Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[David Ponzone]

> Le 27 juin 2019 à 05:48, Michel Py  a 
> écrit :
> 
> 
> Les connards qui annoncent des préfixes plus longs que ceux que les 
> désignataires des préfixes en question le font, faut les éliminer.
> Dans leur AS, ils font ce qu'ils veulent. Annoncer la merde que produit un 
> "optimiseur" BGP comme Noction aux clients, c'est des coups de pied au cul 
> qui se perdent.
> 
> 

Hmmm le client de Verizon et DQE a quand même dû faire une grosse boulette 
aussi non ?
C’est une sacré coïncidence avec une responsabilité triple (et heureusement, 
sinon ça arriverait beaucoup plus souvent).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Michel Py]

Bon il y a des fois ou être le troll de la liste du FRnOG demande de prendre un 
risque politique, et j'assume.

Le blog de CloudFlare qui dit que c'était la faute à Verizon, c'est du gros 
bullshit.
https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/

Désolé de le dire, et sans excuser Verizon qui n'avaient pas les précautions de 
base en place, c'est de la récupération politique. C'est pas Verizon qui a 
merdé. Même si c'est vrai qu'en tant que T1 ils devraient avoir filtré le 
bordel, le principe de la patate chaude et de la confiance qu'on a quand on 
accepte une session eBGP avec quelqu'un d'autre sont toujours la base du 
fonctionnement de la DFZ.

Les connards qui annoncent des préfixes plus longs que ceux que les 
désignataires des préfixes en question le font, faut les éliminer.
Dans leur AS, ils font ce qu'ils veulent. Annoncer la merde que produit un 
"optimiseur" BGP comme Noction aux clients, c'est des coups de pied au cul qui 
se perdent.

Jérome Fleury, j'ai lu ton blog. Le pire, c'est que tu as changé qui l'avait 
écrit pour Tom Strickx. Tu crois qu'on avait pas vu çà venir ?

C'est carrément craintos. Le lien au-dessus, c'était signé par Jérome Fleury il 
y a 24 heures.
Je ne suis pas le seul à voir remarqué. C'est vraiment nul à chier.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x sur GPON (etait: switch openspace)

[Paul Birnbaum]

Bonjour,

Certains ONT (Nokia) font du 802.1X d’après une présentation à laquelle j’ai 
assisté.


Cordialement

Paul Birnbaum
p...@birnbaum.io



> Le 26 juin 2019 à 10:43, Dominique Rousseau  a écrit :
> 
> Le Wed, Jun 26, 2019 at 08:26:18AM +, Philippe Bourcier 
> [phili...@frnog.org] a écrit:
> [...]
>> Tu viens brancher un raspi dans le bureau d'un dirigeant et tu fais la
>> fête... hors ca m'étonnerait que tu puisses faire du 802.1x avec un
>> ONT.
> 
> C'est pas un sujet que je maitrise suffisament pour etre certain, mais
> ca, ca y ressemble beaucoup, pour moi :
> 
> https://support.huawei.com/enterprise/fr/doc/EDOC1100016413/4f0b166a/onu-serves-as-an-8021x-authentication-device
> 
> 
> -- 
> Dominique Rousseau 
> Neuronnexion, Prestataire Internet & Intranet
> 6 rue des Hautes cornes - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[Raphaël Jacquot]

Le 26/06/2019 à 19:55, Michel Py a écrit :


On a le même problème ici, mais malheureusement les ingés non-IT et les 
chercheurs sont des désastres en termes de sécurité. Ils font des bidouilles 
pour manipuler des données sensibles et après ils s'étonnent quand il y a un 
truc qui fuite. C'est un véritable casse-tête de leur donner ce qu'ils 
souhaitent sans compromettre la sécurité.


probleme de process de décision ca...

comme disait une pub de pneux bien connus :

"sans maîtrise, la puissance n'est rien"

mes 2 MGA

Raph


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Raspberry Pi 4

[Michel Py]

> Erwan David a écrit :
> Mouais, moi je regarderais aussi pourquoi il a été branché, parce que dans un 
> endroit
> comme ça 9 chances sur 10 pour que l'IT ne soit pas capable de suivre les 
> besoins des
> chercheurs, mais soit dans un mode monolithique sans savoir s'adapter aussi.

On a le même problème ici, mais malheureusement les ingés non-IT et les 
chercheurs sont des désastres en termes de sécurité. Ils font des bidouilles 
pour manipuler des données sensibles et après ils s'étonnent quand il y a un 
truc qui fuite. C'est un véritable casse-tête de leur donner ce qu'ils 
souhaitent sans compromettre la sécurité.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[Erwan David]

Le 26/06/2019 à 18:36, Michel Py a écrit :
>> David Ponzone a écrit :
>> Toujours pas de POE-in natif ?
> Il y a un chapeau officiel : https://www.raspberrypi.org/products/poe-hat/
>
>> Refuznik a écrit :
>> heu, le rasberry n'y est pour rien. C'est les admin réseau du réseau JPL 
>> (Jet Propulsion Laboratory),
>> qui ne mettaient pas à jour ni leurs bécanes ni leurs bdd
>> https://securite.developpez.com/actu/267016/La-NASA-piratee-a-cause-d-un-Raspberry-Pi-non-autorise-connecte-a-son-reseau-selon-un-rapport/
> Ceci étant dit je vois bien le danger. C'est tellement facile à planquer du 
> fait de la petite taille.
> C'est bien lourdaud, mais 802.1x c'est pas fait pour les chiens.
>
> Michel.


Mouais, moi je regarderais aussi pourquoi il a été branché, parceque
dans un endroit comme ça 9 chances sur 10 pour que l'IT ne soit pas
capable de suivre les besoins des chercheurs, mais soit dans un mode
monolithique sans savoir s'adapter aussi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Raspberry Pi 4

[Michel Py]

> David Ponzone a écrit :
> Toujours pas de POE-in natif ?

Il y a un chapeau officiel : https://www.raspberrypi.org/products/poe-hat/

> Refuznik a écrit :
> heu, le rasberry n'y est pour rien. C'est les admin réseau du réseau JPL (Jet 
> Propulsion Laboratory),
> qui ne mettaient pas à jour ni leurs bécanes ni leurs bdd
> https://securite.developpez.com/actu/267016/La-NASA-piratee-a-cause-d-un-Raspberry-Pi-non-autorise-connecte-a-son-reseau-selon-un-rapport/

Ceci étant dit je vois bien le danger. C'est tellement facile à planquer du 
fait de la petite taille.
C'est bien lourdaud, mais 802.1x c'est pas fait pour les chiens.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Florent OLLIVIER]

Dans mon entreprise, on informe les collaborateurs via la charte informatique
On utilises un proxy Olfeo qui ne déchiffre pas les contenus des sites 
catégorisés comme bancaires / santé ...

Accéder à notre télémaintenance 
-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Manuel 
BEGUIER
Envoyé : mercredi 26 juin 2019 15:08
À : Spyou 
Cc : Maxime Jouveaux ; frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

En effet, c'est autorisé dans certains cas et en respectant certaines 
procédures de sécurité des données, d'information des personnes et de 
déclaration au registre des traitements.



Le mer. 26 juin 2019 à 14:18, Spyou  a écrit :

>
>
> Ola,
>
>
> On 25/01/2019 08:55, Maxime Jouveaux wrote:
> >
> > Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en 
> > clair (exemple : les codes personnels, code carte bancaire etc…).
> >
> > Ce qui est *une violation du RGPD *de l’employé.
>
>
> Je ne vois aucune raison juridique qui ferait que ce serait pas 
> interdit d'intercepter et de stocker ce qui passe en clair mais 
> interdit de faire la même chose avec ce qui passe chiffré.
>
>
> My two centz :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Manuel BEGUIER]

En effet, c'est autorisé dans certains cas et en respectant certaines
procédures de sécurité des données, d'information des personnes et de
déclaration au registre des traitements.



Le mer. 26 juin 2019 à 14:18, Spyou  a écrit :

>
>
> Ola,
>
>
> On 25/01/2019 08:55, Maxime Jouveaux wrote:
> >
> > Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> > (exemple : les codes personnels, code carte bancaire etc…).
> >
> > Ce qui est *une violation du RGPD *de l’employé.
>
>
> Je ne vois aucune raison juridique qui ferait que ce serait pas interdit
> d'intercepter et de stocker ce qui passe en clair mais interdit de faire
> la même chose avec ce qui passe chiffré.
>
>
> My two centz :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Sénat US contre les GAFA

[David Ponzone]

Pour info:

https://www.axios.com/mark-warner-josh-hawley-dashboard-tech-data-4ee575b4-1706-4d05-83ce-d62621e28ee1.html



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[Refuznik]

heu, le rasberry n'y est pour rien. C'est les admin réseau du réseau JPL
(Jet Propulsion Laboratory), qui ne mettaient pas à jour ni leurs bécanes
ni leurs bdd
https://securite.developpez.com/actu/267016/La-NASA-piratee-a-cause-d-un-Raspberry-Pi-non-autorise-connecte-a-son-reseau-selon-un-rapport/


Le mer. 26 juin 2019 à 11:02, Louis  a écrit :

> Attention aux raspberry non officiels sur un réseau d'entreprise. Avec une
> simple carte 4G en plus, quasi indétectable car le vol de données ne passe
> pas par la sortie internet officielle.
>
>
> https://www.01net.com/actualites/comment-un-simple-raspberry-pi-a-permis-le-piratage-de-la-nasa-1719376.html
>
>
> Le mer. 26 juin 2019 à 10:40, David Ponzone  a
> écrit :
>
> > Toujours pas de POE-in natif ?
> >
> > > Le 26 juin 2019 à 01:23, Michel Py  >
> > a écrit :
> > >
> > > Wow, vous avez vu le nouveau Pi 4 ?
> > > USB 3.0, jusqu'à 4GO de mémoire, vrai GigE, double monitor.
> > >
> > > https://www.raspberrypi.org/products/raspberry-pi-4-model-b/
> > >
> > > Michel.
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Spyou]

Ola,


On 25/01/2019 08:55, Maxime Jouveaux wrote:
>
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
>
> Ce qui est *une violation du RGPD *de l’employé.


Je ne vois aucune raison juridique qui ferait que ce serait pas interdit
d'intercepter et de stocker ce qui passe en clair mais interdit de faire
la même chose avec ce qui passe chiffré.


My two centz :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PBR sur CheckPoint

[Cédric Polomack]

+1

Hello,
En configurant avec Wireshark ensuite pour relire les pcap, le debug n'en est 
que plus facile.
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails==sk39510
Cordialement.


---
Cédric Polomack
http://www.secresys.fr

26 juin 2019 11:24 "Claer"  a écrit:

> Salut,
> 
> Pour Check Point, privilégier l'outil de troubleshoot fw monitor plutot
> que tcpdump. 
> 
> https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=
> onid=sk30583
> 
> On 26-06-2019 10.55 +0200, Louis wrote:
> 
>> La cli IP de checkpoint gaia est juste une interface d'iproute2 sous linux.
>> Vérifie ton PBR en mode expert via les commandes ip route et ip rule list -
>> https://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-policy-routing.
>> Fais des tcpdump.
>> 
>> De mémoire, l'ordre de traitement du paquet :
>> 1. nat de l'IP source
>> 2. firewalling
>> 3. routage par iproute2
>> 4. nat de l'IP destination
>> 
>> donc iproute2 voit juste l'IP source nattée pas celle destination.
>> 
>> Le mer. 26 juin 2019 à 10:50, Louis  a écrit :
>> 
>> Bonjour,
>> 
>> sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une
>> fausse piste.
>> 
>> Le mar. 25 juin 2019 à 19:49, Michel KOENIG 
>> a écrit :
>> 
>> Suite des recherches, je penses que c'est un problème d'adresses MAC
>> 
>> Le flux sortant va vers la MAC du VRRP
>> 
>> Le retour se présente avec la MAC du boitier qui est actif
>> 
>> Donc, 2 possibilité pour corriger :
>> 
>> 1/
>> Désactiver le check des tables d'adresses mac pour cette IP sur le
>> CheckPoint
>> 
>> 2/
>> Obliger le PepLink a répondre avec sa MAC VRRP
>> 
>> Quelqu'un a l'astuce pour un de ces point ?
>> 
>> Merci
>> 
>> Michel
>> 
>> -Message d'origine-
>> De : David Ponzone 
>> Envoyé : mardi 25 juin 2019 17:08
>> À : Michel KOENIG 
>> Cc : frnog-t...@frnog.org
>> Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint
>> 
>>> Le 25 juin 2019 à 16:58, Michel KOENIG  a
>> écrit :
>>> 
>>> Bonjour,
>>> 
>>> Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint
>>> 
>>> Le problème semble se situer au niveau de la config de la PBR sur le
>> checkpoint
>>> 
>>> Le routage s'effectue bien en sortie mais pas de paquet en retour
>> 
>> Question con, mais ton PBR sur le Checkpoint respecte le NAT de
>> l’interface de sortie ?
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org
> 
> --
> Ce message a été vérifié par MailScanner
> pour des virus ou des polluriels et rien de
> suspect n'a été trouvé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Nicolas Gaudin]

Hello,

L'interception SSL n'est pas illégale dès lors que les employés sont
informés de l'existence du dispositif, et ce préalablement à sa mise en
place, et que certaines mesures sont prises.
En 2015, la CNIL s'était montrée favorable au dispositif mais sous
certaines conditions (cf. article NextINpact

)

L'information faite aux utilisateurs doit être claire, accessible (de
préférence, annexée à la charte informatique) et complète ; elle doit
indiquer:
- les finalités poursuivies par le dispositif ;
- son fondement légal (l'intérêt légitime de l'entreprise, a priori) ;
- la nature des données inspectées
- les durées de conservation (live + archivage, le cas échéant) ;
- la localisation du stockage/traitement (attention ,à ce que ça reste dans
un pays adéquat selon RGPD) ;
- l'éventuel accès par des tiers (si le proxy est infogéré par exemple) ;
- les modalités d'exercice des droits d'accès (onconditionnel), de
rectification, de suppression, etc. (sur motif légitime).
Ne pas omettre de présenter le dispositif aux IRP de votre entreprise, qui
doivent avoir été consultés au préalable.

D'autre part, je dirai qu'il faut aussi s'assurer que les administrateur
feront preuve d'éthique dans l'analyse des données, notamment par le biais
d'un contrôle des opérations d'accès aux données (qui devront donc être
tracées) et d'une charte pour les admin.
C'est moins évident à faire si c'est infogéré (il faut blinder les contrats
de sous-traitance de clauses ad hoc).

Enfin, le dispositif doit être bien sécurisé: accès par des comptes
individuels, authentification robuste, durcissement, patching régulier,
protection physique and so on...
L'ANSSI avait publié une note technique à ce sujet: ici
.

Nicolas


Le lun. 24 juin 2019 à 16:17, Vincent Duvernet 
a écrit :

> Bonjour,
>
> J'ai posé la question à Sophos (car nous avons des XGxxx en production) et
> que la question m'interpellait.
>
> Voici la réponse que j'ai obtenue :
>
> " Deloitte nous certifie SOC1 niveau 2"
>
> Bonne journée,
>
> Vincent
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Maxime Jouveaux
> Envoyé : vendredi 25 janvier 2019 08:55
> À : frnog-m...@frnog.org
> Objet : [FRnOG] [MISC] Proxy + interception SSL = RGPD?
>
> Bonjour la liste,
>
>
> Petite question RGPD, je gère actuellement un proxy squid et pour
> renforcer la sécurité je regardais pour faire de l'interception SSL(HTTPS).
>
> Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
> mais sans collecter de données.
>
>
> Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
> des droits et liberté de chacun, car le proxy verra toutes les informations
> HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
> the middle ».
>
> Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
> il peut donc aller sur le site de sa banque ou sur un site médical et
> consulter des informations personnelles durant sa pause (Autorisée par le
> code du travail).
>
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
>
> Ce qui est *une violation du RGPD *de l’employé.
>
>
>
> Est-ce que je me trompe?
>
>
> Note: j'ai une charte informatique en place qui informe les employés que
> j'ai un proxy.
>
>
> Merci à vous.
>
>
> Maxime JOUVEAUX
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

[Pierre DOLIDON]

Hello
de mon côté, j'ai des intercos entre OVH et Online, et j'ai été impacté 
(le trafic a été routé temporairement vers Newyork sans jamais revenir).
Quelques clients qui utilisent cloudflare ont été impactés aussi, site 
down quelques heures.


le tout en france donc.

seeya

Le 25/06/2019 à 08:13, Pierre Emeriaud a écrit :

Le mar. 25 juin 2019 à 03:46, Michel Py
 a écrit :

Est-ce que çà à touché la France ?
https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/

Pas regardé dans le détail de mon coté. Pas eu de bruit concernant un
afflux de tickets toutefois.


J'espère qu'il n'y a aucun lecteur qui utilise un optimiseur BGP et est assez 
con pour annoncer les routes plus spécifiques sans no-export.

Et pourtant. Sur le site même de Noction dans les success story il y a
des abonnés d'ici... Dont on a déjà parlé, ainsi que sur bgpmon.net (à
ce propos - si vous avez des success-story a partager sur des
alternatives comme rislive ou bgpalerter - feel free).

NOCTION. MAKE NO_EXPORT DEFAULT KTHXBYE.

"In order to further reduce the likelihood of these problems occurring
in the future, we will be adding a feature within Noction IRP to give
an option to tag all the more specific prefixes that it generates with
the BGP NO_EXPORT community. This will not be enabled by default" cf
https://www.noction.com/blog/do_route_optimizers_cause_fake_routes et
https://twitter.com/noction/status/1143177562191011840


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[Louis]

Attention aux raspberry non officiels sur un réseau d'entreprise. Avec une
simple carte 4G en plus, quasi indétectable car le vol de données ne passe
pas par la sortie internet officielle.

https://www.01net.com/actualites/comment-un-simple-raspberry-pi-a-permis-le-piratage-de-la-nasa-1719376.html


Le mer. 26 juin 2019 à 10:40, David Ponzone  a
écrit :

> Toujours pas de POE-in natif ?
>
> > Le 26 juin 2019 à 01:23, Michel Py 
> a écrit :
> >
> > Wow, vous avez vu le nouveau Pi 4 ?
> > USB 3.0, jusqu'à 4GO de mémoire, vrai GigE, double monitor.
> >
> > https://www.raspberrypi.org/products/raspberry-pi-4-model-b/
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PBR sur CheckPoint

[Louis]

La cli IP de checkpoint gaia est juste une interface d'iproute2 sous linux.
Vérifie ton PBR en mode expert via les commandes ip route et ip rule list -
https://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-policy-routing/.
Fais des tcpdump.

De mémoire, l'ordre de traitement du paquet :
1. nat de l'IP source
2. firewalling
3. routage par iproute2
4. nat de l'IP destination

donc iproute2 voit juste l'IP source nattée pas celle destination.

Le mer. 26 juin 2019 à 10:50, Louis  a écrit :

> Bonjour,
>
> sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une
> fausse piste.
>
>
> Le mar. 25 juin 2019 à 19:49, Michel KOENIG 
> a écrit :
>
>> Suite des recherches, je penses que c'est un problème d'adresses MAC
>>
>> Le flux sortant va vers la MAC du VRRP
>>
>> Le retour se présente avec la MAC du boitier qui est actif
>>
>> Donc, 2 possibilité pour corriger :
>>
>> 1/
>> Désactiver le check des tables d'adresses mac pour cette IP sur le
>> CheckPoint
>>
>> 2/
>> Obliger le PepLink a répondre avec sa MAC VRRP
>>
>> Quelqu'un a l'astuce pour un de ces point ?
>>
>> Merci
>>
>> Michel
>>
>> -Message d'origine-
>> De : David Ponzone 
>> Envoyé : mardi 25 juin 2019 17:08
>> À : Michel KOENIG 
>> Cc : frnog-t...@frnog.org
>> Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint
>>
>>
>>
>> > Le 25 juin 2019 à 16:58, Michel KOENIG  a
>> écrit :
>> >
>> > Bonjour,
>> >
>> > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint
>> >
>> > Le problème semble se situer au niveau de la config de la PBR sur le
>> checkpoint
>> >
>> > Le routage s'effectue bien en sortie mais pas de paquet en retour
>>
>> Question con, mais ton PBR sur le Checkpoint respecte le NAT de
>> l’interface de sortie ?
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PBR sur CheckPoint

[Louis]

Bonjour,

sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une
fausse piste.


Le mar. 25 juin 2019 à 19:49, Michel KOENIG  a
écrit :

> Suite des recherches, je penses que c'est un problème d'adresses MAC
>
> Le flux sortant va vers la MAC du VRRP
>
> Le retour se présente avec la MAC du boitier qui est actif
>
> Donc, 2 possibilité pour corriger :
>
> 1/
> Désactiver le check des tables d'adresses mac pour cette IP sur le
> CheckPoint
>
> 2/
> Obliger le PepLink a répondre avec sa MAC VRRP
>
> Quelqu'un a l'astuce pour un de ces point ?
>
> Merci
>
> Michel
>
> -Message d'origine-
> De : David Ponzone 
> Envoyé : mardi 25 juin 2019 17:08
> À : Michel KOENIG 
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint
>
>
>
> > Le 25 juin 2019 à 16:58, Michel KOENIG  a
> écrit :
> >
> > Bonjour,
> >
> > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint
> >
> > Le problème semble se situer au niveau de la config de la PBR sur le
> checkpoint
> >
> > Le routage s'effectue bien en sortie mais pas de paquet en retour
>
> Question con, mais ton PBR sur le Checkpoint respecte le NAT de
> l’interface de sortie ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x sur GPON (etait: switch openspace)

[Dominique Rousseau]

Le Wed, Jun 26, 2019 at 08:26:18AM +, Philippe Bourcier 
[phili...@frnog.org] a écrit:
[...]
> Tu viens brancher un raspi dans le bureau d'un dirigeant et tu fais la
> fête... hors ca m'étonnerait que tu puisses faire du 802.1x avec un
> ONT.

C'est pas un sujet que je maitrise suffisament pour etre certain, mais
ca, ca y ressemble beaucoup, pour moi :

https://support.huawei.com/enterprise/fr/doc/EDOC1100016413/4f0b166a/onu-serves-as-an-8021x-authentication-device


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[David Ponzone]

Toujours pas de POE-in natif ?

> Le 26 juin 2019 à 01:23, Michel Py  a 
> écrit :
> 
> Wow, vous avez vu le nouveau Pi 4 ?
> USB 3.0, jusqu'à 4GO de mémoire, vrai GigE, double monitor.
> 
> https://www.raspberrypi.org/products/raspberry-pi-4-model-b/
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] switch openspace

[Philippe Bourcier]

Re,


> Le GPON est effectivement une solution très intéressante, permettant la 
> suppression des LT et à un
> avantage non négligeable qui est zéro configuration sur les switch tout se 
> fait sur l’OLT.
> 
> En cas de panne il suffit de changer l’ONT et sa repart, qui plus est 
> s’intègre très facilement
> dans les espaces de travail. 

Revoir ma vieille présentation sur le sujet Fiber To The Desk : 
https://www.dailymotion.com/video/x29raxt
Avec des switchs en DHCP (statique) et du 802.1x, tous les switchs ont 
exactement la même configuration... donc aucun avantage à l'ONT vs Switch... 
sans parler de la consommation électrique (tous les petits transfos... pas 
super pratique).

Mais aussi, il y a un truc qui me gênerait avec des ONT... si t'as des VLANs 
attribués par ONT, la sécurité du L2 c'est zéro. Une boîte qui prend 
sérieusement en compte la sécurité et qui ne fait pas de 802.1x aujourd'hui sur 
son LAN a raté un gros truc.
Tu viens brancher un raspi dans le bureau d'un dirigeant et tu fais la fête... 
hors ca m'étonnerait que tu puisses faire du 802.1x avec un ONT.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[Christophe Pujol]

Bonjour la liste,
Pour un pi sauce routeur, regarder http://espressobin.net/

Il largement la tache de routeur pour pfsense et/ou opnsense sous arm.

À bientôt,
Christophe.

Le mer. 26 juin 2019 à 02:37, DUVERGIER Claude 
a écrit :

> Le 26/06/2019 à 01:23, Michel Py a écrit :
> > Wow, vous avez vu le nouveau Pi 4 ?
> > USB 3.0, jusqu'à 4GO de mémoire, vrai GigE, double monitor.
> >
> > https://www.raspberrypi.org/products/raspberry-pi-4-model-b/
> >
> > Michel.
> Un deuxième port RJ45 m'aurait bien plu pour avoir un routeur OPNsense à
> pas cher...
>
> Là, le deuxième port HDMI va juste permettre de faire des machines de
> dashboarding (monitoring, supervision, etc.) avec plus d'indicateurs
> visibles en même temps :)
>
> --
> Duvergier Claude
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] switch openspace

[Arnaud FEIX]

Bonjour,

Le problème est d’avoir des compétences en interne pour gérer la 
technologie, c’est le gros problème des center parks (équilibrage des arbres, 
QoS pas bien maîtrisé) en terme de maintenance avec plusieurs centaine de 
voyage quand il faut changer l’équipement dans l’appartement c’est vite un 
problème.
Sans parler de la politique RH qui vise à supprimer des postes 

Bon sur le papier c’est super mais économiquement ça se compare ?

A une époque chez Pierre et Vacances (CP fait partie du groupe PVCP) on 
avait déployé de l’ADSL dans les appartements (pas de câblage à refaire, 
conformité NF 15-100 toussa) même problème de maintenance et de manque de 
compétence et le prix pas sur que ce fut un investissement gagnant sur long 
terme.

   Par contre c’est clair que dans l’hôtellerie y’a du boulot pour faire de 
belle chose.

Bonne journée 

> Le 26 juin 2019 à 01:00, Ludovic RAMOSFILIPE  a écrit 
> :
> 
> Vous auriez un schémas explicatifs du type d’install/archi ?
> 
> Le mer. 26 juin 2019 à 00:25, Pierre Emeriaud  a
> écrit :
> 
>> Le mar. 25 juin 2019 à 22:52, MERCKEL Aurélien
>>  a écrit :
>>> 
>>> Que pensez-vous du fait d'appliquer les technologies GPON opérateur FTTH
>> à une problématique de câblage immeuble / grand bureau / grande usine par
>> exemple afin d'avoir le LAN totalement en lien optique ?
>>> Selon vous, est-ce viable ?
>> 
>> J'ai vu du gpon utilisé dans un centerpark pour raccorder les chalets.
>> J'ai trouvé que c'était une idée intéressante : le setup est fixé à la
>> construction, on peut optimiser ainsi la construction des arbres et
>> leur remplissage, le gpon permet la multidiffusion des canaux tv, et
>> également de la téléphonie via un ont "cpe" avec un port fxs. Et puis
>> forcément de l'internet avec un débit très correct et identique dans
>> tous les chalets, ce qui vu l'emprise du domaine est pas mal pour une
>> société dont ce n'est pas le métier (et on sait tous comment les
>> résidences hôtelières sont nulles pour fournir de l'internet de
>> qualité).
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> -- 
> 
> 
> 
> 
> 
> 
> 
> Ludovic Ramos | Responsable VOIP
> 
> | *SCT TELECOM *| La plaine saint denis
> | phone: 0 <892020220>892020220
> | email: l.ra...@sct-telecom.fr
> | site:  www.sct-telecom.fr
> | skype: ludovic.ramos95
> | address:  17-19 avenue de la metallurgie
>  
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Raspberry Pi 4

[Paul Rolland (ポール・ロラン)]

Hello,

On Wed, 26 Jun 2019 03:55:23 +0200
Nicolas Fortin  wrote:

> ZX80 ou ZX81 ?

Pour les nostalgiques, deux projets a suivre :
https://retrogames.biz/the-c64
et
https://www.specnext.com/

Bonne lecture
Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/