceaux de trucs que j'ai pas compris en IPv6, car pour moi c'était simple (pas de NAT, que du public) mais des benêts ont été pourrir tout ça avec du NAT66 et autre scopes site local etc. Je reprends l'exemple d'une structure qui a eu son /8 à l'époque. Passage en IPv6, toute la structure de routage est dors et déjà correcte, on peut déployer du global unicast partout de son /48 ou /32, et pour autant on sait que la sécurité a déjà été validée sur cette structure. Avec le petit plus que même si une annonce BGP est incorrecte faisant que le scope des imprimantes est annoncées sur le net, il est beaucoup plus compliqué de faire un port scan sur un /64 IPv6 que sur un /24 IPv4. Bref, j'avais l'impression que les boites qui avaient eu leur /8 fonctionnaient correctement, et que c'est tous les réseaux postérieurs à cette possibilité qui était de gros bricolages à base de RFC1918 et de PAT. Je me trompais surement... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Sup720-3BXL et préfixes v4
Hello 600MB pour du PCI ? Pas en PCIe3.0 alors :D On est plutot sur du 1000Mo/s par ligne théorique. Il y aura bien des cartes N x 10GE qui vont sortir en PCIe3.0 x8 ou x16, je pense. Après il y a aussi les cartes ethernet avec du SoC intégré qui permettent d'envisager de décharger le traitement directement au niveau de la carte (lookup, etc.) A+ Le 28 septembre 2012 10:00, Thomas Mangin thomas.man...@exa-networks.co.uka écrit : Salut Antoine, Et en PPS - packets per seconds - STP ? Les MB ne veulent pas dire grand choses de nos jours (tant que tu ne dépasses pas la capacité du BUS de la machine - aux alentour de 600 MB pour du PCI ?), si tu as une DDOS les PPS qui vont tuer ton infra. Un J series passe très bien les MB aussi, c'est n'est pas bcp plus cher qu'un PC non plus. Personnellement je préfère Bird a Quagga mais je ne vais pas recommencer cette discussion :D Thomas On 28 Sep 2012, at 08:35, Antoine GANCEL anto...@gancel.net wrote: Bonjour, Nous utilisons le couple debian/quagga et nos BGP tiennent très bien la charge avec 400 à 600Mo de transit par BGP et plusieurs transitaires Nous utilisons aussi nos BGP pour nous interconnecter avec nos clients en AS public ou privé sans problème particulier. Cdt, Antoine. - Mail original - De: OCEANET - Cédric BASSAGET ced...@oceanet.com À: frnog@frnog.org Envoyé: Vendredi 28 Septembre 2012 09:18:52 Objet: Re: [FRnOG] [TECH] Sup720-3BXL et préfixes v4 Bonjour à tous, Nous sommes actuellement en train de réfléchir au remplacement de nos routeurs BGP (actuellement 2 routeurs cisco 29xx), et nous nous posons la question suivante : doit-on partir sur du cisco / brocade / juniper, ou sur une solution type vyatta ? Nous avons actuellement 3 transitaires (dont 2 full view) et atteignons une centaine de Mo de transit. L'argument financier penche en faveur de quagga, mais quid des performances et de la fiabilité ? Je n'ai pas l'impression que ce type de produits soit très répandu chez les opérateurs (régionaux), ais-je raison ? Merci pour vos retours Cédric Le 27/09/2012 21:09, Jérémy Martin a écrit : Ici, on a fait le choix de partir sur Brocade avec l'excellent conseil d'ATE. Le 2024C-RT marche à merveille et peut gérer 1.5M de route. Bref, on devrait être tranquille pour une transition complète vers l'ipv6. Par contre, on a du casser notre tirelire et celle du voisin avec ... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 27/09/2012 20:36, Salim Gasmi a écrit : Bonsoir, Le nombre de préfixes v4 annoncés en BGP augmentant régulièrement, j'ai du reconfigurer le partitionnement de la TCAM de mes cisco 7600 équipés de sup720-3BXL. Toutefois, en regardant le graph de l’évolution du nombre de préfixes ici: http://bgp.potaroo.net/as6447/ on voit bien l’accélération. Mon sentiment est qu'avec la rarification des ipv4 on va avoir de plus en plus de désagrégation et que cela va encore accélérer dans les prochains temps. Sans jouer à madame Irma, pensez vous que les 800K préfixes soient possible ou vous avez des arguments qui militent pour une stagnation ? Car si on devait atteindre les 800K, il faudrait pour les possesseurs de 720-3bxl comme moi penser à passer a autre chose et la je me demande bien quoi choisir en restant chez cisco . Comme j'aime bien anticiper les problèmes, si vous avez des suggestions ou conseils je suis preneur. Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Sup720-3BXL et préfixes v4
En PCI3, on est passé sur un encodage 128/130 à la place du 8/10 historique, donc l'overhead est de l'ordre de 1,5%. Le débit annoncé en PCIe est de 1000Mo/s et par ligne. On parle bien de Mo, donc ~8000Mb/s. Sur une carte x8, ça nous donnerait un débit théorique de 64Gb/s, donc je pense qu'une carte N x 10Gb/s doit tenir ! En PCIe 2.0, il y a déjà des cartes 2 x 10Gb/s, donc on peut espérer qu'en PCIe 3.0, on aura des cartes 40Gb/s ou 4 x 10Gb/s, non ? Après je suis d'accord, il est peu probable qu'un serveur basique sache réellement exploiter le potentiel du bus, et il y aura probablement une contention plus loin. Le 28 septembre 2012 10:23, Thomas Mangin thomas.man...@exa-networks.co.uka écrit : Salut, Chacun fera ses maths pour trouver la limite de sa machine: frequency * bitwidth = bandwidth Mais si PCI c'est 500MB - et pas 600MB :p : a x16 cela ne fait que 8000 MB/s donc pas de 10GB a line rate. Et en effet, a ces vitesses il faut de l'offloading de CRC, interrupt grouping, et tout le tralala pour que ca marche :) Thomas http://www.naplestech.com/shopcart/bus_speeds.asp On 28 Sep 2012, at 09:08, Guillaume Barrot guillaume.bar...@gmail.com wrote: Hello 600MB pour du PCI ? Pas en PCIe3.0 alors :D On est plutot sur du 1000Mo/s par ligne théorique. Il y aura bien des cartes N x 10GE qui vont sortir en PCIe3.0 x8 ou x16, je pense. Après il y a aussi les cartes ethernet avec du SoC intégré qui permettent d'envisager de décharger le traitement directement au niveau de la carte (lookup, etc.) A+ Le 28 septembre 2012 10:00, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Salut Antoine, Et en PPS - packets per seconds - STP ? Les MB ne veulent pas dire grand choses de nos jours (tant que tu ne dépasses pas la capacité du BUS de la machine - aux alentour de 600 MB pour du PCI ?), si tu as une DDOS les PPS qui vont tuer ton infra. Un J series passe très bien les MB aussi, c'est n'est pas bcp plus cher qu'un PC non plus. Personnellement je préfère Bird a Quagga mais je ne vais pas recommencer cette discussion :D Thomas On 28 Sep 2012, at 08:35, Antoine GANCEL anto...@gancel.net wrote: Bonjour, Nous utilisons le couple debian/quagga et nos BGP tiennent très bien la charge avec 400 à 600Mo de transit par BGP et plusieurs transitaires Nous utilisons aussi nos BGP pour nous interconnecter avec nos clients en AS public ou privé sans problème particulier. Cdt, Antoine. - Mail original - De: OCEANET - Cédric BASSAGET ced...@oceanet.com À: frnog@frnog.org Envoyé: Vendredi 28 Septembre 2012 09:18:52 Objet: Re: [FRnOG] [TECH] Sup720-3BXL et préfixes v4 Bonjour à tous, Nous sommes actuellement en train de réfléchir au remplacement de nos routeurs BGP (actuellement 2 routeurs cisco 29xx), et nous nous posons la question suivante : doit-on partir sur du cisco / brocade / juniper, ou sur une solution type vyatta ? Nous avons actuellement 3 transitaires (dont 2 full view) et atteignons une centaine de Mo de transit. L'argument financier penche en faveur de quagga, mais quid des performances et de la fiabilité ? Je n'ai pas l'impression que ce type de produits soit très répandu chez les opérateurs (régionaux), ais-je raison ? Merci pour vos retours Cédric Le 27/09/2012 21:09, Jérémy Martin a écrit : Ici, on a fait le choix de partir sur Brocade avec l'excellent conseil d'ATE. Le 2024C-RT marche à merveille et peut gérer 1.5M de route. Bref, on devrait être tranquille pour une transition complète vers l'ipv6. Par contre, on a du casser notre tirelire et celle du voisin avec ... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 27/09/2012 20:36, Salim Gasmi a écrit : Bonsoir, Le nombre de préfixes v4 annoncés en BGP augmentant régulièrement, j'ai du reconfigurer le partitionnement de la TCAM de mes cisco 7600 équipés de sup720-3BXL. Toutefois, en regardant le graph de l’évolution du nombre de préfixes ici: http://bgp.potaroo.net/as6447/ on voit bien l’accélération. Mon sentiment est qu'avec la rarification des ipv4 on va avoir de plus en plus de désagrégation et que cela va encore accélérer dans les prochains temps. Sans jouer à madame Irma, pensez vous que les 800K préfixes soient possible ou vous avez des arguments qui militent pour une stagnation ? Car si on devait atteindre les 800K, il faudrait pour les possesseurs de 720-3bxl comme moi penser à passer a autre chose et la je me demande bien quoi choisir en restant chez cisco . Comme j'aime bien anticiper les problèmes, si vous avez des suggestions ou conseils je suis preneur. Cordialement, --- Liste de
Re: [FRnOG] [TECH] Switch pour GIX local
Oui enfin comme tu ne feras que du niveau 2 dessus, un 2960G fait tout aussi bien l'affaire. 2960-S, avec des uplinks 10G. Sinon, il y a la gamme Cisco Small Business (SGE2000 par exemple), qui bizarrement partage les mêmes performances annoncées avec les 2960S (même hardware ?). Faut pas etre allergique à la GUI Web par contre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch pour GIX local
Le besoin c'était pas des ports Giga ? Parce que là, c'est joli, mais ça coute combien pour la version de base ? 2012/9/24 Romain DEGEZ romain.de...@smartjog.com On 09/24/2012 04:08 PM, David Ramahefason wrote: Bonjour, chez Brocade tu as la gamme ICX6650: 1U, 56 ports SFP+ (1G/10G), 4 ports QSFP+ fonctionne en MCT, fait du routage basique. Pas 4, mais 6 ports QSFP+ Front: 56 dual-speed 1/10 GbE ports Back: 6 QSFP+ slots: four 40 GbE and two 4×10 GbE ports (QSFP breakout cable) Et ça fait du pay-as-you-grow également, avec une base de 32x10G. Base: 32x10G - Upgrade 40x10G - Upgrade 48x10G - Upgrade 56x10G - Upgrade 56x10G+6x40G Et ça fait de l'OSPF du BGP (en IPV6 of-course) 64k Mac ECMP 8 paths 8k IPv4 routes 2k IPV6 routes Sflow ... -- RD --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch pour GIX local
2. Pour TRILL, il me semble qu'il faut monter la fabrique, et ca sur les liens longues n'a pas l'air d'etre possible que sur les modeles 60 ports. C'est du vrai TRILL chez Brocade ? J'avais cru comprendre que c'était un truc propriétaire basé sur FSPF ? (Donc pas d'interop possible avec le reste des constructeurs ...) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Maintenant qu'on a tous IPv6 et RPKI, déployons LISP (Was: Annonces BGP /
Je me lance avant vendredi et je pose la question méchante. 1) Combien d'abonnés à cette liste ont LISP en production ? La norme n'est pas encore définie, il reste des pans entiers de sujets non traités (au hasard le multicast) qui font que justement c'est difficilement déployable sur un réseau de Prod. (Selon Dino Farinacci, il fallait carrément écrire le code en 2011, rien n'avait encore été commencé. Ca surement changé depuis). Dans mon cas, cela avait été une contrainte trop lourde pour se lancer en 2011. La topologie n'était pas encorefixée (ALT vs DDT) en 2011. Or la topologie DDT, très proche de celle des DNS, était super élégante, et intéressante. Cependant la faiblesse des déploiement open source pour le Map Server rendait la solution trop dépendante d'implémentations constructeurs sur des plateformes pas franchement optimisées pour (qui ferait tourner son service DNS sur un ASR1000 ?). Tout cela date de plus d'un an, mais un petit update ferait pas de mal. Ceci dit, à part des Early Adopters (les plus connus étant Facebook, vu qu'ils ont communiqués sur ce sujet), il n'y en aura pas des masses, surtout en France (à part Free, surement avant les autres, comme d'hab). 2) Combien d'abonnés à cette liste ont un banc de test LISP avec au moins trois routeurs ? Un banc de test LISP local a, à mon sens, un intérêt très limité. Pour ceux qui voudraient se lancer sur du test plus parlant, il y a le beta network de Lisp : http://www.lisp4.net/beta-network/ Il y a déjà quelques points de présence en France et pas mal en Europe. Parmi les lecteurs du FRnog, certains sont actifs sur ce network, et pourraient éventuellement nous présenter ce qu'il s'y passe, et comment s'y raccorder (si tenté que ce soit possible encore aujourd'hui). Il y avait eu une excellente présentation sur la partie théorique au FRnog 18, qui pourrait donner une suite dans un prochain meeting en une présentation plus pratique sur comment monter ou se raccorder à une infra de tests, et la possibilité (et les limites) de déployer LISP en pratique. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Annonces BGP / désagrégation de préfixe
Les opérateurs qui n'ont toujours pas été capables de déployer IPv6 arriveront à déployer LISP ? Arrête, on n'est que lundi ! C'est clair que c'est le pot à Troll ce sujet... Je connais des opérateurs qui n'ont toujours pas abouti un projet de déploiement IPv6 car ils n'y voient pas d’intérêt (il faut une réponse de type le client y gagne ceci ou les gains financiers sont de tant). Alors mettre LISP dans une équation équivalente ... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Téléphones et paranoïa
Pourquoi devrait-il être multi-plateformes ? Il y a, quoi, trois plate-formes à gérer (iOS, Android et peut-être Blackberry ou Windows Phone). Faire trois malwares est certainement moins de travail que d'en faire un portable... On oublie donc les téléphones Nokia historique, etc. Si le but est d'espionner, on ne peut pas limiter le champ d'action à un catégorie de téléphone, sous pretexte qu'il s'agit des best seller actuels. Il y a encore enormement de téléphone 2G en circulation, ne l'oublions pas. C'est une protection mais elle est loin d'être parfaite. Un peu d'ingéniérie sociale (« voyez la nouvelle version d'Oiseaux Pas Contents 3D ! ») et l'appli est installée. On est d'accord, mais télécharger des sources non sures, sur un OS connu pour ses faiblesses est un acte volontaire ! Bref, c'est très peu crédible (pour rester gentil et correct, pas dire direct que c'est de la science fiction). Euh, des trucs de ce genre se sont déjà faits et pas qu'une seule fois. Je parlais du fait d'écouter simultanément les micros de centaines de milliers de téléphone (sujet de départ, mais on dérive). Le fait que les téléphones soit attaquables par des malwares permettant de détourner des fonctions du téléphone, notamment le GPS, collecter les users/mot de passe des comptes, ou même écouter le téléphone, ça pas de soucis, c'est une menace présente. Bref faire ça unitairement pour espionner UNE personne en particulier, ok, c'est possible, et même probablement déjà fait. Mais faire ça à grande échelle pour espionner les conversations de tous les possesseurs de smartphone et y detecter des mots clefs, ou autre, là j'ai un *gros *doute. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Téléphones et paranoïa
- Lorsqu'un GSM n'est pas en communication (cad allumé, mais dans une poche par exemple), est-il possible pour certaines organisations d'écouter via le micro du téléphone ? Techniquement c'est surement faisable, puisqu'il est possible d'utiliser le micro pour par exemple faire une recherche via la reconnaissance vocale. Il est donc possible techniquement d'imaginer une application permettant de rediriger le flux audio du téléphone vers un fichier, ou un enregistrement sur le réseau data. Avec les websockets en HTML5, on peut même le faire sur une page web, en ouvrant un socket vers le serveur, et en copiant dans un fichier distant je pense, mais je suis pas spécialiste de cette techno. Evidemment, ça laisserait quand meme pas mal de traces. Maintenant on peut toujours imaginer un virus permettant de faire ça, mais bonjour le code pour qu'il soit portable multiplateforme (à part en Java, ça serait pas facile) Maintenant, deux choses : 1) - le code source d'Android etant publié, je pense qu'on aurait trouvé depuis longtemps les lignes de codes faisant ça; il faudrait donc sur ces téléphones installer une appli tierce. Il faudrait donc un acte volontaire. Sur les autres OS, cela ferait éventuellement parti du code OS. 2) - dans tous les cas, cela laisserait une empreinte réseau assez flagrante : consommation data alors qu'aucune appli data n'est lancée, et vu le trafic, on arriverait rapidement à comprendre qu'il s'agit d'un programme permettant de copier l'entrée audio vers un serveur distant. En supposant que le flux soit crypté pour camoufler un peu l'appli, cela génererait une grosse charge CPU, et sur un smartphone passe encore (mais bon ça se verrait), mais alors sur un téléphone de génération plus ancienne bon courage... Ensuite, il reste à expliquer où on copierait ces données (la destination serait facilement traçable, et l'identité rapidement découverte), et pour en faire quoi. En France, on avait 56.6 millions de clients en 2009. Partons sur 1% de clients espionnés en simultanée, on tourne à 56 capture de flux audio... en simultané. C'est pas évident de trouver une plateforme pour copier 56 entrée audio en live, et tout ça sans que ça se sache. Si sur cette plateforme, tu fais tourner des algorithmes pour analyser le flux audio et trouver des mots clefs (à supposer qu'ils existent, et soient fiables, ce dont je doute. Ca existe des serveurs Siri ? :D), ça doit prendre tout Globalswitch à Clichy pour heberger tout ça. Pas facile à camoufler du coup. Si c'est fait en manuel, cela represente 56 personnes pour écouter les communications en live. La encore, pas facile à cacher. Bref, c'est très peu crédible (pour rester gentil et correct, pas dire direct que c'est de la science fiction). - Même question lorsqu'il est éteint ? De toutes façons, ça doit dépendre des modèles... - Certains poussent même le vice encore plus loin en affirmant que même batterie retirée, il est toujours possible d'écouter. Y a même une nana qui a appelé le service client d'Apple pour le confirmer qu'il y avait des GPS dans les batteries des iMac pour tracer les gens. Et même aux US, on verrait des extraterrestres aux abords de base aérienne. Ecouter les rumeurs n’empêchent pas d'avoir un minimum d'esprit critique... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Téléphones et paranoïa
localiser un téléphone, une triangulation avec les 3 antennes les plus proches, et hop, finito. Mais, cela nécessite-t-il que le mobile soit en communication ? Et pour quels genres de cas font-ils ça ? D'après moi historiser pour tous les GSM, tout le temps. Pas besoin d'être en comm évidemment, ta position étant toujours transmise aux cellules autrement tu ne recevrais pas d'appel entrant ! Du point de vue opérateur, il faut que le téléphone soit connecté au réseau (pas besoin qu'il soit en communication), mais la précision reste de l'ordre de la cellule (ou DES cellules par lequel le téléphone est vu). Du point de vue du téléphone, si il est équipé d'un GPS, n'importe quelle appli locale peut récuperer cette info, et l'archiver localement sur le téléphone. Après il suffit d'envoyer les infos stockées en local vers un serveur distant pour avoir un historique complet. On peut compléter l'info avec la vision réseau opérateur (si le GPS est désactivé), la visibilité de hotspot wifi, puis avec l’accéléromètre des derniers smartphones, il suffit d'une position ponctuelle pour en déduire les positions suivantes pendant un certain laps de temps (donc pas besoin d'avoir une géolocalisation constante). Au hasard, c'est ce que fait Latitude de Google Maps. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
finalement l'ipv6 n'est dispo que sur les ACE30. Je confirme, il faut un upgrade hardware de la carte. Cela dit, tu peux passer d'une ACE20 à une ACE30 en rajoutant la carte fille qui va bien http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/product_bulletin_c25_632385.html http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/tech_overview_c17-688041.pdf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
L'offre Brocade serveriron adx est mature robuste et très performante..et la nouvelle release permet de virtualiser le lb en n lb indépendants..je prêche pour ma paroisse ! C'est de la vraie virtualisation, ou c'est encore un mécanisme de contextes ou autre cloisonnement sans possibiliter de faire tourner plusieurs OS différents ? Si c'est de la vraie virtualisation, est-ce que c'est sur la base d'un hyperviseur connu (genre KVM) ou sur un hyperviseur propriétaire ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Y avait F5 qui avait un proto basé sur KVM, dispo sur Viprion, et le haut de gamme de la marque. Je ne sais pas s'il est finalement sorti. Radware nous avait présenté ça aussi, mais pas vu de démo en vrai, pour voir ce que ça donne. Cisco, c'est du pur contexte (sympa quand on doit faire un upgrade, d'impacter tous les clients en même temps). A10 ? Les solutions soft ont cet avantage : on installe un KVM, Xen ou VMware, et on fait ce qu'on veut. On peut même mixer plusieurs constructeurs en fonction des besoins. Le 24 août 2012 09:33, Baptiste bed...@gmail.com a écrit : En général, c'est du contexte. Radware semble avoir développé son propre hyperviseur sur ses boitiers, qui ne sait faire tourner que ses VMs. a+ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour les solutions soft, j'ai un petit probleme avec le mode reverse-proxy, mais il semble que je suis parmi les derniers a vouloir avoir l'IP du client sur les serveurs. Ce qui est possible avec les solutions hard, mais nullement avec les solutions soft. Ah le fou, l'IP du client dans les logs ! :D X_Forward n'existe que sur HTTP, j'en conviens, mais il doit etre présent sur les reverse-proxy sérieux, non ? Après pour d'autres proto, je te l'accorde, c'est pas la panacée, mais il y a peut etre des equivalents ? Sinon, j'en reviens à ma question de départ : quelle topologie pour le déploiement ? En one-armed basique, tu ne dois pas avoir le problème de translation, non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 12:48, Baptiste bed...@gmail.com a écrit : Il existe des modes coupures (ou 2 arms) ou le LB est capable de présenter l'IP du client à la connexion au serveur. Ca demande de changer la DG du serveur pour que le traffic repasse par le LB. Ca s'appelle le transparent proxy. Avec des loadbalancers hardware, ça me parait la solution la plus simple. Par contre ça revient à dire qu'en plus d'etre un loadbalancer, c'est aussi un routeur (ce qui me parait évident, mais pas à tout le monde). Après pour du pur soft, du proxy one-arm ne permet pas de faire ça au niveau 3. Vous supportez quoi comme re-writ niveau 7 à ce sujet : XFF ? X-Originating-IP ? Des soucis connus à l'utilisation de ces protos ? (Perso j'en ai eu avec du Weblogic : XFF activé, la latence applicative était multiplié par 10-20. Le serveur ne sachant pas lire le champ, il partait en cacahuete pendant plusieurs centaine de millisecondes, à chaque requete). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
à mon avis héberger autant de millions de user par boitier... c'est mal distribuer son trafic :) +1, on est pas en Chine non plus ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 18:04, Christophe HUBERT christophe.hub...@agarik.com a écrit : En effet, combien de clients pour ce type d'archi ? Il faut pas oublier que le LB, ca commence a partir de 2 serveurs. Et qu'un client a 2 serveurs n'a pas les moyens de depenser 10 fois le prix de ses serveurs dans une appliance. Ca peut aussi etre 2 VM LB + 2 VM Web sur le meme host, ou sur 2 serveurs physiques en Cluster. Quant a l'hyperviseur, un KVM coute pas tres cher :D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
alors mélanger du nat64 et du offload ssl avec du multiplexage tcp je demande à voir moi j'appelle pas ça du nat mais un proxy ou alors j'ai raté un truc je me demande aussi quel pourrais être l’intérêt ? si en plus on insert un Xforwarded-for pourquoi faire du nat64 ? +1 Le couteau Suisse a 45 lames, a part MacGyver, personne n'arrive à s'en servir, et ça deforme les poches. Perso, je prefere un couteau et une fourchette dédiée pour manger... pour faire du réseau aussi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Oui, sauf qu'un LB c'est avant tout un boîtier qui fait de la NAT dans tous les sens, à haute perf. Bon ben, quand il y a quelques années, un gros ISP est venu voir A10 pour qu'on adapte notre code pour faire ce genre de manip, et bien A10 l'a fait, et chance pour A10, ça a bien fonctionné, en plus pour ds-lite, 6rd, et nat64/dns64, en stateful, pour que les failovers soient transparents Bullshit detected, 6rd est purement stateless par construction. Ou alors A10 sort des boitiers quantiques qui changent les RFC à la volée ? (http://www.ietf.org/rfc/rfc5969.txt == c'est juste dans la partie Intro, http://tools.ietf.org/html/rfc5569) De plus pour DS-Lite, le nat est purement optionnel, donc faudra m'expliquer comment un boitier qui fait du nat dans tous les sens est optimisé par nature pour un truc qui n'en est pas. Mouais, pas du tout convaincu. --- Liste de diffusion du FRnOG http://www.frnog.org/
