from:"frnog"

procastriner n'est il pas le sport préféré de l'humanité? ;)


From: David Ponzone 
To: Toussaint OTTAVI 
Subject: Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
Date: 31/05/2024 14:15:15 Europe/Paris
Cc: frnog@frnog.org 


> Le 31 mai 2024 à 14:02, Toussaint OTTAVI  a écrit :
> 
> Ceci étant, je ne suis pas le mieux placé pour disserter sur l'identité 
> numérique, puisque je n'ai pas d'identité du tout ! Cela fait 30 ans que je 
> n'ai pas de CNI :-D Et que si j'accepte celle que l'état se propose de me 
> délivrer aujourd'hui, elle correspondrait à quelqu'un qui n'a jamais 
> travaillé ni cotisé nulle part :-D

Purée, le jour où tu auras fait corriger ça, tu vas t’emmerder un peu non ? :)

David



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

perso j'utilise mon tel fixe tous les jours, notamment dans le cadre familial 
ou l'administratif.

c'est tellement moins intrusif que le portable..

From: Stéphane Rivière 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 31/05/2024 13:57:04 Europe/Paris

Jérôme,
> Les victimes ont connus une seule victoire: le spam par fax est terminé
> ! Faut-il supprimer le téléphone ? Déjà les jeunes ne téléphonent plus,
> donc bientôt que des forfaits data only et qu'avec des appli OTP ?

Tu poses la vraie question.

À quoi sert un n° de télépĥone en 2024 ?

À rien.

Une possibilité serait d'associer un 'contact vocal' à n'importe quel 
email, donc via un NDD dont on serait le proprio.

Et là le filtre est vite vu NDD => pays d'appartenance et/ou IP d'origine

rhooo... trop simple.

Pas sûr que les agrumes apprécieraient.

-- 
Stéphane Rivière
Ile d'Oléron - France

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

on m'avait répondu parce que le numéro de CNI peut changer dans certaines 
conditions, le seul ne changeant jamais étant le numéro INSEE

From: David Ponzone 
To: Toussaint OTTAVI 
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 31/05/2024 13:03:33 Europe/Paris
Cc: frnog@frnog.org 

> Le 31 mai 2024 à 12:46, Toussaint OTTAVI  a écrit :
> 
> 
> Le 31/05/2024 à 12:13, David Ponzone a écrit :
>> D’ailleurs, ça aurait été compliqué d’inclure un Token HW OTP dans une 
>> nouvelle CNI ?
> 
> Déjà, changer une lettre sur un patronyme, ce n'est pas compliqué, c'est 
> insurmontable, puisque personne, pas même le président de la République, ne 
> semble pouvoir parvenir ! Il n'existe apparemment pas de CERFA lorsque 
> l'erreur à corriger a été commise par eux :-D
> 
> A la rigueur, un token HW aurait été plus facile à gérer, car dans la mesure 
> où personne n'y aurait rien compris, personne n'aurait pu jouer le petit chef 
> encravaté ni le grand calife locataire du palais des gouverneurs :-D

Pas compris.
En tout cas, faut pas ajouter un devis au citoyen lambda, c’est pas gérable. 
D’où l’intégration dans la CNI. Certaines CB le font bien (auth code à 3 
chiffres tournant).

> --
> 
> Et pourquoi pas un bête certificat PKI ? Celui-ci pouvant être stocké sur le 
> media de son choix (par exemple, une SmartCard) ? L'état étant "autorité de 
> certification" ? Avec une interface automatique OQTF -> CRL ?
> 

Hmm tu as déjà eu affaire à un client GP ? :)
Trop complexe.
D’ailleurs, c’était comme ça sur impots.gouv.fr il y a quelques année, ils ont 
fait en arrière toute.

Faut être logique: pourquoi la preuve d’ID numérique serait donné par autre 
chose que la CNI ?

David

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

ndre, de comprendre, chose que 99% des utilisateurs 
rejettent (pas leur métier, pas leur role) ; pour avoir un truc différent, il 
faut s'y investir, voilà pourquoi linux à un très joli public mais très réduit, 
parce que de base les gens aiment pas trop s'instruire sur des domaines 
compliqués et qu'ils maitrisent pas (apprends leur la diff entre le standard 
pc, et l'archi arm .. entre 32 et 64.. tout à apprendre! sans compter 
l'interface, le système etc)

>Alors que, sur les smartphones, depuis Steve Jobs, nous avons tout de même des
choses relativement correctes. Ce qui, du coup, relève le niveau de nos
exigences...
==> oui et non : sur les anciens  tels très peu d'applications sont 
installables à nouveau ; j'ai encore un iphone 3, il a les memes 
fonctionnalités qu'un 3310. AUjourd'hui, un sailfishos ou un postmarketos font 
mieux comme expérience ; seule contrepartie : utiliser uniquement les fonctions 
basiques ; mais changer pour un système tierce, c'est pour avoir une excuse 
technique inviolable de ne pas installer dse applis alakon qu'on veut imposer 
aux consommateurs, right?

oui, y a quelques applis sur ces systèmes, mais la plupart sont libres, et sont 
des utilitaires, pas des grosses applis commerciales : il y a des clients 
telegram, signal, vpn, des lecteurs rss, des clients mail etc.

>Enfin, quid de l'ensemble des applications dont nous avons désormais
besoin au quotidien, et qui n'existent que sur Apple ou Android ? 

=> je croyais que l'idée était de s'éloigner de gafamConnect+?

à part les cartes géographiques hors ligne (j'exècre google), la communication 
mail/xmpp/sip, le RSS et un firefox, j'ai besoin d'absolument rien ... de 
surtout rien d'autre.. sinon l'histoire recommence : "vous avez un smartphone, 
vous DEVEZ installer l'application"


>- Un smartphone sous OS "conventionnel", avec les applications rendues
plus ou moins obligatoires par nos métiers, nos usages, et par
l'administration
==> justement, j'ai pour obligation de quitter iphone/android pour avoir Zéro 
application obligatoire (objectif 2026)
que des applis libre pour mes outils indispensables (et je suis pas loin)

>- Un autre gadget sous Linux, avec mes données, mes fichiers, toute
application qui fonctionne correctement sous Linux, et la liberté de
gérer moi-même le fonctionnement.
==> autant oublier le projet non?

la petite récap' :
sailfish (initié en 2013)
UBports (communauté ubuntu touch, la meme année)
postmarketos (initié en 2017, supporte pas mal d'appareils)
manjaro (fourni par défaut avec le PP)
pureos (fourni avec le Librem, coute un bras)
mobian (debian pour PP)
le projet Mer/meego est toujours en dev..

c'est beaucoup moins fragmenté que sur desktop ;-)


From: Toussaint OTTAVI 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 31/05/2024 11:24:59 Europe/Paris



Le 31/05/2024 à 09:56, Stéphane Rivière a écrit :
> Un vrai malinfone linux fondé debian ou ubuntu, avec un inter caméra + 
> micro (puisque c'est désormais légal de te regarder et de t'écouter 
> sans ton assentiment) qui soit réellement disponible à la vente, c'est 
> incroyable de ne pas en trouver (imho) 

Décevant, incontestablement. Incroyable, pas vraiment :-(

Je pense que c'est avant tout une équation économique :
- Combien serions-nous à être prêts à acheter un tel produit (en 
comparaison du nombre de clients pomme/droide) ?
- Si quelqu'un le fabriquait, combien devrait-il en vendre, et à quel 
prix, pour que cela soit rentable, et pour que le support et les 
évolutions puissent être assurés ?
- Ce serait le même qui fabriquerait le hardware et maintiendrait l'OS ? 
L'expérience semble montrer que ce schéma n'est quand même pas terrible...
- Dans le cas d'une distri Linux pour mobile indépendante du hardware, 
qui financerait le dev ? L'OS en question devrait idéalement pouvoir 
tourner sur plusieurs hardwares différents, ce qui implique du travail 
lourd de portage, les NDA des fabvricants, les BLOBs, etc... Le gros 
avantage d'Android (s'il faut lui en trouver un) c'est la couche 
d'abstraction hardware qui facilite ce travail...
- On ne parle même pas du plus gros défaut de Linux, qui est la 
fragmentation. Ta distribution a une virgule que j'estime mal placée, je 
vais la forker et créer la mienne ;-)
- Et on ne parlera même pas de l'UI, qui est un domaine dans lequel, 
depuis plusieurs décennies, Linux peine toujours à convaincre ! Alors 
que, sur les smartphones, depuis Steve Jobs, nous avons tout de même des 
choses relativement correctes. Ce qui, du coup, relève le niveau de nos 
exigences...

Enfin, quid de l'ensemble des applications dont nous avons désormais 
besoin au quotidien, et qui n'existent que sur Apple ou Android ? Si 
j'aime bien rester un rêveur idéaliste, malheureusement, le pragmatisme 
me ramène sur terre ;-(

En l'état, je n'entrevois pas de solution autre que deux appareils 
dist

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

Mais non : la DSP2 impose le renforcement "par une technique de sécurité 
renforcée"

il ne précise pas laquelle, ça semble être en fonction de la banque



la plupart préconise une application.

pas toutes : certaines proposent le TOTP via appareil dédié, d'autres proposent 
toujours le SMS.



le seul truc bien chiant, c'est les non possésseurs de tel portable (ca existe, 
dieu soit loué ils résistent), toujours montrés du doigt aujourd'hui alors que 
cela me semble un droit fondamental.



pour ma part jamais eu d'appli bancaire, j'en aurai jamais. Horreur des applis 
commerciales pour les délester de leurs coûts. Le confort du smartphone? il 
n'set plus depuis que la plupart des applis sont des obligations, et non au 
souhait de l'utilisateur.



La banque qui exige l'appli (ex bforbank avec son revirement en suicide 
commercial), j'ai juste annulé l'ouverture de compte, sans moi.



From: Laurent Barme <5...@barme.fr>
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 31/05/2024 12:08:08 Europe/Paris


Le 30/05/2024 à 22:41, lm2 via frnog a écrit :
> je boycotte juste l'identité numérique, je ne changerai jamais de choix.
>
>
C'est une idée que je trouve excellente mais qui se heurte à la réalité.

A lire l'article 97 de la DIRECTIVE (UE) 2015/2366 DU PARLEMENT EUROPÉEN ET DU 
CONSEIL (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32015L2366 ) 
je comprend que nous sommes piégés par l'obligation d'avoir une 
authentification 
forte pour toute transaction bancaire.

Authentification forte que les banques ont traduite en obligation d'avoir une 
"app" qui ne fonctionne que sur un malinphone sous contrôle étasunien :-(

> comme dr house répond : "quand on vieillit, on est moins obligé de faire des 
> trucs"
>
>
>
> plus on m'oblige à faire des trucs, plus je vais dans le sens opposé à la 
> demande :)
>
>
>
> j'ai accepté le no de tel pour les banques, l'appli c'est mort : me forcer à 
> avoir une appli, c'est demain sur 3310 pour avoir l'excuse absolue, et ne 
> surtout pas aller dans le sens de leurs économies.
Pas sûr que l'excuse du 3310 soit acceptée.

>
>
> pour compléter : il y aura forcément une alternative, comme le courrier 
> papier.
Bah non.

>
> si c'est supprimé, c'est direct au conseil d'état que ça se règlera, par 
> absence d'autre solution (et je doute qu'ils veuillent aller jusque là, et je 
> pense qu'on sera nombreux à s'y rendre)
>
>
Pas convaincu que le conseil d'état fonctionne encore de façon rationnelle.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Panne Orange Francfort

2024-05-31 Par sujet Daniel via frnog


Bonjour,

depuis cette nuit impossible de joindre les clients Orange depuis 
Hetzner. Un mtr donne


1.|-- _gateway   0.0%  100.4   0.4   0.3   0.5   0.1
3.|-- core11.nbg1.hetzner.com0.0%  100.8   2.1   0.7  10.0   2.9
4.|-- core4.fra.hetzner.com  0.0%  103.8   3.9   3.8   4.1   0.1
5.|-- 195.219.223.8 80.0%  104.4   4.4   4.4   4.5   0.1
6.|-- if-ae-24-2.tcore1.fr0-fra 50.0%  104.5   5.7   4.3  10.7   2.8
7.|-- ???   100.0  100.0   0.0   0.0   0.0   0.0

Après as6453 plus rien. Quelqu'un a t'il des infos ?
--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

au temps pour moi, vu la multiplicités des opérateurs de voip aux offres à la 
minute (voire à la seconde) vers toutes les destinations, incluant la france...



effectivement l'offre basique d'OVH a l'air pas mal :





j'ajoute le ptit diable dans les détails, par précaution :



1) : Inclus vers 99 numéros différents par ligne et par mois, au-delà les 
appels sont facturés à la seconde (voir les tarifs).
Dans la limite de 60 minutes de communication par appel, au-delà le temps de 
communication supplémentaire est facturé à la seconde (voir les tarifs).
Appels inclus vers : Allemagne, Argentine, Australie, Autriche, Belgique, 
Brésil, Canada, Chili, Chine, Chypre, Colombie, Danemark, Espagne, France 
métropolitaine, Royaume Uni, Grèce, Hong-Kong, Hongrie, Irlande, Israël, 
Italie, Kazakhstan, Luxembourg, Malaisie, Mexique, Norvège, Nouvelle Zélande, 
Panama, Pays Bas, Pologne, Portugal, Pérou, Russie, Singapour, Slovaquie, 
Suisse, Suède, Taïwan, Thaïlande, USA, Vénézuela.
(2) : Inclus vers 99 numéros de mobiles différents, par ligne et par mois. 
Fonctions de redirection et d'automatisation vers un mobile non prises en 
charge, facturées hors-forfait à la seconde.
(3) : Hors réseaux satellitaires : 0.30€ HT/min sur le réseau GlobalStar, 
jusqu'à 2.343€ HT/appel sur le réseau e*Message.



ya également la techno xmpp qui a l'air pas mal, mais indicatif nord-américain :

https://jmp.chat/

https://jmp.chat/faq



si ca peut intéresser quelques expats (ça relie au client xmpp un numéro 
+1XX)





From: Arnaud Launay via frnog 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 18:39:29 Europe/Paris

Le Thu, May 30, 2024 at 05:56:56PM +0200, lm2 via frnog a écrit:
> parce que prendre une ligne SIP sans les avantages (illimités vers fixes) en 
> France

Pas compris. C'est illimité vers les fixes...
https://www.ovhtelecom.fr/order/voip/?v=2/#/voip/deals?selection=~(lines~(~(line~'line-sip-fr-individual-fr-0h)))

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

je suis pas contre le data-only, j'apprécie de voir différentes alternatives.



ce que je trouverais irrespectueux, par contre : c'est qu'on supprime toute 
alternative à l'existant.

abo tel illimité? ca doit se trouver. Comme pour les données mobiles.



mais pas se dire : ok maintenant c'est ça et que ça (ex données mobiles 
uniquement)

là, ca coince :)



(c'est ma vision un peu alarmiste pour les services gafam sur lesquels se 
reposent l'état)

rappelons :



""Deux étapes sont prévues : la première surviendra en 2027. À cette date, il 
faudra que 80 % des Français disposent d’une identité numérique. La seconde, 
prévue en 2030, visent les 100 % de la population.""

https://www.numerama.com/politique/1507930-lidentite-numerique-doit-etre-etendue-a-100-des-francais-en-2030.html



personnellement, j'adore mon tel.

j'apprécie aussi mon joli numéro.

Mais j'apprécie beaucoup moins qu'on s'en serve comme prétexte pour couper dans 
les couts, pour m'imposer des choses.

et au vu de la rapidité des choses, il est certain que juste pour éviter le 
"installez telle appli vite", ou encore "c'est que sur appli sinon c'est rien" 
(cf les billets des JO), il est hors de question que je leur fasse le moindre 
cadeau : "encore des applis? toujours des applis...*"



j'étais (presque farrouchement) contre le modèle amish il y a quelques années.

franchement, vu au point de la pression socio-professionnelle pour tout faire 
avec son tel, mon ressenti, malheureusement, est que je risque vite de 
rejoindre leur raisonnement :



""C’est un problème plus général que vous soulevez. Est-il possible de nos 
jours de vivre normalement sans portable ? On voit bien que c’est très 
difficile. Pour des raisons de sécurité diverses, il est devenu indispensable 
pour accéder à ses comptes ou faire des achats en ligne par exemple. Avoir un 
portable, c’est une quasi obligation sociale. Même les clochards en ont. ""
https://www.boursorama.com/bourse/forum/1rPAI/detail/463843206/



voire, pire :

https://hyperbate.fr/numerique/

https://lejournalminimal.fr/sans-telephone-portable/



j'avais prévu de prétendre ne posséder aucun portable (exception malheureuse 
des banques, foutue UE/DSP3 quand tu nous tiens) à partir de l'année prochaine, 
mais vu la violence d'exclusion/discrimination technologique, il n'est pas 
impossible que je commence plus tot, notamment avec une forme de 3310 comme 
excuse béton : pas d'iphone, pas d'android(-like), j'y peux rien ma bonne dame 
(et je vais pas m'équiper pour vos beaux yeux vous l'aurez compris), faudrait 
faire sans! (ou pas faire, tant pis)



quitte à boycotter des services.. et à m'isoler de cette folie (pas de folie 
techno, mais de folie de pression et d'imposer à la populace, qui m'exacerbe au 
plus haut point)





plus ils tenteront de m'imposer des choses, plus j'irai vers la déconnexion, 
juste pour leur faire comprendre que c'est MON tel, pas LEUR outil.





voilà, je me calme, promis, non je n'ai pas été à l'école sebsauvage, très loin 
de là.









*cette réplique parlera peut être à certains ;)


From: Jerome Marteaux 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 22:00:56 Europe/Paris

Le 30/05/2024 à 15:10, Toussaint OTTAVI a écrit :
> 
> 
> Le 30/05/2024 à 14:41, Julien Issler a écrit :
>> Si tu es sûr que c'est du démarchage, tu peux toujours décrocher en
>> faisant "commissariat/gendarmerie bonjour" j'imagine que ça peut en
>> calmer certains :⁠-⁠)
> 
> J'aime bien aussi : "Ne quittez pas...", puis mettre le micro en 
> silence, et poser le téléphone dans un coin :-)
> 
> Mais si c'est un robot, çà ne marche pas :-)

Il y a une autre astuce, comme ces gens utilisent des bases de données
de numéros non qualifiés il y a énormément de déchet, donc pour gaver
leurs "agents" d'un maximum d'appel ils utilisent un robot d'appel en
mode prédictif, c'est à dire que le robot va composer 5 numéros
simultanément, en moyenne 2 seront cassés car pas attribués, 2 seront
sur répondeur et 1 répondra, il passera alors cette communication à
l'agent. Selon le nombre d'agent et la "qualité" de la base de données,
le nombre de numéro appelés simultanément varie.

Le problème c'est la détection du répondeur, si le robot passe un
répondeur à l'agent celui-ci va perdre du temps (et potentiellement
rester en ligne un maximum de temps car ça va compter pour un appel
qualifié, ie un appel où l'agent aura déroulé tout son script).

Mais le robot est comme nous, il ne sait pas s'il parle à quelqu'un ou
si c'est un répondeur (pas d'information dans la signalisation).
Pour détecter ce répondeur, le robot va écouter les 2 premières secondes
de la communication, si pas de son alors il va penser que c'est le
répondeur qui décroche et va raccrocher à son tour.

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

je boycotte juste l'identité numérique, je ne changerai jamais de choix.



comme dr house répond : "quand on vieillit, on est moins obligé de faire des 
trucs"



plus on m'oblige à faire des trucs, plus je vais dans le sens opposé à la 
demande :)



j'ai accepté le no de tel pour les banques, l'appli c'est mort : me forcer à 
avoir une appli, c'est demain sur 3310 pour avoir l'excuse absolue, et ne 
surtout pas aller dans le sens de leurs économies.



pour compléter : il y aura forcément une alternative, comme le courrier papier.

si c'est supprimé, c'est direct au conseil d'état que ça se règlera, par 
absence d'autre solution (et je doute qu'ils veuillent aller jusque là, et je 
pense qu'on sera nombreux à s'y rendre)



From: Léa Gris 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 19:23:25 Europe/Paris

Le 30/05/2024 à 18:02, lm2 via frnog écrivait :
> Android, même dé-googlisé, fait partie des trucs que je n'ai jamais réussi à 
> apprécier ;-)

Tout ceci est bien joli, mais l'UE et l'état profond d'influence 
atlantiste pousse de force l'identité numérique pour certains actes. 
Cette identité numérique ne peut fonctionner qu'avec Android ou IOS.

Tout ceci, en dehors de toute considération ou questionnement quant aux 
motifs de forcer cette identité numérique et aux conséquences sur nos 
libertés ou leur disparition ; las possibilités d'employer des système 
libres sur les appareils mobiles sont elles aussi menacées.

Cette identité numérique est une véritable catastrophe.

-- 
Léa Gris


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

Le Thu, May 30, 2024 at 05:55:00PM +0200, lm2 via frnog a écrit:
> B : ça oblige à rediffuser un numéro à tous les correspondants.

Tu migres ton numéro actuel avec ton RIO vers ta ligne SIP.
Faut juste faire gaffe à ce ça n'entraîne pas la résiliation des éventuels 
services
associés genre fibre...

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

Le Thu, May 30, 2024 at 05:56:56PM +0200, lm2 via frnog a écrit:
> parce que prendre une ligne SIP sans les avantages (illimités vers fixes) en 
> France

Pas compris. C'est illimité vers les fixes...
https://www.ovhtelecom.fr/order/voip/?v=2/#/voip/deals?selection=~(lines~(~(line~'line-sip-fr-individual-fr-0h)))

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: RE: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

gael duval fait un peu avec murena/eelo ce que les fairphones ont tenté de 
faire, et c'est souvent : un échec.



https://grisebouille.net/lhdg11-encore-un-nouveau-fairphone/
https://grisebouille.net/encore-un-nouveau-fairphone/
https://grisebouille.net/fin-de-partie-pour-mon-fairphone/



pour moi le fairphone est clairement une boite qui surfe sur le "renouveau 
écologique" aka RSE, sans vraiment aller vers un objectif appréciable.

murena/eelo, gael duval : au moins quand microsoft a bouffé nokia, ils 
proposaient une alternative sans google, aka windows phone. C'était disruptif, 
l'essai était là.



duval, c'est le dindon de la farce : il est anti-google (un peu comme moi) mais 
tous les chemins de duval mènent.. à google.



quand j'ai vu sailfish, le constat était amèrement le meme : trop orienté sur 
leurs appareils, peu de dev/apps à dispo, et surtout : trop peu d'appareils 
supportés.



ubuntu touch est quasi à l'abandon, ne vise pas d'expansion spécifique : comme 
sailfish, il faut avoir le bon appareil (cad pas samsung etc)



je vois que postmarketos, qui en cinq ans a fait bien plus que sailfish/jolla, 
ubuntu, lineageos et eelo réunis.



ya que ce projet qui peut "captiver" les anti-google (qui veulent pas d'apple) 
à garder un smartphone.



pour les autres, restent les tels classiques, à touches en plastiques (j'en 
connais qu'en ont)

j'ai vu quelques jeunes étudiants aussi avec des vieux tels android sans abo 
dessus.. utilisation wifi exclusive.



bah ca vous en fout une :)



From: Gérald Vannier 
To: Toussaint OTTAVI ;
   frnog@frnog.org 
Subject: RE: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 15:22:50 Europe/Paris

+1 pour eelo (e/os)/murena
J'ai plusieurs mobiles installés avec. Il faut suivre Gaël Duval, il s'exprime 
souvent sur le sujet. 
https://www.linkedin.com/in/gaelduvalprofile/

-----Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Toussaint 
OTTAVI
Sent: jeudi 30 mai 2024 15:14
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?


Le 30/05/2024 à 15:09, GROS Jérôme a écrit :
> Me semble qu'on peut installer ubuntouch sur les fairphones : 
> https://devices.ubuntu-touch.io/device/fp4/

Merci. J'avais regardé il y a quelques années, ce n'était pas concluant. 
Je vais y jeter un oeil à nouveau.

> Mais aussi /e/os qui est un Android mais « déGooglisé » : 
> https://murena.com/fr/boutique/smartphones/neuf/murena-fairphone-5/

Android, même dé-googlisé, fait partie des trucs que je n'ai jamais réussi à 
apprécier ;-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

... on relance pour le clibase?



parce que prendre une ligne SIP sans les avantages (illimités vers fixes) en 
France, + toute une tambouille technique pour ca, autant le mettre en liste 
blanche direct non?



From: Arnaud Launay via frnog 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 17:53:25 Europe/Paris

Le Thu, May 30, 2024 at 05:41:12PM +0200, David Ponzone a écrit:
> Oui mais pour le GP, puisque aucun opérateur ne propose d’accès en SIP pour la
> réception des appels, c’est un peu lourd à mettre en place.

Ah oui. Moi j'avais pris un SIP à 0,99€ HT chez ovh, et j'avais fait un RIO de 
mon
numéro quand j'avais résilié mon ancien opérateur. Du coup, le numéro marche
toujours, arrive chez OVH, sur lequel je peux plugger leur répondeur, ou 
intégrer mon
propre PBX qui s'y connecte, et ensuite créer des comptes en local sur lequel 
mon/mes
appareils sip peuvent se connecter.

Mais c'est sûrement pas du GP, c'est clair. Par contre pour 1€ / mois, ça marche
quand même parfaitement bien (ya probablement des coupures, mais pour 3 appels 
par
mois, hein...).

> Enfin, je sais pas vous, mais moi ma ligne perso, je peux la débrancher, elle 
> ne
> sert strictement plus à rien.

Elle n'a jamais été branché ici, même. D'ailleurs, même la box n'est sortie de 
son
carton que lorsque le tech de la fibre est venu faire l'installation. Dès qu'il 
a
franchi la porte, elle y est retournée direct...

Par contre, la SIP ovh avec un PBX local, je vais peut-être la réutiliser à la 
maison
pour mettre un téléphone dans la chambre de $FORK. Pas de tél mobile, mais tu 
peux
appeler tes ami(e)s quand tu veux, mais uniquement dans telles plages horaires.

Bon après mon rêve c'est que ça pousse $FORK à hacker le système par tout 
moyen, y
compris physique, mais je ne sais pas si la jeune génération aurait ce réflexe
d'essayer d'outrepasser les protections :(

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

La problématique du numéro SIP : on l'inscrit chez quel presta?



A : les appels SIP sont facturés à la minute pour la plupart (des presta SIP 
qui laissent l'illimité vers les fixes en france?)

B : ça oblige à rediffuser un numéro à tous les correspondants.



From: Arnaud Launay via frnog 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 17:37:06 Europe/Paris

Le Thu, May 30, 2024 at 05:05:50PM +0200, Laurent Barme a écrit:
> Depuis que j'ai mis ça en place (il y a 5 ans), je peux accueillir
> sereinement les appels.

Un mini PBX avec un numéro SIP, qui décroche avec un message du genre "bonjour, 
si
vous êtes un humain, merci d'appuyer sur 9; sinon, merci de patienter" avec une
musique d'attente derrière, c'est assez efficace :-D

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

Le Thu, May 30, 2024 at 05:41:12PM +0200, David Ponzone a écrit:
> Oui mais pour le GP, puisque aucun opérateur ne propose d’accès en SIP pour la
> réception des appels, c’est un peu lourd à mettre en place.

Ah oui. Moi j'avais pris un SIP à 0,99€ HT chez ovh, et j'avais fait un RIO de 
mon
numéro quand j'avais résilié mon ancien opérateur. Du coup, le numéro marche
toujours, arrive chez OVH, sur lequel je peux plugger leur répondeur, ou 
intégrer mon
propre PBX qui s'y connecte, et ensuite créer des comptes en local sur lequel 
mon/mes
appareils sip peuvent se connecter.

Mais c'est sûrement pas du GP, c'est clair. Par contre pour 1€ / mois, ça marche
quand même parfaitement bien (ya probablement des coupures, mais pour 3 appels 
par
mois, hein...).

> Enfin, je sais pas vous, mais moi ma ligne perso, je peux la débrancher, elle 
> ne
> sert strictement plus à rien.

Elle n'a jamais été branché ici, même. D'ailleurs, même la box n'est sortie de 
son
carton que lorsque le tech de la fibre est venu faire l'installation. Dès qu'il 
a
franchi la porte, elle y est retournée direct...

Par contre, la SIP ovh avec un PBX local, je vais peut-être la réutiliser à la 
maison
pour mettre un téléphone dans la chambre de $FORK. Pas de tél mobile, mais tu 
peux
appeler tes ami(e)s quand tu veux, mais uniquement dans telles plages horaires.

Bon après mon rêve c'est que ça pousse $FORK à hacker le système par tout 
moyen, y
compris physique, mais je ne sais pas si la jeune génération aurait ce réflexe
d'essayer d'outrepasser les protections :(

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

Le Thu, May 30, 2024 at 05:05:50PM +0200, Laurent Barme a écrit:
> Depuis que j'ai mis ça en place (il y a 5 ans), je peux accueillir
> sereinement les appels.

Un mini PBX avec un numéro SIP, qui décroche avec un message du genre "bonjour, 
si
vous êtes un humain, merci d'appuyer sur 9; sinon, merci de patienter" avec une
musique d'attente derrière, c'est assez efficace :-D

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

éligible pour les particuliers?



problème : ça dépend du fournisseur de services ; or orange n'a jamais apporté 
de service ajouté gratos à son offre (contrairement à free)

du coup, soit un appareil qui le gère, soit ruser..



From: Laurent Barme <5...@barme.fr>
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 17:05:50 Europe/Paris


Le 30/05/2024 à 16:16, lm2 via frnog a écrit :
> le plus simple reste vraiment le tel fixe en mode muet, et de bloquer les 
> tranches de numéros des démarcheurs sur android (ou éventuellement NPD 
> permanent sur iphone avec contacts en liste blanche)
>
Sur une ligne fixe, le plus efficace est de mettre un SVI ; ça bloque très 
efficacement les robots d'appel et laisse passer sans problème même les "vieux" 
humains.
Depuis que j'ai mis ça en place (il y a 5 ans), je peux accueillir sereinement 
les appels.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

le plus simple reste vraiment le tel fixe en mode muet, et de bloquer les 
tranches de numéros des démarcheurs sur android (ou éventuellement NPD 
permanent sur iphone avec contacts en liste blanche)



zéro dérangement après ça.



From: Toussaint OTTAVI 
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 15:10:56 Europe/Paris



Le 30/05/2024 à 14:41, Julien Issler a écrit :
> Si tu es sûr que c'est du démarchage, tu peux toujours décrocher en
> faisant "commissariat/gendarmerie bonjour" j'imagine que ça peut en
> calmer certains :⁠-⁠)

J'aime bien aussi : "Ne quittez pas...", puis mettre le micro en 
silence, et poser le téléphone dans un coin :-)

Mais si c'est un robot, çà ne marche pas :-)
-------
Liste de diffusion du FRnOG
http://www.frnog.org/


-------
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

l'explication est toute simple :

ce sont les "trois ovnis" du libre mobile : le Librem (PureOS), le Pinephone, 
et le fairphone;



les trois "sacrés" des libristes (intégristes?) car ils permettent d'adapter 
très facilement un système non android sur l'appareil.

par ex mobian, droidian, fonctionnent que sur pinephone (et le librem?) ; alors 
qu'il est sous contrat avec... manjaro (ce qui leur est reproché, à manjaro pas 
au PP)



alors qu'adapter un ubuntu touch ou autre, demande un dev expérimenté, qui 
dispose de l'appareil, et la peine est double :

-le "secret industriel" qui interdit aux fabricants ou à qualcomm de 
communiquer les infos des blobs logiciels

-le fait qu'ils ont une galaxie de modèles, soit une dizaine de nouveaux par an 
par fabricant, donc bon courage pour avoir un OS qui tourne partout.



Sailfish n'était pas si loin de la diversification, mais ne porte pas ; 
postmarketos semble le plus apprécié à ce nievau.



From: David Ponzone 
To: Toussaint OTTAVI 
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 15:09:57 Europe/Paris
Cc: frnog@frnog.org 

Pas compris, ça change quoi qu’il soit full-linux dans ta vie ?

Sinon:

Ubuntu Touch sur Fairphone 4
Ou
https://pine64.org/devices/pinephone_pro/ 
<https://pine64.org/devices/pinephone_pro/>
ou
https://linuxstans.com/linux-phone/ <https://linuxstans.com/linux-phone/>

Pour le Fairphone natif, je pige pas pourquoi il est listé sur des sites comme 
Linux Phone, alors que le site de Fairphone annonce Android 13.

David


> Le 30 mai 2024 à 14:56, Toussaint OTTAVI  a écrit :
> 
> 
> Le 30/05/2024 à 11:58, David Ponzone a écrit :
>> Pour le point 2, c’est facile, Android -> poubelle
>> Trop d’automatismes à la con de ce genre dans cet OS (j’affiche le nom
>> d’une entreprise qui n’est pas la bonne, j’affiche la ZNE de l’appelant
>> alors que ça n’existe plus, etc…).
> 
> Bah, oui, t'es gentil, mais mon Nokia 6110 ne fonctionne plus depuis que le 
> réseau 1G a été éteint :-)
> 
> Donc, oui, je n'aime pas Google en général, je n'aime pas Android en 
> particulier, mais il reste quoi ? ;-)
> 
> Si tu as une alternative intéressante d'un téléphone en full-Linux à 
> proposer, je prends, de suite :-D
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


-------
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?

> Il n'y a que pour le smartphone que je n'ai pas encore trouvé mon bonheur...



pourtant, depuis dix ans, les initiatives non iphone, ou non androidisées, ne 
manquent pas :

https://fr.wikipedia.org/wiki/Liste_des_syst%C3%A8mes_mobiles_non_bas%C3%A9s_sur_Android



From: Toussaint OTTAVI 
To: frnog@frnog.org 
Subject: Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
légitimes ?
Date: 30/05/2024 15:30:56 Europe/Paris


Le 30/05/2024 à 15:09, David Ponzone a écrit :
> Pas compris, ça change quoi qu’il soit full-linux dans ta vie ?

Dans ma conception de l'informatique, un ordinateur, et par extension, 
un ordinaphone, çà fait ce pour quoi je le programme, et rien d'autre 
:-) Donc, les machins Google ou Apple, chacun pour des raisons 
différentes, en sont aux antipodes.

Linux est un truc que j'aime bien. Parce que c'est libre. Parce que 
c'est ouvert. Et parce que c'est un "LEGO" avec lequel je peux 
construire ce qui me passe par la tête, juste en assemblant des pièces 
existantes, sans forcément devoir réinventer la roue. Ma maison est sous 
Linux. Ma voiture est sous Linux. J'ai plus de Raspberry Pi et autres 
ESP / STM32 en open-source que de paires de chaussettes non trouées ;-) 
Il n'y a que pour le smartphone que je n'ai pas encore trouvé mon bonheur...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: RE: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?



bonjour,

jvais regrouper un peu ici les petits éléments sur lesquels rebondir est 
intéressant :

(attention, à nouveau pavé partiellement à charge contre google)

> From: Toussaint OTTAVI 
> To: frnog@frnog.org 
> Subject: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
> légitimes ?
> Date: 30/05/2024 11:52:58 Europe/Paris
>En ce moment, je reçois 3 ou 4 appels automatiques par jour du
"Ministère de l'énergie" qui veut me fourguer des panneaux solaires 

à l'époque, il y a quelques années, une société qui démarchait sur le fixe (que 
j'utilise beaucoup, bien plus que le portable), je prenais deux ou trois 
minutes systématiquement pour leur arracher leur siret/siren, évidemment 
imposant cette question dans la première minute ("c'est un appel commercial, ça 
justifie la demande d'info, il y a eu des arnaques vous comprenez ma ptite 
dame"), souvent accompagnée du "vous avez dit qu'il y a des aides pour ces 
prestatations [-euh oui il y en a], c'est quel ministère qui accompagne ce 
financement?) avec moult interrogations => je transforme leur démarchage 
commercial en interrogatoire ou gàv pour la démarcheuse, ils tiennent jamais 
plus d'une minute trente.


un peu comme ce truc, pour le fixe :

https://bigbernie1.pagesperso-orange.fr/AntiSpam.pdf
(ou 
https://web.archive.org/web/20230126120416/https://bigbernie1.pagesperso-orange.fr/AntiSpam.pdf
 )
les pages quatre et cinq sont bien croustillantes :)

ou pour les quelques plus courageux prêts à décrocher au top départ, celui ci 
bien plus moussant :
https://egbg.home.xs4all.nl/EGBGcontrescenario.pdf

l'appareil ultime :
KX-TGH720FR de panasonic : 
https://www.li-an.fr/a-cote/panasonic-filtre-demarchage/

ou encore, maintenir trois secondes la touche étoile (il y a une clochette 
marquée dessus), pour le passer.. en silencieux :D

Pour les portables :

également, la méthode plus radicale, je connais quelques personnes qui 
l'utilisent : la liste noire, aka par ex chez free mobile, mettre tout le monde 
par défaut ("*") vers messagerie vocale et autoriser au compte gouttes les 
numéros "de confiance" ; une amie chez sfr fait approx pareil, mais sur son 
iphone (ou android) => mode ne pas déranger en permanence, sans message vocal 
impossible de la recontacter, je trouve cela malin.

à rajouter à cette solution que les uns trouveront trop radicale : 
«Ainsi 65 % des utilisateurs déclarent ne jamais décrocher ou rarement aux 
appels dont ils ne reconnaissent pas le numéro contre 57 % en 2021. Et donc 
moins d’un Français sur 10 (8 %) décroche systématiquement, même si le numéro 
affiché n’est pas dans son répertoire.»
https://www.arcep.fr/actualites/actualites-et-communiques/detail/n/regulation-par-la-donnee-240424.html

après, faut pas oublier que les français sont sur le podium des pays/victimes 
les plus ciblées par des arnaques..



> From: Toussaint OTTAVI 
> To: frnog@frnog.org 
> Subject: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
> légitimes ?
> Date: 30/05/2024 11:52:58 Europe/Paris
> Il ne sert à rien de les signaler ou de les bloquer car
les deux derniers chiffres changent à chaque appel.

les signaler, à qui? Orange? une VRAIE liste communautaire, qui sont en fait 
commerciales?
ne cherchez pas, il y a plus simple, et c'est très étonnant que les 
participants de "la crème de la crème" de l'ingénierie française n'ait jamais 
entendu parler d'YACB, qui facilite ceci, combiné avec les tranches de numéros 
à bloquer (depuis longtemps sur l'appareil de mon entourage, pour android) :
l'outil :
https://f-droid.org/fr/packages/dummydomain.yetanothercallblocker/
les numéros concernés (rajouter ** à chaque fin de tranche, si * simple ne 
fonctionne pas, ex +33948** au lieu de +33948*) :
https://next.ink/1410/la-fausse-astuce-anti-demarchage-telephonique-reprise-en-boucle-par-medias/
le manuel :
https://grisebouille.net/bloquons-le-demarchage/

à noter de ne pas cocher le bloquage des appels anonymes, sinon toutes les 
messageries chiffrées, type signal, qui ne sont pas basées sur numéro pour 
les appels, seront également bloquées (j'ai fait le test)

pour l'iphone, de l'aveu même des équipes d'apple, "le système n'est pas très 
bon pour se protéger du démarchage", dixit leur support tel (bon, en même 
temps...), donc l'unique solution, la même que les anciens androids dénués de 
la possibilité d'YACB : passer en mode "ne pas déranger" avec l'autorisation 
d'exception pour les appelants figurant dans la liste des contacts.


> From: Toussaint OTTAVI 
> To: frnog@frnog.org 
> Subject: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques 
> légitimes ?
> Date: 30/05/2024 11:52:58 Europe/Paris
> Comment sont gérées ces bases de données "suspicion de spam" sur les 
> téléphones Android ?

tu gères pas, c'est tout privatisé, à ma

Re: [FRnOG] [TECH] Bgp sous FRR

2024-05-27 Par sujet Alarig Le Lay via frnog

On Mon 27 May 2024 08:29:31 GMT, Raphael Mazelier wrote:
> Ok mais dans ce cas pourquoi pas en privé ? (ok cela évite d'avoir a
> se mettre d'accord sur un plan d’adressage).

Tu as ta réponse.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bgp sous FRR

2024-05-27 Par sujet Denis Fondras via frnog

Le Sun, May 26, 2024 at 06:46:07PM +0200, Lucas REYMOND a écrit :
> Salut,
> 
> Je me plante peut être mais ton problème n'est pas lié au fait que ton
> routeur tourne Frr. Mais plutôt aux applications sous jacente (mettre à
> jour).
> 

C'est un peu tot pour vendredi mais ça n'arriverai pas avec IPv6 :p


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bgp sous FRR

2024-05-26 Par sujet Alarig Le Lay via frnog

On Sun 26 May 2024 17:07:18 GMT, Raphael Mazelier wrote:
> Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu
> pratique et étonnant.

Bah ça évite de se faire DDoS son interco. C’est plutôt une bonne
pratique quand on peut se le permettre.

-- 
Alarig

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-25 Par sujet Yohan Prod homme via frnog


Capgemini, Atos, Sopra Steria, Orange, Sia partners

Cf. le Bitoduc : https://bitoduc.fr/

Le 24/05/2024 à 16:45, Jérôme Nicolle a écrit :

Tiens, j'en profite parce que je suis jamais certain de l'acronyme.

Le 24/05/2024 à 11:04, Toussaint OTTAVI a écrit :

mode "CASSOS"


C'est bien Cap gemini, Atos, Sopra, Steria, Orange ? Mais le dernier 
je suis pas sûr ?


@+




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-25 Par sujet Laurent Bloch via frnog

Le jeudi 23 mai 2024 Toussaint OTTAVI a écrit ceci :

> Pour rappel, je suis "sans papiers" suite à une erreur d'orthographe 
> commise par la préfecture locale en... 1987, erreur qui a été ensuite 
> gravée dans le marbre lors de l'informatisation de l'état civil. 
> Aujourd'hui, personne n'a de solution satisfaisante pour corriger. Dans 
> le meilleur des cas, les services, de bonne foi, avouent leur 
> incompétence à régler le problème. Dans le pire, ils s'en foutent 
> carrément, ce n'est pas leur problème :-D Tout ceci avec des 
> conséquences marrantes : pas de carte Vitale; j'ai une carte de sécurité 
> sociale Européenne, mais qui n'est pas valide en France; pas grave, 
> l'Italie, c'est pas loin :-D Mais je ne peux pas prendre l'avion :-D 
> Depuis 5 mois, je n'ai plus accès au système bancaire :-D  J'ai été 
> obligé d'inscrire mon neveu orphelin chez les S.D.F. :-D Je signe toutes 
> les semaines, en tant qu'élu, des délibérations diverses avec une 
> identité qui n'existe pas :-D Je me bats avec un huissier pour qu'il 
> vienne me saisir sur la bonne orthographe :-D Et j'en passe :-D

Mais, dans certains départements, n'y a-t-il pas une tradition assez
particulière de traitement de l'état-civil et des autres données
relatives aux citoyens ? J'ai connu des gens, résidents depuis 20 ans
dans tel département, qui n'avaient toujours pas réussi à se faire
inscrire sur les listes électorales. Et c'était du temps d'Arpanet...

-- 
Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org
Si vous trouvez que l'éducation coûte cher, essayez l'ignorance !
(A. Lincoln)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-23 Par sujet Arnaud Launay via frnog

Le Thu, May 23, 2024 at 10:00:25AM +0200, David Ponzone a écrit:
> Je ne juge pas, mais c’est un fait (et effectivement, ils deviennent 
> difficilement
> joignables au téléphone alors que la numérisation aurait dû leur libérer du 
> temps).

C'est parce qu'il faut leur envoyer un fax.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème FortiGate

2024-05-23 Par sujet Guillaume Tournat via frnog

Éventuellement, vous pouvez désactiver l’offloading npu sur la policy concernée, pour voir si vous n’êtes pas dans un bug firmware/asic. Sinon, c’est troubleshoot avec le TAC Fortinet. Vous avez un TAM Fortinet ou c’est vous/votre intégrateur qui faites ce diagnostic ?On 23 May 2024, at 13:28, Florian VANNIER  wrote:Salut Guillaume,C'est ce que nous avons fait, désactiver tous les éléments de sécurité/déchiffrement.Le lun. 20 mai 2024 à 21:30, Guillaume  a écrit :

  

  
  
Bonjour,
Qui dit "CA Root interne" semble indiquer du déchiffrement SSL
  complet (et non simplement de la vérification de certificat). Et
  cela, les applications comme M365 notamment ne l'apprécient guère.

Un test à réaliser serait de faire une policy aussi de celles
  pour le surf, qui cible les ISDB Microsoft, et sans déchiffrement
  a minima, et sans UTM éventuellement :

  config firewall policy
      edit 0
      set name "M365 apps"
      set srcintf "internal"
      set dstintf "virtual-wan-link"
      set action accept
      set srcaddr "all"
      set internet-service enable
      set internet-service-name "Microsoft-Azure"
  "Microsoft-Web" "Microsoft-Other" "Microsoft-Office365"
  "Microsoft-Skype_Teams"
      set schedule "always"
      set logtraffic disable
      set nat enable
      next
  end



gu!llaume



Le 15/05/2024 à 11:59, Florian VANNIER
  a écrit :


  Bonjour à tous,
Je me permets de jeter une bouteille à la mer car on galère
  pas mal sur un cluster de FortiGate 101F.
Pour résumer la situation, cluster sur un site distant géré
  par un FortiManager au niveau du groupe.
Règles communes vers le web. (sur 8 sites distants)
Spécifiquement sur ce site, on rencontre des sites web qui
  tombent en timeout (ou très très lent) ou bien des erreurs de
  certificat (évidemment les clients ont le CA Root interne).
  Constaté aussi sur différents navigateurs. Sur un poste ça
  fonctionne, l'autre non ...









On a donc désactivé au fur et à mesure tous les éléments de
  sécurité (DeepSSL, IPS, AV ...) vers le web.
Mais on rencontre toujours ces problèmes de façon
  sporadique :(
On a aussi fait des tests afin d'exclure un problème sur un
  WAN spécifique.
Calme plat sur l'utilisation CPU/RAM ...






Notre intégrateur ainsi que le support Fortinet semblent à
  cours d'idées.


Avez-vous déjà rencontré ce genre de problème ? 
Une idée sur ce qui pourrait causer ce comportement ?


Merci d'avance la liste
  

  
-- Florian VANNIERAdministrateur systèmes et réseauxTel : +33 6 83 10 70 09E-mail : florian.vannie...@gmail.com

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-23 Par sujet lm2 via frnog

l'état, c'est doublement coupable de :

1. je refile toutes les patates numériques aux gafam, cf nos données médicales 
chez microsoft, et j'en passe et des meilleures

2. j'impose à toute la pop' de passer par les gafam pour 100% de leur vie 
administrative ; on a vu le désastre :

https://grisebouille.net/franceconnect-ou-gafamconnect/

https://grisebouille.net/google-lespion-le-plus-con-du-monde/



le divorce avec google fut à couteaux tirés, mais diablement efficace! ;)



à l'heure de la "fédération" des internets, où on prends conscience ques les 
genZ n'arrivent plus à distinguer un logiciel ordinaire du protocole utilisé et 
sont biberonnés aux applications (ya plus rien à faire pour eux), reste qu'une 
solution pour les non drogués : le minimalisme numérique.



je recommande chaudement le blog de ploum!


From: David Ponzone 
To: Denis Fondras 
Subject: Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Date: 23/05/2024 10:00:25 Europe/Paris
Cc: lm2 via frnog 


>> - Si par exemple mon opérateur de téléphonie ne me satisfait plus, je suis
>> tout à fait libre de résilier mon contrat et de m'en aller chez un
>> concurrent. Si les services "numériques" de l'état (et plus généralement les
>> services administratifs) ne font pas le job, comment puis-je "résilier" mon
>> contrat, et m'en aller voir ailleurs ? ;-)
>> 
> 
> Tu ne contractes pas ?
> 

Le problème c’est que l’Etat semble vouloir faire passer tout le monde en mode 
numérique de force, comme ils l’ont fait pour les impôts.
Je ne juge pas, mais c’est un fait (et effectivement, ils deviennent 
difficilement joignables au téléphone alors que la numérisation aurait dû leur 
libérer du temps).

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] IPvX ?

2024-05-23 Par sujet Thomas Brenac via frnog

Re Bonjour la liste
 
Comme a quasiment chaque participation aux réunion du RiPE NCC “on” me 
sollicite sur un doux mélange d évolution IP associant blockchain et désormais 
IA.…Avec un papier a télécharger ici : https://we.tl/t-nDyLxVqimx
 
Si il pleut ce week-end, que vous avez raté Euro-vision même en replay et Si 
cela vous intéresse je veux bien votre avis.

Cheers
___
Thomas BRENAC
+33686263575 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] IPvX

2024-05-23 Par sujet Thomas BRENAC via frnog


Bonjour la liste

Comme a quasiment chaque participation aux réunion du RiPE NCC “on” me 
sollicite sur un doux mélange d évolution IP associant blockchain et désormais 
IA.…Avec un papier comme celui ci-joint.

Si il pleut ce week-end, que vous avez raté Euro-vision même en replay et Si 
cela vous intéresse je veux bien votre avis. 



__

Thomas BRENAC

+33686263575 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-23 Par sujet Denis Fondras via frnog

Le Thu, May 23, 2024 at 09:14:16AM +0200, Toussaint OTTAVI a écrit :
> 
> Avec quelques corollaires :
> - Si, comme dans le privé, il y avait des contrôles qualité, et si on payait
> les fonctionnaires à "travail fait", est-ce que cela arriverait ?
>

Oui. Croire que le "travail n'est pas fait" parce que la paye est "assurée" me
parait être un peu à courte vue.

> - Si par exemple mon opérateur de téléphonie ne me satisfait plus, je suis
> tout à fait libre de résilier mon contrat et de m'en aller chez un
> concurrent. Si les services "numériques" de l'état (et plus généralement les
> services administratifs) ne font pas le job, comment puis-je "résilier" mon
> contrat, et m'en aller voir ailleurs ? ;-)
>

Tu ne contractes pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-22 Par sujet Laurent Bloch via frnog

Merci ! Je vais commander une nouvelle carte d'identité et essayer ça.

Le mercredi 22 mai 2024 Jérôme Nicolle a écrit ceci :

> Laurent,
> 
> Le 22/05/2024 à 16:58, Laurent Bloch a écrit :
> > Il semblerait que cela ne marche pas avec Murena et /e/os, seulement
> > avec les systèmes et les magasins d'applications officiels.  
> 
> Ça fonctionne très bien sur GrapheneOS en l'installant via Aurora Store. 
> C'était un prérequis pour moi de pouvoir fonctionner sur un appareil 
> dégooglisé.
> 
> @+
> 
> -- 
> Jérôme Nicolle
> +33 6 19 31 27 14
> +590 690 22 87 14


-- 
Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org
Si vous trouvez que l'éducation coûte cher, essayez l'ignorance !
(A. Lincoln)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters

2024-05-22 Par sujet Laurent Bloch via frnog

Bonjour,

Il semblerait que cela ne marche pas avec Murena et /e/os, seulement
avec les systèmes et les magasins d'applications officiels.

Le mercredi 22 mai 2024 Jérôme Nicolle a écrit ceci :

> Bonjour,
> 
> On en parle peu mais l'application France Identité permet de "charger" 
> votre carte d'identité nouveau format sur votre téléphone. De plus en 
> plus de services utilisent ce mode d'authentification. Par exemple j'ai 
> pu à l'instant faire une procuration de vote sans me déplacer pour la 
> faire valider.
> 
> Mais quid de l'accès en datacenter ou tout autre lieu demandant une 
> pièce d'identité ? Est ce qu'on va pouvoir simplement montrer l'écran du 
> téléphone ? Utiliser le process d'authentification via l'application en 
> scannant un QR Code ?
> 
> Pour aller encore plus loin, au sommet Digital Alliance EU-LAC la 
> semaine dernière on a travaillé sur l'interopérabilité de l'identité 
> numérique avec des pays non européens. Quand serons nous prêts à 
> utiliser plus généralement ce système ?
> 
> @+
> 
> -- 
> Jérôme Nicolle
> +33 6 19 31 27 14
> +590 690 22 87 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


-- 
Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org
Si vous trouvez que l'éducation coûte cher, essayez l'ignorance !
(A. Lincoln)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Pannes d’Internet en Afrique de l’Est : quelles raisons, quelles solutions ?

2024-05-21 Par sujet Laurent Bloch via frnog

Bonsoir,

Pannes d’Internet en Afrique de l’Est : quelles raisons, quelles
solutions ? Dans Jeune Afrique :

https://www.jeuneafrique.com/1569763/economie-entreprises/pannes-dinternet-en-afrique-de-lest-quelles-raisons-quelles-solutions/

Il faut hélas être abonné...

Bonne lecture !

-- 
Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org
Si vous trouvez que l'éducation coûte cher, essayez l'ignorance !
(A. Lincoln)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Elevating Security with Arm CCA

2024-05-20 Par sujet Laurent Bloch via frnog

Bonjour,

Un article intéressant en accès libre :

Elevating Security with Arm CCA
Attestation and verification are integral to adopting confidential
computing.
par Charles Garcia-Tobin and Mark Knight

https://queue.acm.org/detail.cfm?id=3664291

Bonne lecture !

-- 
Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org
Si vous trouvez que l'éducation coûte cher, essayez l'ignorance !
(A. Lincoln)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème FortiGate

2024-05-20 Par sujet Guillaume via frnog


Bonjour,

Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet 
(et non simplement de la vérification de certificat). Et cela, les 
applications comme M365 notamment ne l'apprécient guère.


Un test à réaliser serait de faire une policy aussi de celles pour le 
surf, qui cible les ISDB Microsoft, et sans déchiffrement a minima, et 
sans UTM éventuellement :



config firewall policy
    edit 0
    set name "M365 apps"
    set srcintf "internal"
    set dstintf "virtual-wan-link"
    set action accept
    set srcaddr "all"
    set internet-service enable
    set internet-service-name "Microsoft-Azure" "Microsoft-Web" 
"Microsoft-Other" "Microsoft-Office365" "Microsoft-Skype_Teams"

    set schedule "always"
    set logtraffic disable
    set nat enable
    next
end


gu!llaume


Le 15/05/2024 à 11:59, Florian VANNIER a écrit :

Bonjour à tous,
Je me permets de jeter une bouteille à la mer car on galère pas mal 
sur un cluster de FortiGate 101F.
Pour résumer la situation, cluster sur un site distant géré par un 
FortiManager au niveau du groupe.

Règles communes vers le web. (sur 8 sites distants)
Spécifiquement sur ce site, on rencontre des sites web qui tombent en 
timeout (ou très très lent) ou bien des erreurs de certificat 
(évidemment les clients ont le CA Root interne). Constaté aussi sur 
différents navigateurs. Sur un poste ça fonctionne, l'autre non ...

FRNOG (1).png

FRNOG (2).png


On a donc désactivé au fur et à mesure tous les éléments de sécurité 
(DeepSSL, IPS, AV ...) vers le web.

Mais on rencontre toujours ces problèmes de façon sporadique :(
On a aussi fait des tests afin d'exclure un problème sur un WAN 
spécifique.

Calme plat sur l'utilisation CPU/RAM ...
FRNOG (3).png


Notre intégrateur ainsi que le support Fortinet semblent à cours d'idées.

Avez-vous déjà rencontré ce genre de problème ?
Une idée sur ce qui pourrait causer ce comportement ?

Merci d'avance la liste

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?

2024-05-16 Par sujet lm2 via frnog

>Heureusement que ce n'est pas encore implémenté chez beaucoup 
d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout 

court.



Hmm wait.. ça veut dire que si des flics sonnent à ma porte, je dois préférer 
croire que des (faux) flics (ou faux tech erdf) viennent me rassurer en me 
cambriolant par derrière? Nous sommes censés préférer qu'un dispositif de 
sécurité soit désactivé plutot que le système aussi étanche qu'une passoire?



ça aurait été l'absolue et parfaite opportunité, cette coupure, pour mettre les 
opérateurs au pieds du mur de leur responsabilité : soit traiter manu militari 
le problème des escroqueries téléphoniques, soit couper toutes les comm' ; que 
je sache, en cas d'embrasement des cités, il est bien mis sur la table par les 
gouvernements de couper la 4/5G?



>ce service 
aurait du être porté par un service d’État pour assurer une neutralité 

de traitement et une anonymisation des données.



l'état "responsable" quant aux données, comme pour la souveraineté, n'existe 
plus depuis longtemps, pour ce domaine...

ça me rappelle complèteemnt le fiasco "bloctel" géré en sous main par une 
entité privée..



>Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait 
être "obligatoire", mais la date est continuellement repoussée pour tous 
les problèmes cités précédemment.



Elle est prévue d'être repoussée encore après 2030..



>j'ai le sentiment que ce sujet va être encore plus compliqué 
que ipv6 à être déployé

nous avons le pays le plus compliqué au monde, et c'est pas pour redresser la 
barre..





pour revenir à une réflexion plus posée : pourquoi les opérateurs ne proposent 
pas, lors de l'ouverture de la ligne, par exemple la possibilité d'interdire 
tout appel entrant provenant d'un opérateur qui n'est pas sur le sol français?

ça en filtrerait un paquet.. je trouve ça plus qu'irresponsable de laisser ce 
spoofing encore "dans la nature", dans quelques années ça finira.. au pénal?



From: Jeremy 
To: Daniel ;
   frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Date: 14/05/2024 23:25:40 Europe/Paris

Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal 
autant coté opérateurs que coté APNF.
Pour exemple, pas plus tard que la semaine dernière, l'un des certificat 
racine permettant d'authentifier les appels n'a pas été renouvelé dans 
les temps par les équipes en charge.
Heureusement que ce n'est pas encore implémenté chez beaucoup 
d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout 
court.

Nous sommes également plusieurs opérateurs à avoir émis de sérieux 
doutes quand à la capacité de l'infrastructure à tenir la charge des 
flux lié aux demandes d'authentification de la part des opérateurs, ou 
de l’interopérabilité avec les appels venant de l'étranger.
Je suis également particulièrement agacé que ce dispositif soit porté 
par un groupement d'opérateur (principalement nationaux) qui ont de ce 
fait tout loisir de disposer d'informations, de statistiques et de 
données liés à leur concurrents et à leur volume d'échange d'appels, ou 
autrement dit, leur part de marché. J'ai toujours pensé que ce service 
aurait du être porté par un service d’État pour assurer une neutralité 
de traitement et une anonymisation des données. Évidemment, l'équipe 
dirigeante m'a assuré de cette discrétion mais dans les faits, je n'ai 
reçu aucune garantie technique ou juridique me permettant d'être certain 
que nos flux ne seront pas inspectés en détail. OPA, quand tu nous tiens...

La documentation, l'accompagnement et la définition précise de la 
nouvelle norme MAN semblent être aux abonnés absents puisque nous sommes 
nombreux à être laissé pour compte au bord de la route. Heureusement 
qu'on est accompagné par un infogéreur expérimenté qui s'est déjà amusé 
sur cette technologie, et qui n'a fait que confirmer nos craintes.

Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait 
être "obligatoire", mais la date est continuellement repoussée pour tous 
les problèmes cités précédemment.

A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, 
alors que la norme est obligatoire depuis plusieurs années déjà. Les 
opérateurs sont donc contraint de continuer à laisser passer les appels 
non authentifier au risque de ne plus rien recevoir.

En bref, j'ai le sentiment que ce sujet va être encore plus compliqué 
que ipv6 à être déployé, sans compte le cout (que je considère) 
exorbitant pour adhérer à l'APNF et à la certification MAN, cout qui ne 
trouve, à mon sens, aucune justification vu la qualité de 
l'accompagnement et du déploiement.

Conclusion, soyez patient, et priez.

Jérémy

Le 14/05/2024 à 15:27, Daniel via frnog a écrit :
> Bonjour. Aux dernières nouvelles le MAN devrait être actif 
> définitivement en septembre
>
> Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit :
>&g

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

2024-05-16 Par sujet Daniel via frnog

Bonjour. J'utilise openfortivpn sous Ubuntu 22.04 et cela fonctionne. Je 
ne connais pas le modèle Forti de l'autre extrémité.


Le 16/05/2024 à 10:20, Stéphane Rivière a écrit :

Bonjour à tous,

Puisqu'on parle beaucoup de fortigate sur la liste... un truc en 
attente depuis un an en mode pas urgent... :)


Un client très micromou héberge ses ressources 'on premises' comment 
on dit aujourd'hui. Manifestement, le grand routeur/firewall de 
l'entreprise est un fortigate (pas plus d'info sur la chose). Pour 
effectuer nos maintenances (il a un manchot sous hyper-v pour son soft 
de prod que nous administrons), on se connecte en SSH et WEB et ça roule.


Pour des tests, il a été exprimé le besoin d'un accès à son intranet 
par VPN. On a reçu un forticlient zero trust fabric agent VPN 
(7.0.7.0246 free version pour Linux), semble t-il fondé sur OpenSSL 
(aucune indication de version hormis (C) 1998-2018) quand on regarde 
les crédits. Ça se connecte du premier coup sans râler et c'est tout. 
Bien sûr ça ne marche pas. Bien sûr tous nos autres clients très 
manchots ne posent aucun souci avec OpenSSL/OpenVPN. Et on a plusieurs 
VPN pour la boite également fondés sur OpenSSL/OpenVPN qui gazouillent 
invariablement bien.


D'après quelques amis 'fortigatés', il semble que ce genre de chose 
(routeur/firewall fortigate, forticlient sur GNU/Linux (ici ubuntu 
22.04 LTS) ne tombe pas nécessairement en marche. N'ayant rien trouvé 
de décisif à l'époque dans la KB fortigate, je me demandais si vous 
aviez juste quelques conseils de base à me communiquer afin que je les 
retransmettre au service IT du client, qui est très sympa mais 
clairement en dehors de sa zone de confort (comme nous d'ailleurs, on 
n'a jamais vu un fortigate de notre vie).


Bien à vous tous,


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème FortiGate

2024-05-15 Par sujet Xavier Beaudouin via frnog

Hello,

> A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a
> enlevé ce paramètre.
> 
> On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille
> sur pas mal de sujets/problématiques mais on fait appel aux supports quand
> on en a besoin ...
> 
>> Mais quelle excellente idée de changer la MTU de l’interface sans changer
>> la MSS, c’est un super moyen de s’assurer d’avoir des problèmes :-)
>>

Dans le même genre j'ai eu des soucis avec des gens qui sont restés dans les 
années 
2000, qui filtraient TOUT l'icmp... donc pMTUd : dtc... etc...

Un moment il vas falloir que ça rentre : l'ICMP se rate limite, mais ne se
filtre pas

Xavier


-------
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?

2024-05-14 Par sujet Daniel via frnog

Bonjour. Aux dernières nouvelles le MAN devrait être actif 
définitivement en septembre


Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit :

Bonjour la liste,

Je viens une nouvelle fois, comme probablement nombre d'entre vous, d'être
victime d'un spoofing de mon numéro mobile : une personne m'appelle en me
disant "qui êtes vous, vous venez de m'appeler ?" alors que bien évidemment
je ne l'ai jamais appelé. Cela semble se multiplier ces derniers mois. Un
collègue m'a même fait part d'un appel qu'il a reçu usurpant le numéro d'un
commissariat parisien et, contactée, la police ne pouvait rien faire
d'autre que confirmer le problème !

J'avais en tête depuis une conférence FRnOG il y a quelques temps déjà que
la mise en place des protocoles STIR/SHAKEN et autres joyeusetés était en
cours en France. Savez-vous où en est le déploiement ? Y a-t-il une
échéance pour le filtrage des appels non authentifiés ?

Hervé BRY
Head of Infrastructure
Geneanet (http://www.geneanet.org)

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Spoofing téléphonique : où en est-on ?

2024-05-14 Par sujet Hervé BRY via frnog

Bonjour la liste,

Je viens une nouvelle fois, comme probablement nombre d'entre vous, d'être
victime d'un spoofing de mon numéro mobile : une personne m'appelle en me
disant "qui êtes vous, vous venez de m'appeler ?" alors que bien évidemment
je ne l'ai jamais appelé. Cela semble se multiplier ces derniers mois. Un
collègue m'a même fait part d'un appel qu'il a reçu usurpant le numéro d'un
commissariat parisien et, contactée, la police ne pouvait rien faire
d'autre que confirmer le problème !

J'avais en tête depuis une conférence FRnOG il y a quelques temps déjà que
la mise en place des protocoles STIR/SHAKEN et autres joyeusetés était en
cours en France. Savez-vous où en est le déploiement ? Y a-t-il une
échéance pour le filtrage des appels non authentifiés ?

Hervé BRY
Head of Infrastructure
Geneanet (http://www.geneanet.org)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Re: impots.gouv.fr / AS 34177 (Celeste)

2024-05-14 Par sujet Bertrand FRUCHET via frnog

Bonjour,

C'est effrayant de voir à quel point certains fournisseurs de services ne sont 
pas rigoureux.

Je trouve pas normal qu'un protecteur d'infrastructures fournissant des 
services pour l'Etat se balade avec un certificat expiré.

Faut admettre que certains sites publics ont le même défaut.

Si on avait la bonne idée de faire la même bourde en province, la collectivité 
nous aurait pendue !

A+

Le 14/05/2024 à 11:01, Stephane Bortzmeyer a écrit :
> On Tue, May 14, 2024 at 10:04:42AM +0200,
>   Stephane Bortzmeyer  wrote
>   a message of 37 lines which said:
> 
>> C'était vrai il n'y a pas si longtemps mais les choses changent :
>> culture.gouv.fr
> Évidemment, si on veut troller (ce qui n'arriverait jamais ici, non),
> on peut noter que, si culture.gouv.fr valide,www.culture.gouv.fr  n'y
> arrive pas, en raison de l'alias qui pointe vers un domaine non
> signé. (La sécurité, c'est faire semblant.)
> 
> % digwww.culture.gouv.fr  A
> 
> ; <<>> DiG 9.18.24-1-Debian <<>>www.culture.gouv.fr  A
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38465
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags: do; udp: 1232
> ;; QUESTION SECTION:
> ;www.culture.gouv.fr. IN A
> 
> ;; ANSWER SECTION:
> www.culture.gouv.fr.  600 IN CNAME 
> web-ing01-ext.prd.cloud.culture.fr.225284482311040.app.d.eu-west-2.cloudprotector.com.
> www.culture.gouv.fr.  600 IN RRSIG CNAME 13 4 600 (
>   20240524074123 20240424141852 54016 
> culture.gouv.fr.
>   +UYsVN4p4qFITrRVaQB3exJee0F0PmVjVFTKUfSVB7iq
>   y0UX94KZ7pspDcMWcnz2L2bvQpDn2BvIJN/oIYcdjw== )
> web-ing01-ext.prd.cloud.culture.fr.225284482311040.app.d.eu-west-2.cloudprotector.com.
>  600 IN CNAME 178-33-22-50.lb.d.eu-west-2.cloudprotector.com.
> 178-33-22-50.lb.d.eu-west-2.cloudprotector.com.   600 IN A 178.33.22.50
> 
> ;; Query time: 128 msec
> ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
> ;; WHEN: Tue May 14 10:58:57 CEST 2024
> ;; MSG SIZE  rcvd: 304
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Re: impots.gouv.fr / AS 34177 (Celeste)

2024-05-14 Par sujet Bertrand FRUCHET via frnog

Bonjour,

C'est effrayant de voir à quel point certains fournisseurs de services ne sont 
pas rigoureux.

Je trouve pas normal qu'un protecteur d'infrastructures fournissant des 
services pour l'Etat se balade avec un certificat expiré.

Faut admettre que certains sites publics ont le même défaut.

Si on avait la bonne idée de faire la même bourde en province, la collectivité 
nous aurait pendue !

A+

Le 14/05/2024 à 11:01, Stephane Bortzmeyer a écrit :
> On Tue, May 14, 2024 at 10:04:42AM +0200,
>   Stephane Bortzmeyer  wrote
>   a message of 37 lines which said:
> 
>> C'était vrai il n'y a pas si longtemps mais les choses changent :
>> culture.gouv.fr
> Évidemment, si on veut troller (ce qui n'arriverait jamais ici, non),
> on peut noter que, si culture.gouv.fr valide,www.culture.gouv.fr  n'y
> arrive pas, en raison de l'alias qui pointe vers un domaine non
> signé. (La sécurité, c'est faire semblant.)
> 
> % digwww.culture.gouv.fr  A
> 
> ; <<>> DiG 9.18.24-1-Debian <<>>www.culture.gouv.fr  A
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38465
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags: do; udp: 1232
> ;; QUESTION SECTION:
> ;www.culture.gouv.fr. IN A
> 
> ;; ANSWER SECTION:
> www.culture.gouv.fr.  600 IN CNAME 
> web-ing01-ext.prd.cloud.culture.fr.225284482311040.app.d.eu-west-2.cloudprotector.com.
> www.culture.gouv.fr.  600 IN RRSIG CNAME 13 4 600 (
>   20240524074123 20240424141852 54016 
> culture.gouv.fr.
>   +UYsVN4p4qFITrRVaQB3exJee0F0PmVjVFTKUfSVB7iq
>   y0UX94KZ7pspDcMWcnz2L2bvQpDn2BvIJN/oIYcdjw== )
> web-ing01-ext.prd.cloud.culture.fr.225284482311040.app.d.eu-west-2.cloudprotector.com.
>  600 IN CNAME 178-33-22-50.lb.d.eu-west-2.cloudprotector.com.
> 178-33-22-50.lb.d.eu-west-2.cloudprotector.com.   600 IN A 178.33.22.50
> 
> ;; Query time: 128 msec
> ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
> ;; WHEN: Tue May 14 10:58:57 CEST 2024
> ;; MSG SIZE  rcvd: 304
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

2024-05-14 Par sujet Xavier Beaudouin via frnog

Hello,


> Ok tu gagnes :)
> 
> C’est vrai que ce popup est perturbant.
> Je pense que l’idée est justement qu’avec le cellulaire désactivé, la
> localisation sera impossible (ou du moins imparfaite/obsolète), mais la popup
> est clairement de trop.
> Je viens d’essayer avec Siri, c’est pareil, 3 sec de compte-rebours, puis 
> popup
> :)
> J’avais espéré qu’un appel Siri, qui peut venir d’un mec qui s’est coupé les 2
> bras avec son taille-haie, allait éviter la popup mais non….
> 
> Ceci dit, l’opération consistant à mettre en mode avion, puis de ré-activer
> seulement le WIFI, c’est pas vraiment la manip de base pour la plupart des
> gens.
> Pas que ça soit compliqué, mais je pense que 95% des utilisateurs ne savent 
> pas
> qu’on peut le faire.
> 

C'est un peu idiot, car bon c'est pas comme s'il n'y avais pas de GPS intégré 
dans
le téléphone. Bon peut-être que le proto VoWifi n'as pas l'option "en cas 
d'appel
d'urgence, envoie AUSSI la position GPS"...

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Tempête solaire prévue cette nuit

2024-05-13 Par sujet Vincent Tondellier via frnog

Le vendredi 10 mai 2024, 17 h 31 min 25 s CEST Richard Klein a écrit :
> Il serait intéressant d’avoir des RETEX pour savoir si il y a eu des
> conséquences supposés… 

Assez éloigné de l'informatique, mais c'est (a priori) lié a la tempête solaire 
:

https://tech.slashdot.org/story/24/05/13/1648202/

https://landmarkimp.com/news/news/blog/geomagnetic-storm-affecting-gps-signals--may-2024/

> 
> > Le 10 mai 2024 à 17:18, Stephane Bortzmeyer  a écrit :
> > La précédente alerte de ce type était en 2005.
> > 
> > https://www.swpc.noaa.gov/news/media-advisory-noaa-forecasts-severe-solar-
> > storm-media-availability-scheduled-friday-may-10




-------
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

2024-05-13 Par sujet Alarig Le Lay via frnog

On Sun 12 May 2024 15:52:57 GMT, David Ponzone wrote:
> Mode avion mais WIFI actif: appel vers un numéro normal passe en Wi-Fi
> Direct, mais appel vers le 112 provoque une popup pour demander si on
> veut activer le cellulaire ou passer l’appel en wifi

Nickel ça, de devoir répondre à une popup quand tu veux juste appeler
les pompiers parce que tu es en train de te faire déchiqueter le bras en
taillant ta haie.

-- 
Alarig

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

2024-05-12 Par sujet lm2 via frnog

ce qui m'interpele c'est comment les appels d'urgence sont localisés, à la fois 
pour anticiper dans le traitement de la situation, mais également pour 
transférer l'appel vers le centre local correspondant.. avec "juste du sip" je 
vois pas comment c'est réalisé.. Notamment sur les appareils VoLTE, qui ne sont 
ni des iphone, ni basés sur android (ex librem).



alors que normalement, juste une triangu, ca passait..



From: David Ponzone 
To: Xavier Claude 
Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger
Date: 12/05/2024 15:52:57 Europe/Paris
Cc: FRNOG 

Vérifié à l’instant:

Wifi et cellulaire activés : appel vers le 112 passe en cellulaire

Mode avion mais WIFI actif: appel vers un numéro normal passe en Wi-Fi Direct, 
mais appel vers le 112 provoque une popup pour demander si on veut activer le 
cellulaire ou passer l’appel en wifi

David Ponzone



> Le 12 mai 2024 à 13:15, Xavier Claude  a écrit :
> 
> Je n'en suis pas sûr, parce que justement, l'intérêt du VoWifi, c'est 
> justement de palier à des problèmes de couverture. Mais même sans ça, il y a 
> des numéros d'urgence par pays autre que le 112 qui seront routé directement 
> par l'opérateur local.
> 
>> Le dimanche 12 mai 2024 à 12:46, David Ponzone  a 
>> écrit :
>> 
>> Hmm pas bête mais même connecté en WIFI avec VoWIFI activé, je pense que le 
>> 112 est acheminé en GSM.
>> 
>> David
>> 
>>> Le 12 mai 2024 à 12:25,
>>> 
>>> Xavier Claude
>>> 
>>> cont...@xavierclaude.be a écrit :
>>> 
>>> Est-ce que ce ne serait pas pour pouvoir gérer les cas d'appels d'urgence. 
>>> Si tu es connecté à une antenne on sait où router l'appel d'urgence, si tu 
>>> es à l'étranger, c'est à l'opérateur local de faire ce routage, donc pas 
>>> possible si tu pas par le Wifi.
>>> 
>>> Xavier
>>> 
>>>> Le dimanche 12 mai 2024 à 11:19, David Ponzone david.ponz...@gmail.com a 
>>>> écrit :
>>> 
>>>> Merci pour la confirmation, c’est donc bien une histoire de HLR.
>>>> 
>>>> Ceci dit, je vois pas bien comment concurrencer (sérieusement) un 
>>>> opérateur mobile en se répondant sur le WIFI gratuit dispo dans un pays….
>>>> 
>>>> David
>>>> 
>>>>> Le 12 mai 2024 à 04:09, Maximus . themaxim...@outlook.fr a écrit :
>>>>> 
>>>>> Bonjour,
>>>>> 
>>>>> J’ai un cas pratique qui illustre parfaitement l’explication.
>>>>> 2 mobiles, 1 Orange Caraïbe et 1 Orange France
>>>>> On va faire l’exemple avec 1, mais ça fonctionne aussi avec l’autre dans 
>>>>> le sens inverse.
>>>>> 
>>>>> Je suis aux Antilles avec le téléphone Caraïbes. La VoWiFi fonctionne.
>>>>> Je prends l’avion pour aller en France, mais en passant le téléphone en 
>>>>> mode avion.
>>>>> En arrivant, la VoWiFi fonctionne tant que je n’ai pas activé la partie 
>>>>> mobile.
>>>>> 
>>>>> Dès que j’active la partie mobile, je reçois le SMS qui indique que je 
>>>>> suis en roaming (Orange Caraïbes et France ne sont pas les mêmes 
>>>>> opérateurs) et la VoWiFi se coupe.
>>>>> 
>>>>> Si je reviens dans les Caraïbes, tant que je n’ai pas activé le réseau 
>>>>> mobile pour que l’opérateur détecte que je suis à nouveau connecté 
>>>>> directement sur son réseau, la VoWiFi ne revient pas.
>>>>> 
>>>>> Je pense que c’est fait exprès, pour que les opérateurs ne rentrent pas 
>>>>> en concurrences dans différentes pays. Si tu pouvais faire de la VoWiFi 
>>>>> partout dans le monde, pourquoi irais-tu prendre l’abonnement de 
>>>>> l’opérateur local. Tu prends un abonnement étranger moins cher.
>>>>> Ils veulent que tu utilises la VoWiFi quand tu as un problème de 
>>>>> couverture local. L’opérateur n’est pas/plus capable de te fournir du 
>>>>> mobile, mais tu peux toujours téléphoner avec le WiFi.
>>>>> 
>>>>> Le 11 mai 2024 à 09:28, David Ponzone david.ponz...@gmail.com a écrit :
>>>>> 
>>>>> Au hasard, tu es connecté en 4G à l’opérateur local, donc ton opérateur 
>>>>> français sait sur son HLR que tu n’es pas en France.
>>>>> 
>>>>> David
>>>>> 
>>>>> Le 11 mai 2024 à 15:21, Erwan David 
>>>>> mailto:er...@rail.eu.org> a écrit :
>>>>> 
>>>>> Mon nouvel opérateur me met que je ne peux pas appeler en VoWifi depuis 
>>>>> l'étranger. En pratique comment le détecte-t-il ? En particulier si le 
>>>>> wifi est routé dans un VPN qui sors ensuite avec une IP française ?
>>>>> 
>>>>> (au passage y'a bien que Sosh (Orange ?) qui refuse d'activer 
>>>>> VoWifi/VoLTE sur mon one plus nord...
>>>>> 
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>>>> 
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>>> 
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

2024-05-12 Par sujet lm2 via frnog

justement, free.


From: David Ponzone 
To: l...@netc.fr
Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger
Date: 12/05/2024 16:17:57 Europe/Paris
Cc: clem...@cavadore.net;
   Xavier Claude ;
   FRNOG 

Et donc tu gardes qui ?

Parce qu’officiellement, je ne trouve que Free qui l’autorise (depuis 1 an à 
priori).

David

> Le 12 mai 2024 à 14:04, l...@netc.fr a écrit :
> 
> 
> Au même titre qu'ils auront fait des pieds et des mains pour décourager et 
> ralentir l'usage de solutions par internet (whatsapp, rcs..) pour conserver 
> leur petit bonus d'itinérance à l'étranger ou vers l'étranger.
> 
> personnellement un abonnement dont la vowifi fonctionne très bien en france, 
> et qui ne fonctionne pas de même hors d'europe, je considère cela 
> éliminatoire, c'est résiliation direct une fois de retour au bercail avec 
> boycott de l'opérateur sans autre forme de procès (et le bouche à oreille 
> associé, bien entendu). À un moment faut arrêter de prendre les abonnés pour 
> des vaches, ceux qui continuent ces pratiques se tirent une balle dans le 
> pied.
> 
> c'est justement l'intéret de la vowifi, c'est pas que palier aux défauts de 
> couverture, mais permettre l'usage d'internet comme alternative à 
> l'itinérance partout dans le monde, sans aucun surcout. L'opé qui n'approuve 
> pas ce raisonnement, n'a qu'à mettre la clé sous la porte, personne ne le 
> regrettera.
> 
> 
> il me semble qu'il y a quelques mois c'était le cas une brève période chez 
> orange/sosh, mais ils s'en sont aperçus et c'est normalement pleinement 
> utilisable partout dans le monde (et si c'était pas le cas j'encouragerais 
> volontier aux résiliations massives).
> 
> 
>> From: Clement Cavadore 
>> To: David Ponzone ;
>> Xavier Claude 
>> Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger
>> Date: 12/05/2024 12:56:45 Europe/Paris
>> Cc: FRNOG 
>> 
>> Hello,
>> 
>> Je pense que les opérateurs pourront trouver toutes les excuses du
>> monde pour justifier de ne pas autoriser la VoWifi à l'étranger, mais
>> en vrai, clairement, la problématique de base doit être de protéger
>> leurs intérêts commerciaux. 
>> 
>> 
>> Je dois partir à l'autre bout du monde dans quelques temps (dans une
>> destination non incluse dans le roaming de mon forfait), et clairement,
>> quand tu vois qu'ils te proposent sans sourciller un tarif de 13.31€ le
>> Mo, et 2.90€/min d'appel sortant (1.40€/min d'appel entrant), et je ne
>> parle même pas des tarifs des SMS envoyés/MMS, ils ne vont pas te
>> faciliter la tâche à te dire "c'est le même prix qu'en France si tu es
>> en VoWifi !"
>> 
>> Clément
>> 
>> On Sun, 2024-05-12 at 12:46 +0200, David Ponzone wrote:
>> > Hmm pas bête mais même connecté en WIFI avec VoWIFI activé, je pense
>> > que le 112 est acheminé en GSM.
>> >
>> > David
>> >
>> > > Le 12 mai 2024 à 12:25, Xavier Claude  a
>> > > écrit :
>> > >
>> > > Est-ce que ce ne serait pas pour pouvoir gérer les cas d'appels
>> > > d'urgence. Si tu es connecté à une antenne on sait où router
>> > > l'appel d'urgence, si tu es à l'étranger, c'est à l'opérateur local
>> > > de faire ce routage, donc pas possible si tu pas par le Wifi.
>> > >
>> > > Xavier
>> > >
>> > >
>> > > Le dimanche 12 mai 2024 à 11:19, David Ponzone
>> > >  a écrit :
>> > >
>> > > > Merci pour la confirmation, c’est donc bien une histoire de HLR.
>> > > >
>> > > > Ceci dit, je vois pas bien comment concurrencer (sérieusement) un
>> > > > opérateur mobile en se répondant sur le WIFI gratuit dispo dans
>> > > > un pays….
>> > > >
>> > > > David
>> > > >
>> > > > > Le 12 mai 2024 à 04:09, Maximus . themaxim...@outlook.fr a
>> > > > > écrit :
>> > > > >
>> > > > > Bonjour,
>> > > > >
>> > > > > J’ai un cas pratique qui illustre parfaitement l’explication.
>> > > > > 2 mobiles, 1 Orange Caraïbe et 1 Orange France
>> > > > > On va faire l’exemple avec 1, mais ça fonctionne aussi avec
>> > > > > l’autre dans le sens inverse.
>> > > > >
>> > > > > Je suis aux Antilles avec le téléphone Caraïbes. La VoWiFi
>> > > > > fonctionne.
>> > > > > Je prends l’avion pour aller en France, mais en passant le
>> > > > > téléphone en mode avion.
>> >

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

2024-05-12 Par sujet lm2 via frnog

Au même titre qu'ils auront fait des pieds et des mains pour décourager et 
ralentir l'usage de solutions par internet (whatsapp, rcs..) pour conserver 
leur petit bonus d'itinérance à l'étranger ou vers l'étranger.



personnellement un abonnement dont la vowifi fonctionne très bien en france, et 
qui ne fonctionne pas de même hors d'europe, je considère cela éliminatoire, 
c'est résiliation direct une fois de retour au bercail avec boycott de 
l'opérateur sans autre forme de procès (et le bouche à oreille associé, bien 
entendu). À un moment faut arrêter de prendre les abonnés pour des vaches, ceux 
qui continuent ces pratiques se tirent une balle dans le pied.



c'est justement l'intéret de la vowifi, c'est pas que palier aux défauts de 
couverture, mais permettre l'usage d'internet comme alternative à l'itinérance 
partout dans le monde, sans aucun surcout. L'opé qui n'approuve pas ce 
raisonnement, n'a qu'à mettre la clé sous la porte, personne ne le regrettera.





il me semble qu'il y a quelques mois c'était le cas une brève période chez 
orange/sosh, mais ils s'en sont aperçus et c'est normalement pleinement 
utilisable partout dans le monde (et si c'était pas le cas j'encouragerais 
volontier aux résiliations massives).


From: Clement Cavadore 
To: David Ponzone ;
   Xavier Claude 
Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger
Date: 12/05/2024 12:56:45 Europe/Paris
Cc: FRNOG 

Hello,

Je pense que les opérateurs pourront trouver toutes les excuses du
monde pour justifier de ne pas autoriser la VoWifi à l'étranger, mais
en vrai, clairement, la problématique de base doit être de protéger
leurs intérêts commerciaux. 


Je dois partir à l'autre bout du monde dans quelques temps (dans une
destination non incluse dans le roaming de mon forfait), et clairement,
quand tu vois qu'ils te proposent sans sourciller un tarif de 13.31€ le
Mo, et 2.90€/min d'appel sortant (1.40€/min d'appel entrant), et je ne
parle même pas des tarifs des SMS envoyés/MMS, ils ne vont pas te
faciliter la tâche à te dire "c'est le même prix qu'en France si tu es
en VoWifi !"

Clément

On Sun, 2024-05-12 at 12:46 +0200, David Ponzone wrote:
> Hmm pas bête mais même connecté en WIFI avec VoWIFI activé, je pense
> que le 112 est acheminé en GSM.
> 
> David
> 
> > Le 12 mai 2024 à 12:25, Xavier Claude  a
> > écrit :
> > 
> > Est-ce que ce ne serait pas pour pouvoir gérer les cas d'appels
> > d'urgence. Si tu es connecté à une antenne on sait où router
> > l'appel d'urgence, si tu es à l'étranger, c'est à l'opérateur local
> > de faire ce routage, donc pas possible si tu pas par le Wifi.
> > 
> > Xavier
> > 
> > 
> > Le dimanche 12 mai 2024 à 11:19, David Ponzone
> >  a écrit :
> > 
> > > Merci pour la confirmation, c’est donc bien une histoire de HLR.
> > > 
> > > Ceci dit, je vois pas bien comment concurrencer (sérieusement) un
> > > opérateur mobile en se répondant sur le WIFI gratuit dispo dans
> > > un pays….
> > > 
> > > David
> > > 
> > > > Le 12 mai 2024 à 04:09, Maximus . themaxim...@outlook.fr a
> > > > écrit :
> > > > 
> > > > Bonjour,
> > > > 
> > > > J’ai un cas pratique qui illustre parfaitement l’explication.
> > > > 2 mobiles, 1 Orange Caraïbe et 1 Orange France
> > > > On va faire l’exemple avec 1, mais ça fonctionne aussi avec
> > > > l’autre dans le sens inverse.
> > > > 
> > > > Je suis aux Antilles avec le téléphone Caraïbes. La VoWiFi
> > > > fonctionne.
> > > > Je prends l’avion pour aller en France, mais en passant le
> > > > téléphone en mode avion.
> > > > En arrivant, la VoWiFi fonctionne tant que je n’ai pas activé
> > > > la partie mobile.
> > > > 
> > > > Dès que j’active la partie mobile, je reçois le SMS qui indique
> > > > que je suis en roaming (Orange Caraïbes et France ne sont pas
> > > > les mêmes opérateurs) et la VoWiFi se coupe.
> > > > 
> > > > Si je reviens dans les Caraïbes, tant que je n’ai pas activé le
> > > > réseau mobile pour que l’opérateur détecte que je suis à
> > > > nouveau connecté directement sur son réseau, la VoWiFi ne
> > > > revient pas.
> > > > 
> > > > Je pense que c’est fait exprès, pour que les opérateurs ne
> > > > rentrent pas en concurrences dans différentes pays. Si tu
> > > > pouvais faire de la VoWiFi partout dans le monde, pourquoi
> > > > irais-tu prendre l’abonnement de l’opérateur local. Tu prends
> > > > un abonnement étranger moins cher.
> > > > Ils veulent que tu utilises la VoWiF

Re: [FRnOG] [MISC] JO et Accès datacenter Parisiens

2024-05-12 Par sujet Yann Autissier via frnog

Salut Jérémy,

Tu peux visualiser les zones de restriction des JO sur le site 
https://cartodesjo.fr/
A priori :
Aubervilliers / La Courneuve => circulation interdite

Equinix St Denis => circulation réglementée

TH2 => sans restriction

--
Yann
On mai 12 2024, at 5:11 am, Jeremy  wrote:
> Bonjour les barbus,
>
> En cette heure de geek, je me pose les éternelles questions avant
> d'aller dormir, à savoir quelles emmerdes je vais encore devoir gérer
> dans les prochains mois. Oui je sais, j'essaye d'arrêter.
>
> Donc la question de la nuit est : Est ce que vous avez inventorié les
> zones impossible d'accès pendant les JO, et il y a t-il est datacenters
> concernés dans les zones en question ?
> Je me suis posé la question pour Equinix St Denis, mais je suppose que
> TH2 va être compliqué pour tout accès physique.
> J'ai vu que la préfecture de Paris avait publié une carte récemment,
> mais je me suis également dis que nos chers exploitants avaient réalisé
> une communication pour cet évènement si particulier.
>
> Si vous avez des infos, je suis preneur (et je suppose que d'autres sur
> la liste également).
>
> Merci,
> Jérémy
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Tempête solaire prévue cette nuit

2024-05-11 Par sujet Bruno Tréguier via frnog

Bonjour,

Coïncidence ou pas, hier aux alentours de 12h, en plein air, mon
téléphone était incapable de trouver sa position via GPS (ce qui ne lui
était jamais arrivé auparavant).

Ce qui ne tient pas de la coïncidence en revanche, c'est le black-out
total que l'on observe actuellement sur les bandes HF... C'est mort de
chez mort.

Bonne journée à tous.

Bruno

Le 10/05/2024 à 22:50, Jeremy a écrit :
Pour l'instant, le seul effet de bord que j'observe, c'est une lampe à
détection IR qui ne veut plus s'éteindre, détectant de l'IR alors
qu'il n'y a rien. Elle fonctionne impeccable depuis des années. Et
comme je ne crois pas aux coïncidences...

Par contre, si c'est bien ça la cause, j'ai aucune foutus idée de
comment ça pourrait l'être lol

Non en vrai, à part dans l'espace, et quelques trucs chelou comme ma
lampe, il ne devrait pas y avoir d'impact. La mise à la Terre
systématique des infrastructure règle une grosse partie du problème
(au moins jusqu'à cette intensité tel que vu ce soir).

Jérémy

Le 10/05/2024 à 17:31, Richard Klein a écrit :
Il serait intéressant d’avoir des RETEX pour savoir si il y a eu des
conséquences supposés…

Richard
Envoyé de mon iPhone

Le 10 mai 2024 à 17:18, Stephane Bortzmeyer a
écrit :

La précédente alerte de ce type était en 2005.

https://www.swpc.noaa.gov/news/media-advisory-noaa-forecasts-severe-solar-storm-media-availability-scheduled-friday-may-10

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Achats responsables

2024-05-07 Par sujet netmic28 via frnog

Bonjour à tous,

Dans le cadre d'une thèse professionnelle de fin d'études dont la
thématique traite des achats responsables, je suis à la recherche de
personnes concernées par ces sujets dans le but de mener une
interview d'une petite heure.

Toute topologie de société est la bienvenue, qu'elle soit dans la
tech ou non.

Je vous propose de me contacter directement par mail si vous êtes
ouvert à aider un étudiant.

En vous remerciant :)

François

Si ce message pose un problème ou est hors thématique, veuillez
m'excuser.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Philippe ASTIER via frnog

Bonjour !

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile. 
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.

Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.

> Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :
> 
> Bonjour
> 
> 
> Moi je ferais quand même une capture sur un qui qui marche et un qui marche 
> pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du forti en 
> revanche. Le certif était gros, le paquet isakmp passait pas en 1500 octets, 
> et une maj d'un ios cisco avait décidé qu'il fallait droppé. Alors oui, la 
> phase 1 est sensé fonctionner, mais bon.
> 
> 
> Le 02/05/2024 à 20:53, Philippe ASTIER via frnog a écrit :
>> Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé 
>> ce qui se passe en wifi vs 4G/5G Orange.
>> 
>> Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
>> négociation a l’air vraiment identique.
>> Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un 
>> truc qui m’échappe.
>> 
>> Mais bon sang, qu’est-ce que ça cause ces logs !….
>> 
>> Le 2 mai 2024 à 19:30, David Ponzone  a écrit :
>> 
>> Vincent,
>> 
>> Ca bloque pas chez Orange puisque Philippe dit que la négociation 
>> Phase1/Phase2 semble bien se passer et puis paf!
>> 
>> Philippe,
>> 
>> Tu vas devoir entrer dans le monde du debug Forti :)
>> 
>> David
>> 
>> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a 
>> écrit :
>> 
>> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
>> ...
>> 
>> - sur la partie « split-tuneling », je ne vois pas trop le rapport.
>> 
>> Aucun, c'est la description du bug de David en SSL qui y ressemble
>> 
>> Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
>> n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben 
>> ça juste fonctionne sans aucun souci.
>> Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
>> n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
>> c’est pénible.
>> 
>> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
>> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
>> C'est en tout cas ce que je constate.
>> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
>> 
>> Vincent.
>> 
>> 
>> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
>> écrit :
>> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
>> n’est pas dispo en IPv6.
>> Je ne connais pas fortinet, mais la description ressemble a un problème de 
>> split tunneling.
>> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
>> « A good IPv6 is a disabled one ».
>> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
>> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
>> simple.
>> IPv6, lui, fonctionne correctement.
>> Vincent.
>> ...
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> -- 
> 
> Thierry CHICH
> 
> x...@ac-clermont.fr <mailto:dsi-rese...@ac-clermont.fr>
> 
> <http://www.ac-clermont.fr>
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-04 Par sujet Philou via frnog

Bonjour Toussaint,

On Thu, 2 May 2024 19:34:29 +0200
Toussaint OTTAVI  wrote:

> Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté 
> et/ou les paquets arrivent dans le désordre,  je ne les connais pas 
> vraiment.

- Éviter la fragmentation au niveau IP. Les paquets fragmentés pourraient être 
filtrés en chemin par certains routeurs
- En IKEv2, la fragmentation IKE sera utilisée la plupart du temps dans la 
phase IKE_AUTH, en particulier lors de l'utilisation de certificats SSL
- En IKEv1 (ou v2), cela peut être dû à une clé PSK très/trop longue
- La raison pour laquelle les paquets arrivent dans le désordre, je ne saurais 
dire (autrement que le "U" dans "UDP" ;)

> En revanche, dans mon client VPN logiciel (d'une autre 
> marque, je le rappelle), il y a une option "Restrict the size of the 
> first ISAKMP packet sent". Depuis que cette option existe (je dirais un 
> an ou deux), lorsque le problème se produit, elle permet de le résoudre.

Je ne connais pas le logiciel utilisé mais cela ressemble à l'activation de la 
fragmentation IKE avec une éventuelle détection du PMTU afin d'éviter la 
fragmentation IP.

My 2 cents,

Philou


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Philippe ASTIER via frnog


> Le 3 mai 2024 à 08:54, Dev Mart  a écrit :
> 
> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ?

Salut,

Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et 
joliment vert.

Non, les vrais logs, tu les as en CLI :

diag debug application ike -1
diag debug enable

Et aussi  diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les logs 
des autres tunnels VPN qui ne t’intéressent pas.

Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et 
digérer.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Philippe ASTIER via frnog

> On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote:
>> - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me 
>> troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )
> 
> Pourquoi ?
> Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja 
> suppose etre globalement joignable en v4).

C’est juste une conf historique d’un temps où leur FTTO (et SDSL avant) n’avait 
pas d’IPv6.

Un truc vient de jaillir dans ma tête… J’ai cru voir hier dans les logs que le 
NAT-T n’était pas bien détecté en 4G/5G… 
Comme si quand le client est en IPv6, il ne se voit pas derrière un NAT (ce qui 
d’un point de vue v6 est juste, mais faux en v4…).

Ca irait dans le sens de s’activer l’APN v6.

Je vais me retaper les 3000 lignes de logs et en refaire avec le client… Happy 
Friday.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Philippe ASTIER via frnog

> On Thu, May 2, 2024, at 12:56, David Ponzone wrote:
>> Désactive IPv6 sur le client pour voir.
> 
> ??? En 2024 AD ???

Oui, je suis assez d’accord, et pour mémoire, sur iOS/iPadOS, c’est totalement 
impossible en cellulaire (sauf bidouilles APN, et encore, je vais tâcher de 
tester.

> Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour 
> voir" ?

Oui, ok, pour voir ça me va, ça ne coûte pas grand chose, et ça ne changera 
rien à mes confs.

> Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc 
> qui va plutot (vaguement) dans le sens du ZTNA (et ca implique que l'ensemble 
> des ressources exposes aient des IP publiques - plus simple en v6 qu'en v4)

Comme dit précédemmentt, on devrait implanter d’ici l’été une solution de ZTNA 
(JAMF Private Access), qui établit un tunnel wireguard avec l’infra JAMF, et on 
est en IKEv2 fixe vers l’infra du client. 
Je teste depuis quelques semaines chez moi, ça marche rudement bien, avec 
contrôle d’accès depuis le client (identité, conformité et ce qu’on veut), et 
possible traffic vectoring, DNS privé. Du coup aucune exposition publique de 
l’infra du client.
Je ne voulais pas révolutionner la conf des Forti avant ça.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce 
qui se passe en wifi vs 4G/5G Orange.

Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
négociation a l’air vraiment identique.
Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
qui m’échappe.

Mais bon sang, qu’est-ce que ça cause ces logs !….

Le 2 mai 2024 à 19:30, David Ponzone  a écrit :

Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit :

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le rapport.

Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.

C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.


Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit :
On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.
Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.
Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
« A good IPv6 is a disabled one ».
Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
IPv6, lui, fonctionne correctement.
Vincent.
...
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog


On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le 
rapport. 


Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se 
connecte est sur n’importe quel autre réseau, avec ou sans IPv6, 
ou chez Free / FreePro, ben ça juste fonctionne sans aucun 
souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez 
Forti, mais  il n’y a que chez Orange (offre Orange Pro) que ça 
semble se déclencher, et c’est pénible.


C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.

C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.



Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog 
 a écrit :


On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un 
problème de split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 
est la plupart du temps cassé (CGNAT, DNS64 et autre) pour 
autre chose que du web simple.

IPv6, lui, fonctionne correctement.

Vincent.


 ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Désolé de ne pas être revenus vers vous avant ! Après-midi chargée et 
impossible d’avoir le client pour test avant demain.

Alors, je confirme :

- les clients se connectent en IPSec (IKEv1 ou v2, a priori, ça fait pareil) 
sur un FQDN IPv4-only,
- les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me troller, je 
suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )
- les Forti sont sur la branche 7.2 pour le moment.

- Je n’ai pas encore pu toucher à leurs réglages d’APN, que je peux contrôler 
par un profil de configuration, y compris la version, v4 vs v6. (David, Apple 
Configurator, ça existe encore, mais on n’y touche plus depuis un moment, c’est 
trop basique)
On a les réglages à utiliser chez Orange ? 

- sur la partie « split-tuneling », je ne vois pas trop le rapport. Le tunnel 
s’établit, et tombe quasi immédiatement, uniquement via le réseau data d’Orange 
Pro. Par n’importe quel autre réseau qu’on a pu tester, ça fonctionne. 
- j’avoue que le coup de l’IP à la place du FQDN, ça coûte pas cher à tester, 
mais ça me choque ! 

- IPv6 n’est pas désactivable sur iOS. On peut le désactiver manuellement sur 
un SSID donné en Wifi ou une connexion Ethernet, mais pas de manière générale, 
et pas en cellulaire. 

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.



> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit 
> :
> 
> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
>> n’est pas dispo en IPv6.
> 
> Je ne connais pas fortinet, mais la description ressemble a un problème de 
> split tunneling.
> 
> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
> 
>> « A good IPv6 is a disabled one ».
> 
> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
> du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
> IPv6, lui, fonctionne correctement.
> 
> Vincent.
> 
>> 
>>> Le 2 mai 2024 à 14:46, Vincent Tondellier  a 
>>> écrit :
>>> Bonjour,
>>> On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...
>> 
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog


On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
simple.

IPv6, lui, fonctionne correctement.

Vincent.



Le 2 mai 2024 à 14:46, Vincent Tondellier 
 a écrit :


Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...







---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog


Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:

Désactive IPv6 sur le client pour voir.


C'est le contraire qu'il faut faire. 
En IPv6 ca passe, en IPv4 non (probablement CGNAT ou autre mécanisme de 
transition a la con qui fout la merde).


(Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan 
sur android.

"Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
(avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).

Ca fait de mes souvenirs plus d'un an que c'est comme ça.

Vincent.

On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:

Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites 
distants et des Fortigate. Lignes fibres pour la plupart 
aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc, 
peu importe. J’ai des tunnels IPSec entre les sites distants 
sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. 
SSL, IPSec, clients Forti selon les cas, mais pas eu beaucoup de 
soucis.


Depuis quelques mois (dur à retracer), chez un seul client, 
impossible de monter un tunnel IPSec via iOS ou macOS quand ils 
sont en 4G/5G (sur le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet 
depuis n’importe quel autre opérateur fonctionne sans souci. 
J’ai essayé via Free et FreePro mobiles, aucun problème, le 
tunnel est établie en 150 ms à peine.


Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble 
se passer normalement, puis j’ai quasi dans la foulée un message 
du type «  recv ISAKMP SA delete » dans les logs de debug du 
Forti, et le tunnel ne monte pas.



Comme je viens de manger du log de debug depuis des jours en 
m’arrachant la tête, je me suis dit que soumettre ça à la 
brillante sagacité de la liste pourrait me donner des pistes…

Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire 
même on est en train de mettre une solution ZTNA basée sur 
Wireguard, mais si ça pouvait juste marcher comme chez les 
autres opérateurs, ça me soulagerait des plaintes récurrentes et 
justifiées du client)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

OK, why not, on va faire ça sur le Mac, pas possible sur iOS.

(Chez Free, pas besoin de désactiver IPv6 en tout cas.)


Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le PMTU 
il est sensé être négocié proprement, je n’ai jamais eu à le faire sur aucun 
tunnel VPN.


Ce qui me choque, c’est que le seul fait de passer par Orange Mobile casse le 
fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a changé sa 
configuration.



> Le 2 mai 2024 à 12:56, David Ponzone  a écrit :
> 
> Désactive IPv6 sur le client pour voir.
> 
> David
> 
>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
>> 
>> Salut à tous !
>> 
>> Je rencontre un souci très pénible.
>> 
>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
>> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
>> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les 
>> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>> 
>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>> device ou en partage de connexion).
>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>> 
>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>> pas.
>> 
>> 
>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>> pourrait me donner des pistes…
>> Any idea ?
>> 
>> 
>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>> plaintes récurrentes et justifiées du client)
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Problèmes IPSec sur Orange Mobile