Re: [FRnOG] [TECH] Problème FortiGate

[Vincent]

Salut,

Désolé ca va pas t'aider mais attention, 2 PCs dans un même
réseau/navigateur ne signifie pas du tout forcément la même requête
réseau..

Juste en parlant de proxy HTTP  tu peux  avoir:
- un poste qui sera configuré via  son DHCP pour utiliser  un proxy HTTP
via un proxy.pac:
- Les navigateurs IE/Chrome l'utiliseront via la conf windows mais pas
forcément Firefox.
- Un autre aura peut être des exceptions de proxy déclarées  manuellement.
- un qui utilisera le même proxy pour le http ET https
-  un dernier qui aura un proxy http et un autre pour le https.
Juste pour une histoire de proxy, chaque cas précédent aura une requete
différente (https, http over TLS, https over https,..)

Tu vas perdre quelques points de vue et cheveux   mais je te conseille de
sortir combo curl/wireshark côté client PLUS une autre sonde pour comparer.


 Dans mon cas perso, le FW modifiait les en-tetes TCP et cassait les
sessions TLS. Mes pcaps aux niveaux du  SQUID, je voyais des paques émis
par le client que je ne retrouvait pas dans le pcap du dit client (testé
sous Wireshak Windows et GNU/Linux)...  ça m'a rendu fou..

Bon courage! Tiens nous au jus quand tu trouves l'origine de ton probleme.
A+
V.

PS: On est vendredi, pour troller entre la MSS et MTU,  je vous joint un de
mes petit code récent BASH/AWK completement useless

Ca va modifier la MSS vers les @IP qui vous scannent, c'est une défense
type "deception".  (à ne pas utiliser en prod bien sur)

#!/usr/bin/env bash
export PATH="/bin:/usr/bin:/sbin"
# "pretty" useless AntiBruteForce bash script
# Deception Counter-mesure settings a 5bytes MSS window with the attacker
# 0. Get the ip/interface of your gateway
# 1. tailling logs
# 2. awk script matching failled auths (LOG_FILTER), extract @IP, execute
the FILTER inline script
# 3. set the MSS to 5bytes with the previous @ip  (except  WHITELIST)
# Vive La Commune!

# VARIABLES
# journalctl filter with IP
LOG_FILTER='$0 ~ /.*sshd.*failure.*/ || $0 ~ /smtpd.*lost connection after
EHLO from unknown.*/'
WHITELIST=('127.0.0.1' '192.168.1.254')
#  TEST : /!\ CHANGED THE LAST 2 LINES !!
#DEBUG="echo " ; LOG_TEST="toto 8.8.8.8 toto" ; LOG_FILTER='toto.*toto'

# CODE NE PAS MODIFIER!
# -1. Check dependances
tools=('awk' 'sed' 'journalctl' 'ip')
for i in  ${!tools[@]} ; do command -v "${tools[i]}"  &> /dev/null || {
echo  "manque ${tools[i]}" ; exit -1; }; done

#0.
read -r gw dev<<<$(ip route | awk '/default/ {print $3 " " $5}')

#3.
FILTER=$(cat  Le 16/05/2024 à 09:34, Toussaint OTTAVI a écrit :
> >
> >
> > Le 15/05/2024 à 14:48, Hugues Voiturier a écrit :
> >> Mais quelle excellente idée de changer la MTU de l’interface sans
> >> changer la MSS,
> >
> > Je suppose que cela dépend des équipements. MSS = MTU moins les headers
> > (IP, TCP, IPsec...). Par défaut, le matériel que j'utilise calcule la
> > MSS tout seul en fonction de la MTU spécifiée. A vérifier dans la doc du
> > firewall, mais s'il ne le fait pas automatiquement, si on réduit la MTU,
> > il faut à priori réduire aussi la MSS à MTU - 40 (20 octets de header
> > TCP + 20 octets de header IP)
> >
> > --
> > Sinon, à ma connaissance, il n'y a pas de risque à spécifier une MTU (et
> > une MSS) trop petite (à part bien sûr la fragmentation excessive, qui
> > peut dégrader les performances).
>
> Ce n'est pas une bonne idée. Exemple avec ce schéma:
> CPE <--> PE
>
> Si la MTU du PE est à 1500 et celle du CPE est à 1492: lorsque le PE va
> envoyer des paquets à 1500 le CPE va les dropper.
> Et surtout le drop n'émet pas un paquet ICMP, donc si c'est du TCP la
> pile TCP doit interpréter ce drop comme un problème de MTU et pas une
> perte de paquet "classique", d'où le long délai pour établir une
> connexion (qui plus est en HTTPS avec la session SSL).
>
> Et inversement PE / CPE.
>
> La MTU doit toujours être identique des 2 côtés et il n'y a pas d'autre
> possibilité.
>
> $ ping -M do -s xxx ip
>
> peut parfaitement détecter des problèmes de MTU.
>
> >
> > 1492 est la valeur classique d'une MTU sur un lien WAN PPPoE.
> > Avec certains opérateurs, et en fonction de la façon dont ils collectent
> > le trafic pour le ramener sur leur infra, on peut être amenés à
> > descendre la MTU jusqu'à 1452 pour que le trafic passe bien.
>
> Ca c'est un problème, car la MTU est négociée par le PPPoE, est-ce que
> ton routeur a bien pris en compte la négo PPPoE ?
> Le LNS lui va envoyer des paquets à la MTU sans savoir que ton CPE a une
> MTU beaucoup petite.
>
> >
> > Pour ce que j'ai pu en voir, on n'a besoin de modifier la MTU que si

Re: [FRnOG] [TECH] Bgp sous FRR

[Vincent PAGES]

Hello,


Certains opérateurs te fournissent des blocs d'interco IP non routables. 
Ainsi tu peux te connecter sur ton routeur avec les IPs de ton asn, mais 
si le linux essaye de sortir sur internet via cette interco, possible 
qu'il utilise la mauvaise IP source.



Dans ce cas, tente un ping et force l'IP source pour voir si ca résoud 
ton problème.



Et effectivement, ca peut aussi venir des DNS qui ne sont pas joignables 
aussi avec des ips d'interco publiques mais non annoncées sur Internet.



Cela évite pour l'opérateur et ton infra qu'il y ait des DDOS sur ces 
plages IPs.




Le 16/05/2024 à 18:55, Laurent Barme a écrit :


Le 16/05/2024 à 18:04, Nicolas de Brou a écrit :

Hello

Je me suis mal exprimé, désolé

On a deux transitaire et ça fonctionne
Le routeur « route » et les majs bgp fonctionne

C’est le Linux qui lui n’accède pas à internet
Alors que je peux me connecter dessus à distance…
Cela m'évoque un problème de DNS mal (ou pas défini) au niveau du 
contexte linux…


Merci


Le 16 mai 2024 à 17:41, Raphael Mazelier  a écrit :

Hello la liste,

Quand tu dis fait bien son travail que veut tu dire ?
Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te 
reste des routes et une default il va router. Mais tu n'auras pas 
trop d'update :)


--
Raph


On 16/05/2024 16:53, Nicolas de Brou wrote:

Bonjour,

Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait 
accepter de perdre une heure Max pour comprendre pourquoi mon 
routeur fait bien son travaille mais que depuis la cli je ne puisse 
pas accéder aux ressource (exemple mise à jour)


Merci d’avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème FortiGate

[Vincent]

Salut,

j'ai eu ce genre de probleme que j'ai mis de temps à débugguer. Les sites
httpS avaient une grande latence à la permiere connexion, (voir certains ne
passaient pas) en passant par notre proxy Squid. Le meme ¨PC vers le meme
site en bypassant  le SQUID yavait pas de probleme.

C'était en fait notre GW/FW Cisco Firepower qui s'amusait avec les en-tetes
TCP et les paquets étaient ensuite jetés au feu par le kernel du client.
Plus précisement:

*Symptom:
Traffic using TCP Fast Open fails when the TLS Server Identity feature is
enabled https://bst.cisco.com/quickview/bug/CSCwf05295*

Conditions:
FTD version 7.0.5
First time reported on FPR9k but can be present in other models.

TLS Server Identity feature enabled under Access Control Policy > Advanced
Settings > TLS Server Identity Discovery > Early application detection and
URL categorization - Enabled

Firepower attempting to process TCP traffic with TCP piggyback enabled.

Workaround:
Disable TLS Server Identity if TCP Fast Open is needed

Mes 20centimes

On Wed, May 15, 2024 at 12:42 PM Frederic Lubrano <
frederic.lubr...@gmail.com> wrote:

> Bonjour Florian,
>
> Je suis d'accord avec Hugues, cela me fait également penser à un souci MSS.
> Cependant, tu indiques que cela fonctionne sur un poste sans problème.
> Quelle est la différence entre le poste qui fonctionne et ceux qui ne
> fonctionnent pas ? Par exemple : la version du navigateur, ce poste est-il
> sur le même LAN, etc. Un problème possible pourrait être décrit ici :
>
> https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Web-pages-not-loading-or-taking-too-long-to/ta-p/313958
> En complément, es-tu Flow ou proxy mode ? Qulle version FortiOS ?
>
> Fred
>
>
> On Wed, May 15, 2024 at 12:13 PM Hugues Voiturier <
> hugues-lis...@milkywan.fr>
> wrote:
>
> > Bonjour,
> >
> > La comme ça, les symptômes que tu décris me font penser a un souci de MTU
> > / MSS. Tu as regardé en ce sens ?
> >
> > Hugues
> >
> > Hugues Voiturier
> > Consultant en architecture réseau
> > AS2027
> >
> > > On 15 May 2024, at 11:59, Florian VANNIER  >
> > wrote:
> > >
> > > Bonjour à tous,
> > > Je me permets de jeter une bouteille à la mer car on galère pas mal sur
> > un cluster de FortiGate 101F.
> > > Pour résumer la situation, cluster sur un site distant géré par un
> > FortiManager au niveau du groupe.
> > > Règles communes vers le web. (sur 8 sites distants)
> > > Spécifiquement sur ce site, on rencontre des sites web qui tombent en
> > timeout (ou très très lent) ou bien des erreurs de certificat (évidemment
> > les clients ont le CA Root interne). Constaté aussi sur différents
> > navigateurs. Sur un poste ça fonctionne, l'autre non ...
> > > 
> > >
> > > 
> > >
> > >
> > > On a donc désactivé au fur et à mesure tous les éléments de sécurité
> > (DeepSSL, IPS, AV ...) vers le web.
> > > Mais on rencontre toujours ces problèmes de façon sporadique :(
> > > On a aussi fait des tests afin d'exclure un problème sur un WAN
> > spécifique.
> > > Calme plat sur l'utilisation CPU/RAM ...
> > > 
> > >
> > >
> > > Notre intégrateur ainsi que le support Fortinet semblent à cours
> d'idées.
> > >
> > > Avez-vous déjà rencontré ce genre de problème ?
> > > Une idée sur ce qui pourrait causer ce comportement ?
> > >
> > > Merci d'avance la liste
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Tempête solaire prévue cette nuit

[Vincent Tondellier via frnog]

Le vendredi 10 mai 2024, 17 h 31 min 25 s CEST Richard Klein a écrit :
> Il serait intéressant d’avoir des RETEX pour savoir si il y a eu des
> conséquences supposés… 

Assez éloigné de l'informatique, mais c'est (a priori) lié a la tempête solaire 
:

https://tech.slashdot.org/story/24/05/13/1648202/

https://landmarkimp.com/news/news/blog/geomagnetic-storm-affecting-gps-signals--may-2024/

> 
> > Le 10 mai 2024 à 17:18, Stephane Bortzmeyer  a écrit :
> > La précédente alerte de ce type était en 2005.
> > 
> > https://www.swpc.noaa.gov/news/media-advisory-noaa-forecasts-severe-solar-
> > storm-media-availability-scheduled-friday-may-10




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

[Vincent Tondellier via frnog]

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le 
rapport. 


Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se 
connecte est sur n’importe quel autre réseau, avec ou sans IPv6, 
ou chez Free / FreePro, ben ça juste fonctionne sans aucun 
souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez 
Forti, mais  il n’y a que chez Orange (offre Orange Pro) que ça 
semble se déclencher, et c’est pénible.


C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.

C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.



Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog 
 a écrit :


On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un 
problème de split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 
est la plupart du temps cassé (CGNAT, DNS64 et autre) pour 
autre chose que du web simple.

IPv6, lui, fonctionne correctement.

Vincent.


 ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

[Vincent Tondellier via frnog]

On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
simple.

IPv6, lui, fonctionne correctement.

Vincent.



Le 2 mai 2024 à 14:46, Vincent Tondellier 
 a écrit :


Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...







---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

[Vincent Tondellier via frnog]

Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:

Désactive IPv6 sur le client pour voir.


C'est le contraire qu'il faut faire. 
En IPv6 ca passe, en IPv4 non (probablement CGNAT ou autre mécanisme de 
transition a la con qui fout la merde).


(Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan 
sur android.

"Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
(avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).

Ca fait de mes souvenirs plus d'un an que c'est comme ça.

Vincent.

On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:

Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites 
distants et des Fortigate. Lignes fibres pour la plupart 
aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc, 
peu importe. J’ai des tunnels IPSec entre les sites distants 
sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. 
SSL, IPSec, clients Forti selon les cas, mais pas eu beaucoup de 
soucis.


Depuis quelques mois (dur à retracer), chez un seul client, 
impossible de monter un tunnel IPSec via iOS ou macOS quand ils 
sont en 4G/5G (sur le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet 
depuis n’importe quel autre opérateur fonctionne sans souci. 
J’ai essayé via Free et FreePro mobiles, aucun problème, le 
tunnel est établie en 150 ms à peine.


Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble 
se passer normalement, puis j’ai quasi dans la foulée un message 
du type «  recv ISAKMP SA delete » dans les logs de debug du 
Forti, et le tunnel ne monte pas.



Comme je viens de manger du log de debug depuis des jours en 
m’arrachant la tête, je me suis dit que soumettre ça à la 
brillante sagacité de la liste pourrait me donner des pistes…

Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire 
même on est en train de mettre une solution ZTNA basée sur 
Wireguard, mais si ça pouvait juste marcher comme chez les 
autres opérateurs, ça me soulagerait des plaintes récurrentes et 
justifiées du client)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [JOBS] Reconversion dans les métiers de l'informatique - Enquête métier

[Vincent Duvernet]

Fait.

Mais c'est que c'est long à remplir si on veut prendre le temps ;p

Bonne courage,

Vincent


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Teh 
'SpyKeeR'
Envoyé : mercredi 3 avril 2024 13:13
À : French SysAdmin Group ; frnog@frnog.org
Objet : [FRnOG] [JOBS] Reconversion dans les métiers de l'informatique - 
Enquête métier

‍♂️ Bonjour à vous tous ! ‍♂️

Tout d'abord, je vous remercie d'avoir pris la peine d'ouvrir ce mail, 
témoignant de votre curiosité et un éventuel intérêt pour accompagner votre 
prochain. 

Je suis actuellement en pleine définition de mon projet professionnel me 
dirigeant vers la reconversion dans un métier de l’informatique. J'aimerai 
solliciter votre aide pour me conforter dans mes choix d’orientation pour 
peut-être, je l’espère, réaliser un vieux rêve de rejoindre un métier que j’ai 
toujours convoité mais que les aléas de la vie m’en ont éloignés au fil des 
années d'emplois à but alimentaire.

Cette enquête métier porte sur les métiers suivants par ordre de préférence
:

〰 Administrateur système et réseau (ROME M1801) (Possible sans passer par
TSSR?)

〰 Technicien supérieur système et réseau (ROME M1810) (Formations dans tous les 
sens, formats...)

〰 Technicien de support/maintenance en informatique (ROME I1401) (Au détriment, 
si je réussis pas plus haut.)

Si ma quête fait écho en vous, alors je vous invite à remplir ce formulaire que 
j’ai préparé spécialement pour l’occasion.

 https://forms.gle/DunyXrvqxzF66Vti8 

N’hésitez pas à consulter mon profil LinkedIn 
<https://www.linkedin.com/in/maxime-chenaud/> pour en savoir plus sur moi, si 
cela peut aiguiller plus facilement vos réponses (Vous pourrez retrouver un 
court résumé en entête de formulaire).
Posez-moi toutes les questions que vous désirez ici-même, je serais ravi 
d'échanger directement avec vous hors du formulaire.

Mes principales inquiétudes/doutes résident dans le choix d'une formation qui 
me correspond, où je ne risque pas de m'ennuyer, ni de me tromper de formation 
et perdre ainsi de précieux mois. Je préfèrerai éviter les formations à 
distance, j'ai quelques problèmes d'inattention [médical] (m'ayant conduit à 
l'échec d'un BTS SIO SISR au CNED, 4 semaines de taff sur les 2 ans, passé à 2 
doigts du diplôme) et j'ai besoin d'un certain cadre malgré ma motivation et de 
bonnes qualités d'analyse et logique.

Votre participation serait grandement appréciée. 

Un grand merci à vous tous.

Cordialement.

--
Chenaud maxime
spyk...@gmail.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Single Pair Ethernet

[Vincent Duvernet]

Yop,

Ah, c'est un sujet qui m'intéresse.
J'ai acheté pour la maison 1 adaptateur coaxial vers RJ45 sur Amazon 
(https://amzn.to/3TzI1Tf).
L'objectif étant de récupérer l'usage coaxial devenu obsolète par l'IPTV afin 
de pouvoir relier 2 parties de la maison où il n'y a qu'un seul câble ethernet.
J'aurais pu séparer mon câble en 2x4 fils mais je limite mon débit à 100 Mbps 
ce qui est moins que ma fibre.
Pourquoi récupérer alors une 2ème ligne même à 10 Mbps ? pour le téléphone de 
la box Orange. Les murs sont épais, c'est compliqué de garder le signal. Donc 
comme ça, Tel1 sur la box pour le 1er tel et Tel2, bah pour le Tel2.
(Alors oui Orange dit que c'est pas conforme de faire comme cela avec 1 seule 
ligne mais ça fonctionne depuis des années).

L'autre méthode consiste à utiliser un boitier actif comme celui-ci 
(https://amzn.to/496RTZf) en prenant bien soin d'acheter à côté les transfo 
secteurs pour la France qui ne sont pas compris.
J'en ai acheté mais pas encore installé. Ça veut dire ajouter un boitier qui 
fait de la lumière, qui consomme de l'élec' mais aussi qu'il faut placer dans 
les coffrets VDI résidentiels qui ne sont pas tellement adaptés à ce genre 
d'appareils (déjà que mettre un switch manageable Gigabit...).

Quid du 10 Mbps, j'ai l'impression aussi que certains matériels réseaux actifs 
n'acceptent plus d'être raccordé à du matos en 10 Mbps, ils veulent 100 minimum.

Vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Dominique 
Rousseau
Envoyé : lundi 11 mars 2024 09:33
À : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Single Pair Ethernet

Le Fri, Mar 08, 2024 at 07:36:38PM +0100, Fabien Sirjean 
[fsirj...@eddie.fdn.fr] a écrit:
> Bonjour la liste,
> 
> J'ai récemment entendu parler pour la première fois de Single Pair 
> Ethernet (10BASE-T1S / 10BASE-T1L), dont les specs ont l'air 
> prometteuses (notamment en environnement industriel) :
> 
>  - 10 Mbps sur une seule paire de cuivre, avec des standards en cours 
> de travail pour monter à 10G voire plus ?
>  - Distance jusqu'à 1 km
>  - PoE (ou plutôt PoDL) jusqu'à 50W
> 
> Alors, poudre verte ou bien véritable intérêt ? Des retours 
> d'expérience en la matière ?

Sans les 50W, c'est ce que le réseau téléphonique fait depuis longtemps, non ? 
pour l'alimentation des combinés, et le débit de 10Mbps en *DSL.
Donc pourquoi pas une normalisation IEEE d'un truc plus "ethernet".

Les standards pour aller plus loin auront surement des contraintes conséquentes 
sur le cablage, et ils feraient sans doute mieux de réfléchir à des connecteurs 
combinant de l'optique et du cuivre pour l'alimentation...


--
Dominique Rousseau
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Reyee

[Vincent SERELLE via frnog]

Hello,

De ce que j'ai vu, c'est l'une des marques blanches de FS (je conseille le 
repos GitHub d'Oxidized qui source les devices FS notamment).

Donc en terme de maintenabilité/fiabilité on va être sur du FS like en somme.

On a quelques trucs de FS : S3900 (constructeur Indien) et des S5860 (de Ruijie 
notamment), ça fait quelques trucs mais il ne faut pas s'imaginer à montrer des 
infras L3 sans grosses potentielles problématiques. J'avais testé du MLAG et 
leurs VSL/stack sur le S5860, ça fonctionnait.

Du L2, ça switch sans sourciller.

My two cents,
Vincent S.

7 mars 2024 13:33:47 David Ponzone :

> Tous,
> 
> Le chinois Ruijie, qui fait quand mêmes des gros switch DC et routeurs core 
> modulaires, a une gamme « PME » sous la marque Reyee, unmanaged ou cloud 
> managed si j’ai bien compris.
> Le sujet des équipements Ruijie avait été lancé sur la liste il y a 1 an, 
> sans grand retour, donc je me demande si 1 an après, il y a plus de retex.
> C’est pas cher, ça peut pas être pire que TP-Link et autres, et sur le 
> papier, ça semble pas mal foutu.
> 
> Donc, des retex ou toujours rien ?
> 
> Merci
> 
> David
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Comparons nos NAS

[Vincent Duvernet]

@Pascal oui tu as raison, j'aurais dû mettre sur l'autre liste, c'est un peu 
tard pour switcher maintenant.

Je ne connaissais pas Syncthing, faut que je trouve un peu de temps pour tester 
ça.
Après, je n'ai pas compris ton interopérabilité vis-à-vis de QSync. C'est leur 
protocole propriétaire contrairement à Syncthing certes mais ce dernier à part 
ça, tourne dans son petit monde à lui tout seul aussi ? (ou alors j'ai loupé un 
détail)

Sur TrueNAS, ça vaut un bras leurs boitiers, même le mini en format desktop Oo.
Si on ne veut pas se faire chier à assembler ça dans un PC, il existe des 
solutions en Europe de l'ouest plus dans la réalité du marché ?

Vincent

-Message d'origine-
De : Jules  
Envoyé : mercredi 28 février 2024 12:23
À : Vincent Duvernet ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Comparons nos NAS

Salut Vincent,

En ce qui me concerne, Synology/QNAP ont un objectif clair de t'enfermer chez 
eux. Pour reprendre ton example, QSync n'est pas interopérable.

Coup de bol, un bon gars du support français de QNAP maintient un paquet 
Syncthing qui est neutre vis-à-vis du constructeur.

Pour les modèles sans ventilateurs, les gammes "slim" chez Synology ne font 
littéralement pas de bruit avec des SSD.

Pour ce qui est extension, si tu sors des rails du constructeur c'est assez 
tranquille, j'ai par exemple un DS918+ à 16Go de mémoire alors que la fiche 
technique indique 8Go max. Ce ne sont bien sûr pas des mémoires de marque 
Synology. Mes Exos 20To fonctionnent sans mal dedans. Pour les cartes réseaux… 
tu prends la carte que tu veux utilisant le même contrôleur, tu es ainsi 
certain que le pilote n'a pas été retiré du noyau.

De mon côté je suis plus enclin à prendre un 1U et installer TrueNAS :
- C'est libre pour de vrai.
- Support d'un éditeur possible.
- Large panel de serveurs disponible chez de multiple OEM/ODM.
- Large panel de prestataires capable de fournir du support. (Dont certains sur 
FRnOG et FRsAG si ont souhaite faire bosser les copains)
- Panel existant de personnes capable de fournir du support de façon 
communautaire. (Dont des membres FRnOG, FRsAG)
- ZFS ça fonctionne bien.
- Console de gestion graphique en masse disponible si allergique à Ansible.
- Grande facilité pour rejoindre un annuaire AD DS/LDAP.
- Support des ACL comme attendu.
- Meilleures délégations des privilèges. (Au lieu de fixe admin complet / pas 
admin)

--
Cordialement,
Jules
Consultant informatique
https://archphoenix.team


Le mercredi 28 février 2024 à 10:36 +0000, Vincent Duvernet a écrit :
> Hello la liste, suite aux échanges concernant les cartes d'extensions
> QNAP, je pense qu'il est intéressant de faire un point sur nos
> retours d'expérience concernant les NAS.
> Essayons d'être clairs et concis sur nos expériences présentes et
> passées.
> 
> Pour ma part, j'ai commencé avec les ReadyNAS de Netgear en 2006.
> J'ai travaillé avec pendant quelque chose comme 2/4 ans.
> A l'époque c'était une marque qu'ils avaient racheté et rebrandé.
> Ça faisait le job (je ne parle pas du SC101 qui était une bouse finit
> survendue par des commerciaux pas objectifs).
> Lorsqu'ils ont fait leur propre gamme, le prix est monté avec le
> rendant pas compétitif pour ma part.
> 
> J'ai donc switché vers QNAP (ce qui fait environ une quinzaine
> d'année) et quelques Synology qui sont arrivés sans qu'on me demande
> mon avis.
> 
> Mon usage :
> Principalement dans des petites structures ou du particulier.
> Format Desktop principalement pour le bruit plus acceptable qu'un
> rack.
> 2 à 4 disques HDD en RAID 1 ou 5. (pas de SSD donc)
> 
> Les + :
> - Je n'ai pas l'impression que ce soit spécialement cher
> - On dispose d'une grosse boite à outils pouvant faire presque tout
> sans surcoût. Je pense notament à la sauvegarde d'environnement ESXi
> sans avoir à passer par du Veeam, Acronis ou autre.
> - QSync, équivalent des solutions de stockage Cloud des Dropbox et
> autres Drive.
> - une console centralisée pour voir quels sont les NAS à mettre à
> jour
> - possibilité de créer un hôte de virtualisation
> - réplication des NAS entre eux pour la sauvegarde
> - globalement facile à administrer
> - vidéo-surveillance intégrée et compatible avec pas mal de caméras.
> 
> Les - :
> - la gamme est très/trop large et change tout le temps, ça en devient
> pénible
> - c'est un rêve mais à part un modèle mono disque, il n'y a aucun
> modèle fan-less.
> - beaucoup de malwares ont ciblé ces 2 marques et on fait pas mal de
> dégâts, ça doit interpeler.
> - je trouve QSync pas toujours très fiable même s'il y a eu des gros
> progrès ces derniers mois donc je reste prudent.
> - les extentions RAM et réseau sont discutables en terme de choix
> - certaines évolutions existant conjointement avec certaines
> implémentations historiques créent parfois de la confusi

[FRnOG] [TECH] Comparons nos NAS

[Vincent Duvernet]

Hello la liste, suite aux échanges concernant les cartes d'extensions QNAP, je 
pense qu'il est intéressant de faire un point sur nos retours d'expérience 
concernant les NAS.
Essayons d'être clairs et concis sur nos expériences présentes et passées.

Pour ma part, j'ai commencé avec les ReadyNAS de Netgear en 2006. J'ai 
travaillé avec pendant quelque chose comme 2/4 ans.
A l'époque c'était une marque qu'ils avaient racheté et rebrandé.
Ça faisait le job (je ne parle pas du SC101 qui était une bouse finit survendue 
par des commerciaux pas objectifs).
Lorsqu'ils ont fait leur propre gamme, le prix est monté avec le rendant pas 
compétitif pour ma part.

J'ai donc switché vers QNAP (ce qui fait environ une quinzaine d'année) et 
quelques Synology qui sont arrivés sans qu'on me demande mon avis.

Mon usage :
Principalement dans des petites structures ou du particulier.
Format Desktop principalement pour le bruit plus acceptable qu'un rack.
2 à 4 disques HDD en RAID 1 ou 5. (pas de SSD donc)

Les + :
- Je n'ai pas l'impression que ce soit spécialement cher
- On dispose d'une grosse boite à outils pouvant faire presque tout sans 
surcoût. Je pense notament à la sauvegarde d'environnement ESXi sans avoir à 
passer par du Veeam, Acronis ou autre.
- QSync, équivalent des solutions de stockage Cloud des Dropbox et autres Drive.
- une console centralisée pour voir quels sont les NAS à mettre à jour
- possibilité de créer un hôte de virtualisation
- réplication des NAS entre eux pour la sauvegarde
- globalement facile à administrer
- vidéo-surveillance intégrée et compatible avec pas mal de caméras.

Les - :
- la gamme est très/trop large et change tout le temps, ça en devient pénible
- c'est un rêve mais à part un modèle mono disque, il n'y a aucun modèle 
fan-less.
- beaucoup de malwares ont ciblé ces 2 marques et on fait pas mal de dégâts, ça 
doit interpeler.
- je trouve QSync pas toujours très fiable même s'il y a eu des gros progrès 
ces derniers mois donc je reste prudent.
- les extentions RAM et réseau sont discutables en terme de choix
- certaines évolutions existant conjointement avec certaines implémentations 
historiques créent parfois de la confusion (système de logs par exemple, les 
différents modes de stockage aussi).

Voilà, à vos claviers.

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Compatibilité carte fibre optique NAS Qnap

[Vincent Duvernet]

Merci. 
Ça soulève une question intéressante qui mériterait un topic à lui seul.
C'est ce que je vais faire de ce pas.

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Stéphane 
Rivière
Envoyé : mercredi 28 février 2024 09:36
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Compatibilité carte fibre optique NAS Qnap

Le 27/02/2024 à 15:50, Jeremy a écrit :
> Le coté EoL sur les liste d'accessoires compatible montre tout le 
> problème qu'on rencontre avec les marques Qnap ou Synology.
> Ils sont à la traine, autant sur le hardware que sur le software, et 
> la politique de prix est loin de convaincre quand on cherche une 
> solution de stockage.
> Leur système est devenu tellement lourd et ingérable sur de gros 
> cluster de stockage qu'on est en train de se débarrasser de tout le parc.
+1K On a fait de même. Juste gardé un 4 disques 3,5" en mallette pélican
au coffre pour des ultimes sauvegardes à froid (pour la compacité du bouzin).
> Il suffit de voir la qualité de True Nas Scale, de l'interface aux 
> systèmes embarqués pour se rendre compte qu'il est désormais beaucoup 
> plus rentable d'acheter un bon serveur DELL (ou toute marque de 
> qualité équivalente) et d'y installer un true nas.
C'est clair, avec les bons brokers, c'est donné. Juste poser les disques ad-hoc 
et c'est bon. Sans compter qu'on peut les trouver direct avec les bonnes 
interface réseau.

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Compatibilité carte fibre optique NAS Qnap

[Vincent Duvernet]

QXG-10G2SF-CX4 : https://www.qnap.com/fr-fr/product/qxg-10g2sf-cx4
LAN-10G2SF-MLX : https://www.qnap.com/fr-fr/product/lan-10g2sf-mlx

C'est visiblement les 2 seuls modèles compatibles.
J'ai cru voir une annonce à 250 balles mais c'est franchement abusé en tarif 
pour mon besoin.

J'ai bien trouvé celle là sur Amazon mais je ne sais pas si elle rentrera et si 
elle sera bien détectée : /
https://amzn.to/3IhTqk5

Vincent
 

De : David Ponzone  
Envoyé : mardi 27 février 2024 10:21
À : Vincent Duvernet 
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Compatibilité carte fibre optique NAS Qnap

Tu as vérifié les cartes officiellement compatibles  ?

https://www.qnap.com/en/compatibility/?model=313=11%5Btype%5D=expansion_card

Y a pas un gros choix et elles sont peut-être déjà toutes EoS.

David

Le 27 févr. 2024 à 10:00, Vincent Duvernet <mailto:vincent.duver...@nolme.com> 
a écrit :

Bonjour la team,

Pour ceux qui ont suivi le sujet sur le SFP 10 Gbps cuivre et le chauffage 
associé, je regarde pour passer au moins mon NAS Qnap TS-453Be avec une liaison 
fibre avec le switch.
Le hic, c'est que QNAP ne permet plus d'acheter la carte prévue pour ce NAS. 
Leur seule solution est bien sûr de changer le NAS (ou alors acheter une carte 
2x25 Gbps qui coûte un bras gauche et un rein droit).
Est-ce que certains ont testé des cartes tierces avec (ou pas) succès et 
surtout qui rentre dans l'espace alloué ?

Merci,

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Compatibilité carte fibre optique NAS Qnap

[Vincent Duvernet]

Bonjour la team,

Pour ceux qui ont suivi le sujet sur le SFP 10 Gbps cuivre et le chauffage 
associé, je regarde pour passer au moins mon NAS Qnap TS-453Be avec une liaison 
fibre avec le switch.
Le hic, c'est que QNAP ne permet plus d'acheter la carte prévue pour ce NAS. 
Leur seule solution est bien sûr de changer le NAS (ou alors acheter une carte 
2x25 Gbps qui coûte un bras gauche et un rein droit).
Est-ce que certains ont testé des cartes tierces avec (ou pas) succès et 
surtout qui rentre dans l'espace alloué ?

Merci,

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Vincent Duvernet]

Bonjour,

Merci pour cette réponse de l'autre côté de la rivière, c'est très intéressant 
et instructif.
Je ne savais pas qu'il y avait des non geek par ici ^^.

Je comprends mieux l'objet de leur demande.

Et au final, comme prévu, une partie des informations ne sont pas divulguées et 
le reste est du coup assez vide de sens.

Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un 
"scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, 
utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des 
questions techniques pointues sans que le site ne fasse de rétention (donc faut 
un site de confiance on est bien d'accord).
Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de 
faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
Excel à la con en me faisant perdre mon temps.

Vincent


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Bertrand 
FRUCHET via frnog
Envoyé : lundi 19 février 2024 17:42
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

Bonjour la liste,

Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous 
apporte notre vision.

La mission de commissariat aux comptes (dévolue aux experts-comptables dûment 
accrédités par le conseil de l'ordre des experts-comptables) doit déterminer 
les risques encourus par l'entreprise. Le risque cyber fait partie de la 
mission dans son assertion économique : quel risque financier l'entreprise 
auditée prend-elle eu égard à son plan de protection et de continuité 
informatique.

Cette demande n'est absolument pas technique (et c'est bien le problème). 
Comment un expert-comptable, qui n'a pas ou très peu de compétences numériques 
professionnelles, peut-il juger du niveau de risque encouru par son client ?

De ce fait, on en arrive à des questions idiotes du genre quel est le nom de 
votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ?

Je plussoie sur l’honnêteté sans pour autant divulguer d'informations 
sensibles. L'objectif pour le commissaire aux comptes est d'identifier un 
risque potentiel et donc de mettre de l'argent de côté ( sous forme de 
provisions pour risques) pour financer les opérations de sécurisation ou 
d'amélioration des plans de reprise ou de continuité en cas d'incident majeur.

Bertrand

Le 19/02/2024 à 17:24, Noryungi a écrit :
> Questions standards (et, effectivement, mal traduites) dans un cadre 
> d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore 
> PCI/DSS.
>
> Pour information, un audit de ce type porte, non seulement sur 
> l'entreprise X, mais aussi sur ses prestataires. Si vous êtes 
> prestataire de X... On vous posera ces questions.
>
> Mon conseil est de répondre le plus honnêtement possible, en évitant 
> effectivement de divulguer toute information sensible pour la 
> sécurité. Une cartographie des réseaux, par exemple, devrait être 
> classée, dans la réponse envoyée à X, comme "information interne à 
> l'entreprise, non communicable (à X) sauf signature d'un accord de 
> confidentialité". Et on reste là.
>
> C'était mes deux centimes d'euros.
>
> On Mon, Feb 19, 2024, 17:16 David Ponzone  wrote:
>
>> Ben t’as qu’à mentir.
>>
>> Sinon, c’est quoi l’obligation de répondre ?
>> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de 
>> l’entreprise.
>> Ca serait pas une merde qui vient du ministère pour faire des jolies 
>> stats et des beaux graphiques démontrant que la France est prête pour la 
>> guerre ?
>>
>> David
>>
>>> Le 19 févr. 2024 à 17:04, Vincent Duvernet 
>>> 
>> a écrit :
>>> Bonjour,
>>>
>>> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais
>> mais là, ça fait 2 clients FR avec la même approche (visiblement par 
>> 2 cabinets différents).
>>> Leur commissaire aux comptes demande une évaluation des risques cyber'.
>>>
>>> On se tape des questions plus ou moins débiles / mal traduites du type :
>>>
>>> - Une solution antivirus est-elle installée sur chaque poste de
>> l'entreprise ? Est-elle mise à jour régulièrement ?
>>> - La porte vers internet a-t-elle un pare-feu configuré ? Quels
>> protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, 
>> SSH ou RDP .]
>>> Et d'autres plus sensibles :
>>> - Quels sont les sous-réseaux, leur IP et leur fonction ?
>>> - Quels sont les outils (logiciels) mis en place pour la connexion à
>> distance pour le télétravail ?
>>> Là franchement, ça me hérisse le poil.
>>> Est-ce que c'est 

[FRnOG] [TECH] Les cabinets comptables & la cyber

[Vincent Duvernet]

Bonjour,

J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, 
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.

On se tape des questions plus ou moins débiles / mal traduites du type : 

- Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? 
Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont 
filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]

Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à distance 
pour le télétravail ?

Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir 
divulguer des informations à un tiers de "semi-confiance" potentiellement 
exploitables pour une attaque ?


Quels sont vos retours sur la question ?

Merci,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Tests unitaires Visual Studio 2022 vs Hotspot Shield

[Vincent Duvernet]

Bonjour la team,

Je viens vous raconter un truc rigolo que je viens de découvrir.
Microsoft ne cessera jamais de nous surprendre lorsqu'il s'agit une fois de 
plus très probablement d'une façon d'espionner ses utilisateurs.

Je précise que cette machine n'utilise pas de version Insider que ce soit au 
niveau de l'OS, Office ou Visual Studio.

J'ai créé une solution C# très basique avec 1 test unitaire qui ne fait rien.
En configuration normale, le test passe. Jusque là c'est normal.

Par contre, si j'ouvre le VPN Hotspot Shield qui est inclut dans l'abonnement 
avec Dashlane, l'exécution des tests unitaires est abandonnée.
J'ai ouvert le ticket d'incident auprès de M$ : 2402070030005870
Et bien entendu ça répond à côté de la plaque en me parlant d'exception dans le 
firewall, de reset de WinSock.

Non mais bordel, ton test unitaire vide n'a pas à accéder au réseau alors il 
n'y a aucune raison valable d'aller toucher le firewall.

Voilà, maintenant je suis NRV.

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Tencent sur aucun IX en France ?

[Vincent Bernat]

On 2024-01-22 09:40, David Ponzone wrote:

En plus, je viens de voir qu’ils s’amusent bien avec leurs annonces:
tous leurs biocs sont désagrégés, et annoncés à différents transits, un
peu comme on faisait pour optimiser le load-balancing à la fin des
années 90…..

On fait comment de nos jours ?

J’avais la faiblesse de penser que le ratio coût de la bande passante/besoin 
avait largement diminué.


Quand on a besoin de beaucoup de BP, c'est mieux de répartir sur 
plusieurs routeurs et dans ce cas, on ne peut pas forcément compter sur 
ceux en face pour répartir correctement le trafic.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Tencent sur aucun IX en France ?

[Vincent Bernat]

On 2024-01-20 16:41, David Ponzone wrote:

En plus, je viens de voir qu’ils s’amusent bien avec leurs annonces:
tous leurs biocs sont désagrégés, et annoncés à différents transits, un
peu comme on faisait pour optimiser le load-balancing à la fin des
années 90…..


On fait comment de nos jours ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Module MicroTik SFP+ 10 Gbps version grille pain

[Vincent Duvernet]

Glop, glop.

En effet, là je vais devoir passer par du test. J'ai eu des propals' en MP,  je 
pense tester avec du matos industriel qui devrait mieux accepter la T°.

Affaire à suivre


-Message d'origine-
De : David Ponzone  
Envoyé : jeudi 11 janvier 2024 16:23
À : Vincent Duvernet 
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Module MicroTik SFP+ 10 Gbps version grille pain

Tu peux pas commencer par essayer des SFP+ 10G cuivre de chez Solid ou Pure ou 
FS ?

David

> Le 11 janv. 2024 à 16:16, Vincent Duvernet  a 
> écrit :
> 
> Bonjour la team,
> 
> Nouvelle année, nouvelles résolutions, il est temps de prendre le temps de 
> corriger certaines galères qui deviennent pénibles.
> 
> Historiquement, en 2020, j'ai acheté un switch TP-Link T1700G-28TQ (le seul 
> en fanless SNMP de l'époque tout constructeur confondu) avec 4 modules SFP+ 
> MikroTik S+RJ10 (cuivre 10 Gbps).
> Ils étaient connectés en direct sur un PC, un NAS Qnap et un switch Netgear 
> 10 Gbps sans SFP+.
> J'ai toujours eu des coupures de liaison. J'ai changé le switch TP-Link dans 
> le coffret pour le mettre tout en haut avec un extracteur d'air. Pareil.
> J'ai inversé les SFP+, réduit leur nombre à 2 : Pareil.
> Tout le monde a toujours botté en touche dès qu'on appelait le support.
> Les liaisons 1 Gbps classiques elles fonctionnaient toujours.
> Par contre, les SFP+ prennent vite beaucoup de température, on ne garde pas 
> les doigts dessus.
> Et pourtant, il n'y a pas beaucoup de trafic dessus sauf dans de rares 
> situations de transfert de gros volumes de données.
> 
> J'aurais dû mettre de la fibre, je sais, je suis puni pour ça.
> 
> J'ai remplacé les 2 switches par des Zyxel XGS1930-28 (toujours en fanless) 
> tout récemment.
> J'ai le même problème.
> 
> Donc, il ne reste que les SFP+ qui n'ont pas changé de marque.
> Je peux essayer de remplacer la carte 10 Gbps cuivre du NAS QNAP par une 
> carte fibre (si j'arrive à en trouver une) car il est dans le coffret avec le 
> switch.
> Mais pour les autres liens, c'est cuivre obligatoire.
> Vous me conseillez quoi ?
> 
> Merci,
> 
> Vincent
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Suite erreur de commande - 100x Transfo 12V

[Vincent Duvernet]

Bonjour,

Suite à une erreur de commande, j'ai un stock d'une centaine de transfo 12V 
(historiquement pour des AP Sophos).
J'en recycle une partie avec le AP Zyxel mais ma boite est toute petite (j'ai 
dit ma boite...) donc je n'écluserai jamais tout ce stock.
Donc si ça intéresse du monde, je dirais 5 € HT pièce (hors port) vraiment pour 
la forme.
Pour une commande de plusieurs pièces, on peut voir ensemble.

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Module MicroTik SFP+ 10 Gbps version grille pain

[Vincent Duvernet]

Bonjour la team,

Nouvelle année, nouvelles résolutions, il est temps de prendre le temps de 
corriger certaines galères qui deviennent pénibles.

Historiquement, en 2020, j'ai acheté un switch TP-Link T1700G-28TQ (le seul en 
fanless SNMP de l'époque tout constructeur confondu) avec 4 modules SFP+ 
MikroTik S+RJ10 (cuivre 10 Gbps).
Ils étaient connectés en direct sur un PC, un NAS Qnap et un switch Netgear 10 
Gbps sans SFP+.
J'ai toujours eu des coupures de liaison. J'ai changé le switch TP-Link dans le 
coffret pour le mettre tout en haut avec un extracteur d'air. Pareil.
J'ai inversé les SFP+, réduit leur nombre à 2 : Pareil.
Tout le monde a toujours botté en touche dès qu'on appelait le support.
Les liaisons 1 Gbps classiques elles fonctionnaient toujours.
Par contre, les SFP+ prennent vite beaucoup de température, on ne garde pas les 
doigts dessus.
Et pourtant, il n'y a pas beaucoup de trafic dessus sauf dans de rares 
situations de transfert de gros volumes de données.

J'aurais dû mettre de la fibre, je sais, je suis puni pour ça.

J'ai remplacé les 2 switches par des Zyxel XGS1930-28 (toujours en fanless) 
tout récemment.
J'ai le même problème.

Donc, il ne reste que les SFP+ qui n'ont pas changé de marque.
Je peux essayer de remplacer la carte 10 Gbps cuivre du NAS QNAP par une carte 
fibre (si j'arrive à en trouver une) car il est dans le coffret avec le switch.
Mais pour les autres liens, c'est cuivre obligatoire.
Vous me conseillez quoi ?

Merci,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Hébergeur Mail Perso : Bien choisir

[Fabien VINCENT]

Le 2024-01-08T17:34:42.000+01:00,  a écrit :

> "Et quasi plus besoin du "cloud" pour un VPS Mail, qui commencait à 
> 
> couter + cher qu'une offre mail comme infomaniak."
> 
> Sachant que l'offre de base d'Infomaniak est gratuite, c'est pas 
> 
> compliqué de faire plus cher :p

Je parlais de kSuite (qui suppose l'usage d'un NDD dédié acheté
chez eux, ce qui est une contrainte pas cool)

Mais bon je partageais un feedback d'usage comme demandé. Pas besoin
de décortiquer mon avis en large en long en travers, ca ne vaut que
ce que ca vaut comme feedback.

> Le 08/01/2024 à 15:59, Fabien VINCENT a écrit :
>>>   Pardon pour l'imprécision grand maitre :D
>>  
>>   Bon ok, on va juste parler de M$ alors, qui est le plus grand
>>  
>>   malfaiteur dans cette histoire de blacklist abusive. Quand tu
>>  dois te
>>  
>>   taper une demande de deblacklist 1fois/semaine pour la même IP
>>  du
>>  
>>   même AS, ça devient un parcours du combattant. Globalement,
>>  avec un
>>  
>>   bon support et de bons contacts, ca marchait à peu près chez
>>  
>>   Scaleway. Je te parle même pas du support OVH (quand tu as un
>>  VPS à
>>  
>>   5€/mois, j'ai envie de dire normal).
>>  
>>   Si pour envoyer un mail, il faut en envoyer 12 à M$ et ton
>>  hosteur
>>  
>>   avant, voilà pourquoi j'ai renoncé. Après 10 ans à gérer mon
>>  
>>   serveur mail. J'ai considéré que mon temps perdu valait plus
>>  que
>>  
>>   4€/mois (#capitalisme). Je crois que ce sujet a déjà été
>>  
>>   débattu, mais les GAFAM font désormais la pluie et le bon temps
>>  dans
>>  
>>   le monde merveilleux du SMTP et des RBLs, plus encore que
>>  Spamhaus en
>>  
>>   son temps.
>>  
>>   L'avantage: ça m'a donné l'occasion de virer 90% de mes VPS/VM
>>  dans
>>  
>>   le "cloud" vers ma cave sur un serveur perso. 4 à 5x plus
>>  puissant
>>  
>>   pour le même prix (même les DCs brûlent, donc je backup
>>  sûrement
>>  
>>   plus safe qu'un VPS/compute à 5€ mono rack). Et quasi plus
>>  besoin
>>  
>>   du "cloud" pour un VPS Mail, qui commencait à couter + cher
>>  qu'une
>>  
>>   offre mail comme infomaniak.
>>  
>>   Bref, je n'y vois que des avantages en temps, en prix, en
>>  
>>   flexibilité, jusqu'à ce que Infomaniak se fasse trouer comme un
>>  
>>   gruyère suisse. Ça sera surement moins rigolo à ce moment là.
>>  
>>   Bref, le rapport bénéfices / risques (et coût) m'a parlé. M$
>>  m'a
>>  
>>   battu. Et comme aucune solution FR ne semble exister avec un peu
>>  de
>>  
>>   features pour Madame Michu (oui je suis pas tout seul, je dois
>>  
>>   composer avec le WAF - Women Acceptance Factor).
>>  
>>   FABIEN VINCENT_
>>  
>>   @beufanet_
>>  
>>   Le 2024-01-08T15:38:19.000+01:00, Stephane Bortzmeyer
>>  
>>a écrit :
>>  
>>>   On Mon, Jan 08, 2024 at 09:45:11AM +0100,
>>>   
>>>Fabien VINCENT  wrote
>>>   
>>>a message of 117 lines which said:
>>>   
>>>>Perso, j'ai tout basculé sur kPro après des années à
>>>>gérer
>>>>
>>>> des
>>>>
>>>> serveurs en perso chez OVH et SCW, mais c'est devenu
>>>>impossible
>>>>
>>>> avec
>>>>
>>>> les grands comme M$ / Gmail / Yahoo d'avoir une
>>>>
>>>> "déliverabilité"
>>>>
>>>> correcte.
>>>   
>>>Impossible n'est pas français. En tout cas, pas FRnogien. L'OP
>>>   
>>>disait
>>>   
>>>qu'il n'avait ni le temps ni l'envie de gérer son serveur, ce
>>>   que
>>>   
>>>je
>>>   
>>>comprends tout à fait, mais dire que c'est impossible est
>>>   
>>>franchement
>>>   
>>>exagéré (et mettre Gmail et Yahoo dans la même liste, non
>>>   mais
>>>   
>>>allô,
>>>   
>>>quoi).
>>>   
>>>https://www.bortzmeyer.org/mon-serveur-messagerie.html
>>  
>>   ---
>>  
>>   Liste de diffusion du FRnOG
>>  
>>   http://www.frnog.org/
> 
> ---
> 
> Liste de diffusion du FRnOG
> 
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Hébergeur Mail Perso : Bien choisir

[Fabien VINCENT]

Pardon pour l'imprécision grand maitre :D 

Bon ok, on va juste parler de M$ alors, qui est le plus grand
malfaiteur dans cette histoire de blacklist abusive. Quand tu dois te
taper une demande de deblacklist 1fois/semaine pour la même IP du
même AS, ça devient un parcours du combattant. Globalement, avec un
bon support et de bons contacts, ca marchait à peu près chez
Scaleway. Je te parle même pas du support OVH (quand tu as un VPS à
5€/mois, j'ai envie de dire normal).

 Si pour envoyer un mail, il faut en envoyer 12 à M$ et ton hosteur
avant, voilà pourquoi j'ai renoncé. Après 10 ans à gérer mon
serveur mail. J'ai considéré que mon temps perdu valait plus que
4€/mois (#capitalisme). Je crois que ce sujet a déjà été
débattu, mais les GAFAM font désormais la pluie et le bon temps dans
le monde merveilleux du SMTP et des RBLs, plus encore que Spamhaus en
son temps.

L'avantage: ça m'a donné l'occasion de virer 90% de mes VPS/VM dans
le "cloud" vers ma cave sur un serveur perso. 4 à 5x plus puissant
pour le même prix (même les DCs brûlent, donc je backup sûrement
plus safe qu'un VPS/compute à 5€ mono rack). Et quasi plus besoin
du "cloud" pour un VPS Mail, qui commencait à couter + cher qu'une
offre mail comme infomaniak.

Bref, je n'y vois que des avantages en temps, en prix, en
flexibilité, jusqu'à ce que Infomaniak se fasse trouer comme un
gruyère suisse. Ça sera surement moins rigolo à ce moment là. 

Bref, le rapport bénéfices / risques (et coût) m'a parlé. M$ m'a
battu. Et comme aucune solution FR ne semble exister avec un peu de
features pour Madame Michu (oui je suis pas tout seul, je dois
composer avec le WAF - Women Acceptance Factor).

FABIEN VINCENT_
@beufanet_

Le 2024-01-08T15:38:19.000+01:00, Stephane Bortzmeyer
 a écrit :

> On Mon, Jan 08, 2024 at 09:45:11AM +0100,
> 
>  Fabien VINCENT  wrote 
> 
>  a message of 117 lines which said:
> 
>>  Perso, j'ai tout basculé sur kPro après des années à gérer
>>  des
>>  
>>   serveurs en perso chez OVH et SCW, mais c'est devenu impossible
>>  avec
>>  
>>   les grands comme M$ / Gmail / Yahoo d'avoir une
>>  "déliverabilité"
>>  
>>   correcte.
> 
> Impossible n'est pas français. En tout cas, pas FRnogien. L'OP
> disait
> 
> qu'il n'avait ni le temps ni l'envie de gérer son serveur, ce que
> je
> 
> comprends tout à fait, mais dire que c'est impossible est
> franchement
> 
> exagéré (et mettre Gmail et Yahoo dans la même liste, non mais
> allô,
> 
> quoi).
> 
> https://www.bortzmeyer.org/mon-serveur-messagerie.html



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Hébergeur Mail Perso : Bien choisir

[Fabien VINCENT]

Bonjour,

Perso, j'ai tout basculé sur kPro après des années à gérer des serveurs en 
perso chez OVH et SCW, mais c'est devenu impossible avec les grands comme M$ / 
Gmail  / Yahoo d'avoir une "déliverabilité" correcte.

J'aimais bien Proton, mais je suis passé sur kMail pour 2 raisons:

- le chiffrement des mails par Proton c'est bien, mais ca t'enferme dans leur 
ecosystème. Si tu veux utiliser un autre client mail, il faut forcément passer 
par une passerelle, ce qui devenait trop fermé pour mon usage.
- le prix devenant assez cher.

Quand a kPro Suite, le seul hic, c'est la nécessite d'avoir le NDD chez eux. 
Mais sinon les boites partagées et autres alias sont vraiment faciles à gérer, 
leur interface est ok+.

Comme le stockage est très large, j'ai choisi d'utiliser du kDrive pour 
sauvegarder un bout de mon NAS à moindre coût (avec du WebDAV sur Synology).

Ca marche bien, c'est simple, seul reproche, c'est pas Gmail en terme de 
fonctionnalité du WebUI, mais ca fait le travail pour le prix et j'ai eu moins 
d'incidents/indispos kMail que Proton pour la même période d'usage.

Fabien VINCENT
@beufanet


Le 2024-01-08T09:09:47.000+01:00, Samuel Mesguich  a 
écrit :

>  Bonjour à tous,
> 
> Premier message sur FRnOG, "ô-combien philosophique", et déjà abordé et
> parfait pour démarrer la semaine : l'hébergement mail.
> 
> Je suis en quête d'un hébergeur mail pour mes besoins "familiaux".
> Par conviction personnelle, je suis actuellement chez ProtonMail. (1 user,
> 1 NDD). Sauf que la famille grandi et désormais, nous serions 3 users, sur
> 2 NDD.
> 
> D'un point de vue fonctionnel, rien d'exceptionnel, au moins 2 NDD
> personnalisés, 1 boite partagés, gestion des alias '+', Catch-All, au moins
> 2 email / users, 5Go mini, et si possible un support des standards mails
> simili exchange (synchro mail + agenda, contact et notes, à la Krosof't,
> Googleuh, iPomme)
> 
> Je viens de découvrir que l'offre ProtonMail Famille (
> https://proton.me/fr/family) coûte près de 29,90€ par mois (ou bien 19,90€
> par mois sur 2 ans, si je paye one-shot 479,76€...). La facture de mes
> convictions commence à être lourde...
> 
> J'envisage sérieusement Infomaniak (d'autant que c'est l'un de mes
> registrar) où le service kSuite standard (
> https://www.infomaniak.com/fr/hebergement/service-mail/tarifs) commence à
> partir de 1,58€/mois / utilisateur, (premier utilisateur gratuit) ou même
> sur l'offre kSuite Pro.
> 
> J'ai écarté OVH car j'ai déjà eu quelques galères avec eux (notamment sur
> la partie registrar). Les tarifs de Gandi me semblent "hors sol" au vu du
> peu de fonctionnalités proposé.
> 
> La famille étant équipé en iPomme, je peux via le forfait iCumulonimbus
> avoir le support de NDD personnalisés (
> https://support.apple.com/fr-fr/102540) sans débourser 1ct de plus mais
> clairement si j'ai sorti mes mails de Google, c'était pas pour tout
> balancer sur iPomme.
> 
> Si vous avez des conseils ou recommandation, je suis preneur, qu'ils soient
> "CHATONS" ou "GrozOpérateur"
> 
> Avec toute votre bienveillance,
> Samuel
> 
> PS : Les plus assidus auront remarqué que ce mail est envoyé grâce à un
> email Google, qui aujourd'hui reçoit exclusivement le courrier FRnOG :)
> PS 2 : Oui, je suis un "Geek Barbue" mais à la maison, l'IT je veux "pas
> trop m'en occuper" et juste que "ça marche".
> PS 3 : Non vraiment, les mails en auto-hébergé, je ne veux pas :) Et mon
> fournisseur agrumesque ne m'autorisera pas a héberger mes mails sur mon
> Synology chez moi ("el famoso" port 25 bloqué)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] scaleway ddos en cours ?

[Vincent PAGES]

Salut Mickael !


Même problème içi depuis hier. J'ai aussi pensé à un pb de sonde Nagios 
de notre coté mais effectivement le flux dns même vers l'extérieur 
semble impacté.


Le 16/12/2023 à 22:54, Mickael MONSIEUR a écrit :

Hello

Depuis quelques heures, on reçoit des alertes constantes de notre
dedibox qui monitore notre AS depuis l'extérieur. Les alertes
concernent toutes le DNS.

Après avoir écarté tout problème de notre côté, j'ai cherché du côté
d'un problème de connectivité avec la sonde et en faisant des dig
depuis notre dedibox, je constate que ça ne fonctionne pas super
bien...

J'ai trouvé ça:

Investigating
A current mitigation is running against some DDOS resolution on Online
Domains can be impacted.
Posted 2 hours ago. Dec 16, 2023 - 20:52 CET

Quelqu'un d'autre a remarqué un problème avec scaleway ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Proposition stage administration réseaux & Windows / supervision en télétravail

[Vincent Duvernet]

Bonjour,

J'ai potentiellement 3 sujets de stage possibles :
- Mise en place d'un certificat autosigné sur différents appareils (switch, 
NAS, routeur...)
- Suivi fonctionnement & améliorations du monitoring sous Paessler PRTG
- Mise en place de GPO dans un réseau scolaire.

Je suis dans une toute petite grotte au fin fond du Perche en Normandie.
Le côté positif, c'est que c'est un stage en télétravail à 100% généralement 
via Discord pour la communication. 
C'est un mode de fonctionnement dans lequel je crois profondément. 
La durée du stage est de 8 semaines maximum. 
Il s'agit de stages non rémunérés.

Ma philosophie est de faire plancher les stagiaires sur des sujets qui peuvent 
être difficiles, sur des appareils dont ils ignorent parfois jusqu'à 
l'existence (un rack ATS par exemple) mais dans une ambiance décontractée 
héritée de mon passé de dev C++ dans les startups des années 2000.
Il n'y a pas de pression (tant qu'ils ne me plantent pas un réseau complet en 
production ;p) mais plus ils vont avancer, plus je pourrais leur rajouter des 
briques et de la difficulté.

La seule chose qu'ils ne peuvent pas faire dans l'entreprise, c'est du pen 
testing car c'est une des 2 exclusions de mon contrat d'assurance. Le deuxième 
étant. attention, il faut s'accrocher à une chaise : le développement de jeux 
vidéos. J'ai arrêté de chercher à comprendre.

Voilà les grandes lignes.

Contactez-moi en MP au besoin

Bonne journée,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Pire que Cogent, ça existe...

[Vincent Tondellier via frnog]

On mercredi 18 octobre 2023 08:57:35 CEST, Stéphane Rivière wrote:
Il y a quelques "petits" (Meta, rejoint par Intel, Google, 
Dell, etc...) qui ont ce projet :


Oui... Certains taffent en PHP et JS en disant que ce sont des 
langages efficaces...


Ca dépend de quelle efficacité on parle, en fouillant (beaucoup ?) on doit 
pouvoir trouver une mesure ou ils sont plus efficaces


Mais je ne fais que signaler un projet en rapport avec le sujet, je ne suis 
pas en mesure de juger. 
Vu le monde dans le projet, je suppose/espère qu'ils ont des gens pour y 
réfléchir ...


Il y a déjà des produits qui intègrent des morceaux de ce projet (la 
mezzanine OCP des serveurs), donc c'est quand même du concret, ca n'a pas 
l'air du projet fantasque d'une startup.


On mercredi 18 octobre 2023 09:04:09 CEST, Stéphane Rivière wrote:

Ce n'est absolument pas de la distribution en 48V au sein d'un DC.


Non, je n'ai jamais dit ca.
Je connais l'effet Joule et la conso d'un DC ...

C'est, au niveau d'une baie, une mutualisation des alims par 
une alim proxy qui crache du 12V et 48V.


J'ai bien écrit : par rack (ou baie en francais).
Un "power shelf" (tiroir a alim) par baie, avec plusieurs alims 220/48V, 
managable avec un contrôleur de baie.
Un peu comme un gros routeur/switch modulaire avec son fond de panier et sa 
rangée d'alim en fait ...




Et là, *ça n'a rien à voir* et c'est pas con, pour plein de raisons...

L'idée de faire du Tiers X en rajoutant des batteries dans 
chaque baie me semble étrange (sic) pour un DC.


Par contre, pour quelques baies isolées, ça fait parfaitement 
sens et on fait déjà ça avec des onduleurs rackés.


Ce n'est certainement pas le cas des acteurs en question qui sont plus dans 
les DC gigantesques. 
Il doit y avoir d'autres raisons (proximité alim, occupation espace ?), 
mais ca fait longtemps que j'ai regardé, et j'ai pas le courage/temps de 
fouiller leurs docs pour les retrouver.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Pire que Cogent, ça existe...

[Vincent Tondellier via frnog]

On mardi 17 octobre 2023 17:21:44 CEST, Stéphane Rivière wrote:

Le 13/10/2023 à 14:55, Antoine Nivard - O.N via frnog a écrit :
Je te confirme que quelques DC offrent du 48V comme Cogent 
Nantes (actuellement sous utilisé ).
Nous sommes plusieurs à regarder des solutions type 48V car tu 
es en direct à la sortie des batteries de l'onduleur, gros gain 
en perspective.


Les rendements théoriques légèrement supérieurs (on sait quand 
même faire des alims à découpage sans trop de pertes 
aujourd'hui) ne sont-ils pas compensés par les sections de 
câbles d'enfer nécessaires au 48V, la connectique d'enfer qui va 
avec, plus les pertes en ligne (entre les batteries et les 
consommateurs), plus le coût des alims 48V, nécessairement 
équipées de transfos de découpage 'légèrement' plus balèzes 
(euphémisme).  Sans compter le coûts des appareillages en 
continu, également beaucoup plus coûteux¹ (re-euphémisme).


¹ On peut prendre du chinois toutefois.



Il y a quelques "petits" (Meta, rejoint par Intel, Google, Dell, etc...) 
qui ont ce projet :


https://www.opencompute.org/wiki/Open_Rack/SpecsAndDesigns

En gros, alim 48V et BBU (optionnel) par rack, alim par busbar sur fond de 
panier derrière les équipements.


Je n'ai pas lu tout le détail (bon courage!) ni vu de stats, mais je 
suppose qu'il y a des avantages a faire ça ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

[Vincent Duvernet]

Bonjour,

 Ton résumé m'a plié en 2 de rire.

C'est des livebox business 240 en prod. Y'a un boitier Huawei en amont pour 
convertir le lien fibre vers du RJ45.

J'ai enfin pu avoir des numéros de mobiles et mail grâce à Anthony.

Y'a plus qu'à.

Vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Toussaint 
OTTAVI
Envoyé : mardi 10 octobre 2023 09:15
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet



Le 09/10/2023 à 14:42, Vincent Duvernet a écrit :
> Le 3901 n'a pas la main dessus, le 1017 (de mémoire) ne semble pas 
> faire mieux et le chargé de suivi du projet est aux abonnés absents.
> Est-ce que quelqu'un ici pourrait nous sortir de là ?

Déjà, commençons par savoir de quelle offre on parle exactement, parce que, 
chez l'agrume, c'est la première difficulté pour les non-initiés : 
il y a des agences commerciales Entreprises qui peuvent vendre des accès 
"Orange Pro", et des agences Pro qui peuvent vendre des accès "Orange Business" 
:-) Sans parler de la branche mobiles qui vend des accès "pro" 
non gérables par le SAV "pro" tout en se faisant appeler aussi "Orange 
Business" :-)

- Quel est le nom exact de l'offre (sur la facture) ?
- Quel type de box a été posé ?
   - Une "Livebox Pro" (la même qu'à la maison mais avec écrit "pro" 
dessus, généralement de marque Sagemcom)
   - Une Livebox Business (un routeur de marque OneAccess peint en noir pour 
l'occasion) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

[Vincent Duvernet]

Glop, glop,

Je ne pourrais pas non plus écarter cette hypothèse. En effet.
Vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Thierry 
Chich
Envoyé : lundi 9 octobre 2023 16:25
À : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

Je suis pas trop du genre à défendre Orange par principe, mais vous êtes 
vraiment sûr que personne n'a reçu une petite feuille de papier où c'est 
marqué, le réseau et la gateway ?

Thierry 




-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Vincent 
Duvernet Envoyé : lundi 9 octobre 2023 14:43 À : frnog-t...@frnog.org Objet : 
[FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

Bonjour,

J'ai une école qui est au bord de la crise de nerfs à cause d'Orange suite au 
déploiement de la fibre.
Ils ont ajouté la box fibre. L'installation est terminée depuis des semaines 
donc facturée malgré le fait qu'elle ne soit pas utilisable.
Par contre, il n'y a pas de NAT ni de DHCP donc impossible de savoir quelle IP 
publique et quel masque utiliser.

Le 3901 n'a pas la main dessus, le 1017 (de mémoire) ne semble pas faire mieux 
et le chargé de suivi du projet est aux abonnés absents.

Est-ce que quelqu'un ici pourrait nous sortir de là ?

Merci la team,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: Re : RE: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

[Vincent Duvernet]

Bonjour,

Pour ma part, on ne m'a rien communiqué :/

Vincent

-Message d'origine-
De : Cédric LE ROY  
Envoyé : lundi 9 octobre 2023 15:50
À : Vincent Duvernet 
Cc : Pierre DOLIDON ; frnog@frnog.org
Objet : Re : RE: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

Bonjour,

Lors de la mise en service n'avez-vous pas eu les informations de connexion au 
routeur Orange (/29 publique) ?

Normalement les box OBS configure un /29 en statique comme le dit Pierre DOLIDON

Cédric LE ROY.

--- Original Message ---
Le lundi 9 octobre 2023 à 15:41, Vincent Duvernet  
a écrit :


> 

> 

> Glop, glop.
> 

> On a un firewall derrière en effet. On sait tous qu'il faut le moins 
> de chose à laisser dans les mains d'Orange ;p C'était tellement pratique 
> d'avoir son modem ADSL Netgear DM111P à l'époque...
> 

> J'ai bien essayé de coller un Wireshark au cul de la box côté LAN pour 
> voir quelque chose mais avec une IP APIPA sur le port RJ45, j'ai pas 
> eu grand-chose d'utile (après, je ne suis pas un cador sous Wireshark 
> donc y'a p-e un tips pour gérer ce type de situation et voir si on 
> choppe un semblant de communication IP) vincent
> 

> -Message d'origine-
> De : frnog-requ...@frnog.org frnog-requ...@frnog.org De la part de 
> Pierre DOLIDON
> 

> Envoyé : lundi 9 octobre 2023 15:22
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] Orange Business et l'enfer du suivi de 
> projet
> 

> Hello
> 

> Chez nous, OBS ne fourni en standard qu'un routeur de démarcation, et un /29. 
> pas de nat, pas de DHCP, c'est a toi d'avoir des équipements de ton côté qui 
> réalisent cette action.
> le routeur prend la dernière IP adressable du réseau.
> 

> 

> Le 09/10/2023 à 14:42, Vincent Duvernet a écrit :
> 

> > Bonjour,
> > 

> > J'ai une école qui est au bord de la crise de nerfs à cause d'Orange suite 
> > au déploiement de la fibre.
> > Ils ont ajouté la box fibre. L'installation est terminée depuis des 
> > semaines donc facturée malgré le fait qu'elle ne soit pas utilisable.
> > Par contre, il n'y a pas de NAT ni de DHCP donc impossible de savoir quelle 
> > IP publique et quel masque utiliser.
> > 

> > Le 3901 n'a pas la main dessus, le 1017 (de mémoire) ne semble pas faire 
> > mieux et le chargé de suivi du projet est aux abonnés absents.
> > 

> > Est-ce que quelqu'un ici pourrait nous sortir de là ?
> > 

> > Merci la team,
> > 

> > Vincent
> > 

> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 

> 

> 

> 

> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

[Vincent Duvernet]

Glop, glop.

On a un firewall derrière en effet. On sait tous qu'il faut le moins de chose à 
laisser dans les mains d'Orange ;p
C'était tellement pratique d'avoir son modem ADSL Netgear DM111P à l'époque...

J'ai bien essayé de coller un Wireshark au cul de la box côté LAN pour voir 
quelque chose mais avec une IP APIPA sur le port RJ45, j'ai pas eu grand-chose 
d'utile
(après, je ne suis pas un cador sous Wireshark donc y'a p-e un tips pour gérer 
ce type de situation et voir si on choppe un semblant de communication IP)
vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Pierre 
DOLIDON
Envoyé : lundi 9 octobre 2023 15:22
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

Hello

Chez nous, OBS ne fourni en standard qu'un routeur de démarcation, et un /29. 
pas de nat, pas de DHCP, c'est a toi d'avoir des équipements de ton côté qui 
réalisent cette action.
le routeur prend la dernière IP adressable du réseau.


Le 09/10/2023 à 14:42, Vincent Duvernet a écrit :
> Bonjour,
>
> J'ai une école qui est au bord de la crise de nerfs à cause d'Orange suite au 
> déploiement de la fibre.
> Ils ont ajouté la box fibre. L'installation est terminée depuis des semaines 
> donc facturée malgré le fait qu'elle ne soit pas utilisable.
> Par contre, il n'y a pas de NAT ni de DHCP donc impossible de savoir quelle 
> IP publique et quel masque utiliser.
>
> Le 3901 n'a pas la main dessus, le 1017 (de mémoire) ne semble pas faire 
> mieux et le chargé de suivi du projet est aux abonnés absents.
>
> Est-ce que quelqu'un ici pourrait nous sortir de là ?
>
> Merci la team,
>
> Vincent
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Orange Business et l'enfer du suivi de projet

[Vincent Duvernet]

Bonjour,

J'ai une école qui est au bord de la crise de nerfs à cause d'Orange suite au 
déploiement de la fibre.
Ils ont ajouté la box fibre. L'installation est terminée depuis des semaines 
donc facturée malgré le fait qu'elle ne soit pas utilisable.
Par contre, il n'y a pas de NAT ni de DHCP donc impossible de savoir quelle IP 
publique et quel masque utiliser.

Le 3901 n'a pas la main dessus, le 1017 (de mémoire) ne semble pas faire mieux 
et le chargé de suivi du projet est aux abonnés absents.

Est-ce que quelqu'un ici pourrait nous sortir de là ?

Merci la team,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] "Récupération de vos documents"

[Vincent Bernat]

On 2023-10-06 11:15, Frédéric de Villepreux wrote:

Pour clore ce fil,
inutile à la fin,
voici le retour de l'intéressé.


Avez-vous eu son autorisation pour diffuser publiquement sa réponse ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Recherche dons de matériel Lille

[Fabien VINCENT]

Bonjour

Dans le cadre de mes fonctions au sein d'une association lilloise, un
petit message pour savoir si vous connaissez ou si vous êtes des
entreprises/associations qui font des dons de matériel
réseau/informatique dans la région lilloise.

Matériel(s) recherché(s) (non exhaustifs):

- PCs portables ou fixes (c'est pour du linux majoritairement, mais
pas du matos trop vieux non plus de 8 ans)

- Disques durs non HS.

- Serveurs (rackables si possibles)

- Equipements réseaux unifi (switchs, caméras) et routeur d'accès
(supportant pfsense ou openwrt)

Merci pour votre solidarité et dispo pour enlever pour le recyclage
plutôt que la poubelle. L'idée c'est pas de quémander mais de vous
éviter de jeter ! 

A+

FABIEN VINCENT_
@beufanet_



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur Cisco - Tunnel GRE

[Fabien VINCENT]

Dans mes souvenirs l'ISR4000 est EOL

https://www.cisco.com/c/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/select-isr4k-series-platform-eol-fr.html

https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2023/pdf/BRKARC-2882.pdf

ISR 4451/4431/4351 => Catalyst 8300

ISR 4331/4321 => Catalyst 8200

ISR 4321/4221 => Catalyst 8200L

Le C8200L-1N-4T semble tenir 500Mbps en IPSec, j'imagine qu'il sait le
fait en GRE.

Bref dans le BRKARC-2882 tu dois trouver ton bonheur !

FABIEN VINCENT_
@beufanet_

Le 2023-09-28T22:14:22.000+02:00, David Ponzone
 a écrit :

> Vu la tournure de la question,  je suppose que Cisco est imposé ?
> 
> Parce que sinon, on pouvait proposer des trucs pour 10 fois moins de dollars 
>:)
> 
>>  Le 28 sept. 2023 à 22:08, Fabien Ségura
>>   a écrit :
>>  
>>   Je recherche un routeur Cisco pour des besoins assez basiques
>>  mais supportant les tunnels GRE… et je m’y perds dans les
>>  différents modèles !
>>  
>>   Voici une descriptions sommaire du besoin :
>>  
>>   Un modèle rackable (pour installer dans un DC)
>>  
>>   A installer en point d’entrée de la baie
>>  
>>   Une bande passante de 500Mbps
>>  
>>   Actuellement, le trafic est dispatché sur quarantaine
>>  d’interfaces réseau via 2 Catalyst 2960 (avec Vlan Tag), à
>>  voir si on les garde ou pas (selon le nb de ports Eth du routeur)
>>  
>>   4 ports fibres (avec ou sans SFP) si on se sépare des 2 Catalyst
>>  
>>   Un firewall intégré pour sécuriser a minima l’accès
>>  management du routeur (a maxima pour remplacer mon petit firewall
>>  actuel qui gère uniquement un VPN)
>>  
>>   Le routeur doit supporter la mise en place d’un tunnel GRE par
>>  lequel tout le trafic entrant ET sortant sera acheminé
>>  
>>   Le routage sera basique : tout ce qui entre via le tunnel GRE
>>  sera routé sur les équipements de la baie ; tout ce qui sort de
>>  ces équipements sera routé via le tunnel GRE (hormis les accès
>>  pour manager les différents équipement de la baie qui pourraient
>>  passer par le VPN du routeur)
>>  
>>   Pas besoin de BGP ou de MPLS ou autre protocole de routage
>>  
>>   Une double alim serait un gros plus
>>  
>>   Une date de end-of-life pas trop proche
>>  
>>   D’après mes recherches basiques, la série ISR 4000 pourrait
>>  répondre au besoin mais il y a tellement de modèles… et
>>  peut-être qu’une autre série serait tout aussi bien adaptée
>>  et moins chère ?
> 
> ---
> 
> Liste de diffusion du FRnOG
> 
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Abuse Scaleway/Online

[Fabien VINCENT]

Ca dépend. Avec un peu de politesse et des facts, les gens
répondent. Je crois qu'Arnaud aussi répond, le compte Scaleway
aussi. Ils ont même un slack ouvert. Donc bon, faut juste trouver le
bon moyen et rester factuel. 

Pour moi les mails abuse@ et noc@ et peering@ c'est des blackholes de
toute façon chez tous les providers. C'est impossible de traiter ce
genre de boites mail avec un scale aussi large. 

FABIEN VINCENT_
@beufanet_

Le 2023-09-21T12:03:45.000+02:00, David Ponzone
 a écrit :

> Ce compte semble plutôt leur servir à se plaindre chez les autres qu’à 
>recevoir des plaintes….
> 
> La classe.
> 
>>  Le 21 sept. 2023 à 11:24, Fabien VINCENT  a
>>  écrit :
>>  
>>   @ScalewayHedi sur https://twitter.com/ScalewayHedi ?
>>  
>>   FABIEN VINCENT_
>>  
>>   @beufanet_



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Abuse Scaleway/Online

[Fabien VINCENT]

@ScalewayHedi sur https://twitter.com/ScalewayHedi ?

FABIEN VINCENT_
@beufanet_

Le 2023-09-21T10:35:04.000+02:00, Daniel via frnog  a
écrit :

> Le 21/09/2023 à 10:07, David Ponzone a écrit :
>>  Bonjour,
>>  
>>   Quelqu’un connait un moyen fiable de joindre la cellule abuse
>>  de Scaleway/Online ?
>>  
>>   (autre moyen que leur formulaire en ligne qui est une vaste
>>  blague, puisqu’il aboutit à un rejet de demande parce que
>>  j’ai pas fourni des infos…que le formulaire ne demande pas)
> 
> Sans compter que l'on ne peut saisir qu'une date, que la réponse
> est 
> 
> toujours la même, que l'IP réapparaît dans la foulée.
> 
> Une grosse fumisterie. Quand à écrire à abuse@online ils ne
> doivent pas 
> 
> l'être souvent, jamais eu de réponse.
> 
> Une grande partie des IP fail2ban vient de chez eux.
> 
> -- 
> 
> Daniel
> 
> ---
> 
> Liste de diffusion du FRnOG
> 
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Recherche stagiaire réseau / admin Windows

[Vincent Duvernet]

Bonjour,

Maintenant que la T° est redevenue acceptable dans de nombreux endroits de 
notre métropole, je sors de ma grotte.

J'ai potentiellement 3 sujets de stage non rémunérés possibles :
- Mise en place d'un certificat autosigné sur différents appareils (switch, 
NAS, routeur...)
- Suivi fonctionnement & améliorations sous Paessler PRTG
- Mise en place de GPO dans un réseau scolaire.

Contactez moi en MP au besoin

Bonne journée,

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Convertisseur 10G BiDi vers 10G LR ou SR ou BaseT

[Vincent Tondellier via frnog]

Bonjour,

On jeudi 24 août 2023 14:15:32 CEST, Fabien H wrote:

je recherche un convertisseur qui permette la conversion 10G BiDi vers 10G
LR ou SR ou BaseT.

Il faudrait un produit bien entendu fiable, à un prix correct, et acceptant
des SFP+ du marché.

Avez-vous des références commercialisées actuellement ? Est-ce que FS part
exemple ferait ça ?


Je ne connais pas ces produits, mais 10s de recherche donnent ca :

https://www.fs.com/fr/c/fiber-to-fiber-media-converters-1044

https://www.fs.com/fr/c/copper-to-fiber-media-converters-1038


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] LACP et EVPN

[Vincent Bernat]

On 2023-07-20 16:12, Lucas REYMOND wrote:
Ma question est la suivante et je pense découle d'une méconnaissance du 
protocole LACP, Comment les PEs peuvent monter un LACP "commun" alors 
qu'ils n'échangent manifestement aucune information ?


Ils n'ont besoin de rien échanger car tu configures le system-id 
manuellement sur chaque PE (pour qu'il soit identique). C'est la seule 
chose nécessaire à partager pour que deux ports soient considérés dans 
la même agrégation de lien.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] problème de joignabilité depuis 3215

[Fabien VINCENT]

Envoie des MTR/hop/dst, je suis sur 3215, si je peux aider.

FABIEN VINCENT_
@beufanet_

Le 2023-07-05T10:07:11.000+02:00, Alexis Lameire
 a écrit :

> Bonjour,
> 
> Depuis hier j'ai des soucis de joignabilité depuis 3215 vers mon AS. J'ai
> 
> réussi à prendre en traitre un measurement coté ripe atlas qui montrait que
> 
> mon traffic était blackhole quand le best path passe par 6461.
> 
> En coupant mon peer, ça vas globalement mieux, mais j'ai toujours beaucoup
> 
> de clients qui se plaignent de lenteur voir de perte de paquets dans
> 
> certaines situations.
> 
> Je veux bien vos retours sur le coup !
> 
> Alexis Lameire
> 
> ---
> 
> Liste de diffusion du FRnOG
> 
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Vincent Bernat]

On 2023-06-26 19:52, Vincent Bernat wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, 
alors j'ai désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la 
solution que tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible 
gratuit comme le mien) qui permet de parer jusqu'à 2^64 pirates sans 
solliciter solliciter d'avantage de ressource que de les ignorer en 
bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par 
utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes 
autant de monde sur un /64 IPv6 que sur une /32 IPv4.


Je n'avais pas manifestement compris ta remarque dans le bon sens. Une 
correction donc :


1. Moins de pirates en IPv6 qu'en IPv4
2. À population égale, pourquoi tu aurais plus de /64 IPv6 utilisées que 
de /32 IPv4 ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Vincent Bernat]

On 2023-06-26 19:18, Laurent Barme wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors 
j'ai désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la 
solution que tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit 
comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter 
solliciter d'avantage de ressource que de les ignorer en bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par 
utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes 
autant de monde sur un /64 IPv6 que sur une /32 IPv4.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Soft notification de maintenance par mail

[Vincent Jumpertz via frnog]

Hello,

j'allai proposer cachet https://github.com/CachetHQ/Cachet mais il 
semble lui aussi abandonne :/


https://github.com/cstate/cstate semble pas trop mal en revanche


ce qui pourrait être aussi possible serait de faire un dump static 
public a interval régulier (ceci permettrait d'utiliser les projets 
précédent) et de mettre l'interface privée derrière un VPN/reverse proxy/...



Bien cordialement

Vincent
On 6/22/23 08:47, Hugues Voiturier wrote:

Abandonnée également : https://github.com/Okazanta/okazanta-legacy/issues/43

Hugues Voiturier
Consultant en architecture réseau
AS2027


On 22 Jun 2023, at 10:38, Matthieu Noirbusson 
 wrote:

Une initiative à suivre: https://okazanta.com/







On Thu, Jun 22, 2023 at 10:33 AM Matthieu Noirbusson <
matthieu.noirbus...@sensorfactory.eu> wrote:


C'est bien dommage effectivement !






On Thu, Jun 22, 2023 at 10:07 AM Hugues Voiturier <
hugues-lis...@milkywan.fr> wrote:


CachetHQ est malheureusement abandonné. Plus aucun commit depuis 2 ans,
pas de compatibilité PHP 8, toujours sous Laravel 7 alors que le 8 est
sorti depuis 2020 et le 10 depuis cette année.

Je déconseille de mettre une nouvelle instance en prod en 2023…



*Hugues Voiturier*Consultant en architecture réseau
AS2027

On 22 Jun 2023, at 09:59, Matthieu Noirbusson <
matthieu.noirbus...@sensorfactory.eu> wrote:

Dans la même veine il y a Cachet HQ qui permet, lui, de gérer des
subscribers par item donc un fonctionnement un peu similaire aux groupes.

Matthieu


On Thu, Jun 22, 2023 at 8:39 AM Sébastien 65 
wrote:

Hello David 

Staytus est pas mal utilisé, je l'ai déjà "parcouru".

Quand tu as des maintenances ou tu dois changer des équipements de cœur ou
de collecte l'impact n'est pas négligeable !
Tu as toujours des utilisateurs qui veulent tout savoir, même pour du FTTH
à pas cher...

C'est pour cela que je souhaite pouvoir créer des catégories/groupes pour
pouvoir faire du sélectif en fonction de la maintenance.
En y réfléchissant il peut aussi y avoir un second intérêt pour de la
notification en cas d'incident sur une techno précise.

Sébastien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Gandi, c'est fini...

[Vincent Jumpertz via frnog]

Hello,

hetzner propose des services plutot sympathiques si l'enregistrement des 
domaines et les DNS sont les seuls services attendus (attention il ne 
supporte pas le DNSSEC sur leur service DNS).
United Domains est aussi plutôt a la mode en Allemagne (l'API n'est pas 
trop affreuse mais l'interface diable...)

Si le service mail/DNS/domain est attendu 1&1/IONOS est plutôt bien

--
Vincent

On 6/14/23 13:08, j...@jaxx.org wrote:




On 14 Jun 2023, at 14:38, Léo El Amri via frnog  wrote:

On 14/06/2023 14:34, Arnaud Launay wrote:

Le Wed, Jun 14, 2023 at 01:48:30PM +0200, David Touitou a écrit:

Ceux qui ne sont pas chez Gandi, où êtes-vous ?

Bookmyname. Une bonne interface années 90, parfaitement fonctionnelle, il 
existe une
API, les tarifs sont raisonnables. Pour les fonctionnalités avancées, pas sûr: 
c'est
un registrar, pas un FSI.


PI, BookMyName est le nom commercial de vente de NDD de Online (maintenant 
"Scaleway").

Je n'ai jamais été client NDD chez eux depuis la création de Scaleway, mais je 
pense qu'il y a plus de fonctionnalités sur l'interface de Scaleway 
(https://www.scaleway.com/fr/domains-and-dns/) que sur l'interface de 
BookMyName.



La plateforme est effectivement différente

Tout comme les prix d'ailleurs ... chez SCW les ccTLD classiques tournent 
autour de 10/11€HT/an, chez BMN c'est autour de 6/8 ... les TLD eux sont 
~kifkif, mais toujours moins chers que Gandi

Mais ouais, BMN, rustique, mais it just works

--
Julien “JaXX” Banchet
j...@jaxx.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Juniper EX2300 - Utilisation de l'interface web J-Web ?

[Vincent Jumpertz via frnog]

en effet j'avais zappe,

j'ai quelques cisco CBS250 
https://www.cisco.com/c/en/us/products/collateral/switches/business-250-series-smart-switches/nb-06-bus250-smart-switch-ds-cte-en.html 
et je trouve que ce n'est pas mal, après on peut discuter de 
l’intuitivité de la webUI mais ca coche les cases


cordialement

Vincent

On 6/12/23 09:56, David Ponzone wrote:

Oui cela ne fait aucun doute, la gamme UISP est pour ISP (essentiellement pour 
des WISP), et la gamme Unifi pour de l’entreprise.
Le problème c’est le contrôleur cloud pour Toussaint.
Ce n’est pas exactement comme un switch autonome avec un WebUI.
Chez UI, Il faut gérer le contrôleur, les upgrades qui sont incontournables au 
bout de X mois, et qui sont parfois folkloriques, surtout si on a attendu un 
peu trop.
Je parle même pas de la baisse des performances depuis 2 ans.

Si c’est pas ton métier, c’est lourd à gérer.


Le 12 juin 2023 à 10:49, Vincent Jumpertz via frnog  a écrit :

la nouvelle gamme uisp n'est pas égale a l'ancienne (notamment niveau PoE), je pense 
qu'ils essayent de pousser le cote "FAI" sur celle ci et rapatrient le cote 
switch sur leur gamme unifi.
Pour les edgemax ils ne sont plus trop disponibles

je pense que ce genre de switch pourrait être pas trop mal 
https://eu.store.ui.com/eu/en/pro/category/all-switching/products/usw-lite-8-poe 
<https://eu.store.ui.com/eu/en/pro/category/all-switching/products/usw-lite-8-poe>

oui si c'est plus du access 
https://eu.store.ui.com/eu/en?category=switching-standard=eu=en 
<https://eu.store.ui.com/eu/en?category=switching-standard=eu=en>

Vincent

On 6/12/23 08:24, David Ponzone wrote:

https://dl.ubnt.com/qsg/ES-24-250W_ES-24-500W/ES-24-250W_ES-24-500W_EN.html#_idTextAnchor000 
<https://dl.ubnt.com/qsg/ES-24-250W_ES-24-500W/ES-24-250W_ES-24-500W_EN.html#_idTextAnchor000><https://dl.ubnt.com/qsg/ES-24-250W_ES-24-500W/ES-24-250W_ES-24-500W_EN.html#_idTextAnchor000
 
<https://dl.ubnt.com/qsg/ES-24-250W_ES-24-500W/ES-24-250W_ES-24-500W_EN.html#_idTextAnchor000>>
https://eu.store.ui.com/eu/en/collections/uisp-wired-advanced-switching-compact-poe 
<https://eu.store.ui.com/eu/en/collections/uisp-wired-advanced-switching-compact-poe><https://eu.store.ui.com/eu/en/collections/uisp-wired-advanced-switching-compact-poe
 <https://eu.store.ui.com/eu/en/collections/uisp-wired-advanced-switching-compact-poe>>
UI prend un drôle de virage sur cette gamme, pas sûr qu’elle survive longtemps 
(y en a une nouvelle, seulement manageable par UISP).
Et sur leur site, y a de moins en moins de doc, c’est plus qu’un store.
David

Le 12 juin 2023 à 08:28, Toussaint OTTAVI  a écrit :


Le 09/06/2023 à 20:35, David Ponzone a écrit :

La série ES alors plutôt, qui a un WebUI.


Je ne connais pas cette gamme. Tu as un lien ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/ <http://www.frnog.org/>



---
Liste de diffusion du FRnOG
http://www.frnog.org/ <http://www.frnog.org/>


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Juniper EX2300 - Utilisation de l'interface web J-Web ?

[Vincent Jumpertz via frnog]

la nouvelle gamme uisp n'est pas égale a l'ancienne (notamment niveau 
PoE), je pense qu'ils essayent de pousser le cote "FAI" sur celle ci et 
rapatrient le cote switch sur leur gamme unifi.

Pour les edgemax ils ne sont plus trop disponibles

je pense que ce genre de switch pourrait être pas trop mal 
https://eu.store.ui.com/eu/en/pro/category/all-switching/products/usw-lite-8-poe


oui si c'est plus du access 
https://eu.store.ui.com/eu/en?category=switching-standard=eu=en


Vincent

On 6/12/23 08:24, David Ponzone wrote:

https://dl.ubnt.com/qsg/ES-24-250W_ES-24-500W/ES-24-250W_ES-24-500W_EN.html#_idTextAnchor000
 
<https://dl.ubnt.com/qsg/ES-24-250W_ES-24-500W/ES-24-250W_ES-24-500W_EN.html#_idTextAnchor000>

https://eu.store.ui.com/eu/en/collections/uisp-wired-advanced-switching-compact-poe 
<https://eu.store.ui.com/eu/en/collections/uisp-wired-advanced-switching-compact-poe>

UI prend un drôle de virage sur cette gamme, pas sûr qu’elle survive longtemps 
(y en a une nouvelle, seulement manageable par UISP).
Et sur leur site, y a de moins en moins de doc, c’est plus qu’un store.

David


Le 12 juin 2023 à 08:28, Toussaint OTTAVI  a écrit :


Le 09/06/2023 à 20:35, David Ponzone a écrit :

La série ES alors plutôt, qui a un WebUI.


Je ne connais pas cette gamme. Tu as un lien ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Juniper EX2300 - Utilisation de l'interface web J-Web ?

[Vincent Jumpertz via frnog]

Hello,

Concernant les EX2300 nous en avons en production et je n'ai jamais 
reussi a faire fonctionner l'interface de facon durable...


mon conseil si des utilisateurs doivent intervenir dessus, pourquoi ne 
pas prendre du unifi?



vincent

On 6/9/23 13:55, Toussaint OTTAVI wrote:


Le 08/06/2023 à 12:03, BELLOTTO Louis a écrit :
Quand je suis passé de cisco à juniper (en 2015), on m'a aussi vanté 
le J-Web.

Je ne suis jamais arrivé à travaillé serieusement avec.

Pour moi, tout ce qui est commutateuers et routeurs (et ... ) : du cli !

Après, ce n'est pas parceque tu as une interface web, que tu vas 
savoir configurer du bgp ou du lag ;)


Bah, mes utilisateurs qui vont devoir bosser sur l'interface WEB n'ont 
pas la moindre idée de ce qu'est BGP :-)


C'est pour du L2 basique : installation / remplacement de switch, 
upgrader un firmware, injecter une config, taguer / détaguer un VLAN 
existant sur un port, vérifier l'état d'un LACP ou d'un STP, consulter 
les logs à la recherche d'une anomalie. Toutes ces fonctionnalités sont 
à priori présentes dans J-Web, et m'ont l'air assez bien organisées (par 
rapport à d'autres marques où c'est carrément le b*rdel). On est bien 
d'accord que J-Web représente sans doute 5% de ce que les appareils 
savent faire via le CLI. Mais ce sont les 5% dont j'ai besoin pour mes 
gars. Les 95% restants, ce sera pour ma pomme :-)


Le problème, avec les surcouches WEB sur des appareils nativement CLI, 
c'est la "désynchronisation" qui peut survenir entre les deux si la 
surcouche WEB n'est pas irréprochable. Cà, c'est du ressenti subjectif 
sur de l'utilisation régulière. Moi, mon premier ressenti n'est pas top, 
mais je découvre à peine les produits, donc je ne voudrais pas jeter la 
pierre trop vite :-)


Donc, si d'autres personnes utilisent du J-Web régulièrement, pour des 
tâches de switching L2 simples, je suis preneur des REX.




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] RIPE General Meeting: Billing scheme 2024

[Vincent Jumpertz via frnog]

j'ai l'impression qu'ils ont tres peur des possibles sanctions diverses 
et variees (russie principalement) et des consequences que ca pourrait 
avoir sur leur banque



On 5/26/23 16:47, David Ponzone wrote:

J’ai raté un train je crois.

Quelqu’un peut m’expliquer comment ils en sont arrivés à avoir des problèmes 
d’argent, alors qu’il y a 2-3 ans, ils redistribuaient leurs bénéfices aux 
membres, pour un total d’environ 12.5M€ ?



Le 26 mai 2023 à 18:33, Vincent Jumpertz via frnog  a écrit :

Hello,

Alors concernant le bureau d'amsterdam hans peter a fait une slide dessus en 
disant que le prix moyen d'amsterdam etait de 325euros/m2 et que leur offre est 
bien en dessous (slide 12-13 
https://www.ripe.net/participate/meetings/gm/meetings/may-2023/documentation-and-archives/a-report-from-the-ripe-ncc.pdf),
 cela dit le prix minimal semble etre de 275euros/m2 au centre ville et 
probablement en dessous ailleurs... ils ont un bails de 5+5 ans par contre

Une clarification pourrait etre demandee, en attendant vu que la reponse D a 
ete choisie, le RIPE va etre contraint de reduire ses depenses (en esperant que 
ca ne casse pas les bonnes choses)

Il a aussi fait une remarque, la partie aide et projets figure dans les statuts 
du RIPE. Il se pourrait qu'a un prochain GM une proposition soit faite pour les 
modifier

Vincent

On 5/26/23 10:22, Arnaud Launay wrote:

Le Fri, May 26, 2023 at 11:03:05AM +0200, Clement Cavadore a écrit:

- Modele financier: La réponse D, à savoir pas de changement

Pour les années suivantes, je propose que chaque année, il y ait une
réponse E: "diminution de 50% du budget de l'année passée".
Il faut dégraisser le mammouth.
Quand on voit leurs bureaux:
https://www.artigo.com/fr/project/ripe-ncc-2/
Ya des économies à faire... Et visiblement ça bosse dur:
https://www.artigo.com/wp-content/uploads/2022/05/WoutervanderSar_17.063000-17.jpg
Arnaud.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] RIPE General Meeting: Billing scheme 2024

[Vincent Jumpertz via frnog]

Hello,

Alors concernant le bureau d'amsterdam hans peter a fait une slide 
dessus en disant que le prix moyen d'amsterdam etait de 325euros/m2 et 
que leur offre est bien en dessous (slide 12-13 
https://www.ripe.net/participate/meetings/gm/meetings/may-2023/documentation-and-archives/a-report-from-the-ripe-ncc.pdf), 
cela dit le prix minimal semble etre de 275euros/m2 au centre ville et 
probablement en dessous ailleurs... ils ont un bails de 5+5 ans par contre


Une clarification pourrait etre demandee, en attendant vu que la reponse 
D a ete choisie, le RIPE va etre contraint de reduire ses depenses (en 
esperant que ca ne casse pas les bonnes choses)


Il a aussi fait une remarque, la partie aide et projets figure dans les 
statuts du RIPE. Il se pourrait qu'a un prochain GM une proposition soit 
faite pour les modifier


Vincent

On 5/26/23 10:22, Arnaud Launay wrote:

Le Fri, May 26, 2023 at 11:03:05AM +0200, Clement Cavadore a écrit:

- Modele financier: La réponse D, à savoir pas de changement


Pour les années suivantes, je propose que chaque année, il y ait une
réponse E: "diminution de 50% du budget de l'année passée".

Il faut dégraisser le mammouth.

Quand on voit leurs bureaux:
https://www.artigo.com/fr/project/ripe-ncc-2/

Ya des économies à faire... Et visiblement ça bosse dur:
https://www.artigo.com/wp-content/uploads/2022/05/WoutervanderSar_17.063000-17.jpg

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MVNO Orange & SFR

[Fabien VINCENT - lists via frnog]

ah non, pour une fois qu'un commercial se plante en public, laissons nous lui 
proposer un RDV ! 


Fabien VINCENT
@beufanet


--- Original Message ---
Le mercredi 5 avril 2023 à 12:44, Jeremy  a écrit :


> On peu ban ce mec qui n'a rien à faire sur cette liste et qui est en
> infraction complète aux règles ?
> Sur BIZ c'est déjà très moyen (je me suis fait taclé là dessus, j'ai
> compris ma douleur), mais sur Tech, c'est limite du viol.
> 
> Merci.
> Jérémy
> 
> Le 05/04/2023 à 12:41, Francois SANTOS via frnog a écrit :
> 
> > Bonjour Steeve,
> > 
> > J’attends bien vos propos.
> > 
> > Je vous présent au nom de Phenix Partner toutes nos excuses.
> > 
> > La fin d’année et le premier trimestre ont été très compliqué et une
> > forte réorganisation en interne.
> > 
> > Durant cette période, nous avons fait évoluer et enrichi nos offres
> > pour être le plus pertinent.
> > 
> > Si le sujet Collecte Data Privée est toujours d’actualité et que vous
> > acceptiez mes sincères excuses, pouvons nous planifier une nouvelle
> > réunion de travail ?
> > 
> > Dans de vous relire.
> > 
> > Bien à vous,
> > 
> > François SANTOS
> > 
> > f.san...@phenix-partner.fr
> > 
> > De : frnog-requ...@frnog.org frnog-requ...@frnog.org De la part
> > de Steeve BEAUVAIS - Société Serinya Telecom
> > Envoyé : lundi 3 avril 2023 20:55
> > À : Charles ENEL-REHEL charles.enelre...@gmail.com
> > Cc : frnog-tech frnog-t...@frnog.org; Francois SANTOS
> > f.san...@phenix-partner.fr
> > Objet : Re: [FRnOG] [TECH] MVNO Orange & SFR
> > 
> > Mon conseil : passez votre chemin.
> > 
> > J'ai demandé la possibilité de faire de l'APN dédié avec interco privée.
> > 
> > Au début c'est tout beau, on me promet que c'est OK et pour pas cher.
> > Mon ingé avait même des étoiles dans les yeux.
> > 
> > Je creuse un peu, toutes les réponses à mes questions techniques
> > étaient à côté de la plaque.
> > 
> > Je leur ai laissé l'opportunité de revoir leurs réponses à froid. Mes
> > interlocuteurs ont préféré nous ghoster.
> > 
> > Si c'est pour avoir un partenaire qui disparaît à la moindre
> > difficulté c'est pas la peine.
> > 
> > Steeve
> > 
> > Le lun. 3 avr. 2023, 12:31, Charles ENEL-REHEL
> > charles.enelre...@gmail.com a écrit :
> > 
> > Hallucinante cette propension qu'ont certains à détourner notre
> > FRnOG en marketplace. Qui plus est en catégorie [TECH] !
> > 
> > C'est plus fort qu'eux ...
> > 
> > Charles ENEL-REHEL
> > 
> > Le lun. 3 avr. 2023 à 12:07, Francois SANTOS via frnog
> > frnog@frnog.org a écrit :
> > 
> > Bonjour,
> > 
> > Phenix Partner MVNO Orange et SFR challenger dans la vente
> > indirecte recherche quelques nouveaux partenaires.
> > 
> > Nous travaillons exclusivement en indirect pour vous proposer
> > des offres spécifiques, avec un accompagnement opérationnel et
> > fonctionnel afin de répondre aux besoins de vos clients.
> > 
> > L’une de nos forces est la souplesse que nous accordons à nos
> > partenaires pour changer à la voler les forfaits mobiles avec
> > une prise en compte immédiate. Cela peut être très pertinent
> > pour le forfait en Data Only.
> > 
> > N’hésité pas à venir vers moi pour un premier contact.
> > 
> > Bien à vous,
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Ingénieur(e) réseaux & automatisation / netops

[Vincent Zafra]

Bonjour,

Eurofiber recrute un(e) ingénieur(e) réseaux & automatisation / netops.

Au sein de l’équipe d’experts et d'architectes, la mission consiste à 
automatiser les processus métiers de production et d’exploitation des produits 
et services réseaux.
Le poste inclus également la participation à l’évolution du réseau ou encore 
l’élaboration des offres techniques.

Une expérience dans le milieu des télécoms est fortement appréciée.

Le poste est à pourvoir sur Paris, Lille, Toulouse, Nantes, Montpellier, Lyon 
ou Nice, et inclus 3j de télétravail par semaine.

La rémunération pour ce poste est comprise 42k€ et 49k€ en fonction du profil, 
du lieu et de l’expérience.

N’hésitez pas à me contacter en MP pour en discuter.

—
Vincent


 IMPORTANT NOTICE 
This e-mail (including any attachments) may contain information that is 
confidential or otherwise protected from disclosure and it is intended only for 
the addressees. If you are not the intended recipient, please note that any 
copying, distribution or other use of information contained in this e-mail (and 
its attachments) is not allowed. If you have received this e-mail in error, 
kindly notify us immediately by telephone or e-mail and delete the message 
(including any attachments) from your system.

Please note that e-mail messages may contain computer viruses or other defects, 
may not be accurately replicated on other systems, or may be subject of 
unauthorized interception or other interference without the knowledge of sender 
or recipient. Eurofiber only sends and receives e-mails on the basis that 
Eurofiber is not responsible for any such computer viruses, corruption or other 
interference or any consequences thereof.
Eurofiber Nederland B.V. is registered in the Chamber of Commerce of Amsterdam 
with number 34134377, VAT number NL 8088.51.524 B01.
Eurofiber N.V. has its registered office at Belgicastraat 5 bus 7, 1930 
Zaventem and is registered under national number 0435.204.851.
Eurofiber France has its registered office at 21 Avenue de la Créativité, 59650 
Villeneuve d’Ascq and is registered under national number FR 83.822.249.074.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vos retours sur StarLink ?

[Vincent Bernat]

On 2023-03-01 16:23, Minh-Truong LAM wrote:

J'arrive de mon côté à monter de l'ipsec en mode dialup sans pbs, par
contre je rencontre un souci en terme de perf.
Je sature autour de 20Mbps pour mon trafic tunnelisé (pas de saturation au
niveau du concentrateur) versus 150Mbps pour l'accès internet "direct"
Starlink.

Pour ceux qui ont monté de l'ipsec vous avez pu constater des perfs
similaires ? Pour ceux qui font du WG vous avez une idée des perfs dessus ?


Sous Linux, malheureusement, l'implémentation IPSec est monothreadé par 
défaut. Il est possible de passer en multithread by pcrypt, mais les 
perfs scalent très mal en raison d'un code qui fait beaucoup appel aux 
locks. WireGuard a été écrit avec le multithread dès le départ et ne 
souffre pas de ce problème.


https://wiki.strongswan.org/projects/strongswan/wiki/Pcrypt

Sur le papier, IPSec sait utiliser les mêmes ciphers que WireGuard, donc 
les perfs devraient être similaires. IPSec peut même avoir des perfs 
meilleures via des ciphers qui sont accélérés matériellement, tels que 
AES-GCM.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vos retours sur StarLink ?

[Vincent Tondellier via frnog]

On jeudi 23 février 2023 10:12:27 CET, Nicolas Vuillermet wrote:
PS3 : Ah oui, je veux bien aussi un retour si quelqu'un à fait 
de l'IPsec over IPv6 :}


Quel genre de retours ?
J'ai des clients en mode roadwarrior (win, lin, mac) sur un strongswan en 
dual stack/dual wan.
Pas de soucis particuliers avec l'IPv6, et une bonne partie des clients 
l'utilise ...


Je n'ai plus de site to site en IPv6 par contre, mais ceux que j'avais ne 
comptaient pas, je gérais les 2 cotés. 
Il ont été migrés sur WG depuis.


Vincent



Le 23/02/2023 à 10:09, Nicolas Vuillermet a écrit :

IPsec, c'est quand ton réseau est pas trop mouillé ?

La décennie passée, on avait IPsec pour faire du VPN site à 
site ou client serveur. L'avantage c'est que le bordel avec 3 
milliards d'options, et si tu packages pas ça dans un binaire 
qui sait télécharger la config complète avec un simple user / 
pass (coucou Cisco Anyco). Bon, ok il y avait des intégrations 
OS mais paie ton set de configuration limitée, tu dois presque 
monter un serveur VPN en fonction du client (WTF ?)


Hier, on avait les VPN SSL. Alors là, on est pas loin du gros 
mot qui commence par SD et fini par WAN. Entre les solutions 
propriétaires et les solutions propriétaires qui ne font que 
wrapper OpenVPN, c'était pas mieux, à part que commercialement, 
c'est sexy, SSL c'est mignon, les mec de la sécu sont tout 
heureux et IPse ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Vos retours sur StarLink ?

[Vincent Duvernet]

Bonjour,

La fibre n'étant pas encore déployée partout, l'option starlink est envisagée 
pour un client en zone industrielle.

J'ai vu passer quelques infos mais dur à dire si elles concernent la France ou 
non.

Voici les questions que je me pose :
- Est-ce que l'on peut avoir une IP fixe ?
- Suite du précédent message, est ce que du VPN Sophos va fonctionner ?
- Suite de la suite du retour de la vengeance : on a un routeur Sophos qui va 
conserver en parallèle sa ligne ADSL en IP fixe et faire la bascule en cas de 
problème.

Alors, est ce que ça va fonctionner ?

Merci,

Vincent




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Panne Bouygues Telecom fibre Orne (61)

[Vincent Duvernet]

Bonjour,

Est-ce que quelqu'un a des infos sur la coupure fibre qui impacte au moins 
l'est du département Ornais ?
Plus de réseau depuis ce matin 9h et toujours pas de rétablissement en vue.
On a pris un missile sur la gueule que j'aurais loupé ?

Merci,

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche solution "PCAP -> IPFIX/NETFLOW"

[Vincent Bernat]

On 2023-01-06 17:54, sbu sbu wrote:

Je suis à la recherche d'une solution qui saurait prendre du PCAP en entrée
(10 x TAP optique 10G mono et multi) et le convertir en Flow. pour
l'envoyer vers un seul puits de stats.
J'ai bien pensé à prendre des switch mais ceux que j'ai, ont besoin d'une
licence pour le flow, que je n'ai pas, qui coûte un bras. Et je ne suis
même pas certain de pouvoir récupérer le flux des Tap et le NetFlowiser.
En gros l'idéal serait des Gigamon lite  pour ceux qui connaissent, sans
les fonctions des flux metadata et pour beaucoup mon cher.
Pour info ce constructeur me propal plus de 200k€ sur 3 ans (achat +
support de 2 boites)... (volume de data 10G en burste sur l'aggregation des
10 points de collecte)
Si quelqu'un à déjà utilisé d'autre techno basique ou on intervient
uniquement sur l'échantillonnage. Solution hardware, boîtier matriciel
comme les Gigamon ou single ou même une solution software qui fonctionne,
je suis preneur du retour d'expérience.


pmacct sait lire des pcap (pcap_savefile) et exporter en IPFIX 
(nfprobe_receiver + nfprobe_version).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Probleme de debits de transfert sftp entre Zayo et Orange

[Vincent Charley]

Malheureusement, Orange me répond que " ce n’était pas possible techniquement, 
car il y a des éléments en coupure et du nattage entre vos équipement et nos 
serveurs". 
Donc pas de traceroute dans l'autre sens. :S
En parallèle et grâce à certains d'entre vous, je vais pouvoir avancer sur la 
sécurisation de notre transit (merci)



-Message d'origine-
De : frnog-requ...@frnog.org  De la part de 
br...@skiwebcenter.fr
Envoyé : vendredi 9 décembre 2022 10:08
À : David Ponzone 
Cc : Jérôme Marteaux ; frnog@frnog.org; 
frnog-requ...@frnog.org
Objet : Re: [FRnOG] [TECH] Probleme de debits de transfert sftp entre Zayo et 
Orange

Bonjour,

Je doute qu'orange gère en interne la partie gestion des replays ;)

Egalement intéressant d'avoir en effet un traceroute dans l'autre sens voir si 
la route n'est pas asymétrique.

Bonne journée

B.C


Le 2022-12-09 09:58, David Ponzone a écrit :
> C’est le rapport avec FranceTV que je comprends pas, mais j’admets que 
> j’y connais rien en Broadcasting.
> 
> L’OP a indiqué un problème pour pousser ses replays vers les Livebox, 
> donc vers Orange.
> 
>> Le 9 déc. 2022 à 09:56, Jérôme Marteaux  a écrit :
>> 
>> Exact, mais je doute que cette IP le seul lien Orange et le seul 
>> routeur pour remplacer tout l'AS qu'avait FranceTV. Dommage que 
>> FranceTV bloque l'ICMP.
>> 
>> Je pense que le problème est plus complexe que ça en a l'air, ça fait 
>> bien longtemps qu'on ne voit plus de contention entre 2 transitaires 
>> sur une période supérieure à 24 heures.
>> 
>> Et pour une fois il peut demander à FranceTV car il doit avoir un 
>> point d'entrée technique chez eux.
>> 
>> Jérôme
>> 
>> 
>> Le 09/12/2022 à 09:47, David Ponzone a écrit :
>>> Je dois rater un truc.
>>> l’IP 193.253.67.106 est chez 3215, pas chez FranceTV.
>>>> Le 9 déc. 2022 à 09:39, Jérôme Marteaux  a 
>>>> écrit
>>>> :
>>>> 
>>>> Le 08/12/2022 à 17:52, Vincent Charley a écrit :
>>>>> Bonjour,
>>>>> Depuis quelques semaines, je rencontre des soucis pour livrer en 
>>>>> sftp (avec auth par clefs) des fichiers videos vers la plateforme 
>>>>> d'hébergement du replay pour les livebox tv (destination :
>>>>> passport.optv.fr)
>>>>> Nous avons une fibre zayo avec une cx internet de 500mbps 
>>>>> symétriques et aucun problème pour livrer les 70 plateformes..
>>>>> quelque soit le protocole : (ftp, aspera, s3..).
>>>>> Evidemment j'ai un ticket ouvert chez Z, mais çà n'avance pas.
>>>>> Nous avons commencé à UL à 10Mo/s, désormais c'est à 1Mo/s pour 
>>>>> des fichier MPEG-2 de 15-20Go ; donc le replay de nos chaines TV 
>>>>> n'est pas livré en temps et en heure.
>>>>> Voici le traceroute actuel : systématiquement  au niveau 
>>>>> d'HOPUS
>>>>> 1   1.00 ms
>>>>> 2   1.00 ms
>>>>> 3   1.00 ms  x.civ.lil.core.as8218.eu 
>>>>> (46.xxx.yyy.zzz)
>>>>> 4   1.00 ms xe-2-0-0.ter1.ats.lil.core.as8218.eu (83.167.55.223)
>>>>> 5   5.00 ms ae1.ter4.eqx2.par.core.as8218.eu (83.167.55.216)
>>>>> 6   6.00 ms ae6.ter3.eqx2.par.core.as8218.eu (83.167.55.42)
>>>>> 7   6.00 ms ae24.tcr1.rb.par.core.as8218.eu (83.167.56.140)
>>>>> 8   6.00 ms zayo-fr-1.pa3-1.rt.hopus.net (37.77.38.20)
>>>>> 9   ... 13
>>>>> 14  7.00 ms 193.253.67.106
>>>>> Auriez vous une idée de la cause du problème ?
>>>> 
>>>> Fin novembre FranceTV a quitté France-IX: In the coming days, 
>>>> France Télévisions (AS43930) will be permanently shutting down the 
>>>> current sessions on France-IX as part of migrating to a new network 
>>>> infrastructure.
>>>> 
>>>> Il est donc possible que tu ne sois pas un cas isolé, demande à 
>>>> FranceTV s'ils n'ont pas des cas similaires au tient. De plus s'ils 
>>>> parlent d'une nouvelle infra peut-être qu'ils ont des contraintes 
>>>> de bande passante en ce moment ?
>> 
>> --
>> Jérôme Marteaux
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Probleme de debits de transfert sftp entre Zayo et Orange

[Vincent Charley]

Une faute de frappe : passportftp.optv.fr pour la destination et 46.255.181.162 
en source
Mon métier évolue, avant, un simple faisceau hertzien suffisait à livrer tout 
le monde, aujourd’hui sélectionner son ISP ne suffit pas à se garantir une 
certaine sérénité à long terme …

De : David Ponzone 
Envoyé : jeudi 8 décembre 2022 18:17
À : Vincent Charley 
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Probleme de debits de transfert sftp entre Zayo et 
Orange

On manque un peu d’info:
-IP source ?
-passport.optv.fr<http://passport.optv.fr>: c’est quoi, le domaine existe mais 
pas ce FQDN

J’ai envie de dire 2 trucs parce que c’est jeudi soir:
-si tu arrives à livrer bien partout et que ça merde seulement vers cette IP 
orange alors ça peut venir d’Orange, ou du peering entre Zayo et Orange, via 
Hopus. Attention avec Hopus, c’est une plateforme sur laquelle le traffic 
sortant du peer est facturé, donc si Zayo en a marre de payer une fortune à 
Hopus, ils ont pu faire des bondieuseries. Il y a des gens de Zayo ici, je suis 
sûr qu’ils vont vite me contredire.
-si tu as une VM qqpart ailleurs, et que tu peux demander à 
opte.fr<http://opte.fr>  d’autoriser cette IP, si le scp est normal depuis 
cette IP, alors ça confirme quand même pas mal qu’il y a souci sur la route 
Zayo/Hopus/Orange
-quand tu fais le métier que tu fais, ne pas maitriser au max ses transits 
(donc en avoir 2 au moins) et ses peerings, je trouve ça délicat, mais bon, je 
suis né avant 1980, alors je me rappelle d’une époque où les fournisseurs de 
transit n’inspiraient pas tous une confiance totale aka je suis un vieux con 
méfiant

Le 8 déc. 2022 à 17:52, Vincent Charley 
mailto:char...@sasecom.tv>> a écrit :

Bonjour,

Depuis quelques semaines, je rencontre des soucis pour livrer en sftp (avec 
auth par clefs) des fichiers videos vers la plateforme d'hébergement du replay 
pour les livebox tv (destination : passport.optv.fr<http://passport.optv.fr>)
Nous avons une fibre zayo avec une cx internet de 500mbps symétriques et aucun 
problème pour livrer les 70 plateformes.. quelque soit le protocole : (ftp, 
aspera, s3..).
Evidemment j'ai un ticket ouvert chez Z, mais çà n'avance pas.

Nous avons commencé à UL à 10Mo/s, désormais c'est à 1Mo/s pour des fichier 
MPEG-2 de 15-20Go ; donc le replay de nos chaines TV n'est pas livré en temps 
et en heure.

Voici le traceroute actuel : systématiquement  au niveau d'HOPUS


1   1.00 ms

2   1.00 ms

3   1.00 ms  x.civ.lil.core.as8218.eu (46.xxx.yyy.zzz)

4   1.00 ms xe-2-0-0.ter1.ats.lil.core.as8218.eu<http://ats.lil.core.as8218.eu> 
(83.167.55.223)

5   5.00 ms ae1.ter4.eqx2.par.core.as8218.eu<http://eqx2.par.core.as8218.eu> 
(83.167.55.216)

6   6.00 ms ae6.ter3.eqx2.par.core.as8218.eu<http://eqx2.par.core.as8218.eu> 
(83.167.55.42)

7   6.00 ms ae24.tcr1.rb.par.core.as8218.eu<http://rb.par.core.as8218.eu> 
(83.167.56.140)

8   6.00 ms zayo-fr-1.pa3-1.rt.hopus.net<http://zayo-fr-1.pa3-1.rt.hopus.net> 
(37.77.38.20)

9   ... 13

14  7.00 ms 193.253.67.106


Auriez vous une idée de la cause du problème ?

Merci,

vincent

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Probleme de debits de transfert sftp entre Zayo et Orange

[Vincent Charley]

Bonjour,

Depuis quelques semaines, je rencontre des soucis pour livrer en sftp (avec 
auth par clefs) des fichiers videos vers la plateforme d'hébergement du replay 
pour les livebox tv (destination : passport.optv.fr)
Nous avons une fibre zayo avec une cx internet de 500mbps symétriques et aucun 
problème pour livrer les 70 plateformes.. quelque soit le protocole : (ftp, 
aspera, s3..).
Evidemment j'ai un ticket ouvert chez Z, mais çà n'avance pas.

Nous avons commencé à UL à 10Mo/s, désormais c'est à 1Mo/s pour des fichier 
MPEG-2 de 15-20Go ; donc le replay de nos chaines TV n'est pas livré en temps 
et en heure.

Voici le traceroute actuel : systématiquement  au niveau d'HOPUS


1   1.00 ms

2   1.00 ms

3   1.00 ms  x.civ.lil.core.as8218.eu (46.xxx.yyy.zzz)

4   1.00 ms xe-2-0-0.ter1.ats.lil.core.as8218.eu (83.167.55.223)

5   5.00 ms ae1.ter4.eqx2.par.core.as8218.eu (83.167.55.216)

6   6.00 ms ae6.ter3.eqx2.par.core.as8218.eu (83.167.55.42)

7   6.00 ms ae24.tcr1.rb.par.core.as8218.eu (83.167.56.140)

8   6.00 ms zayo-fr-1.pa3-1.rt.hopus.net (37.77.38.20)

9   ... 13

14  7.00 ms 193.253.67.106


Auriez vous une idée de la cause du problème ?

Merci,

vincent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Question perso: fibre sans continuité

[Vincent PARRES]

Bonjour a tous,

Je viens ajouter ma petite pierre a l'edifice concernant Starlink, les 
bridages et la VoIP (meme si j'en consomme pas tant que ca) vu que je 
suis client chez eux depuis qu'ils sont dispos en France (ADSL en carton 
pate, 4G bancale et teletravail m'ont fait sauter dessus).


Le bridage a 250Go a ete recemment (10 novembre) supprime par SpaceX sur 
les offres residentielles, et meme quand elle y etait j'ai jamais 
vraiment vu la difference (pourtant j'ai souvent depasse les 250Go mensuel).


Cote VoIP que ca soit a titre professionnel (Yealink, SIP au travers 
d'un tunnel OpenVPN) ou a titre perso via la VoWifi chez Orange (qui 
fonctionne bien depuis que Starlink a enfin ses IP marquees en France) 
je n'ai pas eu de micro coupures dans mes appels, juste une fois une 
coupure franche a cause d'une bascule qui a pris deux bonnes minutes et 
qui m'avais coupe toute connexion.


Dans l'ensemble le service est correct, le lien est etonamment stable 
meme quand il neige des patins de 5 cm, ca marche encore ! Par contre au 
fur et a mesure que le service gagne en popularite, la qualite de 
service tends a se degrader avec des bascules un peu moins fluides et 
des pics de latence au heures de pointe.


Voila mon petit retour la dessus !

Vincent.

On 24/11/2022 10:17, Stéphane Rivière wrote:


Le 23/11/2022 à 16:41, Oliver varenne a écrit :

Pour starlink mon inquiétude est sur l’offre commerciale
J’ai entendu parler de débuts de bridage sur des conso élevée ou ce genre de 
choses…
As-tu eu ces echos ?

Oui, au dessus de 250 Go de mémoire (à vérifier), un potentiel de
bridage contractuel, pas obligatoire. Si son truc marche vraiment, il y
aura application du bridage, voire même avant la limite contractuelle
(imho) en mode "best effort". Aujourd'hui c'est 180 Gbps pour 10K
clients français et si demain 100K ou 0,5M clients ?

J’ai aussi vu qu’il y avait des micro coupures qui duraient un peu plus que le 
micro 
Pas super pour de la voip ☹

Exact. Vu que les sats ont des interlinks optiques (lasers) mais
peut-être pas opérationnelles aujourd'hui (j'ai pas l'info) et que les
commutations sat/sol auraient une période genre dans les 5~20s tant ces
bestioles vont vite d'un horizon à l'autre, qu'il y ait des
micro-coupures audibles me semble crédible... Je vais poser la question
à l'occase aux users de starlink avec voip et te feras un retour...




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Avis PatchBox

[Vincent Duvernet]

Bonsoir,

Depuis quelques temps mon fil Facebook est relativement orienté PatchBox 
(https://patchbox.com/fr/).
Alors bon, sur leur vidéo ça semble super mise à part que ça se paie 
visiblement au prix fort mais bon dans la réalité ?

- Est-ce que certains utilisent ce produit ? 
- Est-ce que ça permet de gagner réellement de la place ? (car ça rajoute à 
minima 1U entre le panneau de brassage et le switch)
- Est-ce qu'il faut forcément une baie ? (ou est-ce qu'une version coffret plus 
courte est dispo) 

Merci,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] RE : [FRnOG] [TECH] Comparaison de vlan entre Coeur catalyst 6500 et Aruba 8300

[Vincent Chantreau]

Bonjour,

Une petite idée également : pourquoi ne pas utiliser Ansible ?

Pour Cisco : 
https://docs.ansible.com/ansible/latest/collections/cisco/ios/ios_vlans_module.html
Pour Aruba : 
https://docs.ansible.com/ansible/latest/collections/arista/eos/eos_vlans_module.html

Ansible permet de gérer l’idempotence, et permet de passer dans votre cas à de 
l’infrastructure as code




De : Gaël Garcin
Envoyé le :mercredi 26 octobre 2022 16:39
À : Clément Guivy; stephane 
Miguel; 
frnog-t...@frnog.org
Objet :RE: [FRnOG] [TECH] Comparaison de vlan entre Coeur catalyst 6500 et 
Aruba 8300

Bonjour,

Pour compléter ce qui a été dit, de mon côté j’ai créé 2 scripts :

Le 1er génère une page web à partir des fichiers de backup des configurations 
(pas parfait mais ça évite de coder l’interaction avec les équipements, une ou 
deux bonnes regex et c’est réglé). La page contient un grand tableau avec 1 
vlan par ligne et les switchs en colonne. Je colorie la case où un vlan est 
présent sur un équipement. Je peux ainsi vérifier en un rapide coup d’œil 
comment est propagé chaque vlan.

Le second est un outil web qui me génère la configuration pour les vlans à 
ajouter ou supprimer. Je donne en entrée l’id, le nom et la zone souhaitée. 
J’obtiens en retour la totalité des commandes à passer sur chaque équipement 
concerné (création de vlan, mise à jour des trunks). C’est très rapide à coder 
et ça permet un premier gain de temps tout en limitant les risques et les 
erreurs. Il faut bien sûr relire les commandes avant de les appliquer (surtout 
au début) et tenir le script à jour quand l’infrastructure change.

Juste quelques idées…

Gaël

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Clément 
Guivy
Envoyé : mardi 25 octobre 2022 20:14
À : stephane Miguel ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Comparaison de vlan entre Coeur catalyst 6500 et 
Aruba 8300

Bonsoir,

Quelques conseils :

- Plutôt que d'utiliser la config d'un équipement comme source de
vérité, je te conseillerais plutôt d'utiliser un outil dédié. Une
solution courante pour ça est Netbox (ce n'est pas très compliqué à
installer ni à maintenir), mais si tu ne veux pas t'embêter avec ça pour
le moment, tu peux commencer par un fichier csv ou même une bête liste
dans un fichier texte. Ecris dedans les vlans auxquels tu t'attends, et
base ton script là-dessus. L'important est que ton intention soit
décrite à un endroit simple d'accès et bien maîtrisé (donc surtout pas
un switch qui peut tomber en panne, avoir des bugs ou des comportements
imprévus, etc.)

- Autant que possible utilise des APIs pour la communication avec tes
équipements, sur un Cat6500 ça va être limité, sur un Aruba 8k on peut
sûrement faire mieux que de l'émulation de CLI ou du
parsing/rétro-ingénierie de fichier de config. Si on veut pousser la
logique au bout, même sur Cat6500 tu peux probablement pouvoir t'en
sortir avec SNMP pour découvrir les vlans. L'idée derrière le fait de
privilégier les API est d'utiliser un moyen technique qui a été conçu
pour cet usage (contrairement à la CLI qui est conçue pour interagir
avec des humains qui n'ont pas de problème à interprêter un saut de
ligne ou un espace en plus ou en moins ou un message d'erreur jamais
rencontré, ce qu'un programme aura du mal à faire)

- Garde toi les actions en écriture de côté pour plus tard quand tu
maîtriseras un peu plus le scripting. Automatiser une infra si c'est mal
fait c'est vraiment un coup à tout mettre par terre. Ce que tu peux
faire par exemple pour une première version c'est d'implémenter la
partie lecture des vlans sur les différents équipements, la comparer à
ton intention (cf mon premier point), et à partir de là te remonter une
alerte (par mail ou autre) pour te signaler l'anomalie. En incluant
pourquoi pas dans l'alerte les consignes pour réparer le problème
(commandes à passer sur tel ou tel switch). Comme ça tu atteins ton but
de détecter et corriger les problèmes, mais tu ne risques pas qu'un
changement foireux soit poussé automatiquement et plante tout ton réseau.


On 25/10/2022 19:42, stephane Miguel wrote:
> Bonsoir à tous,
>
>
> Je suis en train de configurer un script afin qu’il puisse se connecter
> dans un premier temps à mon cœur de réseau cisco afin de récupérer
> uniquement les vlan et les enregistrer sur un fichier sur ma centos, même
> chose pour mes noeuds aruba et arista.
>
> L’idée serait à défaut de compatibilité avec le VTP comme c’est le cas avec
> arista et aruba ou de problème de fonctionnement avec le Gvrp.
>
> Faire un script qui analyse le fichier À (cisco)
> Implémente les mêmes vlan sur les autres switch avec la bonne manière de
> faire propre à chaque châssis.
>
> Démarche inverse si le vlan disparaît dans le fichier À Le supprimer sur
> les autres switchs
>
> Démarche exotique si le vlan name change faire de même sur les autres
> 

Re: [FRnOG] [JOBS] Offres France-IX

[Vincent Habchi]

On 16 Sep 2022, at 15:36, N R  wrote:

(vendredi c'est permis)

> > Quant au woke, c’est juste pour les légumes.
> Non, ça c'est un wok,
> Là il parle de la traduction du verbe marcher en anglais.

Oops! Merci. C’était un peu équiwoke, à vrai dire.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Offres France-IX

[Vincent Habchi]

> Pour ma part une annonce avec des mots aussi barbares c'est un point
> négatif, mais il y a peut-être des candidats pour qui la wokitude de
> l'entreprise est un facteur important de choix …
> 

Bon je n’irai pas jusque là, mais, oui, les mots français ne sont pas des 
objets dont on cherche à connaître les attributs ;p

Quant au woke, c’est juste pour les légumes.

V.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les telecoms et l'électricité

[Vincent Habchi]

> Je me permets de faire ici un petit rappel : la 1ere étape pour consommer
> moins, c'est de contrôler et monitorer sa consommation.
> L'arrivée du Linky, c'est aussi la normalisation et la mise à disposition
> sur 100% des compteurs de l'interface TIC (Télé Information Client)
> La spec est ouverte : https://www.enedis.fr/media/2035/download .

Tiens, c’est sympa, je ne connaissais pas. Comment peut-on avoir accès à ces 
informations ?
Un module qui se connecte au secteur et émet du 50 kHz ? Ou bien il faut ouvrir 
le compteur pour installer un module ?

Sinon, je me suis bien marré à la lecture (rapide) de la doc :

---
4. Caractéristiques du circuit d’alimentation de la TIC

L’accès au circuit d’alimentation de la TIC se fait via les bornes I1 et A.

Ce circuit est mis à disposition des clients pour alimenter un récepteur de 
télé-information rattaché au compteur (un module radio, par exemple).

Le circuit d’alimentation de la TIC respecte les caractéristiques suivantes :

• à vide : lorsqu’aucune charge n’est raccordée à la sortie de l’alimentation 
de la TIC, la tension aux bornes de l’alimentation
vaut 13 Vrms max ;

• en charge : les caractéristiques de l’alimentation de la TIC sont définies 
dans le tableau ci-dessous :

Table 1 - caractéristiques du circuit d’alimentation de la TIC

Niveaux
Puissance fournie   130 MW minimum
---

Mais oui, mais oui, vous ne rêvez pas. 130 MW minimum disponibles dans votre 
compteur Linky. Qui parle de crise énergétique ? :) :) 

Bon dimanche !
Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fin du support de ssh-rsa signé avec sha-1 dans RouterOs 7.4

[Vincent Bernat]

On 2022-08-30 08:17, Vincent Bernat wrote:
Je ne suis pas sur d'avoir bien tout compris mais il semble bien que 
le fameux algo de hash sha1 ou sha2-256 ou autre soit inclus dans le 
"rsa_signature_blob"


Cette partie est utilisée dans le protocole SSH lors de 
l'authentification, pas dans le format de la clef.


Dans le code source de OpenSSH:

#v+
static const struct keytype keytypes[] = {
...
{ "ssh-rsa", "RSA", NULL, KEY_RSA, 0, 0, 0 },
{ "rsa-sha2-256", "RSA", NULL, KEY_RSA, 0, 0, 1 },
{ "rsa-sha2-512", "RSA", NULL, KEY_RSA, 0, 0, 1 },
{ "ssh-dss", "DSA", NULL, KEY_DSA, 0, 0, 0 },
...
#v-

Donc les trois types sont mappés sur KEY_RSA. Hors signature par une CA 
(avec -s), il n'y a pas de différence entre ces 3 options.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fin du support de ssh-rsa signé avec sha-1 dans RouterOs 7.4

[Vincent Bernat]

On 2022-08-30 03:21, Pierre Colombier via frnog wrote:

Je ne suis pas sur d'avoir bien tout compris mais il semble bien que le 
fameux algo de hash sha1 ou sha2-256 ou autre soit inclus dans le 
"rsa_signature_blob"


Cette partie est utilisée dans le protocole SSH lors de 
l'authentification, pas dans le format de la clef.



aug/30 01:23:26 ssh,debug pki algorithm: ssh-rsa


Ca ressemble pas aux messages de debug de OpenSSH. C'est un OpenSSH qui 
tourne sur les Mikrotik ? Elle fait quelle taille cette vieille clef ? 
Les releases notes de la 7.4 disent que le change ne concerne que ceux 
qui ont activé strong-crypto=yes, est-ce ton cas ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fin du support de ssh-rsa signé avec sha-1

[Vincent Bernat]

On 2022-08-29 23:13, Pierre Colombier via frnog wrote:

En d'autres termes, quand il y a bien longtemps, sur une debian 8 far 
far away, j'ai fait un


ssh-keygen -t rsa -b 4096

ou bien aujourd'hui sur une debian 11

ssh-keygen -t rsa-sha2-256 -b 4096


C'est exactement pareil que -t rsa ou -t ssh-rsa car une clef RSA, ce 
sont deux nombres. Il n'y a pas de hash. Le -t rsa-sha2-256 est utilisé 
quand on signe des clefs avec un certificat.


je crée toujours une clé rsa de 4096 bits, j'ai bien toujours un fichier 
id_rsa.pub qui a le même format et commence par "ssh-rsa", mais par 
contre, il y a bien une différence, car quand bien même le client ssh 
serait récent, la première a cessé d'être acceptée par les serveur ssh 
récents, alors que la seconde fonctionne bien.


donc, le "public key blob" quand bien même il ne change pas de format, 
embarque bien quelque chose qui est basé sur un hash sha1 ou sha256 (ou 
autre).


Refait la même chose avec -t ssh-rsa et cela fonctionnera aussi. Ce 
n'est pas pour ça que ta clef n'est plus acceptée. C'est soit qu'elle 
est trop petite, soit que ce n'est pas elle qui est dans le known hosts.
Ou alors, le "blob" contient juste la clé publique + une étiquette qui 
dit quel algo de hash on est sensé employer et dans ce cas j'aurais bien 
aimé modifier mon fichier .pub pour employer le nouvel algo tout en 
gardant la même clé. ça me rendrait la migration beaucoup plus simple.


Nope. Le format est dans la RFC 4253. Ce sont deux nombres encodés.
https://datatracker.ietf.org/doc/html/rfc4253#section-6.6


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fin du support de ssh-rsa signé avec sha-1

[Vincent Bernat]

On 2022-08-29 18:51, Pierre Colombier via frnog wrote:


D'ailleurs ma nouvelle clé publique type "rsa-sha2-256" commence bien  > par 
"ssh-rsa B3NzaC1yc2EAA.."


Il n'y a pas de SHA dans une clef publique RSA. Une clef publique RSA, 
ce sont deux grands entiers. Ce que peut refuser un serveur, c'est une 
clef publique trop courte. Depuis quelques années, la longueur minimale 
pour une clef RSA est de 1024 bits (contre 768 auparavant).


Ma question "académique" est que je ne comprends pas d'où vient ce 
besoin d'une signature/hash ? que ce soit md5, sha1, sha256 ou autre, en 
quoi l'algo rsa seul n'est-il pas suffisant ?


RSA est un algorithme de chiffrement/signature à clef publique. Il est 
trop lent pour tout chiffrer avec. Le chiffrement des données en SSH 
s'effectue avec une clef partagée qui est négociée à la création de la 
session (c'est la partie Diffie-Hellman, pas concernée ici). La clef RSA 
est utilisée dans ce contexte pour authentifier l'utilisateur et le 
serveur avec une signature. Signer quelque chose avec une clef RSA, 
c'est appliquer une fonction de hash sur des octets et ensuite les 
chiffrer avec la clef privée. La vérification est faite avec la clef 
publique. C'est cette signature qui a besoin d'une fonction de hash.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fin du support de ssh-rsa signé avec sha-1

[Vincent Bernat]

On 2022-08-29 15:25, Pierre Colombier via frnog wrote:


du coup, si tous les usagers ont des clées rsa installées et si ssh est
la seule façon d'administrer le routeur, et bien on perds toute 
possibilité d'accès

après la mise à jour.


Ce ne sont pas les clefs "ssh-rsa", c'est l'algo de signature à clef 
publique ssh-rsa qui est désactivé par défaut. Pour se connecter à un 
vieux serveur qui n'accepte pas d'algo plus moderne, on peut toujours 
utiliser "-o HostKeyAlgorithms=+ssh-rsa" pour le réactiver.


Le format de clef ssh-rsa n'est pas prévu d'être déprécié. Il n'y a pas 
d'utilisation de SHA1 dans les clefs ssh-rsa.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le MWh à 1k€ ça donne quoi pour nous ?

[Vincent Habchi]

> All resources are essentially finite. There is no conspiracy. 

That’s essentially true if you speak of material ressources, like ore, or oil. 
But if we consider power, there are an average of 1,388 W hitting each square 
metre of Earth from the Sun, and that’s gonna be stable for at least the next 
four billion years.

Since the Earth has a radius of circa 6,400 km, its surface is about 128 × 10¹² 
m², that is 128 trillion square metres. Multiply that by 1,388 W and you get 
the amount of power received from the Sun by the entire Earth, which is just 
all but ginormous. We’re simply unable to collect it in significant amounts, 
that’s all. At least at this stage of humanity.

But you’re right. The paradigm that we’re living in a society of plenty, and 
that we can squander up any resource because there will always be more waiting 
around the corner to use up is definitely outdated. But it will take quite a 
while for people to realise it.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le MWh à 1k€ ça donne quoi pour nous ?

[Vincent Habchi]

> peuvent pas payer leur facture et au UK ils sont aussi des millions et ont 
> fondé un mouvement  pour refuser de payer.

https://www.theguardian.com/money/2022/aug/26/ofgem-raises-energy-price-cap-to-3549

Apparemment, le gestionnaire britannique de l’énergie (a sort of ‘quango’ I 
suppose) a prévenu que le bouclier tarifaire (plafonnement des factures) allait 
« augmenter » de 85 % pour passer à 3550 £ par an, montant de la facture 
moyenne énergétique estimée. Et ça pourrait encore augmenter d’ici à la fin de 
l’année…

V.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le MWh à 1k€ ça donne quoi pour nous ?

[Vincent Habchi]

Salut,

je risque d’enfoncer des portes ouvertes, mais à la lecture des différents 
mails j’ai l’impression que deux faits ne sont pas clairs pour tout le monde :

1. La dérégulation du secteur de l’énergie a été imposé par la Communauté 
européenne. Je suis profondément européen en général, mais je dois bien 
reconnaître qu’il s’agit là d’une grossière erreur. On ne peut pas déléguer la 
production d’un bien fondamental, sur lequel, c’est évident, l’ensemble de la 
société actuelle est construite, à des entreprises privées à but lucratif. Et 
ce d’autant que la production alternative, « verte » montre clairement ses 
limites.

2. L’électricité, à l’heure actuelle, s'échange au coût dit « marginal ». 
Autrement dit on n’achète pas le kilowatt-heure au prix réel de production, 
mais à un prix qui serait le sien s’il fallait augmenter la production (par 
exemple en démarrant une centrale jusqu’ici arrêtée) pour produire ce kWh. Or, 
comme la plupart des centrales « d’appoint » fonctionnent soit au fuel, soit au 
gaz…

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Starlink sature, Elon a la solution

[Vincent Habchi]

> On 8 Aug 2022, at 08:49, Vincent Habchi  wrote:
> 
> Some people are just unlucky…
> 
> 
> 
> And that’s over WiFi.
> 

Woops, never mind, the image was taken out. 

Sorry for the noise.

V.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Starlink sature, Elon a la solution

[Vincent Habchi]

Some people are just unlucky…



And that’s over WiFi.

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Starlink sature, Elon a la solution

[Vincent Habchi]

> On 6 Aug 2022, at 09:00, Alarig Le Lay  wrote:
> 
> https://www.speedtest.net/result/13503681315
> 
> And I’m not even in the middle of nowhere…

Channel Islands live at reduced pace, that’s all.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Starlink sature, Elon a la solution

[Vincent Habchi]

> On 5 Aug 2022, at 02:34, frnog.kap...@antichef.net wrote:
> 
> On jeudi 4 août 2022 19:16:02 CEST Rod Beck - rod.b...@unitedcablecompany.com 
> wrote:
>> Why so much interest in Starlink in a country like France? Ghana, I would
>> understand, but France has had a successful broadband deployment and
>> actually a rather competitive DSL market.
>> 
>> 
>> Roderick Beck
> 
> 
> You simply got your assumption wrong. France did not have such a successful 
> broadband deployment and the DSL market is not really competitive. 

[…]

I would add that the problem has recently been compounded by the ‘massive’ 
exodus of people out of city centres to the countryside, driven by Covid 19 and 
the rise of home working. So far, the situation was not ideal but there was no 
real rushing ahead to connect remote hamlets, mainly inhabited by old people 
who don’t care about Internet. When 30/40 year old yuppies arrived, 
‘rediscovering the quality of life in the countryside’, they immediately asked 
for something that had probably been prioritised very low on the providers’ 
roster. You know those people: they like the rural way of life, as long as it 
doesn’t deprive them of the amenities of the urban civilisation.

It may not appear so, but France is still a very rural country, with plenty of 
areas very sparsely populated, especially in hilly/semi-mountainous parts. In 
those areas, laying a multi-kilometre fibre for just one remote farm doesn’t 
make much sense economically speaking, and the hilly terrain makes reliable 
microwave coverage almost as dear and complicated. So that’s it, I suppose.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Undersea Cable Question - Bâble Sous-Marin

[Vincent Habchi]

> Physical diversity from the terrestrial routes. 

Of course that makes sense. But given how difficult – and thus expensive – it 
is to maintain submarine routes, I don’t see the point. Isn’t it better to 
double or even treble the terrestrial links instead?

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Undersea Cable Question - Bâble Sous-Marin

[Vincent Habchi]

Sir,

> Are there any undersea cables linking Marseille to Milano?

I’m not sure how a submarine cable would transit through the Alps. Really.

Okay, I know. You probably mean a cable from Marseilles to Genoa and then to 
Milan, but what would be the point anyway?

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Machine de calcul ARM

[Vincent Habchi]

Salut,

je reprends ce fil un petit peu enterré. Apparemment, même Linus se met à 
utiliser des machines Apple…

https://appleinsider.com/articles/22/08/01/linus-torvalds-uses-m2-macbook-air-to-release-linux-519

Bonnes vacances,
Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RE: Panne ADSL et mobile SFR, orange, Bouygues...

[Vincent Duvernet]

Yop,

C'est quand même dingue qu'avec toutes les interco' la redondance tombe aussi 
vite.
Genre, dans la pampa, un simple câble coupé et paf, t'as 1/4 d'un département 
qui se retrouve coupé du monde se demandant si les Russes n'ont pas envahi un 
autre pays (/troll).
Visiblement, c'est pas bien mieux en Dordogne.

Et la 5G, lorsque l'on voit l'impact potentiel des ondes sur les animaux :
https://france3-regions.francetvinfo.fr/pays-de-la-loire/sarthe/sarthe-son-elevage-de-lapins-detruits-a-la-pelleteuse-apres-une-liquidation-judiciaire-2066827.html

un jour il va nous pousser des antennes.

Vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Christophe 
De Natale
Envoyé : vendredi 24 juin 2022 17:52
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] RE: Panne ADSL et mobile SFR, orange, Bouygues...

Le 24/06/2022 à 15:14, Vincent Duvernet a écrit :
> Bonjour,
>
> Voilà la réponse :
> https://caen.maville.com/actu/actudet_-panne-dans-l-orne-22-000-abonnes-prives-de-telephone-portable-_fil-5297137_actu.Htm
>
> On se demande quand même :
> - comment ça peut arriver en France
> - mais surtout, comment cela se fait qu'aucune autre route pour la donnée 
> n'ait pu être prise.
>
> Côté redondance, c'est un peu 0.
>
>
Et la réponse pour celle que nous avons subie aujourd'hui en Dordogne :
https://www.francebleu.fr/infos/societe/25-000-habitants-de-dordogne-prives-de-telephone-fixe-1656080714

Cela arrive arrive "fréquemment" (tous les 2 ou 3 mois coupure d'au moins une 
journée) dans notre secteur et franchement c'est galère de bosser dans ces 
conditions. J'avais du vdsl à 10MB dans mon magasin, à présent à 1,2 km du 
répartiteur, 1MB :( Et heureusement les nœuds Internet du secteur ont été 
fibrés :D Les clients en vacances qui arrivent de grandes villes hallucinent 
parfois (bon en même temps y'a pas à trop forcer)

-- 
Sincèrement,

CDN Informatique
Christophe De Natale
1 bis route de Beaumont
24540 Monpazier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Attaque des extra-terrestres contre l'Internet

[Vincent Habchi]

> On 26 Jul 2022, at 08:26, Stephane Bortzmeyer  wrote:
> 
> Un autre épisode de la même série imagine une tempête solaire arrêtant
> toute l'électricité. C'est plutôt moins délirant que l'épisode sur les
> extra-terrestres.

Déjà évoqué par Barjavel en 1942, ça.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Attaque des extra-terrestres contre l'Internet

[Vincent Habchi]

Previously on this list:

>> communications. On nous montre et on nous explique le rôle du 60
>> Houston, et on voit les extra-terrestres le détruire (et, de plus
>> loin, on voit une attaque contre le Telehouse 2 à Paris).
> 
>   C'est 60 Hudson, mais si des extra terrestres voulaient détruire
>   le Texas, ça me surprendrait pas en fait.

Excusez-mon ignorance, mais le 60 Houston, c’est l’équivalent américain du 22 à 
Asnières Hexagonal ?

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Machine de calcul ARM

[Vincent Habchi]

Re-

> On est pas mal dépendants de Linux sur des trucs genre toucher au scheduler, 
> s'assurer que des mesures en parallèle sur plusieurs cœurs ne s'influencent 
> pas, etc., donc si on peut éviter on préférerait. Et il me semble que ça n'a 
> pas tant de cœurs que ça (c'est plus prévu comme machine perso que comme 
> serveur, quoi) ? Après, ça fait bien longtemps que je n'ai pas touché à du 
> Apple. La dernière fois que j'ai regardé, c'était compliqué de mettre Linux 
> dessus, peut-être que ça n'est plus vrai.

Oui, je ne peux pas te dire pour Linux, de toute façon j’ai toujours été fan de 
BSD, personnellement, donc MacOS me va très bien.

Machine Apple M1 Ultre: « La puce M1 Ultra peut être configurée avec 128 Go de 
mémoire unifiée à faible latence et large bande passante, directement 
accessible par le CPU 20 cœurs, le GPU 64 cœurs et le Neural Engine 32 cœurs. »

Après, ce n’est sûrement pas donné.

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Machine de calcul ARM

[Vincent Habchi]

>> Dans l'équipe de recherche (publique, à Inria) dans laquelle je
>> travaille, nous sommes actuellement à la recherche d'une machine native
>> (pas une VM) avec un processeur ARMv8 pour faire tourner des
>> expériences. De préférence, nous recherchons une machine avec pas mal de
>> cœurs — une vingtaine au moins serait préférable.

Il n’y a pas un modèle Apple qui fait ça ? Leur nouveaux processeurs sont des 
ARMv8, je crois.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

[Vincent Bernat]

On 6/30/22 21:41, David Ponzone wrote:

Hmm donc ils ont 2 IPs, une privée dans un /24 ou autre pour monter le iBGP et 
un alias à /32 qui va être annoncé ?


Pas forcément, tu peux enlever entièrement le L2. /31 avec le switch en 
face. Ou simplement utiliser le link-local IPv6 pour la session BGP et 
annoncer ta /32 dedans.



Mais je vois 2 problèmes:
-tu maitrises pas l’OS et donc tu peux pas mettre Quagga/Bird/autre


Après, ce qui est possible sur les hyperviseurs est aussi possible sur 
les switchs. GW en anycast sur chaque port en /24 avec proxy ARP, route 
statique vers le host et redistribute des statiques en question en BGP, 
relai DHCP. Il te manque à trouver comment éviter que le faux /24 sur 
chaque port ne génère de l'ARP quand le client scanne son propre /24. 
Sur des switchs Linux type Cumulus, cela est possible en indiquant de ne 
pas installer la route connected qui correspond.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

[Vincent Bernat]

On 6/30/22 21:16, Vincent Bernat wrote:

Si tu veux dire: construire une table de /32 à blackholer que j’envoie 
en iBGP à mes routeurs BGP avec blackhole comme NH, pour bloquer les 
paquets en ingress grâce à uRPF, j’aurais bien aimé, mais mes routeurs 
BGP ont un bug au niveau uRPF et ça marche pas comme prévu.

Faut que je vois si un upgrade récent corrige ça.


Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes 
serveurs annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a 
pas de route et son trafic est blackholé. Tu peux filtrer les annonces 
pour n'accepter que le "/24" du LAN et tu as une sécurité équivalente à 
du L2.


Je réponds au mauvais message... Désolé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

[Vincent Bernat]

On 6/30/22 21:01, David Ponzone wrote:

Si tu veux dire: construire une table de /32 à blackholer que j’envoie en iBGP 
à mes routeurs BGP avec blackhole comme NH, pour bloquer les paquets en ingress 
grâce à uRPF, j’aurais bien aimé, mais mes routeurs BGP ont un bug au niveau 
uRPF et ça marche pas comme prévu.
Faut que je vois si un upgrade récent corrige ça.


Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes 
serveurs annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a 
pas de route et son trafic est blackholé. Tu peux filtrer les annonces 
pour n'accepter que le "/24" du LAN et tu as une sécurité équivalente à 
du L2.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

[Vincent Bernat]

On 6/30/22 20:02, David Ponzone wrote:

Je viens d’entrer en guerre contre le broadcast inutile, juste pour le fun.
J’en ai marre de me taper un broadcast sur tout le LAN à chaque fois qu’un 
Kevin quelque part envoie un paquet SYN ou autre vers une IP non-utilisée sur 
mon réseau.

Donc je me demandais si des constructeurs avaient eu l’idée d’implémenter du 
negative caching dans la table ARP de leurs routeurs.
Evidemment, ça a des effets secondaires pénibles le jour où on veut se mettre à 
utiliser l’IP, mais avec un cache à 60/120/180s, c’est acceptable (ça dépend 
des usages évidemment).
Je vais appeler Cisco pour leur dire d’ajouter ça dans l’IOS pour le mois 
prochain, mais avant, je me demande si je dis une connerie parce qu’il y a une 
conséquence pas du tout acceptable sur un réseau en prod.

Sinon y a une autre solution à laquelle je pense pas ?
J’ai bien pensé ajouter des entrées statiques dans mes routeurs, mais ça va 
rien changer.
Le routeur va envoyer un unicast, qui va devenir un broadcast sur le premier 
switch. Et pareil pour les paquets suivants.

Idées ingénieuses (encore une fois, juste pour le principe) ?


Passe en full L3, default route en blackhole.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fermeture ATM Orange / Coupure client sans préavis / Migration à prix x 2.5

[Vincent]

Salut,
Ça m'agace aussi qu'on ferme le réseau de cuivre et tous les services 
qui vont avec alors qu'il y a tant de foyers et d'entreprises qui vont 
se retrouver sans solution.
Je regrette surtout la fermeture du RTC, car on pouvait téléphoner et 
donc appeler les secours même lorsqu'il y avait une coupure 
d'électricité. Je sais qu'il est possible d'utiliser un onduleur pour 
continuer d'alimenter la box mais l'autonomie d'une batterie d'un 
onduleur est faible, et en plus ça nécessite 2 équipements 
supplémentaires (box pour la VoIP + onduleur).


Ce genre d'évènement va probablement se répéter avec Orange qui s'entête 
à ne plus vouloir maintenir le réseau de cuivre et qui a eu le feu vert 
de l'ARCEP, c'est très énervant mais malheureusement on ne peut rien y 
faire à part râler ou prendre les rares alternatives proposées qui sont 
plus chères et parfois moins bien (le satellite avec une latence de plus 
de 500ms).


Soutien à toi Toussaint ainsi qu'à ton client, en espérant que la 
situation s'arrange.


A+

Vincent

Le 28/06/2022 à 19:01, Jeremy a écrit :

Salut Toussaint,

Ca fait des années qu'on hurle auprès de l'ARCEP et des autorités 
(notamment l'autorité de la concurrence) que ce que veut faire Orange 
sur l'extinction des réseaux est totalement à l'arrache et qu'il y 
aura beaucoup de gens laissés au bord de la route.

Ta situation est un excellent exemple.

Pas faute d'avoir eu une excellente conférence sur le dernier FRnOG 
sur l'extinction du cuivre, et du manque d'anticipation des zones 
rurales et/ou isolées et/ou qui n'ont pas encore de FTTH (ou qui n'en 
auront jamais d'ailleurs).


Bref, je peux t'acheter une boite de mouchoir, c'est à peu près tout 
ce qu'il est possible de faire face à Orange.


Courage ...

Jérémy


Le 28/06/2022 à 18:46, Toussaint OTTAVI a écrit :

Bonsoir la liste,

Un client perdu au milieu de la montagne possède une vieille offre 
SDSL "Hors Zone" chez Orange (l'équivalent d'un SDSL construit sur 
une LS). Il y a une GTR 4h.


La semaine dernière, le client tombe en panne. J'apprends en fait 
qu'il a été coupé commercialement car il "n'aurait pas répondu aux 
propositions de migration qui lui ont été faites suite à la fermeture 
planifiée du réseau ATM". Proposition qui n'ont, bien sûr, jamais été 
reçues. Ni même la moindre notification technique de coupure (le 
contact technique du dossier, c'est moi).


Depuis 3 jours, Orange tergiverse pour rétablir le client, au moins 
le temps de trouver une solution au problème de de fond. La GTR ne 
s'applique pas, car ce n'est pas une panne !


Une proposition de migration vient d'être faite vers un FTTO, à deux 
fois et demi le prix de ce qu'il payait auparavant ! Cela ne choque 
personne, et Orange maintient que l'ARCEP aurait autorisé cela !


Techniquement, client non éligible xDSL (trop loin) et FTTH prévu 
pour fin 2023.


Vous en pensez quoi ? Je suis le seul à trouver relativement cavalier 
le fait de profiter de la fermeture technique d'un ancien réseau pour 
plus que doubler les prix au motif que le client est dans une zone 
isolée ?


Corollaire :
Quelqu'un a des prix pour l'achat de vaseline en tonneau ? Parce que 
je sens bien qu'avec ces fermetures d'anciens réseaux avant que les 
nouveaux ne soient ouverts, dans le rural, on va se faire enfler bien 
comme il faut :-D

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RE: Panne ADSL et mobile SFR, orange, Bouygues...

[Vincent Duvernet]

Bonjour,

Voilà la réponse : 
https://caen.maville.com/actu/actudet_-panne-dans-l-orne-22-000-abonnes-prives-de-telephone-portable-_fil-5297137_actu.Htm

On se demande quand même :
- comment ça peut arriver en France
- mais surtout, comment cela se fait qu'aucune autre route pour la donnée n'ait 
pu être prise.

Côté redondance, c'est un peu 0.

Vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Vincent 
Duvernet
Envoyé : jeudi 23 juin 2022 20:46
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Panne ADSL et mobile SFR, orange, Bouygues...

Bonsoir.

Voilà je viens de passer dans la Sarthe pour chopper de la data.
Depuis plusieurs heures, plus de mobile ni d'ADSL au moins sur ces opérateurs 
sur un rayon d'au moins 15 km...
Si ça c'est pas de la grosse panne.
Je me demande où se trouve le point d'interconnexion commun entre tout ce petit 
monde.

Je cherche des informations dessus du quelqu'un a.

Merci.

Vincent

Obtenir Outlook pour Android<https://aka.ms/AAb9ysg>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Panne ADSL et mobile SFR, orange, Bouygues...

[Vincent Duvernet]

Bonsoir.

Voilà je viens de passer dans la Sarthe pour chopper de la data.
Depuis plusieurs heures, plus de mobile ni d'ADSL au moins sur ces opérateurs 
sur un rayon d'au moins 15 km...
Si ça c'est pas de la grosse panne.
Je me demande où se trouve le point d'interconnexion commun entre tout ce petit 
monde.

Je cherche des informations dessus du quelqu'un a.

Merci.

Vincent

Obtenir Outlook pour Android<https://aka.ms/AAb9ysg>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Acces Internet dans plusieurs DC en Europe

[Vincent Gillet]

Bonjour,

Afin fin d'assurer notre connectivité de Management (out-of-Band) on cherche
un fournisseurs d'acces internet pour monter notre ipsec.

Plutot que demander à chaque DC (dont c'est pas le métier), il est plus facile
de poser la question ici et en français.

Me contacter en privé si besoin.

. ip : une ipv4 (/31 connecté)
. Débit : 10Mb/s
. media : 1G-LX
. spécificité : avoir une connectivité indépendant de Zayo AS6461/AS8218.

Sites concernés :

. France Nice Euclyde
. France Marseille Jaguar MRS1
. France Montpellier Databank
. France Toulouse Databank

. Italie Milan Irideos Via-Caldera
. Italie Milan Data4 Via Monzoro
. Italie Milan ML2
. Italie Milan ML5
. Italie Milan Aruba Ponte San Pietro

. Allemagne Berlin IPB
. Allemagne Berlin NTT BER1

. Belgique Bruxelles : Interxion
. UK Londres : Telehouse West

Cordialement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IOS XE et validation RPKI: Comportements étranges (bgp bestpath prefix-validate disable)

[Fabien VINCENT FrNOG via frnog]

Oui je crois que j'ai lu /répondu un peu vite à ton message.

En fait j'ai souvenir d'un truc que j'avais documenté sur IOS-XR qui 
m'avait déjà cassé les pieds. 
https://beufa.net/blog/rpki-use-routinator-rtr-cache-validator-cisco-ios-xr/


router bgp 64567
 !
 address-family ipv4 unicast
  bgp origin-as validation enable
  bgp bestpath origin-as use validity => ne semble pas dispo sur XE.
  bgp bestpath origin-as allow invalid
 !
 address-family ipv6 unicast
  bgp origin-as validation enable
  bgp bestpath origin-as use validity
  bgp bestpath origin-as allow invalid
 !

La seule doc que j'ai trouvé sur IOS-XE c'est assez vieux : 
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_bgp/configuration/xe-3s/irg-xe-3s-book/bgp-origin-as-validation.pdf


Le comportement que tu rencontres est bien documenté :

During BGP best path selection, the default behavior, if neither of the 
above options is configured, is that the

system will prefer prefixes in the following order:
• Those with a validation state of valid.
• Those with a validation state of not found.
• Those with a validation state of invalid (which, by default, will not 
be installed in the routing table).
These preferences override metric, local preference, and other choices 
made during the bestpath computation.
The standard bestpath decision tree applies only if the validation state 
of the two paths is the same


Donc un valid c'est un tie breaker prioritaire sur le best selection 
path algorithm dans la selection BGP, ce qui est exactement ce que tu 
rencontres. Par contre effectivement, j'ai lu trop vite, mais si tu 
ajoutes le allow-invalid, ca va juste autoriser les invalid a être 
selected au lieu de drop dans le best path. Il manque donc le 
use-validity comme sur IOS-XR.


Sinon, ce que j'avais fait par le passé pour éviter les problèmes de BGP 
algorithm à la sauce cisco qui change sur des versions mineures (si,si) 
:

- route-map ou RPL
  - drop state invalid
  - 
  - if roa valid => local-pref ou med ++

et je désactive la feature de BGP best path selection n°1 qui tie break 
si ROV=valid>>>ROV=unknown


Bon courage, ca me rappelle pourquoi quelqu'un avait demandé la 
suppression des MAY dans les RFC :p


N'hésites pas à partager ta trouvaille.

Le 25-05-2022 16:20, Clement Cavadore a écrit :

Hello Fabien,

On Wed, 2022-05-25 at 09:30 +0200, Fabien VINCENT FrNOG via frnog

if the BGP—Origin AS Validation feature is
enabled, and you want to allow invalid prefixes
to be used as the best path, even if valid prefixes are available.
Thus, you have control over announcing invalid
networks, but preferring them less than valid and not-found
prefixes.
Also, the downstream peer can modify
path attributes based on a route map that matches invalid prefixes



Je ne suis pas devant mon cisco, mais pour le coup, ce ne sont pas des
"invalid" que je cherche à exploiter, juste des unknown. Il faudrait
que je regarde si la directive existe avec un "allow-unknown", pour le
coup, réponse ce soir :)

Merci,

Clément


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IOS XE et validation RPKI: Comportements étranges (bgp bestpath prefix-validate disable)

[Fabien VINCENT FrNOG via frnog]

Hola !

router bgp 
  address-family {ipv4 | ipv6} unicast
bgp bestpath prefix-validate allow-invalid

?

From the cisco doc :
Perform this task if the BGP—Origin AS Validation feature is enabled, 
and you want to allow invalid prefixes
to be used as the best path, even if valid prefixes are available. Thus, 
you have control over announcing invalid
networks, but preferring them less than valid and not-found prefixes. 
Also, the downstream peer can modify

path attributes based on a route map that matches invalid prefixes

Bon courage !

Le 25-05-2022 09:08, Clement Cavadore a écrit :

Hello,

Je suis confronté à un probleme étrange sur IOS XE. 

Voici le contexte:
- 1 ASR1002-X
- Qui fait de la validation RPKI sur les sessions eBGP (pas iBGP)
- Qui fait du peering sur un IXP
- Qui recoit ses routes du réseau depuis des RR (notamment des 
downstreams)


Par défaut, j'ai remarqué que l'état RPKI de la route était pris en
compte dans le BGP selection path, chose qui m'emmerde car si une route
recue en eBGP est valide, il la préfere à une route "unknown" recue en
IBGP, et ce même si la localpref est supérieure sur celle recue en
interne (car downstream):

Ici, en l'occurence, selon la localpref, il devrait plutot choisir la
premiere, mais par défaut, il choisit celle d'apres:


BGP routing table entry for 193.43.214.0/24, version 36202932
Paths: (8 available, best #7, table default)
 Advertised to update-groups:
16 17
 Refresh Epoch 1
 44097
   193.164.153.126 (metric 5020) from 193.164.153.2 (193.164.153.2)
 Origin incomplete, metric 500, localpref 600, valid, internal
 Community: 34019:44097 65512:20001
 Originator: 193.17.192.143, Cluster list: 193.164.153.2
 path 7F8057EB3658 RPKI State not found
 rx pathid: 0, tx pathid: 0
 Refresh Epoch 1
(...)
 43100 200780 44097
   91.206.52.207 from 91.206.52.252 (91.206.52.252)
 Origin IGP, metric 400, localpref 400, valid, external, best
 Community: 34019:65000 34019:65130 34019:65133 65512:20009
 unknown transitive attribute: flag 0xE0 type 0x20 length 0x24
   value  A5EC  FC00  000B  A5EC
  FC00  0015  A5EC  FC00
  001F
 path 7F805E0F0418 RPKI State valid
 rx pathid: 0, tx pathid: 0x0
 Refresh Epoch 1
(...)



Du coup, je me suis inspiré du lien suivant:
https://bgpfilterguide.nlnog.net/guides/reject_invalids/
... pour revoir ma conf, et rajouter "bgp bestpath prefix-validate
disable" dans la conf de mes address-family en BGP, en rajoutant un
statement dans mes route-map rejetant les rpki invalid, et ca semble...
juste désactiver RPKI. En effet, on ne voit plus du tout d'état RPKI,
alors que 1.1.1.0/24 est supposé être signé:



RPKI validation codes: V valid, I invalid, N Not found

 Network  Next HopMetric LocPrf Weight Path
*>   1.0.0.0/24   91.206.52.192  100400  0 13335 
i
*>   1.1.1.0/24   91.206.52.192  100400  0 13335 
i



BGP routing table entry for 1.1.1.0/24, version 27436194
Paths: (6 available, best #5, table default)
 Advertised to update-groups:
16 17
 Refresh Epoch 1
(...)
 13335, (aggregated by 13335 162.158.148.1)
   91.206.52.192 from 91.206.52.192 (162.158.148.1)
 Origin IGP, metric 100, localpref 400, valid, external, best
 Community: 34019:65000 34019:65130 34019:65131 65512:20009
 rx pathid: 0, tx pathid: 0x0
 Refresh Epoch 1


Une idée de comment faire en sorte que IOS XE fasse de la validation
RPKI proprement ?

A noter: Il n'est pas concevable de faire de la validation RPKI reçues
sur les routes en IBGP, car on reçoit des RR des more specific de nos
subnets (que l'on redistribue en BGP plutot qu'en ISIS), et il serait
contre productif de faire des ROA autorisant jusqu'au /32 + /128 de nos
supernets :)

Merci par avance pour vos lumières,


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Grosse panne OVH ce matin

[Vincent Tondellier via frnog]

On mardi 26 avril 2022 15:53:46 CEST, Vincent Duvernet wrote:

Est-ce que d'autres membres de la liste ont reçu ce type de message ?


1 perso, plus 1 sur la liste, tous depuis :

Received: from mail.kodekh-telecom.fr (unknown [185.111.52.210])

avec des x-originating-ip depuis chine et pologne.

Meme nom, meme email. Ca sent le compte "piraté" avec password123 ...

Pas reçu d'autres depuis que j'ai ban l'ip de ce serveur ...


Ça renvoie vers un téléchargement d'un fichier .XLSB donc 
franchement ça pue grave.

Donc lien et fichier à ouvrir à vos risques & périls.


Je me risquerais pas a l'ouvrir, mais virustotal est bien utile ...

Vincent


(Je ne suis pas au bureau, donc pas de lab de test cloisonné 
pour voir ce que ça fait).


Vincent


-Message d'origine-
De : Kamel Moudachirou  
Envoyé : mardi 26 avril 2022 10:48

À : Vincent Duvernet 
Objet : Re: [FRnOG] [TECH] Grosse panne OVH ce matin

Salut,

Après avoir examiné tous ceux-ci, pourquoi ne pas programmer le 
temps parfait pour discuter:




---
Liste de diffusion du FRnOG
http://www.frnog.org/