Re: [FRnOG] [TECH] IP publiques en RFC1918 et RTS
Salut le Groupe, RTS, ce ne serait pas « Return To Sender » (Mac Address) ? Il me semble que cette fonction était très utilisée à la fin des années 90, quand pas mal de grands groupes ont justement voulu se connecter sur internet avec des plan d’IP non RFC-1918 compliant… Je ne sais plus quel fabricant/éditeur avait introduit ça, sur du Routeur, FW ou du Proxy ou du LLB ? Après la re-numérotation de plans IP si c’était simple, ca se saurait, il suffit de poser la question à pas mal de grands groupes pratiquant la fusion/acquisition, ils ont même des équipes dédiées en général, notamment pour gérer cela lors de l’acquisition de nouvelles filiales... Tout le monde n’a pas la chance d’avoir eu des situations idéales comme les tiennes, Philippe... Bref encore une verrue du même acabit que la SNAT pour retarder l’avènement d’IPv6 ! ;-) Manuel Martinez > Le 10 juin 2020 à 03:58, Michel Py a > écrit : > >> Philippe Bourcier a écrit : >> Pour avoir renuméroté/fusionné un réseau entier (~3 objets IP, 400 >> sites, plusieurs continents), franchement, c'est pas la mort... > > J'ai un job pour toi :-) Combien tu veux ? > > On m'a offert un salaire mirobolant pour faire une renumérotation, je n'ai > pas pris le boulot; un des avantages d'être vieux et con est finalement qu'il > y a une partie mieux++ que d'être jeune et con, qui à tendance à renifler les > pièges à con. Il n'y avait pas le parachute doré dans le contrat. Renuméroter > un réseau d'eyeballs, je peux faire. Renuméroter un réseau d'entreprise, je > croyais que je pouvais faire. > > On embauche des programmeurs Cobol et des ingés réseau qui connaissent SNA. > Telnet3270, tu connais pas ? > > Tout dépend du contexte. En 6 mois, on peut faire environ 6 réunions qui > décident de la date de la prochaine réunion. J'ai foiré des dizaines de > réunions parce qu'il n'y avait pas le quorum. > > Tu devrais regarder "Les Douze Travaux d'Astérix". Il y a beaucoup de > marbrerie, dans l'armée. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - Il a Free, il a pas tout compris
Bonjour, Pour mes beaux parents, dans la même situation sur une offre RED qui leur permet d’avoir du 40 mbps 4G au lieu de... rien d’autre, à 15km du NRA en montagne, j’ai testé un peu tout ce que j’ai trouvé il y a 6 mois. Avec un petit challenge, que ca tourne sur un Pi Zero W, idéalement juste avec l’interface wifi du PiZero qui ne supporte pas de mode bridge, faut le savoir… Avantage, le Pi ZeroW est alimente par le port USB de la box 4G. (1 seul fil pour joli papa, c’est plus simple….), et c’est le moins cher !!! * OpenVPN: Consomme a mort de CPU, mais simple à configurer et demande un serveur relai quelque part, détecte mal les coupures de connexions liées au CGN * SSH Tunnel: le plus léger en CPU, ultra simple à configurer mais demande un serveur relai quelque part, détecte a peu près les coupures de connexions liées au CGN * Hamachi: simple et léger en CPU, mais demande une NIC en mode bridge, détecte a peu près les coupures de connexions liées au CGN * ZeroTier: un peu plus compliqué, et lourd en CPU mais fonctionne, détecte mal les coupures de connexions liées au CGN * Wireguard: très léger en CPU, ultra simple à configurer mais demande un serveur relai quelque part, Heart beat natif, pour gérer les coupures de connexions liées au CGN (magique) Je ne connaissais pas TailScale mais je vais regarder, car au final j’ai pris Wireguard avec un relai sur un Unraid chez moi qui sert de NAS, VM, Docker, Plex, etc... Sinon, pour tout ce qui est webhooks en domotique, il ya ce bon vieux Ngrok qui fait le job, et c’est dur de faire plus simple/moins cher pour quelques requêtes par jour. Manu. Le 30 avr. 2020 à 14:09, Stéphane Rivière mailto:s...@genesix.org>> a écrit : My 2 cents: dans des situations similaires, je mets en place un bête openvpn qui se connecte depuis une machine sur le réseau local (typiquement la passerelle domotique), vers une machine à l'extérieur. Pour me connecter sur le réseau local, je rebondis sur cette machine extérieure (via un reverse proxy pour HTTP, ou via un ProxyJump SSH). Ça fonctionne très bien. +1000 et plein d'exemples sur le net. -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Google Proxy ?
Bonjour Le groupe, Je me permets de déterrer ce vieux thread, car quelle ne fut pas ma surprise lorsque je découvre par hasard ce matin en utilisant google dans Safari sur iOS, donc pas dans chrome ni dans Android, qu’un certain nombre de liens sont précédés par une petite icône ronde avec un éclair, et qui me renvoie le contenu à travers une connexion SSL proxy Google, y compris vers des sites comme https://lesnumeriques.com, ou https://www.zone-numerique.com, ou encore eux même en SSL. C’est moi ou ca s’appelle du man-in-the-middle, à priori, non? Ce qui est top, c’est que sur un smartphone, on ne fait vraiment pas trop attention à ce qui est écrit dans la barre d’URL(google.fr<http://google.fr>), donc ca passe crème cette histoire. Et autre bizarrerie, c’est que toutes les pages de ces sites n’utilisent pas forcément cette propriété... Essayez sur votre tel, dans la barre de recherche (avec google) tapez « loewe oled » et vous en trouverez plein pour voir ce truc fonctionner. Donc en farfouillant, on se rend compte que la fonction/protocole Google AMP Viewer (Accelerated Mobile Pages cf. https://support.google.com/websearch/answer/7220196) qui rend possible ca de manière tout à fait normale et sans aucune alerte pour l’utilisateur, avec un CDN d’optimisation mise à disposition gratuitement par le gentil Google, qui ne veut certainement pas récupérer mes données perso. Ca pourrait expliquer le phénomène relevé par ce thread, et confirmer d’autant plus les dires de D. Ponzone et W. Manga… Ce qui me chagrine en plus c’est qu’on ne parle plus d’utiliser un OS ou un browser spécialement conçu par google, mais un service utilisé par défaut par de nombreuses personnes aujourd’hui, sans aucune méfiance… C’est mal quoi... Manuel Martinez Le 17 oct. 2017 à 20:02, David Ponzone <david.ponz...@gmail.com<mailto:david.ponz...@gmail.com>> a écrit : Oui Willy, j’ai confirmé il y a peu que c’était ça à priori :) David Ponzone Le 17 oct. 2017 à 19:59, Willy MANGA <mangawi...@gmail.com<mailto:mangawi...@gmail.com>> a écrit : Bonjour, Le 17/10/2017 à 08:39, David Ponzone a écrit : Bonjour tous, Je viens de voir des requêtes sur des sites chez nous venant de 66.249.93.17 dont le reverse est google-proxy-66-249-93-17.google.com<http://google-proxy-66-249-93-17.google.com>, et à priori ce sont des clients à nous qui se sont connectés de cette manière. J'ai trouvé des références à des techniques pour utiliser des proxy chez Google datant d'il y a 3 ou 4 ans (http://www.gmodules.com/ig/proxy?url=….) mais ça ne marche plus à priori. Il y a un moyen officiel (simple à mettre en oeuvre) d'utiliser les proxy Google (genre avec un plugin Chrome que j'aurais raté) ? Est-ce que tu ne ferais pas référence à la fonctionnalité présente dans Chrome (sur mobile uniquement ?) d'activer l'option «économiseur de données» ? Celle-ci en réalité place toutes les requêtes justement derrière un proxy de google ... -- Willy Manga @ongolaboy https://ongola.blogspot.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vraie IP et fausse IP ?
Bonjour la liste, A priori, la plupart des opérateurs grand public en France ont la main sur le firmware des CPE qu’ils fournissent eux-même. En tout cas tous-ceux avec qui j’ai eu l’opportunité de discuter (je vous laisse deviner de quoi…), il y’a bien une solution de CPE à base de PCP prévue pour répondre aux besoins des architectures CGN à venir chez chacun. AVM est un fabricant de CPE très présent en Allemagne et sa fritzbox supporte PCP et depuis plusieurs années. Il y a aussi une version custom d’open-wrt qui supporte PCP si je me souviens bien. Sinon, à ma connaissance, peu de CPE grand public actuels (Apple, Linksys, D-link, Trendnet), supportent ça… My two Cents Manuel Martinez > Le 17 févr. 2016 à 11:35, Radu-Adrian Feurdean > <fr...@radu-adrian.feurdean.net> a écrit : > > Je m'inquiete plus cote CPE/B4 (pour transformer l'UPNP en PCP). Cote > applications parlant directement PCP, il y a aussi du travail... > Pour free ca devra aller (ils maitrisent totalement le box), mais pas > forcement chez d'autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015
Salut la liste, L’experience que j’ai pu mener sur le sujet IPv6 ces dernières années montre que le problème ne vient plus de la partie équipement réseau ou stack IP (exception faite des mobiles, bien sur), mais vraiment des applications coté client comme serveur qui ne savent pas gérer IPv6 correctement ou complètement, bien sûr sauf les grosses applis internet (Google, FB, Twitter, Sales Force, Amazon, Itunes, etc..) qui elles sont compatibles depuis au moins 5 ans. Mais quid des antivirus, des pilotes d’imprimantes, des proxy wifi hoteliers, etc ? Manuel MARTINEZ Le 29 juil. 2014 à 23:42, fr...@jack.fr.eu.orgmailto:fr...@jack.fr.eu.org fr...@jack.fr.eu.orgmailto:fr...@jack.fr.eu.org a écrit : Concernant la proposition de loi machin-truc : y'a encore des équipements qui se vendent sans une vague stack IPv6 ? Les bidules téléphoniques à la rigueur (sont toujours 20 ans en arrière ceux-là), mais sinon .. ? La majorité des boiboites vendus ont cette stack, parcque la majorité des OS l'ont (voir tous). Et pour les braves qui ne l'ont pas, je ne doute pas qu'avec une brève periode d'adaptation, la mise en place d'une stack v6 codé avec les pieds, fonctionnant un peu mais pas trop, ne fasse apparition. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Recrutement
Salut la liste ! HS=on Tout le débat est là: * Dans mon monde idéal, un poste se rétribue en fonction des compétences et de l’expérience (dans cet ordre) * Dans ce que j’ai pu voir en France, un poste se rétribue en fonction des diplômes, de l’age, et parfois des compétences et de l’expérience (toujours dans l’ordre). Bon le problème c’est que c’est toujours un peu dérangeant de voir le raccourci fait par certaines sociétés: * Diplome == Compétences (faux dans à peu près tous les métiers, et pas seulement de l'IT) * Age == Experience (Faux en particulier pour tout ce qui touche aux métiers de l’IT au sens large) Donc en temps que postulant potentiel, on se reserve (à tord ou à raison) le droit de faire aussi des raccourcis: * Poste avec compétences de taré, et expérience de taré == salaire de taré Mais la réalité démontre que ca ne passe pas avec les grilles de salaires en général, dans les sociétés françaises « typiques », et ce quelle qu’en soit la taille. Bon j’ai fini par affiner l’equation pour ce qui me concerne, mais ca n’engage que moi et c’est un autre débat: * Gros salaire == Boite pas française == horaires de tarés /HS Après faut pas rêver, je ne crois pas que je verrai de mon vivant une offreur un poste dans l’IT rédigée en français avec une fourchette de salaire, alors que je trouve que ca permettrait de gagner du temps pour tout le monde… Mais de là a assassiner ce qui postent ce genre de messages… Je n’insulte pas mon FAI alors qu’il m’envoie une facture chaque mois, ni mon prescripteur, alors qu’on ne s’entend pas super bien, objectivement…. Messieurs, ca fait partie des choses que ne se font pas, un peu de respect ;-) Manuel Le 24 juil. 2014 à 16:21, Regis Perdreau regis.perdr...@gmail.commailto:regis.perdr...@gmail.com a écrit : Il y a la pyramide des salaires, et celle des âges aussi... cdt Le 24 juillet 2014 16:17, Alexis Lameire alexis.lame...@gmail.commailto:alexis.lame...@gmail.com a écrit : Le soucis, dans une tel démarche réside dans l'opacité en interne des salaires de ses collégues. Quand tous le monde sait ce que l'autre gagne, les salaires ont tendances à être proportionner en fonction des compétences. De plus, en France on oublis trop souvent que diplome != compétence. Cordialement Alexis Lameire Le 24 juillet 2014 16:13, David Ponzone david.ponz...@gmail.commailto:david.ponz...@gmail.com a écrit : --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Recrutement
Ben a minima, le résultat global de la boîte, non? Manuel MARTINEZ Le 24 juil. 2014 à 20:16, David Ponzone david.ponz...@gmail.com a écrit : Y a quand même des boulots et surtout des structures dans lesquels il est pas simple de définir des PKI pour un salarié. Le 24 juil. 2014 à 20:12, Manuel Martinez mmarti...@a10networks.com a écrit : En fait, pour avoir réussi à travailler correctement en mode télétravail avec certains employeurs, je pense que ce mode de travail effectivement vu comme un risque par l'employeur. Le plus simple est donc de le prendre comme tel et donc d'accepter une partie de salaire variable, indexée sur des résultats business mesurables. Comme ça, pas boulot = pas pognon. La plupart des stratus fonctionnent sur ce mode, et ça marche bien. Manuel Le 24 juil. 2014 à 19:33, fr...@jack.fr.eu.org fr...@jack.fr.eu.org a écrit : Ben, n'est-ce pas souvent le cas ? Remarquez, c'est quasiment pareil au bureau, parait-il .. On 24/07/2014 19:25, David Ponzone wrote: Quand on a pas les gens sous la main, on pense qu’ils soient sur Facebook toute la journée. -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Recrutement et télétravail
Ok, au forfait, soit pas boulot, pas pognon. Je trouve ça plutôt fair play. Après ça demande de savoir négocier à l'origine le montant du forfait en fonction de la tâche, ce qui n'est pas donné à tous les employés, ni à tous les employeurs, et c'est en général de postes ou on est plutôt autonome plutôt que pour du travail d'équipe. C'est d'ailleurs intéressant de voir tous les outils informatiques qui se développent pour pouvoir travailler en mode télétravail, alors que c'est si peu développé en France. Par contre il faut au minimum une bonne connexion internet ( 5mbps) ce qui reste quand même toujours trop rare hors des métropoles régionales... Manuel MARTINEZ Le 24 juil. 2014 à 21:06, jean rave jeanr...@gmail.commailto:jeanr...@gmail.com a écrit : Bonsoir, Le débat commence à devenir intéressant. Personnellement je suis freelance pour plusieurs sociétés et je fais tous mon travail ou presque à distance. Un fonctionnement au contrat, au forfait ou à la tache est assez facile à mettre en place, ca permet à de jeunes entreprises de ne pas avoir à payer un admin sys à pleins temps et aussi pour l'admin système que je suis de pouvoir toucher à une plus grande diversité de techno. Un autre avantage c'est de pouvoir s'éloigner physiquement de Paris en gardant ces clients / contacts sur place. Peu d'entreprises sont favorables au télétravail pourtant ca amène pas mal d'avantage. Plus de disponibilité, limitation des transports, travailler dans un environnement choisi, pouvoir avoir de la mobilité géographique en conservant un accès à sa plateforme etc ... Les entreprises qui se permettent ce genre de pratiques sont souvent celles qui permettent plus de souplesse sur les horaires ou l'organisation du travail. Jean www.captainadmin.comhttp://www.captainadmin.com Le 24 juillet 2014 19:17, Nicolas de Brou ndeb...@gmail.commailto:ndeb...@gmail.com a écrit : Bonjour, Je voudrais continuer le débat avec la problématique du télétravail (ou horaires adaptés). J'explique : l'expérience et les compétences sont une chose mais ensuite il y a le contexte personnel du candidat qui souhaiterait concilier vie pro et vi perso. Est-ce que d'après vous, c'est un frein de proposer ses compétences en télétravail sachant que : - c'est techniquement possible - que ça nécessite certainement une rigueur au niveau du management (gestion et suivi des objectifs) Merci de vos retours Nico -Message d'origine- De : frnog-requ...@frnog.orgmailto:frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.orgmailto:frnog-requ...@frnog.org] De la part de Manuel Martinez Envoyé : jeudi 24 juillet 2014 16:52 À : Regis Perdreau Cc : frnog@frnog.orgmailto:frnog@frnog.org Objet : Re: [FRnOG] [JOBS] Recrutement Salut la liste ! HS=on Tout le débat est là: * Dans mon monde idéal, un poste se rétribue en fonction des compétences et de l’expérience (dans cet ordre) * Dans ce que j’ai pu voir en France, un poste se rétribue en fonction des diplômes, de l’age, et parfois des compétences et de l’expérience (toujours dans l’ordre). Bon le problème c’est que c’est toujours un peu dérangeant de voir le raccourci fait par certaines sociétés: * Diplome == Compétences (faux dans à peu près tous les métiers, et pas seulement de l'IT) * Age == Experience (Faux en particulier pour tout ce qui touche aux métiers de l’IT au sens large) Donc en temps que postulant potentiel, on se reserve (à tord ou à raison) le droit de faire aussi des raccourcis: * Poste avec compétences de taré, et expérience de taré == salaire de taré Mais la réalité démontre que ca ne passe pas avec les grilles de salaires en général, dans les sociétés françaises « typiques », et ce quelle qu’en soit la taille. Bon j’ai fini par affiner l’equation pour ce qui me concerne, mais ca n’engage que moi et c’est un autre débat: * Gros salaire == Boite pas française == horaires de tarés /HS Après faut pas rêver, je ne crois pas que je verrai de mon vivant une offreur un poste dans l’IT rédigée en français avec une fourchette de salaire, alors que je trouve que ca permettrait de gagner du temps pour tout le monde… Mais de là a assassiner ce qui postent ce genre de messages… Je n’insulte pas mon FAI alors qu’il m’envoie une facture chaque mois, ni mon prescripteur, alors qu’on ne s’entend pas super bien, objectivement…. Messieurs, ca fait partie des choses que ne se font pas, un peu de respect ;-) Manuel Le 24 juil. 2014 à 16:21, Regis Perdreau regis.perdr...@gmail.commailto:regis.perdr...@gmail.commailto:regis.perdr...@gmail.commailto:regis.perdr...@gmail.com a écrit : Il y a la pyramide des salaires, et celle des âges aussi... cdt Le 24 juillet 2014 16:17, Alexis Lameire alexis.lame...@gmail.commailto:alexis.lame...@gmail.commailto:alexis.lame...@gmail.commailto:alexis.lame...@gmail.com a écrit : Le soucis, dans une tel démarche réside dans l'opacité en interne des salaires de ses collégues. Quand tous le monde sait ce
RE: [FRnOG] [TECH] IPv6 sur le réseau privé
+1 Je confirme que de plus en plus de clients type (grosse) entreprise réfléchissent dans ce sens car ce genre de migration de plan IPv4 lors d'une fusion leur coute de plus en plus cher et leur demande systématique de repenser tout leur plan IPv4, alors qu'une fois passés à IPv6, il n'est plus nécessaire que de migrer les LANs de l'entreprise rachetée en IPv6, et il n'est plus nécessaire de toucher à leur propre LAN. Il m'est également arrivé d'en rencontrer au moins 1 (client entreprise) qui était arrivé aux limites des IP RFC 1918 du fait de fusions également, et qui cherchait une solution CGN simple pour continuer à grossir !!! Quand je lui ai demandé comment on pouvait en arriver là, il s'est moqué de moi, mais quand je lui ai dit qu'il était mûr pour IPv6, il a eu du mal à croire, que pour le coup, moi je ne me moquais pas de lui! Et que plutôt que de lui vendre du CGN, dont il ne ferait pas grand-chose sur son LAN, je voulais bien lui vendre du NAT64/DNS64, après qu'il soit passé à IPv6... Amicalement, Manuel MARTINEZ -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Laurent GUERBY Envoyé : lundi 18 novembre 2013 11:31 À : m3g4g0lG0t|-| Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] IPv6 sur le réseau privé On Sun, 2013-11-17 at 23:47 +0100, m3g4g0lG0t|-| wrote: Pour un réseau privé interne d'une entreprise, ou d'un particulier, y a-t-il une vrai nécessitée de passer à l'IPv6? De mon point de vue, je ne vois pas... Des idées? Pour une entreprise demander un /48 PI IPv6 et tout numéroter proprement en IPv6 sur son LAN avec. Lors d'une fusion pas de renumerotation, un seul lien, deux routes et tout marche. En IPv4 ca ne se passe pas comme ça :). Sincèrement, Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique
Le 4 avr. 2013 à 21:38, Thomas Barandon t.baran...@gmail.com a écrit : Le 4 avril 2013 18:27, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Par contre aucun intéret pour le grand public, ok. Mais bon en même temps si quelqu'un a un argument pour défendre le 100Mbit/s to the home, hors téléchargement illégal et possibilité de DDOS massif, je serai intéressé. A mon avis du 10Mbit/s pour tout le monde et symétrique déjà wow, mauvaise logique du il n'y a pas l'usage donc je ne déploie pas... Déployons l'infrastructure aujourd'hui, il sera toujours temps par la suite de trouver les usages et d'appuyer des business model sur ce nouveau réseau. J'ai pas trop de mal à imaginer qu'à l'époque du 56k certains se disaient déjà que 18Mbps ce n’était pas nécessaire vu que cela ne servait à rien d'autre qu'à télécharger des mp3 plus rapidement sur kazaa. Donc pour résumer: speed drives usage ;-) Mais bon, les usages sont déjà là: mettre 20 minutes à uploader 3 fichiers sur le claoude... perso ça m'irrite (et je reste poli). Mes 2 roupies, Cdt -- Thomas Je confirme, surtout que consommer la BP de l'upload ralentit l'envoi des requêtes pour le download, donc c'est madame qui rougne, parce qu'internet rame encore. Résultat un petit programme d'upload automatique pour sauvegarder un BackUp des 200Go de photos de famille sur AWS, en dehors des familly hours (0:30, 6:30). Ça fonctionne, mais après 1 mois, il en est à 75% grâce à un débit démesuré de 100kbps... Heureusement qu'on n'est plus facturé à la durée... Désolé pour le off-tropical Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Coupure de peering entre Free et Numericable ?
-Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Fleuriot Damien Envoyé : vendredi 8 mars 2013 15:33 À : Manu Bourguin Cc : sylv...@gixe.net; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Coupure de peering entre Free et Numericable ? On Mar 8, 2013, at 3:27 PM, Fleuriot Damien m...@my.gd wrote: On Mar 8, 2013, at 2:56 PM, Manu Bourguin m...@refuse.fr wrote: C'est quoi cette obligation de résultat (ref needed) ? C'est cette chose magnifique dans le code de la consommation (de tête, faudrait que je retrouve la lettre envoyée à Orange pour ma sœur) qui permet de quitter un FAI merdique en leur disant z'avez pas respecté votre part du contrat, donc je m'en vais sans frais de résiliations (avec en contre-partie le fait de ne pas pouvoir demander d'indemnités) Edit avant envoi : http://chezmanu.eu/Orange_VS_Carine.php Un truc du genre qui les a refroidit de réclamer des frais de résiliations pour la sœurette, encore en période d'engagement chez eux. -- Manu Bourguin / Thy Très beau modèle :) A noter, pour ceux que ça intéresse, que cette obligation de résultat s'applique aussi aux opérateurs mobiles. Note que la force majeure ne s'applique pas au cas que tu cites: La fréquence et la répétition de ces défaut vous empêchent d’invoquer des cas de force majeure ponctuels, de type congestion momentanée du réseau. La congestion momentanée c'est de leur responsabilité. La force majeure c'est une pelleteuse, un bateau qui jette l'ancre, un sabotage… Elle doit répondre à 3 critères qui sont: - imprévisible - irrésistible - extérieure De toute évidence une congestion réseau ça n'est ni imprévisible, ni irrésistible, et encore moins extérieur. J'aime bien la petite pique sur les bons de retour pour l'équipement et la cession à titre gracieux ;) --- Et ne pas oublier la petite formule magique à la fin (abracadabra...): - Sans réponse de votre part en vertu des délais légaux, je considère que vous validez pleinement, entièrement et sans réserve, les clauses de rupture du contrat que je vous propose, pour faire valoir ce que de droit. Ce qui permet d'avoir une réponse rapide, et/ou de faciliter la victoire en cas de procédure légale à entamer. Quitte à faire dans le contractuel, autant être bien procédurier ;-) Manuel M. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
-Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Clement Cavadore Ce que je trouverais extraordinairement fair, ca serait de faire un système qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) juste sur demande (et désactivée par défaut), gratuitement. Ainsi, toutes les madame michu auraient leur acces a fesseplouc et autres youtube, et tous les geeks seraient contents. Et les FAI auraient plein de pool IP disponibles pour leurs CGN... Mais bon, on peut rêver... :) -- Clément Cavadore --- C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels la société pour laquelle je bosse a pu participer, jusqu'à présent. Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à Facebook, Youtube, son email, etc. Plus elle achètera du matériel et des applications IPv6 ready, pour peu qu'il y'en ait, plus elle migrera sans même sans rendre compte. Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur suffit d'en faire la demande. Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP pour les CGN, dès que la RFC sera disponible (http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06). Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose la question... Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir technique de rédiger des RFC, ou encore pour contrôler tout ce que font leurs clients, mais pour éviter les complaintes que l'on peut lire tout aux long de ce thread Sachant qu'en plus faire du CGN/DS-Lite/6rd/NAT64/etc. en soi est une tache couteuse en termes de ressources techniques (HW, CPU, etc). Donc l'aspect contrôle est fait bien ailleurs par d'autres solutions dites DPI (http://fr.wikipedia.org/wiki/Deep_packet_inspection) rendues obligatoires par notre cher gouvernement, mais aussi utilisées bien souvent pour tout ce qui est ciblage publicitaire Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Manuel MARTINEZ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janv. 2013 à 22:22, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.commailto:mmarti...@a10networks.com a écrit : Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat d'un bloc IPv4 au marché noir. De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et certains opérateurs jouent même la rétention dans ce sens... Ouh là ben il me semble qu'un bon CGN ça coûte dans les 200k$... donc bien moins que des blocs d'IPv4 Par contre, c'est sûr que s'il vous faut du €isco, c'est pas le même prix ;-) Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janv. 2013 à 18:21, Rémi Bouhl remibo...@gmail.com a écrit : Au sujet de la transparence : les opérateurs avec lesquels vous travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine de mentionner cette particularité dans leur CGU, AVANT achat ? Ça dépend, malheureusement pas tous La plupart de ceux que je connais sont aux US et au Japon. Ils vendent cela comme une offre IPv6 avant tout, et ne rentrent pas dans des débats d'architecture ou de protocole. La plupart des utilisateurs sont agréablement surpris de constater que manifestement il est toujours possible d'accéder à une grande partie de l'Internet IPv4... Enfin de nombreux CGN 44 sont déployés sur les nouvelles architectures LTE. Pour le coup peu de gens se plaignent puisque la SNAT se fait de manière courante sur les réseaux mobiles, et que seule la performance les intéresse... Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
-Message d'origine- De : p...@maunier.fr [mailto:p...@maunier.fr] De la part de Pierre-Yves Maunier Par contre si tu n'as pas assez d'IPv4 pour tes abonnés et que tu ne leur donnes que de l'IPv6 et pas d'IPv4, il ne pourront pas accéder à +90% de l'internet. Un CGN ça permet justement d'éviter ça. Certains diront, suffit de mettre du NAT64/DNS64 mais ça ne suffit pas, par exemple skype ne marchera pas dans ce genre de configuration. DS-Lite ou 6rd sont compatibles avec (quasiment) tout protocole, et avec skype notamment. Il va falloir donner encore des IPv4 aux abonnés pendant un certain temps en dual stack (avec des IPv4 CGNisées) avec des IPv6 pour faire face à la pénurie. DS-Lite permet de ne plus allouer d'IPv4 publiques directement à chaque utilisateur, mais une IPv6 uniquement. Pierre-Yves Maunier --- My two cents :-) Manuel MARTINEZ pub Vendeur de CGNs /pub --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] RE: Certifications : Vers quoi/qui se tourner ?
Bonjour, Sans vouloir être trop critique, la plupart des certifications Editeur/Constructeurs consistent la plupart du temps à adapter des concepts théoriques (configurer mon réseau, ma sécurité, mon environnement virtuel), à un produit de constructeur fait pour ça, et parfois, quand le concept est un peu compliqué, ça ratisse large, mais de ce fait, c'est moins avancé dans ledit concept... A deux exceptions près : Cisco et Juniper pour tout ce qui est L2-3-4 Je ne veux pas être trop dur non plus, un éditeur/constructeur, c'est là pour vendre ca sauce, avant tout. Ça c'est pour l'aspect technique, après pour l'aspect commercial, plus une entreprise a de gens certifiés sur une techno, plus elle a le droit à des remises élevées, car c'est une sorte de témoignage de son engagement avec l'éditeur/constructeur de cette techno. Pour avoir passé pas mal de certifications, et selon moi, il faut essayer de sentir le vent et aller vers ce qui intéresse les entreprises aussi, notamment en sécurité, ce qui se vent le plus aujourd'hui: Fortinet, Juniper, Checkpoint, me semblent relativement incontournables. Après pour mettre en relief tes connaissances et avoir un CV sexy, toujours sur les aspects sécu réseau, il faut monter dans les couches et là chaque solution peut être considérée comme exotique, et on retrouve les en plus les mêmes acteurs sur les training Advanced. Donc là en termes de certifications c'est un peu la roulette, car il y'en a une palanquée et on ne peut pas dire que seul 2 ou 3 acteurs trustent le marché... Et l'accès même à ces formations peut devenir un peu plus obscur/opaque, voir inaccessible, si tu ne viens pas de la part d'une entreprise et que tu essayes d'y accéder par tes propres moyens... On peut citer : Palo Alto, SourceFire, FireEye, Stonesoft, Imperva, McAfee, Tipping Point et pardon pour ceux que j'oublie probablement... Après il y'a un peu le Graal dans ce domaine, qui est très officiel et très reconnu par pas mal de monde, mais qui coute une petite fortune: le CISSP. En plus objectivement, c'est quand même pas mal éloigné du concret Manuel MARTINEZ -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Mathieu Poussin Envoyé : dimanche 9 décembre 2012 23:40 À : frnog-m...@frnog.org Objet : [FRnOG] [MISC] Certifications : Vers quoi/qui se tourner ? Bonjour tout le monde ! Je suis actuellement en B.T.S S.I.O et mon école a la possibilité d'offrir des certifications (pour certaines gratuitement) et pousse d'ailleurs les élèves motivés à se lancer à fond dans le passage de certifications. Je souhaite me spécialiser dans la sécurité réseau et j'ai fait quasiment toutes mes études en alternance dans ce domaine-là (chez un hébergeur web). Seulement je ne sais pas trop vers quoi me tourner. J'ai pour habitude de travailler sur les Cisco ASA mais plus je progresse dans cette plateforme, plus je trouve cette plateforme trop simple et trop limité (je m'attendais à trouver du challenge en recevant mes bouquins CCNP Security mais même pas...). Du coup j'ai commencé à m'intéresser à la concurrence par exemple chez Juniper avec leur gamme SRX. Comme c'était un constructeur que je convoitait depuis quelques temps par les bons echo sur JUNOS. J'ai pu travailler un peu sur cette plateforme et je confirme que les rumeurs sur JUNOS sont bien fondés ! Un pur bonheur. Du coup pour quelqu'un qui aujourd'hui souhaite se spécialiser dans la sécurité réseau, vers quel entreprise faut-il mieux se tourner pour se spécialiser la dedans ? Rester chez Cisco ? Tenter Juniper ? CheckPoint ? (Je n'ai mais vraiment eu l'occasion de travailler dessus, mais apparemment ça reste une plateforme extrêmement couteuse.). Mon autre crainte par rapport aux certifications Cisco (mais peut être une fausse crainte ?) c'est que dans ce domaine-là, d'après ce que j'ai cru voir, « Tout le monde est certifié Cisco » et du coup je pense que ça risque de ne pas apporter grand-chose à une entreprise qui risque de se dire « Bon encore un pro Cisco... » alors qu'une expérience et une certifications d'autres entreprises pourraient apporter un plus et un peu de fraicheur ? (Je ne souhaite pas me tourner à 100% dans la sécurité et souhaite garder une certaine polyvalence dans le domaine des réseaux). Qu'en pensez-vous ? Que me conseillez-vous de faire ? Merci ! Cdlt, Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [MISC] Le routage, enjeu de cyberstratégie
-Message d'origine- De : Stephane Bortzmeyer [mailto:bortzme...@nic.fr] Envoyé : mercredi 7 novembre 2012 10:39 À : Manuel Martinez Cc : Liste FRnoG Objet : Re: [MISC] Le routage, enjeu de cyberstratégie C'est hallucinant, les peines sont ridiculement faibles quand on compare au préjudice qui peut être commis, non ? ... alors que le fils de madame Michu qui fait du bittorrent pour charger les vieux MP3 de Sardou pour faire plaisir à sa maman lui fait risquer quasiment autant ? Le scandale est plutôt là. Je ne trouve pas les peines pour attaques contre les systèmes trop faibles. Mais celles pour la copie illégale sont incroyablement élevées, reflet du poids du lobby de l'industrie du divertissement. Si vous aimez les comparaisons : http://www.numerama.com/magazine/19648-tous-ces-delits-juges-moins-graves-que-le-partage-de-la-culture.html C'est en effet ce que je voulais mettre en relief, aussi :-) Manuel MARTINEZ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie
-Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Alexandre Archambault Envoyé : mardi 6 novembre 2012 16:12 À : Liste FRnoG Objet : Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie Le 6 nov. 2012 à 15:28, Stephane Bortzmeyer a écrit : 3- dire que c'est un delit que de s'attaquer a l'infrastructure d'autrui avec objectif d'y nuire. Pas besoin de le dire, c'est déjà le cas http://www.legifrance.gouv.fr/jopdf//jopdf/1988/002/JO198800231.PDF. jurinazi dont la version actuellement en vigueur est codifiée désormais aux articles L.323-1 et suivants du Code Pénal /jurinazi -- Alec Bonjour le groupe! C'est hallucinant, les peines sont ridiculement faibles quand on compare au préjudice qui peut être commis, non ? Ok le pire du pire c'est 7 ans de prison (objectivement ca répare pas grand-chose dans ce cas-là), et 100k€ d'amende, mais si on regarde bien, pour de nombreuses compagnies (y compris l'Etat) tout ce qui touche à l'IT en général et à l'internet en particulier, et aux données numértiques, représente plusieurs centaine de k€ voir de M€ par an. Pourquoi avoir pondu une loi aussi peu impactante pour les pirates potentiels, alors que le fils de madame Michu qui fait du bittorrent pour charger les vieux MP3 de Sardou pour faire plaisir à sa maman lui fait risquer quasiment autant ? http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=5560830DBEE4F35C6109A82A7B274988.tpdjo07v_3?cidTexte=JORFTEXT25582411idArticle=LEGIARTI25583137dateTexte=20121106categorieLien=id#LEGIARTI25583137 PS: Troll en Vacances Ben faut ouvrir les yeux, le DNS fait partie du tiercé gagnant des protocoles les plus importants de l'internet, il est temps de s'en rendre compte... C'est d'ailleurs surprenant qu'ils soit bien souvent aussi négligé par de nombreux experts/compagnies/etc... /Troll en Vacances PPS: C'est du [MISC] lâchons nous ! ;-) Manuel MARTINEZ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie
Au temps pour moi ! :-p Boaf, ma comparaison reste valable entre le fils de Mme Michu et le gang de pirates organisé. De : Surya ARBY [mailto:arbysu...@yahoo.fr] Envoyé : mardi 6 novembre 2012 16:40 À : Manuel Martinez; Liste FRnoG Objet : Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie Comme c'est du MISC allons-y; ce n'est que l'amende; s'y ajoute ensuite les Dommages et Intérêts ;) cdlt, De : Manuel Martinez mmarti...@a10networks.commailto:mmarti...@a10networks.com À : Liste FRnoG frnog@frnog.orgmailto:frnog@frnog.org Envoyé le : Mardi 6 novembre 2012 16h34 Objet : RE: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie -Message d'origine- De : frnog-requ...@frnog.orgmailto:frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.orgmailto:frnog-requ...@frnog.org] De la part de Alexandre Archambault Envoyé : mardi 6 novembre 2012 16:12 À : Liste FRnoG Objet : Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie Le 6 nov. 2012 à 15:28, Stephane Bortzmeyer a écrit : 3- dire que c'est un delit que de s'attaquer a l'infrastructure d'autrui avec objectif d'y nuire. Pas besoin de le dire, c'est déjà le cas http://www.legifrance.gouv.fr/jopdf//jopdf/1988/002/JO198800231.PDFhttp://www.legifrance.gouv.fr/jopdf/jopdf/1988/002/JO198800231.PDF. jurinazi dont la version actuellement en vigueur est codifiée désormais aux articles L.323-1 et suivants du Code Pénal /jurinazi -- Alec Bonjour le groupe! C'est hallucinant, les peines sont ridiculement faibles quand on compare au préjudice qui peut être commis, non ? Ok le pire du pire c'est 7 ans de prison (objectivement ca répare pas grand-chose dans ce cas-là), et 100k€ d'amende, mais si on regarde bien, pour de nombreuses compagnies (y compris l'Etat) tout ce qui touche à l'IT en général et à l'internet en particulier, et aux données numértiques, représente plusieurs centaine de k€ voir de M€ par an. Pourquoi avoir pondu une loi aussi peu impactante pour les pirates potentiels, alors que le fils de madame Michu qui fait du bittorrent pour charger les vieux MP3 de Sardou pour faire plaisir à sa maman lui fait risquer quasiment autant ? http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=5560830DBEE4F35C6109A82A7B274988.tpdjo07v_3?cidTexte=JORFTEXT25582411idArticle=LEGIARTI25583137dateTexte=20121106categorieLien=id#LEGIARTI25583137 PS: Troll en Vacances Ben faut ouvrir les yeux, le DNS fait partie du tiercé gagnant des protocoles les plus importants de l'internet, il est temps de s'en rendre compte... C'est d'ailleurs surprenant qu'ils soit bien souvent aussi négligé par de nombreux experts/compagnies/etc... /Troll en Vacances PPS: C'est du [MISC] lâchons nous ! ;-) Manuel MARTINEZ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] [MISC] Changement de FAI ou VPN ?
Bonjour Ka0s, Tu as assez bien résumé ce qui m'a fait quitter Free après plus de 10 ans de fidélité (Ah ce bon vieux modem USB/ADSL 512K). Honnêtement, la qualité est restée assez stable pour moi, tout comme le prix in finé... La technologie a bien progressé (ADSL 2+, etc), des services sont venus s'ajouter à l'offre comme le téléphone all-inclusive et la TV, le hdd dans la box. Mais c'est vrai qu'aujourd'hui ce qui a changé à titre perso et pro, ce sont mes besoins d'une meilleur qualité de service Internet en terme de performance: A la maison, j'ai 3 ordis, 2 tablettes, 2 Smartphones, 1 console de jeu, 1 Apple TV et il est clair que vers 19-20h, à la maison, avec la TV allumée, c'est l'heure du rush pour la box et finalement, les 12 mbps que j'ai en plein centre IDF me semblent un peu légers... Moi j'ai changé de FAI, je suis parti sur NC qui n'est ni meilleur ni moins bon que les autres en termes de hotline/qualité/perf/service mais a l'immense mérite d'utiliser de la bande passante spécialement pour la TV, en plus de la BP internet+Phone, donc mon problème de contingence de bande passante vers 19-20h est résolu en attendant que mon fils grandisse et qu'il faille encore rajouter ses propres bidules connectés dans l'équation. Pour le VPN, c'est comme la QoS, c'est ce que tu essayes quand tu n'as plus d'autres choix, et le résultat est souvent frustrant... PS: Ben passage en MISC là, on nage en pleine subjectivité et y'a pas grand-chose de technique honnêtement, désolé ;-) Manuel Martinez -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de kh...@free.fr Envoyé : mardi 6 novembre 2012 16:32 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Changement de FAI ou VPN ? Bonjour, Je suis tout nouveau dans le monde des mailinglists et je me permet de poser une question car le niveau technique est largement au dessus du miens et je trouve que c'est trés appréciable d'avoir des avis éclairés par l'expérience. Voila je suis un utilisateurs lambda du net, et je suis de plus en plus à la recherche de contenu vidéo à visionner (le streaming) et je suis abonné chez free... Pour ce qui est du streaming notamment (on peut parler du SAV ou de la Hotline) je suis plus que déçu par la qualité du service. Alors je sais qu'il y a une géguerre entre free et google a propos de qui va financer l'augmentation des tuyaux pour assumer le débit généré par les demandes d'accés a youtube notamment, mais le problème se retrouve partout ou je souhaite accéder à du stream... Donc je suis en train de penser sérieusement à changer d'opérateur, MAIS 2 points me freinent : Les autres opérateurs sont ils plus fiables...niveau tarifs et qos serai-je gagnant à quitter free en pensant aux démarches (renvoi de la box/temps de mise en service de la nouvelle connexion etc etc et les possibles mauvaise surprise de free qui prélève le prix de la box pour non restitution de matériel...c'est du vécu). On m'a parlé de VPN alors je connais le principe mais je me demande si en utilisant un VPN mon problème serait résolu niveau streaming, car il y a une multitude d'offres (sans parler des offres comprise dans les abonnements aux newsletters). Alors j'espère ne pas avoir pollué le boite mail du peuple, j'espère avoir autant d'avis concret que possible sur tous les points abordés dans mon mail en plus de ma question de fond :D Merci par avance, et désolé pour l'encombrement si mon message n'a pas lieu d'être ici. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie
-Message d'origine- De : Raphaël Jacquot [mailto:sxp...@sxpert.org] Envoyé : mardi 6 novembre 2012 19:29 Objet : Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie 7 ans, c'est un poil moins de la moitié de ce que tu risques pour viol... c'est déjà pas mal imho, la boite a perdu du pognon (virtuel), t'as pas tué quelqu'un http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06417678cidTexte=LEGITEXT06070719 Faut pas oublier qu'il n'y a pas que des attaques par déni de service qui vont créer une perte de pognon potentielle (virtuelle) Quand c'est ta société qui s'est fait piquer une partie de ses secrets industriels ou sa base client ou formater ses serveurs, ben au final ce pognon aujourd'hui il est plus vraiment virtuel, a nouveau vu l'importance des outils IT/Internet ... Après de la prison pour ça, ben ça donne à réfléchir... Mais c'est bien le but à priori. Faut voir que le préjudice pourrait être relativement comparable à voler les HDD des serveurs puis doucher la salle informatique d'un point de vue perte de temps à tout remonter, physiquement et logiquement... En gros ce serait du vol avec effraction et vandalisme ? Tiens on est dans le même genre de sanctions s'il n'y a pas eu de violence http://www.lexinter.net/Legislation2/vol_simple_et_vols_aggraves.htm Manuel MARTINEZ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 13:33, Baptiste bed...@gmail.com a écrit : 2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... J'ai vu des FW actif/actif où le maitre change la MAC de destination pour renvoyer du traffic au slave d'un coup, la scalabiité elle en prend un coup... pis la somme de la BP des interfaces ne correspond plus au traffic que le cluster sait encaisser :) Manuel, je suis preneur d'info (un lien sur votre site me suffira): comment il marche l'actif/actif multiboitier ? a+ Bonjour, On fait du VRRP. Avec 2 VRIDs, un actif par défaut sur chaque boîtier et donc backup sur l'autre. La seule restriction est d'utiliser 2 VIPs, une dans chaque VRID, donc active par défaut sur chaque boîtier. Ensuite, grâce au GSLB, inclus dans le prix de base du boîtier, bien on utilise un seul nom DNS, pour repartir le service entre les 2 VIPs. On peut utiliser ce scénario avec jusqu'à 8 boîtiers... Ça tourne vraiment bien -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 13:19, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Bonjour, Effectivement, pour arriver à ça, il faut agréger les 8 ports GBps de chacun des 2 boîtiers. Mais ça tient réellement 7gbps par boîtier. En ce qui concerne le prix, c'est le prix public, et avec le mécanisme de la concurrence et des remises, ça fait bien longtemps que je n'ai pas vu une paire d'AX1030 aussi chère que 34k... Manuel MARTINEZ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 15:03, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : * Radu-Adrian Feurdean - 25-08-2012 à 14h41: On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. OpenBSD + relayd avec pf + pfsync defer + carp permettent ce genre de cascade, par contre les possibilité de rewrite sont assez limitée et à ma connaissance le stickyness se base simplement sur l'ip source Niveau performance je doute fortement que ça atteigne les 10Gbit par noeud, il y a des benchs qui avec un peu de tuning et le bon hardware atteignent les 10Gbit full duplex sur un rule set basique, mais l'introduction de relayd et du NAT qui va avec devrait pas mal plomber les perfs. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 Bonjour Rémi, Merci de confirmer ce que je dis depuis le début, qui est confirmé par Vincent de F5, c'est bien la NAT IPv4IPv6 qui impacte les perfs, dans ce cas, il faut s'y faire... -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Je confirme IPv6 + SLB, on travaille dessus depuis 2007, avec comme idée d'avoir le même niveau de perf qu'on soit en full IPv4, full IPv6, ou mix IPv4IPv6 IPv6IPv4. Ca a l'air débile, dit comme ça, mais en général, le fait de commencer à traduire en IPv6 impacte non seulement les performances du trafic IPv6, mais aussi celles de celui qui est en IPv4. Pub Chez nous, ben ça pause pas de soucis et c'est bien là la différence... :-) /Pub Promo BTW, la VM de notre solution est dispo gratax 1 mois, en farfouillant un peu sur notre site web accessible en IPv6/IPV4... /Promo Le 24 août 2012 à 08:27, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Hum, j'aime quand tu demande des trucs comme ça... Avec qq 10 Gbps pour pimenter un peu? Manuel MARTINEZ Le 24 août 2012 à 09:45, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Pourquoi ne pas faire un atelier au prochain ipv6 tech day et valider l'ensemble des solutions ? La derniere fois, ce n'etait pratiquement que réseau. Je suis certain de Fred serait ravi de pouvoir rajouter du load-balancing sur des trucs comme Exchange pour valider ipv4/ipv6 sur des clusters. Avoir des machines ( serveurs ) pour les tests ne sera pas un probleme. Moi, je dis que c'est la bonne démarche de vous faire tous venir et valider vos solutions en live avec tout le monde et filmé, car comme le dit le slogan de Gandi #No bullshit :) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 From: frnog-requ...@frnog.org [frnog-requ...@frnog.org] on behalf of Manuel Martinez [mmarti...@a10networks.com] Sent: Friday, August 24, 2012 9:38 AM To: guillaume.bar...@gmail.com Cc: Surya ARBY; Damien Fleuriot; Christophe HUBERT; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Je confirme IPv6 + SLB, on travaille dessus depuis 2007, avec comme idée d'avoir le même niveau de perf qu'on soit en full IPv4, full IPv6, ou mix IPv4IPv6 IPv6IPv4. Ca a l'air débile, dit comme ça, mais en général, le fait de commencer à traduire en IPv6 impacte non seulement les performances du trafic IPv6, mais aussi celles de celui qui est en IPv4. Pub Chez nous, ben ça pause pas de soucis et c'est bien là la différence... :-) /Pub Promo BTW, la VM de notre solution est dispo gratax 1 mois, en farfouillant un peu sur notre site web accessible en IPv6/IPV4... /Promo Le 24 août 2012 à 08:27, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 16:15 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Y'en a des clients en FR, y'en a plein... Les bandes passantes augmentent en ADSL/FTTH/Cable, les smartphones/tablettes/netbooks en 3G-4G, avec plein de connexions maintenues pour faire du push/tchat/etc.. Et les plus gros consommateurs sont ceux qui utilisent des applications webs en interne, rien qu'en migrant sur Win7/OSX/Linux, les clients demandent 4 à 10 fois plus en capacité de connexion... Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus... Manuel De : Guillaume Barrot [mailto:guillaume.bar...@gmail.com] Envoyé : vendredi 24 août 2012 17:53 À : Manuel Martinez Cc : Baptiste; o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Y'en a au moins 2 parmi ceux-là qui sont clients Hardware Load Balancer chez nous ou d'autres constructeurs (qui ont déjà pris la parole). Et puis qui parle de gros LB centralisé, on peut faire performant et distribué Manuel MARTINEZ -Message d'origine- De : Raphaël Jacquot [mailto:sxp...@sxpert.org] Envoyé : vendredi 24 août 2012 18:24 À : Manuel Martinez; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 On 08/24/2012 05:45 PM, Manuel Martinez wrote: Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel si tu en es là, c'est que t'as un twitter, un facebook ou un google... c'est bizarre, mais je crois pas qu'ils utilisent un seul gros LB centralisé ceux la... -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Manuel MARTINEZ | Pre Sales, South EMEA | A10 Networks Mobile: +33 (0) 622 89 20 60 Skype: mmza10 mmarti...@a10networks.com | www.a10networks.com Le 24 août 2012 à 18:56, Frédéric GANDER fgan...@corp.free.fr a écrit : - Mail original - De: Manuel Martinez mmarti...@a10networks.com À: Baptiste bed...@gmail.com Cc: o...@ovh.net, frnog-t...@frnog.org Envoyé: Vendredi 24 Août 2012 17:45:04 Objet: RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... ba si un peut quand même :) Non, sérieux, ce n'était pas volontaire en tout cas... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. alors mélanger du nat64 et du offload ssl avec du multiplexage tcp je demande à voir moi j'appelle pas ça du nat mais un proxy ou alors j'ai raté un truc je me demande aussi quel pourrais être l’intérêt ? si en plus on insert un Xforwarded-for pourquoi faire du nat64 ? A+ Ben c'est un reverse proxy qui accessoirement absorbe pas mal de charge et la partage vers des serveurs et le xforwarded-for c'est un hébergeur qui veut que ses clients puissent utiliser ça pour retrouver les ipv6 de leurs propres clients et pas les ipv4 utilisées par le LB pour la NAT. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Manuel MARTINEZ Le 24 août 2012 à 19:07, Frédéric GANDER fgan...@corp.free.fr a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus... alors sur 6rd je vois pas ou ca parle de session tcp c'est un simple forwarding de paquet stateless avec une encapsulation/décapsulation ou il y a juste l'ip destination qui change dans un sens. c'est pas fait pour load balancer Oui, sauf qu'un LB c'est avant tout un boîtier qui fait de la NAT dans tous les sens, à haute perf. Bon ben, quand il y a quelques années, un gros ISP est venu voir A10 pour qu'on adapte notre code pour faire ce genre de manip, et bien A10 l'a fait, et chance pour A10, ça a bien fonctionné, en plus pour ds-lite, 6rd, et nat64/dns64, en stateful, pour que les failovers soient transparents Manuel De : Guillaume Barrot [mailto:guillaume.bar...@gmail.com] Envoyé : vendredi 24 août 2012 17:53 À : Manuel Martinez Cc : Baptiste; o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 à 22:15, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again Je confirme, je suis le premier à m'en plaindre à ma corp. Bon, il s'avère que mon avis compte peu, en fait :-( Fucking Capitalists... Manuel MARTINEZ The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour info, A10 à participé (avec d'autres constructeurs) a ce Dev avec Comcast... Manuel MARTINEZ Le 25 août 2012 à 00:35, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : http://blog.comcast.com/2010/03/comcast-labs-and-isc-donate-ipv6-open-source-software-to-open-source-community.html C'est hyper capitaliste en effet de vendre un truc donné à la communauté par ISC et Comcast ... J'espère juste pour A10 que c'est pas ce code qui est dans les boitiers, sinon la FSF va pas être contente... Le 25 août 2012 00:27, Manuel Martinez mmarti...@a10networks.commailto:mmarti...@a10networks.com a écrit : Le 24 août 2012 à 22:15, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again Je confirme, je suis le premier à m'en plaindre à ma corp. Bon, il s'avère que mon avis compte peu, en fait :-( Fucking Capitalists... Manuel MARTINEZ The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately -- Cordialement, Guillaume BARROT The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Ok 6rd stateless, ca va, il est tard... Et pour le reste, ben je dois probablement avoir tord alors... C'est qu'ils doivent vraiment être débiles les ISP avec qui on bosse... Et puis blindés avec ça Quel monde de pourris Manuel MARTINEZ Le 25 août 2012 à 00:33, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Oui, sauf qu'un LB c'est avant tout un boîtier qui fait de la NAT dans tous les sens, à haute perf. Bon ben, quand il y a quelques années, un gros ISP est venu voir A10 pour qu'on adapte notre code pour faire ce genre de manip, et bien A10 l'a fait, et chance pour A10, ça a bien fonctionné, en plus pour ds-lite, 6rd, et nat64/dns64, en stateful, pour que les failovers soient transparents Bullshit detected, 6rd est purement stateless par construction. Ou alors A10 sort des boitiers quantiques qui changent les RFC à la volée ? (http://www.ietf.org/rfc/rfc5969.txt == c'est juste dans la partie Intro, http://tools.ietf.org/html/rfc5569) De plus pour DS-Lite, le nat est purement optionnel, donc faudra m'expliquer comment un boitier qui fait du nat dans tous les sens est optimisé par nature pour un truc qui n'en est pas. Mouais, pas du tout convaincu. The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Hadopi : un rapprochement vers le CSA et l’Arcep ?
Un point positif: il me semble que tous les acteurs seraient réunis pour relancer un débat sur la licence globale, non? De toute façon il va bien falloir que tous ces ministres acceptent un jour ou l'autre qu'internet, ça ne se contrôle pas comme le reseau Minitel, et que c'est bien ça qui en fait sa force, son intérêt et son succès Manuel MARTINEZ Le 22 août 2012 à 18:25, Sylvain Vallerot sylv...@gixe.net a écrit : On 22/08/2012 18:19, Sylvain Vallerot wrote: la diffusion de programmes audiovisuels et de contenus, i.e. pour 99% pas le domaine d'internet, Pardon. J'aime autant couper tout de suite aux réactions sur ce chiffre : ce n'était qu'une expression. Je ne connais pas la part du VOD et autres replay ni en volume, ni en chiffre d'affaire si tant est que ces données puissent réellement être extraites vu que les services sont liés dans les offres des FAI. En volume peut-être, quelqu'un a une idée ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Télépho nie sur IP et IPv6
Bonjour, LSN + DS lite, ca supporte ce genre de chose. On a même teste avec du Skype et du FaceTime, et ça fonctionne bien. Manuel MARTINEZ A10 Networks +33 6 22 89 20 60 Le 17 déc. 2010 à 12:58, Youssef Bengelloun-Zahr yous...@720.frmailto:yous...@720.fr a écrit : Hello François, Plus sérieusement, je me posais la même question hier soir ! Pour ceux qui feront que du v6 en natif et rien d'autre, quid de la voip ! Parce que le but du jeu est de se passer de NAT et partout où je vais sur le net, je ne vois passer que des choses style NAT64, NAT444, NATXYZ... Bref, je sens qu'on va vraiiment bien s'amuser en 2011-2012... Déjà que la VoIP c'était pas un cadeau en v4... Arf, j'en vois déjà qui préparent les savates prêts à me les jeter dessus ;-) Allez, bon Vendredi ! Y. Le 17 décembre 2010 12:43, François Tigeot mailto:ftig...@zefyris.comftig...@zefyris.commailto:ftig...@zefyris.com a écrit : Youssef Bengelloun-Zahr wrote: Aie, je sens le troll bien velu du vendredi ;-) Vendredi ou pas, c'est quand-même une question légitime. Ca me parait un poil délirant que le monde de la VoIP décide collectivement de ne plus avoir de nouveaux clients d'ici 6 mois-un an, mais bon... -- Francois Tigeot -- Youssef BENGELLOUN-ZAHR …… Ingénieur Réseaux et Télécoms Tel. direct +33 (0) 1 77 35 59 14 Tel. portable +33 (0) 6 22 42 63 80 Emailmailto:y...@720.fr y...@720.frmailto:y...@720.fr …….http://www.720.frwww.720.frhttp://www.720.fr The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately
RE: [FRnOG] Réduction de la fracture numérique
Bonjour, Je me pose actuellement la même question pour mes beaux-parents, résidents d'une petite commune sur les hauteurs de Nice (alt. 1800m quand même) et raccordés à 30km du NRA, donc non éligibles pour l'ADSL. Sans vouloir faire de la pub pour eux, SFR propose désormais une offre Internet par Satellite qui me semble la plus viable d'un point de vue technique/économique. Tout es là https://www.shdnet.fr/ Je n'ai pas encore pu tester le sérieux de cette offre, mais je pense que ce sera toujours mieux qu'une clé 3G en mode Edge, ce dont ils disposent actuellement. Cdt, Manuel MARTINEZ -Original Message- From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Julien Escario Sent: vendredi 17 septembre 2010 10:22 To: frnog@FRnOG.org Subject: Re: [FRnOG] Réduction de la fracture numérique Le 17/09/2010 10:16, michel hostettler a écrit : Bonjour, Dans une petite commune de la Haute-Vienne, située en pleine campagne, 20% des citoyens (85 lignes) ne peuvent prétendre à plus de 512 kbit/s et encore 5% sont inéligibles à l'ADSL. Un NRA-ZO et un équipement WiMax ont déjà été installés pour desservir les autres foyers. Quelles pourraient être les possibilités technologiques à 5 ans pour couvrir la totalité de la zone communale ? Désolé, j'ai oublié ma boule de cristal chez un client hier ... Plus sérieusement : sans topologie de la commune, on répond quoi à ce genre de question ? Ils ont décidé d'y consacrer un budget sur 5 ans ? Il faut faire le tour de toutes les technos ? Ca risque de prendre un moment. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
