Re: [FRnOG] [MISC] [tech] probleme axialis compte sip down
* David Ponzone - 26-03-2015 à 16h13: La faute d’orthographe de départ t’a induit en erreur. Il s’agit de: https://www.axialys.com/fr/index.php C'était parfaitement voulu, mais oui, j'ai un jour d'avance ;) Le 26 mars 2015 à 16:07, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : * David Ponzone - 26-03-2015 à 15h52: Ils ont pas de support ? http://www.axialis.com/support/logo.jpg Le 26 mars 2015 à 15:39, ay pierre aypierr...@gmail.com a écrit : bonjour, depuis 15h00 nous somme impacté par un coupure générale d'axialis plus aucun compte sip opérationnel impossible de les contacter quelqu'un a une info? d'autre son impacté?? Merci Cordialement --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [MISC] [tech] probleme axialis compte sip down
* David Ponzone - 26-03-2015 à 15h52: Ils ont pas de support ? http://www.axialis.com/support/logo.jpg Le 26 mars 2015 à 15:39, ay pierre aypierr...@gmail.com a écrit : bonjour, depuis 15h00 nous somme impacté par un coupure générale d'axialis plus aucun compte sip opérationnel impossible de les contacter quelqu'un a une info? d'autre son impacté?? Merci Cordialement --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
[FRnOG] [BIZ] Recherche FAI pour PME sur zone Nancy - 54280
Bonjour, pour un client type PME je cherche à trouver des FAI présents sur la ZAC du Chanois à Seichamps (54280) Je recherche une offre de simple accès Internet symétrique, si possible au delà de 4Mbps. Adresse complète ou informations supplémentaires en privé. D'avance merci, -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Appliance 1U - pour routeur
* [dotSmart] David LEROY - 11-03-2014 à 12h28: Bonjour Simple et efficace : http://www.allnetfrance.fr/fileadmin/transfer/products_fr/76888.pdf Merci pour les premiers retours, c'est déjà très instructifs, oserais-je demander si qqun connaîtrait du matériel de ce genre (plateforme x86), supportant 2+ SFP 1Gbit mais avec alimentation redontante ? Je serais fortement intéressé par ce genre de matériel, s'il existe. David -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sébastien 65 Envoyé : mardi 11 mars 2014 09:21 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Appliance 1U - pour routeur Bonjour, Je suis à la recherche d'un ou des contacts concernant des Appliance 1U de type Intel ATOM - 2 à 4 Go RAM - 2 disques 2.5 - 4 ports (ou plus) Giga RJ45, SFP?... Le but final est d'en faire un routeur de bordure sous Linux/BGP... Utilisez-vous ce genre de configuration sur votre backbone ? (Me semble que Gitoyen utilise des trucs comme ça, une recherche sur NanoBSD et je suis tombé sur leur page...) Ensuite que pensez-vous d'installer l'OS sur une carte SD/Flash plutôt que sur un disque dur ? Bonne journée. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Ce courrier électronique ne contient aucun virus ou logiciel malveillant parce que la protection avast! Antivirus est active. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Appliance 1U - pour routeur
* Sébastien 65 - 11-03-2014 à 14h29: Bonjour à tous, Merci pour les retours... AllNet je connais, mais jamais mis en production sur du BGP... A première vue quelque personne l'utilise ! Pouvez-vous me faire un petit retour sur la fiabilité d'un AllNet pour quelque peering et 4 full view grand max de Transit... Avantage/inconvénient du AllNet... @remi.laurent-fr...@conostix.com Je lorgne sur cette configuration depuis quelques jours : http://www.jlgdiscount.fr/serveurs-appliance-reseau/9684-net-appliance-rackable-19-atom-d525-18g-8p-gigabit-2-sfp.html mais pas d'alim redondante ! Merci j'ai aussi vu ce genre de matériel, mais je n'ai jamais osé demandé de pricing ;) http://www.lannerinc.com/products/x86-network-appliances/rackmount/fw-8893 Certains ont déjà vu ce genre ce plateforme ? Date: Tue, 11 Mar 2014 14:20:12 +0100 From: remi.laurent-fr...@conostix.com To: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Appliance 1U - pour routeur * [dotSmart] David LEROY - 11-03-2014 à 12h28: Bonjour Simple et efficace : http://www.allnetfrance.fr/fileadmin/transfer/products_fr/76888.pdf Merci pour les premiers retours, c'est déjà très instructifs, oserais-je demander si qqun connaîtrait du matériel de ce genre (plateforme x86), supportant 2+ SFP 1Gbit mais avec alimentation redontante ? Je serais fortement intéressé par ce genre de matériel, s'il existe. David -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sébastien 65 Envoyé : mardi 11 mars 2014 09:21 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Appliance 1U - pour routeur Bonjour, Je suis à la recherche d'un ou des contacts concernant des Appliance 1U de type Intel ATOM - 2 à 4 Go RAM - 2 disques 2.5 - 4 ports (ou plus) Giga RJ45, SFP?... Le but final est d'en faire un routeur de bordure sous Linux/BGP... Utilisez-vous ce genre de configuration sur votre backbone ? (Me semble que Gitoyen utilise des trucs comme ça, une recherche sur NanoBSD et je suis tombé sur leur page...) Ensuite que pensez-vous d'installer l'OS sur une carte SD/Flash plutôt que sur un disque dur ? Bonne journée. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Ce courrier électronique ne contient aucun virus ou logiciel malveillant parce que la protection avast! Antivirus est active. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [MISC] HOPUS ?
* Dominique Rousseau - 07-02-2014 à 10h02: Le Fri, Feb 07, 2014 at 09:58:05AM +0100, renc [rencontr...@gmail.com] a écrit: [...] alors la ...reclamer des pages/flux sans arrets en boucle... ruinerait l'émetteur a coup sur... Pour l'émetteur, ça changerait pas grand chose, il paye déjà son transit, à l'heure actuelle. Par contre, il existe une variante de ce que tu décris, de par le fait que celui qui reçoit les données est rémunéré. Ce qui pourrait être une motivation plus directe à le faire :) Idée de nouveau service, la location de botnet spécifiques à un AS. Émettre en grande quantité depuis un réseau eyeball de machines infectées, recevoir tout ça via Hopus et blackholer le trafic; d'autant plus facile que le profil du DDoS est connu et configurable. À voir si le prix de location du botnet reste inférieur à la rémunération collectée via Hopus. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
* Cédric - 30-10-2013 à 10h02: En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Ça ne viendrait pas tout simplement d'une asymétrie quelque part dans le routing et qui ferait que le firewall stateful ne s'y retrouve pas ? J'ai déjà eu le problème et à part explicitement ajouter un no state sur les règles pass in pass out concernant le trafic potentiellement concerné je n'ai pas vraiment trouvé de solution. On peut aussi utiliser pfsync defer sur le ou les routeurs bgp mais ça induit une certaine latence au moment d'établir une connexion (tcp par exemple), le temps que le state soit propagé. Cordialement, Cédric Le 29 octobre 2013 21:54, sn...@sn4ky.net a écrit : Comment peut on avoir des problèmes liés a PF. Mes expériences avec PF ne m'ont justement apporté que des solutions ;) Le 2013-10-29 15:47, Breizhad Rico a écrit : Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
* Christophe - 17-09-2013 à 12h42: Bonjour à tous, Le 17/09/2013 08:48, Sebastien DIEFENBRONN a écrit : 2/ Dual WAN Comment ça se passe si on souhaite avoir 2 liaisons wan de deux opérateurs différents? Est-on obligé de demander un range PI, et s'annoncer en BGP? ou finalement, doit on revenir au bon vieux NAT des chaumières? ou y'a t'il simplement d'autres méthodes propres? Pour l'heure, je vois deux méthodes : - PI avec annonce BGP - NPTv6 Ce sujet tombe très bien ;) . Savez vous si une implémentation de NPTv6 existe sur OpenBSD ? Ca fait un moment que je cherche, sans succès jusqu'à présent :( , il est vaguement question de NPF (probable successeur de PF), mais sans plus. Si j'ai bien compris le princi de NPTv6 je pense que ce genre de règle devrait faire l'affaire match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 bitmask -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Rémi Laurent - 11-06-2013 à 11h58: * Raphaël Jacquot - 11-06-2013 à 11h49: On 11.06.2013 11:29, Christophe Baegert wrote: 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique), ou avec une carte accélératrice (pareil, vérifier le support) c'est pas trop difficile, a condition d'utiliser les instructions AES intégrées aux processeurs... c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout de même pas mal, je viens de faire quelques 'speed' tests avec un openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut encore que je teste avec le bridge etc... mais c'est encourageant Merci pour vos réponses Finalement ce post m'aura permis d'avoir les contacts de pas mal de monde ;) J'ai pu refaire des tests sur des Xeon E5-2650 avec AES-NI; avec une stock Debian Linux, un L2TP par dessus de l'IPSec le tout bridgé j'atteins environ 980Mbps, je crois que je vais finalement opter pour cette solution un peu bricolée mais finalement peu onéreuse et assez flexible. Encore merci pour les pistes et les propositions hors liste -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Méhdi Denou - 12-06-2013 à 17h20: Juste pour info: quelle est la consommation cpu/core ? J'avoue ne pas avoir regardé, ce CPU est annoncé à 95W maximum et la machine que j'ai testé fait environ 150W en idle, donc je dirais que le tout doit faire dans les 250-300W maximum à pleine charge. Le 12 juin 2013 16:48, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : * Rémi Laurent - 11-06-2013 à 11h58: * Raphaël Jacquot - 11-06-2013 à 11h49: On 11.06.2013 11:29, Christophe Baegert wrote: 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique), ou avec une carte accélératrice (pareil, vérifier le support) c'est pas trop difficile, a condition d'utiliser les instructions AES intégrées aux processeurs... c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout de même pas mal, je viens de faire quelques 'speed' tests avec un openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut encore que je teste avec le bridge etc... mais c'est encourageant Merci pour vos réponses Finalement ce post m'aura permis d'avoir les contacts de pas mal de monde ;) J'ai pu refaire des tests sur des Xeon E5-2650 avec AES-NI; avec une stock Debian Linux, un L2TP par dessus de l'IPSec le tout bridgé j'atteins environ 980Mbps, je crois que je vais finalement opter pour cette solution un peu bricolée mais finalement peu onéreuse et assez flexible. Encore merci pour les pistes et les propositions hors liste -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAlG4ikwACgkQPckIWg+gBgFLsACfQv6WDTXpUqfKyFSs57PlHrW1 ZoYAmwSmzsYlmob7/b4IGYtEV/7ae4j7 =dFUR -END PGP SIGNATURE- -- Méhdi Denou --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
[FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Guillaume Tournat - 11-06-2013 à 10h28: Le 11/06/2013 10:24, Rémi Laurent a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. sinon, il y a le bon vieux VPN IPsec site-à-site, mais c'est du L3... Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Raphael Maunier - 11-06-2013 à 10h33: Hello, J'utiliserais du Adva FSP avec les cartes bonnes cartes d'encryption. Je ne connais pas bien le matériel Adva mais il semblerait que la gamme FSP qui supporte le chiffrement soit destinée à du WDM (entre autres)? Or ici je suis livré en Ethernet sur une fibre éclairée, j'ai donc déjà un fournisseur qui s'occupe du transport sur son infra WDM. C'est leur plus gros marché entreprise ce type de solution Cordialement, -- Raphael MAUNIER Jaguar Network France On Jun 11, 2013, at 10:24 AM, Rémi Laurent remi.laurent-fr...@conostix.com wrote: Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Emmanuel Lacour - 11-06-2013 à 10h52: On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. OpenVPN (performances en Giga à valider)? C'est ce à quoi j'avais pensé en premier lieu et ça sera probablement la solution par défaut si les coûts ou la complexité explose. J'ai déjà un setup presque prêt dans notre lab, je tâcherai de vous donner les retours. C'est juste que j'aimerais éviter d'insérer des serveurs dans le chemin; si je pouvais effectuer le chiffrement entre des switchs connectés à la fibre par exemple ça serait une solution qui me conviendrait parfaitement. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Raphaël Jacquot - 11-06-2013 à 11h49: On 11.06.2013 11:29, Christophe Baegert wrote: 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique), ou avec une carte accélératrice (pareil, vérifier le support) c'est pas trop difficile, a condition d'utiliser les instructions AES intégrées aux processeurs... c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout de même pas mal, je viens de faire quelques 'speed' tests avec un openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut encore que je teste avec le bridge etc... mais c'est encourageant Merci pour vos réponses -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Wallace - 11-06-2013 à 18h16: OpenVPN en tap marche très bien, à tester car entre deux serveurs dédiés OVH je dépassais pas les 300Mbps mais n'ayant pas la main sur le réseau dur de savoir ce qui coince réellement (carte réseau ou réseau bridé/protégé). Premiers tests j'ai à peu près les mêmes performances. Je viens de finir un autre montage à coup de l2tp dans ipsec, là par contre j'atteins les 500Mbps. Par contre il faut un peu tuner les MTU pour que ça passe de bout en bout. Je n'ai pas assez de matériel supportant AES-NI pour l'instant, si j'arrive à avoir ça je vous en ferai part. FYI: les deux endpoints sont des Intel Xeon X3440 et les cartes réseaux des chip Intel 82576, drivers e1000; pas de tuning particulier pour l'instant -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
* Laurent CARON - 31-01-2013 à 20h56: On 31/01/2013 16:16, Rémi Laurent wrote: D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et du routing asymétrique, je suis intéressé d'avoir leur retour ;) Bonsoir, Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si tu utilises l'option defer sur ton interface pfsync [...] Je l'utilise pour 4 routeurs (2 groupes de 2 en actif/passif) afin de pouvoir avoir les mêmes états sur les 4 machines. Mes 0.02€ Merci pour le retour, j'avoue ne jamais avoir utilisé defer pour autre chose que des tests, le point qui me faisait peur c'est que finalement chaque routeur va avoir la totalité des states de tous ses congénères en plus des siens; je suppose que ça peut rester gérable avec deux ou trois routeurs mais ça va vite exploser. Sans compter que ce n'est plus un seul, mais tous les routeurs qui vont commencer à jeter des connexions si la 'states limit' est atteinte en cas de l'un ou l'autre D?DoS. J'ai finalement l'impression que le fait de n'avoir aucune possibilité de faire du filtering stateless sous pf est assez dommageable dans certains scénarios. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
* Simon Morvan - 31-01-2013 à 15h50: Le 31/01/2013 15:44, Christophe Baegert a écrit : Le 31/01/2013 15:41, Antoine Durant a écrit : Donc en gros pas de firewall sur un routeur, mais quelle protection est-il possible de mettre en place sans forcément plomber le serveur ? Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique, forcément... Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd) c'est pénible en cas de routage asymétrique (non rare dans un contexte de routeur BGP). Je confirme, avec OpenBSD c'est même particulièrement pénible. - avec keep state, asymétrie impossible - avec no state, déjà eu des surprises au niveau du window scaling sur du routing asymétrique. - avec sloppy state, tout va bien, mais ça mange des states comme pour rigoler; à voir en jouant avec 'set timeout' pour trouver un équilibre. D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et du routing asymétrique, je suis intéressé d'avoir leur retour ;) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
* Simon Morvan - 31-01-2013 à 18h17: Le 31/01/2013 18:11, Antoine Durant a écrit : Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une meilleure idée ? Sûrement, mais Radu est du genre... radical :) Et puis comme ça on peut se faire payer un verre quand le nouveau venu fait naïvement un update kernel et que nf_conntrack.ko fait à nouveau son apparition -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Sécurité du routage BGP et Avenir de la Télématique
* J.-M. Kubek - 09-01-2013 à 12h11: Le mardi 08 janvier 2013 à 17:58 +0100, Rémi Laurent a écrit : * Stephane Bortzmeyer - 08-01-2013 à 16h42: Dès lors, comment peut-on faire pour éviter d'être impacté quand on est un (petit) AS peeré avec un mastodonte comme HE ? (via un peering je les vois annoncer 40k préfixes v4 et plus de 7000 préfixes v6). Mmm, éviter je ne sais pas mais il est sans doute intéressant d'être averti d'un problème. Pour cela, dans le apssé, lorsque je touchais BGP, j'utilisais un service de l'université de californie (cyclops). Cf http://cyclops.cs.ucla.edu/. Le service a l'air d'être toujours disponible... Je connaissais bgpmon.net mais pas encore celui la, merci pour la référence. Par contre le problème ici c'est que le MITM mentionné concerne les préfixes et AS inconnu à priori, dans le cas présent c'est Orange/FT, ATE ou HE qui auraient pu détecter l'alerte via ce système, pas moi. Si c'est le cas, comme ce sont des ens/chercheurs, il faudrait en profiter pour leur demander s'ils savent faire la différence entre un GBIC ou un SFP :) Cdlt, J.-M. Au niveau prefix-limit le leak de 500 préfixes v4 n'auraient pas été détecté et au niveau génération d'une config de filtre on dirait qu'HE fait office de mauvais élève avec import: from AS-ANY accept ANY export: to AS-ANY announce AS-HURRICANE export: to AS-ANY announce AS-HURRICANEv6 je suppose que la macro AS-HURRICANE(v6)? référence leurs clients transit (ou alors elle n'est pas à jour, l'AS 35625 référencé dans l'incident n'en faisant pas partie). Et même s'ils remplissaient cette DB correctement ils ont plusieurs centaines de peering en place et qques dizaines de milliers de préfixes collectés, des config potentiellement gigantesques à générer et traiter. Sans compter le cas où on aurait HE comme fournisseur de transit, cas où l'on peut encore moins facilement mettre en place ces filtres. (en espérant ne pas poser des questions de néophyte) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Sécurité du routage BGP et Avenir de la Télématique
* Stephane Bortzmeyer - 08-01-2013 à 16h42: POur une fois, ce ne sont pas les chinois qui font du détournement BGP ! Cocorico, le Redressement Productif est en route : http://www.bgpmon.net/accidentally-stealing-the-internet/ Sérieusement, l'originalité de ce détournement est que l'origine n'a *pas* été changée et que donc les techniques d'authentification de la l'origine (comme les ROA) n'auraient pas aidé. Donc l'idée ici c'est d'utiliser des filtres sur les préfixes reçus du peer ? HE.net a visiblement accepté une annonce erronée et n'aurait pas de filtering en place vis à vis de ses peers (mais je suppose que la grande majorité des AS n'ont pas de filtering en place). Dès lors, comment peut-on faire pour éviter d'être impacté quand on est un (petit) AS peeré avec un mastodonte comme HE ? (via un peering je les vois annoncer 40k préfixes v4 et plus de 7000 préfixes v6). Au niveau prefix-limit le leak de 500 préfixes v4 n'auraient pas été détecté et au niveau génération d'une config de filtre on dirait qu'HE fait office de mauvais élève avec import: from AS-ANY accept ANY export: to AS-ANY announce AS-HURRICANE export: to AS-ANY announce AS-HURRICANEv6 je suppose que la macro AS-HURRICANE(v6)? référence leurs clients transit (ou alors elle n'est pas à jour, l'AS 35625 référencé dans l'incident n'en faisant pas partie). Et même s'ils remplissaient cette DB correctement ils ont plusieurs centaines de peering en place et qques dizaines de milliers de préfixes collectés, des config potentiellement gigantesques à générer et traiter. Sans compter le cas où on aurait HE comme fournisseur de transit, cas où l'on peut encore moins facilement mettre en place ces filtres. (en espérant ne pas poser des questions de néophyte) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie
* Gregory Colpart - 02-11-2012 à 15h23: Si tu as 2 routeurs pour une petite infra derrière, il serait étonnant de ne pas mettre une redondance complète, surtout si tu utilises OpenBSD : - CARP sur ton LAN (default gateway) ; - 1 session BGP avec tes 2 transitaires sur *chaque* routeur (donc 2x 2 sessions)... ou du CARP si tu ne peux pas avoir tes 2 sessions BGP avec un transitaire [*] ; - le lien back2back n'est nécessaire que pour la synchro des états PF entre les routeurs, et sauf si tu as beaucoup de VoIP ou de bureau distant, ce n'est pas obligatoire (l'une des interfaces « LAN » fera très bien l'affaire). À noter que le filtering PF sur les border routers avec deux (ou plus) sessions avec des transitaires ou peering c'est particulièrement périlleux. Avec une synchro des états avec pfsync il est plus que conseillé d'utiliser l'option defer ifconfig(8) et il y a parfois des délais étranges sur des connexions asymétriques. Si par contre on n'utilise pas pfsync il faut absolument utiliser les sloppy states, voir pf.conf(5) My 2 cents aussi (ou alors j'ai raté l'option qui tue) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [MISC] Le bal est ouvert : c'est parti pour les offres de rachat d'adresses IP
* Baptiste Malguy - 24-10-2012 à 14h05: Hello, Depuis ce matin, déjà deux méls (un d'origine francophone, l'autre anglophone) pour nous racheter des adresses IPv4. J'ose à peine imaginer chez les copains. A vos calculettes ;-) Mail de ipv4rent.de ici, mais pas encore de prix proposé. Leur homepage est un proxy vers le site du RIPE et d'après eux on a un /21 non annoncé qu'ils proposent de racheter (pourtant elle est bien annoncée cette alloc ...) C'est aussi en train de tourner sur twitter https://twitter.com/PvdWalle/status/261037205747806208 https://twitter.com/ziromr/status/261027943487250432 -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [MISC] Recherche machine pour firewall à la maison
* David Touitou - 31-08-2012 à 09h40: 'jour à toutes fins utiles, j'ai trouvé ce modèle (DX1740): http://www.exar.com/network-security/data-security-and-compression/8200-dx-1700-dx-1800-series/express-dx-1700 PCIe. Dans un nettop ou à peine plus gros, ça va pas être pratique... Dans le cas présent la question portait sur un Soekris 6501, et ça passe, par contre attention que c'est du PCIe 1x seulement sur les 6501. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] FranceIX
* Jérémy Martin - 28-08-2012 à 16h07: J'aimerais pas être en face du routeur : http://portal.franceix.net/total_all_FranceIX_day.png Effectivement, on comprend mieux les pertes de packets vers Google... Tiens, sur les graphes sflow c'est la tendance inverse http://tools.franceix.net/sflow_static/all_traffic_aggregated_today.png Mais effectivement, ça a l'air tout cassé pour le moment -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
* Radu-Adrian Feurdean - 25-08-2012 à 14h41: On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. OpenBSD + relayd avec pf + pfsync defer + carp permettent ce genre de cascade, par contre les possibilité de rewrite sont assez limitée et à ma connaissance le stickyness se base simplement sur l'ip source Niveau performance je doute fortement que ça atteigne les 10Gbit par noeud, il y a des benchs qui avec un peu de tuning et le bon hardware atteignent les 10Gbit full duplex sur un rule set basique, mais l'introduction de relayd et du NAT qui va avec devrait pas mal plomber les perfs. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature