[FRnOG] Recherche LIR-Sponsor

2011-10-04 Par sujet Yannick Buillas
Bonjour à tous,

 

Je recherche un LIR-Sponsor qui pourrait m’aider pour mettre à jour la base
du RIPE-NCC.

 

Il s’agit de gammes IPv4 attribuées en PI il y  a fort longtemps par l’INRIA
(et oui, cela date, c’était le bon temps !) , qui n’ont jamais été routées,
que je ne  souhaite pas perdre, et que je voudrais désormais utiliser… 

 

Avant que vous ne posiez la question, mon FAI ne souhaite pas le faire,
parce que… il ne veut pas !

 

Merci par avance pour votre aide et tous bons conseils,

 

Yannick / Annecy (74)



Re: [FRnOG] Recherche LIR-Sponsor

2011-10-04 Par sujet Damien Fleuriot
On 10/4/11 9:39 AM, Yannick Buillas wrote:
 Bonjour à tous,
 
  
 
 Je recherche un LIR-Sponsor qui pourrait m’aider pour mettre à jour la
 base du RIPE-NCC.
 
  
 
 Il s’agit de gammes IPv4 attribuées en PI il y  a fort longtemps par
 l’INRIA (et oui, cela date, c’était le bon temps !) , qui n’ont jamais
 été routées, que je ne  souhaite pas perdre, et que je voudrais
 désormais utiliser…
 
  
 
 Avant que vous ne posiez la question, mon FAI ne souhaite pas le faire,
 parce que… il ne veut pas !
 

C'est pourtant, typiquement, à ton fournisseur de transit d'être le
sponsor pour tes plages PI.

A plus forte raison si ils sont destinés à les router...
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] RE: Gestion Identification Usagers

2011-10-04 Par sujet GONCALVES Benoît
Bonjour Sébastien,

Je l'ai déjà mis en place avec un UCOPIA :
http://www.ucopia.com/index.php/fr/solutions/ucopia-express

La solution s'utilise sur le LAN, avec un adressage privé. Les invités sont 
placés dans un VLAN invité qui communique avec l'UCOPIA, celui-ci s'occupe de 
gérer le NAT entre internet et votre VLAN invité.
L'ucopia à un portail captif, son intérêt est qu'il garde les sessions qui ont 
été effectuées par vos invités, les sites, heures...etc.

Si tu à d'autres questions n'hésite pas.

Cordialement,
Benoit GONCALVES.

De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de 
Sebastien Maillet
Envoyé : mardi 4 octobre 2011 18:39
À : frnog@FRnOG.org
Objet : [FRnOG] Gestion Identification Usagers

Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une 
vraie mine d'information !

Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de 
réponse claire pour le moment.
Je cherche à mettre en place un réseau d'accès Internet « gratuit » type WIFI 
où les utilisateurs ne sont pas identifiés à l'avance.
Ils doivent donc faire une demande d'accès à travers un portail captif, ils 
laissent leur nom/prénom/adresse et un code d'accès leur est ensuite communiqué 
(par mail ou par SMS).

Le problème qui se pose est que nous souhaitons leur fournir des adresses ip 
privées.
En effet, si nous recevons une réquisition de la part de la gendarmerie nous 
demandant l'identification d'un usager à partir d'une adresse IP publique, ca 
va être compliqué ... Nous serons capable de donner le groupe d'utilisateurs 
ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les 
loggs NAT il nous sera impossible d'identifier l'utilisateur recherché.
Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des 
précisions sur les sessions montées à partir des adresses privées, ce qui nous 
permettrait d'affiner la recherche, mais il semblerait que cela ne soit pas 
légal.

Avez-vous déjà rencontré ce type de problème et l'avez-vous résolu ?
(mise à part en mettant de l'adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien


Re: [FRnOG] Gestion Identification Usagers

2011-10-04 Par sujet Christophe

Salut,

il y a quand même des questions structurantes sur ce type de déploiement:

- Combien de hotspots comptes tu déployer ?
- Combien de site auront un hotspot (est ce un déploiement pour couvrir 
plusieurs jardins publiques dans une ville ou bien c'est juste un accès 
wifi à l'accueil d'une société pour les visiteurs ?)

- Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

etc...

Si tu utilises de l'adressage privée il te faudra au minimum logger la 
correspondance IP privée/login + date/heure au niveau portail captif, 
ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le 
NAT et faire ta corrélation (si ce sont des équipements différents)


En terme d'obligation légale bien souvent on te donne une IP avec une 
heure à laquelle elle a commit un délit très rarement le port source, 
et toi tu devras répondre QUI et où (localisation du hotspot)...


Christophe


On 04/10/2011 18:39, Sebastien Maillet wrote:


Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui 
est une vraie mine d'information !


Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à 
avoir de réponse claire pour le moment.


Je cherche à mettre en place un réseau d'accès Internet « gratuit » 
type WIFI où les utilisateurs ne sont pas identifiés à l'avance.


Ils doivent donc faire une demande d'accès à travers un portail 
captif, ils laissent leur nom/prénom/adresse et un code d'accès leur 
est ensuite communiqué (par mail ou par SMS).


Le problème qui se pose est que nous souhaitons leur fournir des 
adresses ip privées.


En effet, si nous recevons une réquisition de la part de la 
gendarmerie nous demandant l'identification d'un usager à partir d'une 
adresse IP publique, ca va être compliqué ... Nous serons capable de 
donner le groupe d'utilisateurs ayant partagé cette adresse ip 
publique, mais sans rien mettre de plus que les loggs NAT il nous sera 
impossible d'identifier l'utilisateur recherché.


Nous avons pensé mettre en place un firewall applicatif qui nous 
donnerait des précisions sur les sessions montées à partir des 
adresses privées, ce qui nous permettrait d'affiner la recherche, mais 
il semblerait que cela ne soit pas légal.


Avez-vous déjà rencontré ce type de problème et l'avez-vous résolu ?

(mise à part en mettant de l'adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien





[FRnOG] Re: Comment devenir son propre FAI

2011-10-04 Par sujet Patrick Maigron

Le 04/10/2011 06:30, Radu-Adrian Feurdean a écrit :

Pour rappel, la final /8 policy limite les allocations a un seul /22
par LIR (y compris pour les nouveaux). On est pas encore la, mais il y a
des chances que ca se declanche en 2012.


Il faudra aussi avoir reçu une allocation IPv6 pour pouvoir avoir ce /22 
IPv4, donc penser à le prendre en compte pour la catégorie du LIR...


Ce qui est prévu en 2012 (pour l’instant...) :
http://www.ripe.net/lir-services/ncc/gm/november-2011/ripe-ncc-proposed-charging-scheme-2012
Comme disait Jérôme :
250€ d'inscription + 250€/an pour les 3XS (/22 IPv4 et /32 IPv6)
1000€ + 750€/an pour les 2XS (/22 IPv4 et /32 IPv6)
1000€/an pour les XS (/21 IPv4 et /31 à /29 IPv6)

Patrick.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-04 Par sujet Guillaume Barrot
Hello,

Si tu as un portail captif, et peu de trafic, l’idéal est d'avoir une boite
clef en main qui fera portail captif + passerelle vers Internet + dhcp sur
ton LAN.
Ex OpenSource : pfsense fait ça très bien, et pour le coup sur
la même machine tu auras les logs authentification + dhcp + nat
sans problèmes d'horodatage de logs.
Si tu pars sur des briques dédiées pour chaque rôle, n'oublie pas le ntp et
un bon syslog (voire du splunk, si tu as peu de volumetrie de logs).

Tu peux avoir a logguer les requêtes DNS aussi, pour lier une
connexion spécifique a des sites hébergés sur la même @IP, mais la il faut
soit que tu proxifies les requêtes DNS, soit que tu filtres les requêtes DNS
sortantes, pour être sur d'avoir la visibilité de toutes les requêtes DNS
(c'est moche, et même pas sur que ce soit légal, mais bon tant que
les réquisitions judiciaires n'iront pas plus loin que c'est cette @IP
publique qui a fait quelque chose d’illégal, a telle heure, faudra ruser).

Et la tu as le droit de te dire vivement l'ipv6 !

Pour faire le lien avec un autre sujet en cours sur FRnOG : si tu vises peu
de clients simultanés (1000 typiquement), tu peux aussi
regarder l’intérêt de devenir LIR au RIPE, et obtenir tes scopes IPv4
publiques (/22 minimum a priori, mais je laisse les experts sur ce sujet
commenter).

Sur le portail captif, la bonne approche : l'envoi de SMS pour se connecter.
(Je crois me souvenir d'un thread précédent, que l’aéroport de Pau utilise
une solution de ce type la, mais sur la personne qui avait envoye cette info
peut se manifester pour confirmer, ça sera mieux !)
Tu as une correspondance @IP Privée / numéro de téléphone, et tu peux botter
en touche chez les opérateurs de téléphonie mobile pour retrouver la
personne réelle.
Et ça, botter en touche chez les opérateurs de téléphonie mobile, ça n'a pas
de prix ! :D

Bonne soirée

Guillaume

Le 4 octobre 2011 20:08, Christophe ckuczyn...@gmail.com a écrit :

 **
 Salut,

 il y a quand même des questions structurantes sur ce type de déploiement:

 - Combien de hotspots comptes tu déployer ?
 - Combien de site auront un hotspot (est ce un déploiement pour couvrir
 plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi
 à l'accueil d'une société pour les visiteurs ?)
 - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

 etc...

 Si tu utilises de l'adressage privée il te faudra au minimum logger la
 correspondance IP privée/login + date/heure au niveau portail captif, ainsi
 que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et
 faire ta corrélation (si ce sont des équipements différents)

 En terme d'obligation légale bien souvent on te donne une IP avec une heure
 à laquelle elle a commit un délit très rarement le port source, et toi tu
 devras répondre QUI et où (localisation du hotspot)...

 Christophe



 On 04/10/2011 18:39, Sebastien Maillet wrote:

  Bonjour, 

 ** **

 Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est
 une vraie mine d’information !

 ** **

 Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir
 de réponse claire pour le moment.

 Je cherche à mettre en place un réseau d’accès Internet « gratuit » type
 WIFI où les utilisateurs ne sont pas identifiés à l’avance. 

 Ils doivent donc faire une demande d’accès à travers un portail captif, ils
 laissent leur nom/prénom/adresse et un code d’accès leur est ensuite
 communiqué (par mail ou par SMS).

 ** **

 Le problème qui se pose est que nous souhaitons leur fournir des adresses
 ip privées.

 En effet, si nous recevons une réquisition de la part de la gendarmerie
 nous demandant l’identification d’un usager à partir d’une adresse IP
 publique, ca va être compliqué … Nous serons capable de donner le groupe
 d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien
 mettre de plus que les loggs NAT il nous sera impossible d’identifier
 l’utilisateur recherché. 

 Nous avons pensé mettre en place un firewall applicatif qui nous donnerait
 des précisions sur les sessions montées à partir des adresses privées, ce
 qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne
 soit pas légal.

 ** **

 Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?  

 (mise à part en mettant de l’adressage publique bien sur :o) )

 ** **

 Merci pour vos retours.

 ** **

 Sebastien





-- 
Cordialement,

Guillaume BARROT


Re: [FRnOG] Gestion Identification Usagers

2011-10-04 Par sujet Pascal Rullier
Le 4 octobre 2011 18:39, Sebastien Maillet
sebastien.mail...@covage.com a écrit :
 Bonjour,

 Je cherche à mettre en place un réseau d’accès Internet « gratuit » type
 WIFI où les utilisateurs ne sont pas identifiés à l’avance.

 Ils doivent donc faire une demande d’accès à travers un portail captif, ils
 laissent leur nom/prénom/adresse et un code d’accès leur est ensuite
 communiqué (par mail ou par SMS).

La solution sms est la meilleure car les opérateurs de téléphonie mobile
ont la vraie identité dans la plus part des cas, sauf des cartes prépayées
réglées en espèces, oui oui c'est possible, mais cela n'est plus ton problème.

Le mail aussi, mais après si la personne remplit de fausses infos, c'est aussi
le problème de la personne qui fait une fausse déclaration.
Ici à FFW, dans le formulaire, il y a une certification sur l'honneur
de l'exactitude
des infos.

 Le problème qui se pose est que nous souhaitons leur fournir des adresses ip
 privées.

Tout est dit :)

En effet, en mode NAT, il va être nécessaire de logguer plus que les sessions
mais aussi les usages, restreindre les usages, ex: laisser que
http/https et logguer
cela.
Cette technique nous gène à FFW car même si le log n'est regardé que
lors de demandes,
cela est une intrusion dans la vie privée des utilisateurs.
Nous avons juste besoin de savoir où a été l'utilisateur, et non pas
ce qu'il a fait.
C'est pour cela que nous expérimentons actuellement et cela depuis
presque 6 mois
l'usage d'ip publiques pour les nomades en wifi. Ils s'identifient
toujours sur le portail
captif, mais seul le log ip/user/quand nous suffit et convient très
bien en cas de
requêtes.

Cdt,

--
Pascal Rullier
Fédération France Wireless
---
Liste de diffusion du FRnOG
http://www.frnog.org/