Re: [FRnOG] [TECH] RPKI Server
Plop, Le 17/09/2021 à 12:02, Gary BLUM via frnog a écrit : Je ne comprends pas pourquoi le RIPE (ou quelqu'un d'autre) ne propose pas un serveur RTR sur lequel on peu connecter nos routeurs ? Le RIPE se refuse tout rôle opérationnel bloquant sur le réseau. S'ils proposaient un tel service, il centraliserait une fragilité, et serait une cible d'attaque. RPKI n'a pas vocation à être centralisé, il faut le déployer chacun dans son coin. Mais, quand tu y réfléchis, avec le nombre de services qu'on a de toute façon tous à produire, ça se standardise et automatise assez facilement. On pourrait envisager que des groupements tels que NLNog Ring managent des VMs standardisées pour certains services, mais normalement si on est concernés, on a un devoir de le faire nous même. @+ -- Jérôme Nicolle +33 6 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RPKI Server
Bonjour à tous, https://routinator.docs.nlnetlabs.nl/en/stable/installation.html#system-requirements Routinator utilise environ 400 Mo de RAM: $ cat /proc/7389/status | grep 'VmHWM\|VmRSS' VmHWM: 401136 kB VmRSS: 368380 kB –Alex > On 18 Sep 2021, at 04:55, Michel Py via frnog wrote: > >>> Gary BLUM a écrit : >>> Je me pose une question sur un tweet de @routinator3000 et de Christian >>> Teuschel >>> concernant le RIPE et l'abandon du RIPE NCC RPKI Validator en Java. >>> Maintenant, le RIPE utilise Routinator : https://rpki-validator.ripe.net/ui/ > > Il est bien temps de se débarrasser de ce Java de {censored}. > >>> Je ne comprends pas pourquoi le RIPE (ou quelqu'un d'autre) ne propose pas >>> un serveur RTR sur lequel on peu >>> connecter nos routeurs ? Ça peut être intéressant pour les petites infras >>> et ca éviterais de maintenir une >>> VM juste pour ce petit daemon. J'ai raté un truc essentiel de RPKI pour que >>> personne ne propose ? > > Quand j'ai commencé à regarder RPKI ça me gonflait de faire un RTR rien que > pour regarder, et à l'époque j'en avais trouvé un gratuit accessible à tout > le monde, mais faut faire ça uniquement en lab pas en prod. > > >> Amreesh Phokeer a écrit : >> En fait Routinator vient avec un service RTR, donc il suffit d'installer le >> validateur dans >> ton réseau et d'y connecter tes routers. Evidemment il va falloir maintenir >> une VM pour cela. >> https://rpki.readthedocs.io/en/latest/ops/router-support.html#doc-rpki-rtr > > C'est bon à savoir, merci. > >> Mais l'idée d'utiliser un validateur d'une partie tierce n'est pas trop >> recommandée, imaginons que le >> validateur de RIPE est HS. D'habitude on recommande que les routeurs soient >> configurés pour se connecter >> sur au moins deux validateurs cache, un se trouvant sur ton réseau et >> l'autre ailleurs. > > Je plussoie. > > Honnêtement j'ai pas regardé Routinator et le genre de VM qu'il faut, mais ça > dit quelque part dans la doc que ça peut tourner sur un Raspi, c'est le genre > de VM qui me fait pas trop peur. Si ça permet de se débarrasser de Java, > c'est tout bénef. > https://github.com/NLnetLabs/routinator > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] RPKI Server
>> Gary BLUM a écrit : >> Je me pose une question sur un tweet de @routinator3000 et de Christian >> Teuschel >> concernant le RIPE et l'abandon du RIPE NCC RPKI Validator en Java. >> Maintenant, le RIPE utilise Routinator : https://rpki-validator.ripe.net/ui/ Il est bien temps de se débarrasser de ce Java de {censored}. >> Je ne comprends pas pourquoi le RIPE (ou quelqu'un d'autre) ne propose pas >> un serveur RTR sur lequel on peu >> connecter nos routeurs ? Ça peut être intéressant pour les petites infras et >> ca éviterais de maintenir une >> VM juste pour ce petit daemon. J'ai raté un truc essentiel de RPKI pour que >> personne ne propose ? Quand j'ai commencé à regarder RPKI ça me gonflait de faire un RTR rien que pour regarder, et à l'époque j'en avais trouvé un gratuit accessible à tout le monde, mais faut faire ça uniquement en lab pas en prod. > Amreesh Phokeer a écrit : > En fait Routinator vient avec un service RTR, donc il suffit d'installer le > validateur dans > ton réseau et d'y connecter tes routers. Evidemment il va falloir maintenir > une VM pour cela. > https://rpki.readthedocs.io/en/latest/ops/router-support.html#doc-rpki-rtr C'est bon à savoir, merci. > Mais l'idée d'utiliser un validateur d'une partie tierce n'est pas trop > recommandée, imaginons que le > validateur de RIPE est HS. D'habitude on recommande que les routeurs soient > configurés pour se connecter > sur au moins deux validateurs cache, un se trouvant sur ton réseau et l'autre > ailleurs. Je plussoie. Honnêtement j'ai pas regardé Routinator et le genre de VM qu'il faut, mais ça dit quelque part dans la doc que ça peut tourner sur un Raspi, c'est le genre de VM qui me fait pas trop peur. Si ça permet de se débarrasser de Java, c'est tout bénef. https://github.com/NLnetLabs/routinator Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RPKI Server
On Fri, Sep 17, 2021, at 12:02, Gary BLUM via frnog wrote: > Je ne comprends pas pourquoi le RIPE (ou quelqu'un d'autre) ne propose > pas un serveur RTR sur lequel on peu connecter nos routeurs ? Au pif la charge necessaire pour refaire une synchro en cas de redemarrage (ou de coupure reseau) avec quelques (dizaines de) milliers de clients. > Ça peut être intéressant pour les petites infras et ca éviterais de > maintenir une VM juste pour ce petit daemon. Soit c'est un "petit daemon" et dans ce cas je vois pas le probleme pour faire pousser encore une VM en propre, soit c'est pas si petit, et tu comprends pourquoi il n'y a pas de serveur RTR en libre acces pour tout le monde. AMHA c'est un peu les deux. > J'ai raté un truc essentiel de RPKI pour que personne ne propose ? Le fait qu'etant lie a la securite, tu est suppose de l'avoir en interne et ne pas trop l'externaliser. Ca a ete deja dit, une instance en interne, eventuellement la deuxieme dans ton groupe restraint de copains/partenaires/... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RPKI Server
Bonjour Gary, En fait Routinator vient avec un service RTR, donc il suffit d'installer le validateur dans ton réseau et d'y connecter tes routers. Evidemment il va falloir maintenir une VM pour cela. https://rpki.readthedocs.io/en/latest/ops/router-support.html#doc-rpki-rtr Mais l'idée d'utiliser un validateur d'une partie tierce n'est pas trop recommandée, imaginons que le validateur de RIPE est HS. D'habitude on recommande que les routeurs soient configurés pour se connecter sur au moins deux validateurs cache, un se trouvant sur ton réseau et l'autre ailleurs. Sachant que pour ce connecter sur un validateur externe, il faut utiliser un tunnel SSH. -- Amreesh On Fri, Sep 17, 2021 at 2:04 PM Gary BLUM via frnog wrote: > Bonjour à tous, > Je me pose une question sur un tweet de @routinator3000 et de > Christian Teuschel concernant le RIPE et l'abandon du RIPE NCC RPKI > Validator en Java. > Maintenant, le RIPE utilise Routinator : > https://rpki-validator.ripe.net/ui/ > > Je ne comprends pas pourquoi le RIPE (ou quelqu'un d'autre) ne propose pas > un serveur RTR sur lequel on peu connecter nos routeurs ? > Ça peut être intéressant pour les petites infras et ca éviterais de > maintenir une VM juste pour ce petit daemon. > J'ai raté un truc essentiel de RPKI pour que personne ne propose ? > > > Agréable journée, > > -- > Gary > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Amreesh Phokeer --- Liste de diffusion du FRnOG http://www.frnog.org/