Re: [FRnOG] [TECH] firewall

[Raphael Maunier]

Forcepoint ( ex stonesoft ), la gui de management avec la facilité 
d’administration, trouver des menaces était pour moi a l’epoque l’exemple à 
suivre.
Ils avaient facile 2 ou 3 ans d’avances sur les autres. On commence à peine à 
voir des fonctions qu’ils avaient en 2013 chez eux chez Juniper ou Fortinet. 
Apres, les multiples rachats ont eu raison de leur croissance, dommage c’est un 
super produit.
Je n’ai pas regardé depuis qu’ils s’appellent Forcepoint



> On 24 Aug 2017, at 08:15, Badbug  wrote:
> 
> Plutôt lecteur de la liste, mais pour une fois j'ai 2 cents sur le sujet.
> 
> Pour avoir jouer open source et solution éditeur, dans des infrastructures en 
> double Fw (avec et sans budget) :
> - Infra avec personnel compétent, iptable/nftable tuné à la misc, BSD avec PF 
> est une combi qui tient la route (webui pfsense incomplète, client) chibane 
> needed,
> 
> - grosse infrastructure, forcepoint (ex stonesoft, SMC pour le management au 
> dessus de la concurrence) et Palo tient très bien la route. Les maj palo sont 
> à valider dans des contextes SDN avant de claquer en prod (forcepoint les 
> yeux fermés en prod sur X boitiers).
> 
> Budget or people, that's the question.
> 
> Le 24 août 2017 6:22 AM, "Michel Py"  > a écrit :
> > Raphael Maunier a écrit :
> > Un FW next-gen ne doit plus s'administrer en cli
> 
> Economiquement je suis d'accord (ce qui te donne raison) mais 
> intellectuellement non.
> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
> m'envoie un message puissant qui est :
> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
> clickodrome, quelque part dans un pays qui coute pas cher.
> 
> Bon, je suis pas complètement innocent non plus, mais çà commence à me 
> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et tous 
> les autres) et que je perds des heures à expliquer à un abruti qui n'a jamais 
> vu un firewall et qui me lit pendant des heures ce que Google m'avait dit 2 
> jours avant que j'appelle l'abruti en question.
> 
> Finalement, l'administration en CLI, c'est bien pratique pour trier les 
> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en 
> plastique à 100€ ou celui en métal à 1,000,000€.
> 
> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une 
> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites 
> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que 
> j'aime le produit.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Raphael Maunier]

Mais totalement pas d’accord.
Je disais la meme chose avant 2010, Depuis l’avènement des fw next-gen et tout 
ce que l’on voit passer, et surtout sur le nombre d’infra que tu dois proteger, 
ce n’est plus possible de toute faire en CLI.
Le cli t’apportera du debug bas niveau sur du routage et du tcpdump par ex sur 
une if and cie.
Lorsque tu dois comparer 15 souches de malwares, ransomwares avec en // une 
attaque sournoise  d’un botnet ( souvent lié ), c’est mais beaucoup plus 
lisible et facile à générer ton rapport ou regarder en live sur sur la gui
Par ex, juste en faisant un google image tu as des examples ( pour moi 
Palo-Alto a la meilleure GUI pour ça  )
- 
http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg 

- 
http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg 


Exemple sur mon forti :
- https://ibb.co/ksLaXQ 
- https://ibb.co/guu2CQ 
- https://ibb.co/ny6tK5 
- https://ibb.co/bZsB6k 
- https://ibb.co/c5VLz5 
- https://ibb.co/f4kne5

Ensuite tout ce qui est application control, tu fais ça en CLI en debug avec 
2500 users derriere ? pas impossible, mais le temps de detecter la (nouvelle) 
menace, le mal sera fait. Si tu veux regarder ce qui est en cours d’envoie vers 
la sandbox des constructeurs ?

EN gros, tu vas passer ta vie à taper des commandes dans le cli ou avoir 40 
shells ouverts et d’amuser à filter ou a thuner a mort ton shell pour faire des 
“highlight” sur des informations importante. Et si tu en as une qui passe, bam 
pareil, il faudra refaire un filtre pour retrouver la bonne info etc etc

Un firewall ce n’est plus simplement un bête blocage de port in/out c’est 
beaucoup plus, ça fait des années que c’est comme ça. Rester en administration 
CLI, c’est ne plus être a jour sur les nouvelles menaces :)

Sur les licences a payer ? bah oui le modele a migré il y a qq années, Les mecs 
ils ne font plus que construire des boiboites, c’est beaucoup de chercheurs et 
beaucoup de mec qui bossent sur les attaques ( j’en ai parlé à 2 ou 3, et 
franchement ils te font mal à la tete ), et surtout ils bossent sur une partie 
corrélation qui devient de plus en plus importante.

Raphael

> On 24 Aug 2017, at 06:22, Michel Py  
> wrote:
> 
>> Raphael Maunier a écrit :
>> Un FW next-gen ne doit plus s'administrer en cli
> 
> Economiquement je suis d'accord (ce qui te donne raison) mais 
> intellectuellement non.
> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
> m'envoie un message puissant qui est :
> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
> clickodrome, quelque part dans un pays qui coute pas cher.
> 
> Bon, je suis pas complètement innocent non plus, mais çà commence à me 
> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et tous 
> les autres) et que je perds des heures à expliquer à un abruti qui n'a jamais 
> vu un firewall et qui me lit pendant des heures ce que Google m'avait dit 2 
> jours avant que j'appelle l'abruti en question.
> 
> Finalement, l'administration en CLI, c'est bien pratique pour trier les 
> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en 
> plastique à 100€ ou celui en métal à 1,000,000€.
> 
> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une 
> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites 
> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que 
> j'aime le produit.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

[Michel Py]

> Raphael Maunier a écrit :
> Un FW next-gen ne doit plus s'administrer en cli

Economiquement je suis d'accord (ce qui te donne raison) mais 
intellectuellement non.
Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
m'envoie un message puissant qui est :
Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
clickodrome, quelque part dans un pays qui coute pas cher.

Bon, je suis pas complètement innocent non plus, mais çà commence à me brouter 
quand j'appelle le support "Premium Enterprise" de Fortigate (et tous les 
autres) et que je perds des heures à expliquer à un abruti qui n'a jamais vu un 
firewall et qui me lit pendant des heures ce que Google m'avait dit 2 jours 
avant que j'appelle l'abruti en question.

Finalement, l'administration en CLI, c'est bien pratique pour trier les abrutis 
du tech-support, qui sont les mêmes que tu aies acheté le bousin en plastique à 
100€ ou celui en métal à 1,000,000€.

J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une vraie 
chiotte à changer de version, faut rebooter parce qu'il y a des fuites de 
mémoire. J'ai renouvelé ma license par faute de temps, pas parce que j'aime le 
produit.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Raphael Maunier]

Un FW next-gen ne doit plus s'administrer en cli ^^ c'était avant ça, je vois 
mal du debug de patern d'attaque sur du malware and Cie via Le cli.
La webui la mieux aboutie reste pour ce genre de chose Palo-Alto lorsque l'on 
se connecte directement sur le FW

Fortinet pousse tout sur le fortimanager ( management centralisé ) ou tu peux 
vraiment commencer à avoir des fonctionnalités intéressantes sur tout ce qui 
est analytic / correlation and Cie.
Le hic, Les licences. L'intérêt de Fortinet mis à par l'asic c'est les vdom, 
mais Avec Le fortimanager, dont Le model de licence est au nombre de firewall( 
dans la price-list ) , et bien en fait il  considère chaque vdom comme un 
firewall. Donc cette licence , devient a un moment un vrai frein au management 
centralisé et a tout ce qui est corrélation .

Chez Palo-Alto, c'est panorama , Le modèle de licence est identique ( de 
mémoire )
Chez Juniper, c'est pareil Avec security director.

Le cli Le plus abouti reste Juniper sur srx mais pour faire les règles et 
comprendre la logique des fois Ben ... t'as juste envie de prendre le dev de la 
webui et lui faire manger son clavier ( tout en en lui faisant des lowkick )

Le meilleur rapport prix/perf reste Fortinet si tu n'utilise pas toutes les 
fonctions UTM. Des que tu rajoutes les fonctions de filtrages appli Arif, tu 
fais un bon /10 sur les perfs ( validé Avec un injecteur de traffic L4-L7 )

Palo Alto, c'est super si tu as décidé de vendre un rein et de faire une 
hypothèque sur ta maison :)

Apres, il y'a Cisco ... non en fait non y a pas Cisco ^^

J'ai les 3 en prod ( et même du sophos qui traîne pour du lab ) pour des usages 
bien spécifiques mais des que tu demandes de faire le job de l'autre fireWall 
ben , tu fais tomber en marche et des fois pas naturellement ^^

J'ai même migré mon bureau @home sur un F60E Avec le full utm, apres 15 jours 
j'ai commencé à virer des règles et des fonctions UTM alors que sur du sophos 
ça juste marchait mais avec des perfs ridicules.
Des fois les forti, il faut rebooter pour que ça refonctionne ( quand tu as 
l'utm car sans c'est relativement stable )
 

Envoyé de mon iPhone

> Le 23 août 2017 à 23:35, Gaëtan Ferez  a écrit :
> 
> Bonjour,
> 
> On a cluster N2 de FG100D avec 2 VDOM (nécessité lié à du routage asymétrique 
> historique). Ca bronche pas d’un poil.
> 
> On a la formule AV/IPS qui reste assez efficace sur les différents tests que 
> l’on a essayé.
> 
> Le WebUI est bien pratique mais la puissance du fw reste dans la CLI qui 
> permet d’être très très pointilleux.
> Côté log, ca reste exploitable mais c’est vite compliqué si l’on veut faire 
> de l’analyse poussé.
> 
> Gaëtan
> 
> 
>> Le 23 août 2017 à 19:32, tcccorp  a écrit :
>> 
>> Bonjour ,
>> 
>> 
>> J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin .
>> C'est très complet
>> 
>> Néanmoins j'ai quelques petites remarques :
>> 
>> - pas d asic ou puces d'accélération, le cpu monte vite surtout  en webui.
>> - dans cette version , pas de disque non plus ,  donc c'est très limité
>> pour les logs,  il faut passer par un syslog ou un forti anlyser.
>> - les modifications sont prises en direct dès validation contrairement à
>> pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à
>> un moment choisi
>> - la licence est incluse ,  en général,  la première année,  mais après ca
>> coûte assez  cher  ( je trouve ) . Bien sur ça couvre beaucoup de choses
>> comme la partie ids,  av, ... ainsi que l'upgrade soft.  Du coup si l os
>> est troué vous avez intérêt à avoir une maintenance
>> - si vous voulez changer de version,  regardez bien les différentes étapes
>> à respecter sous peine de perdre votre boîtier  ( c'est pas propre à forti
>> 😀)
>> - en ce qui me concerne,  je trouve que le wifi n'est pas très bon . J'ai
>> du mettre un  AP annexe pour corriger ça
>> 
>> J'aime bien aussi pfsense  (ou le fork opnsense).  Avec un petit pc  ,  ça
>> se monte assez vite et tout est dispo en Webui si vous êtes allergiques au
>> cli .
>> 
>> Au niveau consommation, je pense qu un 60d consomme moins qu un pc .
>> 
>> 
>> Je parle bien de petite structure..après  si on monte en gamme ,  avec un
>> fortimanager ,  un fortianalyser,  un 1500d ,  avec des interfaces 10g ,
>> c'est une autre histoire
>> 
>> 
>> 
>> Le 23 août 2017 17:58, "David Ponzone"  a écrit :
>> 
>>> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu
>>> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur
>>> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même
>>> lire la doc.
>>> C'est assez bluffant de simplicité.
>>> Ca se corse juste un peu sur la partie logging/reporting qui manque de
>>> clarté je trouve.
>>> 
>>> David Ponzone
>>> 
>>> 
>>> 
 Le 23 août 2017 à 21:25, B Manu  a écrit :
 
 oui j'ai vu fortinet,
 est ce que quelqu'un a deja utilise la solution virtual domain sur
>>> fortinet
 je sais que palo alto network a le meme cha

Re: [FRnOG] Re: Re: [MISC] comparatif *technique* des FAI "grand public"

[megagolgoth]

Aujourd'hui cela a-t-il encore un sens de bloquer le port 25?


Le 23/08/2017 à 15:31, Stephane Bortzmeyer a écrit :

On Wed, Aug 23, 2017 at 05:14:15PM +0200,
  Clement Cavadore  wrote
  a message of 6 lines which said:


Comme par exemple le port 25 filtré en sortie, chez certains FAI
grand public ? :-)

« Certains » ? Il y en a chez qui il est ouvert par défaut ?

[Ce qui renvoit à la question originale : connaitre ce genre
d'informations est très difficile. La seule méthode raisonnable est de
prendre un abonnement et de tester.]


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Vieux matos pour pas cher

[Jeremy]

Ils sont là depuis 5 ans, jamais réclamé malgré nos relances.
L'usage veux qu'ils n'en veulent pas. Je leur rend avec plaisir ;)


Le 24/08/2017 à 00:14, Pierre LANCASTRE a écrit :

Plop

Revendre du matos qui nous appartient pas, via une liste publique, ca 
craint non ?


++

---
Pierre Lancastre


Le 24 août 2017 00:11, "Jeremy" > a écrit :


Salut les geeks,

On a vidé les fonds d'étagère ces dernières semaines, et on a ça
qui est à vendre :

Réseau
Huawei Quidway S5328C-EI
Huawei Quidway S5328C-EI
Huawei Quidway S5328C-EI

Attention, ces switch sont des appareils historiquement à SFR
qu'ils n'ont jamais récupérés lors de la fermeture de contrat L2L.
Il faut donc flasher la ROM (on a pas réussit/eu le temps de le
faire). En dehors de ça, ils marchent super bien. Ils disposent
tous d'un module SFP 4x1Gb/s.

Serveurs
Dell Poweredge 2650  3 x 73 GB + 3 x 146 GB 10K SCSI Bi Xeon 2Gb
DDR(1)
PowerEdge R200 Bi Xeon 4 Gb DDR(2)
PowerEdge 2850 Bi Xeon 4 Gb DDR(2)
PowerEdge R300Bi Xeon 8 Gb DDR(2)
PowerEdge R300 Bi Xeon 1 Gb DDR(2)
PowerEdge R200 Bi Xeon 4 Gb DDR(2)

C'est vendu en l'état, y en a qui veulent plus démarrer (faut
juste changer une pile ou une barette par ci par là). Y a un lot
de disque 10K SCSI aussi, je dois en faire la liste, je les donne
avec les machines sur demande.

Me faire une offre pour les appareils, on peut expédier sur
demande, soit vous faites enlever par un transporteur, soit vous
nous envoyez le bon de transport qu'on colle sur le colis.

Je vais avoir pas mal d'autre choses dans les semaines à venir,
notamment de nombreux serveurs desktop gamme atom à Core i5
(génération 3550), avec carte mère , ram, stockage, alim, sans
boitier.
On a aussi pas mal de bazars dans le stock avec des équipements
réseaux un peu vieux mais qui fonctionne encore. Si vous cherchez
un truc en particulier, faites moi signe !

Quelque photos :
Exterieur
https://image.ibb.co/hbCMMk/1.jpg 
https://image.ibb.co/jmq81k/2.jpg 
https://image.ibb.co/nAKe7Q/3.jpg 
https://image.ibb.co/j6yT1k/4.jpg 
https://image.ibb.co/e7No1k/5.jpg 
https://image.ibb.co/nhqK7Q/6.jpg 
https://image.ibb.co/mahXSQ/7.jpg 
https://image.ibb.co/d0E1Mk/8.jpg 
https://image.ibb.co/mkjOZ5/9.jpg 
Interieure :
https://image.ibb.co/b31WMk/4.jpg 
https://image.ibb.co/dFyBMk/5.jpg 
https://image.ibb.co/f4my1k/6.jpg 
https://image.ibb.co/kroBMk/7.jpg 
https://image.ibb.co/h2pJ1k/8.jpg 
https://image.ibb.co/jb25gk/9.jpg 

-- 
Cordialement,

Jérémy Martin


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Vieux matos pour pas cher

[Jeremy]

Salut les geeks,

On a vidé les fonds d'étagère ces dernières semaines, et on a ça qui est 
à vendre :


Réseau
Huawei Quidway S5328C-EI
Huawei Quidway S5328C-EI
Huawei Quidway S5328C-EI

Attention, ces switch sont des appareils historiquement à SFR qu'ils 
n'ont jamais récupérés lors de la fermeture de contrat L2L. Il faut donc 
flasher la ROM (on a pas réussit/eu le temps de le faire). En dehors de 
ça, ils marchent super bien. Ils disposent tous d'un module SFP 4x1Gb/s.


Serveurs
Dell Poweredge 2650  3 x 73 GB + 3 x 146 GB 10K SCSI Bi Xeon 2Gb DDR(1)
PowerEdge R200 Bi Xeon 4 Gb DDR(2)
PowerEdge 2850 Bi Xeon 4 Gb DDR(2)
PowerEdge R300Bi Xeon 8 Gb DDR(2)
PowerEdge R300 Bi Xeon 1 Gb DDR(2)
PowerEdge R200 Bi Xeon 4 Gb DDR(2)

C'est vendu en l'état, y en a qui veulent plus démarrer (faut juste 
changer une pile ou une barette par ci par là). Y a un lot de disque 10K 
SCSI aussi, je dois en faire la liste, je les donne avec les machines 
sur demande.


Me faire une offre pour les appareils, on peut expédier sur demande, 
soit vous faites enlever par un transporteur, soit vous nous envoyez le 
bon de transport qu'on colle sur le colis.


Je vais avoir pas mal d'autre choses dans les semaines à venir, 
notamment de nombreux serveurs desktop gamme atom à Core i5 (génération 
3550), avec carte mère , ram, stockage, alim, sans boitier.
On a aussi pas mal de bazars dans le stock avec des équipements réseaux 
un peu vieux mais qui fonctionne encore. Si vous cherchez un truc en 
particulier, faites moi signe !


Quelque photos :
Exterieur
https://image.ibb.co/hbCMMk/1.jpg
https://image.ibb.co/jmq81k/2.jpg
https://image.ibb.co/nAKe7Q/3.jpg
https://image.ibb.co/j6yT1k/4.jpg
https://image.ibb.co/e7No1k/5.jpg
https://image.ibb.co/nhqK7Q/6.jpg
https://image.ibb.co/mahXSQ/7.jpg
https://image.ibb.co/d0E1Mk/8.jpg
https://image.ibb.co/mkjOZ5/9.jpg
Interieure :
https://image.ibb.co/b31WMk/4.jpg
https://image.ibb.co/dFyBMk/5.jpg
https://image.ibb.co/f4my1k/6.jpg
https://image.ibb.co/kroBMk/7.jpg
https://image.ibb.co/h2pJ1k/8.jpg
https://image.ibb.co/jb25gk/9.jpg

--
Cordialement,
Jérémy Martin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Gaëtan Ferez]

Bonjour,

On a cluster N2 de FG100D avec 2 VDOM (nécessité lié à du routage asymétrique 
historique). Ca bronche pas d’un poil.

On a la formule AV/IPS qui reste assez efficace sur les différents tests que 
l’on a essayé.

Le WebUI est bien pratique mais la puissance du fw reste dans la CLI qui permet 
d’être très très pointilleux.
Côté log, ca reste exploitable mais c’est vite compliqué si l’on veut faire de 
l’analyse poussé.

Gaëtan


> Le 23 août 2017 à 19:32, tcccorp  a écrit :
> 
> Bonjour ,
> 
> 
> J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin .
> C'est très complet
> 
> Néanmoins j'ai quelques petites remarques :
> 
> - pas d asic ou puces d'accélération, le cpu monte vite surtout  en webui.
> - dans cette version , pas de disque non plus ,  donc c'est très limité
> pour les logs,  il faut passer par un syslog ou un forti anlyser.
> - les modifications sont prises en direct dès validation contrairement à
> pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à
> un moment choisi
> - la licence est incluse ,  en général,  la première année,  mais après ca
> coûte assez  cher  ( je trouve ) . Bien sur ça couvre beaucoup de choses
> comme la partie ids,  av, ... ainsi que l'upgrade soft.  Du coup si l os
> est troué vous avez intérêt à avoir une maintenance
> - si vous voulez changer de version,  regardez bien les différentes étapes
> à respecter sous peine de perdre votre boîtier  ( c'est pas propre à forti
> 😀)
> - en ce qui me concerne,  je trouve que le wifi n'est pas très bon . J'ai
> du mettre un  AP annexe pour corriger ça
> 
> J'aime bien aussi pfsense  (ou le fork opnsense).  Avec un petit pc  ,  ça
> se monte assez vite et tout est dispo en Webui si vous êtes allergiques au
> cli .
> 
> Au niveau consommation, je pense qu un 60d consomme moins qu un pc .
> 
> 
> Je parle bien de petite structure..après  si on monte en gamme ,  avec un
> fortimanager ,  un fortianalyser,  un 1500d ,  avec des interfaces 10g ,
> c'est une autre histoire
> 
> 
> 
> Le 23 août 2017 17:58, "David Ponzone"  a écrit :
> 
>> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu
>> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur
>> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même
>> lire la doc.
>> C'est assez bluffant de simplicité.
>> Ca se corse juste un peu sur la partie logging/reporting qui manque de
>> clarté je trouve.
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 23 août 2017 à 21:25, B Manu  a écrit :
>>> 
>>> oui j'ai vu fortinet,
>>> est ce que quelqu'un a deja utilise la solution virtual domain sur
>> fortinet
>>> je sais que palo alto network a le meme change de fonction
>>> avoir plusieurs firewall sous un seul bati
>>> 
 Le 23 août 2017 à 15:17, B Manu  a écrit :
 
 Bonjour,
 
 je deploie chez mes clients du soniwall
 pour le budget je recherche une bonne solution (sans emmerde) enfin
 j'espere
 j'ai de la place pour le hardware il me faudrait multi tenant
 virtualisation pas de soucis j'ai la structure
 
> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
> 
> Bonjour,
> 
> ça dépend de beaucoup de chose :
> 
> - as-tu des expériences avec les firewalls si oui quels systeme ?
> 
> - Quel est ton budget ?
> 
> - As-tu de la place physiquement ?
> 
> - As-tu de la capacité de virtualisation?
> 
> 
> Dans le cas de solution virtu je te suggère pfsense qui selon moi est
>> un
> des meilleurs firewall soft en virtu qui est aussi capable que les
>> payants
> mais en opensource.
> 
> Dans le cas de solution physique comme j'ai pour les sites distants
> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que
>> bas
> dans la gamme ya des bugs ... :/
> 
> 
> n'hésites pas à revenir vers la liste 😊
> 
> 
> 
> --
> *TUTARD Nathan *
> 
> 
> 
> 
> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur
>> DIFFE
> et BAFA*
> nathan33...@live.fr, 07.60.08.58.60
> 
> 
> --
> *De :* frnog-requ...@frnog.org  de la part
>> de B
> Manu 
> *Envoyé :* mercredi 23 août 2017 14:53
> *À :* Frnog-tech
> *Objet :* [FRnOG] [TECH] firewall
> 
> Bonjour,
> 
> je suis entrain de rechercher une solution de firewall(hardware ou
> virtuel)
> pour proposer
> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
> la solution serai  heberge dans DC
> 
> quel solution pouvez-vous me conseille ou deconseiller
> ou votre retour d'experience
> 
> Merci d'avance.
> 
> Cordialement,
> 
> manu
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
 
 
>>> 
>>> 

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Paul Birnbaum]

Bonsoir,

De mon expérience chez orange en FTTH si tu trouve la TV et le Tel useless 
alors tu peux t’en sortir avec une IP fixe (le DHCP option 90 fit/x renvoie 
toujours la même adresse) ou prendre un contrat pro et tu l’as direct et sinon 
bah 980/250 Mbps en constant depuis 1 ans -1 jours lors de la coupure de la 
fibre par les peintres qui refaisaient la cage d’escalier (coupure lundi midi, 
réparé mardi 10h) et plus de problème de filtrage du port 25.  


Bonne soirée

Paul

> Le 23 août 2017 à 19:28, Eric Belhomme  a écrit :
> 
> Le 23/08/2017 à 18:06, David Ponzone a écrit :
> 
>> Pour faire simple, parmi tes questions, 2 catégories:
>> -celles auxquelles le FAI peut répondre et s'il ne le fait pas correctement, 
>> il vaut peut-être mieux ne pas envisager d'amorcer une relation
> 
> Il fut un temps où free était à peu près transparent, mais on me souffle que 
> ce temps là est révolu, y compris chez eux. Je ne peux plus juger, je ne suis 
> plus client chez eux depuis plus de 5 ans (une éternité dans ce milieu)
> 
> Quant aux autres, l'information est tout simplement impossible à obtenir... 
> Essaies donc d'appeler le service commercial de Orange/SFR/Bouygues/whatever 
> pour leur demander si ils fournissent une IP full stack ou si il y a du 
> filtrage de port ou du proxying transparent chez eux, ils ne comprendront 
> même pas la question !
> 
>> Il faudrait peut-être aussi comptabiliser le taux d'indispo annuel dans tes 
>> critères, ca élimine certains acteurs de facto :)
> 
> Certes :)
> 
> -- 
> Rico
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

Cordialement

Paul Birnbaum
p...@birnbaum.io




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Nicolas CORBEL]

Bonsoir,

On Wed 23 Aug 2017 at 19:27, H2L29  wrote:

> salut, je suis plutôt lecteur ici mais là pour avoir moi même testé les
> differents FAI pour ces questions précises je peux répondre en partie :)
>
> alors Orange filtre le port 25 en sortie (passage obligatoire par le relai
> smtp orange pour envoyer du mail) SFR/NC ne bride pas, et Free permet à
> l'utilisateur de débloquer le port
>
> pour le lien SFR/NC privilégie le câble coax si dispo, Orange arbre GPON,
> et Free pose un lien P2P si le boitier Orange n'est pas encore posé, sinon
> il utilise celui de Orange.


Alors non, chacun utilise ses équipements et si Orange a posé un PTO ça
n’empêche pas Free de faire du P2P ou du *PON selon la zone.


>
> pour le débit SFR limite beaucoup l'upload à cause du coax le débit max
> dépend de l'offre, Free a un download 1GB mais un up de 100MB sur son
> propre lien, et Orange a du 600/200MB le débit max dépend de l'offre.
>

Free propose 1G/200M, Orange vend 500/200 provisionné 1000/250 et SFR vend
aussi du 1000/200 si en FTTH (jusqu’à 1000/100 sinon).


> pour le peering ils se valent tout les 3 je pense avec Orange en tête
>

*tousse*


> de mon point de vue la meilleure offre est celle de Free en passant par
> l'arbre GPON de Orange


Free ne passe pas par les arbres GPON d’Orange...


>
> en espérant n'avoir pas dit trop de conneries ;-p


J’ai envie de dire « loupé ».


>
> Le 23 août 2017 à 18:58, Antoine Drochon  a écrit :
>
> > Salut,
> >
> >
> > >  Pour des besoins personnels
> >
> >
> > et plus tard
> >
> >
> > > je recherche un opérateur qui me fournisse un vrai lien qui me permette
> > de
> > > travailler sérieusement :)
> >
> >
> > Petite contradiction là non ?
> >
> > Ce sont typiquement des questions qui pourrait faire l'objet d'études
> > comparatives longues et coûteuses pour être objectif (si on peu l'être).
> >
> > Une liaison "pro" peut coûter un bras ($LA) si c'est pour faire du
> > télétravail. Dans certains cas, si ton taux horaire est important,
> prendre
> > deux lignes sur deux technos différentes permet de maximiser la
> > disponibilité de ta connectivité. Certains FAI proposent aussi de se
> > connecter au réseau Wifi mis à disposition par les abonnés et leur box.
> >
> > Après dépendamment de ce que tu fais comme boulot, un tethering en
> > cellulaire permet de parer au plus urgent si c'est une coupure courte.
> >
> > Un fail-over ultime au McDo/Starbucks/voisin/truc à la mode en bas de
> chez
> > toi et on tient qqchose.
> >
> > Depuis l'âge du dial-up et des tonalités occupées, on a quand même bien
> > progressé sur la dispo des liens à la maison.
> > Pour ce qui est du filtrage ou QoS invasive, rien n'empêche de recourir à
> > du VPN.
> >
> > A.
> >
> >
> > 2017-08-23 7:58 GMT-07:00 Eric Belhomme :
> >
> > > Bonjour,
> > >
> > > La question est un peu HS ici, bien que ça concerne tout de même le
> monde
> > > des opérateurs... mais coté grand public !
> > > Pour des besoins personnels, je recherche, pour l'instant sans succès,
> > des
> > > éléments techniques afin de pouvoir comparer les offres "grand public"
> > > (Free, Orange, SFR, etc.) sur les seuls critères techniques de la
> > > connectivité fournie.
> > >
> > > Notamment :
> > >
> > > - la fourniture d'un IPv4 fixe/dynamique/partagée
> > > - la fourniture d'une IPv6 d'un subnet IPv6
> > > - du filtrage, ou de la QoS invasif
> > > - de la qualité et du dimensionnement de l'infra propre
> > > - de la qualité des points de collecte et de peering
> > > - de la qualité des équipements fourni (modem/routeur)
> > >
> > > Vous l'aurez compris, RaF des offres triple play et des box à gogos, je
> > > recherche un opérateur qui me fournisse un vrai lien qui me permette de
> > > travailler sérieusement :)
> > >
> > > Auriez-vous des liens ou des éléments de réponse ?
> > >
> > > Merci,
> > >
> > > --
> > > Rico
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> > >
> >
> >
> >
> > --
> > a day a bug
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
>
> --
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 23/08/2017 à 17:19, Eric Masson a écrit :


Orange Pro ici :
- ipv4 fixe
- pas d'ipv6 natif (tunnel HE)
- pas de filtrage reporté par les outils de scan externes.
- Infra Orange...
- Pas de box, un Thomson ST-536 en firmware 7.x et un TP-Link sous
   LEDE-17.01 (pas d'obligation de box pour avoir le support)

C'est pas con : les offres VDSL pro deviennent presque compétitives 
faces aux offres grand public... à voir



Le support sur la ligne cuivre n'est pas des plus performants, il faut
vraiment des problèmes de synchro francs pour qu'une intervention
terrain soit déclenchée (ce qui explique pourquoi je suis chez Orange,
je n'ose pas imaginer les soucis si c'est un opérateur tiers qui demande
une interventions sur la BL, même si passer chez Nerim avec une offre
Trust me titille de plus en plus...)

Bah, j'ai bien pensé à Nerim, mais mes dernières expériences 
professionnelles avec eux m'ont un peu fait déchanter : excellence 
technique des années 2000 est partie en même temps que son fondateur :(


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[tcccorp]

Bonjour ,


J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin .
C'est très complet

Néanmoins j'ai quelques petites remarques :

- pas d asic ou puces d'accélération, le cpu monte vite surtout  en webui.
 - dans cette version , pas de disque non plus ,  donc c'est très limité
pour les logs,  il faut passer par un syslog ou un forti anlyser.
- les modifications sont prises en direct dès validation contrairement à
pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à
un moment choisi
- la licence est incluse ,  en général,  la première année,  mais après ca
coûte assez  cher  ( je trouve ) . Bien sur ça couvre beaucoup de choses
comme la partie ids,  av, ... ainsi que l'upgrade soft.  Du coup si l os
est troué vous avez intérêt à avoir une maintenance
- si vous voulez changer de version,  regardez bien les différentes étapes
à respecter sous peine de perdre votre boîtier  ( c'est pas propre à forti
😀)
- en ce qui me concerne,  je trouve que le wifi n'est pas très bon . J'ai
du mettre un  AP annexe pour corriger ça

J'aime bien aussi pfsense  (ou le fork opnsense).  Avec un petit pc  ,  ça
se monte assez vite et tout est dispo en Webui si vous êtes allergiques au
cli .

Au niveau consommation, je pense qu un 60d consomme moins qu un pc .


Je parle bien de petite structure..après  si on monte en gamme ,  avec un
fortimanager ,  un fortianalyser,  un 1500d ,  avec des interfaces 10g ,
 c'est une autre histoire



Le 23 août 2017 17:58, "David Ponzone"  a écrit :

> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu
> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur
> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même
> lire la doc.
> C'est assez bluffant de simplicité.
> Ca se corse juste un peu sur la partie logging/reporting qui manque de
> clarté je trouve.
>
> David Ponzone
>
>
>
> > Le 23 août 2017 à 21:25, B Manu  a écrit :
> >
> > oui j'ai vu fortinet,
> > est ce que quelqu'un a deja utilise la solution virtual domain sur
> fortinet
> > je sais que palo alto network a le meme change de fonction
> > avoir plusieurs firewall sous un seul bati
> >
> >> Le 23 août 2017 à 15:17, B Manu  a écrit :
> >>
> >> Bonjour,
> >>
> >> je deploie chez mes clients du soniwall
> >> pour le budget je recherche une bonne solution (sans emmerde) enfin
> >> j'espere
> >> j'ai de la place pour le hardware il me faudrait multi tenant
> >> virtualisation pas de soucis j'ai la structure
> >>
> >>> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
> >>>
> >>> Bonjour,
> >>>
> >>> ça dépend de beaucoup de chose :
> >>>
> >>> - as-tu des expériences avec les firewalls si oui quels systeme ?
> >>>
> >>> - Quel est ton budget ?
> >>>
> >>> - As-tu de la place physiquement ?
> >>>
> >>> - As-tu de la capacité de virtualisation?
> >>>
> >>>
> >>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est
> un
> >>> des meilleurs firewall soft en virtu qui est aussi capable que les
> payants
> >>> mais en opensource.
> >>>
> >>> Dans le cas de solution physique comme j'ai pour les sites distants
> >>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que
> bas
> >>> dans la gamme ya des bugs ... :/
> >>>
> >>>
> >>> n'hésites pas à revenir vers la liste 😊
> >>>
> >>>
> >>>
> >>> --
> >>> *TUTARD Nathan *
> >>>
> >>>
> >>>
> >>>
> >>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
> >>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur
> DIFFE
> >>> et BAFA*
> >>> nathan33...@live.fr, 07.60.08.58.60
> >>>
> >>>
> >>> --
> >>> *De :* frnog-requ...@frnog.org  de la part
> de B
> >>> Manu 
> >>> *Envoyé :* mercredi 23 août 2017 14:53
> >>> *À :* Frnog-tech
> >>> *Objet :* [FRnOG] [TECH] firewall
> >>>
> >>> Bonjour,
> >>>
> >>> je suis entrain de rechercher une solution de firewall(hardware ou
> >>> virtuel)
> >>> pour proposer
> >>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
> >>> la solution serai  heberge dans DC
> >>>
> >>> quel solution pouvez-vous me conseille ou deconseiller
> >>> ou votre retour d'experience
> >>>
> >>> Merci d'avance.
> >>>
> >>> Cordialement,
> >>>
> >>> manu
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 23/08/2017 à 18:06, David Ponzone a écrit :


Pour faire simple, parmi tes questions, 2 catégories:
-celles auxquelles le FAI peut répondre et s'il ne le fait pas correctement, il 
vaut peut-être mieux ne pas envisager d'amorcer une relation


Il fut un temps où free était à peu près transparent, mais on me souffle 
que ce temps là est révolu, y compris chez eux. Je ne peux plus juger, 
je ne suis plus client chez eux depuis plus de 5 ans (une éternité dans 
ce milieu)


Quant aux autres, l'information est tout simplement impossible à 
obtenir... Essaies donc d'appeler le service commercial de 
Orange/SFR/Bouygues/whatever pour leur demander si ils fournissent une 
IP full stack ou si il y a du filtrage de port ou du proxying 
transparent chez eux, ils ne comprendront même pas la question !



Il faudrait peut-être aussi comptabiliser le taux d'indispo annuel dans tes 
critères, ca élimine certains acteurs de facto :)


Certes :)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[H2L29]

salut, je suis plutôt lecteur ici mais là pour avoir moi même testé les
differents FAI pour ces questions précises je peux répondre en partie :)

alors Orange filtre le port 25 en sortie (passage obligatoire par le relai
smtp orange pour envoyer du mail) SFR/NC ne bride pas, et Free permet à
l'utilisateur de débloquer le port

pour le lien SFR/NC privilégie le câble coax si dispo, Orange arbre GPON,
et Free pose un lien P2P si le boitier Orange n'est pas encore posé, sinon
il utilise celui de Orange.

pour le débit SFR limite beaucoup l'upload à cause du coax le débit max
dépend de l'offre, Free a un download 1GB mais un up de 100MB sur son
propre lien, et Orange a du 600/200MB le débit max dépend de l'offre.

pour le peering ils se valent tout les 3 je pense avec Orange en tête

de mon point de vue la meilleure offre est celle de Free en passant par
l'arbre GPON de Orange

en espérant n'avoir pas dit trop de conneries ;-p

Le 23 août 2017 à 18:58, Antoine Drochon  a écrit :

> Salut,
>
>
> >  Pour des besoins personnels
>
>
> et plus tard
>
>
> > je recherche un opérateur qui me fournisse un vrai lien qui me permette
> de
> > travailler sérieusement :)
>
>
> Petite contradiction là non ?
>
> Ce sont typiquement des questions qui pourrait faire l'objet d'études
> comparatives longues et coûteuses pour être objectif (si on peu l'être).
>
> Une liaison "pro" peut coûter un bras ($LA) si c'est pour faire du
> télétravail. Dans certains cas, si ton taux horaire est important, prendre
> deux lignes sur deux technos différentes permet de maximiser la
> disponibilité de ta connectivité. Certains FAI proposent aussi de se
> connecter au réseau Wifi mis à disposition par les abonnés et leur box.
>
> Après dépendamment de ce que tu fais comme boulot, un tethering en
> cellulaire permet de parer au plus urgent si c'est une coupure courte.
>
> Un fail-over ultime au McDo/Starbucks/voisin/truc à la mode en bas de chez
> toi et on tient qqchose.
>
> Depuis l'âge du dial-up et des tonalités occupées, on a quand même bien
> progressé sur la dispo des liens à la maison.
> Pour ce qui est du filtrage ou QoS invasive, rien n'empêche de recourir à
> du VPN.
>
> A.
>
>
> 2017-08-23 7:58 GMT-07:00 Eric Belhomme :
>
> > Bonjour,
> >
> > La question est un peu HS ici, bien que ça concerne tout de même le monde
> > des opérateurs... mais coté grand public !
> > Pour des besoins personnels, je recherche, pour l'instant sans succès,
> des
> > éléments techniques afin de pouvoir comparer les offres "grand public"
> > (Free, Orange, SFR, etc.) sur les seuls critères techniques de la
> > connectivité fournie.
> >
> > Notamment :
> >
> > - la fourniture d'un IPv4 fixe/dynamique/partagée
> > - la fourniture d'une IPv6 d'un subnet IPv6
> > - du filtrage, ou de la QoS invasif
> > - de la qualité et du dimensionnement de l'infra propre
> > - de la qualité des points de collecte et de peering
> > - de la qualité des équipements fourni (modem/routeur)
> >
> > Vous l'aurez compris, RaF des offres triple play et des box à gogos, je
> > recherche un opérateur qui me fournisse un vrai lien qui me permette de
> > travailler sérieusement :)
> >
> > Auriez-vous des liens ou des éléments de réponse ?
> >
> > Merci,
> >
> > --
> > Rico
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
>
> --
> a day a bug
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



--

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 23/08/2017 à 18:58, Antoine Drochon a écrit :

Salut,

Pour des besoins personnels


et plus tard

je recherche un opérateur qui me fournisse un vrai lien qui me
permette de travailler sérieusement :)


Petite contradiction là non ?


Pas vraiment, non...
Disons que j'ai une utilisation atypique de ma connexion domestique, 
j'imagine comme beaucoup sur cette liste :)


J'ai entre autre besoins effectivement d'une bonne liaison pour du 
télétravail, pour moi-même et ma moitié, et d'autre part j'ai moon petit 
lab @home (un hyperviseur et du stockage) qui me sert bien, y compris en 
clientèle


Et non, monter un VPN par dessus une "box" pour m'affranchir des 
limitations d'un opérateur défaillant n'est pour moi la bonne solution, 
je préfère passer par un opérateur qui "juste marche" ;)


La redondance du lien est hors-propos dans ce contexte (mais oui, mon 
smartphone au cul du routeur m'a déjà dépanné plusieurs fois)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Antoine Drochon]

Salut,


>  Pour des besoins personnels


et plus tard


> je recherche un opérateur qui me fournisse un vrai lien qui me permette de
> travailler sérieusement :)


Petite contradiction là non ?

Ce sont typiquement des questions qui pourrait faire l'objet d'études
comparatives longues et coûteuses pour être objectif (si on peu l'être).

Une liaison "pro" peut coûter un bras ($LA) si c'est pour faire du
télétravail. Dans certains cas, si ton taux horaire est important, prendre
deux lignes sur deux technos différentes permet de maximiser la
disponibilité de ta connectivité. Certains FAI proposent aussi de se
connecter au réseau Wifi mis à disposition par les abonnés et leur box.

Après dépendamment de ce que tu fais comme boulot, un tethering en
cellulaire permet de parer au plus urgent si c'est une coupure courte.

Un fail-over ultime au McDo/Starbucks/voisin/truc à la mode en bas de chez
toi et on tient qqchose.

Depuis l'âge du dial-up et des tonalités occupées, on a quand même bien
progressé sur la dispo des liens à la maison.
Pour ce qui est du filtrage ou QoS invasive, rien n'empêche de recourir à
du VPN.

A.


2017-08-23 7:58 GMT-07:00 Eric Belhomme :

> Bonjour,
>
> La question est un peu HS ici, bien que ça concerne tout de même le monde
> des opérateurs... mais coté grand public !
> Pour des besoins personnels, je recherche, pour l'instant sans succès, des
> éléments techniques afin de pouvoir comparer les offres "grand public"
> (Free, Orange, SFR, etc.) sur les seuls critères techniques de la
> connectivité fournie.
>
> Notamment :
>
> - la fourniture d'un IPv4 fixe/dynamique/partagée
> - la fourniture d'une IPv6 d'un subnet IPv6
> - du filtrage, ou de la QoS invasif
> - de la qualité et du dimensionnement de l'infra propre
> - de la qualité des points de collecte et de peering
> - de la qualité des équipements fourni (modem/routeur)
>
> Vous l'aurez compris, RaF des offres triple play et des box à gogos, je
> recherche un opérateur qui me fournisse un vrai lien qui me permette de
> travailler sérieusement :)
>
> Auriez-vous des liens ou des éléments de réponse ?
>
> Merci,
>
> --
> Rico
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
a day a bug

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[nikolaii]

Bonsoir,

On 08/23/2017 04:58 PM, Eric Belhomme wrote:

Bonjour,

La question est un peu HS ici, bien que ça concerne tout de même le 
monde des opérateurs... mais coté grand public !
Pour des besoins personnels, je recherche, pour l'instant sans succès, 
des éléments techniques afin de pouvoir comparer les offres "grand 
public" (Free, Orange, SFR, etc.) sur les seuls critères techniques de 
la connectivité fournie.


Notamment :

- la fourniture d'un IPv4 fixe/dynamique/partagée
- la fourniture d'une IPv6 d'un subnet IPv6
- du filtrage, ou de la QoS invasif
- de la qualité et du dimensionnement de l'infra propre
- de la qualité des points de collecte et de peering
- de la qualité des équipements fourni (modem/routeur)

Vous l'aurez compris, RaF des offres triple play et des box à gogos, je 
recherche un opérateur qui me fournisse un vrai lien qui me permette de 
travailler sérieusement :)


Auriez-vous des liens ou des éléments de réponse ?



Pas vraiment d’éléments techniques mais un RETEX:

J'utilise OVH Telecom chez moi sur un lien adsl, ça tient la route.
Du coup je l'ai déployé dans la famille, rien à dire tant que la ligne 
RTC va, tout va:


- sauf une fois où il y avait des problèmes sur la ligne (c'est à la 
campagne) et les aller-retour entre Orange/Prestataire d'Orange/OVH ont 
pris environ 40 jours ...


Nérim serait aussi un bon candidat, dans mon ancien travail nous 
l'utilisions (SDSL), leur support était efficace.



Merci,




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[David Ponzone]

Pour faire simple, parmi tes questions, 2 catégories:
-celles auxquelles le FAI peut répondre et s'il ne le fait pas correctement, il 
vaut peut-être mieux ne pas envisager d'amorcer une relation
-les autres plus délicates (dimensionnement/qualité/peering/filtrage/QoS), 
auxquelles ils ne répondront pas car c'est confidentiel, ni personne ici car 
tenter de deviner certains éléments serait chronophage et sans intérêt.

Il faudrait peut-être aussi comptabiliser le taux d'indispo annuel dans tes 
critères, ca élimine certains acteurs de facto :)

David Ponzone



> Le 23 août 2017 à 22:58, Eric Belhomme  a écrit :
> 
> Bonjour,
> 
> La question est un peu HS ici, bien que ça concerne tout de même le monde des 
> opérateurs... mais coté grand public !
> Pour des besoins personnels, je recherche, pour l'instant sans succès, des 
> éléments techniques afin de pouvoir comparer les offres "grand public" (Free, 
> Orange, SFR, etc.) sur les seuls critères techniques de la connectivité 
> fournie.
> 
> Notamment :
> 
> - la fourniture d'un IPv4 fixe/dynamique/partagée
> - la fourniture d'une IPv6 d'un subnet IPv6
> - du filtrage, ou de la QoS invasif
> - de la qualité et du dimensionnement de l'infra propre
> - de la qualité des points de collecte et de peering
> - de la qualité des équipements fourni (modem/routeur)
> 
> Vous l'aurez compris, RaF des offres triple play et des box à gogos, je 
> recherche un opérateur qui me fournisse un vrai lien qui me permette de 
> travailler sérieusement :)
> 
> Auriez-vous des liens ou des éléments de réponse ?
> 
> Merci,
> 
> -- 
> Rico
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[David Ponzone]

Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu ajouter un 
VDOM pour un client avec un VPN MPLS, avec du NAT sur l'interface virtuelle 
entre le VDOM du client et le VDOM root, sans même lire la doc.
C'est assez bluffant de simplicité.
Ca se corse juste un peu sur la partie logging/reporting qui manque de clarté 
je trouve.

David Ponzone



> Le 23 août 2017 à 21:25, B Manu  a écrit :
> 
> oui j'ai vu fortinet,
> est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
> je sais que palo alto network a le meme change de fonction
> avoir plusieurs firewall sous un seul bati
> 
>> Le 23 août 2017 à 15:17, B Manu  a écrit :
>> 
>> Bonjour,
>> 
>> je deploie chez mes clients du soniwall
>> pour le budget je recherche une bonne solution (sans emmerde) enfin
>> j'espere
>> j'ai de la place pour le hardware il me faudrait multi tenant
>> virtualisation pas de soucis j'ai la structure
>> 
>>> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
>>> 
>>> Bonjour,
>>> 
>>> ça dépend de beaucoup de chose :
>>> 
>>> - as-tu des expériences avec les firewalls si oui quels systeme ?
>>> 
>>> - Quel est ton budget ?
>>> 
>>> - As-tu de la place physiquement ?
>>> 
>>> - As-tu de la capacité de virtualisation?
>>> 
>>> 
>>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un
>>> des meilleurs firewall soft en virtu qui est aussi capable que les payants
>>> mais en opensource.
>>> 
>>> Dans le cas de solution physique comme j'ai pour les sites distants
>>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que bas
>>> dans la gamme ya des bugs ... :/
>>> 
>>> 
>>> n'hésites pas à revenir vers la liste 😊
>>> 
>>> 
>>> 
>>> --
>>> *TUTARD Nathan *
>>> 
>>> 
>>> 
>>> 
>>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
>>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur DIFFE
>>> et BAFA*
>>> nathan33...@live.fr, 07.60.08.58.60
>>> 
>>> 
>>> --
>>> *De :* frnog-requ...@frnog.org  de la part de B
>>> Manu 
>>> *Envoyé :* mercredi 23 août 2017 14:53
>>> *À :* Frnog-tech
>>> *Objet :* [FRnOG] [TECH] firewall
>>> 
>>> Bonjour,
>>> 
>>> je suis entrain de rechercher une solution de firewall(hardware ou
>>> virtuel)
>>> pour proposer
>>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
>>> la solution serai  heberge dans DC
>>> 
>>> quel solution pouvez-vous me conseille ou deconseiller
>>> ou votre retour d'experience
>>> 
>>> Merci d'avance.
>>> 
>>> Cordialement,
>>> 
>>> manu
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[David Ponzone]

L'inconvénient de la solution virtu chez Forti est le prix: absolument pas 
intéressant vu la limite en vCPU et vRAM imposée.
Je ne sais pas qui est la cible mais d'après ce que j'ai compris, pas les SP.

David Ponzone



> Le 23 août 2017 à 21:45, Guillaume Tournat  a écrit :
> 
>> Le 23/08/2017 à 15:25, B Manu a écrit :
>> oui j'ai vu fortinet,
>> est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
>> je sais que palo alto network a le meme change de fonction
>> avoir plusieurs firewall sous un seul bati
> 
> ca fonctionne aussi pour les appliances virtuelles, mais c'est moins 
> performant (notamment pour l'UTM)
> car sous forme de VM, il n'y a pas de SPU (les ASIC, coprocesseurs 
> d'accélération réseau NP et content CP).
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Re: [MISC] comparatif *technique* des FAI "grand public"

[Nicolas CORBEL]

Hello,

2017-08-23 17:39 GMT+02:00 Yves Rougy :

> 2017-08-23 17:31 GMT+02:00 Stephane Bortzmeyer :
>
> > On Wed, Aug 23, 2017 at 05:14:15PM +0200,
> >  Clement Cavadore  wrote
> >  a message of 6 lines which said:
> >
> > > Comme par exemple le port 25 filtré en sortie, chez certains FAI
> > > grand public ? :-)
> >
> > « Certains » ? Il y en a chez qui il est ouvert par défaut ?
> >
> > [Ce qui renvoit à la question originale : connaitre ce genre
> > d'informations est très difficile. La seule méthode raisonnable est de
> > prendre un abonnement et de tester.]
> >
> >
> Une question intéressante serait aussi de savoir quelles restrictions sont
> configurables: le filtrage du port 25 est désactivable chez certains FAI,
> mais pas forcément chez d'autres.


Je ne connais pas l'état "par défaut" (mais bon vu la question initiale, je
ne pense pas que ce soit le sujet) mais le port 25 n'est filtré sans
possibilité d'enlever ça que chez Orange a ma connaissance. (je parle
grozop)


> De même, je sais que *certaines* IP Free
> sont partagées entre plusieurs clients, est-ce qu'il est possible dans ce
> cas de demander (et d'obtenir !) une IP dédiée. Est-ce qu'il y a un coût
> associé ?
>

Tu peux demander une IP appelée "full stack" gratuitement en cliquant dans
ton espace client.
certaines = FTTH *PON + dégroupage récent.

Nico


>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Re: [MISC] comparatif *technique* des FAI "grand public"

[Yves Rougy]

2017-08-23 17:31 GMT+02:00 Stephane Bortzmeyer :

> On Wed, Aug 23, 2017 at 05:14:15PM +0200,
>  Clement Cavadore  wrote
>  a message of 6 lines which said:
>
> > Comme par exemple le port 25 filtré en sortie, chez certains FAI
> > grand public ? :-)
>
> « Certains » ? Il y en a chez qui il est ouvert par défaut ?
>
> [Ce qui renvoit à la question originale : connaitre ce genre
> d'informations est très difficile. La seule méthode raisonnable est de
> prendre un abonnement et de tester.]
>
>
Une question intéressante serait aussi de savoir quelles restrictions sont
configurables: le filtrage du port 25 est désactivable chez certains FAI,
mais pas forcément chez d'autres. De même, je sais que *certaines* IP Free
sont partagées entre plusieurs clients, est-ce qu'il est possible dans ce
cas de demander (et d'obtenir !) une IP dédiée. Est-ce qu'il y a un coût
associé ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [MISC] comparatif *technique* des FAI "grand public"

[Stephane Bortzmeyer]

On Wed, Aug 23, 2017 at 05:14:15PM +0200,
 Clement Cavadore  wrote 
 a message of 6 lines which said:

> Comme par exemple le port 25 filtré en sortie, chez certains FAI
> grand public ? :-)

« Certains » ? Il y en a chez qui il est ouvert par défaut ?

[Ce qui renvoit à la question originale : connaitre ce genre
d'informations est très difficile. La seule méthode raisonnable est de
prendre un abonnement et de tester.]


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] comparatif *technique* des FAI "grand public"

[Clement Cavadore]

On Wed, 2017-08-23 at 17:11 +0200, Stephane Bortzmeyer wrote:
> Et si quelqu'un a des informations là-dessus, merci de les transmettre
> également à l'ARCEP, qui sera certainement intéressée.

Comme par exemple le port 25 filtré en sortie, chez certains FAI grand
public ? :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] comparatif *technique* des FAI "grand public"

[Stephane Bortzmeyer]

On Wed, Aug 23, 2017 at 04:58:51PM +0200,
 Eric Belhomme  wrote 
 a message of 33 lines which said:

> - du filtrage, ou de la QoS invasif

Et si quelqu'un a des informations là-dessus, merci de les transmettre
également à l'ARCEP, qui sera certainement intéressée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Bonjour,

La question est un peu HS ici, bien que ça concerne tout de même le 
monde des opérateurs... mais coté grand public !
Pour des besoins personnels, je recherche, pour l'instant sans succès, 
des éléments techniques afin de pouvoir comparer les offres "grand 
public" (Free, Orange, SFR, etc.) sur les seuls critères techniques de 
la connectivité fournie.


Notamment :

- la fourniture d'un IPv4 fixe/dynamique/partagée
- la fourniture d'une IPv6 d'un subnet IPv6
- du filtrage, ou de la QoS invasif
- de la qualité et du dimensionnement de l'infra propre
- de la qualité des points de collecte et de peering
- de la qualité des équipements fourni (modem/routeur)

Vous l'aurez compris, RaF des offres triple play et des box à gogos, je 
recherche un opérateur qui me fournisse un vrai lien qui me permette de 
travailler sérieusement :)


Auriez-vous des liens ou des éléments de réponse ?

Merci,

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

[Aladin FABIOUX]

Salut, 
J'utilisais aussi beaucoup Pfsense qui est vraiment très intéressant et 
puissant (et opensource:-)) 
Sinon maintenant j'utilise Clavister, des Suedois qui proposent des solutions 
aussi bien virtuelles que hard. Vraiment pas mal comme outils. Pour le support 
uniquement en Anglais.
Ce n'est pas très cher (une V3 pour 1000€ pour 3 ans ...)

Al.


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sylvain Faivre
Envoyé : mercredi 23 août 2017 16:11
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] firewall

pfSense marche très bien aussi en hardware, soit sur du petit matos :
http://store.viatitude.com/fr/pfsense-firewall-appliance/27-sg-1000-netgate-pfsense-security-gateway-appliance.html
ou du gros :
http://store.viatitude.com/fr/pfsense-firewall-appliance/25-xg-2758-1u-pfsense-security-gateway-appliance.html

(NB. Je n'ai pas d'expérience de ce vendeur, simple résultat d'une recherche. 
Dans un boulot précédent, j'en administrais sur une appliance qui ne se vend 
plus aujourd'hui)

Au passage, question naïve sur Fortinet, n'ayant jamais utilisé : tout le monde 
en parle, mais quel est l'avantage ? Ca tient aux modules proposés pour faire 
plein de choses (IDS, WAF, etc.) ? Est-ce utile si on a déjà des outils qui 
font ça ?


Sylvain Faivre
Administrateur systèmes et réseaux
CIRM - UMS 822 - CNRS/SMF
Tél. 04.91.83.30.23
On 08/23/2017 03:06 PM, Nathan TUTARD wrote:
> Bonjour,
> 
> ça dépend de beaucoup de chose :
> 
> - as-tu des expériences avec les firewalls si oui quels systeme ?
> 
> - Quel est ton budget ?
> 
> - As-tu de la place physiquement ?
> 
> - As-tu de la capacité de virtualisation?
> 
> 
> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un des 
> meilleurs firewall soft en virtu qui est aussi capable que les payants mais 
> en opensource.
> 
> Dans le cas de solution physique comme j'ai pour les sites distants 
> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que 
> bas dans la gamme ya des bugs ... :/
> 
> 
> n'hésites pas à revenir vers la liste 😊
> 
> 
> 
> 
> --
> TUTARD Nathan
> 
> Master 2 Réseau et télécommunication à l'université Pierre et Marie 
> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur 
> DIFFE et BAFA nathan33...@live.fr, 
> 07.60.08.58.60
> 
> 
> 
> De : frnog-requ...@frnog.org  de la part de B 
> Manu  Envoyé : mercredi 23 août 2017 14:53 À : 
> Frnog-tech Objet : [FRnOG] [TECH] firewall
> 
> Bonjour,
> 
> je suis entrain de rechercher une solution de firewall(hardware ou 
> virtuel) pour proposer a mes clients sur un lien SDSL ou fibre ou sur 
> un VPN MPLS la solution serai  heberge dans DC
> 
> quel solution pouvez-vous me conseille ou deconseiller ou votre retour 
> d'experience
> 
> Merci d'avance.
> 
> Cordialement,
> 
> manu
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Sylvain Faivre]

pfSense marche très bien aussi en hardware, soit sur du petit matos :
http://store.viatitude.com/fr/pfsense-firewall-appliance/27-sg-1000-netgate-pfsense-security-gateway-appliance.html
ou du gros :
http://store.viatitude.com/fr/pfsense-firewall-appliance/25-xg-2758-1u-pfsense-security-gateway-appliance.html

(NB. Je n'ai pas d'expérience de ce vendeur, simple résultat d'une 
recherche. Dans un boulot précédent, j'en administrais sur une appliance 
qui ne se vend plus aujourd'hui)


Au passage, question naïve sur Fortinet, n'ayant jamais utilisé : tout 
le monde en parle, mais quel est l'avantage ? Ca tient aux modules 
proposés pour faire plein de choses (IDS, WAF, etc.) ? Est-ce utile si 
on a déjà des outils qui font ça ?



Sylvain Faivre
Administrateur systèmes et réseaux
CIRM - UMS 822 - CNRS/SMF
Tél. 04.91.83.30.23
On 08/23/2017 03:06 PM, Nathan TUTARD wrote:

Bonjour,

ça dépend de beaucoup de chose :

- as-tu des expériences avec les firewalls si oui quels systeme ?

- Quel est ton budget ?

- As-tu de la place physiquement ?

- As-tu de la capacité de virtualisation?


Dans le cas de solution virtu je te suggère pfsense qui selon moi est un des 
meilleurs firewall soft en virtu qui est aussi capable que les payants mais en 
opensource.

Dans le cas de solution physique comme j'ai pour les sites distants j'aime bien 
juniper ou fortinet mais forti a un inconvénient c'est que bas dans la gamme ya 
des bugs ... :/


n'hésites pas à revenir vers la liste 😊




--
TUTARD Nathan

Master 2 Réseau et télécommunication à l'université Pierre et Marie Curie
Administrateur Réseau à Prescom
Trésorier de l'AB2G
Animateur DIFFE et BAFA
nathan33...@live.fr, 07.60.08.58.60



De : frnog-requ...@frnog.org  de la part de B Manu 

Envoyé : mercredi 23 août 2017 14:53
À : Frnog-tech
Objet : [FRnOG] [TECH] firewall

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Guillaume Tournat]

Le 23/08/2017 à 15:25, B Manu a écrit :

oui j'ai vu fortinet,
est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
je sais que palo alto network a le meme change de fonction
avoir plusieurs firewall sous un seul bati


ca fonctionne aussi pour les appliances virtuelles, mais c'est moins 
performant (notamment pour l'UTM)
car sous forme de VM, il n'y a pas de SPU (les ASIC, coprocesseurs 
d'accélération réseau NP et content CP).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[B Manu]

oui j'ai vu fortinet,
est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
je sais que palo alto network a le meme change de fonction
avoir plusieurs firewall sous un seul bati

Le 23 août 2017 à 15:17, B Manu  a écrit :

> Bonjour,
>
> je deploie chez mes clients du soniwall
> pour le budget je recherche une bonne solution (sans emmerde) enfin
> j'espere
> j'ai de la place pour le hardware il me faudrait multi tenant
> virtualisation pas de soucis j'ai la structure
>
> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
>
>> Bonjour,
>>
>> ça dépend de beaucoup de chose :
>>
>> - as-tu des expériences avec les firewalls si oui quels systeme ?
>>
>> - Quel est ton budget ?
>>
>> - As-tu de la place physiquement ?
>>
>> - As-tu de la capacité de virtualisation?
>>
>>
>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un
>> des meilleurs firewall soft en virtu qui est aussi capable que les payants
>> mais en opensource.
>>
>> Dans le cas de solution physique comme j'ai pour les sites distants
>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que bas
>> dans la gamme ya des bugs ... :/
>>
>>
>> n'hésites pas à revenir vers la liste 😊
>>
>>
>>
>> --
>> *TUTARD Nathan *
>>
>>
>>
>>
>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur DIFFE
>> et BAFA*
>> nathan33...@live.fr, 07.60.08.58.60
>>
>>
>> --
>> *De :* frnog-requ...@frnog.org  de la part de B
>> Manu 
>> *Envoyé :* mercredi 23 août 2017 14:53
>> *À :* Frnog-tech
>> *Objet :* [FRnOG] [TECH] firewall
>>
>> Bonjour,
>>
>> je suis entrain de rechercher une solution de firewall(hardware ou
>> virtuel)
>> pour proposer
>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
>> la solution serai  heberge dans DC
>>
>> quel solution pouvez-vous me conseille ou deconseiller
>> ou votre retour d'experience
>>
>> Merci d'avance.
>>
>> Cordialement,
>>
>> manu
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Guillaume Tournat]

Le 23/08/2017 à 15:17, B Manu a écrit :

Bonjour,

je deploie chez mes clients du soniwall
pour le budget je recherche une bonne solution (sans emmerde) enfin j'espere
j'ai de la place pour le hardware il me faudrait multi tenant
virtualisation pas de soucis j'ai la structure



les firewalls Fortinet sont multi tenants (fonctionnalité virtual 
domains, ou vdoms) :

- jusqu'à 5 sur les petits < FGT60    (sans licence)
- jusqu'à 10 sur les moyens < FGT1000D    (sans licence)
- jusqu'à 250 sur les modèles < FGT2000E    (avec licence au-delà de 10)
- jusqu'à 500 sur les plus gros modèles    (avec licence au-delà de 10)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Emmanuel BLANC]

Bonjour,

Nous sommes revendeur certifié FORTINET, je suis de ton avis Salim. Par
contre attention, les produits disponibles sur firewallshop sont des
produits qui ne proviennent pas du marché français. Donc pas possible de
mettre des licences et de les renouveler.

A ta dispo Manu si tu veux un devis.

Manu




Le 23 août 2017 à 15:09, Salim Gasmi sa...@sdv.fr> a écrit :

> Bonjour,
>
> Perso, je suis un inconditionnel de Fortinet.
> Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
> C'est simple de prise en main et ca fait a peu près tout ce que tu peux
> vouloir d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
> A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros et
> je suis content du petit comme des gros depuis plus de 10 ans.
>
> La matrice des appliances: https://www.fortinet.com/conte
> nt/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
> Une idée de prix : http://www.firewallshop.fr/
>
> Salim
>
>
>
> Le 23/08/2017 à 14:53, B Manu a écrit :
>
>> Bonjour,
>>
>> je suis entrain de rechercher une solution de firewall(hardware ou
>> virtuel)
>> pour proposer
>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
>> la solution serai  heberge dans DC
>>
>> quel solution pouvez-vous me conseille ou deconseiller
>> ou votre retour d'experience
>>
>> Merci d'avance.
>>
>> Cordialement,
>>
>> manu
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
> --
> Salim GASMI
> Directeur Technique
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> --
>
> *SdV Plurimedia *
> 15, rue de la Nuée Bleue
> 67000 Strasbourg
> T. 03 88 75 80 50
> F. 03 88 23 56 32
>
> sa...@sdv.fr   NocSdV 
>LinkedIn 
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Guillaume Tournat]

Bonjour,

Même avis sur Fortinet, très bons produits. Même OS sur toute la gamme, 
donc le scale up est très simple.

Il faudrait préciser le besoin pour qualifier le modèle nécessaire.


Le 23/08/2017 à 15:09, Salim Gasmi a écrit :

Bonjour,

Perso, je suis un inconditionnel de Fortinet.
Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
C'est simple de prise en main et ca fait a peu près tout ce que tu 
peux vouloir d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros 
et je suis content du petit comme des gros depuis plus de 10 ans.


La matrice des appliances: 
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf

Une idée de prix : http://www.firewallshop.fr/

Salim


Le 23/08/2017 à 14:53, B Manu a écrit :

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou 
virtuel) pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS la 
solution serait heberge dans DC


quel solution pouvez-vous me conseille ou deconseiller ou votre 
retour d'experience


Merci d'avance.

Cordialement,

manu





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[B Manu]

Bonjour,

je deploie chez mes clients du soniwall
pour le budget je recherche une bonne solution (sans emmerde) enfin j'espere
j'ai de la place pour le hardware il me faudrait multi tenant
virtualisation pas de soucis j'ai la structure

Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :

> Bonjour,
>
> ça dépend de beaucoup de chose :
>
> - as-tu des expériences avec les firewalls si oui quels systeme ?
>
> - Quel est ton budget ?
>
> - As-tu de la place physiquement ?
>
> - As-tu de la capacité de virtualisation?
>
>
> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un
> des meilleurs firewall soft en virtu qui est aussi capable que les payants
> mais en opensource.
>
> Dans le cas de solution physique comme j'ai pour les sites distants j'aime
> bien juniper ou fortinet mais forti a un inconvénient c'est que bas dans la
> gamme ya des bugs ... :/
>
>
> n'hésites pas à revenir vers la liste 😊
>
>
>
> --
> *TUTARD Nathan *
>
>
>
>
> *Master 2 Réseau et télécommunication à l'université Pierre et Marie Curie
> Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur DIFFE et BAFA*
> nathan33...@live.fr, 07.60.08.58.60
>
>
> --
> *De :* frnog-requ...@frnog.org  de la part de B
> Manu 
> *Envoyé :* mercredi 23 août 2017 14:53
> *À :* Frnog-tech
> *Objet :* [FRnOG] [TECH] firewall
>
> Bonjour,
>
> je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
> pour proposer
> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
> la solution serai  heberge dans DC
>
> quel solution pouvez-vous me conseille ou deconseiller
> ou votre retour d'experience
>
> Merci d'avance.
>
> Cordialement,
>
> manu
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Salim Gasmi]

Bonjour,

Perso, je suis un inconditionnel de Fortinet.
Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
C'est simple de prise en main et ca fait a peu près tout ce que tu peux vouloir 
d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros et je 
suis content du petit comme des gros depuis plus de 10 ans.

La matrice des appliances: 
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
Une idée de prix : http://www.firewallshop.fr/

Salim


Le 23/08/2017 à 14:53, B Manu a écrit :

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr NocSdV    
LinkedIn 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

[Nathan TUTARD]

Bonjour,

ça dépend de beaucoup de chose :

- as-tu des expériences avec les firewalls si oui quels systeme ?

- Quel est ton budget ?

- As-tu de la place physiquement ?

- As-tu de la capacité de virtualisation?


Dans le cas de solution virtu je te suggère pfsense qui selon moi est un des 
meilleurs firewall soft en virtu qui est aussi capable que les payants mais en 
opensource.

Dans le cas de solution physique comme j'ai pour les sites distants j'aime bien 
juniper ou fortinet mais forti a un inconvénient c'est que bas dans la gamme ya 
des bugs ... :/


n'hésites pas à revenir vers la liste 😊




--
TUTARD Nathan

Master 2 Réseau et télécommunication à l'université Pierre et Marie Curie
Administrateur Réseau à Prescom
Trésorier de l'AB2G
Animateur DIFFE et BAFA
nathan33...@live.fr, 07.60.08.58.60



De : frnog-requ...@frnog.org  de la part de B Manu 

Envoyé : mercredi 23 août 2017 14:53
À : Frnog-tech
Objet : [FRnOG] [TECH] firewall

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] firewall

[B Manu]

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Technicien téléphonie IP

[Ludovic Collomb]

Bonjour,

Netensia, prestataire de services informatiques basé à Vannes (cloud 
informatique, opérateur télécoms et infogérance) recherche dans le cadre 
de son développement un(e) technicien(ne) téléphonie IP et télécoms en CDI.


Au sein d'une équipe de 12 personnes, vous serez chargé :
- de déployer, administrer et exploiter nos solutions de téléphonie sur 
IP et les équipements déployés chez nos clients  ;

- d'assurer dans nos locaux le support de niveaux 2 et 3.

De formation bac +2 ou bac +3 avec expérience en téléphonie. Idéalement 
vous avez des compétences sur réseaux IP et la sécurité.


Compétences : maîtrise opérationnelle des protocoles de téléphonie sur 
IP, Asterisk (Xivo).


Le poste est basé à Plescop (56890) avec possibilité de télétravailler 1 
à 4 jours par semaine.


Autonome, vous avez le sens du service et un bon relationnel.
Le poste est à pourvoir rapidement.

Salaire selon profil et expérience.
Mutuelle d'entreprise + intéressement aux résultats.

Envoyer LM + CV à candidat...@netensia.fr

N'hésitez pas à me contacter en privé pour toutes questions ou précisions.

Cordialement.

--
Ludovic Collomb
Netensia
Mobile : 06 66 40 43 39
Fixe : 02 97 47 00 07


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] iperf - resultats invalides ?

[Sylvain Faivre]

Bonjour,

On s'éloigne un peu du sujet initial, mais pour tester le débit global 
d'une ligne, sans être dépendant d'un serveur ou d'une route en 
particulier, j'aime bien lancer plusieurs wget en parallèle sur des gros 
fichiers, et utiliser iftop pour voir le taux de transfert total.


wget -O /dev/null 
http://de.releases.ubuntu.com/16.04/ubuntu-16.04.3-desktop-amd64.iso
wget -O /dev/null 
http://mirror.easyspeedy.com/ubuntu-iso/16.04/ubuntu-16.04.3-desktop-amd64.iso
wget -O /dev/null 
http://mirror.one.com/ubuntu-cd/16.04/ubuntu-16.04.3-desktop-amd64.iso
wget -O /dev/null 
http://mirrors.dotsrc.org/ubuntu-cd/16.04/ubuntu-16.04.3-desktop-amd64.iso

wget -O /dev/null http://ubuntu.cu.be/16.04/ubuntu-16.04-desktop-amd64.iso


Sylvain Faivre
Administrateur systèmes et réseaux
CIRM - UMS 822 - CNRS/SMF
Tél. 04.91.83.30.23
On 08/23/2017 05:19 AM, Mrjk wrote:

C'est un point intéressant que tu soulève. Pour avoir fait quelques
tests par le passé, j'avais d'abord testé mon réseau local pour avoir
ma référence, connaissant mon setup ça laissait peu de place au doute.
Dés que j'ai fait des tests à travers internet, j'avais plus grand
chose de cohérent non plus.

Ça fait un boute que j'y ai pas trop retouché, donc je vais pas trop
m'avancer, bien que la réponse m’intéresse. D'un point de vue
transit/FAI, je constate aussi que les opérateurs font pas mal de
petits arrangements, probablement pour des raisons de coûts. Par
exemple, j'habite à 50km de mon DC, dans lequel j'ai un petit serveur:
- Le trafic du FAI A (entreprise) fait trés peu de rebond, tout se
fait à proximité
- Le trafic du FAI B (une sous-filliale de la même entreprise, donc
meme infrastructure) me fait tout simplement passer par New York (donc
plus 1200 km en plus)
Dernier exemple, c'est une petite entreprise qui gère la connexion de
mon immeuble. Je sais que je suis _bridé_ à 4Mb/s. C'est très précis,
par contre un petit test de débit avec speedtest.net me remonte tout
simplement un 14~15Mb/s. Ma conclusion, si tu paye pas le gros tarif,
tu te paye un transit de m***, et en plus on te fait croire que.

Un iperf ne m'aurait donc donné aucune métriques fiables, sachant que
c'est complètement dépendant de mon FAI, et des intermédiaires. Donc
c'est même plus pertinent au final pour le commun des mortels. Tout le
monde fait sa petite poutine dans son coin, et toi tu reste un peu
béat pour comprendre pourquoi ça bloque. Néanmoins, je pense que ca
reste pertinent dans le cadre d'un réseau dont on a le contrôle ou que
l'on prends des services pro. Pour le reste, laisse tomber, il y'a
trop de facteurs variables pour en tirer une quelconque conclusion.

En espérant que mon commentaire soit pertinent,
Bonne continuation

--
MrJK
Website: http://jeznet.org/


Le 19 août 2017 à 05:05, Frederic Dumas  a écrit :


Merci.

J’ai négligé d’installer la version 3 disponible en package sur le site 
iperf.fr et fait confiance aux repositories officiels dont elle est absente. La 
présence de la version 2 par défaut dans Debian est-elle du à une divergence de 
vues avec les développeurs ?

Après quelques tests vers des destinations extra-européennes j’aimerai les 
commentaires de ceux qui ont l’habitude de l'outil. Tous les tests ont été 
effectués depuis une interface Fast Ethernet.



  1 - vis-à-vis du Kazakhstan (iperf.it-north.net)



  1.1 en upload depuis la machine locale, TCP parvient à saturer l'interface


iperf3 -fm -c iperf.it-north.net -p 5201
Connecting to host iperf.it-north.net, port 5201
[  4] local 192.168.1.252 port 51830 connected to 82.200.209.194 port 5201
[ ID] Interval   Transfer Bandwidth   Retr  Cwnd
[  4]   0.00-1.00   sec  3.52 MBytes  29.5 Mbits/sec0905 KBytes
[  4]   1.00-2.00   sec  11.6 MBytes  97.0 Mbits/sec0   1.52 MBytes
[  4]   2.00-3.00   sec  11.2 MBytes  94.2 Mbits/sec0   1.52 MBytes
[  4]   3.00-4.00   sec  11.2 MBytes  94.3 Mbits/sec0   1.52 MBytes
[  4]   4.00-5.00   sec  11.2 MBytes  94.3 Mbits/sec0   1.52 MBytes
[  4]   5.00-6.00   sec  11.2 MBytes  93.9 Mbits/sec0   1.52 MBytes
[  4]   6.00-7.00   sec  11.2 MBytes  94.3 Mbits/sec0   1.52 MBytes
[  4]   7.00-8.00   sec  11.2 MBytes  93.8 Mbits/sec0   1.52 MBytes
[  4]   8.00-9.00   sec  11.2 MBytes  94.4 Mbits/sec2   1.52 MBytes
[  4]   9.00-10.00  sec  11.2 MBytes  94.4 Mbits/sec0   1.52 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval   Transfer Bandwidth   Retr
[  4]   0.00-10.00  sec   105 MBytes  88.0 Mbits/sec2 sender
[  4]   0.00-10.00  sec   102 MBytes  85.9 Mbits/sec  receiver

iperf Done.



  1.2 en download, TCP est cappé à 2Mbits !


iperf3 -fm -R -c iperf.it-north.net -p 5201
Connecting to host iperf.it-north.net, port 5201
Reverse mode, remote host iperf.it-north.net is sending
[  4] local 192.168.1.252 port 51826 connected to 82.200.209.194 port 5201
[ ID] Interval   Transfer Bandwidth
[  4]   0.00-1.00   sec   249 KBy

Re: [FRnOG] [TECH] RRDTool graph trafic interface vlan CISCO

[jameboulie]

si tu es fan de rrdtool (et cacti), mais que les nouveaux outils te 
tentent sans t'avoir complètement convaincu de franchir le pas , il y a 
un plugin qui permet de convertir des compteurs rrd (avec cacti) en 
influxdb et, ensuite, tu n'as plus qu'à les grapher avec grafana.
c'est bien plus puissant que rrd (qui est assez rigide), car tu peux les 
afficher comme tu veux (pie, chart, bar etc...).



Le 23/08/2017 à 17:36, Philippe Bourcier a écrit :


Re,


- calcul et affichage même du 95th (avec grafana et influx à l’époque
j'avais galéré, je crois que l'on peut s'en sortir avec des continuous
query mais bon).


A mon avis c'est facile à faire avec un graphite avec toutes les 
opérations mathématiques dispos :

http://graphite.readthedocs.io/en/latest/functions.html

Il y a de quoi faire déprimer le moindre utilisateur de RRD :)
... et il y a directement une fonction "nPercentile" que tu peux 
mettre sur 95, ou autre...


J'utilisais beaucoup "derivative", "divideSeries" (pour faire des 
%ages d'un total (genre pour faire un graphe de ratio IN vs OUT))... 
et "derivative" sur les compteurs SNMP 64bit que tu ne reset jamais... 
et comme les fonctions sont utilisées à la sortie uniquement, tu peux 
faire un dump de ta data originale à n'importe quel moment (il suffit 
d'ajouter &format=raw à la fin de l'URL d'image). Bref, il n'y a que 
des avantages à utiliser un graphite... ensuite pour les dashboards et 
la frontend, tu peux mettre un grafana, qui est plus sexy.


Et puis, envoyer de la data dans un graphite, c'est quand même 
autrement plus sexy qu'avec RRD :

https://graphiteapp.org/quick-start-guides/feeding-metrics.html
Tu peux très facilement décentraliser...


Cordialement,



---
Liste de diffusion du FRnOG
http://www.frnog.org/