Re: [FRnOG] Re: [MISC] Analyse de la 5G, première partie
C'est génial ce truc : https://meshtastic.org/ ! Le 19/04/2024 à 00:08, c...@ctv.zone a écrit : Parier sur l'entraide pour envisager ces lendemains post apocalyptiques peut sembler de moins en moins évident. A ce sujet il y a une très belle analyse dans "The Day of the Triffids" de John Wyndham (dont je recommande aussi la lecture, passionnante, de ses autres romans). Je me souviens de la comparaison de plusieurs "stratégies" dont celle du groupe restreint de personnes s'entraidant était décrite comme la plus efficace face aux solutions tentant de sauver tout le monde ou de celle tentant de tuer tous les autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Analyse de la 5G, première partie
Bonjour, Le bulletin 1024 de la Société informatique de France publie la première partie d'une description assez détaillée de la 5G, de ses effets environnementaux et des conditions de son déploiement : https://1024.societe-informatique-de-france.fr/2024/04/1024_23_2024_53.html Bonne lecture ! -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 12/04/2024 à 16:05, Paul Rolland (ポール・ロラン) a écrit : Le salaire ne vous convient pas ? Echangez avec Guillaume, il a clairement dit qu'il etait disponible pour ca. Mais ce "job-bashing" systematique, meme le vendredi, ca commence a fatiguer. Où vois-tu du "job-bashing" ? La plupart des intervenants sur cette discussion trouvent l'annonce très bien et les autres échanges portent davantage sur la problématique du salaire en général que sur celui de l'annonce en particulier. La discussion ne te convient pas ? Masque le fil dans ton lecteur de mail préféré :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Pour info, non ce sont des liens professionnels avec des IPs fixes ;) Ça fait approximativement 6h que nos liens sont tombés et nos 6 liens viennent tout juste de remonter en même temps. Je ne sais pas ce qu'on fait SFR sur leur infra, mais un vendredi c'est pas sympa :) Bon au moins on peut partir en week-end un peu plus soulagé :) Merci encore pour vos réponses. Laurent. Le ven. 12 avr. 2024 à 17:33, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Fri, 12 Apr 2024 17:23:39 +0200 > Laurent Laurent wrote: > > > J'ai la main sur les boîtiers des 2 côtés. > > Ca va faciliter l'analyse ;) > > > Le tcpdump entre les deux extrémités montrent qu'ils arrivent à discuter > > un peu entre eux mais rien de plus : 17:21:05.269172 x.x.x.x.500 > > > y.y.y.y.500: isakmp v1.0 exchange ID_PROT cookie: > > ef9435cceb00edc-> msgid: len: 184 payload: SA > > len: 56 [|isakmp] (ttl 250, id 56225, len 212) > > > > J'ai ce message que je vois toutes les X minutes avec la seule chose qui > > change l'id ce qui est normal. > > Bon, ce message, c'est x.x.x.x qui parle a y.y.y.y... tu as aussi des > messages retours ? > > Question (pas si) idiote : tes extremites chez SFR n'auraient pas change > d'IP vers 11H40 (genre un routeur qui se prend une MaJ, reboote et change > d'IP), et du coup, c'est plus reconnu par l'autre endpoint ? > > Paul > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Merci pour votre retour. J'ai la main sur les boîtiers des 2 côtés. Côté VPN Centraux, il y a une 40ene de tunnels et 6 chez SFR, 6 dont les tunnels sont passés down vers 11h40 le reste est OK. Le tcpdump entre les deux extrémités montrent qu'ils arrivent à discuter un peu entre eux mais rien de plus : 17:21:05.269172 x.x.x.x.500 > y.y.y.y.500: isakmp v1.0 exchange ID_PROT cookie: ef9435cceb00edc-> msgid: len: 184 payload: SA len: 56 [|isakmp] (ttl 250, id 56225, len 212) J'ai ce message que je vois toutes les X minutes avec la seule chose qui change l'id ce qui est normal. Le ven. 12 avr. 2024 à 17:00, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Fri, 12 Apr 2024 16:44:26 +0200 > Laurent Laurent wrote: > > > C'est la première fois que je poste un message sur la mailing donc désolé > > si je fais une erreur. > > Bienvenue ;) > > > Mon problème est que, depuis fin de matinée, aux alentours d'11h40 j'ai > > perdu une partie de mes tunnels VPN vers des sites distants.. > > > > Après analyse, on a remarqué que, tous les tunnels VPN IPsec perdus ont > un > > point commun qui est : lien SFR. > > > > Pour tous nos autres sites distants qui ne sont pas chez SFR je n'ai pas > > de problème, on a même essayé de coupé un tunnel il est remonté aussi > > vite, alors qu'un site distant chez SFR ça ne veut rien savoir. > > > > Suis-je le seul impacté ? > > En tout cas, tu es le premier a reporter ici. > > Est-ce que tu as la main sur au moins une des extremites de tes tunnels > (peut-etre le point de concentration ?) pour voir si tu as des logs > associes a tes tunnels venant de chez SFR ou pour voir si tu peux lancer un > tcpdump qui te dira peut-etre un peu mieux ce qui n'arrive pas ? > > Et si tu as la main sur le cote SFR, tu peux peut-etre faire un tcpdump des > deux cotes en meme temps pour essayer de mieux qualifier la nature exacte > du probleme. > > Ah, et je suppose que une seule des extremites de tes tunnels est chez > SFR... Tu aurais un moyen de tenter la conf d'un tunnel qui resterait chez > SFR ? Histoire d'essayer la encore de mieux qualifier la localisation du > probleme que tu rencontres ? > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Bonjour à tous, C'est la première fois que je poste un message sur la mailing donc désolé si je fais une erreur. Mon problème est que, depuis fin de matinée, aux alentours d'11h40 j'ai perdu une partie de mes tunnels VPN vers des sites distants.. Après analyse, on a remarqué que, tous les tunnels VPN IPsec perdus ont un point commun qui est : lien SFR. Pour tous nos autres sites distants qui ne sont pas chez SFR je n'ai pas de problème, on a même essayé de coupé un tunnel il est remonté aussi vite, alors qu'un site distant chez SFR ça ne veut rien savoir. Suis-je le seul impacté ? Nous sommes en train de faire ouvrir des tickets chez SFR mais je me demande vraiment s'ils vont bien comprendre :s En vous remerciant par avance. Cdt. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 12/04/2024 à 12:24, Pierre-Elliott Bécue a écrit : L'annonce est pas mal, le salaire l'est pour toute personne qui aurait plus de 10 ans d'exp. Soit il manque un "moins" soit je n'en comprends par le sens par rapport à ce qui précède. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 12/04/2024 à 12:31, Pierre-Elliott Bécue a écrit : C'est d'ailleurs tout autant vrai quand ton travail leur rapporte des centaines de milliers par an (par exemple en maintenant le service phare d'une boîte solo), ça ne leur échappe pas du tout mais là ils espère bien qu'à toi ça t'échappe. ;) Alors là ça m'épate que l'on puisse vendre plusieurs centaines de milliers d'euros la maintenance d'un service assuré par une seule personne ! L'annonce qui fait l'objet de cet échange émane d'une boîte qui a l'air tout ce qu'il y a de plus honnête ; je doute qu'il puisse se faire de telles marges ou alors ils ont des clients qui ne les payent pas avec leurs sous à eux (par exemple avec ceux des contribuables…). On a du mal à pourvoir décemment les postes à VA en France parce qu'on se fait tout siphonner par les américains qui, eux, paient les gens ce qu'ils valent (ou plutôt un meilleur tradeoff, ils sont pas bons samaritains pour un sou), mais c'est pas grave, continuons à nous convaincre que les salaires n'y sont pour rien. Ce n'est pas tant les salaires qui y sont pour quelque chose. Ce serait plutôt les coûts et les contraintes du travail en France, coûts et contraintes qui me semblent prévues pour assurer des conditions décentes aux salariés et lutter contre les abus des plus gros employeurs. Sur le principe c'est très louable sauf que les plus gros y échappent manifestement contrairement aux petites structures qui en conséquence s'asphyxient face à une concurrence externe qui ne subit pas les mêmes conditions. Après, le salaire n'est qu'un des aspects des conditions de travail ; ce n'est pas les euros qui rendent heureux :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 11/04/2024 à 19:30, Stéphane Rivière a écrit : 46000€ pour 7 ans d'expérience en N3 dans une boîte qui a l'air assez honnête, en télétravail possible, avec RTT + TR + intéressement… Ça fait du 3000€ nets tranquille par mois… Dans une région pas dégueu ;) Faut peut-être pas tirer sur le pouvoir d'achat trop fort hein… +1, Ça doit coûter à la boite ~7/an avec les a-côtés... Ce qui implique accessoirement que le travail du salarié contribue à un bénéfice pour la société qui lui permette (au moins) de verser ces 7 €/an (et non, on ne peut pas juste diviser cette somme par les 200 jours de travail annuel, c'est un peu plus complexe que ça). Par ailleurs, il y a un autre détail intéressant à considérer : la société qui emploie un salarié /s'engage/ à lui verser son salaire tous les mois… Bref, ces considérations échappent à la plupart des salariés (mais beaucoup moins aux employeurs). Qui est une petite structure. Donc je trouve ça plutôt très bien. Du coup je suis allé lire l'annonce. Elle me paraît aussi plutôt sympa et il y est bien préciser que le poste peut être basé à Saint-Malo. Bon, c'est vrai qu'on y est à plus de 25 m de la mer, surtout à marée basse mais il y fait beau tous les jours (c'est à dire au moins quelques minutes presque tous les jours) :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mails bloqués par Free.fr depuis Tenant Office365 Microsoft.
On 21.03.24 10:16, David Ponzone wrote: > T’as jamais pensé à mettre un robot en place qui envoie 50k mails clean > chaque jour vers des adresses gmail à toi ? Pas du tout nécessaire. Je loue un serveur pour 13€ par mois chez un hébergeur un brin moins connu, avec mon IP dédié (que je n'ai pas depuis si longtemps), je n'envoie qu'environ une douzaine de mails par mois. Je n'ai jamais été dans les spams de mes récipients, que ce soit google, microsoft ou n'importe quoi d'autre. Je n'ai même pas du m'embêter à mettre dkim en place. Des fois, aucune réputation est une meilleure solution que la réputation de microsoft. Merci beaucoup à Free d'avoir le courage de faire un tel blocage bien mérité. Microsoft se croient invincibles et transmettent probablement tous les rapports soigneusement préparés par François Petillon à /dev/null. Cordialement, Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [SPAM] Re: [FRnOG] [MISC] Migration d'adresses IP de serveurs mails
Le 21/03/2024 à 01:03, ml-fr...@srv.mx a écrit : Salut, Les serveurs sont des KS. C'est une bonne question, mais je ne compte pas rester sur les mêmes serveurs, j'aimerais faire évoluer un peu mes services persos au passage. L'âge des serveurs c'est un peu un prétexte pour me motiver à le faire ;) Le fait que ce soit un "vieux" serveur n'est peut-être pas le meilleur argument pour le remplacer ; s'il fonctionne toujours, pourquoi en changer ? Si tu tiens à maîtriser l'adresse IP qui envoie tes mails, tu peux passer sur une gamme de serveur qui propose des IP supplémentaires ré-affectables et si ton mail est géré avec postfix, il y a le paramètre smtp_bind_address dans /etc/postfix/main.cf qui devrait te permettre de choisir cette adresse IP transférable d'un serveur à l'autre. Mais c'est peut-être surdimensionné pour quelques adresses personnelles et ce n'est pas ça qui va te garantir que tes mails seront reçus :-( Le 20/03/2024 à 19:15, Daniel via frnog a écrit : Bonsoir Le 20/03/2024 à 19:04, ml-fr...@srv.mx a écrit : Bonjour la liste ! Depuis 10 ans, j'ai mes petits serveurs chez OVH pour héberger mes boites mails. Ces serveurs commençant à vieillir un peu (surtout les hdd) il commence à devenir temps de les migrer. Les IP actuelles de mes petits serveurs ne m'appartenant pas, je vais logiquement en avoir de nouvelles sur leur nouvel environnement. [...] OVH ne te permet pas de garder tes IPs en cas de changement de serveur ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Panne majeure en Afrique de l'Ouest
Bonjour, Quelqu'un aurait-il des précisions à propos de la panne Internet majeure qui frappe l'Afrique de l'Ouest ? Plusieurs pays coupés totalement ou partiellement selon Jeune Afrique. Bonne soirée ! -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Test de la robustesse de la liste
Quel serait le lien entre cette liste et ces m ? Le 05/03/2024 à 17:10, Stephane Bortzmeyer a écrit : Est-ce qu'elle marche quand Facebook et Instagram sont en panne ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] dgfip refusé par gmail
On 29.02.24 13:57, Stephane Bortzmeyer wrote: > On Thu, Feb 29, 2024 at 11:16:59AM +0100, > Alain Thivillon wrote > a message of 49 lines which said: > >>> https://mxtoolbox.com/SuperTool.aspx?action=dkim%3adgfip.finances.gouv.fr%3aemail=toolpage >>> >>> >> Ça montre juste qu'il n'y a pas de DKIM avec ce sélecteur "email" ? > > Oui, mxtoolbox est un service médiocre, pour tester sa config > SPF/DKIM/DMARC. Je recommande https://email-security-scans.org pour avoir une évaluation de SPF/DKIM/DMARC, mais aussi pour IPv6, DANE, MTA-STS et autres joyeusetés. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] - Connectivité FON via 2 chemins
Bonjour, Nous cherchons à relier 2 sites: A/ Global switch à Clichy (7-9 rue petit) B/ 130 avenue pierre brossolette à Malakoff Souhaits: - Disposer de 2 paires de FON via 2 chemins distincts - Une fibre livrée via chaque adduction du bâtiment Pouvez-vous SVP me fournir deux propositions: - Location sur 3, 6 et 9 ans - IRU sur 9 ans Merci d'avance, L.CARON --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 20/02/2024 à 15:00, Maxime DERCHE a écrit : … Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se retrouvent maintenant face à la loi et la sécurité. Churchill aurait dit ça où et dans quelles circonstances ? Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer. Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 23:02, Intermi Charles a écrit : … les recommandations de l'anssi (considérées tant dans le milieu de l'audit que des CaC comme le Graal). C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont pas universellement pertinentes ou applicables. Un exemple parmi d'autres, la R10 qui dit de bloquer tout accès à Internet depuis ou vers le poste d'administration… Si, si, c'est dans la version 3.0 en date du 11/05/21, celle disponible aujourd'hui en téléchargement sur le site de l'ANSI ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit : La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais si vous l'avez occulté, vous participez sans le savoir à l'absence de protection car il n'y aura pas de thésaurisation interne à l'entreprise pour pallier à ce risque pendant 1 an. La mission de l'administration informatique est quotidienne. Les attaques se déroulent 24/24 et 7/7 ; le risque peut devoir être réévalué et les dispositifs de protection adaptés tous les jours. Je comprends les préoccupations du CAC mais cela ne justifie pas de demander la communication de détails tels que le nom de l'antivirus ou les plans d'adressage des sous-réseaux internes. D'autant moins que ce serait contre-productif car la divulgation d'informations sensibles augmente e risque considéré. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Pas du tout et tu as bien raison de ne pas vouloir divulguer des informations sensibles ! Quels sont vos retours sur la question ? Merci, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit : La sécurité par l'obscurité n'a jamais protégé personne Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne doit juste pas être la seule sinon elle est effectivement complètement inefficace. Les méthodes d'attaques basées sur la description des dispositifs de sécurité s'apparentent à l'ingénierie sociale. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS
Bonjour David, Gouverner c'est prévoir, même l'improbable ;-) Et il n'y a pas que l'IP dans la chaine. Serveur email, serveur de supp, maintenant sur des VM... Bien compliqué et fragile tout ça Et mon sujet est bien la gestion du flux entrant. Autant sur le SMS que j'envoi, je peux aiguiller le destinataire. Mais j'ai aussi des services tiers et des 2FA qui nécessite des SMS Pour l'instant, c'est un *Téléphone Physique* qui est le maillon indispensable (faible ?) Je souhaite ne plus être dépendant de cet unique téléphone mais pouvoir router vers les téléphones individuels des gars en service. Le tout sans faire une usine à gaz (allez changer le numéro dans N interfaces hétérogène) Je classe dans "usine à gaz" la solution du modem qui reçoit les SMS et les revoit vers les destinataire, en singeant ce que faisait le PBX ;-) C'est surtout encore un truc qu'il faudrait développer et maintenir (mal ?) J'avoue avoir envisagé de le faire avec un Mikrotik 4G lors d'une matinée de désespoir d'hiver pluvieuse Un service tel que On/Off me paraissait plus simple. Mais ce n'est plus possible. Peut-être avec un opérateur européen plus souple ? Laurent-Charles FABRE Le dim. 18 févr. 2024 à 17:10, David Ponzone a écrit : > Ben d’éviter la panne IP :) > Un petit routeur 4g comme route par défaut pour envoyer des sms via une > API au choix. > Le sortant n’est pas un problème via API. Le problème c’est l’entrant. > > David Ponzone > > > > > Le 18 févr. 2024 à 15:49, L-C FABRE a écrit : > > > > Bonjour, > > > > Je prends le sujet en retard et du coup j’ai une question : > > > > Justement pour un cas d’usage qui est le relais d’alertes via SMS pour > arroser 1 ou plusieurs numéro de mobile suivant un calendrier et un parc de > numéro établis. > > En clair, routage d’alerte vers les mobiles d’une équipe d’astreinte en > rotation. > > > > Avant je faisais ça avec notre PABX mais maintenant que tout a basculer > un IPBX, je ne souhaite plus utiliser ce canal. > > L’idée étant que ces alertes sont justement en cas de panne IP > > > > Que me conseilleriez vous ? > > > > Laurent Fabre. > > > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 12/02/2024 à 22:32, Émile Touron a écrit : Hello, Concernant la quantité de personnes qui maitrisent IPv6 (hors opérateurs), ça s'explique peut-être aussi par l'enseignement universitaire. Le réseau est souvent mal enseigné, et les cours souvent obsolètes (enseigner les classes d'adresse en 2024... De mon côté j'ai eu droit à ATM en 2016). Sauf exception et de mon expérience, au mieux les profs mentionnent IPv6 1 ou 2 slides, mais passent un temps infini sur la description exhaustive du modèle OSI ou sur la composition d'un segment TCP à l'octet près (mais sans expliquer pourquoi c'est fait comme ça). Vécu aussi les explications débiles sur les classes d'IPv4 et les couches du modèle OSI, la frustration de ne pas avoir de description exploitable d'un paquet :-) La formation en informatique que j'ai connue était plutôt lamentable ; j'espère que cela a changé depuis. La documentation disponible aussi, à croire que leurs auteurs voulaient passer pour des génies en présentant leur connaissance de façon aussi obscure que possible. Aujourd'hui, s'il existe un ouvrage de référence qui ne soit pas obsolète, je serais intéressé de pouvoir le lire. Ensuite sur la confidentialité (sujet abordé précédemment), IPv6 a un mécanisme d'adresse aléatoire temporaire. Seul le préfixe est fixe dans le temps... comme l'IPv4 publique d'un NAT. Sauf qu'avec le /64 fixe, le mécanisme de suffixe aléatoire est mignon mais totalement inefficace quand il n'est revu qu'une fois par 24 heures. En pratique, cela revient à n'utiliser que les 64 premiers bits d'une adresse IPv6 pour l'instant (ce qui est plus qu'amplement suffisant). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 12/02/2024 à 17:56, Philippe ASTIER via frnog a écrit : … Sur le profilage, navré, mais là c’est faire preuve d’une naïveté extrême. On laisse tellement de traces que l’adresse IP, quelle qu’elle soit, est une broutille qui ne fait plus peur à personne. Pour vous faire peur, je vous recommande d’essayer https://amiunique.org/. Vous comprendrez que vous êtes fingerprinté par tellement d’autres critères… amiunique.org exploite juste les méta-données d'une requête HTTP faite depuis un navigateur. Croire que le protocole HTTP est le seul utilisé sur Internet c'est faire preuve d'une extrême naïveté :-)). L'adresse IP est quand même beaucoup plus précise et pratique, surtout pour appliquer un contrôle… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 12/02/2024 à 09:27, Philippe ASTIER via frnog a écrit : Perso, ni chez moi ni chez mes clients, je ne déploie quoi que ce soit qui ne sache pas ce qu’est IPv6. C'est très bien. Mais en attendant, tes futurs clients vont avoir du mal à se renseigner sur les services proposés par ta société : # wget https://www.astier-consulting.fr --2024-02-12 17:06:26-- https://www.astier-consulting.fr/ Resolving www.astier-consulting.fr (www.astier-consulting.fr)... 2606:4700:3108::ac42:2863, 2606:4700:3108::ac42:2b9d, 172.66.40.99, ... Connecting to www.astier-consulting.fr (www.astier-consulting.fr)|2606:4700:3108::ac42:2863|:443... connected. HTTP request sent, awaiting response... 526 2024-02-12 17:06:26 ERROR 526: (no description). Rien de personnel bien sûr mais je saisie juste cette opportunité d'illustrer que l'IPv6 ne fait pas tout :-) Pour autant que je comprenne, l'IPv6 apporte certes une augmentation considérable du nombre d'adresses IP (et la fin des NAT) mais embarque aussi la possibilité d'un "profilage" (ou contrôle) beaucoup plus précis des usages (justement par la fin des NAT). Je me demande si ce ne serait pas cette deuxième raison la principale motivation présentée sous couvert de la première… Je précise. En IPv4, l'utilisateur est planqué derrière une IP publique avec un port éphémère qui permet de faire le lien avec son IP locale en pratique inconnue de l'extérieur alors qu'en IPv6, on a une visibilité précise du poste de l'utilisateur (ou de l'équipement ou de l'objet connecté). Sinon, aujourd'hui, l'un de mes serveurs qui représente un intérêt totalement dérisoire, bloque plus de 58000 IPv4 de pirates. Je n'ose pas imaginer ce que ce sera quand il devra filtrer les IPv6 lorsque les IPv4 auront disparues ! Pour ma part, je passerai à l'IPv6 quand ce sera nécessaire (mais ce n'est pas moi qui décide). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 11/02/2024 à 19:54, Philippe ASTIER via frnog a écrit : Evidemment, pour le savoir, encore faut-il ne pas avoir banni IPv6 pour des raisons idéologiques. A l'inverse, il y a clairement des raisons idéologiques pour vouloir passer à l'IPv6. Il y a aussi de bonnes motivations techniques pour préférer l'IPv4 (voir le dernier fil auquel j'ai participé sur le sujet). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 02/02/2024 à 07:11, richard a écrit : Bonjour, finalement, où que soient stockées les données, même en France, ça n'empêchera pas les gros problèmes concernant la sécurité (notamment le maillon le plus faible de la chaine, l'humain...) : Le problème c'est le traitement que l'on fait des données, pas où elle sont stockées. Mais il n'y a pas de traitement possible sans données ; contrôler le stockage est un préalable efficace. … Pour démarrer dredi en wheeling :D Malheureusement, même on n'en parle que le vendredi, cela reste valable tous les jours. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 01/02/2024 à 20:57, Richard Klein a écrit : … Et pour en remettre une couche, il y a quelques décennies il y avait eu un article sur les samsung qui avait sa puce basse bande avec un backdoor. De mémoires il suffisait de faire du port knocking over the air et sesame ouvre toi pour faire un dump de la ram. Dans la ram il y a quoi? Ce que je tape au clavier Ce qui s’affiche à l écran Dans ce cas olvid ou autre messagerie quantiques ne protègera personne! Un backdoor est superflu : on peut le faire encore plus simplement au niveau du système d'exploitation des smartphones et iOS ou Android sont américains. Nos smartphone sont sous contrôle américain, nos opérations bancaires sont dépendantes de nos smartphones (DSP2) et donc nous sommes sous contrôle a… Envoyé de mon iPhone :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 01/02/2024 à 15:37, David Ponzone a écrit : Et savoir qui a rédigé le cahier des charges. McKinsey ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 01/02/2024 à 15:37, Philippe ASTIER via frnog a écrit : Et finalement, au bout du compte, qu’est-ce qu’ils ne savent pas faire les européens ? La remontée légale des données stockées aux autorités américaines peut-être ??? Microsoft est bien une filiale d’une société américaine, non ? Vous croyez vraiment qu’ils échappent aux règles US ? C’est très scandaleux…. C'est non seulement scandaleux mais surtout un désaveux complet de la mission de la CNIL. Il y a une incohérence flagrante entre l'injonction parfaitement intelligible et logique de protéger les données à caractère personnel en ne les stockant que sur des serveurs européens et la licence donnée à l'état français de confier à une société américaine les informations personnelles les plus sensibles qu'il soit ! Désormais, ça va être très compliqué d'expliquer à mes clients qu'il doivent /prendre toutes les mesures nécessaires au respect de la protection des données personnelles *dès la conception* du produit ou du service/. (https://entreprendre.service-public.fr/vosdroits/F24270)… :-( --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Merci pour cette réponse détaillée ! Pour le point 1, cela concerne le contraire de ce que tu évoques : bloquer un truc qui ne veux pas de mal sur un serveur mais qui n'a rien à faire sur un autre serveur, un faux positif en fait. Je suis allé voir (rapidement) sur leur site avant d'écrire mon message mais je n'avais pas trouvé comment crowdsec évitait la propagation de faux positifs ni les sources. Je vais y retourner plus attentivement. Je vais déjà écouter la présentation que tu indiques. En tout cas, savoir que les auteurs sont recommandés c'est un point très positif. Le 26/01/2024 à 14:02, Philippe Bourcier a écrit : Re, Je vais faire un peu le SAV Crowdsec (je précise que je n'ai pas de billes dans cette société). Mais c'est un projet Français fait par des gens que je connais et apprécie et qui ont pensé à beaucoup des points évoqués ci-dessous. D'ailleurs, ils ont fait une prez lors d'une réunion FRnOG, si vous voulez... https://www.dailymotion.com/video/x8asnpp?playlist=x7hb3i J'ai trois objections à propos d'une protection participative telle que crowdsec : 1. les règles de détection d'une attaque potentielle devrait être définie relativement au contexte particulier de chaque serveur, Bof, quelle raison de laisser passer un truc qui ne te voudra *clairement* jamais du bien ? 2. si les IP à bannir sont partagées, comment empêcher que cette liste soit polluée par malveillance, Ca c'est parfaitement géré, tu peux aller lire sur leur site comment ca fonctionne... 3. comment s'assurer que l'on installe pas un accès dérobé avec crowdsec ? C'est open-source, c'est Français et c'est des gens qui ont toujours bossé dans la cybersécurité, donc pour lever tout doute par rapport à un bout de code, etc, ne pas hésiter à les contacter. 路♂️ Cordialement, -- Philippe Bourcier https://twitter.com/irukanji_invest https://www.linkedin.com/in/philippebourcier/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Update : https://api.iplocation.net/ a l'air vraiment intéressant, merci ! Le 26/01/2024 à 10:00, Laurent Barme a écrit : Le 26/01/2024 à 09:47, Stéphane Rivière a écrit : >Ah, et où trouves-tu la liste des VPN connus pour officier en France ? En tapant dans le gougle quelques caractères genre well known vpn ip. en rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement avec les bases de ip2location dans cette thread. Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas dans cette liste ? En (prenant le pb à l'envers en) ne gardant que les ranges des FAI, c'est encore plus simple. Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI ! Alors oui, j'ai gglé la question mais la réponse est un peu périmée (20 juin 2013 à 23:06:39) : https://lafibre.info/ipv6/plages-ip-par-fai/ Et j'ai comme un doute sur une mise à jour régulière de cette liste :-\ Parce qu'on va quand même pas envisager que le dodoze de Mme Michu pourrait être botté :>>> Ben voyons :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 26/01/2024 à 09:47, Stéphane Rivière a écrit : >Ah, et où trouves-tu la liste des VPN connus pour officier en France ? En tapant dans le gougle quelques caractères genre well known vpn ip. en rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement avec les bases de ip2location dans cette thread. Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas dans cette liste ? En (prenant le pb à l'envers en) ne gardant que les ranges des FAI, c'est encore plus simple. Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI ! Alors oui, j'ai gglé la question mais la réponse est un peu périmée (20 juin 2013 à 23:06:39) : https://lafibre.info/ipv6/plages-ip-par-fai/ Et j'ai comme un doute sur une mise à jour régulière de cette liste :-\ Parce qu'on va quand même pas envisager que le dodoze de Mme Michu pourrait être botté :>>> Ben voyons :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
En tout cas, si on en doutait, ta contribution à la discussion le confirme :-) Le 26/01/2024 à 08:40, David Ponzone a écrit : Ah on sent que c’est vendredi :) Le 26 janv. 2024 à 08:03, Laurent Barme <5...@barme.fr> a écrit : Le 25/01/2024 à 09:08, Stéphane Rivière a écrit : … Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres écosystèmes et le retour est bon :) J'ai trois objections à propos d'une protection participative telle que crowdsec : 1. les règles de détection d'une attaque potentielle devrait être définie relativement au contexte particulier de chaque serveur, 2. si les IP à bannir sont partagées, comment empêcher que cette liste soit polluée par malveillance, 3. commet s'assurer que l'on installe pas un accès dérobé avec crowdsec ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 26/01/2024 à 08:57, Stéphane Rivière a écrit : >Ce test illustre bien la facilité avec laquelle ce dispositif peut être contourné, merci ! Sauf si tu bans les IP des VPN connus pour officier en France... Ah, et où trouves-tu la liste des VPN connus pour officier en France ? Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas dans cette liste ? Pour prendre un peu de recul, on est bien d'accord que la géolocalisation des adresses IP sous-entends celle de celui qui l'utilise ? Alors, seuls les FAI ont une visibilité (toute relative) sur cette information et je doute qu'ils la partagent, sauf injonction judiciaire bien sûr et sans doute très peu avec une instance étrangère. La géolocalisation d'une IP est déjà une gageure en soit mais en plus son utilisateur peut agir de presque n'importe où ; les tunnels ssh sont très commodes… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fin de l’IPv4 en République tchèque
Le titre est trompeur : ce n'est pas la fin de l'IPv4 en Tchéquie mais juste l'annonce préalable, pour dans 8 ans, de la nécessité d'utiliser une IPv6 pour l'accès aux sites Internet de l'administration de ce pays. Dans 8 ans ! D'ici là… Le 24/01/2024 à 16:13, Arnaud FEIX a écrit : Salut, Petite news découverte cette semaine, le premier pays à annoncer la fin d’IPv4 est donc la république Tchèques, le 6 juin 2032 l’administration ne sera plus joignable qu’en IPv6. Je vous joint la source : https://konecipv4.cz/en/ Bonne journée --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 25/01/2024 à 09:08, Stéphane Rivière a écrit : … Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres écosystèmes et le retour est bon :) J'ai trois objections à propos d'une protection participative telle que crowdsec : 1. les règles de détection d'une attaque potentielle devrait être définie relativement au contexte particulier de chaque serveur, 2. si les IP à bannir sont partagées, comment empêcher que cette liste soit polluée par malveillance, 3. commet s'assurer que l'on installe pas un accès dérobé avec crowdsec ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 25/01/2024 à 17:17, Stéphane Rivière a écrit : … Test ON/OFF avec divers VPN internationaux OK Ce test illustre bien la facilité avec laquelle ce dispositif peut être contourné, merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 24/01/2024 à 20:31, Philippe Bourcier a écrit : … Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter + CrowdSec. Comme ca même le national p0wné ne passe pas... Ce conseille est similaire au dogme des mises à jour : il est simple à comprendre, facile à mettre en œuvre et donc très rassurant. En bonus, le "sanitaire" lui ajoute une connotation "sûr et efficace". Bon vendredi :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UCEPROTECTL3 blacklist
Bonjour, Je ne connais aucun serveur mail sérieux qui utilise UCEPROTECTL3 comme signal important dans la classification spam. Cette RBL a pour but de lister des plages IP plutôt larges. Donc presque toutes les VPS de OVH y sont, mais aussi d'autre fournisseurs pas toujours très réactifs aux abus. A noter de UCEPROTECT permet de se délister dans certains cas de UCEPROTECTL1 ou UCEPROTECTL2 (si je ne me trompe pas) si l'opérateur de l'IP paye une rançon... Je considère que ce modèle commercial et cette manière de gérer une RBL ne sont pas éthiques. Google utilise une énorme quantité de signaux pour décider qu'est-ce qui est spam ou non. Je pense que cela vaut mieux de vérifier si les bonnes pratiques mailing sont respectées (rDNS, SPF, DKIM, ...) au lieu de se soucier de ce listing particulier. Par contre, oui OVH n'a pas une super bonne réputation au niveau de ses IPs, cela reste possible que cela soit en votre défaveur. Cordialement, Laurent On 11.01.24 11:13, Merwan Zenati wrote: > Bonjour a tous, > > Ce matin un de mes collaborateurs m'a fait part du fait que ses invit teams > se retrouvent dans les spams. Je vois que notre ndd est sur la > blacklist UCEPROTECTL3, le serveur 51.91.60.233 est IPTWIN hosted OVH. > Étrangement seuls les mails avec invitations sont flag en tant que SPAM par > google, les mails normaux passent, et le Mxtoolbox Health Analyzer me dit > que le domaine est plutôt en "bonne santé" sans me mentionner le blacklist > ci-dessus. > Sommes-nous les seuls dans cette situation ? > > Merci, > M > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?
J'ai envoyé ce matin à 07:45 le même message que celui ci-dessous mais en changeant de sujet (sujet initial remplacé par "Blocage par Cloudfront ?") et il ce message de 07:45 n'a pas été diffusé sur FRnOG alors que celui de 10:12, sans changer de sujet, a bien été transmis. Est-ce bien le changement de sujet qui est bloqué par FRnOG ou est-ce un autre mécanisme à l'œuvre ? Le 05/01/2024 à 10:12, Laurent Barme a écrit : … Comment Cloudfront pourrait-il bloquer ton accès à une page du site Enedis et pourquoi aurait-il pris une telle décision ? Utilises-tu un blocage de cookies ou un autre dispositif intermédiaire entre toi et enedis.fr ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?
Le 04/01/2024 à 21:55, Julien Escario a écrit : Le 04/01/2024 à 18:31, Paul Caranton via frnog a écrit : … Source : https://www.enedis.fr/faq/limitation-temporaire-de-puissance-electrique/comment-le-test-va-t-il-se-derouler Alors, j'adorerais accéder à cette ressource mais Cloudfront semble avoir décidé que je n'étais plus digne de voir le site Enedis. Comment Cloudfront pourrait-il bloquer ton accès à une page du site Enedis et pourquoi aurait-il pris une telle décision ? Utilises-tu un blocage de cookies ou un autre dispositif intermédiaire entre toi et enedis.fr ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?
Hello, Il y a bien un Organe de coupure (contacteur) dans le linky. La doc le confirme ! Comme tu le dis, la population générale ne sais pas faire la difference entre kW (puissance instantannée) et kWh (puissance "tiré sur une periode" facturé) et tu oublie le kVa qui a toute son importance ici ! Notre ami Cosphi le comeback avec la mesure du déphasage qui va avec ! Un radiateur electrique à un cosphi de 0.99/1 : 1kW consommé ) 1kVa ! Par contre... Une PAC c'est un moteur, donc des condensateurs ! Donc le Cosphi n'est pas de 1 ! mais on concidère 0.95 à pleine charge (et souvent entre 0.8 et 0.90 en "régulation inverter") donc une PAC de 2kW de puissance soutiré (pas restitué !) aura un tirage max de 2*0.95 => 1.9kVa ! Max... Un ordinateur... lui le cosphi moyen est vers 0.8 de mémoire... Donc 0.200kW tiré = 0.160kVa... (on va pas parler d'une ampoule LED qui tombe même à 0.6 de cosphi !) Que ce passe t'il si on tira 4kVa sur un abonnement 3kVa? C'est possible! Le fameux Puissance appliquée : "Pcoup" Dans la documentation ENEDIS du linky est précisé les puissance de coupure : 1.1*Abonnement : Sans limite ==> jusqu'à 3.3 (3kVa abonnement) 1.4*Abonnement : pendant 250s ==> jusqu'à 4.2 (3kVa abonnement) 2.5*Abonnement : 40s ==> jusqu'à 7.5 (3kVa abonnement) Un peu de doc : https://www.enedis.fr/media/2035/download+ Plus terre à terre, pour le délestage, les gens équipés de système "full électrique" on au moins un système de "domotisation autonome" (au moins les ancien logements en chauffage full elec !) qui fonctionnait sur un signale envoyé par ENEDIS sur le réseau (le même genre de trame que pour avoir la couleur du jours Tempo/EJP sur les bouliers ainsi que le contact HP/HC !). En domotique de nos jours, ce signale est envoyé par la sortie "TIC" du linky (mode historique ou non) qui permet justement à un petit ordinateur de délestage de piloter différents contacteurs Normalement Ouvert (2F) lors du délestage. Pour la PAC : Justement, la capacité des linky à "encaisser" pendant 40s x2.5 la puissance abonnement permet de soutiré pendant 40s jusqu'à 7.5kVa (en 3kVa) ou 250s jusqu'à 4.2kVa (en 3kVa) suffit à "faire demarer" la PAC. En 6kVa tout electrique (dont PAC + chauffage sdb electrique en maison), j'ai jamais disjoncté en 6 ans et extremement rarissime sont mes pic à plus de 5kVa. Voila mes 2cents ! :) Laurent Le 04/01/2024 à 16:37, Julien Escario a écrit : Bonjour, Permettez de rebondir sur un sujet pas mal évoqués fin 2022 quand il y avait des risques de blackout sur le réseau. A priori, l'expérimentation consistant à limiter la puissance des Linky se précise puisque c'est le Puy-de-dôme qui s'y colle [1]. Je ne trouve cependant aucune info technique sur la façon dont c'est fait. Limitation à 3kVA, je veux bien, mais que se passe t'il si on tire 4 kVA ? Je ne vois aucune autre solution que de couper. Hors, il m'avait semblé lire ici que le Linky n'avait pas d'organe de coupure. Pourtant je lis ici [2] qu'il arrive de devoir réarmer le Linky. Si effectivement ça coupe, cela signifie que l'on va avoir tout un tas de foyers dont l'électricité risque d'être coupée pendant de longues heures si c'est en plein milieu de la journée et qu'il n'y a personne. Je pense notamment à ceux qui ont des PAC qui tirent au moins 2kW voire beaucoup plus pour certaines. Encore mieux pour ceux qui sont absents (+72h) et risquent de se retrouver avec un élevage de champignons dans le frigo/congèlo. Je doute que ceux là se contentent des 10 balles de prime (quoique, ils n'auront probablement pas le choix). A toute fin utile, je rappelle qu'en population générale, une écrasante majorité de nos concitoyens ne fait pas la différence entre un kW et un kWh. L'un de vous aurait-il un éclaircissement ? Merci et bonne année (même si en un unixtime, ca ne signifie rien), Julien 1: https://www.tomsguide.fr/linky-on-connait-enfin-le-departement-ou-aura-lieu-le-test-de-black-out-de-200-000-foyers/ 2: https://www.kelwatt.fr/guide/compteur/electricite/rearmer-linky --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cet e-mail a été vérifié par le logiciel antivirus d'Avast. www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Test du Plan de Continuité d'Activité des services de l'état le 31/12
Ma réponse en bref : https://www.iridium.com/Phones/ TL;DR; Le 22/12/2023 à 12:30, Toussaint OTTAVI a écrit : Bonjour, … On ne peut que se sentir révolté par tant d'iniquités au point d'en arriver presque à souhaiter qu'il y ait bientôt un événement (totalement fortuit, bien entendu) en corrélation avec cette histoire. Toutes ces suppositions induisent donc les questions techniques suivantes : - Dans une telle éventualité, comment informer tous les opérateurs (et leurs clients critiques) de tenir leurs équipes en alerte la nuit du 31/12 ? Il me semble que ça, c'est fait. - Il y a quelques temps, à propos des incidents fibre à répétition, j'avais posé la question de savoir si un administré de MONTCUQ pourrait toujours téléphoner au SAMU ou aux pompiers de MONTCUQ si les liens remontant vers Paris venaient à tomber. Quelqu'un se rappelle t-il si une réponse claire à cette question a été fournie ? La meilleure alternative que je connaisse : https://www.iridium.com/Phones/ - Quelqu'un sait où se trouve le Raymond CROZE actuellement ? Combien de temps lui faut-il pour appareiller et se rapprocher de la zone supposée du test ? Même s'il était sur zone, sa seule présence ne suffirait pas à remédier à la situation dans un délai raisonnable. -- L'individu en question souhaite à tous un bon Vendredi, et un Joyeux Noël. Comme la prononciation de ces mots est désormais interdite, il est bien conscient que ceci pourrait le mener derrière les barreaux. Il suppose qu'avant de lui notifier sa mise sous écrou, un tribunal compétent (de préférence en un seul mot) sera bien obligé de lui délivrer, au préalable, une identité, et des droits. ;-) ;-( Si le contexte n'était pas aussi tragique, ce serait très drôle. Quoiqu'il en soit, c'est très bien écrit. Merci Toussaint. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT]
Le 16/12/2023 à 00:04, Léa Gris a écrit : Le 15/12/2023 à 19:35, Sébastien Lebourg via frnog écrivait : > > Effectivement, il y a beaucoup de neige ; c'est tout blanc ! :-)) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] MTU sur switch Huawei CE
Bonjour, vendredi étant un bon jour pour passer pour une buse, j'ai une question pour vous :-) Switch 1 : Route Port,The Maximum Transmit Unit is 9600,The Maximum Frame Length is 9216 IP Sending Frames' Format is PKTFMT_ETHNT_2,... Internet Address is 10.0.61.75/31 Switch 2 Route Port,The Maximum Transmit Unit is 9600,The Maximum Frame Length is 9216 IP Sending Frames' Format is PKTFMT_ETHNT_2,... Internet Address is 10.0.61.74/31 Les 2 ports sont reliés en direct, pas de vlan, vxlan vpn... rien de rien Le plus gros paquet que je passe: ping -f -s 9170 10.0.61.75 PING 10.0.61.75: 9170 data bytes, press CTRL_C to break Reply from 10.0.61.75: bytes=9170 Sequence=1 ttl=254 time=1 ms Y'a un truc qui m'échappe Qui saurait me dire pourquoi 9170 ? Merci de vos lumières ! Laurent FABRE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Re: Orange Offre
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 27.11.23 22:39, Jerome Marteaux wrote: > Finalement le seul risque de démarrer ce projet c'est d'échouer ! > Et si échec, il n'y aura aucune conséquence, comme dirait l'autre: "Je > ne dirais pas que c'est un échec : ça n'a pas marché" ! Mise à par le coût écologique, il est toujours bon de rappeler les risques du Syndrome de Kessler. Voici en très court ce que wikipédia en dit: > Le syndrome de Kessler est un scénario envisagé en 1978 par le consultant de > la National Aeronautics and Space Administration (NASA) Donald J. Kessler, > dans lequel le volume des débris spatiaux en orbite basse dû à la pollution > spatiale atteint un seuil au-dessus duquel les objets en orbite sont > fréquemment heurtés par des débris, et se brisent en plusieurs morceaux, > augmentant du même coup et de façon exponentielle le nombre des débris et la > probabilité des impacts. Au-delà d'un certain seuil, un tel scénario rendrait > quasi impossible l'exploration spatiale et même l'utilisation des satellites > artificiels pour plusieurs générations. Je ne sais pas vous, mais moi, du coup, j'ai la boule au ventre à chaque fois que j'entends parler de Starlink et de la démesure du Musk. -BEGIN PGP SIGNATURE- Version: ProtonMail wnUEARYIACcFAmVlv4cJEGrKMAvEr8lYFiEE7GCsX266hFD8sTLtasowC8Sv yVgAAGIfAP9QkTRFk8vLdz7eBfMHwgHD5A8CZ3rRBzkJXyWhxUjl9wEAtpoK 1FQAJkrIzQ4QIHQ9SGDz2hUcizJQX7tBvcNSpwM= =c4DN -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Domaines mails anonymes
Le 20/10/2023 à 16:28, Arnaud Launay a écrit : Le Fri, Oct 20, 2023 at 04:15:55PM +0200, Thierry Chich a écrit: Ouais, c'est une provoc pour les libertariens. Tant que tu passes par franceconnect pour t'identifier avant la création du mail, tout va bien. Promis: les données ne sortiront pas des bases du gouvernement. :-)) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Recherche don Switch - (PoE si possible)
Bonjour FRnOG, J'ai croisé une association en île-de-france qui héberge des familles et qui est tombé en rade de switch fonctionnel pour maintenir leur réseau, ils fonctionnent actuellement avec des petits DLink que des gens ont apporté sur un réseau (environ une 50aines de câble à brasser) qui contient du matériel pour certains PoE et qui ne peut plus fonctionner. Aussi je suis à la recherche de bonne âme si vous avez des switch si possible avec PoE, je serai ravis de vous en débarrasser pour les aider. Merci, Cordialement, -- Sylvain `Magicking' Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] "Récupération de vos documents"
Excellent ! Cela m'a encore plus fait rire que la réponse du docteur qui gère la messagerie d'un (gigantesque) hôpital. Et avec tout ça, on oublie de parler de l'absence de confidentialité de mails. On imagine que le pièces jointes à destination d'un hôpital son sans doute pourvues de données à caractère personnel :-( Le 06/10/2023 à 15:12, Stéphane Rivière a écrit : … Il faut laisser ça à ceux qui gèrent de petits serveurs de messageries personnels tels que : SFR Mail : max 100 Go GMX Caramail : max 50 Mo en émission mail.com : max 50 Mo en émission GoDaddy : max 30 Mo en émission et réception Yandex : max 25 Mo en émission Gmail : max 25 Mo/50 Mo en émission AOL : max 25 Mo en émission et réception Free : max 25 Mo en émission Orange : max 25 Mo Laposte.net : max 20 Mo Zoho Mail : max 20 Mo ProtonMail : max 15 Mo ^ j'adore la réponse bien documentée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Je recherche un clavier...
Edit : "Votre message pour la liste frnog a été transmis au(x) modérateur(s)" Image dispo en https://blog.nun.tf/media/2023/10/planck_olkb.jpg Le 03/10/2023 à 14:01, Jacques Michau via frnog a écrit : Ahah super ! Alors à quoi il ressemble ? Voir image en pièce jointe (planck_olkb.asc) à renommer en .jpg ; il me semble que les images ne passent pas sur FRnOG alors je tente cette esquive au cas où seule l'extension serait prise en compte :-) Et est-ce que c'est le V7 qui permet de configurer à la volée sur une page web ou bien il faut toujours " compiler son clavier" en C et charger le firmware obtenu ? Oui, c'est le v7. Il semble que l'on puisse aussi (comme pour les autres versions) le configurer depuis une page web mais j'ai trouvé la méthode en ligne de commande beaucoup plus accessible. En tout cas je n'ai pas eu de difficulté à le configurer comme je le voulais. C'est d'ailleurs un énorme avantage de ce clavier que de pouvoir mettre les caractères qu'on utilise le plus souvent à porter du moindre mouvement et du moins de doigt possible. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Je recherche un clavier...
Le 23/07/2023 à 18:32, Jacques MICHAU via frnog a écrit : Bonjour, Allez je m'y mets aussi. Je suis parti sur un clavier 40% orthogonal chez drop.com (olkb planck v6, maintenant c'est v7) et là tu choisis tout (les switchs parmi les 15 modèles existants, clicky ou pas, tu choisis la pression etc, les keycaps - autant prendre noir ou un peu fantaisiste - car sur un 40% de toute manière tu multiplies les mappings avec des touches pour changer à la volée). Ça a l'air complètement con comme concept, mais une fois maitrisé, tu ne jures plus que par ça et tu le trimballes entre le boulot et la maison... tu bouges plus les mains, tu tapes à fond comme avant - perso même plus vite qu'avant, c'est totalement programmable à la touche près et là ça va bien plus loin que tout ce qu'offrent les razer & co, les lumières en moins). Alors certes c'est un peu extrêmiste et tu perds quelques semaines à te louper sur des touches (surtout les passwords...), mais après, quel bonheur. In fine ça te coute une petite blinde, mais pas tellement pire que les grosses marques. Et en bonus tu passes pour un dingue :) Jacques Bonjour Jacques, Merci de m'avoir fait découvrir le Planck ! J'ai trouvé le concept assez judicieux pour avoir envie de l'éprouver et je peux confirmer qu'après seulement une semaine d'utilisation, j'en suis déjà ravi. Bonne journée, Laurent Barme --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Abuse Scaleway/Online
Le 23/09/2023 à 19:27, David Ponzone a écrit : Le 23 sept. 2023 à 18:47, Laurent Barme <5...@barme.fr> a écrit : Cela dit, je doute qu'ils puissent faire grand chose au sujet du détournement de leur serveurs par les pirates et cela vaut pour d'autres hébergeurs. Et s'il pouvaient, ce ne sont pas les seuls à servir de base d'attaque. Elles viennent du monde entier et en particulier de pays où on aura du mal à trouver un interlocuteur… Oui mais sur certains services, il est simple de bloquer par geoip tout ce qui vient pas d’une liste explicite de pays, si le client n’a pas de raison d’accéder à son service depuis ailleurs. Il y a deux problèmes dans ta proposition. Le premier est l'arbitraire de la géolocalisation des IP et le deuxième est la proposition de censure sous le contrôle de l'hébergeur. Mais si ça vient de France… En réalité on ne sait pas d'où ça vient vraiment, on peut juste connaître qui gère l'IP administrativement ce qui n'a rien à voir avec qui s'en sert. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Abuse Scaleway/Online
Le 21/09/2023 à 10:07, David Ponzone a écrit : Bonjour, Quelqu’un connait un moyen fiable de joindre la cellule abuse de Scaleway/Online ? (autre moyen que leur formulaire en ligne qui est une vaste blague, puisqu’il aboutit à un rejet de demande parce que j’ai pas fourni des infos…que le formulaire ne demande pas) Merci David Pour l'avoir expérimenté à propos des bugs apparus lors de l'évolution de l'Object Storage chez Scaleway, le plus efficace pour traiter un problème que l'on attribue à Scaleway et d'aller en parler sur Sclack : https://www.scaleway.com/en/docs/tutorials/scaleway-slack-community/ Ou directement sur : https://slack.scaleway.com/ Cela dit, je doute qu'ils puissent faire grand chose au sujet du détournement de leur serveurs par les pirates et cela vaut pour d'autres hébergeurs. Et s'il pouvaient, ce ne sont pas les seuls à servir de base d'attaque. Elles viennent du monde entier et en particulier de pays où on aura du mal à trouver un interlocuteur… C'est à traiter au niveau de chaque serveur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Abuse Scaleway/Online
Le 22/09/2023 à 10:34, Alexandre Archambault a écrit : Le 21/09/2023 à 21:49, Jeremy a écrit : Bon, c'est vendredi dans 2h, je me lance. Je me demande s'il y a des employeurs qui lisent cette liste et, le cas échéant, ce qu'il pensent de la coutume du vendredi ; comme si le weekend était de 3 jours :-) PS: cette réponse est opportuniste et ne s'adresse pas particulièrement à l'auteur du mail en question. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [France Inter] Les ratés de la fibre
Le 11/09/2023 à 13:08, David Ponzone a écrit : Y a un intrus dans ta proposition: Aller au bout du concept, c'est faire une appli qui quand tu change d'opérateur ça te déverrouille l'armoire pour que tu cable toi même "comme un grand (cochon)" dans le PM ! « Déverrouille » C'est pas un intrus, c'est un semblant de sécurité sur le papier pour se couvrir alors qu'il n'y a même pas de serrure ! ;) Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [France Inter] Les ratés de la fibre
Tu n'y est pas David ! Aller au bout du concept, c'est faire une appli qui quand tu change d'opérateur ça te déverrouille l'armoire pour que tu cable toi même "comme un grand (cochon)" dans le PM ! Comme ça, hop, même plus de sous-traitant IIbar ! Car ça sera une option à 100€ de faire déplacer quelqu'un pour câbler comme un cochon à ta place (bien trop souvent...) Pardon, c'est que Lundi, je sais ! (Enfin, un certain homme du XXème disait que le temps est relatif... Donc... C'est relatif le jours du Trolldi !) Laurent Le 11/09/2023 à 11:12, David Ponzone a écrit : Tu touches pas à l’uberisation du métier, c’est comme ça. C’est le nouveau modèle ça: ça évite des embauches aux gros acteurs (pour rester agile), et tous ces autoentrepreneurs ne sont plus sur les listes du chômage, c’est Win-Win. Par contre, pour aller au bout du concept, on pourrait peut-être sortir une app appelée « Fiber » qui permet à un particulier de commander l’intervention d'un tech fibre quelconque pour qu’il vienne lui régler son problème de FTTH, avec obligation de résultat partielle ? Le 11 sept. 2023 à 11:04, Hmaks Doe a écrit : C'est très conciliant comme reportage j'ai trouvé manque d'intervenants à charge ? ça remet pas en question le système pour deux sous, juste on va faire des audits et former les techos pour s'améliorer mais sinon c'est nickel changez rien. On a presque l'impression que les X niveau de sous-traitance apportent sérieux et qualité. Personne pour dire que quand t'as X intermédiaire qui prennent chacun 30% pour brasser du vent il reste pas grand chose pour le pelé qui fait le job en bout de chaîne et qui torpille la presta pour rentrer dans ses objectifs. On Mon, Sep 11, 2023 at 9:17 AM David Ponzone mailto:david.ponz...@gmail.com>> wrote: J’ai écouté 2 min. Altitude doit être content de savoir qu’ils sont « un sous-traitant chargé le déployer la fibre pour SFR ». C’est dommage cette manière de chercher à simplifier les relations entre opérateurs, qui ne sont pourtant pas très complexes. Le 10 sept. 2023 à 13:54, Stephane Bortzmeyer mailto:bortzme...@nic.fr>> a écrit : On Sun, Sep 10, 2023 at 10:53:21AM +0200, Stephane Bortzmeyer mailto:bortzme...@nic.fr>> wrote a message of 15 lines which said: Bopnne explication pour le grand public des innombrables coupures et du travail de cochon qui est fait : https://www.radiofrance.fr/franceinter/podcasts/interception/interception-du-dimanche-10-septembre-2023-4299565 <https://www.radiofrance.fr/franceinter/podcasts/interception/interception-du-dimanche-10-septembre-2023-4299565> Page supprimée par France Inter, désolé. Elle n'est plus dans la liste de l'émission <https://www.radiofrance.fr/franceinter/podcasts/interception <https://www.radiofrance.fr/franceinter/podcasts/interception>> --- Liste de diffusion du FRnOG http://www.frnog.org/ <http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/ <http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passages de câble, voisinage et propriétés privés.
Bonjour, Vu la configuration avec ce genre de problème, propose un passage façade (sauf si classement bâtiment de France...) voir avec proposition d'installation d'un cache câble au frais du client si il veux du "beau" (il existe des prépeint blanc, sablé, etc...). Passer chez quelqu'un pour la maintenance à long terme, c'est juste à proscrire. Et tu explique à ce client qui veux la fibre que c'est "la seule solution possible vu que son voisin ne veux pas être sympas". Sur une maison qui a été "séparé" on fait des trou pour adducter séparément par la facade sans soucis, c'est un cas plus que courant par chez moi surtout sur Bordeaux Centre qui dispose de maison unique qui ont été divisé en plusieurs appartements. Et puis, disons le, une maison séparé en 2 ou + d'appartement est une copropriété de fait si il y a plusieurs propriétaires ! Mais souvent ces micro copro sont géré un peu à la "va comme je te pousse" même niveau règlement et obligation Laurent Le 29/08/2023 à 12:28, Carroussel Informatique a écrit : Bonjour à tous et toutes. Je ne suis pas certain de la catégorie utilisé, à priori c'est plus du juridique que du technique... J'ai un client particulier, qui veux passer de SFR à Orange. Orange lui a envoyé une box fibre, incompatible avec sa ligne actuelle, encore en cuivre. Il faut donc virer le câble de cuivre et tirer une fibre à la place. Problème : c'est un vieil immeuble, en fait je pense qu'il s'agissait d'une très grosse maison de village, qui a été coupé en deux, bref... Et le fil de cuivre passe chez le voisin, avant d’atterrir "quelque part" chez mon client, en faisant au passage des boucles exotique dans les murs. Problème 2 : Le voisin est un spécimen asser courant de grossus connardus vulgaris, qui ne fait rien pour aider. Cela fait trois fois que les techos se déplacent pour tirer la fibre et que le gros con n'est pas là, ou leur refuse l’accès au local. SFR s'en fout, Orange... ne peu légalement pas forcer la porte du voisin, ni le ligoter à une chaise pendant que ses techniciens tire le câble. D'un point de vue technique, ça résoudrait bien des problèmes, mais en terme d'image, il parait que ce n'est pas terrible. Bref, Orange a envoyé un tas de papiers, mon client qui est âgé et peu patient, a tout envoyé bouler, et a fait un scandale à la mairie, la dessus, les assurances s'en sont mêlés, et mon clien t les a envoyé bouler aussi. Bref, ça n'avance pas. J'ai essayé de lui expliquer qu'il fallait faire un trou dans SA façade pour faire passer la fibre, mais je sort de ma zone de compétence (je répare les ordis sous windows moi madame !) Question : A qui appartient le fil de cuivre ? à Orange ? Au voisin ? Et si l'on décide de laisser tomber le remplacement du fil de Cuivre pour bypasser le voisin chiant, qui doit faire les travaux pour faire passer la fibre de la rue à la maison de mon client ? Je vis en Cambrousse, dans un vieux village, et des cas tordus, j'en ai quelques un, et je ne suis pas forcément le plus compétent pour répondre à ces question. Et l'aide grand public des FAI, ben c'est pas toujours ça non plus. Si vous pouvez m'éclairer, ou m'orienter dans la bonne direction, merci d'avance. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passages de câble, voisinage et propriétés privés.
Le 05/09/2023 à 11:50, Erwan David a écrit : Le 05/09/2023 à 08:52, Spyou a écrit : De toute façon, il est interdit de déposer le cuivre (ou de s'en servir comme tire file) quand on pose la fibre. Ce qui peut poser problème quand un règlement de copropriété impose de réutiliser les fourreaux existant entre colonne montante et appartement... Pas vraiment. Même si la goulotte entre l'appartement et la colonne à déjà un câble, pour respecter, tu "retire" vers la colonne montante depuis l'appartement le cable cuivre avec un guide câble, puis une fois dans la colone tu retire en même temps la fibre et le cuivre que tu recable en 10 seconde sur le DTI Cuivre. Rien de méga sorcier ! Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Distance MINIMUM pour utilisation fibre monomode et sfp 10G
Bonjour, Il n'y a pas de règle spécifique vis à vis de ça à ma connaissance. J'ai déjà fait poser des rocades Mono en bâtiment sur 30m (plutôt que multi) entre deux salles machines. Aucun soucis. Là où ça peux poser problème, c'est plus coté "optique" qui "envoi trop fort" par rapport à la capacité de l'optique en face qui fait que c'est "hors plage". Pour ça, on regardera la fiche technique avec les TX Range et RX Range (en dBm). Dans le "pire des cas", si une optique envoie "trop fort" pour cette de réception, on met un atténuateur (de 5 db ça suffira largement là). Mais cette problématique à surtout lieu lors de lien en CWDM/DWDM passif où lors d'usage d'optique "longue distance sans ré-amplification" (ER/ZR) ! Généralement, les optiques Monomode type LR ont une puissance "maximale TX" (transmission) égale à la puissance "maximale RX" (réception) donc pas de soucis... Pour l’anecdote, il existe des optiques dite LRM qui est "une sorte d'évolution de la norme SR" qui ont une capacité de fonctionner aussi bien en Multi que Mono (en 1G comme 10G, c'est une norme)... Avec une limitation de distance en mono de ~300m (c'est assez spécifique comme optique !) La problématique est donc plus lié aux connaissances assez vieille des gens mais surtout au fait que encore il y a 10 ans, 30m de rocade Multi couté bien moins cher que 30m de mono ! (sans même parler des prix des optiques). Et ça, c'est resté comme idée ! Alors que maintenant, c'est limite l'inverse sur le prix de la fibre (merci le FTTx pour la baisse des prix !) Laurent Le 26/08/2023 à 12:47, Léo El Amri via frnog a écrit : On 26/08/2023 08:36, Guillaume Roux wrote: Bonjour à tous, Existe-t-il une documentation claire sur les contrindications à l’utilisation de fibre monomode et 10G sur des courtes distances. J’ai beau rappeler à mes collègues qu’en DC il n’y a que de la mono même pour de l’inter baie ou entre équipement intra baie on continue de me parler éblouissement et atténuateur et donc maintien de la multimode. Et si je trouve moult documents sur débits max et longueur max, je trouve assez peu de chose sur la longueur minimum pour ne pas avoir besoin d’atténuateur. Merci d’avance aux experts fibres pour leur partage d’info. Guillaume Avertissement : je n'avais jamais touché à de la fibre télécom avant le mois dernier, et je n'en ai installé qu'une seule pour mon homelab, mais j'ai fait plein de recherches à cette occasion, et j'ai fait appel à de vieilles connaissances acquises lors de mes cours de physique optique. Je ne connais rien à la fibre en application télécom, mais dans la fibre de façon générale ça se calcule avec l'atténuation par unité de longueur et le nombre de raccords sur le chemin. Il se trouve que (sur le terrain, pas en laboratoire) les fibres "multimode" ont une plus forte atténuation par unité de distance que les fibres "monomode". Il doit bien exister une "règle empirique", que tu dois connaître, sur l'affaiblissement aux raccords. Pour le reste j'ai l'impression que ça dépend beaucoup de l'équipement utilisé. Au niveau des modules SPF, je n'ai pas trouvé de "logique" sur les puissances d'émission/réception. J'en ai déduit que c'est du cas par cas. Personnellement je me suis simplement assuré que la puissance à la réception n'était pas supérieure à la valeur maximale admise par mon récepteur. Les modules SPF pour lesquels j'ai lu la fiche technique supportaient tous au moins leur puissance d'émission en réception. Dans mon cas j'ai juste eu à installer un atténuateur de 3dB parce que mon SFP Juniper émettait plus fort que ce que pouvait recevoir mon SFP Mikrotik. Bref. La distance en DC étant négligeable, ce n'est qu'une question de comptabilité de matériel. Je ne vois pas trop ce que viennent faire des atténuateurs dans une infra pro, puisqu'on devrait s'attendre à voir exactement les mêmes modèles de SPF au bout des câbles dans la plupart des cas. Les cas où ce n'est pas possible (routeurs de marques différentes avec vendor-lock par exemple), je vois mal comment ça peut être autre-chose qu'une configuration sur-mesure. Il faudra sortir son cerveau. En tous cas j'aimerais aussi une réponse à cette question. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] itinérance et surprises
Hello, Sans vouloir faire plus de pub que ça pour ma paroisse (ce n'est pas mon style), une des solutions pour la data si votre mobile dispose d'une eSIM c'est https://www.ubigi.com/fr/ Les tarifs sont différents suivant dans le pays où on va, mais une chose est sûre, on ne parle généralement pas de centaines d'Euro ... (sauf pour les US avec un bundle de 200Go) A vous de voir. Cordialement, Laurent GUINCHARD -Message d'origine- De : frnog-requ...@frnog.org De la part de Richard Klein Envoyé : jeudi 3 août 2023 08:28 À : Ge DUPIN Cc : l...@netc.fr; frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] itinérance et surprises /!\External/!\ Bonjour, Y a un truc qui se nomme CGV qui va définir le périmètre de facturation et je crois que vous devez recevoir un sms (pas mms=data) qui va dans les grandes lignes définir la tarification du pays. Ensuite vous avez sur votre mobile la possibilité de couper la data en roaming. Même si je connais tous cela il y a 10ans entre la Grèce et la Turquie (hors Europe)je me suis pris 160 euros de hors forfait data. Sur place il y avait pour 30euros des cartes prépayées avec data illimité. Si la tarification est importante je vous recommande de vous prendre 1h pour relire votre contrat signé par une personne majeur et vacciné(ou pas) et de faire une étude pour voir si il n’y a pas un service de carte prépayée plus intéressant ou changer de forfait ou opérateur. Nous devons aussi garder à l’esprit que la france est le pays où les forfaits mobiles sont les moins chère… même si les opérateurs se rattrapent en ce moment et les clients n’hésitent pas à dégainer le RIO pour trouver moins chère ailleurs. Bonne journée à tous Richard Envoyé de mon iPhone > Le 3 août 2023 à 08:10, Ge DUPIN a écrit : > > Bonjour > C’est sûr que si le roaming data n’est pas désactivé ça peut faire mal > Et les appels à 3€ la minute et 2€ en réception aussi ! > Ces tarifs sont juste scandaleux ! > Bonne journée > Ge > >> Le 3 août 2023 à 06:55, l...@netc.fr a écrit : >> >> >> bonjour la liste, >> >> >> >> est il normal de ressentir une incompréhension face à l'article : >> >> >> « La simple réactivation de votre portable à la descente de l'avion >> et la soudaine délivrance des SMS et autres alertes envoyées par vos >> contacts et stockés durant votre voyage, peuvent à elles seules vous >> coûter les 50 euros hors taxes en l'espace de quelques secondes. » >> https://www.lefigaro.fr/argent/telephone-mobile-comment-eviter-et-con >> tester-les-surfacturations-quand-vous-partez-a-l-etranger-20230802 >> >> >> >> de ce que des pros des telcos me soulignaient : >> >> a/ la réception des sms n'est jamais facturée (contrairement aux mms >> et au appels, on ne peut pas choisir d'éviter leur réception) >> >> b/ que l'article ne parle pas du plus couteux : les maritime services, qui >> font des fiévreux de la facture chaque année, meme sans sortir (ou si peu) >> d'europe... >> >> https://www.quechoisir.org/actualite-telephoner-en-zone-maritime-avis >> -de-tempete-sur-les-factures-n10537/ >> https://zestedesavoir.com/billets/3267/comment-prendre-le-ferry-peut- >> vous-couter-cher/ >> >> >> >> >> >> my 2 cents >> >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Renater Sud-Ouest
Bonjour, www.renater.fr ? ;-) Laurent Le 20/07/2023 à 14:46, Michel KOENIG a écrit : Bonjour, Quelqu'un a un contact chez Renater pour client sur Biarritz ? Merci Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [ALERT] Renater (et autres ?) Down ?
Bonjour, Origine de l'incident identifiée, mesure palliative et retour du service vers 18:20. Nous poursuivons les investigations sur la root cause. Laurent Le 12/07/2023 à 19:22, jehan procaccia INT a écrit : Bonsoir, confirmation coté NOC renater / / /-- N°Ticket : 4965634 Type de ticket : INCIDENT Etat du ticket : Ouvert -- Emetteur : NOC-RENATER Elément concerné : REN Service(s) impacté(s) : -- Début Incident : CET/CEST -- Date/Heure Ouverture (du ticket) : 12/07/2023 16:43:06 CET/CEST -- Description de l'incident : Perturbation sur l'ensemble du réseau Renater / On 12/07/2023 16:30, jehan procaccia INT wrote: Bonjour, notre reseau (AS 2094) sur renater (AS 2200) et collecte (AS 2072) on un comportement erratique veres renater / Internet (ovh par exemple) qq'un a t-il connaissance de pb en cours ? apparement le NOC Renater signal un soucis, sans preciser lequel . Jehan . --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?
Le 09/07/2023 à 14:42, Stéphane _Rivière_ a écrit : on pourrait parfois sortir de sa bulle pour voir comment c'est, de l'autre coté de la _rivière_ :-) Ah, si les sujets sur cette liste pouvaient rester, en partie du moins, sur le "sujet des telcos"… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 11:23, Stephane Bortzmeyer a écrit : Mais rien à voir entre le fait de poser la question en IPv4 et de recevoir une adresse IPv4 en réponse. (Cf. mon exemple avec dig.) Tiens, un truc marrant : j'ai essayé dig +short ovh.com : apparemment je ne suis pas le seul à ne pas mettre d' :-) Et ça marche aussi avec impots.gouv.fr ou urssaf.fr… Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) adresses. Une ligne dans la conf, c'est davantage que zéro, on est d'accord. Mentionner "2^64" est juste de la réthorique. Ah mais développer un traitement c'est pas juste "ajouter des lignes dans la conf" :-\ Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses de 32 bits seulement. Euh, ça dépend complètement des processeurs/ASIC qu'on a. Sur un processeur 16 bits, traiter 16 bits n'a jamais été plus long que d'en traiter 8 :-) Tout à fait : une IPv4 se traite tout entière dans un seul registre sur un processeur 64 bits (on pourrait même en traiter deux à la fois) mais une IPv6 non. Et mes serveurs ne sont pas équipés de processeurs 128 bits. Il n'y a pas que les traitements au niveau du processeur ; mémoriser les IPv6 bloquées prend plus de place que pour des IPv4 (quelque soit le processeur). Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus chères alors que les IPv6 sont abondantes et gratuites. Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va donc nécessiter d'avantages de ressources. C'est de la pure théorie. La réalité des réseaux du vrai monde ne montre pas ça (pirates paresseux et incompétents, qui ne se donnent même pas la peine d'essayer en IPv6). La réalité que j'observe est qu'il y a déjà des attaques en IPv6. Beaucoup moins, certes, mais il y en a, y compris des salves qui utilisent différents /64. Je ne dois pas être dans le vrai monde :-( Et sinon, je suis quand même conscient que l'avenir de l'IPv4 est très compromis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 11:17, Dominique Rousseau a écrit : Le Tue, Jul 04, 2023 at 11:07:50AM +0200, Laurent Barme [5...@barme.fr] a écrit: (...) En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Non, c'est faux. Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ? Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, il va bien recevoir une IPv4, non ? Un poste qui n'a qu'une ipv4 va faire une requete sur ipv4 a son resolveur. Le resolveur, lui, peut tres bien faire la requete vers le serveur faisant autorite sur ipv6. Et il est fort probable que le poste n'ayant que de l'ipv4 va effectuer une requete "A" pour obtenir une reponse contenant une ipv4, pour l'usage courant. Mais rien ne l'empecherait de faire une requete demandant un "" pour obtenir une reponse contenant une ipv6, dont il ne saurait pas faire grande chose pour la suite :) Tout à fait d'accord ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 10:24, Stephane Bortzmeyer a écrit : … Non. Je répète : la famille de l'adresse retournée dépend de la famille demandée (A pour IPv4 et pour IPv6) et en aucun cas du protocole de transport. Ok mais pour un poste qui n'a qu'une IPv4, va-t-il demander une IPv6 ? Que pourrait-il faire d'une résolution qui lui retourne une IPv6 ? … En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Non, c'est faux. Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ? Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, il va bien recevoir une IPv4, non ? Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. Cela dépend entièrement du type de données demandé. C'est ça et je parie qu'un poste qui n'a qu'une IPv4 va demander l'A du nom de domaine et pas l'. … (d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 sources d'attaques à filtrer). Euh, quand vous voulez filtrer un /64, vous mettez 2^64 adresses dans votre configuration ? Cet argument a vraiment du mal à passer :-\ Ce n'est pas un problème de réseau mais de traitement. Je reformule : Un serveur qui traite de l'IPv6 va devoir filtrer /potentiellement/ jusqu'à 2^64 adresses (par /64). Jusque là, on est d'accord ? Un serveur qui ne traite pas d'IPv6 n'a _aucune_ IPv6 à filtrer. On est toujours d'accord ? Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) adresses. Dis autrement, il faut plus de ressource pour un traitement qui fait quelque chose que pour pas de traitement du tout :-) Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses de 32 bits seulement. Alors oui, dans les deux cas, on ne "met pas dans la configuration" 2^32 ni 2^64 adresses. Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus chères alors que les IPv6 sont abondantes et gratuites. Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va donc nécessiter d'avantages de ressources. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 02/07/2023 à 18:33, Stephane Bortzmeyer a écrit : On Wed, Jun 28, 2023 at 04:28:24PM +0200, Laurent Barme <5...@barme.fr> wrote a message of 73 lines which said: https://www.dnsleaktest.com/ Même pas d'IPv6 dans ces tests. Effectivement, bgp.tools est mieux, merci Willy. … Autre rappel : il n'y a aucun rapport entre l'adresse de transport de la requête DNS (IPv4 ou IPv6) et le type de données demandé (A ou ). L'adresse de transport de la requête DNS dépend quand même de ce que peut faire le poste : s'il n'a pas d'IPv6, la requête se fera seulement en IPv4 et l'adresse retournée sera une IPv4 (heureusement). En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. Depuis un mobile android/Free, je constate avec bgp.tools que je n'ai pas d'IPv6. Les requêtes DNS sont donc servies en IPv4 et le mobile peut accéder à un site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Depuis un mobile iOS/Orange, je constate avec bgp.tools que j'ai une IPv4 et une IPv6. Les requêtes DNS sont donc a priori servies en IPv6 et le mobile ne peut pas accéder à un site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Alors, on est d'accord, ce qui ne va pas c'est le site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Dans cette situation, la solution la plus simple pour moi est de supprimer l' pour le nom de domaine (d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 sources d'attaques à filtrer). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?
Le 02/07/2023 à 19:56, Philippe ASTIER via frnog a écrit : … Au passage, ni Apple, ni Google ne sont en mesure de fournir les coordonnées GPS d’un téléphone, ça aussi c’est vraiment de la fake news à deux balles. Témoignage : J'ai la chance de connaître le responsable de la sécurité des pistes d'un des plus grand domaine de ski mondial. Il m'a expliqué qu'il disposait, pour ses fonctions de gestion de secours en montagne, d'une application sur son mobile qui lui permet de géolocaliser un téléphone portable dont il connait le numéro simplement au moyen de l'envoi d'un SMS. L'utilité pour lui est d'optimiser les secours ou d'éviter d'engager inutilement des moyens considérables de secours en montagne par exemple pour un mari annoncé comme en perdition par son épouse alors qu'il est au bar de la station avec sa maîtresse… Je n'ai aucune raison de douter de son explication et la géolocalisation d'un mobile par triangularisation depuis les antennes avec lequel il est relié au réseau mobile me parait techniquement tout à fait plausible. Les opérateurs (et donc l'état) n'aurait même pas besoin de recourir à Apple ou Google pour connaitre la position d'un téléphone mobile. … --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] [Émeutes] Interdiction des réseaux sociaux ?
Le 02/07/2023 à 19:04, Stephane Bortzmeyer a écrit : On Sun, Jul 02, 2023 at 06:57:13PM +0200, Laurent Barme <5...@barme.fr> wrote a message of 29 lines which said: Bloquer l'accès 4G/5G à une zone géographique me semble impossible, Pourquoi ? Éteindre toutes les stations de base du quartier ne suffirait pas ? Il faudrait avoir des propagations d'ondes qui fonctionnent comme le nuage de Tchernobyl :-) Ou alors bloquer aussi toutes les stations des quartiers limitrophes. De plus, des accès Wifi en local pourraient facilement se substituer aux réseaux mobiles. Par ailleurs, un tel blocage aurait des effets de bords indésirables : "Ils ont cependant tenu à préciser : qu’il ne serait sans doute plus possible d’appeler les secours, en cas d’urgence. que la plateforme très haut débit de la police et de la gendarmerie, PC Storm, ne fonctionnerait pas." --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?
Le 02/07/2023 à 17:59, Richard Klein a écrit : Bonjour Ils vont procéder comment pour le bloquage? DNS comme d’hab? Richard Ou selon la "géolocalisation" de l'IP ; c'est ce qui se fait pour bloquer l'accès à rumble.com par exemple. Bloquer l'accès 4G/5G à une zone géographique me semble impossible, sans parler de inefficacité d'une telle mesure. Ce serait beaucoup plus simple d'exiger une identification pour tout accès à Internet pour censurer les communication "indésirables"… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 28/06/2023 à 16:49, David Ponzone a écrit : 57.37.84.182 n’est pas dans la DFZ, mais c’est dans un bloc /15 qui appartient à la SITA, absorbé dans Suez. Encore un beau /15 non routé… Et c’est Orange qui utilise cette IP pour un résolveur interne ? Sympa. Par contre on s’y perd un peu. Tu parles d’Orange, ensuite tu parles de 2 DNS configurés dans le modem qui sont des IP OVH. Erratum, c'est 54.37.84.182 et pas 57.37.84.18 ! Sinon je parle d'Orange uniquement pour mes tests sur un mobile iOS. Par ailleurs, j'ai testé dnsleaktest depuis une connexion ADSL OVH sur un poste fixe avec lequel j'ai plus de visibilité et moyen d'action sur la configuration des DNS. Sur ce poste : * 91.121.161.147 et 87.98.149.171 sont les DNS configurés automatiquement au niveau du modem et attribués par DHCP à mon poste, * 54.37.84.182 est le DNS indiqué par dnsleaktest Donc si je ne configure rien manuellement, les DNS attribués par DHCP sont bien ceux attribués par OVH mais celui qui est indiqué par dbsleaktest est une autre adresse qui appartient aussi à OVH. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 28/06/2023 à 14:11, Guy Larrieu a écrit : Bonjour, Question subsidiaire, sur un android aussi à jour que possible, le choix d'un DNS privé se fait en indiquant … un nom de domaine ! Quel est alors le DNS qui résout ce nom de domaine ? Avec un peu de chance, ce site pourrait répondre à ta question : https://www.dnsleaktest.com/ Guy. Oh, super intéressant, merci ! Alors depuis un iOS/Orange, les DNS sollicités seraient : 80.10.203.45 90.84.9.[39|41|43|46] Vous avez les mêmes ? Par contre j'apprends, d'après dnsleaktest, que 57.37.84.182 reçoit toutes mes requêtes DNS faites depuis mon poste fixe bien que les DNS configurés dans les paramètres de connexion soient 91.121.161.147 et 87.98.149.171. Je me demande bien pourquoi ce serveur (57.37.84.182) intercepterait mes requêtes DNS et comment il font pour savoir ça ? Précisions : 91.121.161.147 et 87.98.149.171 sont les DNS configurés au niveau du modem et attribués par DHCP auxquels se substitue le 57.37.84.182 pour les requêtes DNS. Par contre si on force un autre DNS, il est bien sollicité. Autre curiosité, sur un mobile iOS/Orange, alors que monip.ovh me donne une adresse IPv6 comme adresse publique de connexion à Internet, dnsleaktest m’indique une adresse IPv4, la même que celle indiquée par monip.org. Donc monip.ovh privilégierait l'IPv6 attribuée par Orange mais le DNS par défaut serait contacté en IPv4 :-/ Vous confirmez ? Sinon sur un android/Free, les DNS sollicités seraient : 213.228.60.[129|133|134|137|141|142] Vous avez les mêmes ? Et sur l'android/Free, monip.ovh me retourne la même adresse que monip.org, une IPv4. A priori pas d'adresse IPv6 sur le réseau mobile Free. On est d'accord ? Quoiqu'il en soit il y aurait donc bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui pourrait expliquer des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Bonjour, La question se pose bien sûr hors WiFi où l'on a la réponse disponible par ailleurs. Question subsidiaire, sur un android aussi à jour que possible, le choix d'un DNS privé se fait en indiquant … un nom de domaine ! Quel est alors le DNS qui résout ce nom de domaine ? Tout indice par rapport à cette question serait le bienvenu. Laurent Barme --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 27/06/2023 à 08:33, Denis Fondras a écrit : Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit : Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6, je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler les attaques en IPv6 aussi. Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras repoussé l'échéance au maximum. Tu te prendras des murs sur de la prod alors que tu aurais pu anticiper à l'époque (c'était hier en fait) où il n'y avait aucune criticité à avoir de l'IPv6 fonctionnel, tester tes règles de filtrage et tout casser sans impacter tes clients. T'inquiète, j'ai anticipé. Je comprends pas d'où tu sors l'idée que je ne m'y serai pas préparé alors même que j'ai écris le contraire ! C'est curieux comme il y a des concepts pourtant élémentaires qui ont du mal à passer sur des sujets sensibles qui relèvent d'avantage de l'idéologie que du pragmatisme… Revenons aux constats de base que j'ai énoncés dans mon premier message dans ce fil sous une forme qui a mis le feu bien malgré moi à cette discussion : * rajouter l'IPv6 est une source de problèmes supplémentaires, * il y a 2^32 fois plus IPv6/64 que d'IPv4, * on peut tracer beaucoup plus efficacement un poste en IPv6 qu'en IPv4. Après chacun est libre d'en déduire et d'en faire ce qu'il en veut. Pour ma part, comme je l'ai déjà écrit et à lire tout simplement : je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit : L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e car les pirates savent pas faire. Si, si, ils apprennent ; j'observe (et bloque) déjà des attaques en IPv6, y compris sur le mail (pour rejoindre un peu le sujet initial de ce fil). Cela dit, pour le moment, je vois nettement moins d'attaque en IPv6 qu'en IPv4. A ce propos, si on pouvait récupérer les IPv4 utilisées par les pirates, cela en ferait un paquet de disponible --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit : Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle d'un serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est derrière un reverse-proxy ? Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait pas de "reverse-proxy" (et je vois pas trop ce que cela vient faire ici). Si non comment est-ce que le client peut avoir une erreur TLS si le serveur n'est jamais atteint ? Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. L'erreur de certificat est manifestement un bug (et une fausse piste qui m'a fait perdre du temps). Voici mon hypothèse : l'OS résout le nom de domaine en IPv6, le navigateur ne parvient pas à obtenir le certificat SSL pour cette IPv6 (pas de réponse du serveur) affiche une erreur TLS au lieu d'essayer de passer par l'IPv4 à moins que l'OS refuse de fournir une IPv4 puisqu'il a trouvé une IPv6 pour le nom de domaine. depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même mobile, toujours en 4G, un autre site sur le même serveur fonctionne pourtant sans souci. Le blocage se produit sur le réseau Orange et Bouygues mais pas sur Free ni en WiFi (via une ADSL). La cause était une IPv6 aussi définie pour le nom de domaine alors que le serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… évidemment ça coince. Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé. Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est impossible d'intervenir au niveau du logiciel/OS des visiteurs d'un site. Je rappelle que ce sous-fil de discussion (désolé Louis pour la digression) part de mon témoignage à propos d'une intervention à faire impérativement sur le logiciel d'après une réponse de Bertrand. La solution aura été de simplement supprimer l'entrée de la zone DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait considérablement agrandi la surface d'attaques possibles. Et un problème humain ! Si le serveur n'accepte pas l'IPv6, l'administrateur n'aurait jamais du renseigner de dans la zone ! Tout à fait ; c'est toujours un problème humain si on remonte suffisamment la pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… :-)) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 21:04, Mathieu Poussin a écrit : "Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée…" C'est pas comme ca que ca marche. Ton ISP ou intermédiaire réseau n'a aucun contrôle la dessus, si ton OS Ah effectivement cela peut venir de l'OS ! Je ne me souviens plus avec certitude si avec le même mobile en passant par une connexion WiFi/ADSL (et donc le même OS) cela fonctionnait ou pas. détecte que tu as une stack IPv6 fonctionnelle et que ton DNS résout IPv6 (et pour http, que ton serveur répond en IPv6, si non ca fallback en IPv4 au bout de quelques secondes Bah là justement non, ça n'a pas "fallbacké". C'est bien là le problème ! ), alors c'est toujours IPv6 qui sera utilisé, même si ca résout aussi en IPv4(IPv6 est toujours prioritaire sur IPv4). Donc j'ai sans doute incriminé à tort le type de connexion au lieu de l'OS mais le résultat que je voulais illustrer est le même : le problème était lié à l'IPv6 et la solution la plus simple ne consistait pas à changer de logiciel mais à supprimer la . Je ne peux pas contrôler les logiciels qu'utilisent les visiteurs d'un site mais la DNS du site si. Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6, je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler les attaques en IPv6 aussi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 19:52, Vincent Bernat a écrit : On 2023-06-26 19:18, Laurent Barme wrote: Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai désactivé IPv6 Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que tu aurais appliquée. Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter solliciter d'avantage de ressource que de les ignorer en bloc ? Bah facile, tu bloques les /64. L'assignement des /64 se fait par utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes autant de monde sur un /64 IPv6 que sur une /32 IPv4. Sauf qu'il y a 2^64 IPv6/64 et seulement 2^32 IPv4 et je doute qu'un pirate se contente d'un seul IPv6/64 (un et pas une car il s'agit d'un subnet) : il y a plus de potentiel d'attaque en IPv6 qu'en IPv4. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 19:43, Maxime DERCHE a écrit : Bonsoir, => Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le noyau et pour tout ce qui existe au niveau 7 depuis des années, l'activer dans un vhost HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est /déjà/ là, cette surface d'attaque... Tout à fait, elle est là mais elle se gère plus économiquement : si le vhost n'est pas configuré pour l'IPv6 alors toutes les requêtes en provenance d'une IPv6 sont simplement ignorées. Sinon, il faut filtrer pour trier les requêtes légitimes de celles qui ne le sont pas et ça demande plus de ressources, entre autres par ce que 2^64 est sensiblement plus grand que 2^32 :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 18:39, Léo El Amri via frnog a écrit : On 26/06/2023 17:23, Laurent Barme wrote: Stephane (Borrtzmeyer) est prescripteur et pas acteur Si Bortzmeyer n'est pas acteur, que faut-il faire pour l'être ? Etre simplement confronté aux conséquences de la mise en œuvre de l'IPv6, en tant qu'administrateur de serveurs que l'on défend contre les pirates par exemple. Cela dit, il n'y a aucune critique sous entendue par le fait d'être prescripteur plutôt qu'acteur, il en faut dans chaque catégorie. Et je me trompe aussi sans doute sur l'attention que Stephane porte sur les difficultés de mises en œuvre de l'IPv6… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 19:09, Raphaël Jacquot a écrit : traduction: Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai désactivé IPv6 Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que tu aurais appliquée. Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter solliciter d'avantage de ressource que de les ignorer en bloc ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit : On 26/06/2023 18:32, Laurent Barme wrote: … Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si on est vraiment pas content). Par contre je ne vois pas où est le danger. Si c'est une question de taille de table de blocage, tu ne peux de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6, entre autre en raison du point suivant (les extensions de "vie privée" IPv6). 2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un peu plus quand même question taille de table de blocage. Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à l'identification plus précise de l'utilisateur dont le poste n'est pas (un peu) masqué par une IP publique partagée. Il me semble que jusqu'à très très récemment, la plupart des équipements dans une "maison" étaient tous derrière une unique IPv4 publique. Et je ne vois pas en quoi les extensions de vie privée de l'IPv6 (pour le SLAAC), qui émulent plus ou moins le même niveau de """protection""" que le type de NAT IPv4 sus-mentionné, ne répondent pas au besoin. On peut certes mieux identifier une machine sur une session donnée, mais, pour Windows en tous cas, au prochain redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse faire mieux au niveau de la couche IP. Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être désactivé, le NAT non. De plus, si entre deux redémarrage sous Windows, l'IPv6 reste constante alors, le port du NAT change à chaque nouvelle requête. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit : Bonjour la liste, C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer quand vous avez des dysfonctionnements. Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour d'expérience comme exemple : Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de domaine se prend une erreur SSL d'emblée (le serveur n'est même pas sollicité) depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même mobile, toujours en 4G, un autre site sur le même serveur fonctionne pourtant sans souci. Le blocage se produit sur le réseau Orange et Bouygues mais pas sur Free ni en WiFi (via une ADSL). La cause était une IPv6 aussi définie pour le nom de domaine alors que le serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… évidemment ça coince. La solution aura été de simplement supprimer l'entrée de la zone DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait considérablement agrandi la surface d'attaques possibles. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit : On 26/06/2023 17:23, Laurent Barme wrote: l'IPv6 est [...] un danger potentiel pour la sécurité et une menace pour la vie privée. Comment ? Pourquoi ? (On est pas vendredi, je demande vraiment) Il n'y a pas de "vendredi" pour moi (je bosse tous les jours). Si tu as des archives, tu peux retrouver la discussion suite à mon message sur le sujet le 26/04/21 08:45. Tiens, cela fait moins de 10 ans, Denis n'est pas encore complétement sorti de son hibernation :-). Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il faudrait bloquer. En ce sens, l'échange cité ci-dessus m'a permis de prendre sereinement la décision de bloquer les IPv6 par /64. Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à l'identification plus précise de l'utilisateur dont le poste n'est pas (un peu) masqué par une IP publique partagée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est qu'il est prescripteur et pas acteur… Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 est la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour la sécurité et une menace pour la vie privée. Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas du tout même :-) Le 26/06/2023 à 17:09, Frank ALEXIS a écrit : Heu oui en même temps GG ils n’ont quand même pas la même force de frappe et les ressources que nous autres pauvres artisans qui gèrent déjà le critique en live et le miraculeux dans 2h … Le pragmatisme c’est aussi comprendre que la réalité dépasse la fiction du full ipv6 « parce que c’est RFC 19765 » et que c’est comme ça qu’il faut faire dans le BisounoursWorld Si c’était facile, stable et que tout marche si bien, on aurait tous nos bobox/routeurs/grille pains en v6 mais c’est pas le cas et ce prendre la tête dans une PME pour faire plaisir à un truc imbuvable qui ne marche même pas partout et sur tous les services … what else ? My 2 cts sous 39° qui fait fondre les neurones Frank Le lun. 26 juin 2023 à 16:42, Stephane Bortzmeyer a écrit : On Mon, Jun 26, 2023 at 04:37:29PM +0200, Stéphane Rivière wrote a message of 35 lines which said: La vraie raison de la non adoption d'ipv6 n'est même pas la flemme mais le pragmatisme. Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en ai pas besoin, je m'en fous » Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps, coûter de l'argent et créer des anomalies. D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6, comme Google, sont toutes en faillite. Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans Yakafokon. J'attends la spec' https://www.bortzmeyer.org/ipv6-compatibilite.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] RIPE General Meeting: Billing scheme 2024
Merci à ceux qui ont voté pour les autres Laurent Mele -Message d'origine- De : frnog-requ...@frnog.org De la part de Clement Cavadore Envoyé : vendredi 26 mai 2023 11:03 À : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] RIPE General Meeting: Billing scheme 2024 Bonjour, Les votes ont eu lieu, et les résultats ont étés annoncés ce matin lors de la plénière de fermeture du RIPE86. - Rapport financier 2022: Adopté - Quitus donné au board - Modele financier: La réponse D, à savoir pas de changement - Pas de fee de 50€ sur les ASN - Pas de facturation pour les transferts de ressources - Amendements au contrat standard acceptés - Elus au board du RIPE: Raymond Jetten (réélu), Maria Hall (réélue) et Harald A. Summa (nouvel entrant) J'ai fait un'un rapide thread sur twitter avec des photos des slides: https://twitter.com/acontios_net/status/1662016522208829440 (+ réponses) C'est globalement conforme à ce que j'aurais voulu, même si je pense que la facturation devrait être catégorisée, dans l'esprit, je trouvais leur proposition trop injuste envers les petits/moyens, face aux extra- gros (qui auraient bénéficié d'un plafonnement à 10k€). Merci à ceux qui ont voté ! Nous étions 171 LIRs FR à voter (6e pays). Clément Cavadore On Thu, 2023-04-27 at 11:48 +0200, Clement Cavadore wrote: > Bonjour, > > Au prochain General Meeting du RIPE (qui aura lieu le 24 mai entre > 16h30 et 18h30, en marge du RIPE86), aura lieu un vote sur plusieurs > sujets à propos de la facturation des Membership/LIR par le RIPE NCC. > > En résumé, il y a en ce moment une consultation du NCC envers ses > membres, concernant le changement de mode de tarification des LIR > (avec de potentielles augmentations de tarif à la clé), lesquels ont > entrainé des débats concernant le budget annuel du RIPE NCC, et la > façon de le financer. > > TL;DR: Certains estiment que le budget est trop haut, et que le RIPE > NCC sort de ses missions premières de RIR en financant plein de > projets annexes qui ne devraient pas faire partie de son giron en > financement collectif (comme les sondes Atlas, les formations sur la > manipulation de db, les regional meeting, ou l'hébergement de K-Root), > d'autres estiment que c'est une bonne chose mais qu'il faudrait peut > être etre plus raisonnable, d'autres pensent que tout est OK comme ca > etc... > > > > > Plus précisément, il y aurait quatre axes, sur le volet billing: > > - A: En fonction des catégories de LIR (ie: 10 catégries en fonction > de la taille des allocations de ceux-ci). Plus d'infos ici > -> > https://www.ripe.net/participate/meetings/gm/meetings/may-2023/documen > tation-and-archives/option-a-category-model-ripe-ncc-charging-scheme-2 > 024.pdf > ) > > - B: Pas de changement sur la maniere de facturer les LIR, mais > augmentation de 10% de la facture > > - C: Pas de changement sur la maniere de facturer LIR, mais > augmentation de 5% de la facture > > - D: Pas de changement du tout > > Par ailleurs, il y aurait également deux votes annexes: > - Rajouter la facturation des AS (50€/an et par AS) > - Rajouter une facturation de 500€ sur tout transfert de ressources. > > Il y a, depuis deux mois, énormément de pro/con sur chaque modele sur > la mailing members-discuss: > > https://www.ripe.net/ripe/mail/archives/members-discuss/2023-March/thr > ead.html > https://www.ripe.net/ripe/mail/archives/members-discuss/2023-April/thr > ead.html > > > Voici les documents qui seront soumis au vote (il y aura 4 votes, à > savoir > - un qui sera de valider ou non le rapport d'activités 2022 > - un qui sera de valider le rapport financier 2022 > - un qui sera relatif au billing, avec 3 "sous votes" > - un qui sera de valider une reformulation d'un article du SSA > (contrat de service de LIR) > > Toutes les infos sont ici, pour ceux qui aimeraient comprendre un peu > mieux ce que je viens de vous résumer: > https://www.ripe.net/participate/meetings/gm/meetings/may-2023/documen > tation-and-archives/supporting-documents > > > En bref, l'idée n'est pas ici de vous donner mon avis là dessus (j'en > ai évidemment un, mais il n'a rien à faire ici), mais plutot de vous > inciter à voter au prochain GM (vous pouvez vous y inscrire et y > assister à distance via un stream live, et même interagir), ou à > déléguer votre vote, en fonction de ce que vous estimez être le plus > juste. > > > Bonne journée à vous ! > --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [TECH] Avis sur réflectomètres OTDR asiatiques low-cost ?
Bonjour Toussaint et la liste vu que je me suis fait cambrioler mon sac de Mc Giver (oui je suis vieux) je renouvelle mon kit de survie. J'étais l'heureux et satisfait utilisateur d'un Chinois OTDF à 257+66(port)+80(douane) €TTC J'étais donc parti pour renouveler à l'identique, mais la fièvre acheteuse m'a repris. Voici donc le même mais avec en plus un check câblage RJ45, mesure de distance et traceur sonore. J'ai le bidule qui fait ça de la même marque à part, ça fait le job. (précis < 1M) Je vais donc tout condenser en un seul boîtier taille multimètre. J'ai hésité avec celui ci : https://fr.aliexpress.com/item/1005001948125283.html Écran tactile et donc clavier azerty pour taper le nom des .sor. Mais en vrai, c'est gros et je renomme les fichiers sur le PC et Basta. Laurent-Charles FABRE Le lun. 15 mai 2023 à 09:04, Toussaint OTTAVI a écrit : > Bonjour la liste, > > Désolé, j'ai raté le dernier Vendredi :-) Je souhaite investir, ou en > l'occurrence, plutôt dévestir ;-) dans un petit réflectomètre asiatique. > > Je ne suis pas opérateur, ni même installateur / câbleur. Je n'ai nul > besoin d'un appareil haut de gamme. En tant qu'infogérant, j'interviens > en général sur des installations faites par des tiers, et il m'arrive de > devoir faire quelques bidouilles pour du dépannage ou des associations. > Quand çà ne fonctionne pas, j'ai besoin d'un truc qui permette de faire > des diagnostics rapides de type "premier secours", comme un connecteur > défectueux ou une localisation approximative de coupure (dans la baie > locale, dans la baie distante, ou au milieu). Je n'ai pas > d'installations de 70 km. Les longueurs, en fibre monomode, vont de 50 m > à 1-2 km. L'appareil devra donc avoir "un peu" de précision dans cette > gamme de distance, et un peu de cohérence dans les mesures d'atténuation > en dB. > > Je m'interroge donc sur la foultitude d'appareils Asiatiques que l'on > trouve à 150-250 € : AUA28, AUA500, AUA800, AUA900, etc Sachant que > j'ai déjà été échaudé par le marché asiatique et ses firmwares > excrémentables :-) > > Merci par avance pour vos lumières, fussent-elles hors du spectre > visible... > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange
Bonjour, Le 10/05/2023 à 17:52, Richard Klein a écrit : … était possible de lire les SMS en décodant le PDU. Est-ce encore possible ? Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher. Encore plus drôle les clefs KI des SIMs étaient disponible . Est-ce toujours le cas ? Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est indéniable mais, en pratique (dans la vrai vie) ? J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une double authentification par SMS. J'imagine sans problème qu'il doit être relativement facile d'envoyer un SMS en falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse intercepter la réception d'un SMS et en décoder le contenu pour récupérer un code et l'exploiter. Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou relations hors du commun), capable d'écouter les ondes GSM et d'en extraire les trames destinées à un numéro de portable particulier, quel est le niveau de chiffrement pour décoder le SMS (combien de temps cela prendrait) et quoiqu'il en soit, comment le faire dans la zone proche du smartphone destinataire et comment faire le lien avec une double authentification en cours ? Comment empêcher le destinataire légitime de recevoir aussi le SMS (et imaginer qu'il ne s'inquiète pas de recevoir un SMS d'authentification non sollicité) ? Et sinon, c'est quoi le contexte, concrètement, du scénario où l'on exploite un code de double authentification reçu par SMS ? Quelles sont les hypothèses préalables ? Laurent Barme --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Question config VxLan Huawei
Bonjour la liste, j'ai une question pour les experts Huawei switching. J'ai d'une part un Vlan sur un switch (A) qui collecte des circuits venant d'équipement L3 (access port) J'ai d'autre part un VxLan sur un autre switch (B) qui voit deux FW (L2 SubPort default mode) Entre les 2 switch, un trunk avec une flopée de Vlan fonctionnels Quand sur B je bind le Vlan et le VxLan, plus rien ne marche bridge-domain 97 l2 binding vlan 97 Les seules mac que j'ai dans le Bridge-Domain sont issue du cache visiblement Le ping mac et l'Arp sont HS Si je débind, hop ça repart. Je suspecte un mismath entre le Vlan qui doit passer avec son tag et le BD qui bosse autrement Mais je n'arrive pas à faire le joint Une idée ? Laurent-Charles FABRE +33 6 6201 5196 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] cables sous marins, interconnexion.. mais comment font-ils?
Le 09/05/2023 à 00:20, Kavé Salamatian a écrit : Voir https://www.lemonde.fr/blog/bugbrother/2015/01/03/de-la-surveillance-de-masse-a-la-paranoia-generalisee/ Qui fait un recueil de ce qu’on pouvait dire en 2015. Felix Tréguer en a fait un historique en 2017. https://blogs.mediapart.fr/felix-treguer/blog/161117/surveillance-petite-histoire-de-la-legalisation-du-deep-packet-inspection-0 Erreur 404 : "Cette page n’existe pas." Surveillance : petite histoire de la légalisation du Deep Packet Inspection blogs.mediapart.fr Et reflets décrits avec plus de détails en 2018 https://reflets.info/sagas/deep-packet-inspection-une-technologie-mortelle 404 - La page que vous cherchez n'existe plus Dommage… --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] RE: [FRnOG] [TECH] VRRP via FON et opérateurs sur chaque site...
Bonjour Envoyez-moi un mail à laurent.pfis...@celeste.fr que je puisse faire une étude d'éligibilité, Avec grand plaisir pour proposer une alternative aux 4500€ par mois pour 30Mo. Pour 1000 personnes tout dépend de l'usage globale > s'il n'y a que 50 user réel sur l'infra > 30Mo ça tient la route mais pas à 4500€ sauf si 20klm du PM et fibre spécifique. En zone full éligible nous proposons du FTTO de 2Mo à 10G A dispo pour échanger. Laurent -Message d'origine- De : frnog-requ...@frnog.org De la part de Quentin Leconte, SHPV via frnog Envoyé : dimanche 2 avril 2023 12:14 À : David Ponzone Cc : Gaspard Monge ; frnog-tech Objet : Re: [FRnOG] [TECH] VRRP via FON et opérateurs sur chaque site... > Jérémy, et bien non ! Rien que la FFTO actuelle nous coûte 4500€/mois chez > Orange pour 30Mbps... on interroge régulièrement l'ensemble des opérateurs, > pour le moment pas d'autres solutions. Par curiosité, ce serait possible d’avoir l’adresse en DM ? Je ne connais aucun endroit en France, d’autant plus si éligible FTTH/FTTE, où une FTTO 30Mbps est à 4500€/mois. Même chez Orange… Quentin > Le 2 avr. 2023 à 11:36, David Ponzone a écrit : > > 1/ 4500€/mois ? Ok je te le fais à 2500 :) > > 2/ c’est un FTTO ou FTTE alors ? (Rappel: FTTE passe par l’infra > optique FTTH) > > 3/ tu peux me PM l’adresse et je vérifie si y a vraiment rien à faire > > David Ponzone > > > >> Le 2 avr. 2023 à 10:36, Gaspard Monge a écrit : >> >> A vrai dire je m'attendais à ces remarques :) >> >>> Y’a pas à dire, il y a un commercial qui a bien bossé. :-) >> >> Quentin, parce que ce sont les commerciaux qui prennent des décisions >> pour toi ? Pas pour moi, j'ai la maîtrise... je suis assez grand ":)" >> >> >>> Il y a assez d'opérateurs locaux, ou nationaux, capable de faire de >>> la >> vraie FTTO sur 2 chemins séparés >> >> Jérémy, et bien non ! Rien que la FFTO actuelle nous coûte 4500€/mois >> chez Orange pour 30Mbps... on interroge régulièrement l'ensemble des >> opérateurs, pour le moment pas d'autres solutions. D'ailleurs j'ai >> mis FFTH, car c'est dans la projection du second site qui lui, devrait le >> permettre... un jour. >> Pour l'instant le SDWan dans la réalité c'est FFTO/5G. >> >> Sur les 30Mbps, on utilise (externalisation des sauvegardes incluses) >> au moyenne 15Mbps... donc 5G suffit à compenser. >> >> On a déjà fait une étude pour du RS3 mais les coûts de GC sont >> faramineux (>220k€). En 5 ans nous avons eu seulement 1 coupure qui a >> duré approximativement 2h (et lié à l'un de nos prestataires) et >> parfaitement secouru par notre autre lien donc pourquoi dépenser >> autant de GC + coût du lien/mois, pour un risque, parfaitement connu >> mais qui se prend... il y a une balance bénéfice/risque déraisonnable. >> >> >>> 1000 personnes = au moins 3M€ de masse salariale mensuelle >> >> David, qu'il y ait 1000 salariés ne veut pas dire 1000 ordinateurs... >> Et >> 1000 ordinateurs ne veut pas dire 1000 utilisateurs d'internet... >> Dans notre cas, l'usage de l'internet est surtout centralisée sur les >> ETL en direction de nos clients. L'ethernet est surtout centré sur >> l'usage de nos ERP et outils internes. >> >> >>> Meraki, c’est tellement cher, ils te le remplacent en 4h non ? >> >> Ça c'est un autre débat... Un MX67 ça coûte 450€HT + 1000€ pour >> l'accès au Dashboard pendant 3 ans. Sachant que la garantie s'étend >> aussi loin que je paye le Dashboard... Je trouve pas ça tellement cher >> personnellement... >> >> --- >> Liste de diffusion du FRnOG >> https://fra01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww. >> frnog.org%2F=05%7C01%7Claurent.pfister%40celeste.fr%7Cd8eabb8545 >> b6462736b708db33632659%7C556a39de5b524b089ab1fd5357b1f12d%7C0%7C0%7C6 >> 38160273163228032%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjo >> iV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C=ZvTJT4z >> XtDJW2b%2FRk6qtfgMY%2F9guTpThEZ83oZ%2B7zpc%3D=0 > --- Liste de diffusion du FRnOG https://fra01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=05%7C01%7Claurent.pfister%40celeste.fr%7Cd8eabb8545b6462736b708db33632659%7C556a39de5b524b089ab1fd5357b1f12d%7C0%7C0%7C638160273163228032%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C=ZvTJT4zXtDJW2b%2FRk6qtfgMY%2F9guTpThEZ83oZ%2B7zpc%3D=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] [LYON] Problème sur Maxnode et Lasotel.
Certains (dont à mon ancien travail) disait que ce genre d'incendie venant de batterie/local-énergie se reproduirait que dans 50 ou 100 ans et que "il n'était pas possible que ça ce reproduise chez nous"... Hélas, on à l'exemple que ça arrive pas que chez les autres :/ (Coté OVH, le rapport est sympathique à lire pour identifier les problèmes et solutions : https://www.igedd.developpement-durable.gouv.fr/IMG/pdf/rapport_ovh_67_vdif_cle01cf13.pdf ) Laurent Le 28/03/2023 à 11:26, Clement Cavadore a écrit : Hugues l'a tweetée d'ailleurs: https://twitter.com/huguesdelamure/status/1640643682071085057 On Tue, 2023-03-28 at 11:23 +0200, Nicolas Vuillermet wrote: Re, Ah oui la ML vire les photos; https://pix.milkywan.fr/yIlZzwsp.jpg Nicolas, Le 28/03/2023 à 11:21, Nicolas Vuillermet a écrit : Hello, ça se passe pas très bien : Crédits : Hugues Voiturier, à suivre... Nicolas Le 28/03/2023 à 11:10, agriveaux via frnog a écrit : Bonjour, On me signal des problèmes sur Maxnode et Lasotel, avez-vous des informations ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Saturation 17 Essonne
C'est la FP... c'est des appels d'offres de fourniture où tu as un contact commercial ou tech généraliste. Bien souvent, il n'y a même pas en interne une personne "avec compétence de diag ou interfacer" avec les opérateurs qui ont eu l'appel d'offre. Le 28/03/2023 à 13:13, David Ponzone a écrit : La chaine logique, c’est pas que le centre Police Secours en question s’adresse à son opérateur ? Si on parle bien du centre qui est à Evry, sa ligne est du NUMERIS chez Orange. S’ils n’ont pas un point d’entrée VIP chez Orange pour traiter ce genre de situation alors il y a effectivement un truc vraiment bien pourri dans le Royaume… Le 28 mars 2023 à 12:48, Jean-Pierre Roussanidès via frnog a écrit : Bonjour, Je viens d'avoir un appel du 17 police secours de l'Essonne qui se fait saturer ses lignes depuis 2 jours par des appels téléphoniques provenant d'un numéro opéré par Bouygues. Je cherche donc un contact Chez Bouygues qui pourra aider la police a identifier et stopper cette attaque en espérant que ce ne soit pas un numéro spoofé. Merci de votre aide JP --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Registrar Suisse
Bonsoir, Infomaniak : https://www.infomaniak.com/fr 4,50 € Je suis client satisfait. Le mercredi 08 mars 2023 ml-fr...@srv.mx a écrit ceci : > Bonjour la liste, > > Je serais à la recherche d'un fournisseur de domaines situés en Suisse > ayant des prix raisonnables, en tant que particulier. Ca serait pour > migrer des domaines en .fr, .ch et .eu. > Connaîtriez-vous de bons fournisseurs ? > > Cordialement, > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) pgpklDUguxmiY.pgp Description: Signature digitale OpenPGP
Re: [FRnOG] [MISC] Le Cloud
Le 28/02/2023 à 20:44, John Secu a écrit : Article très intéressant mais par contre aucune information sur la solution de stockage (hyper convergence?) et surtout de sauvegarde. Pour le stockage, je sais que des entreprises qui utilisent ceph ( https://docs.ceph.com/en/quincy/) qui semble être une solution prometteuse. Pour le backup dans un datacenter, je n'ai pas vraiment connaissance de solution open source efficace. Quelqu'un a une suggestion ? Bien que David Heinemeir Hanson annonce sa volonté de quitter S3 (j'imagine celui d'amzn), cela reste la meilleure solution que je connaisse pour le backup. OS3 est devenu un standard qui a gagné son indépendance vis à vis de ses concepteurs. C'est bien pensé, simple, efficace, très bien documenté et tout particulièrement bien adapté à la sauvegarde (en fait intéressant uniquement pour la sauvegarde) : un volume quasi illimité pour un coût très économique dont on ne paye que ce dont on a l'usage (contrairement à des volumes sur des serveurs). Pour mon activité et celles de mes clients, cela fait 3 ans que j'utilise celui de Scaleway et plus récement celui d'OVH - je n'ai pas de conflit d'intérêt avec ni l'un ni l'autre de ces fournisseurs - pour mettre à l'abri les sauvegardes des serveurs que je gère. Ca roule. Hervé Le mar. 28 févr. 2023, 19:02, Stéphane Rivière a écrit : https://www.cio-online.com/actualites/lire-basecamp-sort-du-cloud-et-economise-plus-de-6-5-meteuro-sur-5-ans-14771.html Merci Rod. Ça fait chaud au cœur de lire ça. Il y a encore des gens avec cerveaux dans ce métier. À l'insu de notre plein gré, on est devenu des spécialistes (si l'on peux dire) d'évacuation d'AWS (& autres clouderies) vers des infras classique et beaucoup plus économiques - classiquement /3 mini de la facture et perf des instances x3). Par ailleurs, un serveur Dell, au bout de 10 ans, il est en forme pour encore 10 ans. Après c'est une question de conso du hardware et de perf des langages utilisés. Article original (à suivre) https://world.hey.com/dhh/we-stand-to-save-7m-over-five-years-from-our-cloud-exit-53996caa -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] - Don de jarretières ST/LC - ST/SC - ST/ST
Bonjour, Le carton partira à la déchetterie ce jour si personne n'est intéressé. Bon we, Laurent Le 06/02/2023 à 11:56, Laurent CARON a écrit : Bonjour, Je donne un carton de jarretières _neuves_ avec conenctique ST d'un côté et ST/LC/SC de l'autre. Ces jarretières sont panachées en longueur (1 à 10m). Il y'a du mono et multimode. Au total: 50/60 jarretières. Dispo à Boulogne Billancourt. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Réseau de supervision Outband national
Bonjour à tous, dans le cadre d'une consultation, je recherche un partenaire capable de proposer - un réseau outband national via de la collecte opérateur (20 sites parmi les gros DC nationaux) - un peu de collecte 4G/5G sur qqs sites - un bastion de sécurité + MFA pour les accès - du réseau/sécu L2/L3/FW + une infra Cluster de VM sur 2 DC Parisien pour poser un NMS - implémenter les services d'infrastructure : DNS, RADIUS, etc. Exploiter tout ca en 24/7 Si vous avez des noms en MP, merci. ++ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] - Don de jarretières ST/LC - ST/SC - ST/ST
Bonjour, Je donne un carton de jarretières _neuves_ avec conenctique ST d'un côté et ST/LC/SC de l'autre. Ces jarretières sont panachées en longueur (1 à 10m). Il y'a du mono et multimode. Au total: 50/60 jarretières. Dispo à Boulogne Billancourt. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche partenaire SIM / Mobile / Data
Hello, je veux bien être associés aux réponses. Actuel utilisateur brimé d'un APN multi opérateur. Laurent-Charles FABRE Le lun. 16 janv. 2023 à 17:28, Bertrand FRUCHET via frnog a écrit : > Bonjour la liste, > > Je recherche un nouveau partenaire pour la fourniture d'accès Data / > Mobile à certains de nos clients. > > Le partenaire actuel a changé de nom fin 2022 et l'extranet de commande > des produits devient de plus en plus obscur. > > Les besoins sont simples : > > - 1 extranet de commande en ligne pour : > > - Cartes SIM multi format à placer dans des routeurs 4G / 5G > > - Compte SMS illimités (envoi d'alertes) > > - Compte DATA (sans voix) au volume 20, 50 100 Go avec choix opérateur si > possible > > - Compte VOIX + Data + Forfait communications > > Nous cherchons un opérateur français compétitif et fiable, hors agrume, > rouge, BTP ou filiales. > > Merci par avance, > > Bertrand > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Réseau LoRaWAN communautaire ? TheThingsNetwork ?
Hello, Pour l’anecdote, Bordeaux Métropole utilise une techno 0G (donc LoRA ou Sig) pour collecter le taux de remplissage des collecteurs sous-terrains en OM & Recyclage (à minima !) et "dispatcher les tournés" au plus juste. J'avais vu un techos installer les dispositif de sondage de charge dans les collecteurs par chez moi sur Gradignan =) Clairement, l'avantage pour eux, c'est la "non-maintenance" à faire pour changer des piles (soyons terre à terre !) vu qu'il n'y a besoin que d'une remonté par jour... Clairement, on est à 100% dans l'objectif de ces technologies 0G avec un nombre de remonté d'information "très limité" mais sur "un très grand nombre de points" Laurent Le 13/01/2023 à 15:55, Richard Klein a écrit : Bonjour , Il me semble que l'agrune et le cimentier vont probablement abandonner l'offre lorawan donc sur une couverture national cela devenir compliqué. Je possède moi même en plein centre de Bordeaux une gateway avec 1 canal qui tourne a vide pour mon utilisation privé. Lorsque je regarde mon interface thé tingsnetwork elle traffic bien donc il y a bien du monde dessus . Étant un support N2 mobile et pour en avoir discuté avec plusieurs clients ils s'interroge eu aussi . Parfois les régions ont leur propre offre et parfois il y a le cas SIGFOX qui amène a se poser des questions sur les techno 0G... En contradiction il y a Kineis/Argos a Toulouse avec son offre par satellite mais a voir lorsque tous les satellites seront en ligne. Les modules 4G sont très abordable maintenant par contre pour la 5G c'est trop chère. Sur la 4G il est rare de voir des produits qui exploitent le lte-M ou NB-IOT . Bonne journée Richard Le ven. 13 janv. 2023, 15:43, Thomas Pedoussaut a écrit : Sur Toulouse, nous avons déployé un réseau d'une douzaine de gateway sur les points hauts que nous utilisont déjà pour de WLAN, https://docs.lora.tetaneutral.net/ On 13/01/2023 15:10, Toussaint OTTAVI wrote: Bonjour, Quelques individus locaux commencent à bricoler avec du LoRa / LoRaWAN. Je vais devoir leur déployer quelques gateways, et ce qu'il faut derrière pour les faire fonctionner. L'association dont je m'occupe dispose de plusieurs points hauts déjà connectés en réseau. Je m'interrogeais donc sur l'opportunité de déployer ces gateways en mode "communautaire". Par exemple, je suis tombé sur le site TheThingsNetwork, qui semble proposer un cadre d'utilisation en mode "community". Est-ce qu'un tel réseau "communautaire" peut avoir du sens face à des poids lourds comme Orange ? Est-ce que TheThingsNetwork est réellement "ouvert" ? Est-ce que je garde bien la main sur mon serveur et sur le code qui y tourne ? Existe t-il d'autres "agrégateurs de communauté LoRAWAN" ? Je suis preneur de tous retours d'expérience... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/