Re: [FRnOG] [BIZ] Consultant openbsd
En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Cordialement, Cédric Le 29 octobre 2013 21:54, sn...@sn4ky.net a écrit : Comment peut on avoir des problèmes liés a PF. Mes expériences avec PF ne m'ont justement apporté que des solutions ;) Le 2013-10-29 15:47, Breizhad Rico a écrit : Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 10:02, Cédric a écrit : En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Le trafic assymétrique ? Ca ne serait pas très étonnant sur un routeur BGP... Solutions : stateful en mode sloppy (mais jamais réussi a le faire marcher ici) ou alors passer en stateless. Un avis de barbu ? -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
* Cédric - 30-10-2013 à 10h02: En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Ça ne viendrait pas tout simplement d'une asymétrie quelque part dans le routing et qui ferait que le firewall stateful ne s'y retrouve pas ? J'ai déjà eu le problème et à part explicitement ajouter un no state sur les règles pass in pass out concernant le trafic potentiellement concerné je n'ai pas vraiment trouvé de solution. On peut aussi utiliser pfsync defer sur le ou les routeurs bgp mais ça induit une certaine latence au moment d'établir une connexion (tcp par exemple), le temps que le state soit propagé. Cordialement, Cédric Le 29 octobre 2013 21:54, sn...@sn4ky.net a écrit : Comment peut on avoir des problèmes liés a PF. Mes expériences avec PF ne m'ont justement apporté que des solutions ;) Le 2013-10-29 15:47, Breizhad Rico a écrit : Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 10:13, Simon Morvan a écrit : Le 30/10/2013 10:02, Cédric a écrit : En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Le trafic assymétrique ? Ca ne serait pas très étonnant sur un routeur BGP... Qui a parlé de trafic symétrique / asymétrique ? :) Solutions : stateful en mode sloppy (mais jamais réussi a le faire marcher ici) ou alors passer en stateless. Un avis de barbu ? A voir de ce côté là : http://www.packetmischief.ca/2011/02/17/hitting-the-pf-state-table-limit/ Cédric -- OCEANET --- [AGENCE DU MANS] 7, rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS [t] +33 (0)2.43.50.26.50 [f] +33 (0)2.43.72.21.14 [AGENCE D'ANGERS] 5, rue Fleming Angers Technopole 49066 ANGERS [t] +33 (0)2.41.19.28.65 [f] +33 (0)2.52.19.22.00 http://www.oceanet.com http://www.oceanet-telecom.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
On Wed, Oct 30, 2013, at 10:02, Cédric wrote: En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Du traffic asymetrique (qui fait desordre sur la partie statefull) ? Pas de firewall (au moins pas du statefull) sur un routeur BGP. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Dans ce cas Forward = In + Out. (Contre Forward, local In, local Out sur netfilter) Ca permet aussi de gerer avec une seule regle le traffic local et celui route. C'est juste une autre facon de voir les choses. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
On Wed, Oct 30, 2013, at 10:13, Simon Morvan wrote: Solutions : stateful en mode sloppy (mais jamais réussi a le faire marcher ici) ou alors passer en stateless. Un avis de barbu ? Avis de barbu rase : Pas de BGP + statefull. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Hello, Le 30 oct. 2013 à 11:41, Frederic Dhieux frede...@syn.fr a écrit : Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. On l'as dit souvent : on protège le backplane mais on s'amuse pas a faire de statefull sur un routeur BGP... Mais il y en as qui persistent et signent... et qu'un simple synflood partent en timeout en BGP... :p Voila on a dit : - routeur BGP en stateless avec protection du backplane - firewall DERRIERE le routeur BGP en statefull... - avant les firewalls : les revolvers DNS et hidden master (ca évite des nombreuses emmerdes avec les packets 512 en tcp sur les dns)... Mais bon... on aime bien se faire fouetter des fois :p Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Petite Question Vlan/PPPoE
Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Internet via un tunnel GRE
Hello la liste, Il y a quelques jours, je me suis lancé dans une petite aventure consistant à essayer d'accéder à internet à travers un tunnel GRE et une session BGP. Globalement, ça me diminue ma MTU à 1460, et mon TCP Max Segment à 1436 si j'ai bien tout compris. J'ai réglé cette MTU dans mes équipements d'extrémité (Fortinet d'un côté, Vyatta de l'autre), et j'ai essayé de faire fonctionner le tout. Il semble que sur certains sites cela fonctionne, et sur certains autres non. J'ai fait pas mal de débugs, et j'ai fini par trouver les éléments suivants: - Tous les paquets IP avec du TCP dedans comportent le flag DF, ce qui est nécessaire pour le PMTU. - Il semble que mon routeur Vyatta, au moment où un trop gros paquet devrait rentrer dans le tunnel envoie bien l'ICMP comme quoi ça ne passe pas. Cependant à partir de ce point ça se complique, puisqu'il arrive que la communication passe bien (IE, l'ICMP est reçu, et la communication se poursuit correctement), soit ça ne passe pas, et la source continue à retransmettre comme si le paquet avait été perdu. En creusant plus, j'ai réussi à déterminer que c'était un souci de routage de l'ICMP too-big en question, qui n'arrivait pas forcément à l'hôte qui a émis le paquet, en fonction du load-balancing utilisé pour le site web concerné. Du coup, comme à priori je ne peux pas patcher internet (c) je me demande si il y a un moyen ou pas que mon équipement oublie le flag DF et fragmente quand même mon paquet pour que ça passe ? Est-ce que ce type de configs vous paraît raisonnable ? Ou sinon, il y a peut-être une autre solution au problème que je veux résoudre (utilisation de mes propres IP internet derrière une ADSL classique, en backup dégradé d'un lien dédié) ? Avez-vous déjà réalisé ce type de configurations ? Avez-vous des solutions à ce type de souci de fragmentation ? Merci pour vos réponses ! Cordialement, -- Aurélien Guillaume *- By all means break the rules, and break them beautifully, deliberately and well. That is one of the ends for which they exist. -- *Robert Bringhurst --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Comment rangez-vous vos câbles réseaux ?
Bonjour, On est en train de ranger un peu nos data-poubelle-centers. Rien de grand, mais on arrive quand même à y fourrer du bordel... Deux questions : - On a une baie où arrive tous les bandeaux réseaux de chaque baie serveur. La baie à coté, on a le coeur de réseau. Entre la baie 1 et 2, il y a 2^43 câbles réseaux qui passent. Quel est la bonne pratique pour éviter un vomis de câbles réseaux dans cette configuration ? Auriez-vous des images (ou Google Img) sur les bonnes pratiques ? Sinon, est-il de bon-ton d'avoir un switch top-of-the-rack ? - Comment stockez-vous vos câbles réseaux en attente d'utilisation : enroulés dans un bac ? Suspendu (certains étant de 5m par exemple...) ? Liens, conseils, photos sont le bienvenu ! -- LMJ May the source be with you my young padawan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Le 2013-10-30 16:47, Olivier CALVANO a écrit : De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 VPDN et radius sont tes amis. Enfin surtout Google :) Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 11:41, Frederic Dhieux a écrit : Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. Oui, option : 'no state'. mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Salut En cisco il faut monter des session vpdn l2tp vers les points de collectes, faire une interface virtual-template qui va bien avec le tcp mss à cause de l'encapsulation etc... Ensuite au moment de l'authentification ppp, ton radius peux répondre des cisco av-pairs pour placer ton interface virtuelle dans la bonne vrf. Et au final tu dois te retrouver pas tres loin de la situation avec les VLAN. C'est du C2E FT ? Patrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Olivier CALVANO Envoyé : mercredi 30 octobre 2013 16:47 À : Christophe Lucas Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Oui, mais je tombe surtout sur des infos qui sont plus au niveau de la reception ... chose que je fais deja avec les Adsl des differents operateurs. Pas encore trouvé dans la masse d'info google la partie qui pourrait m'expliquer le concept du coté de l'autre extremité Le 30 octobre 2013 17:34, Christophe Lucas christo...@clucas.fr a écrit : Le 2013-10-30 16:47, Olivier CALVANO a écrit : De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 VPDN et radius sont tes amis. Enfin surtout Google :) Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Oui, mais cela c'est du coté reception des sessions non ? Sur le principe, j'ai donc un routeur cisco CE chez le client, il est connecté au traditionnel RAD que mets Orange. Une config de base: interface FastEthernet0/0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 interface Dialer0 mtu 1462 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow ip tcp adjust-mss 1422 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname x...@xxx.dop ppp chap password 0 xxx ! tout de suite en face, j'ai un Cisco 7201 avec une simple interface GigabitEthernet0/1.2006 en un encapsulation dot1q 2006 (en CELAN) Ce que je cherche c'est comment configurer le Cisco 7201 pour qu'il recoit la demande PPP, demande au radius l'info puis fait le tunnel l2tp vers le routeur qui sera indiqué par le radius. Que le Cisco 7201 ce comporte comme un Dslam/BAS Non c'est du DSLE/CELAN principalement ou des DSP, je n'ai pas accroché sur le C2E, Merci Olivier Le 30 octobre 2013 18:54, Patrice Blot - FCNET b...@fcnet.fr a écrit : Salut En cisco il faut monter des session vpdn l2tp vers les points de collectes, faire une interface virtual-template qui va bien avec le tcp mss à cause de l'encapsulation etc... Ensuite au moment de l'authentification ppp, ton radius peux répondre des cisco av-pairs pour placer ton interface virtuelle dans la bonne vrf. Et au final tu dois te retrouver pas tres loin de la situation avec les VLAN. C'est du C2E FT ? Patrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Olivier CALVANO Envoyé : mercredi 30 octobre 2013 16:47 À : Christophe Lucas Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Bonsoir! Premiere question bete: pourquoi prendre un CELAN si c'est pour faire du PPP? Seconde question bete: pourquoi se faire livrer un accès client sur Iface Ethernet (aka RAD) alors que l'ODR permet d'etre livré sur cuivre (et d'utiliser le routeur de son choix)? Globalement c'est pas un peu usine a gaz comme approche pour une simple gestion de VLAN? Il doit y avoir des raisons pour un set-up de ce type mais elles m'échappent. Seb. Le 30/10/2013 20:54, Olivier CALVANO a écrit : Oui, mais cela c'est du coté reception des sessions non ? Sur le principe, j'ai donc un routeur cisco CE chez le client, il est connecté au traditionnel RAD que mets Orange. Une config de base: interface FastEthernet0/0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 interface Dialer0 mtu 1462 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow ip tcp adjust-mss 1422 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname x...@xxx.dop ppp chap password 0 xxx ! tout de suite en face, j'ai un Cisco 7201 avec une simple interface GigabitEthernet0/1.2006 en un encapsulation dot1q 2006 (en CELAN) Ce que je cherche c'est comment configurer le Cisco 7201 pour qu'il recoit la demande PPP, demande au radius l'info puis fait le tunnel l2tp vers le routeur qui sera indiqué par le radius. Que le Cisco 7201 ce comporte comme un Dslam/BAS Non c'est du DSLE/CELAN principalement ou des DSP, je n'ai pas accroché sur le C2E, Merci Olivier Le 30 octobre 2013 18:54, Patrice Blot - FCNET b...@fcnet.fr a écrit : Salut En cisco il faut monter des session vpdn l2tp vers les points de collectes, faire une interface virtual-template qui va bien avec le tcp mss à cause de l'encapsulation etc... Ensuite au moment de l'authentification ppp, ton radius peux répondre des cisco av-pairs pour placer ton interface virtuelle dans la bonne vrf. Et au final tu dois te retrouver pas tres loin de la situation avec les VLAN. C'est du C2E FT ? Patrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Olivier CALVANO Envoyé : mercredi 30 octobre 2013 16:47 À : Christophe Lucas Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Internet via un tunnel GRE
Salut Aurélien, Le cas le plus probable est souvent qu'il y a un firewall ou un routeur sur le chemin qui bloque l'ICMP car c'est beaucoup plus rare d'avoir un serveur qui ignore les ICMP retour. La solution la plus simple dans le cas que tu décris est effectivement, comme tu le suggères, de mettre le DF à 0 à l'entrée. Sur les Cisco, par exemple on utilise une route-map sur l'interface avec une commande 'set ip df 0' Sur le Vyatta, tu peux le faire dans l'iptable pour les paquets sortants : iptables -t mangle -A POSTROUTING -j DF --clear pour les paquets entrants : iptables -t mangle -A PREROUTING -j DF --clear et pour le Fortinet, je ne sais pas... Le MTU du GRE devrait être de 1476 et ton TCP MSS à 20 de moins. Laurent Le 30/10/2013 16:50, Aurélien a écrit : Hello la liste, Il y a quelques jours, je me suis lancé dans une petite aventure consistant à essayer d'accéder à internet à travers un tunnel GRE et une session BGP. Globalement, ça me diminue ma MTU à 1460, et mon TCP Max Segment à 1436 si j'ai bien tout compris. J'ai réglé cette MTU dans mes équipements d'extrémité (Fortinet d'un côté, Vyatta de l'autre), et j'ai essayé de faire fonctionner le tout. Il semble que sur certains sites cela fonctionne, et sur certains autres non. J'ai fait pas mal de débugs, et j'ai fini par trouver les éléments suivants: - Tous les paquets IP avec du TCP dedans comportent le flag DF, ce qui est nécessaire pour le PMTU. - Il semble que mon routeur Vyatta, au moment où un trop gros paquet devrait rentrer dans le tunnel envoie bien l'ICMP comme quoi ça ne passe pas. Cependant à partir de ce point ça se complique, puisqu'il arrive que la communication passe bien (IE, l'ICMP est reçu, et la communication se poursuit correctement), soit ça ne passe pas, et la source continue à retransmettre comme si le paquet avait été perdu. En creusant plus, j'ai réussi à déterminer que c'était un souci de routage de l'ICMP too-big en question, qui n'arrivait pas forcément à l'hôte qui a émis le paquet, en fonction du load-balancing utilisé pour le site web concerné. Du coup, comme à priori je ne peux pas patcher internet (c) je me demande si il y a un moyen ou pas que mon équipement oublie le flag DF et fragmente quand même mon paquet pour que ça passe ? Est-ce que ce type de configs vous paraît raisonnable ? Ou sinon, il y a peut-être une autre solution au problème que je veux résoudre (utilisation de mes propres IP internet derrière une ADSL classique, en backup dégradé d'un lien dédié) ? Avez-vous déjà réalisé ce type de configurations ? Avez-vous des solutions à ce type de souci de fragmentation ? Merci pour vos réponses ! Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Salut, c'est la fonction LAC, sur Cisco 7200 par exemple, qu'il te faut. Jettes un oeil ici: http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e43.shtml dans la section L2TP: xDSL to 7200 via L2TP @+ Christophe. On 30/10/2013 16:07, Olivier CALVANO wrote: Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Le 30 octobre 2013 22:22, Christophe KUCZYNSKI ckuczyn...@gmail.com a écrit : c'est la fonction LAC, sur Cisco 7200 par exemple, qu'il te faut. Je voyais plus la fonction L2TP tunnel switching. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Le 2013-10-30 22:09, Sebastien Lesimple a écrit : Bonsoir! Premiere question bete: pourquoi prendre un CELAN si c'est pour faire du PPP? - Refaire de l'option 5 pour de plus petits opérateurs qui ne veulent pas prendre une porte eux même ; - Euh je dirais L3VPN MPLS avec un zoli dialer ; Seconde question bete: pourquoi se faire livrer un accès client sur Iface Ethernet (aka RAD) alors que l'ODR permet d'etre livré sur cuivre (et d'utiliser le routeur de son choix)? Avoir un équipement de démarcation. Ok, ca coute plus chere, mais plus simple pour le troubleshoot avec FT sur la boucle locale : c'est LEUR équipement ;-p Globalement c'est pas un peu usine a gaz comme approche pour une simple gestion de VLAN? Il doit y avoir des raisons pour un set-up de ce type mais elles m'échappent. Seb. Le 30/10/2013 20:54, Olivier CALVANO a écrit : Oui, mais cela c'est du coté reception des sessions non ? Sur le principe, j'ai donc un routeur cisco CE chez le client, il est connecté au traditionnel RAD que mets Orange. Une config de base: interface FastEthernet0/0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 interface Dialer0 mtu 1462 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow ip tcp adjust-mss 1422 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname x...@xxx.dop ppp chap password 0 xxx ! tout de suite en face, j'ai un Cisco 7201 avec une simple interface GigabitEthernet0/1.2006 en un encapsulation dot1q 2006 (en CELAN) Ce que je cherche c'est comment configurer le Cisco 7201 pour qu'il recoit la demande PPP, demande au radius l'info puis fait le tunnel l2tp vers le routeur qui sera indiqué par le radius. Que le Cisco 7201 ce comporte comme un Dslam/BAS Non c'est du DSLE/CELAN principalement ou des DSP, je n'ai pas accroché sur le C2E, Merci Olivier Le 30 octobre 2013 18:54, Patrice Blot - FCNET b...@fcnet.fr a écrit : Salut En cisco il faut monter des session vpdn l2tp vers les points de collectes, faire une interface virtual-template qui va bien avec le tcp mss à cause de l'encapsulation etc... Ensuite au moment de l'authentification ppp, ton radius peux répondre des cisco av-pairs pour placer ton interface virtuelle dans la bonne vrf. Et au final tu dois te retrouver pas tres loin de la situation avec les VLAN. C'est du C2E FT ? Patrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Olivier CALVANO Envoyé : mercredi 30 octobre 2013 16:47 À : Christophe Lucas Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Internet via un tunnel GRE
Le 2013-10-30 22:43, Fabien V. a écrit : Le 2013-10-30 22:21, Laurent Cima a écrit : Salut Aurélien, Le cas le plus probable est souvent qu'il y a un firewall ou un routeur sur le chemin qui bloque l'ICMP car c'est beaucoup plus rare d'avoir un serveur qui ignore les ICMP retour. La solution la plus simple dans le cas que tu décris est effectivement, comme tu le suggères, de mettre le DF à 0 à l'entrée. Sur les Cisco, par exemple on utilise une route-map sur l'interface avec une commande 'set ip df 0' Sur le Vyatta, tu peux le faire dans l'iptable pour les paquets sortants : iptables -t mangle -A POSTROUTING -j DF --clear pour les paquets entrants : iptables -t mangle -A PREROUTING -j DF --clear et pour le Fortinet, je ne sais pas... Chez Fortinet, c'est dans la policy en cli (config firewall policy puis edit id) tcp-mss-sender maximumsize_int (Enter a TCP Maximum Sending Size number for the sender) DEFAULT : 0 tcp-mss-receiver maximumsize_int (Enter a TCP MSS number for the receiver) DEFAULT : 0 Si tu veux vérifier, un simple show full dans la policy ID te permet de voir l'ensemble des commandes possibles. Le MTU du GRE devrait être de 1476 et ton TCP MSS à 20 de moins. Laurent Le 30/10/2013 16:50, Aurélien a écrit : Hello la liste, Il y a quelques jours, je me suis lancé dans une petite aventure consistant à essayer d'accéder à internet à travers un tunnel GRE et une session BGP. Globalement, ça me diminue ma MTU à 1460, et mon TCP Max Segment à 1436 si j'ai bien tout compris. J'ai réglé cette MTU dans mes équipements d'extrémité (Fortinet d'un côté, Vyatta de l'autre), et j'ai essayé de faire fonctionner le tout. Il semble que sur certains sites cela fonctionne, et sur certains autres non. J'ai fait pas mal de débugs, et j'ai fini par trouver les éléments suivants: - Tous les paquets IP avec du TCP dedans comportent le flag DF, ce qui est nécessaire pour le PMTU. - Il semble que mon routeur Vyatta, au moment où un trop gros paquet devrait rentrer dans le tunnel envoie bien l'ICMP comme quoi ça ne passe pas. Cependant à partir de ce point ça se complique, puisqu'il arrive que la communication passe bien (IE, l'ICMP est reçu, et la communication se poursuit correctement), soit ça ne passe pas, et la source continue à retransmettre comme si le paquet avait été perdu. En creusant plus, j'ai réussi à déterminer que c'était un souci de routage de l'ICMP too-big en question, qui n'arrivait pas forcément à l'hôte qui a émis le paquet, en fonction du load-balancing utilisé pour le site web concerné. Du coup, comme à priori je ne peux pas patcher internet (c) je me demande si il y a un moyen ou pas que mon équipement oublie le flag DF et fragmente quand même mon paquet pour que ça passe ? Est-ce que ce type de configs vous paraît raisonnable ? Ou sinon, il y a peut-être une autre solution au problème que je veux résoudre (utilisation de mes propres IP internet derrière une ADSL classique, en backup dégradé d'un lien dédié) ? Avez-vous déjà réalisé ce type de configurations ? Avez-vous des solutions à ce type de souci de fragmentation ? Merci pour vos réponses ! Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/ Oups, j'avais pas tout lu en fait, je pense que tu avais déjà changé les mss dans tes policies ? Peut être essayer de forcer au niveau de l'interface du firewall avec un set tcp-mss, en en changeant le comportement du pmtu-icmp (normalement à enable pour renvoyer unreachable) je pense dans la config globale (en cli tjs) Je pense pas qu'il soit possible, comme ca, avec un FG, de changer le bit DF ? -- - Fabien V. @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Le 2013-10-30 20:54, Olivier CALVANO a écrit : Oui, mais cela c'est du coté reception des sessions non ? Sur le principe, j'ai donc un routeur cisco CE chez le client, il est connecté au traditionnel RAD que mets Orange. Une config de base: interface FastEthernet0/0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 interface Dialer0 mtu 1462 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow ip tcp adjust-mss 1422 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname x...@xxx.dop ppp chap password 0 xxx ! tout de suite en face, j'ai un Cisco 7201 avec une simple interface GigabitEthernet0/1.2006 en un encapsulation dot1q 2006 (en CELAN) Ce que je cherche c'est comment configurer le Cisco 7201 pour qu'il recoit la demande PPP, demande au radius l'info puis fait le tunnel l2tp vers le routeur qui sera indiqué par le radius. Que le Cisco 7201 ce comporte comme un Dslam/BAS vpdn enable vpdn logging vpdn search-order domain vpdn domain-delimiter @ suffix ! ! vpdn-group xxx.dop request-dialin protocol l2tp domain xxx.dop local name LAC source-ip 10.34.0.1 l2tp tunnel password 0 s3cure_Pass ! int GigabitEthernet0/1.2006 encapsulation dot1q 2006 pppoe enable group global Ensuite : - http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_radatt/configuration/xe-3s/sec-rad-tun-attr-ext.html - http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfrdat1.html Devrait te mettre sur le bon chemin. Bonne soirée. Christophe Non c'est du DSLE/CELAN principalement ou des DSP, je n'ai pas accroché sur le C2E, Merci Olivier Le 30 octobre 2013 18:54, Patrice Blot - FCNET b...@fcnet.fr a écrit : Salut En cisco il faut monter des session vpdn l2tp vers les points de collectes, faire une interface virtual-template qui va bien avec le tcp mss à cause de l'encapsulation etc... Ensuite au moment de l'authentification ppp, ton radius peux répondre des cisco av-pairs pour placer ton interface virtuelle dans la bonne vrf. Et au final tu dois te retrouver pas tres loin de la situation avec les VLAN. C'est du C2E FT ? Patrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Olivier CALVANO Envoyé : mercredi 30 octobre 2013 16:47 À : Christophe Lucas Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE
Et bridge + Uplink vers le petit opérateur oubien du retag de VLAN c'est pas plus simple? Le 30/10/2013 22:53, Christophe Lucas a écrit : Le 2013-10-30 22:09, Sebastien Lesimple a écrit : Bonsoir! Premiere question bete: pourquoi prendre un CELAN si c'est pour faire du PPP? - Refaire de l'option 5 pour de plus petits opérateurs qui ne veulent pas prendre une porte eux même ; - Euh je dirais L3VPN MPLS avec un zoli dialer ; Seconde question bete: pourquoi se faire livrer un accès client sur Iface Ethernet (aka RAD) alors que l'ODR permet d'etre livré sur cuivre (et d'utiliser le routeur de son choix)? Avoir un équipement de démarcation. Ok, ca coute plus chere, mais plus simple pour le troubleshoot avec FT sur la boucle locale : c'est LEUR équipement ;-p Globalement c'est pas un peu usine a gaz comme approche pour une simple gestion de VLAN? Il doit y avoir des raisons pour un set-up de ce type mais elles m'échappent. Seb. Le 30/10/2013 20:54, Olivier CALVANO a écrit : Oui, mais cela c'est du coté reception des sessions non ? Sur le principe, j'ai donc un routeur cisco CE chez le client, il est connecté au traditionnel RAD que mets Orange. Une config de base: interface FastEthernet0/0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 interface Dialer0 mtu 1462 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow ip tcp adjust-mss 1422 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname x...@xxx.dop ppp chap password 0 xxx ! tout de suite en face, j'ai un Cisco 7201 avec une simple interface GigabitEthernet0/1.2006 en un encapsulation dot1q 2006 (en CELAN) Ce que je cherche c'est comment configurer le Cisco 7201 pour qu'il recoit la demande PPP, demande au radius l'info puis fait le tunnel l2tp vers le routeur qui sera indiqué par le radius. Que le Cisco 7201 ce comporte comme un Dslam/BAS Non c'est du DSLE/CELAN principalement ou des DSP, je n'ai pas accroché sur le C2E, Merci Olivier Le 30 octobre 2013 18:54, Patrice Blot - FCNET b...@fcnet.fr a écrit : Salut En cisco il faut monter des session vpdn l2tp vers les points de collectes, faire une interface virtual-template qui va bien avec le tcp mss à cause de l'encapsulation etc... Ensuite au moment de l'authentification ppp, ton radius peux répondre des cisco av-pairs pour placer ton interface virtuelle dans la bonne vrf. Et au final tu dois te retrouver pas tres loin de la situation avec les VLAN. C'est du C2E FT ? Patrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Olivier CALVANO Envoyé : mercredi 30 octobre 2013 16:47 À : Christophe Lucas Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Petite Question Vlan/PPPoE De collecte ? J'ai surtout des Cisco 6500/Sup720 et des Cisco 7201 Pour le moment, je fais deux types: En niveau 3, donc comme je disais avec des /31 et des vrf En niveau 2 via des Xconnect Le 30 octobre 2013 16:22, Christophe Lucas christo...@clucas.fr a écrit : Quel type de routeur ? Le 2013-10-30 16:07, Olivier CALVANO a écrit : Bonjour, J'ai une petite question pour essayer d'orienter mes recherches. Je reçois des liaisons Sdsl ou fibre dans des vlans, dans 99% des cas cela me va, je met l'interface avec /31 dans une vrf et hop cela tourne ... La, on me demande de renvoyer le flux via L2TP/PPPoE, un peu comme fait Sfr quand ils fournissent sur un support Orange. Pour le moment, j'ai aucune idée de comment cela ce fait, si quelqu'un a une idée ?? il faut créer quelques choses de particulier sur le routeur de collecte ? J ai des Radius pour les Adsl et un routeur qui reçoit les connexions Adsl .. merci pour vos idées Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Christophe Lucas http://www.clucas.fr/blog/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Problème d'accès depuis la chine
Bonjour, Je vous fais une demande pour savoir si vous avez déjà eu ce problème: J¹ai un serveur en chine qui n¹arrive pas à joindre quelques AS en France (dont le notre :) ) Cela bloque sur CNCGROUP (219.158.0.0 - 219.158.255.255) Est-ce que vous avez une astuce magique ou incantation, un traducteur chinois ... ? (cela vient peut-être de chez nous, mais on ne sait jamais) Bonne nuit, Dominique ps: je vous prie de m¹excuser si le mail précédent est arrivé mal classé. --- Liste de diffusion du FRnOG http://www.frnog.org/