Re: [FRnOG] [TECH] Freebox "pro" - ip publique - NAT - problèmes - ...
Le 03/06/2021 à 13:18, Philippe ASTIER via frnog a écrit : A priori, ce ne sont que des règles de Firewall, et ça s’appelle forcément NAT, pas de redirection de port ! Je suis surpris par les trucs basiques qui manquent et que mêmes les autres Freebox font (parfois) : bridge, DMZ, changement de plage DHCP, pas de route statique, pas de reverse DNS personnalisable… On est en 2021 ? Mais non voyons, maintenant on fait du "SDN-WAN", on monte des tunnels de tous types sur toutes connections, et ça marche ! Si ca bloque , c'est que n'est pas compétent :-/ Plus sérieusement, on a aussi Orange dans le même genre qui pousse sa livebox sur des abonnements pro ftth , avec le cortège de limitation et de pertes de conf spontanée. (Ce que je fait c'est un second routeur derrière la livebox configurée pour que ce routeur soit en DMZ. Mais je bloque pour ce qui est de transférer le /64 de l'autre coté de mon propre routeur). J'ai aussi bien sur envisagé la solution de se passer de livebox, néanmoins cette solution ne me plaît pas trop car si Orange change quoique ce soir sur ses procédures d'authentification via options DHCP et COS spécifique, on est bon pour repasser sur tous les sites en urgence. Autant dans le cas d'orange je peux comprendre la logique , vu qu'ils vendent aussi un service pro FTTO + RAD (qui a ses propres problèmes, mais bon) , autant pour Free je pige pas : ils ont tout intérêt à soit faire un très bon routeur, soit que l'on puisse s'en passer. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Re: Pour Philippe Bourcier
N'empêche que, à croire le message automatique, le système de ticket de Europasat est blindé d'entrées créés automatiquement et inutiles. Ca fait des mois que ça dure, et personne ne semble ne s'en inquiéter chez eux. Ca donne envie de travailler avec eux, hein :-) De ce que j'en ai compris, lors du lancement de Ka-Sat , Eutelsat s'est un peu pris pour Orange et a souhaité créer une "galaxie" de "FAI", qui n'étaient que des prestataires de facturation. Ce système a vite fait long feu, surtout lorsque Eutelsat a commencé a appliquer une QoS de fou sur les accès grand public. Ne reste que Bigblu.co.uk , et europasat qui est une structure de facturation en .eu. Julien Le 29/05/2021 à 10:05, Vincent Habchi a écrit : Bonjour, Question bête du samedi ...dans le mail vous n'avez pas l'adresse IP du serveur . Cela donne déjà un bon vecteur pour identifier le coupable ? Richard Ça semble venir de là : Received: from portals.europasat.com (portals.europasat.com [54.77.85.153]) by mail.geomag.fr (Postfix) with ESMTPS id EB21310D742B for ; Thu, 20 May 2021 20:34:27 +0200 (CEST) Received: from www-data by portals.europasat.com with local (Exim 4.76) (envelope-from ) id 1ljnV8-0001iV-Fd for vinc...@geomag.fr; Thu, 20 May 2021 19:34:30 +0100 Europasat.com Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou réalité ?
Bonjour, > Alors, le SDN étant un terme marketing et à la mode, tout le monde a un peu sa > définition pour pouvoir y coller ses produits. Je vais donc commencer par > définir pour moi ce que c'est. Et je me limiterais au réseau de "datacenter" > parce que je n'ai pas encore vue de différence entre du SD-WAN et un lien VPN. Merci de cette réponse, Xavier, parce que la dernière fois que j'ai parlé de MPLS, on ma répondu avec mépris : "Pfff, mpls c'est has-been, nous on fait du *SD-WAN* maintenant". Et après m'être renseigné ben en fait j'ai pas tellement vu de différence entre un "SD-WAN" et un tinc :-/ , hormis le fait que c'était vendu hors de prix par un intégrateur, qu'il y avait parfois un clickodrome et qu'on y perdait toute notion de GTR ou de QoS. Dans le cas d'usage hyper-spécifique de Grégoire, oui, OK (faisant moi même un peu de multicast je conçois la galère). Pour le SDN, je peux tout à fait concevoir l'intérêt d'avoir une conf réseau unifiée et applicable à n'importe quelle marque de routeur (il me semble que j'avais déjà vu un projet qui "traduisait" des conf en yaml en cisco/arista/junip/microtik/...) Pour une grande équipe et dans un souci de documentation vis à vis du turn-over, je peux vois l'intérêt. Aujourd'hui, je pense que j'utiliserais Ansible pour ça... mais ce n'est que moi. Julien Salut, Donc, pour moi, le SDN c'est le fait de pouvoir utiliser une API pour configurer ton réseau. C'est-à-dire que tu peux utiliser un produit existant ou développer un truc maison pour configurer ton parc. Dans le cas de virtualisation de réseau (quand tu utilises des VM), cela va aller jusqu'au branchement des câbles virtuels. Pourquoi passer au SDN et quels sont les avantages ? Déjà, beaucoup de monde en fait déjà en partie à coup d'outils existant ou de scripts maison. Mais je dirais que le plus gros avantage est la reproductibilité et le déploiement automatique. Tu vas pouvoir avoir la même configuration Terraform en DEV et en PROD aux variables prêt (par exemple le plan d'adressage, même si avec des VRF, ça pourrait même être strictement le même), ça permet d'éviter les erreurs de la config qui fonctionne en dev mais pas en prod. Toujours en restant avec l'exemple Terraform, tu vas pouvoir avoir le même projet pour la configuration réseau que pour les VM, ce qui veut dire que tu le jour où tu supprime tes VM, la configuration réseau spécifique est aussi supprimée, ça évite d'avoir des relicats que plus personne ne connaît. Tout cela permet de simplifier la partie "self-service" et évite de passer du temps à copier la configuration sur tous les switchs et routeurs impactés. En avez-vous déjà mis en place ? Oui, mais dans un cas particulier avec VMWare NSX-T, donc qui implique la virtualisation de réseau (en gros, tous les paquets sont encapsulés), ce qui veut dire, pas de configuration du réseau physique. Au niveau gain de temps, oui. Quand une VM doit être déployée, il suffit de mêttre les bon paramètres Terraform et avec quelques modules, on a la VM, le switch virtuel, le routeur et mêmes les règles firewall spécifiques qui sont déployées automatiquement. Gain de temps mais surtout moins d'erreurs de manipulation. Cela n'a bien sûr de l'intérêt que pour les tâches courantes, automatiser la configuration qui sera faite une fois tous les 5 ans est une perte de temps et dans 5 ans, plus personne ne se souvient de comment le script fonctionne. Voilà mon retour sur un cas spécifique d'utilisation. Bonne journée. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point
Le 21/04/2021 à 09:12, Vincent Habchi a écrit : Si je me souviens bien, la bande 5 GHz du WiFi avait également été prévue pour se situer dans la portion ISM (sans licence) de la bande 5,6, mais je suppose que compte-tenu de la largeur de bande nécessaire pour assurer le débit envisagé, et pour éviter des collisions, il a fallu déborder. Quant à détecter un signal radar, à moins d’opérer à l’extérieur à proximité d’un aéroport commercial ou militaire, les chances sont infinitésimales. Les radars ne tirent pas à l’horizontale, généralement (c’est d’ailleurs un souci quand des avions disparaissent en-dessous d’une certaine altitude de vol). Attention à ne pas confondre les radars météo (qui opèrent autour de 5650Mhz) avec les radars de détection d'aéronefs qui opèrent à des fréquences biens plus hautes et qui aujourd'hui, avec l'ADS-B sont un peu moins utiles sauf autour des aéroports . Concernant les radars météo par contre c'est très très problématique. Le problème est que ces radars ont une sensibilité extrême, donc une borne wifi dans l'axe à plus de 100km peux perturber la détection météo. En théorie, le DFS est censé te protéger de toute perturbation en stoppant les émissions dès qu'il détecte une pointe de puissance brute sur la fréquence d'envoi. Mais comme il y a plein de faux positif (rebonds) beaucoup de gens le désactivent par la bidouille. L'ANFR est souvent tombé sur le dos d'opérateurs wifi qui perturbent ainsi Meteo France https://www.anfr.fr/toutes-les-actualites/actualites/les-enquetes-de-lanfr-nuages-dorage-sur-lecran-radar/ https://www.anfr.fr/controle-des-frequences/brouillages/les-enquetes-de-lanfr/actualite/actualites/les-enquetes-de-lanfr-des-previsions-meteo-alterees-par-des-reseaux-wifi-non-conformes/ Plus généralement le site de l'ANFR est intéressant: https://www.anfr.fr/controle-des-frequences/brouillages/les-enquetes-de-lanfr/ http://www.meteo.fr/cic/meetings/2014/forumradar/pres/pres_01.pdf A titre personnel j'ai blacklisté toute les bandes entre 5590Mhz et 5570Mhz. Les systèmes ubiquiti sont bien pour ça car ils montrent la fréquence centrale mais aussi tous les canaux utilisés, c'est donc facile à vérifier. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La "backdoor" de Chrome
reBonjour, Le 07/04/2021 à 08:55, Francois Lesueur a écrit : Le but du modèle HTTPS/CA, c'est de chiffrer *avec la bonne personne*. > [...] C'est un peu comme le déploiement de DNSSEC ou RPKI, tant que ce n'est pas contraint côté client, ça ne protège pas vraiment des attaques tel qu'attendu... Alors justement , autant je suis d'accord avec tout ça dans le cas de services disponible directement sur Internet, quitte à "juste" utiliser Let's Encrypt. Autant sur des systèmes qui ne sont accessible que sur le LAN , tel que les bornes wifi, les imprimantes, ... bref des services qui pourraient tout aussi bien tourner en HTTP finalement, je trouve ça overkill. Je vais pas monter un CA pour 3 bornes wifi , une imprimante et la caméra d'une TPE derrière une livebox ! Le "trust on first use" de Firefox dont parles Vincent, utilisé depuis des année en SSH me parait être un bon compromis. Le fait que chrome ne permettre plus d'outrepasser ce genre de sécurité est à mon sens une décision plus stratégique que technique - à la limite tant mieux pour Firefox, mais bon j'ai déjà des clients qui ont dû changer de navigateurs pour cette raison - et c'est une perte de temps pour eux. En tous cas merci pour vos réponses. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La "backdoor" de Chrome
Une question que je me suis toujours posé à ce propos: A quoi servent ces restrictions sur les certificats de la part des navigateurs ? Je sais qu'il existe, en entreprise, des dispositifs pour intercepter - légalement - de l'HTTPS , mais du coup ça va marcher pour tout certificat (pas juste auto-signés) via notamment l'intégration dans l'OS (ou celui du navigateur dans le cas de Firefox). Des anti-virus sur les postes font ça aussi. Alors oui, _techniquement_ un certificat auto-signé pourrais être remplacé subrepticement par notre FAI, ou par un opérateur tiers. Mais est-ce que vous avez déjà rencontré ce cas en pratique ? La plupart des appliances réseau qui utilisent des certificats auto-signé (au hasard : Ubiquiti) sont cantonnés sur un LAN, accessible que via VPN. Ces histoires de certificats compliquent largement aussi l'utilisation de vieux matériel, genre des cartes RILOE2 , des APC, des KVM Aten, et j'en passe, et je ne vois aucun bénéfice sur la sécurité. Auto-signé ou pas c'est au moins chiffré, ce qui permet d'éviter l'evedropping passif. Il y a un truc que je saisi pas ? Julien Le 06/04/2021 à 20:19, Oliver varenne a écrit : Oui, google adore petita petit restreindre les possibilités vis-à-vis des certificats... Ce qui est super chiant quand tu développes (car tu bosses généralement avec de l'auto signé) Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! -Message d'origine- De : frnog-requ...@frnog.org De la part de David Ponzone Envoyé : mardi 6 avril 2021 20:03 À : frnog-misc Objet : [FRnOG] [MISC] La "backdoor" de Chrome Des semaines que je lutte avec Chrome qui empêche maintenant totalement d’aller sur un site dont le certificat est autosigné. Avant, on pouvait forcer en cliquant sur Advanced, mais plus depuis quelques temps. J’ai enfin trouvé la parade (j’admets que j’avais pas trop cherché): Quand on est sur la page de bloquage, il faut taper au clavier: thisisunsafe Magique. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Remote access tool.
meshcentral https://www.meshcommander.com/meshcentral2 ? Le 05/02/2021 à 11:33, Philippe Marrot a écrit : Hello, Je recherche actuellement un outil d'administration de postes Windows à distance en open-source. Cela prendrait la forme d'un agent Windows (installé en tant que service) dont les fonctions seraient: execution de scripts sur les postes, mises en place de taches planifiées, voire accès command line, le tout géré depuis un serveur central. Pas besoin de console à distance. A moins que mes recherches soient foireuses, je ne trouve etonnament pas grand-chose en open-source. Attention, je ne parle pas d'outil tels que WAPT ou Pdqdeploy qui sont orientés LAN (avec accès 135/137/445), mais d'un outil avec agent client qui communique en https avec un serveur hors LAN. Pour l'instant, seul Quasar ( https://github.com/quasar/Quasar ) (sauf la notion de service) semble matcher tousles points. D'autres idéees ?. PM. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Amplificateur 3G/4G
Le 26/07/2020 à 19:14, Refuznik a écrit : Bah entre les deux solutions, tu as le satellite. Accessoirement, pour le Ka-Sat en France il semble que le seul revendeur alternatif à nordnet soit BigBLU. Vous savez, la société qui a abonné cette liste à son système de ticket, depuis des mois, sans que ça ne semble les gêner le moins du monde. Au début en 2011 , le revendeur que j'avais était ConnexionVerte, qui n'existe plus mais qui m'avait assuré que les IP publiques ouvertes et l'IPv6 était prévu "pour bientôt", et qu'ils préparaient un système de VPN, le tout en utilisant des IP italiennes. J'avoue que j'ai pas essayé astra - mais les commentaires me paraissent assez éloquents sur le sujet, et la technologie est la même. Julien
Re: [FRnOG] [TECH] Amplificateur 3G/4G
Le 26/07/2020 à 19:14, Refuznik a écrit : Bah entre les deux solutions, tu as le satellite. J'ai été un des premiers clients de Ka-Sat en 2011. J'en ai été satisfait un peu plus d'1 an, ensuite le positionnement des offres commerciales de revendeurs associé au fait que chaque faisceau géographique ne puisse servir que 450mbps (à se partager sur une zone géographique importante) a amené le grossiste Eutelsat a imposer des 'fair use policy' qui, en pratique, faisait qu'après à peine 2h d'activité sur le net tu étais quasi coupé pendant 7 jours. Ils ont même stoppé la commercialisation sur une bonne partie du pays pendant presque 3 ans. J'ai re-essayé entre juillet 2018 et juillet 2019 (engagement d'un an), c'était exactement la même situation, au final je l'ai utilisé 15 jours sur 1 an d'abo. Et je ne compte même pas les limites ridicules en nombre de Mo par mois vu que les FAP te permettent pas d'en profiter de toute façon, ou le fait que malgré une IP publique tu ne peux établir de connexion entrante, et que la latence impacte très négativement toute utilisation VPN. A mon sens ce genre d'abonnement ne peux être utilisé QUE pour un usage très spécifique: Les vieux & les agriculteurs dans les campagnes qui allument le PC 1x par semaine pour aller relever leur mails et faire leur déclaration CAF ou MSA. Là, dans ce cadre restreint, c'est LA bonne solution. Mais la moindre mise à jour d'OS, le moindre download même occasionnel d'image vmdk, une utilisation un peu trop intense de teamviewer (ou pire, visioconf) et c'est le blocage complet pour 1 semaine en punition. Je n'en veux pas à Eutelsat - ce n'est pas leur métier, et les sat géostationnaires sont conçu pour du broadcast. Le 26/07/2020 à 19:57, Stéphane Rivière a écrit : Si c'est ça, c'est top ! J'attends quelques retours avant de me lancer. 1) Un coup de cartoradio chez vous pour voir où est la "lumière" et de quelle couleur elle est (l'opérateur le mieux placé et les bandes en 4G utilisées). 2) La bonne bestiole de chez Mikrotik (ils ont du très lourd avec un modèle à parabole intégrée, ça gaze à 15/20 bornes si vue directe) 3) Mettre ça en haut du toit, ou dans un gros arbre bien dégagé (couper les branches devant), bref, en hauteur :) Alors j'avais bien sur fait tout ça avant, avec en plus un sondage avec Network Cell Info autour de chez moi (et l'aide de Nicolas :-) ) Mais bon, je joue de malchance, l'antenne la plus près de chez moi et a portée (à peu près) visuelle n'émet pas en 4G, et celles qui sont 4G sont de l'autre coté de reliefs assez importants. (Et je parle ici des 2 opérateurs les plus proche, les autres je les captent même pas). Au final même avec des antennes yagi le RSRP plafonnait à -110dBm, un débit crête de 10Mbps et surtout des coupures longues de 1 à 2 minutes dès qu'on essaye de maintenir ce débit plus de quelques minutes. ( les paquets ne passaient plus, mais la connexion reste active). En 3G c'est nettement plus stable, avec un débit +/- équivalent à celui de mon ADSL donc peu d'intérêt en pratique hormis la redondance. Pas comparable avec la tuerie qui tue : https://www.amazon.fr/MikroTik-RBLHGR-R11E-LTE-LHG-LTE/dp/B07HYMT1XK/ref=sr_1_fkmr0_1?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91=1=4g+routeur+mikrotik+dish=1595785518=electronics=1-1-fkmr0 J'ai un pote qui a ça au fond de la verte. Montée tout en haut du toit, sur un bout de mat de 2/3 mètres sur la souche. Il est heureux depuis. J'avoue que je n'ai pas essayé ça. je me suis dit que ce genre de matériel était très adapté en LOS, mais dans mon cas... Je connais assez bien microtik pour en utiliser en wifi 2.4 , 5ghz et même 60GHz récemment, et tout mon réseau perso est également en microtik (et unifi pour les AP). Si c'est bon, un abo SIP à une balles chez OVH ou deux ailleurs et du DECT/SIP pas cher pour avoir des téléphones sans fils sympas, genre ces Panasonic (pour l'idée mais ces bidules sont bien, j'en avait chopé une demi palette pour pas cher, c'était la série précédente) : https://www.amazon.fr/dp/B00TPG6M8Y/ref=olp_product_details?_encoding=UTF8= De mon coté j'utilise surtout des SPA cisco de récup, et un petit centrex IP perso pour la téléphonie interne / répondeur / redirections. Mais pour moi, hormis pour les entreprises bureautique la téléphonie fixe est obsolète. Tout le monde échange les n° de portable, ne serait-ce que pour les SMS et autres messageries enrichies. ( Un truc que j'aimerais trouver d'ailleurs qui n'existe pas : Un "système bluetooth" qui , comme un casque, serait appairable avec un (ou
Re: [FRnOG] [TECH] Amplificateur 3G/4G
Bonjour, Le 26/07/2020 à 15:30, Stéphane Rivière a écrit : Le problème de fond est le suivant : les opérateurs sont susceptibles d'utiliser leurs fréquences de façon assez dynamique. Un réseau ça bouge. Ils ont payé ce droit une fortune. Ils en usent comme bon leur semble (enfin presque). Mettons qu'on installe un jour un répéteur pirate de qualité pas trop con et "dans les règles de l'art". C'est à dire qu'il va écouter d'abord les fréquences, se régler sur les bons relais et utiliser d'autres fréquences libres. À la fin de l'install tout va bien, ça fonctionne et personne n'est brouillé. Puis, quelques temps après, un opérateur ajoute quelques relais dans le coin et modifie les fréquences du relais sur lequel était connecté le répéteur. Il me *semble* que le matériel StellaDoradus n'est pas paramétrable de cette manière: Il n'y a pas de réglages, pas de "fréquence fixe" , c'est en permanence réajusté ce qui évite les ennuis. Le SEUL CAS (imho) où ce genre de répéteur est acceptable est celui d'une zone en sous-sol. Le répéteur RX (vu comme plusieurs smartphones) est mis en surface. Les bases TX (vues comme des relais) sont dans le sous-sol et ne perturberont JAMAIS un relais extérieur. J'envisage à titre personnel un tel appareil en GSM-only. L'ADSL est lamentable chez moi, (6.5km de 6/10, 70dB d'atténuation, pas de fibre avant 2 ans car zone AMII) et un test récent en 3G/4G box n'a pas été convaincant du tout quelque soit l'opérateur (box Alcatel HH40) La 2G passe à condition de se placer en hauteur dans le jardin. Inutile de dire que lors du confinement, le télétravail a été joyeux, et a montré l'impérative nécessité de faire quelque chose. Je précise que la maison est en pierre, et semi-enterrée. => Je n'ai jamais envisagé de machin chinois pour ce type d'usage, tant à cause du brouillage que qu'a cause des retours d'inutilité de ce genre de matériel. Mais par contre le matériel Stella Doradus me semble plutôt bon et surtout semble avoir un système de contrôle du gain qui , dans ma situation, pourrait être une solution avec une antenne directionnelle externe et le boîtier en intérieur dans la zone la plus protégée. Je cherche un peu plus de retours d'expérience pour me lancer, en toute responsabilité personnelle. Ce qui me dérange dans tout ça, c'est que les opérateurs interdisent ce genre de matériel mais ne se sentent pas obligé de fournir une solution aux particuliers ou PME/TPE pour autant: Que ça marche bien ou pas , c'est le même prix. Bien sur, tu as le choix de ne pas t'abonner, mais la téléphonie fixe est quasi inutilisable (spam) et inutilisable en cas de mauvais ADSL. Ou alors, pour la modique somme de 1M€ tu peux équiper un stade avec une solution sur mesure. Entre les deux, bah rien. Si, le femtocell, qui ne semble plus être disponible, trop chiant pour les opérateurs à maintenir (et tant pis pour ceux qui en dépendent). (Et le problème de l'ADSL pourri reste entier dans ce cas). A un moment, si aucune solution n'existe et qu'il n'existe pas d'injonction de la part du régulateur il ne me parait pas ignoble que les gens commencent à chercher des solutions par eux même, légales ou pas. L'une de ces solution pourrait être, par exemple, que les opérateurs commercialisent (à travers des installateurs même si nécessaire) du matériel certifié tel que celui ci-dessus avec une prestation standard, en boutique. Ok, ça coûterais 1000 balles mais ce serait une solution. A un moment, la réponse "vous n'avez qu'à déménager, c'est 30€ comme tout le monde monsieur" est peut-être acceptable pour certains, mais il ne faut pas s'étonner des conséquences. Julien
