[FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

Bonjour,

Je rencontre la problématique suivante:

Je tente d'utiliser VRRPv3 (donc de disposer de VIP v6) avec 2 SRX 240.

Ces 2 SRX sont tous 2 connectés au switch LAN via un aggregat (ae) LACP.

Il semble (c'est du moins ce que dit la doc officielle [1] Juniper, et 
ce que j'ai pu vérifier) que pour faire fonctionner VRRPv3 il faille 
(gruik!) mettre les interfaces en mode promisc (sinon la VIP ne répond 
tout simplement pas...).


Sachant que j'utilise un aggregat, il n'est pas possible de mettre les 
interfaces du SRX en promisc.


Question: Avez-vous déja utilisé du VRRPv3 (sur des SRX, pas des MX, 
mais bien des SRX) avec des aggregats LACP ?



[1]: 
kb.juniper.net/InfoCenter/index?page=contentid=KB23988actp=searchviewlocale=en_USsearchid=1258894870731



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Raphael Mazelier


Le 12/08/2014 14:19, Laurent CARON a écrit :

Bonjour,

Je rencontre la problématique suivante:

Je tente d'utiliser VRRPv3 (donc de disposer de VIP v6) avec 2 SRX 240.

Ces 2 SRX sont tous 2 connectés au switch LAN via un aggregat (ae) LACP.

Il semble (c'est du moins ce que dit la doc officielle [1] Juniper, et
ce que j'ai pu vérifier) que pour faire fonctionner VRRPv3 il faille
(gruik!) mettre les interfaces en mode promisc (sinon la VIP ne répond
tout simplement pas...).

Sachant que j'utilise un aggregat, il n'est pas possible de mettre les
interfaces du SRX en promisc.

Question: Avez-vous déja utilisé du VRRPv3 (sur des SRX, pas des MX,
mais bien des SRX) avec des aggregats LACP ?




ça marchait effectivement bien sur du MX. En revanche sur SRX tu veut 
les mettre sur des reth ? dans ca pas besoin de vrrp.


--
Raphae Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

On 12/08/2014 14:25, Raphael Mazelier wrote:

ça marchait effectivement bien sur du MX. En revanche sur SRX tu veut
les mettre sur des reth ? dans ca pas besoin de vrrp.



Mes 2 SRX ne sont pas en cluster. Je ne souhaite en effet pas perdre la 
fonctionnalité fort pratique de commit rollback... d'où l'utilisation 
d'ae et de VRRPv3.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Guillaume Tournat
J'ai laisse tomber les SRX depuis 3/4  ans. Trop mal fait. Rien que le cluster 
: la doc préconisait de rebooter les deux membres en même temps (sic!). Et ils 
ont mis une éternité a porter les fonctionnalités du SSG (avec plus ou moins de 
bugs). La WebUI trop lente et buggee. 

La vie avec Fortigate est bien plus douce...


 Le 12 août 2014 à 15:02, Laurent CARON lca...@unix-scripts.info a écrit :
 
 On 12/08/2014 14:25, Raphael Mazelier wrote:
 ça marchait effectivement bien sur du MX. En revanche sur SRX tu veut
 les mettre sur des reth ? dans ca pas besoin de vrrp.
 
 Mes 2 SRX ne sont pas en cluster. Je ne souhaite en effet pas perdre la 
 fonctionnalité fort pratique de commit rollback... d'où l'utilisation d'ae et 
 de VRRPv3.
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Raphael Mazelier



Le 12/08/2014 17:17, Guillaume Tournat a écrit :

J'ai laisse tomber les SRX depuis 3/4  ans. Trop mal fait. Rien que le cluster 
: la doc préconisait de rebooter les deux membres en même temps (sic!). Et ils 
ont mis une éternité a porter les fonctionnalités du SSG (avec plus ou moins de 
bugs). La WebUI trop lente et buggee.

La vie avec Fortigate est bien plus douce...




Troll detected.
Sérieusement les SRX il y a quelques années n'étaient pas sec, 
clairement. De nos jours c'est très utilisable, évidement pas avec la 
webui :)


Quant à fortigate, euh joker. Tout le monde m'en avait dit du bien...
Je ne suis pas convaincu, mais alors pas du tout.

--
Raphael



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

On 12/08/2014 17:28, Raphael Mazelier wrote:

Troll detected.
Sérieusement les SRX il y a quelques années n'étaient pas sec,
clairement. De nos jours c'est très utilisable, évidement pas avec la
webui :)

Quant à fortigate, euh joker. Tout le monde m'en avait dit du bien...
Je ne suis pas convaincu, mais alors pas du tout.




Un SRX pour IPv4 et un Fortigate pour IPv6 ? ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Raphael Maunier
Le SRX, c’est un routeur pas un firewall :)

Franchement, j’ai encore essayé le mois dernier, et bien … J’ai essayé

Raphael

On 12 Aug 2014, at 17:33, Laurent CARON lca...@unix-scripts.info wrote:

 On 12/08/2014 17:28, Raphael Mazelier wrote:
 Troll detected.
 Sérieusement les SRX il y a quelques années n'étaient pas sec,
 clairement. De nos jours c'est très utilisable, évidement pas avec la
 webui :)
 
 Quant à fortigate, euh joker. Tout le monde m'en avait dit du bien...
 Je ne suis pas convaincu, mais alors pas du tout.
 
 
 
 Un SRX pour IPv4 et un Fortigate pour IPv6 ? ;)
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

On 12/08/2014 17:36, Raphael Maunier wrote:

Le SRX, c’est un routeur pas un firewall :)


Un routeur...qui ne fait pas d'IPv6 correctement...en 2014... ;)



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Raphael Mazelier





Un routeur...qui ne fait pas d'IPv6 correctement...en 2014... ;)



Personnellement j'ai eu zero soucis avec ipv6 sur srx.
Quel version ?

--
Raphael


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

On 12/08/2014 18:02, Raphael Mazelier wrote:

Personnellement j'ai eu zero soucis avec ipv6 sur srx.
Quel version ?


Que ce soit avec la version recommandée JTAC ou la toute dernière pas 
sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Don(s) de matos pour une bonne cause

2014-08-12 Par sujet Philippe Bourcier


Bonjour à tous,

C'est l'été, vous avez fait le ménage dans vos DCs et là plutôt que de 
balancer le matériel vous le donneriez bien à une association.


Eh bien n'attendez plus, « Dessine-moi Un Lion » est une association 
aidant femmes enceintes et enfants malades du SIDA en Zambie, dans la 
clinique Tiny Tim and Friends à Lusaka. Leur objectif est la collecte de 
dons pour acheter et expédier du matériel médical et des denrées 
alimentaires. La direction de l’association est composée uniquement de 
bénévoles.
Voici le site de l’association http://dessinemoiunlion.org/ et de la 
clinique http://www.tinytimandfriends.org/


Thibaud, que je connais et dont je vous forward ici le message, part (à 
ses frais) le 20 Août à Lusaka pendant 12j pour aider à mettre en place 
une informatique digne de ce nom dans la clinique. Il va emmener sur 
place tout ce qu'il peut comme matériel informatique.


Voici les besoins (modestes) qu'ils ont :
 - File Server 2-3 TB RAID1 ou mieux, idéalement rackable (avec les 
disques, hein :))

 - RAM DDR3 PC3-12800 et PC3-10600 : N x 4 GB ou 8 GB
 - RAM DDR3 SoDIMM (laptop) : N x 4 GB ou 8 GB
 - RAM DDR2 PC-5500 : N x 2GB
 - RAM DDR PC2100U : 2 x 2GB
 - Switch(s) 24-48 ports 10/100/1000
 - Multiprises/Réglettes/ATS 220V avec protection surtensions / fusible
 - Moniteurs LCD 19 (faire proposition si tailles différentes)
 - Câbles Kensington pour pas se faire voler le matos
 - Onduleurs
 - Câbles RJ45
 - Disques durs SATA
 - Clés USB
 - Laptops

Bien entendu, les dons feront l'objet d'un reçu de la part de 
l'association dont Thibaud n'est que bénévole et soutien.
Petit point de détail, Thibaud peut venir chercher le matériel soit à 
Paris intra-muros en métro/taxi pour les plus grosses pièces (file 
server/onduleur), soit en moto pour ce qui est moins volumineux.


Si vous avez des choses à donner qui sont dans cette liste et que vous 
êtes dispos avant le 20 Août, voici ses coordonnées : thibaud -(à)- 
villarmois.com


Merci à vous et bonne vacances à ceux qui n'en sont pas déjà revenus :)


Cordialement,

--
Philippe Bourcier
web : http://sysctl.org/
blog : http://zsysctl.blogspot.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Sylvain Busson


- Original Message - 
From: Laurent CARON lca...@unix-scripts.info

To: frnog@frnog.org
Sent: Tuesday, August 12, 2014 6:12 PM
Subject: Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX



On 12/08/2014 18:02, Raphael Mazelier wrote:

Personnellement j'ai eu zero soucis avec ipv6 sur srx.
Quel version ?


Que ce soit avec la version recommandée JTAC ou la toute dernière pas 
sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil.

Quesqui ne fonctionne(ait) pas ou mal en IPv6?



---
Liste de diffusion du FRnOG
http://www.frnog.org/ 



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Fabien DEDENON

Le 12/08/2014 18:12, Laurent CARON a écrit :
 On 12/08/2014 18:02, Raphael Mazelier wrote:
 Personnellement j'ai eu zero soucis avec ipv6 sur srx.
 Quel version ?

 Que ce soit avec la version recommandée JTAC ou la toute dernière pas
 sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil.


Sinon Asa ca juste marche, c'est juste stable, c'est pas formidable en
rapport qualité prix et ca ne se prend pas (assez) pour un routeur.

++


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

On 12/08/2014 18:24, Sylvain Busson wrote:

Quesqui ne fonctionne(ait) pas ou mal en IPv6?


VRRPv3 sur des aggregats (LACP).

Même sur des interfaces ge toutes simples il faut les mettre en 
promisc pour que ça fonctionne



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Sylvain Busson


- Original Message - 
From: Laurent CARON lca...@unix-scripts.info

To: frnog@frnog.org
Sent: Tuesday, August 12, 2014 6:34 PM
Subject: Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX



On 12/08/2014 18:24, Sylvain Busson wrote:

Quesqui ne fonctionne(ait) pas ou mal en IPv6?


VRRPv3 sur des aggregats (LACP).

Même sur des interfaces ge toutes simples il faut les mettre en promisc 
pour que ça fonctionne


Que dit le support ( Comme d'hab que tu es le seul a vouloir faire ca:-) 
?)





---
Liste de diffusion du FRnOG
http://www.frnog.org/ 



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Laurent CARON

On 12/08/2014 18:48, Sylvain Busson wrote:

Que dit le support ( Comme d'hab que tu es le seul a vouloir faire
ca:-) ?)


Le support dit que ça vient de ma conf.

Après vérification, non ça vient pas de la conf, c'est pas supporté en 
flow mode.


Il faut passer en packet mode.

Très bien.

En packet mode ça ne passe pas non plus.

Il faut mettre les interfaces en promisc.

En 12.1X44-D35.5 (la version recommandée par juniper), il est impossible 
de mettre les interfaces ae en promisc.


La version 12.1X46-D20.5 le permet. Mais...
- ma conf ne passe pas la validation...ça se corrigé
- une fois corrigé, effectivement on peut mettre les ae en promisc, ce 
qui fait que ça tombe en marche, mais dans ce cas tous les paquets 
iront taper le RE/PFE...


C'est loin d'être une solution.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX

2014-08-12 Par sujet Raphael Maunier




 On 12 Aug 2014, at 23:03, Raphael Mazelier r...@futomaki.net wrote:
 
 
 
 Le support dit que ça vient de ma conf.
 Bah évidement tu veux faire un truc non standard. (aka jamais testé :)
 
 Après vérification, non ça vient pas de la conf, c'est pas supporté en flow 
 mode.
 
 Il faut passer en packet mode.
 C'est ennuyeux si tu veux faire firewall :/
 
 
 En packet mode ça ne passe pas non plus.
 
 Il faut mettre les interfaces en promisc.
 
 En 12.1X44-D35.5 (la version recommandée par juniper), il est impossible de 
 mettre les interfaces ae en promisc.
 
 La version 12.1X46-D20.5 le permet. Mais...
 - ma conf ne passe pas la validation...ça se corrigé
 - une fois corrigé, effectivement on peut mettre les ae en promisc, ce qui 
 fait que ça tombe en marche, mais dans ce cas tous les paquets iront taper 
 le RE/PFE...
 
 C'est loin d'être une solution.
 Oui on est d'accord ce n'est pas acceptable en production. C'est juste un 
 gros hack.
 Après je ne me ferais pas trop d'illusion sur le fait que ça soit corrigé un 
 jour (encore que j'ai du mal à saisir la complexité d'un tel truc).
 Ça serait déjà bien que juju nous corrige des trucs autrement plus utilisé 
 (au hasard les alg ftp sur srx, ou mieux encore le flow sur mx).

S'ils pouvaient juste arrêter le srx ( comme ils l'ont fait pour le wifi et 
autre truc ) et qu'ils se concentrent sur le mx et ex/qfx on serait content !

 
 Aussi trouver un meilleur protocole que vrrp pour le first hop redundancy ça 
 ne serait pas du luxe. (protocole standardisé s'entend).

Bgp partout :)
 
 
 -- 
 Raphael
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/