Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Michel Py, le Sat 27 Jun 2015 00:55:42 +, a écrit :
> > Samuel Thibault a écrit :
> > Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton 
> > mail.
> 
> Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
> pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
> j'étais sur le 6bone.

Je faisais un stage pour faire de l'OpenGL sur udp, et au passage j'ai
ajouté le support IPv6 au bidule.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Pierre Lagoutte

Comme je te comprends.

C'est vrai: "dual stack" = "deux fois plus de pb"
Quiconque a déjà essayé d'identifier quel est cet host v6 qui crache ce 
p... de trafic incontinent ?

ou à qui appartient ce DUID mystérieux ?
ou de débiter des âneriesen hexa au tel avec un support
ou simplement de prendre des notes au crayon sur un print de snapshot v6

ne peut que ressentir un certain raz-le-bol et (parfois/souvent) 
souhaiter se retrouver dans l'univers cocoon de v4(ou y revenir au plus 
vite). Usant.

Dommage pour les croyants.
L'automatisme c'est bien, mais c'est surtout en papier.

Vivement v11 ou autre (surtout: moins mal foutu)
Bonne journée à tous
  Pierre


=
Le 27/06/2015 05:12, Frederic Dhieux a écrit :

Le 27/06/15 02:55, Michel Py a écrit :


Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
j'étais sur le 6bone.

Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui
n'était pas encore vraiment intégré au monde réel. Les équipementiers
balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne
manquaient pas réellement, c'était plus un truc d'universitaires
qu'autre chose même. Je me rappelle avoir pesté sur des équipements
réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4.

Mais je comprends qu'on puisse être fatigué de se battre pour un truc
pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Michel Py
> Frederic Dhieux a écrit :
> Est-ce qu'on est vraiment obligé à un moment de faire un truc
> batard entre v4 et v6 et de translater de l'un à l'autre ?

Ben oui, puisque plus personne ne croie plus à "IPv6 sera déployé l'année 
prochaine et on pourra enlever le dual-stack dans 2 ou 3 ans". Le disque est 
rayé.


> En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 dans 
> 95% des cas.

Tu viens le faire gratos pour mes clients ?


> Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du 
> NAT entre les 2 du coup ?

Pas moi. Les gens qui croient que "IPv6 only" avec NAT 466464 çà va remplacer 
CGN.


> A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne 
> faut jamais rien faire
> évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la 
> plus sensible.

A mon avis t'as pas encore pris assez de coups de pieds au cul à te battre 
contre des moulins à vent.


> Mais je comprends qu'on puisse être fatigué de se battre pour un truc pendant 
> 15 ans oui.

Ben justement je pense que t'es pas assez fatigué. Essaies de ne pas 
m'expliquer comment être jeune et con. Je suis vieux et con.


> Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à
> part qui n'était pas encore vraiment intégré au monde réel.

Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde à 
part qui n'est pas encore vraiment intégré au monde réel.

La différence, c'est que depuis 15 ans que j'entends des conneries qui 
prédisent le déploiement "imminent" (une chanson que j'ai chanté moi-même) 
maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le 
même disque rayé.

IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme 
tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les 
dépenser.

Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je 
préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, 
c'étaient des trolls à qui tout le monde donnait des croquettes.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Frederic Dhieux


Le 27/06/15 02:55, Michel Py a écrit :

> Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
> pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
> j'étais sur le 6bone.

Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui
n'était pas encore vraiment intégré au monde réel. Les équipementiers
balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne
manquaient pas réellement, c'était plus un truc d'universitaires
qu'autre chose même. Je me rappelle avoir pesté sur des équipements
réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4.

Mais je comprends qu'on puisse être fatigué de se battre pour un truc
pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Frederic Dhieux


Le 26/06/15 19:24, Michel Py a écrit :
> Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. 
> En plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas 
> étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour 
> v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et 
> 3 fois les emmerdes. En plus de devoir administrer double stack, va donc 
> poser la question suivante au blaireau qui est au téléphone parce qu'il peut 
> pas accéder www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ?
> Euuuhhh
>

Est-ce qu'on est vraiment obligé à un moment de faire un truc batard
entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas
vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent
à vivre en parallèle. Après pour le debug c'est potentiellement plus
chiant, mais à ce jour désactiver IPv6 en cas de problème règle
rapidement et sans impact le point si on ne veut pas perdre de temps. En
tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4
dans 95% des cas.

Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire
du NAT entre les 2 du coup ?

>> Damien Fleuriot a écrit :
>> Concernant le fait que ce soit plus ou moins pénible que du v4,
>> c'est tout bête : le v4 c'est déjà en place et maîtrisé ;)
> +1

C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est
un peu notre métier aussi d'appréhender les nouvelles technos et de les
mettre en place.
> +1 En plus, si quelque chose foire pendant que tu fais tes mises à
> jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le
> réseau de prod qui marchait bien avant que tu foutes tes mains dedans 

Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment
là il ne faut jamais mettre à jour tant que ça tourne et il ne faut
jamais rien faire évoluer...

C'est évident aussi qu'on colle pas direct le truc sur la prod la plus
sensible.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Michel Py
> Samuel Thibault a écrit :
> Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton mail.

Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
j'étais sur le 6bone.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Michel Py, le Fri 26 Jun 2015 17:24:22 +, a écrit :
> les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas 
> étanches, mais carrément faux.

Heu, non, IPv6 n'élimine pas NAT, mais permet de s'en passer.

> Il y a plus de méthodes NAT pour V6 que pour v4 : NAT46, NAT64, NAT464, 
> NAT66, et j'en oublie.

La plupart d'entre elles ne sont pas "pour V6" mais "entre 4 et 6". De
nouveau, rien ne t'oblige à en utiliser. Tu peux bien utiliser le NAT66
qui fonctionne comme le NAT44 dont tu as l'habitude. Tu peux bien ne pas
en utiliser du tout (et c'est vraiment pas plus mal).

Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton
mail.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Infos sur le SIP-I

2015-06-26 Par sujet Samuel Muller
J'ai confirmation par Squire Technologies qu'ils assurent également le
SIP <-> SIP-I avec leur équipement SVI_SBC (surcoût de licence au
"canal" à prévoir).

sinon pour une prez RSVA de l'an dernier ~
http://www.fftelecoms.org/articles/referentiel-des-numeros-sva-un-guide-des-utilisateurs-realise-par-l-association-des

mes 2 cents.

Sam


Samuel Muller
m: smul...@ims-dynamics.com

2015-06-17 17:34 GMT+02:00 Eric Duboin :
> les SBC Acme Packet (maintenant Oracle) supporte le SIP<-> SIP-I grace aux
> Header Manipulation Rules.
> je vous envoie un mail perso avec des références.
>
> 2015-06-17 13:44 GMT+02:00 Ville numérique <
> ville.numeri...@mairie-nanterre.fr>:
>
>> Attention aux documents pas à jour en ce qui concerne les n° courts ou
>> spéciaux (modifications octobre 2015) en matière de taxation et d'aboutement
>>
>> Daniel MALGUY
>> 
>> De : frnog-requ...@frnog.org [frnog-requ...@frnog.org] de la part de
>> David Ponzone [david.ponz...@gmail.com]
>> Envoyé : mercredi 17 juin 2015 12:46
>> À : Jérôme Simionato
>> Cc : frnog-t...@frnog.org
>> Objet : Re: [FRnOG] [TECH] Infos sur le SIP-I
>>
>> Vérifie avec Sangoma et Patton ce qu’ils savent faire, mais je pense que
>> le point bloquant, si tu ne veux pas perdre de temps, va être de trouver un
>> équipement qui gère SPIROU.
>>
>> Le 17 juin 2015 à 12:27, Jérôme Simionato  a écrit :
>>
>> > Merci,
>> > concernant le mécaniste ITX/TXA, ce document de tests n'en parles pas.
>> Les seuls tests fait sur numéros court ou spéciaux sont sur ceux "ne
>> mettant pas en œuvre le mécanisme ITX/TXA".
>> > N'importe quel opérateur doit se conformer à ce cahier de test ?
>> >
>> > Que me conseilleriez-vous sur le type d'équipement à choisir pour cela
>> (I-SBC SIP-I => SIP) ?
>> > j'ai déjà regardé les produits suivants:
>> > - dialogic bordernet
>> > - Squire technologies SVI_SBC
>> > - Audiocode mediant MSBR
>> >
>> > ou aller vers de l'open source ?
>> >
>> > Jérôme.
>> >
>> > Le 17/06/2015 11:52, Alain BIEUZENT a écrit :
>> >> Bonjour Jerome,
>> >>
>> >> Tu trouveras toutes les infos (ou presque) sur le site de la FFT :
>> http://www.fftelecoms.org/articles/la-fftelecoms-publie-la-v12-du-profil-d-interconnexion-sip-i
>> >>
>> >> Concernant la validation, oui il faut faire les tests comme en SS7.
>> >> Pour les ITX, oui on doit y répondre.
>> >>
>> >> Bonne lecture.
>> >>
>> >> -Message d'origine-
>> >> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
>> part de Jérôme Simionato
>> >> Envoyé : mercredi 17 juin 2015 10:48
>> >> À : frnog-t...@frnog.org
>> >> Objet : [FRnOG] [TECH] Infos sur le SIP-I
>> >>
>> >> Bonjour a tous,
>> >>
>> >> J'aimerais savoir si des personnes de la liste ont déjà mis en place
>> des interco SIP-I, et quelles particularités de l'ISUP peut on y retrouver.
>> >> Je m'explique: une interco SS7 avec FT est assez complexe à mettre en
>> œuvre,  du fait des tests à réaliser pour valider toutes les
>> fonctionnalités SS7 SPIROU (avec toutes ses spécificités, comme la
>> taxation, etc ...).
>> >>
>> >> Qu'en est il d'une interco en SIP-I ? Y a t'il une validation comme en
>> >> SS7 ?
>> >> S'il s'agit d'une interco FT, y retrouve t'on les infos de taxation et
>> doit on y répondre ?
>> >>
>> >> Je suis pour l'instant un peu dans le flou, et je ne trouves pas
>> beaucoup d'infos sur le net a ce sujet.
>> >>
>> >> Merci d'avance a tous,
>> >> Jérôme.
>> >>
>> >>
>> >>
>> >> ---
>> >> Liste de diffusion du FRnOG
>> >> http://www.frnog.org/
>> >>
>> >
>> > --
>> >
>> > Jérôme SIMIONATO
>> > Développeur
>> >
>> >
>> >
>> > NEOCOM Multimédia SA -www.neocom.fr  
>> > 5, rue Platon, 75015 Paris
>> > Tél. standard :  01 72 71 20 20
>> > Tél. direct   : 0 826 81 51 51 - poste 5309(0.15E/min)
>> >
>> > Paris Stock Exchange - Euronext MLNEO
>> >
>> >
>> >
>> >
>> > /Confidentialité/Internet disclaimer:/
>> >
>> > Ce message contient des informations confidentielles couvertes par le
>> secret professionnel. Si vous n'êtes pas le destinataire
>> > désigné, nous vous remercions de bien vouloir nous en aviser
>> immédiatement et de nous retourner ce message ou de le détruire,
>> > sans faire un quelconque usage de son contenu, ni le communiquer ou le
>> diffuser, ni en prendre aucune copie, électronique ou
>> > non. La sécurité des envois de messages électroniques ne peut être
>> assurée. Ces messages peuvent notamment être interceptés,
>> > modifiés, altérés, détruits, perdus, arriver tardivement ou
>> partiellement, ou contenir des virus. L'expéditeur ne saurait être
>> > tenu pour responsable des erreurs ou omissions qui résulteraient d'un
>> envoi par message électronique. Si vous souhaitez vérifier
>> > l'authenticité du message et des fichiers joints, merci d'en solliciter
>> une copie sur papier.
>> >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste 

RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Michel Py
> David Ponzone a écrit :
> Zut, moi qui voulais m’auto-approprier le 240/4 et l’annoncer, je peux pas ?

Ben t'est pas le premier à y avoir pensé, pas forcément pour l'annoncer, mais 
tous ceux qui ont essayé te diront que 240/4, c'est certifié iso1664. Trop de 
travail, trop d'incertitudes, trop de trucs que tu peux pas fixer.
Pour des adresses privées, c'est bien plus pratique de détourner 30/8 et autres 
préfixe du même "fournisseur" ;-)


> Frederic Dhieux a écrit :
> Ca prend du temps à diluer dans les différentes tâches, mais en quelques 
> années c'est
> possible et surtout c'est mieux que de dire "trop compliqué, trop long, on 
> arrivera
> jamais à le faire passer" et de n'avoir rien commencé 5-10 ans plus tard.

Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. En 
plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas 
étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour v4 
: NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et 3 
fois les emmerdes. En plus de devoir administrer double stack, va donc poser la 
question suivante au blaireau qui est au téléphone parce qu'il peut pas accéder 
www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ?
Euuuhhh


> Damien Fleuriot a écrit :
> Concernant le fait que ce soit plus ou moins pénible que du v4,
> c'est tout bête : le v4 c'est déjà en place et maîtrisé ;)

+1

> Damien Fleuriot a écrit :
> Je peux vendre à mon employeur 15 jours homme pour tot remettre au propre 
> dans les
> whatmille projets, ou 0 jours homme pour conserver l'existant mais pas 
> d'IPv6. Vous pensez
> bien que la discussion va aller assez vite... et pas nécessairement dans mon 
> sens.

+1
En plus, si quelque chose foire pendant que tu fais tes mises à jour, c'est 
forcément ta faute. Pourquoi t'es allé bidouiller sur le réseau de prod qui 
marchait bien avant que tu foutes tes mains dedans

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 15:21:20 +0200, a écrit :
> Je peux vendre à mon employeur 15 jours homme pour tot remettre au
> propre dans les whatmille projets, ou 0 jours homme pour conserver
> l'existant mais pas d'IPv6.

On ne parle pas de tout changer, on parle juste de faire à peu
près pareil que l'existant, avec juste un firewall à la place du
NAT/firewall.

> J'ai l'impression que vous abordez tous le sujet du simple point de vue
> d'un admin réseau, qui veut des choses propres et carrées.
> Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du
> métier; en d'autres termes, on n'a pas toujours le choix.

Pour prendre un exemple concret de composition avec l'existant. Pour mes
cours de réseau j'ai demandé à ce qu'on ait de l'IPv6 configuré dans
les salles de TP. La première réaction a bien sûr été "pfiou, un
jour oui mais oulala". Et puis j'ai discuté avec l'ingé pendant une
heure, pour lui rappeler qu'ipv6 c'est essentiellement comme ipv4 et
qu'il pouvait juste tout faire presque pareil.

En quelques heures il avait plié la mise en œuvre.
Pour une vingtaine de salles de TP avec 20 postes chacun, plus une
salle serveur, chaque salle NATée séparément en v4. Il a simplement
répliqué sa conf v4 pour le firewall, remplaçant le NAT par du
firewall. De même pour DNS, dhcp, etc. Aucun réel changement
d'infrastructure au final.

À un moment, on passe vraiment plus de temps à troller qu'à juste
s'en occuper.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Frederic Dhieux


Le 26/06/15 15:21, Damien Fleuriot a écrit :
>
>
>
> En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là
> le problème, il n'y en a pas des intercos v4 actuellement.
>
Ah bon ? Ton subnet d'IPv4 publiques c'est quoi ? C'est l'interco IPv4
vers ton bloc client privé IPv4.

> Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à
> aucun moment je n'ai dit que le NAT était la seule solution.
> Néanmoins, affirmer que le NAT ne protège pas est une erreur.
>
Affirmer aveuglément que le NAT protège c'est une erreur.

> Certes il y a des alternatives -comme utiliser des intercos pour
> router des préfixes- , mais le NAT apporte, d'une manière différente,
> un mécanisme de protection des serveurs de backend.
>
>

Mais tu le fais déjà sans le savoir avec le NAT...

> J'ai l'impression que vous abordez tous le sujet du simple point de
> vue d'un admin réseau, qui veut des choses propres et carrées.
> Gardez à l'esprit qu'il faut composer avec l'existant et les
> contraintes du métier; en d'autres termes, on n'a pas toujours le choix.
>

On est bien sur FRnOG ? L'existant on en a tous et on bosse justement à
l'améliorer. La première chose c'est de maitriser l'existant et la cible
pour aller du point A au point B. Après il y a les contraintes, mais là
manifestement c'est pas vraiment une contrainte, c'est plus une
incompréhension je pense.

> Je peux vendre à mon employeur 15 jours homme pour tot remettre au
> propre dans les whatmille projets, ou 0 jours homme pour conserver
> l'existant mais pas d'IPv6.
> Vous pensez bien que la discussion va aller assez vite... et pas
> nécessairement dans mon sens.
>
On en revient à ce qu'on dit : Le problème n'est pas technique, le
problème c'est que les gens ont peur de se pencher sur le sujet, au
mieux estiment correctement que ça va prendre du temps, au pire estiment
que c'est un chantier titanesque (ce qui est faux niveau réseau et
système, ce qui peut être vrai niveau BDD et dev)

La réalité c'est qu'en réseau tu peux très facilement implémenter IPv6
en parallèle de ton existant sans impact et donc le faire 1h par ci 1h
par là pour te "détendre" et finalement arriver au bout d'un an à un
truc qui ressemble à quelque chose sans l'avoir passé comme un vrai
projet chronophage. Tout comme j'estime de mon côté que la bonne
démarche et de se dire qu'à chaque changement d'équipement ou
installation d'un nouveau service, il faut appliquer la mise en place
d'IPv6 dans le processus. C'est pris sur le temps de chaque projet sans
être trop pénalisant et ça ajoute petit à petit les pièces au puzzle.

Et un jour on finit par se rendre compte qu'on a quasiment toutes les
briques en place pour déployer un service IPv6 et que le projet IPv6 ne
semble plus aussi compliqué qu'on ne l'aurait cru.

Le plus gros problème au départ c'était les équipements réseaux,
aujourd'hui c'est de moins en moins le cas après de nombreuses années.
Il reste donc surtout la partie applicative qui freine, mais c'est en
aval du réseau et du système, donc non bloquant pour "nous".

Ca prend du temps à diluer dans les différentes tâches, mais en quelques
années c'est possible et surtout c'est mieux que de dire "trop
compliqué, trop long, on arrivera jamais à le faire passer" et de
n'avoir rien commencé 5-10 ans plus tard.

My 2 cents.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 15:24:38 +0200, a écrit :
> Dans ce scénario et attendu que le firewall se retrouve en effet en point de
> coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6, quand 
> ils
> pourraient être en simple v4 ?

C'est une autre possibilité, oui.

> "Ça permet d'éviter le NAT", tant valable techniquement, ne sera pas accepté
> économiquement, ça représente mécaniquement un coût.

Le NAT en lui-même a un coût, qui n'est pas vraiment négligeable non
plus, et centralisé dans ton firewall qui aura donc plus de mal à passer
à l'échelle.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 15:20 GMT+02:00 Samuel Thibault :

> Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit :
> > Pour le contexte vis-à-vis de l'existant :
> >
> > [ router ] pub
> >   |
> > [ FW ] pub + 1918
> >   |
> > [ lb ] 1918
> >   |
> > [ web ] 1918
>
> Et donc:
>
> [ router ] 2001:db8:0:1::1/64
>   |
> [ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64
>   |
> [ lb ] 2001:db8:0:2::3/64
>   |
> [ web ] 2001:db8:0:2::x/64
>
> Je ne vois pas de difficulté de conception: on fait comme l'existant,
> juste du NAT en moins.
>

Dans ce scénario et attendu que le firewall se retrouve en effet en point
de coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6,
quand ils pourraient être en simple v4 ?

"Ça permet d'éviter le NAT", tant valable techniquement, ne sera pas
accepté économiquement, ça représente mécaniquement un coût.
J'entends qu'il s'agit d'un coût faible, mais appliqué à chacun de nos
projets et chacune des machines, ça va chiffrer assez vite.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 15:11 GMT+02:00 Frederic Dhieux :

>
>
> Le 26/06/15 14:52, Samuel Thibault a écrit :
> >
> > Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
> > (mais garder le firewall bien sûr). Il te faut un subnet séparé
> > pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
> > RFC1918. Je ne vois aucune difficulté de réflexion.
>
> Pareil, je capte pas où est le chamboulement, mettre une intero v6
> publique comme il y a l'IP publique v4 et mettre un subnet public routé
> v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au
> lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall
> avec des règles de translation d'IP quand même à la base non ?)
>
> Je suis en train de pleurer du sang à lire encore des histoires qui
> mélangent NAT et sécurité pour justifier de garder une affreuse
> "rustine" qu'est le NAT et de ne pas mettre IPv6.
>
> En gros ce qui change entre IPv4 NAT et IPv6 :
> - Le subnet interne derrière la boiboite est non translaté par le firewall
> - Le blocage des ports entrants par défaut vers le subnet interne
>
> On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas
> bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas
> bien configuré au moins rien ne fonctionne...
>
> Frédéric


En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là le
problème, il n'y en a pas des intercos v4 actuellement.

Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à aucun
moment je n'ai dit que le NAT était la seule solution.
Néanmoins, affirmer que le NAT ne protège pas est une erreur.

Certes il y a des alternatives -comme utiliser des intercos pour router des
préfixes- , mais le NAT apporte, d'une manière différente, un mécanisme de
protection des serveurs de backend.


J'ai l'impression que vous abordez tous le sujet du simple point de vue
d'un admin réseau, qui veut des choses propres et carrées.
Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du
métier; en d'autres termes, on n'a pas toujours le choix.

Je peux vendre à mon employeur 15 jours homme pour tot remettre au
propre dans les whatmille projets, ou 0 jours homme pour conserver
l'existant mais pas d'IPv6.
Vous pensez bien que la discussion va aller assez vite... et pas
nécessairement dans mon sens.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Frederic Dhieux


Le 26/06/15 15:13, Damien Fleuriot a écrit :
>
> Pour le contexte vis-à-vis de l'existant :
>
> [ router ] pub
>   |
> [ FW ] pub + 1918
>   |
> [ lb ] 1918
>   |
> [ web ] 1918
>
>
> Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs
> publiques.
> LB et web ont des IPs RFC1918.
>
> Gardez bien en tête qu'il faut composer avec l'existant.

[ router ] interco 1 pub
  |
[ FW ] interco 2 pub (je comprends pas trop le role du routeur avant en fait) + 
subnet client IPv6
  |
[ lb ] subnet client IPv6
  |
[ web ] subnet client IPv6


Tu bloques les ports vers le subnet client en entrée sur le firewall qui
par ailleurs est tout autant un routeur qu'au moment où il faisait du NAT.

Pour moi translater des IPv4 via un NAT, c'est du routage, donc ça ne
change pas grand chose. C'est même plus simple. Au lieu d'avoir une
table de translation NAT on a une table d'états de firewalling.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit :
> Pour le contexte vis-à-vis de l'existant :
> 
> [ router ] pub
>   |
> [ FW ] pub + 1918
>   |
> [ lb ] 1918
>   |
> [ web ] 1918

Et donc:

[ router ] 2001:db8:0:1::1/64
  |
[ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64
  |
[ lb ] 2001:db8:0:2::3/64
  |
[ web ] 2001:db8:0:2::x/64

Je ne vois pas de difficulté de conception: on fait comme l'existant,
juste du NAT en moins.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 14:52 GMT+02:00 Samuel Thibault :

> Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit :
> > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme
> de
> > reverse-proxy qui assurent ça.
>
> Heu, mais si tu envisages de brancher tes Web1 et Web2 directement
> sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le
> même réseau que "dehors le firewall" ? Et donc que tu as un souci L2
> déjà, et que c'est juste par chance que ça n'est pas percé.
>
> Sinon, si tu as déjà deux L2 séparés pour "en-dehors du firewall"
> et "en-dedans du firewall", eh bien il faut deux subnets, oui. Rien de
> nouveau, c'est ainsi en v4 depuis le début :)
>
> > En gros ici, on n'a pas de réseau routé par les firewalls.
> > Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
> > reverse-proxies qui ont des IPs RFC1918.
>
> En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois
> pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je
> n'y vois pas d'intérêt par rapport à un bête firewall.
>
> > Concernant le fait que ce soit plus ou moins pénible que du v4, c'est
> tout bête
> > : le v4 c'est déjà en place et maîtrisé ;)
>
> Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
> (mais garder le firewall bien sûr). Il te faut un subnet séparé
> pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
> RFC1918. Je ne vois aucune difficulté de réflexion.
>


Pour le contexte vis-à-vis de l'existant :

[ router ] pub
  |
[ FW ] pub + 1918
  |
[ lb ] 1918
  |
[ web ] 1918


Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs
publiques.
LB et web ont des IPs RFC1918.

Gardez bien en tête qu'il faut composer avec l'existant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Frederic Dhieux


Le 26/06/15 14:52, Samuel Thibault a écrit :
>
> Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
> (mais garder le firewall bien sûr). Il te faut un subnet séparé
> pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
> RFC1918. Je ne vois aucune difficulté de réflexion.

Pareil, je capte pas où est le chamboulement, mettre une intero v6
publique comme il y a l'IP publique v4 et mettre un subnet public routé
v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au
lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall
avec des règles de translation d'IP quand même à la base non ?)

Je suis en train de pleurer du sang à lire encore des histoires qui
mélangent NAT et sécurité pour justifier de garder une affreuse
"rustine" qu'est le NAT et de ne pas mettre IPv6.

En gros ce qui change entre IPv4 NAT et IPv6 :
- Le subnet interne derrière la boiboite est non translaté par le firewall
- Le blocage des ports entrants par défaut vers le subnet interne

On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas
bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas
bien configuré au moins rien ne fonctionne...

Frédéric


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit :
> Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de
> reverse-proxy qui assurent ça.

Heu, mais si tu envisages de brancher tes Web1 et Web2 directement
sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le
même réseau que "dehors le firewall" ? Et donc que tu as un souci L2
déjà, et que c'est juste par chance que ça n'est pas percé.

Sinon, si tu as déjà deux L2 séparés pour "en-dehors du firewall"
et "en-dedans du firewall", eh bien il faut deux subnets, oui. Rien de
nouveau, c'est ainsi en v4 depuis le début :)

> En gros ici, on n'a pas de réseau routé par les firewalls.
> Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
> reverse-proxies qui ont des IPs RFC1918.

En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois
pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je
n'y vois pas d'intérêt par rapport à un bête firewall.

> Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout 
> bête
> : le v4 c'est déjà en place et maîtrisé ;)

Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
(mais garder le firewall bien sûr). Il te faut un subnet séparé
pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
RFC1918. Je ne vois aucune difficulté de réflexion.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 14:38 GMT+02:00 Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net>:

> On Fri, Jun 26, 2015, at 12:40, Damien Fleuriot wrote:
> > Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
> > et devoir les firewaller une par une.
>
> Non et NON et *NON* !
>
> > Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
> > coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
> > doit être maintenu.
>
> Tu n'a pas besoin de NAT pour mettre un firewall en coupure.
> Et de memoire sur les firewalls tu peux quand-meme utilises de subnets,
> pas seulement des hosts (en v4 comme en v6 - modulo qu'en v6 utiliser
> des hosts seuls c'est rarement utile).
>
> > Je peux me tromper
>
> C'est bien le cas ici.
>
> > ce qui me concerne des machines avec des IPv6 directement exposées sans
> > NAT/RP c'est un accident qui attend d'arriver.
>
> Rien ne t'empeche de :
>  - ne pas exposer directement des machines ayant une v6 "globale" (*).
>  comme deja preise, tu peux mettre un firewall devant.
>  - mettre un RP (en v6) devant des machines toujours en v6
>
> (*) Faut commencer a assimiler la difference entre une adresse
> "publique" et une adresse "globalement unique". Une adresse "globalement
> unique" est *generalement* publique, mais ce n'est pas du tout
> obligatoire.
>


J'entends bien, mais aujourd'hui, pour des raisons qui me sont antérieures,
il n'y a aucun subnet routé par les FW.
Ils assurent le NAT et le RP en v4, mais ils ne routent pas de networks.

Du coup, passer en v6, c'est :
- des changements d'infra
- des risques (erreurs d'implémentation, de manipulation pour le
changement, failles de sécu en v6 (rtadv bonsoir) )
- beaucoup de travail pour finalement pas grand chose (et on en revient
toujours au même problème avec l'ipv6 -.- )

Faudra bien qu'on le fasse un jour hein, mais pour le moment le management
n'y voit aucun intérêt, et honnêtement côté technique non plus; que de
l'inconvénient.


En tout cas, je prends bonne note de la solution privilégiée de router des
subnets via les FW, même si c'est très différent de notre fonctionnement
d'ajd :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 13:29 GMT+02:00 Samuel Thibault :

> Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
> > Parce que pour que le firewall fasse office de point de coupure, encore
> > faut-il que les bécannes qui sont derrière ne soient joignables que via
> ce
> > dernier ?
> >
> > Router : 2001::1
> > FW : 2001::2
> >
> > Web1 : 2001::a
> > Web2 : 2001::b
>
> Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement
> sur le routeur, et que c'est juste par chance que le trafic, en v4,
> passe par ton Firewall ? Ben c'est effectivement là qu'est le problème,
> mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est
> vraiment très artificiel que NAT te "corrige" le problème).
>
> > À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
> > firewall n'agit pas en point de coupure.
>
> Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents
> entre ce qui est devant ton firewall et ce qui est derrière. Rien de
> nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un
> firewall.
>
> > Personnellement ça me semble assez chiant à mettre en place (on en
> revient
> > au rapport pénibilité-bénéfice d'ipv6 du coup).
>
> Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en
> v4.
>

Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de
reverse-proxy qui assurent ça.
En gros ici, on n'a pas de réseau routé par les firewalls.
Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
reverse-proxies qui ont des IPs RFC1918.

Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout
bête : le v4 c'est déjà en place et maîtrisé ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Une FAQ IPv6

2015-06-26 Par sujet Samuel Thibault
Du coup je poste l'adresse ici. Je pensais retravailler des trucs avant
de poster ici, mais je n'ai pas le temps en ce moment, et mieux vaut
"release often", surtout quand le fer du tro^W^W de la discussion est
chaud :)

Chez FFDN on a rédigé une FAQ IPv6 qui se veut donner des réponses
courtes, avec juste ce qu'il y a besoin d'expliquer pour se dire "ok,
c'est vraiment pas la mort en fait":

http://www.ffdn.org/wiki/doku.php?id=travaux:ipv6-faq

Contributions bienvenues :) notamment sur des liens vers des
explications plus détaillées pour ceux qui veulent approfondir
différents aspects.

Bonne lecture,
Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
> Parce que pour que le firewall fasse office de point de coupure, encore
> faut-il que les bécannes qui sont derrière ne soient joignables que via ce
> dernier ?
> 
> Router : 2001::1
> FW : 2001::2
> 
> Web1 : 2001::a
> Web2 : 2001::b

Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement
sur le routeur, et que c'est juste par chance que le trafic, en v4,
passe par ton Firewall ? Ben c'est effectivement là qu'est le problème,
mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est
vraiment très artificiel que NAT te "corrige" le problème).

> À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
> firewall n'agit pas en point de coupure.

Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents
entre ce qui est devant ton firewall et ce qui est derrière. Rien de
nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un
firewall.

> Personnellement ça me semble assez chiant à mettre en place (on en revient
> au rapport pénibilité-bénéfice d'ipv6 du coup).

Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en
v4.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
> Parce que pour que le firewall fasse office de point de coupure, encore
> faut-il que les bécannes qui sont derrière ne soient joignables que via ce
> dernier ?

Si ce n'est pas le cas, ton réseau a un souci L2, pas L3...

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 12:49 GMT+02:00 Raphael Mazelier :

>
>
> Le 26/06/15 12:40, Damien Fleuriot a écrit :
>
>> Je trouve ça très réducteur, le propos sur le NAT.
>>
>> Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
>> devoir les firewaller une par une.
>> C'est chiant à maintenir, très chiant.
>>
>> Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
>> coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
>> doit être maintenu.
>>
>>
>> Je peux me tromper, vous avez peut-être des solutions alternatives, mais
>> en
>> ce qui me concerne des machines avec des IPv6 directement exposées sans
>> NAT/RP c'est un accident qui attend d'arriver.
>>
>>
> Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu
> n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de
> bordure.
>
> Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a
> crée un semblant de sécurité du fait des architectures mise en place pour
> contourner le manque d'ipv4. L'architecture courante étant tout les
> serveurs en rcf1918 derrière un firewall, ip publiques portés par le
> firewall et nat sélectif. Une architecture qui marche jusqu’à un certain
> point.



Une approche qui se défend, mais à ce compte là est-ce qu'il y a vraiment
un intérêt à utiliser des IPv6 sur ses serveurs de backend ?

Dans ce genre de scénario, si je comprends bien, tu dois toujours avoir un
équipement qui fait office de reverse proxy (qui lui est annoncé et
joignable).
Cet équipement pourrait tout aussi bien continuer à parler aux backends en
v4, limitant les modifications d'infra.

On en arrive à un stade hybride où l'équipement doit pouvoir parler en v4
et en v6, mais de toutes façons on sera bien obligés de conserver la
compatibilité v4 "temporairement" le temps de la transition.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Raphael Mazelier



Le 26/06/15 13:05, Damien Fleuriot a écrit :


Parce que pour que le firewall fasse office de point de coupure, encore
faut-il que les bécannes qui sont derrière ne soient joignables que via ce
dernier ?



Ca semble un peu la base oui :)

--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
2015-06-26 12:56 GMT+02:00 Simon Morvan :

>
>
> Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot  a écrit :
> >Je trouve ça très réducteur, le propos sur le NAT.
> >
> >Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
> >et
> >devoir les firewaller une par une.
> >C'est chiant à maintenir, très chiant.
> >
> >Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall
> >en
> >coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
> >doit être maintenu.
>
> Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat
> pour protéger toutes les machines derrière avec un ruleset unique.
>
>
Parce que pour que le firewall fasse office de point de coupure, encore
faut-il que les bécannes qui sont derrière ne soient joignables que via ce
dernier ?

Router : 2001::1
FW : 2001::2

Web1 : 2001::a
Web2 : 2001::b

À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
firewall n'agit pas en point de coupure.

Personnellement ça me semble assez chiant à mettre en place (on en revient
au rapport pénibilité-bénéfice d'ipv6 du coup).


Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus
simple qui ne me vient pas à l'esprit ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Simon Morvan


Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot  a écrit :
>Je trouve ça très réducteur, le propos sur le NAT.
>
>Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
>et
>devoir les firewaller une par une.
>C'est chiant à maintenir, très chiant.
>
>Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall
>en
>coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
>doit être maintenu.

Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat pour 
protéger toutes les machines derrière avec un ruleset unique.


-- 
Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Samuel Thibault
Damien Fleuriot, le Fri 26 Jun 2015 12:40:54 +0200, a écrit :
> Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
> devoir les firewaller une par une.

Pourquoi les firewaller ? Tu peux les firewaller ensemble, comme tu le
faisais en v4.

> Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
> coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
> doit être maintenu.

Il n'y a pas besoin de NATer pour ça, il suffit de firewaller. Vraiment
de la même manière, juste le NAT en moins.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet David Ponzone

Mais non, tous les OS sont sécurisés maintenant, les constructeurs sont 
prudents, surtout sur les Objets Connectés, comme nos futures voitures par 
exemple.
On risque rien!



Le 26 juin 2015 à 12:40, Damien Fleuriot  a écrit :

> Je trouve ça très réducteur, le propos sur le NAT.
> 
> Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
> devoir les firewaller une par une.
> C'est chiant à maintenir, très chiant.
> 
> Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
> coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
> doit être maintenu.
> 
> 
> Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
> ce qui me concerne des machines avec des IPv6 directement exposées sans
> NAT/RP c'est un accident qui attend d'arriver.
> 
> 
> 2015-06-25 10:49 GMT+02:00 Nicolas Parpandet :
> 
>> 
>> 
>> Hello,
>> 
>> Cela existe depuis longtemps, plusieurs groupes français
>> ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.),
>> mais c'est galère, une partie de yahoo est injoignable par exemple !, et
>> du routage spécifique à du être mis en place...
>> 
>> Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6
>> est en cours d'ajout dans le noyaux linux, ca me fait mal lol...
>> 
>> Nicolas
>> 
>> 
>> - Mail original -
>> De: "Stephane Bortzmeyer" 
>> À: "Simon Morvan" 
>> Cc: frnog@frnog.org
>> Envoyé: Jeudi 25 Juin 2015 10:35:27
>> Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser
>> des adresses déjà allouées
>> 
>> On Thu, Jun 25, 2015 at 10:23:37AM +0200,
>> Simon Morvan  wrote
>> a message of 33 lines which said:
>> 
>>> C'est pour un usage strictement interne et privé, derrière les IPs
>>> publiques "légalement" utilisables, on est bien d'accord ?
>> 
>> Mais cela empêche toute communication avec les boîtes qui ont
>> l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
>> cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
>> solution simple de passer à IPv6 (on n'est pas vendredi ?)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Raphael Mazelier



Le 26/06/15 12:40, Damien Fleuriot a écrit :

Je trouve ça très réducteur, le propos sur le NAT.

Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
devoir les firewaller une par une.
C'est chiant à maintenir, très chiant.

Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
doit être maintenu.


Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
ce qui me concerne des machines avec des IPv6 directement exposées sans
NAT/RP c'est un accident qui attend d'arriver.



Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu 
n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de 
bordure.


Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a 
crée un semblant de sécurité du fait des architectures mise en place 
pour contourner le manque d'ipv4. L'architecture courante étant tout les 
serveurs en rcf1918 derrière un firewall, ip publiques portés par le 
firewall et nat sélectif. Une architecture qui marche jusqu’à un certain 
point.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Damien Fleuriot
Je trouve ça très réducteur, le propos sur le NAT.

Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
devoir les firewaller une par une.
C'est chiant à maintenir, très chiant.

Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
doit être maintenu.


Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
ce qui me concerne des machines avec des IPv6 directement exposées sans
NAT/RP c'est un accident qui attend d'arriver.


2015-06-25 10:49 GMT+02:00 Nicolas Parpandet :

>
>
> Hello,
>
> Cela existe depuis longtemps, plusieurs groupes français
> ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.),
> mais c'est galère, une partie de yahoo est injoignable par exemple !, et
> du routage spécifique à du être mis en place...
>
> Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6
> est en cours d'ajout dans le noyaux linux, ca me fait mal lol...
>
> Nicolas
>
>
> - Mail original -
> De: "Stephane Bortzmeyer" 
> À: "Simon Morvan" 
> Cc: frnog@frnog.org
> Envoyé: Jeudi 25 Juin 2015 10:35:27
> Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser
> des adresses déjà allouées
>
> On Thu, Jun 25, 2015 at 10:23:37AM +0200,
>  Simon Morvan  wrote
>  a message of 33 lines which said:
>
> > C'est pour un usage strictement interne et privé, derrière les IPs
> > publiques "légalement" utilisables, on est bien d'accord ?
>
> Mais cela empêche toute communication avec les boîtes qui ont
> l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
> cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
> solution simple de passer à IPv6 (on n'est pas vendredi ?)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Arnaud Mombrial
Bé oui, pasque la dictature économique Européenne, c'est tellement plus
seyant...

Désolé, @Julien, j'ai pas pu m'empêcher, à réponse à deux balles, réponse à
deux balles...

Désolé également @v...@elynxit.fr dont la belle tentative de sortie du lot,
va immanquablement finir en Trolldi.



Le 26 juin 2015 12:16, Julien Schafer  a écrit :

> Hum, en même temps le Venezuela comment dire... c'est ptet pas le meilleur
> pays pour prendre un exemple.
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
> de Laurent
> Envoyé : vendredi 26 juin 2015 12:02
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI
>
> Le 26/06/2015 11:30, David Ponzone a écrit :
> > Les employés qui recrutent leur manager, c'est peut-être ça la solution.
>
> *1200 salariés, pas de patron et aucune hiérarchie..*
>
>
> http://www.bastamag.net/Au-Venezuela-la-cooperative-Cecosesola-compte-1200-travailleurs-et-pas-un-chef
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> __ Information provenant d'ESET NOD32 Antivirus, version de la
> base des signatures de virus 11847 (20150626) __
>
> Le message a été vérifié par ESET NOD32 Antivirus.
>
> http://www.eset.com
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
//
Arnaud MOMBRIAL
IT Manager

arnaud.mombr...@fabernovel.com
+336 64 20 43 24 // +331 42 72 20 04

FΛBERNOVEL
17, rue du faubourg du Temple 75010 Paris
www.fabernovel.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Julien Schafer
Hum, en même temps le Venezuela comment dire... c'est ptet pas le meilleur pays 
pour prendre un exemple.

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Laurent
Envoyé : vendredi 26 juin 2015 12:02
À : frnog@frnog.org
Objet : Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

Le 26/06/2015 11:30, David Ponzone a écrit :
> Les employés qui recrutent leur manager, c'est peut-être ça la solution.

*1200 salariés, pas de patron et aucune hiérarchie..*

http://www.bastamag.net/Au-Venezuela-la-cooperative-Cecosesola-compte-1200-travailleurs-et-pas-un-chef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

__ Information provenant d'ESET NOD32 Antivirus, version de la base des 
signatures de virus 11847 (20150626) __

Le message a été vérifié par ESET NOD32 Antivirus.

http://www.eset.com




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Pierre-Emmanuel Vincent
Bonjour Sébastien,

Nous avons à notre gamme un switch full administrable 8 ports 10/100/1000 + 2 
ports combo cuivre/SFP qui pourrait convenir à votre besoin.
Le tarif public indicatif est de 255€ (hors cout du SFP MiniGBIC), garantie à 
vie catalogue + 5 ans.

Pour plus d'informations :
http://www.zyxel.fr/products/zyxel-gs2210-8/
 
Cordialement,
Pierre-Emmanuel VINCENT

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sébastien 65
Envoyé : vendredi 26 juin 2015 09:09
À : frnog-t...@frnog.org
Objet : [!!Mass Mail][FRnOG] [TECH] Switch optique + port cuivre

Bonjour la liste !
 
Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
optique qui pourrait correspondre aux besoins ci-dessous :
 
J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux pas 
y aller en cuivre.
 
Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono) 
mais pour certains cas le CISCO est beaucoup trop onéreux...
 
Je recherche donc un switch optique bas de gamme (donc pour faible budget) 
intégrant un ou deux ports SFP et ayant aussi un ou deux ports RJ45 
100/1000Mbps (s'il existe la perle rare avec gestion de VLAN/RateLimiting je 
prends aussi :) )
 
Ensuite un autre switch optique avec un ou deux SFP mais intégrant plus qu'un 
ou deux ports RJ45 100/1000Mbps avec si possible VLAN + RateLimiting (Je n'ai 
pas éplucher toute la gamme CISCO, actuellement j'ai du 2960...) 
 
Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / SF 
300-24 / SG 300-10).
 
Le SG 300-10 me plait pas trop mal sur le papier...
 
Merci par avance pour votre retour d'XP !
 
Bonne journée. 
 
 
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Laurent
Le 26/06/2015 11:30, David Ponzone a écrit :
> Les employés qui recrutent leur manager, c’est peut-être ça la solution.

*1200 salariés, pas de patron et aucune hiérarchie..*

http://www.bastamag.net/Au-Venezuela-la-cooperative-Cecosesola-compte-1200-travailleurs-et-pas-un-chef


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Metalman
Ah mais un DSI n'est pas necessairement technique.
Peut etre qu'un "vrai" sysadmin ou un admin senior pourrait suffire.

Mais pour le management, c'est beaucoup trop vague.
Il faut detailler.
En admin, ce ne sera que l'infra qui sera managee "a defaut" de details.

D'ailleurs management et technique sont trop melanges.
Donc ca s'adresse aux TPE ou tres jeunes PME ?

Bon courage, troll-ou-pas.

Fabrice BOISSIER

Le 26 juin 2015 à 11:38, Vincent  a écrit :

> Le 26/06/2015 11:18, Jean-Michel NICOLAS a écrit :
>> TROLLDI ?:)
> Pas du tout
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Vincent

Le 26/06/2015 11:18, Jean-Michel NICOLAS a écrit :

TROLLDI ?:)

Pas du tout


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Jérôme Nicolle
Salut Sébastien,

Le 26/06/2015 09:08, Sébastien 65 a écrit :
> Pour le moment j'utilise des switch de marque CISCO avec des SFP
> (multi/mono) mais pour certains cas le CISCO est beaucoup trop
> onéreux...

Même à 300-400 balles le 2960G voir 3560G ?!

> Je recherche donc un switch optique bas de gamme

Si tu veux vraiment prendre le risque du bas de gamme pas homogène avec
ton existant, part là dessus :
http://www.interprojekt.com.pl/crs112-p-1768.html

A 100 balles les 4 SFP et 8 RJ-45, avec rate-limit et quelques features
en plus, tu ne trouveras pas mieux à ce prix.

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet David Ponzone
Les employés qui recrutent leur manager, c’est peut-être ça la solution.
En même temps, au niveau du pays, ça marche pas si bien….

Le 26 juin 2015 à 11:23, Jérôme Marceau  a écrit :

> "Enorme", c'est le mot !
> 
> Fiston cherche papa 
> 
> 
> Jérôme Marceau
> Responsable Service Informatique
> jerome.marc...@lemarsan.fr
> Tél. direct : 05 58 46 75 03
> Port. : 06 16 79 21 70
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
> David Ponzone
> Envoyé : vendredi 26 juin 2015 11:15
> À : Vincent
> Cc : frnog-j...@frnog.org
> Objet : Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI
> 
> Enorme!
> 
> 
> Le 26 juin 2015 à 11:08, Vincent  a écrit :
> 
>> Bonjour,
>> 
>> Jeune admin junior cherche ASAP un bon DSI, compétent sur les technos 
>> suivantes :
>> 
>> BSD, Squid, LemonLDAP, DAS Guardian,
>> Debian, *OpenBSD*, *Proxmox*, FreeNAS, Samba, Bacula, *Asterisk*, 
>> SoGo, OpenChanges, FOGproject.
>> OCS, Android, Cyanogen
>> 
>> *BGP*, *Juniper*, FON, peering au FranceIX...
>> 
>> *PostgreSQL, MySQL*
>> 
>> 300 postes de travails Wintruc
>> 
>> Un peu de dev python, perl, php, Shell
>> Mise en place de Workflow, SugarCRM...
>> 
>> Pour résumer, 99% des serveurs sont en libre.
>> 
>> Autres compétences demandé :
>>   - Former un tech ne connaissant pas du tout le monde du libre.
>>   - M'aider et me former un peu (je suis Junior en tant qu'admin !)
>>   - *Gestion de projet*
>> 
>> Autre mission, *manager* la DSI et 2 autres pôles (surtout de la 
>> gestion projet et du management pour ces 2 autres pôles).
>> 
>> CDI, *ASAP*, 75006, Bonne rémunération selon profil.
>> Me répondre si intéressé, je ferai suivre aux plus hautes instances.
>> 
>> N'hésitez pas à faire tourné.
>> 
>> Bonne journée à tous
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Paul Birnbaum
Bonjour,

Pouvez vous m'indiquez où vous le trouver à 400€ garanti à vie, à ce prix la 
c'est une affaire.


Cordialement

Paul Birnbaum



> Le 26 juin 2015 à 11:09, David Ponzone  a écrit :
> 
> Y a plusieurs modèles de 3750G, y a pas que le 12S.
> Ceci dit, si 400€ c’est cher, effectivement, tu aurais du le dire au départ :)
> 
> Alors là, Mikrotik sans hésiter.
> 
> Le 26 juin 2015 à 10:50, Sébastien 65  a écrit :
> 
>> Merci pour les retours !!! 
>> 
>> J'ai eu des retours d'XP sur TPLINK/Netgear/MikroTik/Cisco SB... Je ne suis 
>> pas fan du management dans le Cloud, je préfère une bonne vielle connexion 
>> sur l'IP du bouzin pour le titiller !
>> 
>> Je suis vraiment preneur des CISCO... Mais certain Broke se touche un peux 
>> quand même :/
>> 
>>> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre 
>>> eux te le garantissent même à vie. 
>> 
>> Un 3750G j'en utilise mais c'est quand même 400 euros... C'est quand même 
>> pas donné! Si un broker à une proposition intéressante à me faire :D
>> 
>> Le 3750G peut avoir l'inconvénient dans certains cas : faut provisionner le 
>> switch en SFP RJ45, je branche en général 1 SFP pour la F.O voire deux, le 
>> reste des ports c'est des câbles RJ45 qui se connectent sur les autres 
>> switchs/équipements...
>> 
>> 
>> 
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Jérôme Marceau
"Enorme", c'est le mot !

Fiston cherche papa 


Jérôme Marceau
Responsable Service Informatique
jerome.marc...@lemarsan.fr
Tél. direct : 05 58 46 75 03
Port. : 06 16 79 21 70


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : vendredi 26 juin 2015 11:15
À : Vincent
Cc : frnog-j...@frnog.org
Objet : Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

Enorme!


Le 26 juin 2015 à 11:08, Vincent  a écrit :

> Bonjour,
> 
> Jeune admin junior cherche ASAP un bon DSI, compétent sur les technos 
> suivantes :
> 
> BSD, Squid, LemonLDAP, DAS Guardian,
> Debian, *OpenBSD*, *Proxmox*, FreeNAS, Samba, Bacula, *Asterisk*, 
> SoGo, OpenChanges, FOGproject.
> OCS, Android, Cyanogen
> 
> *BGP*, *Juniper*, FON, peering au FranceIX...
> 
> *PostgreSQL, MySQL*
> 
> 300 postes de travails Wintruc
> 
> Un peu de dev python, perl, php, Shell
> Mise en place de Workflow, SugarCRM...
> 
> Pour résumer, 99% des serveurs sont en libre.
> 
> Autres compétences demandé :
>- Former un tech ne connaissant pas du tout le monde du libre.
>- M'aider et me former un peu (je suis Junior en tant qu'admin !)
>- *Gestion de projet*
> 
> Autre mission, *manager* la DSI et 2 autres pôles (surtout de la 
> gestion projet et du management pour ces 2 autres pôles).
> 
> CDI, *ASAP*, 75006, Bonne rémunération selon profil.
> Me répondre si intéressé, je ferai suivre aux plus hautes instances.
> 
> N'hésitez pas à faire tourné.
> 
> Bonne journée à tous
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Jean-Michel NICOLAS
TROLLDI ? :)

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Nicolas Girardi
Envoyé : vendredi 26 juin 2015 11:17
À : David Ponzone; Vincent
Cc : frnog-j...@frnog.org
Objet : RE: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

:D


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone Envoyé : vendredi 26 juin 2015 11:15 À : Vincent Cc : 
frnog-j...@frnog.org Objet : Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un 
bon DSI

Enorme!


Le 26 juin 2015 à 11:08, Vincent  a écrit :

> Bonjour,
> 
> Jeune admin junior cherche ASAP un bon DSI, compétent sur les technos 
> suivantes :
> 
> BSD, Squid, LemonLDAP, DAS Guardian,
> Debian, *OpenBSD*, *Proxmox*, FreeNAS, Samba, Bacula, *Asterisk*, 
> SoGo, OpenChanges, FOGproject.
> OCS, Android, Cyanogen
> 
> *BGP*, *Juniper*, FON, peering au FranceIX...
> 
> *PostgreSQL, MySQL*
> 
> 300 postes de travails Wintruc
> 
> Un peu de dev python, perl, php, Shell
> Mise en place de Workflow, SugarCRM...
> 
> Pour résumer, 99% des serveurs sont en libre.
> 
> Autres compétences demandé :
>- Former un tech ne connaissant pas du tout le monde du libre.
>- M'aider et me former un peu (je suis Junior en tant qu'admin !)
>- *Gestion de projet*
> 
> Autre mission, *manager* la DSI et 2 autres pôles (surtout de la 
> gestion projet et du management pour ces 2 autres pôles).
> 
> CDI, *ASAP*, 75006, Bonne rémunération selon profil.
> Me répondre si intéressé, je ferai suivre aux plus hautes instances.
> 
> N'hésitez pas à faire tourné.
> 
> Bonne journée à tous
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Nicolas Girardi
:D


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : vendredi 26 juin 2015 11:15
À : Vincent
Cc : frnog-j...@frnog.org
Objet : Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

Enorme!


Le 26 juin 2015 à 11:08, Vincent  a écrit :

> Bonjour,
> 
> Jeune admin junior cherche ASAP un bon DSI, compétent sur les technos 
> suivantes :
> 
> BSD, Squid, LemonLDAP, DAS Guardian,
> Debian, *OpenBSD*, *Proxmox*, FreeNAS, Samba, Bacula, *Asterisk*, 
> SoGo, OpenChanges, FOGproject.
> OCS, Android, Cyanogen
> 
> *BGP*, *Juniper*, FON, peering au FranceIX...
> 
> *PostgreSQL, MySQL*
> 
> 300 postes de travails Wintruc
> 
> Un peu de dev python, perl, php, Shell
> Mise en place de Workflow, SugarCRM...
> 
> Pour résumer, 99% des serveurs sont en libre.
> 
> Autres compétences demandé :
>- Former un tech ne connaissant pas du tout le monde du libre.
>- M'aider et me former un peu (je suis Junior en tant qu'admin !)
>- *Gestion de projet*
> 
> Autre mission, *manager* la DSI et 2 autres pôles (surtout de la 
> gestion projet et du management pour ces 2 autres pôles).
> 
> CDI, *ASAP*, 75006, Bonne rémunération selon profil.
> Me répondre si intéressé, je ferai suivre aux plus hautes instances.
> 
> N'hésitez pas à faire tourné.
> 
> Bonne journée à tous
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet David Ponzone
Enorme!


Le 26 juin 2015 à 11:08, Vincent  a écrit :

> Bonjour,
> 
> Jeune admin junior cherche ASAP un bon DSI, compétent sur les technos 
> suivantes :
> 
> BSD, Squid, LemonLDAP, DAS Guardian,
> Debian, *OpenBSD*, *Proxmox*, FreeNAS, Samba, Bacula,
> *Asterisk*, SoGo, OpenChanges, FOGproject.
> OCS, Android, Cyanogen
> 
> *BGP*, *Juniper*, FON, peering au FranceIX...
> 
> *PostgreSQL, MySQL*
> 
> 300 postes de travails Wintruc
> 
> Un peu de dev python, perl, php, Shell
> Mise en place de Workflow, SugarCRM...
> 
> Pour résumer, 99% des serveurs sont en libre.
> 
> Autres compétences demandé :
>- Former un tech ne connaissant pas du tout le monde du libre.
>- M'aider et me former un peu (je suis Junior en tant qu'admin !)
>- *Gestion de projet*
> 
> Autre mission, *manager* la DSI et 2 autres pôles
> (surtout de la gestion projet et du management pour ces 2 autres pôles).
> 
> CDI, *ASAP*, 75006, Bonne rémunération selon profil.
> Me répondre si intéressé, je ferai suivre aux plus hautes instances.
> 
> N'hésitez pas à faire tourné.
> 
> Bonne journée à tous
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet David Ponzone
Y a plusieurs modèles de 3750G, y a pas que le 12S.
Ceci dit, si 400€ c’est cher, effectivement, tu aurais du le dire au départ :)

Alors là, Mikrotik sans hésiter.

Le 26 juin 2015 à 10:50, Sébastien 65  a écrit :

> Merci pour les retours !!! 
> 
> J'ai eu des retours d'XP sur TPLINK/Netgear/MikroTik/Cisco SB... Je ne suis 
> pas fan du management dans le Cloud, je préfère une bonne vielle connexion 
> sur l'IP du bouzin pour le titiller !
> 
> Je suis vraiment preneur des CISCO... Mais certain Broke se touche un peux 
> quand même :/
> 
>> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre 
>> eux te le garantissent même à vie. 
> 
> Un 3750G j'en utilise mais c'est quand même 400 euros... C'est quand même pas 
> donné! Si un broker à une proposition intéressante à me faire :D
> 
> Le 3750G peut avoir l'inconvénient dans certains cas : faut provisionner le 
> switch en SFP RJ45, je branche en général 1 SFP pour la F.O voire deux, le 
> reste des ports c'est des câbles RJ45 qui se connectent sur les autres 
> switchs/équipements...
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [JOBS] [ASAP] Jeune admin cherche un bon DSI

2015-06-26 Par sujet Vincent

Bonjour,

Jeune admin junior cherche ASAP un bon DSI, compétent sur les technos 
suivantes :


BSD, Squid, LemonLDAP, DAS Guardian,
Debian, *OpenBSD*, *Proxmox*, FreeNAS, Samba, Bacula,
*Asterisk*, SoGo, OpenChanges, FOGproject.
OCS, Android, Cyanogen

*BGP*, *Juniper*, FON, peering au FranceIX...

*PostgreSQL, MySQL*

300 postes de travails Wintruc

Un peu de dev python, perl, php, Shell
Mise en place de Workflow, SugarCRM...

Pour résumer, 99% des serveurs sont en libre.

Autres compétences demandé :
- Former un tech ne connaissant pas du tout le monde du libre.
- M'aider et me former un peu (je suis Junior en tant qu'admin !)
- *Gestion de projet*

Autre mission, *manager* la DSI et 2 autres pôles
(surtout de la gestion projet et du management pour ces 2 autres pôles).

CDI, *ASAP*, 75006, Bonne rémunération selon profil.
Me répondre si intéressé, je ferai suivre aux plus hautes instances.

N'hésitez pas à faire tourné.

Bonne journée à tous

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Sébastien 65
Merci pour les retours !!! 
 
J'ai eu des retours d'XP sur TPLINK/Netgear/MikroTik/Cisco SB... Je ne suis pas 
fan du management dans le Cloud, je préfère une bonne vielle connexion sur l'IP 
du bouzin pour le titiller !
 
Je suis vraiment preneur des CISCO... Mais certain Broke se touche un peux 
quand même :/
 
> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre 
> eux te le garantissent même à vie. 
 
Un 3750G j'en utilise mais c'est quand même 400 euros... C'est quand même pas 
donné! Si un broker à une proposition intéressante à me faire :D
 
Le 3750G peut avoir l'inconvénient dans certains cas : faut provisionner le 
switch en SFP RJ45, je branche en général 1 SFP pour la F.O voire deux, le 
reste des ports c'est des câbles RJ45 qui se connectent sur les autres 
switchs/équipements...
 
 
 
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] MPLS vs Internet > interconnexion dans une même région

2015-06-26 Par sujet Hugues Brunel

> Le 25 juin 2015 à 14:33, Joe Yabuki  a écrit :
> 
> Voyez-vous des contres indications à ce type de design ? (et oui, faut
> trouver une alternative au MPLS qui coûte trop cher...)

Tu peux aussi noter un autre "avantage" de l'ipsec: le chiffrage de tes 
communications...

++
Hugues.



signature.asc
Description: Message signed with OpenPGP using GPGMail


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Alarig Le Lay
On Fri Jun 26 10:20:23 2015, Sebastien Lecomte wrote:
> Le refurbished présente un intérêt en terme de développement durable.
> Quand on voit les quantités de matériels qui partent à la benne, c'est quand
> même pas terrible.
> (L'intérêt des gammes plus récentes pouvant néanmoins être de présenter une
> consommation électrique inférieure pour une utilisation identique. Mais en
> terme d'empreinte ecologique le refurbished doit rester bien moins important
> que le neuf)

Et puis rien que dans le fait d’envoyer à la benne du matos qui marche,
il y a un problème.

-- 
Alarig Le Lay


signature.asc
Description: Digital signature


RE: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Xavier ROCA
D'accord avec Raphaël,

Netgear c'est le pire de tout les trucs soit disant PRO-SOHO même leur gamme 
prosafe.
On a eu des choses très surréalistes régulièrement chez des end user.
On a fait changer Netgear par switch a deux franc six sous d'une marque lambda 
et ca marche mieux ...


Dans les grand moment de solitude, un peu a la façon du support par chat de 
Free, a une époque
Le support qui te dit qu'il ne peut pas te faire un retour sur UTM s'il ne peut 
pas prendre la main.
Oui mais il a bruler, hs quoi ! ok mais je dois prendre la main quand même...


Xavier


-Message d'origine-
De : Raphael Maunier [mailto:raph...@maunier.net] 
Envoyé : vendredi 26 juin 2015 10:01
À : Alexis Lameire
Cc : Xavier Beaudouin; Sébastien 65; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Switch optique + port cuivre

Tu parles d’un switch qu’il faut rebooter quasi toutes les 3 semaines ?
Jamais vu une marque qui fait autant de la merde en switch “pro”.

Franchement, je préfère encore acheter du Broke aide que d’acheter ce truc la 
sur un environnement de production.
Leur support ne sait meme pas ce que c’est qu’un switch :)

Raphael

> On 26 Jun 2015, at 09:56, Alexis Lameire  wrote:
> 
> Si tu veux pas de CLI.
> 
> Il y a du 24*1G base T + 2 sfp a pas trop cher chez  netgear ;) 
> http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
> On a celui là au boulot, il marche pas mal, par contre pas de CLI, 
> qu'une interface web. Mais elle est pas trop mal foutu ;)
> 
> j'ai ca chez HP :
> http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html
> 
> 
> j'ai vue des sfp à 40€ aussi
> 
> Le 26 juin 2015 09:20, Xavier Beaudouin  a écrit :
> 
>> Hello,
>> 
>>> Pour le moment j'utilise des switch de marque CISCO avec des SFP
>> (multi/mono)
>>> mais pour certains cas le CISCO est beaucoup trop onéreux...
>> 
>> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains 
>> d'entre eux te le garantissent même à vie.
>> 
>> [...]
>> 
>>> Je suis en train de regarder la gamme des Cisco Small Business (SF
>> 200-24 / SF
>>> 300-24 / SG 300-10).
>>> 
>>> Le SG 300-10 me plait pas trop mal sur le papier...
>> 
>> Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr 
>> que tu vas tomber sur des exceptions.
>> 
>> Xavier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet David Ponzone
Sinon il y a la solution Meraki. Pas de CLI, mais tout géré dans le Cloud, et 
c’est plutôt agréable, même pour un CLI-fanboy.
Ils ont un petit 8 ports GE avec 2 SFP, et un 24 ports GE avec 4 SFP (shared).

Tu as les VLAN, mais pas de shaping pour le moment, mais ça pourrait venir.

Le 26 juin 2015 à 09:08, Sébastien 65  a écrit :

> Bonjour la liste !
> 
> Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
> optique qui pourrait correspondre aux besoins ci-dessous :
> 
> J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux 
> pas y aller en cuivre.
> 
> Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono) 
> mais pour certains cas le CISCO est beaucoup trop onéreux...
> 
> Je recherche donc un switch optique bas de gamme (donc pour faible budget) 
> intégrant un ou deux ports SFP et ayant aussi un ou deux ports RJ45 
> 100/1000Mbps (s'il existe la perle rare avec gestion de VLAN/RateLimiting je 
> prends aussi :) )
> 
> Ensuite un autre switch optique avec un ou deux SFP mais intégrant plus qu'un 
> ou deux ports RJ45 100/1000Mbps avec si possible VLAN + RateLimiting (Je n'ai 
> pas éplucher toute la gamme CISCO, actuellement j'ai du 2960...) 
> 
> Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / 
> SF 300-24 / SG 300-10).
> 
> Le SG 300-10 me plait pas trop mal sur le papier...
> 
> Merci par avance pour votre retour d'XP !
> 
> Bonne journée. 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Sebastien Lecomte


Autant le refurbished fut un temps était intéressant, autant aujourd'hui 
avec
une bonne remise, Cisco arrive à s'aligner et te propose un produit neuf. 
On
a fait le test chez 3 opérateurs différents, qui se manifesteront sur 
cette
liste si ils le souhaitent, et on arrive a s'aligner voir optimiser les 
prix.


Le refurbished présente un intérêt en terme de développement durable.
Quand on voit les quantités de matériels qui partent à la benne, c'est quand 
même pas terrible.
(L'intérêt des gammes plus récentes pouvant néanmoins être de présenter une 
consommation électrique inférieure pour une utilisation identique. Mais en 
terme d'empreinte ecologique le refurbished doit rester bien moins important 
que le neuf)


Seb 



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Thomas Pedoussaut
Et chez Mikrotik, tu as la gamme CRS. C'est tres robuste, tu branche tu 
configure et tu l'oublie.


On 2015-06-26 09:08, Sébastien 65 wrote:

Je recherche donc un switch optique bas de gamme (donc pour faible
budget) intégrant un ou deux ports SFP et ayant aussi un ou deux ports
RJ45 100/1000Mbps (s'il existe la perle rare avec gestion de
VLAN/RateLimiting je prends aussi :) )


CRS112-8G-4S-IN (moins de 100€ HT)



Ensuite un autre switch optique avec un ou deux SFP mais intégrant
plus qu'un ou deux ports RJ45 100/1000Mbps avec si possible VLAN +
RateLimiting (Je n'ai pas éplucher toute la gamme CISCO, actuellement
j'ai du 2960...)


CRS226-24G-2S+IN (200€ HT)


Voila.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet David Ponzone
Si tu arrives à sortir un 3750 12 ports SFP à 600€ en neuf, tu me dis comment 
STP, parce que même en NFR, ça va être dur.
Oui Cisco arrive à faire des remises optimisées, mais seulement sur la gamme 
existante.
A vue de nez, un 3750X-12S, c’est 9000€ prix liste, 5700€ avec remise standard. 
On est loin des 500-800€ d’un 3750G-12S.
Ok c’est pas le même produit.


Le 26 juin 2015 à 10:00, Clement Thery  a écrit :

> Autant le refurbished fut un temps était intéressant, autant aujourd'hui avec 
> une bonne remise, Cisco arrive à s'aligner et te propose un produit neuf. On 
> a fait le test chez 3 opérateurs différents, qui se manifesteront sur cette 
> liste si ils le souhaitent, et on arrive a s'aligner voir optimiser les prix.
> 
> Pour ton switch puisque c'est le débat qui nous intéresse tu as quoi comme 
> 2960 ?
> Tu as regardé les "petits"
> 
> WS-C2960CG-8TC-L  Catalyst 2960C Switch 8 GE, 2 x Dual Uplink, LAN Base 
> 
> Ce switch est garantie a vie donc si tu as un spare pour gérer "le roulement" 
> pas besoin de smartnet
> 
> Pour les gamme SF sache que c'est même un support J+1 qui est inclus au 
> produit.
> 
> Esperant t'avoir aidé 
> 
> Clement 
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
> David Ponzone
> Envoyé : vendredi 26 juin 2015 09:17
> À : Sébastien 65
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Switch optique + port cuivre
> 
> Cisco en refurbished!
> Pourquoi acheter neuf des switchs neufs et récents (dont tu n’as visiblement 
> pas besoin) alors qu’un Catalyst est quasiment indestructible, surtout si tu 
> le prends avec alim hotplug.
> Il y a des bons brokers sur le marché qui te garantissent le matériel à vie 
> (c’est à dire que tant qu’ils en ont dispos, ils te le remplacent). Difficile 
> d’avoir la même chose avec un Smartnet pour le même prix :) Et de toute 
> façon, au prix du refurbished, tu en prends en plus pour tes spares.
> 
> Le 26 juin 2015 à 09:08, Sébastien 65  a écrit :
> 
>> Bonjour la liste !
>> 
>> Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
>> optique qui pourrait correspondre aux besoins ci-dessous :
>> 
>> J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux 
>> pas y aller en cuivre.
>> 
>> Pour le moment j'utilise des switch de marque CISCO avec des SFP 
>> (multi/mono) mais pour certains cas le CISCO est beaucoup trop onéreux...
>> 
>> Je recherche donc un switch optique bas de gamme (donc pour faible 
>> budget) intégrant un ou deux ports SFP et ayant aussi un ou deux ports 
>> RJ45 100/1000Mbps (s'il existe la perle rare avec gestion de 
>> VLAN/RateLimiting je prends aussi :) )
>> 
>> Ensuite un autre switch optique avec un ou deux SFP mais intégrant 
>> plus qu'un ou deux ports RJ45 100/1000Mbps avec si possible VLAN + 
>> RateLimiting (Je n'ai pas éplucher toute la gamme CISCO, actuellement 
>> j'ai du 2960...)
>> 
>> Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / 
>> SF 300-24 / SG 300-10).
>> 
>> Le SG 300-10 me plait pas trop mal sur le papier...
>> 
>> Merci par avance pour votre retour d'XP !
>> 
>> Bonne journée. 
>> 
>> 
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Alexis Lameire
Les vieux netgear avait une interface a chier (suffit de voir certaines
vieilles box qui gardaient l'interface stock) mais je dois avouer qu'ils
ont fait des progrès.

Sinon, ils ont pas des truc sympas chez mikrotik ?

alexis

Le 26 juin 2015 10:06, David Ponzone  a écrit :

> Dans la série switch pas cher, j’ai une préférence pour Dlink/SMC/Zyxel,
> dont l’interface web est moins poussive que Netgear, en tout cas sur les
> modèles que j’ai utilisés.
>
>
> Le 26 juin 2015 à 09:56, Alexis Lameire  a
> écrit :
>
> Si tu veux pas de CLI.
>
> Il y a du 24*1G base T + 2 sfp a pas trop cher chez  netgear ;)
> http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
> On a celui là au boulot, il marche pas mal, par contre pas de CLI, qu'une
> interface web. Mais elle est pas trop mal foutu ;)
>
> j'ai ca chez HP :
> http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html
>
>
> j'ai vue des sfp à 40€ aussi
>
> Le 26 juin 2015 09:20, Xavier Beaudouin  a écrit :
>
> Hello,
>
> Pour le moment j'utilise des switch de marque CISCO avec des SFP
>
> (multi/mono)
>
> mais pour certains cas le CISCO est beaucoup trop onéreux...
>
>
> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre
> eux te le garantissent même à vie.
>
> [...]
>
> Je suis en train de regarder la gamme des Cisco Small Business (SF
>
> 200-24 / SF
>
> 300-24 / SG 300-10).
>
> Le SG 300-10 me plait pas trop mal sur le papier...
>
>
> Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr que tu
> vas tomber sur des exceptions.
>
> Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Re: no cdp enable sur un port de port channel.

2015-06-26 Par sujet Gautier AVRIL
Bon, j'ai la réponse, rien a voir avec le "no cdp enable" (je ne peux de
toute façon pas harmoniser la configuration puisque si je fais un cdp
enable sur l'interface qui a un "no cdp enable" la commande est refusée et
si je fais un "no cdp enable" sur l'interface ou ce n'est pas spécifié la
commande est tout autant refusée.

La raison était beaucoup plus simple, une carte de spare nous avait été
livrée avec une DFC alors que la carte originale était en CFC... :(

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Xavier Beaudouin
Hello,

> Il y a du 24*1G base T + 2 sfp a pas trop cher chez netgear ;)
> http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
> On a celui là au boulot, il marche pas mal, par contre pas de CLI, qu'une
> interface web. Mais elle est pas trop mal foutu ;)

Netgear ca marche, mais attends toi a des ... surprises. C'est plutôt "SOHO".

> j'ai ca chez HP :
> http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html

Ha... les 1810 de chez hp, je les appelles des Hub améliorés.

> j'ai vue des sfp à 40€ aussi


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Alexis Lameire
Le 26 juin 2015 10:00, Raphael Maunier  a écrit :

> Tu parles d’un switch qu’il faut rebooter quasi toutes les 3 semaines ?
> Jamais vu une marque qui fait autant de la merde en switch “pro”.
>
> Franchement, je préfère encore acheter du Broke aide que d’acheter ce truc
> la sur un environnement de production.
> Leur support ne sait meme pas ce que c’est qu’un switch :)
>

Sur ce switch en question pas eu de soucis. Mais on utilise pas les sfp .

Alexis


> Raphael
>
> > On 26 Jun 2015, at 09:56, Alexis Lameire 
> wrote:
> >
> > Si tu veux pas de CLI.
> >
> > Il y a du 24*1G base T + 2 sfp a pas trop cher chez  netgear ;)
> > http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
> > On a celui là au boulot, il marche pas mal, par contre pas de CLI, qu'une
> > interface web. Mais elle est pas trop mal foutu ;)
> >
> > j'ai ca chez HP :
> > http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html
> >
> >
> > j'ai vue des sfp à 40€ aussi
> >
> > Le 26 juin 2015 09:20, Xavier Beaudouin  a écrit :
> >
> >> Hello,
> >>
> >>> Pour le moment j'utilise des switch de marque CISCO avec des SFP
> >> (multi/mono)
> >>> mais pour certains cas le CISCO est beaucoup trop onéreux...
> >>
> >> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains
> d'entre
> >> eux te le garantissent même à vie.
> >>
> >> [...]
> >>
> >>> Je suis en train de regarder la gamme des Cisco Small Business (SF
> >> 200-24 / SF
> >>> 300-24 / SG 300-10).
> >>>
> >>> Le SG 300-10 me plait pas trop mal sur le papier...
> >>
> >> Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr que
> tu
> >> vas tomber sur des exceptions.
> >>
> >> Xavier
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet David Ponzone
Dans la série switch pas cher, j’ai une préférence pour Dlink/SMC/Zyxel, dont 
l’interface web est moins poussive que Netgear, en tout cas sur les modèles que 
j’ai utilisés.


Le 26 juin 2015 à 09:56, Alexis Lameire  a écrit :

> Si tu veux pas de CLI.
> 
> Il y a du 24*1G base T + 2 sfp a pas trop cher chez  netgear ;)
> http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
> On a celui là au boulot, il marche pas mal, par contre pas de CLI, qu'une
> interface web. Mais elle est pas trop mal foutu ;)
> 
> j'ai ca chez HP :
> http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html
> 
> 
> j'ai vue des sfp à 40€ aussi
> 
> Le 26 juin 2015 09:20, Xavier Beaudouin  a écrit :
> 
>> Hello,
>> 
>>> Pour le moment j'utilise des switch de marque CISCO avec des SFP
>> (multi/mono)
>>> mais pour certains cas le CISCO est beaucoup trop onéreux...
>> 
>> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre
>> eux te le garantissent même à vie.
>> 
>> [...]
>> 
>>> Je suis en train de regarder la gamme des Cisco Small Business (SF
>> 200-24 / SF
>>> 300-24 / SG 300-10).
>>> 
>>> Le SG 300-10 me plait pas trop mal sur le papier...
>> 
>> Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr que tu
>> vas tomber sur des exceptions.
>> 
>> Xavier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Raphael Maunier
Tu parles d’un switch qu’il faut rebooter quasi toutes les 3 semaines ?
Jamais vu une marque qui fait autant de la merde en switch “pro”.

Franchement, je préfère encore acheter du Broke aide que d’acheter ce truc la 
sur un environnement de production.
Leur support ne sait meme pas ce que c’est qu’un switch :)

Raphael

> On 26 Jun 2015, at 09:56, Alexis Lameire  wrote:
> 
> Si tu veux pas de CLI.
> 
> Il y a du 24*1G base T + 2 sfp a pas trop cher chez  netgear ;)
> http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
> On a celui là au boulot, il marche pas mal, par contre pas de CLI, qu'une
> interface web. Mais elle est pas trop mal foutu ;)
> 
> j'ai ca chez HP :
> http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html
> 
> 
> j'ai vue des sfp à 40€ aussi
> 
> Le 26 juin 2015 09:20, Xavier Beaudouin  a écrit :
> 
>> Hello,
>> 
>>> Pour le moment j'utilise des switch de marque CISCO avec des SFP
>> (multi/mono)
>>> mais pour certains cas le CISCO est beaucoup trop onéreux...
>> 
>> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre
>> eux te le garantissent même à vie.
>> 
>> [...]
>> 
>>> Je suis en train de regarder la gamme des Cisco Small Business (SF
>> 200-24 / SF
>>> 300-24 / SG 300-10).
>>> 
>>> Le SG 300-10 me plait pas trop mal sur le papier...
>> 
>> Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr que tu
>> vas tomber sur des exceptions.
>> 
>> Xavier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Clement Thery
Autant le refurbished fut un temps était intéressant, autant aujourd'hui avec 
une bonne remise, Cisco arrive à s'aligner et te propose un produit neuf. On a 
fait le test chez 3 opérateurs différents, qui se manifesteront sur cette liste 
si ils le souhaitent, et on arrive a s'aligner voir optimiser les prix.

Pour ton switch puisque c'est le débat qui nous intéresse tu as quoi comme 2960 
?
Tu as regardé les "petits"

WS-C2960CG-8TC-LCatalyst 2960C Switch 8 GE, 2 x Dual Uplink, LAN Base 

Ce switch est garantie a vie donc si tu as un spare pour gérer "le roulement" 
pas besoin de smartnet

Pour les gamme SF sache que c'est même un support J+1 qui est inclus au produit.

Esperant t'avoir aidé 

Clement 


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : vendredi 26 juin 2015 09:17
À : Sébastien 65
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Switch optique + port cuivre

Cisco en refurbished!
Pourquoi acheter neuf des switchs neufs et récents (dont tu n’as visiblement 
pas besoin) alors qu’un Catalyst est quasiment indestructible, surtout si tu le 
prends avec alim hotplug.
Il y a des bons brokers sur le marché qui te garantissent le matériel à vie 
(c’est à dire que tant qu’ils en ont dispos, ils te le remplacent). Difficile 
d’avoir la même chose avec un Smartnet pour le même prix :) Et de toute façon, 
au prix du refurbished, tu en prends en plus pour tes spares.

Le 26 juin 2015 à 09:08, Sébastien 65  a écrit :

> Bonjour la liste !
> 
> Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
> optique qui pourrait correspondre aux besoins ci-dessous :
> 
> J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux 
> pas y aller en cuivre.
> 
> Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono) 
> mais pour certains cas le CISCO est beaucoup trop onéreux...
> 
> Je recherche donc un switch optique bas de gamme (donc pour faible 
> budget) intégrant un ou deux ports SFP et ayant aussi un ou deux ports 
> RJ45 100/1000Mbps (s'il existe la perle rare avec gestion de 
> VLAN/RateLimiting je prends aussi :) )
> 
> Ensuite un autre switch optique avec un ou deux SFP mais intégrant 
> plus qu'un ou deux ports RJ45 100/1000Mbps avec si possible VLAN + 
> RateLimiting (Je n'ai pas éplucher toute la gamme CISCO, actuellement 
> j'ai du 2960...)
> 
> Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / 
> SF 300-24 / SG 300-10).
> 
> Le SG 300-10 me plait pas trop mal sur le papier...
> 
> Merci par avance pour votre retour d'XP !
> 
> Bonne journée. 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Alexis Lameire
Si tu veux pas de CLI.

Il y a du 24*1G base T + 2 sfp a pas trop cher chez  netgear ;)
http://www.materiel.net/switch-ethernet/netgear-gs724t-v4-99797.html
On a celui là au boulot, il marche pas mal, par contre pas de CLI, qu'une
interface web. Mais elle est pas trop mal foutu ;)

j'ai ca chez HP :
http://www.materiel.net/switch-ethernet/hp-1810-24-v2-86374.html


j'ai vue des sfp à 40€ aussi

Le 26 juin 2015 09:20, Xavier Beaudouin  a écrit :

> Hello,
>
> > Pour le moment j'utilise des switch de marque CISCO avec des SFP
> (multi/mono)
> > mais pour certains cas le CISCO est beaucoup trop onéreux...
>
> Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre
> eux te le garantissent même à vie.
>
> [...]
>
> > Je suis en train de regarder la gamme des Cisco Small Business (SF
> 200-24 / SF
> > 300-24 / SG 300-10).
> >
> > Le SG 300-10 me plait pas trop mal sur le papier...
>
> Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr que tu
> vas tomber sur des exceptions.
>
> Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Xavier Beaudouin
Hello,

> Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono)
> mais pour certains cas le CISCO est beaucoup trop onéreux...

Un 3750G 12SFP ca ne coute pas un bras. Surtout au broke. Certains d'entre eux 
te le garantissent même à vie. 
 
[...]

> Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / SF
> 300-24 / SG 300-10).
> 
> Le SG 300-10 me plait pas trop mal sur le papier...

Perso des SF/ SG de CSB, je me méfierais... Car j'en suis quasi sûr que tu vas 
tomber sur des exceptions.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet David Ponzone
Cisco en refurbished!
Pourquoi acheter neuf des switchs neufs et récents (dont tu n’as visiblement 
pas besoin) alors qu’un Catalyst est quasiment indestructible, surtout si tu le 
prends avec alim hotplug.
Il y a des bons brokers sur le marché qui te garantissent le matériel à vie 
(c’est à dire que tant qu’ils en ont dispos, ils te le remplacent). Difficile 
d’avoir la même chose avec un Smartnet pour le même prix :)
Et de toute façon, au prix du refurbished, tu en prends en plus pour tes spares.

Le 26 juin 2015 à 09:08, Sébastien 65  a écrit :

> Bonjour la liste !
> 
> Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
> optique qui pourrait correspondre aux besoins ci-dessous :
> 
> J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux 
> pas y aller en cuivre.
> 
> Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono) 
> mais pour certains cas le CISCO est beaucoup trop onéreux...
> 
> Je recherche donc un switch optique bas de gamme (donc pour faible budget) 
> intégrant un ou deux ports SFP et ayant aussi un ou deux ports RJ45 
> 100/1000Mbps (s'il existe la perle rare avec gestion de VLAN/RateLimiting je 
> prends aussi :) )
> 
> Ensuite un autre switch optique avec un ou deux SFP mais intégrant plus qu'un 
> ou deux ports RJ45 100/1000Mbps avec si possible VLAN + RateLimiting (Je n'ai 
> pas éplucher toute la gamme CISCO, actuellement j'ai du 2960...) 
> 
> Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / 
> SF 300-24 / SG 300-10).
> 
> Le SG 300-10 me plait pas trop mal sur le papier...
> 
> Merci par avance pour votre retour d'XP !
> 
> Bonne journée. 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-26 Par sujet Xavier Beaudouin
Hello,

> Le 25/06/2015 11:53, Frédéric GANDER a écrit :
>> la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y 
>> a
>> pas bcp d'ipv6
> 
> T'as qu'à offrir du peering gratuit en IPv6 si tu veux vraiment le
> promouvoir :-@
> 
> Après tout, "le peer n'est pas le mal"… Vidéo toujours inaccessible en
> IPv4 ou IPv6 soit dit en passant.

Excellente idée :D Je suis quasi sûr que tous les gens qui lisent ce mail 
seraient supra content de promouvoir les services IPv6 de cette façon... 

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Nicolas Parpandet

Pour le cisco trop onéreux, tu peux passer par un broker (reconditionné), 
garantie 6 mois, prix divisé par 4 au minimum ...

A+

Nicolas 

- Mail original -
De: "Sébastien 65" 
À: frnog-t...@frnog.org
Envoyé: Vendredi 26 Juin 2015 09:08:33
Objet: [FRnOG] [TECH] Switch optique + port cuivre

Bonjour la liste !
 
Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
optique qui pourrait correspondre aux besoins ci-dessous :
 
J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux pas 
y aller en cuivre.
 
Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono) 
mais pour certains cas le CISCO est beaucoup trop onéreux...
 
Je recherche donc un switch optique bas de gamme (donc pour faible budget) 
intégrant un ou deux ports SFP et ayant aussi un ou deux ports RJ45 
100/1000Mbps (s'il existe la perle rare avec gestion de VLAN/RateLimiting je 
prends aussi :) )
 
Ensuite un autre switch optique avec un ou deux SFP mais intégrant plus qu'un 
ou deux ports RJ45 100/1000Mbps avec si possible VLAN + RateLimiting (Je n'ai 
pas éplucher toute la gamme CISCO, actuellement j'ai du 2960...) 
 
Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / SF 
300-24 / SG 300-10).
 
Le SG 300-10 me plait pas trop mal sur le papier...
 
Merci par avance pour votre retour d'XP !
 
Bonne journée. 
 
 
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Switch optique + port cuivre

2015-06-26 Par sujet Sébastien 65
Bonjour la liste !
 
Je suis à la recherche d'un conseil & fournisseur/prix concernant le switch 
optique qui pourrait correspondre aux besoins ci-dessous :
 
J'ai des rocades/dessertes en fibre entre des bâtiments lorsque je ne peux pas 
y aller en cuivre.
 
Pour le moment j'utilise des switch de marque CISCO avec des SFP (multi/mono) 
mais pour certains cas le CISCO est beaucoup trop onéreux...
 
Je recherche donc un switch optique bas de gamme (donc pour faible budget) 
intégrant un ou deux ports SFP et ayant aussi un ou deux ports RJ45 
100/1000Mbps (s'il existe la perle rare avec gestion de VLAN/RateLimiting je 
prends aussi :) )
 
Ensuite un autre switch optique avec un ou deux SFP mais intégrant plus qu'un 
ou deux ports RJ45 100/1000Mbps avec si possible VLAN + RateLimiting (Je n'ai 
pas éplucher toute la gamme CISCO, actuellement j'ai du 2960...) 
 
Je suis en train de regarder la gamme des Cisco Small Business (SF 200-24 / SF 
300-24 / SG 300-10).
 
Le SG 300-10 me plait pas trop mal sur le papier...
 
Merci par avance pour votre retour d'XP !
 
Bonne journée. 
 
 
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/