Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[Mickael Hubert]

Bonjour
Nous utilisons opensips pour réaliser le MAN.
Ça fonctionne parfaitement (en staging).
Pour info je pousse en opensource le travail que nous réalisons ici:
https://github.com/Mickaelh51/SIPssert/tree/add-sipp-stir-and-shaken

Sipssert c'est le framework de tests unitaires développé par opensips.

Pour le moment je n'ai poussé que la partie authentification (ajout du
header), car la partie vérification (check du header) est vraiment
différente de la version US. Et oui, les codes retours ne sont pas les
mêmes ;)

Déjà dans auth, mon scénario va demander à opensips de générer l'identity,
et un script python avec pyjwt va check si ce que génère opensips est
cohérent.

Mais d'ici fin de semaine pro je devrais avoir poussé l'ensemble de mes
scénarios de tests (auth + verify).
En gros ça reprend le tableau du MAN sur quand on doit balancer un 4xx,
etc... Et je simule ça dans des scénarios puis le framework teste si tout
est OK.

Tu peux utiliser opensips pour qu'il te balance l'identity dans un 302 de
mémoire (pas testé).

Si tu souhaites plus d'info, avec plaisir.

Bonne soirée


Le mar. 27 juin 2023 à 17:24, Greg  a écrit :

> Oui je confirme et je ne peux que donner une recommandation pour
> telcobridges.
>
> вт, 27 июн. 2023 г. в 17:06, David Ponzone :
>
> > Ouais c’est ça, c’est une solution basée sur ProSBC et ClearIP de
> > Tansnexus, et ClearIP utilise SIP pour prévenir le SBC de ce qu’il faut
> > faire: 302 Divert avec Identity/503 Allow/603 Block.
> > C’est pas non plus ce que je préfère comme architecture, mais c’est pas
> > complètement con.
> >
> > En tout cas, les gens de TelcoBridges que j’avais rencontrés sont super
> > sympas et accessibles donc tant qu’à filer des thunes pour une solution
> > commerciale, autant que ça soit eux.
> >
> >
> > > Le 27 juin 2023 à 11:23, Greg  a écrit :
> > >
> > > Bonjour, nous avons réalisé notre projet en mode WebService API avec le
> > > SBC, le SBC nous communique l'information pour la signature de l'appel
> ou
> > > Identity pour la vérification de signature, ensuite notre backbone
> > effectue
> > > le travail demandé et communique les résultats au SBC.
> > > Le backbone c'est un process REST > NodeJs en docker conçu de
> fonctionner
> > > sans la base des données pour plus de fiabilité, du coup il est
> possible
> > de
> > > multiplier les instances pour la haute disponibilité.
> > > Il ne faut pas oublier également toute la partie backend reporting /
> > > renouvellement, gestion des certificats, et dépose de reporting en
> sftp.
> > > Notre constructeur c'est Telcobridges, pour info David Ponzone
> > Telcobridges
> > > ont travaillé avec la signature via SIP uniquement et non via
> > > Rest/webservice pour la zone US / CANADA, puisque nous étions déjà avec
> > > telcobridges sur la partie sip nous avons travaillé avec eu pour
> > développer
> > > cette partie.
> > >
> > >
> > > вт, 27 июн. 2023 г. в 09:57, Arnaud Willem :
> > >
> > >> Salut Teddy,
> > >>
> > >> La partie STI-AS et -VS répond déjà à une spec type “REST”
> > (ATIS-182,
> > >> parmi d'autres), ton SBC peut donc intercepter le header Identity et
> le
> > >> passer au STI-VS pour validation, de même pour générer ton token avec
> le
> > >> STI-AS, c’est (comme le dit David dans son mail) le format retenu par
> > une
> > >> majorité de presta SaaS pour cela.
> > >>
> > >> Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part
> > >> `libstirshaken`, mais je suis aussi preneur de retours des uns et des
> > >> autres.
> > >>
> > >> En commercial, chaque éditeur y va maintenant de son offre intégrée /
> > son
> > >> partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour les
> > >> opérateurs de transit voix.
> > >>
> > >> My two cents,
> > >>
> > >> Arnaud
> > >>
> > >>
> > >>> On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
> > >>>
> > >>> Hello,
> > >>>
> > >>> Le sujet MAN est devenu un sujet assez prioritaire.
> > >>> On prend le train un peu en marche et on se pose quelques questions.
> > >>> Entre les différentes solutions commerciales et la volonté
> > >> d'internaliser ce processus en interne.
> > >>>
> > >>> Le MAN consistant à intégrer dans la trame SIP un header avec une
> > >> signature en tant qu'appelant et à vérifier cette signature en tant
> que
> > >> destinataire.
> > >>> Je me pose donc la question suivante :
> > >>>
> > >>> Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC
> > avec
> > >> un service qui tournerai localement, qui ferait les manipulations
> > >> nécessaires pour renvoyer simplement les bons headers dans la trame
> SIP
> > ?
> > >>> Nous le faisons déjà avec nos SBC pour faire tout un tas de
> > >> vérifications sur les numéros appelant, appelés et intégrer des custom
> > >> header notamment pour la facturation par exemple.
> > >>>
> > >>> Ou alors faut-il vraiment s'interconnecter avec des solutions
> > >> "certifiées" ou existe-t-il des solutions opensource ?
> > >>>
> > >>> Merci d'avance 
> > >>>
> > >>>
> 

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[Richard Klein]

Bonsoir

Quelqu'un a testé ?
https://wiki.asterisk.org/wiki/display/AST/Asterisk+18+Configuration_res_stir_shaken

Richard

Le mar. 27 juin 2023 à 11:23, Greg  a écrit :

> Bonjour, nous avons réalisé notre projet en mode WebService API avec le
> SBC, le SBC nous communique l'information pour la signature de l'appel ou
> Identity pour la vérification de signature, ensuite notre backbone effectue
> le travail demandé et communique les résultats au SBC.
> Le backbone c'est un process REST > NodeJs en docker conçu de fonctionner
> sans la base des données pour plus de fiabilité, du coup il est possible de
> multiplier les instances pour la haute disponibilité.
> Il ne faut pas oublier également toute la partie backend reporting /
> renouvellement, gestion des certificats, et dépose de reporting en sftp.
> Notre constructeur c'est Telcobridges, pour info David Ponzone Telcobridges
> ont travaillé avec la signature via SIP uniquement et non via
> Rest/webservice pour la zone US / CANADA, puisque nous étions déjà avec
> telcobridges sur la partie sip nous avons travaillé avec eu pour développer
> cette partie.
>
>
> вт, 27 июн. 2023 г. в 09:57, Arnaud Willem :
>
> > Salut Teddy,
> >
> > La partie STI-AS et -VS répond déjà à une spec type “REST” (ATIS-182,
> > parmi d'autres), ton SBC peut donc intercepter le header Identity et le
> > passer au STI-VS pour validation, de même pour générer ton token avec le
> > STI-AS, c’est (comme le dit David dans son mail) le format retenu par une
> > majorité de presta SaaS pour cela.
> >
> > Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part
> > `libstirshaken`, mais je suis aussi preneur de retours des uns et des
> > autres.
> >
> > En commercial, chaque éditeur y va maintenant de son offre intégrée / son
> > partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour les
> > opérateurs de transit voix.
> >
> > My two cents,
> >
> > Arnaud
> >
> >
> > > On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
> > >
> > > Hello,
> > >
> > > Le sujet MAN est devenu un sujet assez prioritaire.
> > > On prend le train un peu en marche et on se pose quelques questions.
> > > Entre les différentes solutions commerciales et la volonté
> > d'internaliser ce processus en interne.
> > >
> > > Le MAN consistant à intégrer dans la trame SIP un header avec une
> > signature en tant qu'appelant et à vérifier cette signature en tant que
> > destinataire.
> > > Je me pose donc la question suivante :
> > >
> > > Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC
> avec
> > un service qui tournerai localement, qui ferait les manipulations
> > nécessaires pour renvoyer simplement les bons headers dans la trame SIP ?
> > > Nous le faisons déjà avec nos SBC pour faire tout un tas de
> > vérifications sur les numéros appelant, appelés et intégrer des custom
> > header notamment pour la facturation par exemple.
> > >
> > > Ou alors faut-il vraiment s'interconnecter avec des solutions
> > "certifiées" ou existe-t-il des solutions opensource ?
> > >
> > > Merci d'avance 
> > >
> > >
> > > Cordialement,
> > >
> > > T.DOURE
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> > Arnaud WILLEM
> >
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[Mickael Hubert]

Pardon, ma PR officielle est ici:
https://github.com/OpenSIPS/sipssert-opensips-tests/pull/2

Tu as le projet sipssert en lui-même, ou j'ai aussi poussé un PR pour la
partie vérification.
Et tu as le projet avec les scénarios de bases réalisés par opensips
sipssert-opensips-testsw avec ma PR qui ajoute les scénarios pour
l'authentification et d'ici peu les scénarios pour la vérification comme
expliqué dans mon précédent email.

Bonne soirée

Le mar. 27 juin 2023 à 21:01, Mickael Hubert  a écrit :

> Bonjour
> Nous utilisons opensips pour réaliser le MAN.
> Ça fonctionne parfaitement (en staging).
> Pour info je pousse en opensource le travail que nous réalisons ici:
> https://github.com/Mickaelh51/SIPssert/tree/add-sipp-stir-and-shaken
>
> Sipssert c'est le framework de tests unitaires développé par opensips.
>
> Pour le moment je n'ai poussé que la partie authentification (ajout du
> header), car la partie vérification (check du header) est vraiment
> différente de la version US. Et oui, les codes retours ne sont pas les
> mêmes ;)
>
> Déjà dans auth, mon scénario va demander à opensips de générer l'identity,
> et un script python avec pyjwt va check si ce que génère opensips est
> cohérent.
>
> Mais d'ici fin de semaine pro je devrais avoir poussé l'ensemble de mes
> scénarios de tests (auth + verify).
> En gros ça reprend le tableau du MAN sur quand on doit balancer un 4xx,
> etc... Et je simule ça dans des scénarios puis le framework teste si tout
> est OK.
>
> Tu peux utiliser opensips pour qu'il te balance l'identity dans un 302 de
> mémoire (pas testé).
>
> Si tu souhaites plus d'info, avec plaisir.
>
> Bonne soirée
>
>
> Le mar. 27 juin 2023 à 17:24, Greg  a écrit :
>
>> Oui je confirme et je ne peux que donner une recommandation pour
>> telcobridges.
>>
>> вт, 27 июн. 2023 г. в 17:06, David Ponzone :
>>
>> > Ouais c’est ça, c’est une solution basée sur ProSBC et ClearIP de
>> > Tansnexus, et ClearIP utilise SIP pour prévenir le SBC de ce qu’il faut
>> > faire: 302 Divert avec Identity/503 Allow/603 Block.
>> > C’est pas non plus ce que je préfère comme architecture, mais c’est pas
>> > complètement con.
>> >
>> > En tout cas, les gens de TelcoBridges que j’avais rencontrés sont super
>> > sympas et accessibles donc tant qu’à filer des thunes pour une solution
>> > commerciale, autant que ça soit eux.
>> >
>> >
>> > > Le 27 juin 2023 à 11:23, Greg  a écrit :
>> > >
>> > > Bonjour, nous avons réalisé notre projet en mode WebService API avec
>> le
>> > > SBC, le SBC nous communique l'information pour la signature de
>> l'appel ou
>> > > Identity pour la vérification de signature, ensuite notre backbone
>> > effectue
>> > > le travail demandé et communique les résultats au SBC.
>> > > Le backbone c'est un process REST > NodeJs en docker conçu de
>> fonctionner
>> > > sans la base des données pour plus de fiabilité, du coup il est
>> possible
>> > de
>> > > multiplier les instances pour la haute disponibilité.
>> > > Il ne faut pas oublier également toute la partie backend reporting /
>> > > renouvellement, gestion des certificats, et dépose de reporting en
>> sftp.
>> > > Notre constructeur c'est Telcobridges, pour info David Ponzone
>> > Telcobridges
>> > > ont travaillé avec la signature via SIP uniquement et non via
>> > > Rest/webservice pour la zone US / CANADA, puisque nous étions déjà
>> avec
>> > > telcobridges sur la partie sip nous avons travaillé avec eu pour
>> > développer
>> > > cette partie.
>> > >
>> > >
>> > > вт, 27 июн. 2023 г. в 09:57, Arnaud Willem :
>> > >
>> > >> Salut Teddy,
>> > >>
>> > >> La partie STI-AS et -VS répond déjà à une spec type “REST”
>> > (ATIS-182,
>> > >> parmi d'autres), ton SBC peut donc intercepter le header Identity et
>> le
>> > >> passer au STI-VS pour validation, de même pour générer ton token
>> avec le
>> > >> STI-AS, c’est (comme le dit David dans son mail) le format retenu par
>> > une
>> > >> majorité de presta SaaS pour cela.
>> > >>
>> > >> Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part
>> > >> `libstirshaken`, mais je suis aussi preneur de retours des uns et des
>> > >> autres.
>> > >>
>> > >> En commercial, chaque éditeur y va maintenant de son offre intégrée /
>> > son
>> > >> partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour
>> les
>> > >> opérateurs de transit voix.
>> > >>
>> > >> My two cents,
>> > >>
>> > >> Arnaud
>> > >>
>> > >>
>> > >>> On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
>> > >>>
>> > >>> Hello,
>> > >>>
>> > >>> Le sujet MAN est devenu un sujet assez prioritaire.
>> > >>> On prend le train un peu en marche et on se pose quelques questions.
>> > >>> Entre les différentes solutions commerciales et la volonté
>> > >> d'internaliser ce processus en interne.
>> > >>>
>> > >>> Le MAN consistant à intégrer dans la trame SIP un header avec une
>> > >> signature en tant qu'appelant et à vérifier cette signature en tant
>> que
>> > >> destinataire.
>> > >>> Je me pose donc la question 

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Denis Fondras]

Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :
> 
> Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6,
> je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler
> les attaques en IPv6 aussi.
> 

Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras repoussé
l'échéance au maximum. Tu te prendras des murs sur de la prod alors que tu
aurais pu anticiper à l'époque (c'était hier en fait) où il n'y avait aucune
criticité à avoir de l'IPv6 fonctionnel, tester tes règles de filtrage et tout
casser sans impacter tes clients.

Bon courage.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] VOIP MAN Stir/Shaken

[Teddy DOURE]

Hello,

Le sujet MAN est devenu un sujet assez prioritaire.
On prend le train un peu en marche et on se pose quelques questions.
Entre les différentes solutions commerciales et la volonté d'internaliser ce 
processus en interne.

Le MAN consistant à intégrer dans la trame SIP un header avec une signature en 
tant qu'appelant et à vérifier cette signature en tant que destinataire.
Je me pose donc la question suivante :

Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC avec un 
service qui tournerai localement, qui ferait les manipulations nécessaires pour 
renvoyer simplement les bons headers dans la trame SIP ?
Nous le faisons déjà avec nos SBC pour faire tout un tas de vérifications sur 
les numéros appelant, appelés et intégrer des custom header notamment pour la 
facturation par exemple.

Ou alors faut-il vraiment s'interconnecter avec des solutions "certifiées" ou 
existe-t-il des solutions opensource ?

Merci d'avance 


Cordialement,

T.DOURE

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 07:37:58PM +0200,
 Laurent Barme <5...@barme.fr> wrote 
 a message of 29 lines which said:

> Etre simplement confronté aux conséquences de la mise en œuvre de
> l'IPv6, en tant qu'administrateur de serveurs que l'on défend contre
> les pirates par exemple.

C'est vrai, je ne gère aucun serveur, et mon employeur non
plus. J'avoue. Et il n'y a jamais aucun pirate qui passe, c'est vrai
aussi.

> Et je me trompe aussi sans doute sur l'attention que Stephane porte
> sur les difficultés de mises en œuvre de l'IPv6…

IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
souvient que des bons moments.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
> ai pas besoin, je m'en fous »
Selon l'éthique objectiviste, l’égoïsme peut être une vertu.

> D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
> comme Google, sont toutes en faillite.

Coming-out : on n'est pas google, ni netflix, ni free. Ces gens ont un
intérêt à utiliser ipv6, et ils le font ! Quoi de plus normal ?

>> Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
>> libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans
> Yakafokon. J'attends la spec'
> https://www.bortzmeyer.org/ipv6-compatibilite.html

Tu sais très bien de quoi je veux parler :)

Après, je comprends très bien ton point de vue, que je respecte. Mais
est-il utile d'user de ces stratagèmes sémantiques ?

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Petit pas vers un cloud EU ?

[soltani]

bonjour ,

recycler/nettoyer des responsables de graves echecs francais dans 
d'autres boites et racheter les boites qui ont echouees ... en gros , 
"mettre des tenues camouflages" , c'est une methodologie tres francaise 
et qui a ete applique a beaucoup d'industries . ni un pas ni une 
nouveaute , une "habitude" plutot


bonne journee ,

IS

*From:* David Ponzone [mailto:david.ponz...@gmail.com]
*Sent:* Tuesday, June 27, 2023 at 7:32 AM
*To:* frnog-biz 
*Subject:* [FRnOG] [BIZ] Petit pas vers un cloud EU ?


Fzmpx3nXsAEQWDX.jpg
Suite au POC de (new) Qwant et vos feedbacks, avec Miro, mon frère, et 
la Caisse des Dépôts, nous avons décidé de finaliser la création de 
Synfonium qui va maintenant racheter 100% de Qwant et 100% fe Shadow. 
Synfonium est détenue à 75% par Jezby Venture & Deep Code et à 25% par…
 
	
Octave Klaba sur Twitter 

twitter.com 










---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[David Ponzone]

Ton idée est tout à fait viable puisque c’est un des principes de 
fonctionnement (SaaS) choisi par certaines solutions commerciales (Transnexus 
aux US, Ribbon a une offre similaire, TelcoBridges aussi je crois).

Après, pour l’opensource, je connais que libstirshaken qui vient de la 
communauté FreeSwitch/SignalWire.
Je suppose que c’est adaptable à la version FFT mais va falloir sortir du code 
en C :)

> Le 27 juin 2023 à 09:25, Teddy DOURE  a écrit :
> 
> Hello,
> 
> Le sujet MAN est devenu un sujet assez prioritaire.
> On prend le train un peu en marche et on se pose quelques questions.
> Entre les différentes solutions commerciales et la volonté d'internaliser ce 
> processus en interne.
> 
> Le MAN consistant à intégrer dans la trame SIP un header avec une signature 
> en tant qu'appelant et à vérifier cette signature en tant que destinataire.
> Je me pose donc la question suivante :
> 
> Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC avec un 
> service qui tournerai localement, qui ferait les manipulations nécessaires 
> pour renvoyer simplement les bons headers dans la trame SIP ?
> Nous le faisons déjà avec nos SBC pour faire tout un tas de vérifications sur 
> les numéros appelant, appelés et intégrer des custom header notamment pour la 
> facturation par exemple.
> 
> Ou alors faut-il vraiment s'interconnecter avec des solutions "certifiées" ou 
> existe-t-il des solutions opensource ?
> 
> Merci d'avance 
> 
> 
> Cordialement,
> 
> T.DOURE
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 09:04:52PM +0200,
 Mathieu Poussin  wrote 
 a message of 44 lines which said:

> > "Comme Orange et Bouygues privilégient manifestement l'IPv6 quand
> > il y en a une déclarée…"
> 
> C'est pas comme ca que ca marche.

En effet (c'était même incroyable comme analyse technique, sur une
liste d'opérateurs réseau) mais :

> si ton OS détecte que tu as une stack IPv6 fonctionnelle et que ton
> DNS résout IPv6 (et pour http, que ton serveur répond en IPv6, si
> non ca fallback en IPv4 au bout de quelques secondes), alors c'est
> toujours IPv6 qui sera utilisé, même si ca résout aussi en IPv4(IPv6
> est toujours prioritaire sur IPv4).

Ce n'est pas vrai non plus. Cela dépend de la configuration du système
d'exploitation (et, parfois, de l'application). La configuration par
défaut est souvent de privilégier IPv6 mais c'est modifiable (même sur
Windows !)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Toussaint OTTAVI]

Le 26/06/2023 à 16:37, Stéphane Rivière a écrit :

à la place d'une guerre qui a commencé il y a 30 ans et dont les accords
de paix ne sont pas encore effectifs.


S'il y a en effet une caractéristique indiscutable d'IPv6, c'est sa 
capacité trollesque rarement atteinte :-D Sauf peut-être par les 
chamailleries Windows-Linux :-D On se croirait presque sur une tribune 
politique, avec les "pour", les "contre", chacun essayant de faire 
valoir sa position avec des arguments parfois contestables, et souvent 
irréconciliables...


La question de fond qui me vient à l'esprit est : "Pourquoi IPv6 ne 
parvient-il pas à s'imposer naturellement, de par ses qualités 
intrinsèques ?"


Est-que çà a trollé comme çà lorsque IPv4 a pris progressivement le pas 
sur les IPX, Netbeui et autres joyeusetés ? Je n'en ai pas souvenir !


En ce qui me concerne, je passerai probablement à IPv6 quand les deux 
conditions seront réunies : cela résoudra un de mes problèmes, et 
j'aurai le temps ;-) Pour l'instant, ce n'est pas le cas ! C'est juste 
un ressenti personnel, et je n'entends l'imposer à personne ! Je n'ai 
pas fait une grande école, et je ne suis pas une multinationale 
d'Internet, donc, j'avoue assez humblement que l'intérêt existentiel de 
migrer vers IPv6, tout comme celui d'empêcher les vaches de flatuler 
pour sauver l'humanité, ne m'apparaît pas. Et ensuite, je suis Corse, 
donc je suis génétiquement flemmard :-) On verra çà après la sieste 
sieste :-D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 09:15:35PM +0200,
 Laurent Barme <5...@barme.fr> wrote 
 a message of 40 lines which said:

> Sauf qu'il y a 2^64 IPv6/64 et seulement 2^32 IPv4 et je doute qu'un
> pirate se contente d'un seul IPv6/64 (un et pas une car il s'agit
> d'un subnet) : il y a plus de potentiel d'attaque en IPv6 qu'en
> IPv4.

C'est d'ailleurs pour cela que les organisations qui utilisent IPv6 en
prod depuis 15, 10 ou 5 ans (au lieu de chouiner sur FRnog), ont
*beaucoup* moins d'attaques en IPv6 qu'en IPv4.

Non, en vrai, les pirates sont aussi flemmards et aussi routiniers
qu'une bonne partie des admins réseau. Ils continuent à utiliser les
vieux trucs qui marchent pour eux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Xavier Beaudouin via frnog]

Hello Stéphane,

>> Et je me trompe aussi sans doute sur l'attention que Stephane porte
>> sur les difficultés de mises en œuvre de l'IPv6…
> 
> IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
> prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
> souvient que des bons moments.

Difficultés ? Où ça ? D'ajouter une ip a un serveur et une gateway ?
De laisser passer un peu d'ICMP ? (qu'on devrai faire aussi en IPv4 
pour le pMTUd ?).

De lire des docs ? Voire même mettre un  dans une zone DNS ?

Alors en 2000 lors de l'expé 6bone, j'veux bien que ça soit difficile
mais en 2023 n'être pas foutus capable de sortir un service en IPv6 
natif et se casser les pieds a déployer NAT, PAT, etc...

Alors oui (là aussi je troll) on ne trouve peu de documentations pour
faire de l'IPv6 avec docker, mais il faudrait faire le métier de 
sysadmin : gérer l'infra et la déployer correctement. Pas juste un
click sur une interface et laisser le trucs se débrouiller tout seul.

En 2023, avoir au moins :
- des DNS dual stack
- un service web dual stack (coucou les impots...)
- au moins UN mx dual stack
- au moins un relay smtp dual stack

C'est le minimum. Que vos backends soient en IPv4 ce n'est pas le 
problème, les front doivent être en dual.

Aller je laisse trolldi en avance continuer...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[Arnaud Willem]

Salut Teddy,

La partie STI-AS et -VS répond déjà à une spec type “REST” (ATIS-182, parmi 
d'autres), ton SBC peut donc intercepter le header Identity et le passer au 
STI-VS pour validation, de même pour générer ton token avec le STI-AS, c’est 
(comme le dit David dans son mail) le format retenu par une majorité de presta 
SaaS pour cela.

Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part 
`libstirshaken`, mais je suis aussi preneur de retours des uns et des autres.

En commercial, chaque éditeur y va maintenant de son offre intégrée / son 
partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour les 
opérateurs de transit voix.

My two cents,

Arnaud


> On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
> 
> Hello,
> 
> Le sujet MAN est devenu un sujet assez prioritaire.
> On prend le train un peu en marche et on se pose quelques questions.
> Entre les différentes solutions commerciales et la volonté d'internaliser ce 
> processus en interne.
> 
> Le MAN consistant à intégrer dans la trame SIP un header avec une signature 
> en tant qu'appelant et à vérifier cette signature en tant que destinataire.
> Je me pose donc la question suivante :
> 
> Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC avec un 
> service qui tournerai localement, qui ferait les manipulations nécessaires 
> pour renvoyer simplement les bons headers dans la trame SIP ?
> Nous le faisons déjà avec nos SBC pour faire tout un tas de vérifications sur 
> les numéros appelant, appelés et intégrer des custom header notamment pour la 
> facturation par exemple.
> 
> Ou alors faut-il vraiment s'interconnecter avec des solutions "certifiées" ou 
> existe-t-il des solutions opensource ?
> 
> Merci d'avance 
> 
> 
> Cordialement,
> 
> T.DOURE
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

Arnaud WILLEM




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[Greg]

Bonjour, nous avons réalisé notre projet en mode WebService API avec le
SBC, le SBC nous communique l'information pour la signature de l'appel ou
Identity pour la vérification de signature, ensuite notre backbone effectue
le travail demandé et communique les résultats au SBC.
Le backbone c'est un process REST > NodeJs en docker conçu de fonctionner
sans la base des données pour plus de fiabilité, du coup il est possible de
multiplier les instances pour la haute disponibilité.
Il ne faut pas oublier également toute la partie backend reporting /
renouvellement, gestion des certificats, et dépose de reporting en sftp.
Notre constructeur c'est Telcobridges, pour info David Ponzone Telcobridges
ont travaillé avec la signature via SIP uniquement et non via
Rest/webservice pour la zone US / CANADA, puisque nous étions déjà avec
telcobridges sur la partie sip nous avons travaillé avec eu pour développer
cette partie.


вт, 27 июн. 2023 г. в 09:57, Arnaud Willem :

> Salut Teddy,
>
> La partie STI-AS et -VS répond déjà à une spec type “REST” (ATIS-182,
> parmi d'autres), ton SBC peut donc intercepter le header Identity et le
> passer au STI-VS pour validation, de même pour générer ton token avec le
> STI-AS, c’est (comme le dit David dans son mail) le format retenu par une
> majorité de presta SaaS pour cela.
>
> Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part
> `libstirshaken`, mais je suis aussi preneur de retours des uns et des
> autres.
>
> En commercial, chaque éditeur y va maintenant de son offre intégrée / son
> partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour les
> opérateurs de transit voix.
>
> My two cents,
>
> Arnaud
>
>
> > On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
> >
> > Hello,
> >
> > Le sujet MAN est devenu un sujet assez prioritaire.
> > On prend le train un peu en marche et on se pose quelques questions.
> > Entre les différentes solutions commerciales et la volonté
> d'internaliser ce processus en interne.
> >
> > Le MAN consistant à intégrer dans la trame SIP un header avec une
> signature en tant qu'appelant et à vérifier cette signature en tant que
> destinataire.
> > Je me pose donc la question suivante :
> >
> > Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC avec
> un service qui tournerai localement, qui ferait les manipulations
> nécessaires pour renvoyer simplement les bons headers dans la trame SIP ?
> > Nous le faisons déjà avec nos SBC pour faire tout un tas de
> vérifications sur les numéros appelant, appelés et intégrer des custom
> header notamment pour la facturation par exemple.
> >
> > Ou alors faut-il vraiment s'interconnecter avec des solutions
> "certifiées" ou existe-t-il des solutions opensource ?
> >
> > Merci d'avance 
> >
> >
> > Cordialement,
> >
> > T.DOURE
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> Arnaud WILLEM
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Petit pas vers un cloud EU ?

[Matic Vari]

Bonjour,

Un peu tôt pour troller mais avec ou sans Eric Léandri?

Ah non, il a été écarté...

Bonne semaine,

Le 27/06/2023, David Ponzone a écrit :
> [image: Fzmpx3nXsAEQWDX.jpg]
> Suite au POC de (new) Qwant et vos feedbacks, avec Miro, mon frère, et la
> Caisse des Dépôts, nous avons décidé de finaliser la création de Synfonium
> qui va maintenant racheter 100% de Qwant et 100% fe Shadow. Synfonium est
> détenue à 75% par Jezby Venture & Deep Code et à 25% par…
> [image]
> Octave Klaba sur Twitter
> twitter.com
>
>
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Rostan Nawer KEZAL via frnog]

Hello,

Je pop de nulle part parce que c'est exactement le sujet sur lequel je
travaille là maintenant tout de suite.
En terme de complexité certaines infra peuvent avoir l'air simple, surtout
lorsqu'on parle de webapp.
Je pense que c'est un raccourci qui peut être dangereux, beaucoup d'éditeur
ont migré leurs compute sur du public cloud avec des infrastructure as code
complexe et des relations entres les espaces de ces providers complexes
également.
Avoir un front dual-stack ça veut dire savoir gérer de la v6 dans le
backend et là, on demande a des dev de comprendre des problématiques
network.

Peut-être que nous, jean des réseaux, on a raté cette transmission de
compétences aux dev ?

Conclusion de ce que je veux dire : Si la v6 est absente de votre roadmap
il y a un problème, si vous l'avez prévu et que c'est long, c'est normal.



Je retourne écrire mes machins d'ipv6 moi, bonne journée,
++

Le mar. 27 juin 2023 à 10:57, Xavier Beaudouin via frnog 
a écrit :

> Hello Stéphane,
>
> >> Et je me trompe aussi sans doute sur l'attention que Stephane porte
> >> sur les difficultés de mises en œuvre de l'IPv6…
> >
> > IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
> > prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
> > souvient que des bons moments.
>
> Difficultés ? Où ça ? D'ajouter une ip a un serveur et une gateway ?
> De laisser passer un peu d'ICMP ? (qu'on devrai faire aussi en IPv4
> pour le pMTUd ?).
>
> De lire des docs ? Voire même mettre un  dans une zone DNS ?
>
> Alors en 2000 lors de l'expé 6bone, j'veux bien que ça soit difficile
> mais en 2023 n'être pas foutus capable de sortir un service en IPv6
> natif et se casser les pieds a déployer NAT, PAT, etc...
>
> Alors oui (là aussi je troll) on ne trouve peu de documentations pour
> faire de l'IPv6 avec docker, mais il faudrait faire le métier de
> sysadmin : gérer l'infra et la déployer correctement. Pas juste un
> click sur une interface et laisser le trucs se débrouiller tout seul.
>
> En 2023, avoir au moins :
> - des DNS dual stack
> - un service web dual stack (coucou les impots...)
> - au moins UN mx dual stack
> - au moins un relay smtp dual stack
>
> C'est le minimum. Que vos backends soient en IPv4 ce n'est pas le
> problème, les front doivent être en dual.
>
> Aller je laisse trolldi en avance continuer...
>
> Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
--

Rostan KEZAL

Network Engineer

| rostan.ke...@adevinta.com  
| FSM Paris, 85 rue du Faubourg Saint-Martin, 75010 Paris
| Découvrez leboncoin Groupe  !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> S'il y a en effet une caractéristique indiscutable d'IPv6, c'est sa
> capacité trollesque rarement atteinte :-D 
+1000

> Sauf peut-être par les chamailleries Windows-Linux :-D
Aujourd'hui, même ça ne marche plus...

> La question de fond qui me vient à l'esprit est : "Pourquoi IPv6 ne
> parvient-il pas à s'imposer naturellement, de par ses qualités
> intrinsèques ?"
Parce qu'on aurait du passer d'abord par la maj ipv5 ? --> [/]

> Est-que çà a trollé comme çà lorsque IPv4 a pris progressivement le
> pas sur les IPX, Netbeui et autres joyeusetés ? Je n'en ai pas souvenir !
C'est vrai ça, c'était un soulagement plutôt... Et n'oublions pas X25 !
(même pas totalement mort, on l'a encore dans la voiture sous forme de
misérables trames unproto - enfin les radioamateurs au moins).


Cette liste est bien vivante et amis, évangélistes et précurseurs, soyez
sereins, l'ipv6 vaincra, c'est une certitude :)

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[franc...@demeyer.net]

Quelqu’un a pensé à composer le 19 pour sortir d’un réseau IPv4 vers un autre ?
:-D

> Le 27 juin 2023 à 11:32, Rostan Nawer KEZAL via frnog  a 
> écrit :
> 
> Hello,
> 
> Je pop de nulle part parce que c'est exactement le sujet sur lequel je
> travaille là maintenant tout de suite.
> En terme de complexité certaines infra peuvent avoir l'air simple, surtout
> lorsqu'on parle de webapp.
> Je pense que c'est un raccourci qui peut être dangereux, beaucoup d'éditeur
> ont migré leurs compute sur du public cloud avec des infrastructure as code
> complexe et des relations entres les espaces de ces providers complexes
> également.
> Avoir un front dual-stack ça veut dire savoir gérer de la v6 dans le
> backend et là, on demande a des dev de comprendre des problématiques
> network.
> 
> Peut-être que nous, jean des réseaux, on a raté cette transmission de
> compétences aux dev ?
> 
> Conclusion de ce que je veux dire : Si la v6 est absente de votre roadmap
> il y a un problème, si vous l'avez prévu et que c'est long, c'est normal.
> 
> 
> 
> Je retourne écrire mes machins d'ipv6 moi, bonne journée,
> ++
> 
> Le mar. 27 juin 2023 à 10:57, Xavier Beaudouin via frnog 
> a écrit :
> 
>> Hello Stéphane,
>> 
 Et je me trompe aussi sans doute sur l'attention que Stephane porte
 sur les difficultés de mises en œuvre de l'IPv6…
>>> 
>>> IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
>>> prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
>>> souvient que des bons moments.
>> 
>> Difficultés ? Où ça ? D'ajouter une ip a un serveur et une gateway ?
>> De laisser passer un peu d'ICMP ? (qu'on devrai faire aussi en IPv4
>> pour le pMTUd ?).
>> 
>> De lire des docs ? Voire même mettre un  dans une zone DNS ?
>> 
>> Alors en 2000 lors de l'expé 6bone, j'veux bien que ça soit difficile
>> mais en 2023 n'être pas foutus capable de sortir un service en IPv6
>> natif et se casser les pieds a déployer NAT, PAT, etc...
>> 
>> Alors oui (là aussi je troll) on ne trouve peu de documentations pour
>> faire de l'IPv6 avec docker, mais il faudrait faire le métier de
>> sysadmin : gérer l'infra et la déployer correctement. Pas juste un
>> click sur une interface et laisser le trucs se débrouiller tout seul.
>> 
>> En 2023, avoir au moins :
>> - des DNS dual stack
>> - un service web dual stack (coucou les impots...)
>> - au moins UN mx dual stack
>> - au moins un relay smtp dual stack
>> 
>> C'est le minimum. Que vos backends soient en IPv4 ce n'est pas le
>> problème, les front doivent être en dual.
>> 
>> Aller je laisse trolldi en avance continuer...
>> 
>> Xavier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> -- 
> --
> 
> Rostan KEZAL
> 
> Network Engineer
> 
> | rostan.ke...@adevinta.com  
> | FSM Paris, 85 rue du Faubourg Saint-Martin, 75010 Paris
> | Découvrez leboncoin Groupe  !
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> Effectivement. systemd a bien rééquilibré la balance :-D
;>

Avec snap en embuscade puis un vi/emacs pour se détendre,

> Si tu as l'intention de préparer un couscoussier, j'ai ce qu'il faut :-D
> https://rb.gy/2k2lr
;))) Merci pour ce souvenir.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

Bonjour voisin !

J'ai été voir ton site, j'aime bien ce que vous faites :)

> C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut
> changer quand vous avez des dysfonctionnements.

Pragmatisme de niveau 1 (quand on se posait encore des questions) :
- Qui paye tout le hardware ipv4 que l'on ne pourra mettre à jour ?
- Comme il faut garder ipv4 et qu'une dual stack est ce qu'elle est, on
fait comment ?

Pragmatisme de niveau 2 (quand on ne se pose plus de questions) :
Aujourd'hui, pour les microbes (vs le gougle), ipv6 n'existe pas.
Affaire suivante.

> L'IPv6 est une merveille de technologie qui oblige enfin les
> utilisateurs (y compris madame michu) à utiliser des entrées DNS.
Mme Michu est comme M. Jourdain. Elle utilise déjà des entrées DNS, sans
le savoir certes. Mais l'ipv6 n'y changera rien.

> L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e *car les
> pirates savent pas faire*.
Serais-tu porté par un enthousiasme excessif ? Ce sont des humains comme
les autres, adaptatifs.
Le jour où leurs 'clients' seront en ipv6, ils mettront à jour leurs
outils, avec gourmandise.
Parions même qu'au début de la grande transition, ça sera le nawak
sécuritaire chez pas mal de TPE/PME (encore plus que d'habitude).


Ici, on aime le réemploi de trucs dont personne ne veux (trop vieux,
trop compliqué à configurer, c'est amorti alors on change, etc... C'est
venu naturellement car on aime bien recycler, par principe paysan. Ebay
est un marché fantastique de matos en pleine santé à prix /20.
Pour la centaine d'équipements de l'intranet dont pas mal ne connaissent
pas l'ipv6, on restera en ipv4 pour longtemps, avec donc un intranet de
boomer. Pourquoi faut-il choisir entre écologie ou société de
consommation pour satisfaire une évolution qui devrait être gérable par
mise à jour logicielle ?

Si l'on rajoute que le zero trust se marie très bien avec ipv6 et que
tout ça est bel et bon, on oublie parfois que ça serait mieux que toute
l'infra soit alors en LL. Question de confiance. Ce qui n'arrivera
jamais. On aura alors toujours des firewall pour pré-contrôler ce qui
rentre et aussi (voire surtout) contrôler ce qui sort.

Le monde de demain, comme celui d'hier et du présent, est à notre image,
et ne sera jamais parfait.

Je n'ai pas d'hostilité envers ipv6 et je m'y mettrais avec enthousiasme
(tant qu'à faire, faisons le bien). Le jour venu. Quand il le faudra.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Petit pas vers un cloud EU ?

[Matic Vari]

Bull racheté par Thalès, les participations croisés Thalès/Dassault/etc...

Le 27/06/2023, solt...@imad.fr a écrit :
> bonjour ,
>
> recycler/nettoyer des responsables de graves echecs francais dans
> d'autres boites et racheter les boites qui ont echouees ... en gros ,
> "mettre des tenues camouflages" , c'est une methodologie tres francaise
> et qui a ete applique a beaucoup d'industries . ni un pas ni une
> nouveaute , une "habitude" plutot
>
> bonne journee ,
>
> IS
> 
> *From:* David Ponzone [mailto:david.ponz...@gmail.com]
> *Sent:* Tuesday, June 27, 2023 at 7:32 AM
> *To:* frnog-biz 
> *Subject:* [FRnOG] [BIZ] Petit pas vers un cloud EU ?
>
>> Fzmpx3nXsAEQWDX.jpg
>> Suite au POC de (new) Qwant et vos feedbacks, avec Miro, mon frère, et
>> la Caisse des Dépôts, nous avons décidé de finaliser la création de
>> Synfonium qui va maintenant racheter 100% de Qwant et 100% fe Shadow.
>> Synfonium est détenue à 75% par Jezby Venture & Deep Code et à 25% par…
>> 
>>
>>  
>> Octave Klaba sur Twitter
>> 
>> twitter.com
>> 
>>
>> 
>>
>>
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Petit pas vers un cloud EU ?

[lm2]

bonjour



j'osais pas répondre, maintenant j'admets, votre Honneur, que peu importe mon 
interlocuteur, je ne peux m'empecher de répondre avec le long pdf de marc longo 
(qu'on apprécie ou pas) quand j'entends "qwant"



ce naufrage technologique/économique francais qui en fait oublier sa honte à la 
plateforme dailymotion :O



De : Matic Vari 
À : David Ponzone 
Sujet : Re: [FRnOG] [BIZ] Petit pas vers un cloud EU ?
Date : 27/06/2023 12:57:25 Europe/Paris
Copie à : frnog-biz 

Bonjour,

Un peu tôt pour troller mais avec ou sans Eric Léandri?

Ah non, il a été écarté...

Bonne semaine,

Le 27/06/2023, David Ponzone a écrit :
> [image: Fzmpx3nXsAEQWDX.jpg]
> Suite au POC de (new) Qwant et vos feedbacks, avec Miro, mon frère, et la
> Caisse des Dépôts, nous avons décidé de finaliser la création de Synfonium
> qui va maintenant racheter 100% de Qwant et 100% fe Shadow. Synfonium est
> détenue à 75% par Jezby Venture & Deep Code et à 25% par…
> [image]
> Octave Klaba sur Twitter
> twitter.com
>
>
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Toussaint OTTAVI]

Le 27/06/2023 à 11:55, Stéphane Rivière a écrit :

Sauf peut-être par les chamailleries Windows-Linux :-D

Aujourd'hui, même ça ne marche plus...


Effectivement. systemd a bien rééquilibré la balance :-D



Cette liste est bien vivante et amis, évangélistes et précurseurs, soyez
sereins, l'ipv6 vaincra, c'est une certitude :)


Si tu as l'intention de préparer un couscoussier, j'ai ce qu'il faut :-D
https://rb.gy/2k2lr
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

Le 27/06/2023 à 13:43, franc...@demeyer.net a écrit :
> Quelqu’un a pensé à composer le 19 pour sortir d’un réseau IPv4 vers un autre 
> ?
> :-D
:)

PS

Pour les moins de 0x20 ans, le 19 du siècle dernier était le 00
d'aujourd'hui.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] volte/vowifi

[lm2]

bonjour

j'ai essayé ces derniers jours de trouver le moyen d'obtenir la liste des 
opérateurs supportés en volte et en vowifi, selon une sorte de critère inverse 
: au lieu d'aller chercher l'info chez les opérateurs télécoms, l'obtenir 
auprès des fabricants pour savoir quels opérateurs ils supportent.

cette idée m'est venue en notant que des téléphones sont prétendus volte depuis 
le début de la période de transition volte (que j'estime 2015/2020) selon 
certains opérateurs, mais pas tous.
certains n'ont d'ailleurs pas la volte activée sur leur réseau.
mais d'autres appareils ont la volte de qu'un seul opérateur (jio pour ne citer 
que lui)

donc mon interrogation porte sur deux choses :
- Volte, au niveau de l'appareil : existe-t-il, ou est il possible, de dresser 
une liste d'opérateurs volte/vowifi, supportés, selon téléphone (et non 
l'inverse), fournie par le fabricant (et non par l'opérateur) ? je vois 
régulièrement des abonnés d'opérateurs francais, sfr et orange en tete, qui se 
plaignent d'un filtrage imei ou d'une absence simple de cette techno (sur 
lafibre, mais aussi les forums officiels fabricants) sans explication claire

-également, des opérateurs à l'étranger (ou domtom) qui ont activé la 
volte/vowifi, mais qui n'est pas fonctionnelle sur certains appareils? y  t-il 
des retours là dessus? comment cela se passe hors de nos frontières, à 
l'échelle hors européenne?

-certains ont ils déjà réussi certains hacks pour valider un profil 
volte/vowifi, alors que leur tel n'est pas officiellement supporté par 
l'opérateur?

je vous remercie de vos retours :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] volte/vowifi

[Richard Klein]

Bonjour,

De nos jours tous les mobiles 4G sont VoLTE/VoWifi.
Après la question à poser est effectivement de savoir si l’opérateur va 
accepter que le mobile se connecte à l’IMS (ipbx) de l’opérateur .
Car oui les opérateurs valident les mobiles sur le cœur.
En France les MVNO ne supportent que très rarement la VoLTE.
Les MVNO EIC mobile commencent à supporter les iPhones et autres Samsung haut 
de gamme.
Cela est amusant de voir communiquer les opérateurs sur la fin de la 2G/3G en 
france en 2025 alors que le parc français traffic encore beaucoup en 3G//2G

Bonne journée 

Richard

Envoyé de mon iPhone

> Le 27 juin 2023 à 14:50, l...@netc.fr a écrit :
> 
> bonjour
> 
> j'ai essayé ces derniers jours de trouver le moyen d'obtenir la liste des 
> opérateurs supportés en volte et en vowifi, selon une sorte de critère 
> inverse : au lieu d'aller chercher l'info chez les opérateurs télécoms, 
> l'obtenir auprès des fabricants pour savoir quels opérateurs ils supportent.
> 
> cette idée m'est venue en notant que des téléphones sont prétendus volte 
> depuis le début de la période de transition volte (que j'estime 2015/2020) 
> selon certains opérateurs, mais pas tous.
> certains n'ont d'ailleurs pas la volte activée sur leur réseau.
> mais d'autres appareils ont la volte de qu'un seul opérateur (jio pour ne 
> citer que lui)
> 
> donc mon interrogation porte sur deux choses :
> - Volte, au niveau de l'appareil : existe-t-il, ou est il possible, de 
> dresser une liste d'opérateurs volte/vowifi, supportés, selon téléphone (et 
> non l'inverse), fournie par le fabricant (et non par l'opérateur) ? je vois 
> régulièrement des abonnés d'opérateurs francais, sfr et orange en tete, qui 
> se plaignent d'un filtrage imei ou d'une absence simple de cette techno (sur 
> lafibre, mais aussi les forums officiels fabricants) sans explication claire
> 
> -également, des opérateurs à l'étranger (ou domtom) qui ont activé la 
> volte/vowifi, mais qui n'est pas fonctionnelle sur certains appareils? y  
> t-il des retours là dessus? comment cela se passe hors de nos frontières, à 
> l'échelle hors européenne?
> 
> -certains ont ils déjà réussi certains hacks pour valider un profil 
> volte/vowifi, alors que leur tel n'est pas officiellement supporté par 
> l'opérateur?
> 
> je vous remercie de vos retours :)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] [inherent / adista / unyc] Responsable Infrastructure Télécom Sécurité Réseau

[Olivier GROSJEANNE via frnog]

Bonjour à tous,

Le groupe inherent (aka adista + unyc + cyberprotect) recherche sa nouvelle 
patronne (ou son nouveau patron) de l'équipe "Exploitation et Infrastructure 
Télécom Sécurité Réseau"

~100aine de PoPs, 14 Datacenters, mais surtout une belle équipe de passionnés 
et de projets passionnants.

L'annonce officielle :

https://carrieres.adista.fr/fr/annonce/2329683-responsable-infrastructure-telecom-securite-reseau-54320-maxeville

et à votre dispo pour échanger.

Olivier GROSJEANNE
CTO inherent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[GUEANT Vivien]

Bonjour,

Seuls 8,3 % des serveurs mail sont à ce jour adressés en IPv6, lorsque l’on 
considère les 1,9 million de sites web en .fr, .re, .pm, .yt, .tf et .wf avec 
un hébergement web HTTPS valide et un hébergement mail.

Graphique représentant le % de nom de domaines hébergé en IPv6 pour le top 10 
des plus grands acteurs : 
https://www.arcep.fr/fileadmin/cru-1677573101/reprise/observatoire/ipv6/202303_arcep_barometre_ipv6_5-06_mail_as.svg

Données complètes avec tous les acteurs :
• Format PDF (99 pages) : 
https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202210_arcep_barometre_ipv6_hebergeurs.pdf
• Format Open document (LibreOffice Calc) : 
https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202210_arcep_barometre_ipv6_hebergeurs.ods
• Format CSV : 
https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202210_arcep_barometre_ipv6_hebergeurs.csv

Le taux d’IPv6 dans l’hébergement mail reste alarmant. Le retard sur ce maillon 
de la chaîne d’internet, s’il n’est pas comblé dans les prochaines années, 
pourrait retarder l’extinction d’IPv4 et prolonger la complexité inhérente liée 
à la cohabitation IPv4/IPv6 dans les réseaux (L'objectif n'est pas de garder 
indéfiniment IPv4 à côté d'IPv6).

Mardi 4 juillet à 9h30, l’Arcep organise une conférence de presse pour 
présenter son rapport annuel sur l’état d’internet en France.
 
Plusieurs points seront à l’ordre du jour : (environ 5 minutes par sujet, on 
prendra ensuite des questions)
• La mesure de la qualité d’internet
• L’interconnexion de données (le graphique 
https://www.arcep.fr/fileadmin/cru-1677573101/user_upload/grands_dossiers/interconnexion/2022-9-Decomposition_du_trafic_par_origine.png
 sera mis à jour)
• La transition vers IPv6 (y compris pour les infrastructures mail)
• La neutralité d’internet
• La régulation des plateformes numériques et des données  
• L’empreinte environnementale du numérique
 
Cette conférence se déroulera :
• dans les locaux de l’Autorité, à Paris, métro 14 station "Cour Saint-Émilion" 
(dans la limite des places disponibles),
• mais aussi en ligne, en IPv4, par visioconférence (lien fourni à l’issue de 
l’inscription, prévoir un navigateur basé sur Chromium).

Inscription obligatoire sur le site de l'Autorité : 
https://www.arcep.fr/actualites/agenda-et-evenements/detail/n/conference-sur-letat-dinternet-en-france-040723-invitation.html

Bonne fin de journée,
Vivien Guéant.

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Laurent 
Barme
Envoyé : mardi 27 juin 2023 16:27
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail


Le 27/06/2023 à 08:33, Denis Fondras a écrit :
> Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :
>> Effectivement, lorsque les visiteurs n'auront plus qu'un accès via 
>> une IPv6, je n'aurai plus le choix que d'activer l'IPv6 sur le vhost 
>> et voir débouler les attaques en IPv6 aussi.
>>
> Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras 
> repoussé l'échéance au maximum. Tu te prendras des murs sur de la prod 
> alors que tu aurais pu anticiper à l'époque (c'était hier en fait) où 
> il n'y avait aucune criticité à avoir de l'IPv6 fonctionnel, tester 
> tes règles de filtrage et tout casser sans impacter tes clients.
>
>
T'inquiète, j'ai anticipé. Je comprends pas d'où tu sors l'idée que je ne m'y 
serai pas préparé alors même que j'ai écris le contraire !

C'est curieux comme il y a des concepts pourtant élémentaires qui ont du mal à 
passer sur des sujets sensibles qui relèvent d'avantage de l'idéologie que du 
pragmatisme… Revenons aux constats de base que j'ai énoncés dans mon premier 
message dans ce fil sous une forme qui a mis le feu bien malgré moi à cette 
discussion :

  * rajouter l'IPv6 est une source de problèmes supplémentaires,
  * il y a 2^32 fois plus IPv6/64 que d'IPv4,
  * on peut tracer beaucoup plus efficacement un poste en IPv6 qu'en IPv4.

Après chacun est libre d'en déduire et d'en faire ce qu'il en veut. Pour ma 
part, comme je l'ai déjà écrit et à lire tout simplement : je me suis préparé à 
passer à l'IPv6 mais je ne suis pas pressé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[David Ponzone]

Ouais c’est ça, c’est une solution basée sur ProSBC et ClearIP de Tansnexus, et 
ClearIP utilise SIP pour prévenir le SBC de ce qu’il faut faire: 302 Divert 
avec Identity/503 Allow/603 Block.
C’est pas non plus ce que je préfère comme architecture, mais c’est pas 
complètement con.

En tout cas, les gens de TelcoBridges que j’avais rencontrés sont super sympas 
et accessibles donc tant qu’à filer des thunes pour une solution commerciale, 
autant que ça soit eux.


> Le 27 juin 2023 à 11:23, Greg  a écrit :
> 
> Bonjour, nous avons réalisé notre projet en mode WebService API avec le
> SBC, le SBC nous communique l'information pour la signature de l'appel ou
> Identity pour la vérification de signature, ensuite notre backbone effectue
> le travail demandé et communique les résultats au SBC.
> Le backbone c'est un process REST > NodeJs en docker conçu de fonctionner
> sans la base des données pour plus de fiabilité, du coup il est possible de
> multiplier les instances pour la haute disponibilité.
> Il ne faut pas oublier également toute la partie backend reporting /
> renouvellement, gestion des certificats, et dépose de reporting en sftp.
> Notre constructeur c'est Telcobridges, pour info David Ponzone Telcobridges
> ont travaillé avec la signature via SIP uniquement et non via
> Rest/webservice pour la zone US / CANADA, puisque nous étions déjà avec
> telcobridges sur la partie sip nous avons travaillé avec eu pour développer
> cette partie.
> 
> 
> вт, 27 июн. 2023 г. в 09:57, Arnaud Willem :
> 
>> Salut Teddy,
>> 
>> La partie STI-AS et -VS répond déjà à une spec type “REST” (ATIS-182,
>> parmi d'autres), ton SBC peut donc intercepter le header Identity et le
>> passer au STI-VS pour validation, de même pour générer ton token avec le
>> STI-AS, c’est (comme le dit David dans son mail) le format retenu par une
>> majorité de presta SaaS pour cela.
>> 
>> Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part
>> `libstirshaken`, mais je suis aussi preneur de retours des uns et des
>> autres.
>> 
>> En commercial, chaque éditeur y va maintenant de son offre intégrée / son
>> partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour les
>> opérateurs de transit voix.
>> 
>> My two cents,
>> 
>> Arnaud
>> 
>> 
>>> On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
>>> 
>>> Hello,
>>> 
>>> Le sujet MAN est devenu un sujet assez prioritaire.
>>> On prend le train un peu en marche et on se pose quelques questions.
>>> Entre les différentes solutions commerciales et la volonté
>> d'internaliser ce processus en interne.
>>> 
>>> Le MAN consistant à intégrer dans la trame SIP un header avec une
>> signature en tant qu'appelant et à vérifier cette signature en tant que
>> destinataire.
>>> Je me pose donc la question suivante :
>>> 
>>> Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC avec
>> un service qui tournerai localement, qui ferait les manipulations
>> nécessaires pour renvoyer simplement les bons headers dans la trame SIP ?
>>> Nous le faisons déjà avec nos SBC pour faire tout un tas de
>> vérifications sur les numéros appelant, appelés et intégrer des custom
>> header notamment pour la facturation par exemple.
>>> 
>>> Ou alors faut-il vraiment s'interconnecter avec des solutions
>> "certifiées" ou existe-t-il des solutions opensource ?
>>> 
>>> Merci d'avance 
>>> 
>>> 
>>> Cordialement,
>>> 
>>> T.DOURE
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> Arnaud WILLEM
>> 
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VOIP MAN Stir/Shaken

[Greg]

Oui je confirme et je ne peux que donner une recommandation pour
telcobridges.

вт, 27 июн. 2023 г. в 17:06, David Ponzone :

> Ouais c’est ça, c’est une solution basée sur ProSBC et ClearIP de
> Tansnexus, et ClearIP utilise SIP pour prévenir le SBC de ce qu’il faut
> faire: 302 Divert avec Identity/503 Allow/603 Block.
> C’est pas non plus ce que je préfère comme architecture, mais c’est pas
> complètement con.
>
> En tout cas, les gens de TelcoBridges que j’avais rencontrés sont super
> sympas et accessibles donc tant qu’à filer des thunes pour une solution
> commerciale, autant que ça soit eux.
>
>
> > Le 27 juin 2023 à 11:23, Greg  a écrit :
> >
> > Bonjour, nous avons réalisé notre projet en mode WebService API avec le
> > SBC, le SBC nous communique l'information pour la signature de l'appel ou
> > Identity pour la vérification de signature, ensuite notre backbone
> effectue
> > le travail demandé et communique les résultats au SBC.
> > Le backbone c'est un process REST > NodeJs en docker conçu de fonctionner
> > sans la base des données pour plus de fiabilité, du coup il est possible
> de
> > multiplier les instances pour la haute disponibilité.
> > Il ne faut pas oublier également toute la partie backend reporting /
> > renouvellement, gestion des certificats, et dépose de reporting en sftp.
> > Notre constructeur c'est Telcobridges, pour info David Ponzone
> Telcobridges
> > ont travaillé avec la signature via SIP uniquement et non via
> > Rest/webservice pour la zone US / CANADA, puisque nous étions déjà avec
> > telcobridges sur la partie sip nous avons travaillé avec eu pour
> développer
> > cette partie.
> >
> >
> > вт, 27 июн. 2023 г. в 09:57, Arnaud Willem :
> >
> >> Salut Teddy,
> >>
> >> La partie STI-AS et -VS répond déjà à une spec type “REST”
> (ATIS-182,
> >> parmi d'autres), ton SBC peut donc intercepter le header Identity et le
> >> passer au STI-VS pour validation, de même pour générer ton token avec le
> >> STI-AS, c’est (comme le dit David dans son mail) le format retenu par
> une
> >> majorité de presta SaaS pour cela.
> >>
> >> Après, du STI-AS/VS libre/opensource, j’ai pas encore sourcé, à part
> >> `libstirshaken`, mais je suis aussi preneur de retours des uns et des
> >> autres.
> >>
> >> En commercial, chaque éditeur y va maintenant de son offre intégrée /
> son
> >> partenariat avec un SaaS, ou encore de son offre OPTV et OPTS pour les
> >> opérateurs de transit voix.
> >>
> >> My two cents,
> >>
> >> Arnaud
> >>
> >>
> >>> On 27 Jun 2023, at 09:25, Teddy DOURE  wrote:
> >>>
> >>> Hello,
> >>>
> >>> Le sujet MAN est devenu un sujet assez prioritaire.
> >>> On prend le train un peu en marche et on se pose quelques questions.
> >>> Entre les différentes solutions commerciales et la volonté
> >> d'internaliser ce processus en interne.
> >>>
> >>> Le MAN consistant à intégrer dans la trame SIP un header avec une
> >> signature en tant qu'appelant et à vérifier cette signature en tant que
> >> destinataire.
> >>> Je me pose donc la question suivante :
> >>>
> >>> Serait-t-il viable d'intégrer cela en mode webservice couplé au SBC
> avec
> >> un service qui tournerai localement, qui ferait les manipulations
> >> nécessaires pour renvoyer simplement les bons headers dans la trame SIP
> ?
> >>> Nous le faisons déjà avec nos SBC pour faire tout un tas de
> >> vérifications sur les numéros appelant, appelés et intégrer des custom
> >> header notamment pour la facturation par exemple.
> >>>
> >>> Ou alors faut-il vraiment s'interconnecter avec des solutions
> >> "certifiées" ou existe-t-il des solutions opensource ?
> >>>
> >>> Merci d'avance 
> >>>
> >>>
> >>> Cordialement,
> >>>
> >>> T.DOURE
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >> Arnaud WILLEM
> >>
> >>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 27/06/2023 à 08:33, Denis Fondras a écrit :

Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :

Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6,
je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler
les attaques en IPv6 aussi.


Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras repoussé
l'échéance au maximum. Tu te prendras des murs sur de la prod alors que tu
aurais pu anticiper à l'époque (c'était hier en fait) où il n'y avait aucune
criticité à avoir de l'IPv6 fonctionnel, tester tes règles de filtrage et tout
casser sans impacter tes clients.


T'inquiète, j'ai anticipé. Je comprends pas d'où tu sors l'idée que je ne m'y 
serai pas préparé alors même que j'ai écris le contraire !


C'est curieux comme il y a des concepts pourtant élémentaires qui ont du mal à 
passer sur des sujets sensibles qui relèvent d'avantage de l'idéologie que du 
pragmatisme… Revenons aux constats de base que j'ai énoncés dans mon premier 
message dans ce fil sous une forme qui a mis le feu bien malgré moi à cette 
discussion :


 * rajouter l'IPv6 est une source de problèmes supplémentaires,
 * il y a 2^32 fois plus IPv6/64 que d'IPv4,
 * on peut tracer beaucoup plus efficacement un poste en IPv6 qu'en IPv4.

Après chacun est libre d'en déduire et d'en faire ce qu'il en veut. Pour ma 
part, comme je l'ai déjà écrit et à lire tout simplement : je me suis préparé à 
passer à l'IPv6 mais je ne suis pas pressé.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Petit pas vers un cloud EU ?

[ml-frnog]

Salut,

La vraie tentative de cloud européen de OVH c'était Gaia-X sur lequel 
ils ont énormément communiqué en 2020 avant de faire un silence radio 
complet dès que ca a commencé à flop.


A côté, ils rachètent un Qwant qui est un naufrage technologique sous 
perfusion, un Shadow qui est un échec commercial, et déterre un Hubic 
qui n'était pas rentable et qui a beaucoup moins d'intérêt depuis 
l'apparition de NVME de 1-4 To à des prix "acceptables". Jvois pas de 
quoi faire concurrence à un AWS.


Si au lieu de faire des investissements dans des échecs, à la place ils 
les faisaient dans leur service de support (1 mois pour prendre en 
charge un ticket, des réponses totalement contradictoires, des semaines 
à attendre les retours de leurs équipes) et leur service commercial 
(refus du respect de la législation sur les remboursements) ca serait 
déjà un peu plus intéressant 


Cdlt

Le 27/06/2023 à 07:32, David Ponzone a écrit :

Fzmpx3nXsAEQWDX.jpg
Suite au POC de (new) Qwant et vos feedbacks, avec Miro, mon frère, et 
la Caisse des Dépôts, nous avons décidé de finaliser la création de 
Synfonium qui va maintenant racheter 100% de Qwant et 100% fe Shadow. 
Synfonium est détenue à 75% par Jezby Venture & Deep Code et à 25% par…


 
Octave Klaba sur Twitter 

twitter.com 










---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [BIZ] Petit pas vers un cloud EU ?

[Stephane Bortzmeyer]

On Tue, Jun 27, 2023 at 12:57:25PM +0200,
 Matic Vari  wrote 
 a message of 34 lines which said:

> Un peu tôt pour troller

Je peux faire mieux :

Est-ce que Qwant sera désormais accessible en IPv6 ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/