Re: [FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Pour info, non ce sont des liens professionnels avec des IPs fixes ;) Ça fait approximativement 6h que nos liens sont tombés et nos 6 liens viennent tout juste de remonter en même temps. Je ne sais pas ce qu'on fait SFR sur leur infra, mais un vendredi c'est pas sympa :) Bon au moins on peut partir en week-end un peu plus soulagé :) Merci encore pour vos réponses. Laurent. Le ven. 12 avr. 2024 à 17:33, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Fri, 12 Apr 2024 17:23:39 +0200 > Laurent Laurent wrote: > > > J'ai la main sur les boîtiers des 2 côtés. > > Ca va faciliter l'analyse ;) > > > Le tcpdump entre les deux extrémités montrent qu'ils arrivent à discuter > > un peu entre eux mais rien de plus : 17:21:05.269172 x.x.x.x.500 > > > y.y.y.y.500: isakmp v1.0 exchange ID_PROT cookie: > > ef9435cceb00edc-> msgid: len: 184 payload: SA > > len: 56 [|isakmp] (ttl 250, id 56225, len 212) > > > > J'ai ce message que je vois toutes les X minutes avec la seule chose qui > > change l'id ce qui est normal. > > Bon, ce message, c'est x.x.x.x qui parle a y.y.y.y... tu as aussi des > messages retours ? > > Question (pas si) idiote : tes extremites chez SFR n'auraient pas change > d'IP vers 11H40 (genre un routeur qui se prend une MaJ, reboote et change > d'IP), et du coup, c'est plus reconnu par l'autre endpoint ? > > Paul > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Merci pour votre retour. J'ai la main sur les boîtiers des 2 côtés. Côté VPN Centraux, il y a une 40ene de tunnels et 6 chez SFR, 6 dont les tunnels sont passés down vers 11h40 le reste est OK. Le tcpdump entre les deux extrémités montrent qu'ils arrivent à discuter un peu entre eux mais rien de plus : 17:21:05.269172 x.x.x.x.500 > y.y.y.y.500: isakmp v1.0 exchange ID_PROT cookie: ef9435cceb00edc-> msgid: len: 184 payload: SA len: 56 [|isakmp] (ttl 250, id 56225, len 212) J'ai ce message que je vois toutes les X minutes avec la seule chose qui change l'id ce qui est normal. Le ven. 12 avr. 2024 à 17:00, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Fri, 12 Apr 2024 16:44:26 +0200 > Laurent Laurent wrote: > > > C'est la première fois que je poste un message sur la mailing donc désolé > > si je fais une erreur. > > Bienvenue ;) > > > Mon problème est que, depuis fin de matinée, aux alentours d'11h40 j'ai > > perdu une partie de mes tunnels VPN vers des sites distants.. > > > > Après analyse, on a remarqué que, tous les tunnels VPN IPsec perdus ont > un > > point commun qui est : lien SFR. > > > > Pour tous nos autres sites distants qui ne sont pas chez SFR je n'ai pas > > de problème, on a même essayé de coupé un tunnel il est remonté aussi > > vite, alors qu'un site distant chez SFR ça ne veut rien savoir. > > > > Suis-je le seul impacté ? > > En tout cas, tu es le premier a reporter ici. > > Est-ce que tu as la main sur au moins une des extremites de tes tunnels > (peut-etre le point de concentration ?) pour voir si tu as des logs > associes a tes tunnels venant de chez SFR ou pour voir si tu peux lancer un > tcpdump qui te dira peut-etre un peu mieux ce qui n'arrive pas ? > > Et si tu as la main sur le cote SFR, tu peux peut-etre faire un tcpdump des > deux cotes en meme temps pour essayer de mieux qualifier la nature exacte > du probleme. > > Ah, et je suppose que une seule des extremites de tes tunnels est chez > SFR... Tu aurais un moyen de tenter la conf d'un tunnel qui resterait chez > SFR ? Histoire d'essayer la encore de mieux qualifier la localisation du > probleme que tu rencontres ? > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Bonjour à tous, C'est la première fois que je poste un message sur la mailing donc désolé si je fais une erreur. Mon problème est que, depuis fin de matinée, aux alentours d'11h40 j'ai perdu une partie de mes tunnels VPN vers des sites distants.. Après analyse, on a remarqué que, tous les tunnels VPN IPsec perdus ont un point commun qui est : lien SFR. Pour tous nos autres sites distants qui ne sont pas chez SFR je n'ai pas de problème, on a même essayé de coupé un tunnel il est remonté aussi vite, alors qu'un site distant chez SFR ça ne veut rien savoir. Suis-je le seul impacté ? Nous sommes en train de faire ouvrir des tickets chez SFR mais je me demande vraiment s'ils vont bien comprendre :s En vous remerciant par avance. Cdt. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Tech] Optimisation bascule BGP arista
Je n'ai pas encore ouvert un ticket chez Arista car on est passé par un intégrateur et lui est au courant, ça va être la prochaine étape ;) Voici le sh ip bgp summary de l'arista 2 : Description Neighbor V AS MsgRcvd MsgSent InQ OutQ Up/Down State PfxRcd PfxAcc Operateur 2xx.xx.xx.xx 4 x 17670891 53466800 27d23h Estab 833592 833527 arista-1 198.18.255.1 4 x 20127835 365120500 27d23h Estab 827988 827988 On voit que le arista 2 possède presque toutes les routes via l'ibgp. Merci encore pour votre aide. Le mer. 7 avr. 2021 à 09:30, David Ponzone a écrit : > Tu peux envoyer le sh ip bgp sum de arista2, au cas où. > > Tu as ouvert un case chez Arista ? C’est peut-être un bug connu chez eux. > > Le 7 avr. 2021 à 09:25, Laurent Laurent a > écrit : > > J'ai peur aussi que ce soit le cas, mais pas forcément la partie BGP mais > plus la partie hardware. > > Description Neighbor V AS MsgRcvd > MsgSent InQ OutQ Up/Down State PfxRcd PfxAcc > Operateur1 xx.xx.xx.xxx4 X1586 > 14998200 12:30:04 Estab 827948 827948 > Arista2 198.18.255.2 4 X3080607 > 162422170027d23h Estab 5915 5915 > > Quand on regarde la table de routage, j'apprends en IPv4 environs 830 000 > routes et je n'ai que 5915 routes via l'iBGP. Si mon opérateur 1 tombe, il > faut bien 2mns40 à l'arista 1 pour avoir les 830 000 routes, je pense que > mon soucis vient de la, mais comment réussir a accélérer ça? Ça se trouve > ce n'est pas possible et la seule solution serait de ne plus avoir d'iBGP > et d'avoir un lien actif/passif :( > > > Le mer. 7 avr. 2021 à 09:16, David Ponzone a > écrit : > >> Hmmm comme ça, j’ai envie de dire que le BGP de l’Arista est en mousse, >> mais juste parce que sans trop chercher, je vois pas de raison que ça mette >> tout ce temps. >> Ca devrait être 30 sec. >> >> > Le 7 avr. 2021 à 09:12, Laurent Laurent >> a écrit : >> > >> > Bonjour Clément, merci pour ta réponse. >> > >> > La bascule que j'ai mise en place n'est pas pour la partie LAN. Les 2 >> liens >> > opérateur sont actif/actif. Si le lien opérateur 1 tombe (l'interface >> passe >> > down) sans bascule du vrrp le chemin va bien être : lan arista 1 --> >> ibgp >> > --> arista 2 --> opérateur 2, sauf que ça met 6 mns avant que le >> routage re >> > fonctionne. >> > En basculant le vrrp je gagne gagne du temps, le temps que l'ibgp de >> > l'arista 1 réapprenne toutes les routes via l'ibgp de l'arista 2 et >> c'est >> > un gain de temps énorme de presque 3 minutes. Je comprends que ça va à >> > l'encontre de l'ibgp, car nous devrions pas avoir besoin de le faire, >> mais >> > nous avons besoin que le routage fonctionne très rapidement si le lien >> > opérateur 1 passe down. >> > >> >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Tech] Optimisation bascule BGP arista
J'ai peur aussi que ce soit le cas, mais pas forcément la partie BGP mais plus la partie hardware. Description Neighbor V AS MsgRcvd MsgSent InQ OutQ Up/Down State PfxRcd PfxAcc Operateur1 xx.xx.xx.xxx4 X1586 14998200 12:30:04 Estab 827948 827948 Arista2 198.18.255.2 4 X3080607 162422170027d23h Estab 5915 5915 Quand on regarde la table de routage, j'apprends en IPv4 environs 830 000 routes et je n'ai que 5915 routes via l'iBGP. Si mon opérateur 1 tombe, il faut bien 2mns40 à l'arista 1 pour avoir les 830 000 routes, je pense que mon soucis vient de la, mais comment réussir a accélérer ça? Ça se trouve ce n'est pas possible et la seule solution serait de ne plus avoir d'iBGP et d'avoir un lien actif/passif :( Le mer. 7 avr. 2021 à 09:16, David Ponzone a écrit : > Hmmm comme ça, j’ai envie de dire que le BGP de l’Arista est en mousse, > mais juste parce que sans trop chercher, je vois pas de raison que ça mette > tout ce temps. > Ca devrait être 30 sec. > > > Le 7 avr. 2021 à 09:12, Laurent Laurent a > écrit : > > > > Bonjour Clément, merci pour ta réponse. > > > > La bascule que j'ai mise en place n'est pas pour la partie LAN. Les 2 > liens > > opérateur sont actif/actif. Si le lien opérateur 1 tombe (l'interface > passe > > down) sans bascule du vrrp le chemin va bien être : lan arista 1 --> ibgp > > --> arista 2 --> opérateur 2, sauf que ça met 6 mns avant que le routage > re > > fonctionne. > > En basculant le vrrp je gagne gagne du temps, le temps que l'ibgp de > > l'arista 1 réapprenne toutes les routes via l'ibgp de l'arista 2 et c'est > > un gain de temps énorme de presque 3 minutes. Je comprends que ça va à > > l'encontre de l'ibgp, car nous devrions pas avoir besoin de le faire, > mais > > nous avons besoin que le routage fonctionne très rapidement si le lien > > opérateur 1 passe down. > > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Tech] Optimisation bascule BGP arista
Bonjour Clément, merci pour ta réponse. La bascule que j'ai mise en place n'est pas pour la partie LAN. Les 2 liens opérateur sont actif/actif. Si le lien opérateur 1 tombe (l'interface passe down) sans bascule du vrrp le chemin va bien être : lan arista 1 --> ibgp --> arista 2 --> opérateur 2, sauf que ça met 6 mns avant que le routage re fonctionne. En basculant le vrrp je gagne gagne du temps, le temps que l'ibgp de l'arista 1 réapprenne toutes les routes via l'ibgp de l'arista 2 et c'est un gain de temps énorme de presque 3 minutes. Je comprends que ça va à l'encontre de l'ibgp, car nous devrions pas avoir besoin de le faire, mais nous avons besoin que le routage fonctionne très rapidement si le lien opérateur 1 passe down. J'espère avoir été un peu plus clair :) Le mer. 7 avr. 2021 à 09:00, Clement Cavadore a écrit : > Bonjour Laurent, > > Le mercredi 07 avril 2021 à 08:49 +0200, Laurent Laurent a écrit : > > Mon contexte : Nous avons nos propre AS v4 et v6. Nous avons un > > Operateur 1 qui arrive sur mon arista 1, et un opérateur 2 qui arrive > > sur mon arista 2. > > Entre les arista il y a un lien pour faire de l'iBGP. > > Un setup classique en somme. > > > Avant de mettre en place les arista nous avions comme routeur bgp un > > openbsd avec du bgpd, nous n'avions pas d'ibgp entre les openbsd, > > nous avions du carp pour la bascule lan. Lorsque nous basculions sur > > le lien de secours, la bascule bgp se faisait en quelques secondes. > > Sans IBGP entre les deux OBSD, on comprend le besoin de bascule BGP. > > > Maintenant que nous sommes passés sur arista, la bascule BGP est très > > longue (dans les 6mns), j'ai modifié les timers bgp en 5 15 et j'ai > > ajouté un track sur l'interface de connexion de l'opérateur 1 pour si > > le lien tombe le vrrp bascule, suite à ses 2 modifications ma bascule > > se fait en 3minutes, c'est mieux mais encore trop long. > > > > Mon besoin : Auriez-vous des pistes, d'autres timer à modifier pour > > accélérer cette bascule? J'ai l'impression que le routage commence à > > fonctionner lorsque la table de l'iBGP de l'arista 1 a récupérée > > toutes les routes (car on récupère toute la table bgp, v4 et v6 ). > > Est-ce que l'iBGP est utile dans mon cas? Dois-je le garder? > > En vrai, je ne comprends pas pourquoi tu cherches à faire une bascule > BGP en cas de bascule LAN ? Pourquoi ne pas laisser tourner les deux > liaisons BGP en même temps en actif/actif ? Ton IBGP est justement là > pour que les routes les meilleures, sur chacun des deux transits, > soient choisies par les routeurs. > > Et en cas de bascule VRRP entre Arista1 et Arista2, au pire, les flux > feront Arista2->Arista1->Operateur1, et vice versa dans le cas ou > Arista1 est master. Forcer une bascule eBGP en cas de bascule VRRP, ce > ne me semble pas être une bonne idée. > > -- > Clément Cavadore > > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [Tech] Optimisation bascule BGP arista
Bonjour à tous, Tout d'abord, merci de me lire. Ma demande : optimisation du temps de bascule BGP. Mon contexte : Nous avons nos propre AS v4 et v6. Nous avons un Operateur 1 qui arrive sur mon arista 1, et un opérateur 2 qui arrive sur mon arista 2. Entre les arista il y a un lien pour faire de l'iBGP. Avant de mettre en place les arista nous avions comme routeur bgp un openbsd avec du bgpd, nous n'avions pas d'ibgp entre les openbsd, nous avions du carp pour la bascule lan. Lorsque nous basculions sur le lien de secours, la bascule bgp se faisait en quelques secondes. Maintenant que nous sommes passés sur arista, la bascule BGP est très longue (dans les 6mns), j'ai modifié les timers bgp en 5 15 et j'ai ajouté un track sur l'interface de connexion de l'opérateur 1 pour si le lien tombe le vrrp bascule, suite à ses 2 modifications ma bascule se fait en 3minutes, c'est mieux mais encore trop long. Mon besoin : Auriez-vous des pistes, d'autres timer à modifier pour accélérer cette bascule? J'ai l'impression que le routage commence à fonctionner lorsque la table de l'iBGP de l'arista 1 a récupérée toutes les routes (car on récupère toute la table bgp, v4 et v6 ). Est-ce que l'iBGP est utile dans mon cas? Dois-je le garder? Merci beaucoup de m'avoir lu, j'espère avoir été assez clair. Cdt. Laurent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Thèse Pro: Le SDN est-il le future des réseaux ?
Bonjour, Un étudiant qui demande des renseignements (qu'ils soient pour ou contre) sur quelque chose qu'il ne connaît pas forcément et tout ce que vous trouvez à répondre et un message condescendant, irrespectueux et inutile car sans arguments. Toutes mes félicitations vous êtes aussi utile que le SDN (d'après vos propos). Cdt. Vive l'entraide. Le jeu. 16 août 2018 à 23:59, Sébastien Lesimple < sebastien.lesim...@iguanetel.fr> a écrit : > LOL! La bonne blague du vendredi. > Le SDN ou comment vendre une bouse inutile et hors de prix a des > imbéciles qui ne comprennent rien aux réseaux. > > Le 16/08/2018 à 22:14, Maxime KIEFFER a écrit : > > Bonjour la liste ! > > > > Dans le cadre de mes études je suis amené à réaliser une thèse pro sur > le thème des réseaux, et plus particulièrement sur le rôle du SDN dans le > future de ces derniers. > > Aussi, je suis à la recherche d’avis et de différents points de vues sur > la question (effet de mode ? véritable avancée ? économiquement > intéressent ? Pour qui ?..) > > > > Si le temps vous manque, je vous encourage toutefois à répondre > rapidement à ce petit questionnaire : > https://goo.gl/forms/sbTOLtkwZSgARn7b2 ! > > > > Merci d’avance à tous et bonne soirée ! > > Maxime K. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Impossible de migrer les Users/Group OpenBSD 4.6 vers OpenBSD 5.5
Bonjour à Tous, Désolé de vous embêter et merci pour ceux qui vont se motiver à lire plus loin que le bout de cette phrase :). J'ai un problème pour récupérer mes Users/Group en migrant d'un OpenBSD 4.6 vers 5.5 (Le serveur est utilisé en tant que serveur SFTP, donc beaucoup de comptes et je ne peux pas les taper à la main surtout que la probabilité que les utilisateurs ayant un compte dessus aient perdus leur mdp est grande :) ). Normalement un scp des fichiers suivant et cela fonctionne : /etc/master.passwd /etc/passwd /etc/pwd.db /etc/spwd.db Jusqu'à la version 5.4 ça fonctionne correctement, je viens d'essayer sur la version 5.5 et pas de chance, il me demande le mdp de connexion et celui rentré à l'installation ne fonctionne pas. Quelqu'un aurait-il réussi à migrer avec ses anciens Users/Groups? Et si oui, je serais ravi de lire comment vous avez fait. En vous remerciant. Bon Week-end. Laurent. PS : On est peut-être Vendredi mais c'est une vrai demande :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impossible de migrer les Users/Group OpenBSD 4.6 vers OpenBSD 5.5
Oups sorry, je ne le connaissais pas celui la :$ Je pars me caché !!! Le 2 mai 2014 15:48, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2014-05-02 at 15:45 +0200, Laurent Laurent wrote: PS : On est peut-être Vendredi mais c'est une vrai demande :) ... demande qui aurait plutôt sa place sur FRSaG que sur FRNoG, imho :-) -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impossible de migrer les Users/Group OpenBSD 4.6 vers OpenBSD 5.5
Merci pour toutes ces réponses. J'apprendrais à mieux lire la prochaine fois, en utilisant pwd_mkdb cela fonctionne correctement. C'était la 1ere fois que je migrais un OpenBSD, je le saurais pour la prochaine fois. Encore merci pour cette rapidité et de votre aide. Laurent. Le 2 mai 2014 16:05, Simon Perreault si...@per.reau.lt a écrit : Le 2014-05-02 10:03, Simon Perreault a écrit : Le 2014-05-02 09:45, Laurent Laurent a écrit : J'ai un problème pour récupérer mes Users/Group en migrant d'un OpenBSD 4.6 vers 5.5 (Le serveur est utilisé en tant que serveur SFTP, donc beaucoup de comptes et je ne peux pas les taper à la main surtout que la probabilité que les utilisateurs ayant un compte dessus aient perdus leur mdp est grande :) ). Deux observations: 1. Le processus d'upgrade supporté est de passer par chaque version intermédiaire. Pour 4.6 à 5.5, ça fait beaucoup de versions, mais faisable en une journée (c'est très répétitif, rapidement on se fait la main). Pas mal certain que ça éliminerait le problème, ou du moins ça permettrait de déterminer exactement à quelle version ça coince. 2. Si tu pouvais envoyer une ligne de /etc/master.passwd correspondant à un compte problématique, ça aiderait pour le diagnostic. Et une troisième: 3. As-tu bien suivi le guide d'upgrade pour 5.5? http://www.openbsd.org/faq/upgrade55.html En particulier cet extrait: Prepare for first reboot after time_t change. The time_t change requires rebuilding a some files, including the /etc/master.password file. Without this being done, you cannot log in after the reboot! This is done automatically by the upgrade script, but has to be done manually on first boot after upgrade by creating a /etc/rc.firsttime: echo /usr/sbin/pwd_mkdb -d /etc /etc/master.passwd /etc/rc.firsttime echo cp /dev/null /var/log/lastlog /etc/rc.firsttime echo cp /dev/null /var/log/wtmp /etc/rc.firsttime This will regenerate the password file and delete a couple files that will not work after the time_t change. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impossible de migrer les Users/Group OpenBSD 4.6 vers OpenBSD 5.5
Je ne suis pas aussi fou, l'ancien continue de fonctionner, je n'ai pas fait la bascule. Je souhaite profiter de mon Week-End :) Merci encore. Le 2 mai 2014 16:13, Gaëtan Allart gae...@nexylan.com a écrit : En voilà une super idée de migrer un OpenBSD (pour le première fois) un vendredi ! Gaëtan Le vendredi 2 mai 2014 à 16:09, Laurent Laurent a écrit : Merci pour toutes ces réponses. J'apprendrais à mieux lire la prochaine fois, en utilisant pwd_mkdb cela fonctionne correctement. C'était la 1ere fois que je migrais un OpenBSD, je le saurais pour la prochaine fois. Encore merci pour cette rapidité et de votre aide. Laurent. Le 2 mai 2014 16:05, Simon Perreault si...@per.reau.lt a écrit : Le 2014-05-02 10:03, Simon Perreault a écrit : Le 2014-05-02 09:45, Laurent Laurent a écrit : J'ai un problème pour récupérer mes Users/Group en migrant d'un OpenBSD 4.6 vers 5.5 (Le serveur est utilisé en tant que serveur SFTP, donc beaucoup de comptes et je ne peux pas les taper à la main surtout que la probabilité que les utilisateurs ayant un compte dessus aient perdus leur mdp est grande :) ). Deux observations: 1. Le processus d'upgrade supporté est de passer par chaque version intermédiaire. Pour 4.6 à 5.5, ça fait beaucoup de versions, mais faisable en une journée (c'est très répétitif, rapidement on se fait la main). Pas mal certain que ça éliminerait le problème, ou du moins ça permettrait de déterminer exactement à quelle version ça coince. 2. Si tu pouvais envoyer une ligne de /etc/master.passwd correspondant à un compte problématique, ça aiderait pour le diagnostic. Et une troisième: 3. As-tu bien suivi le guide d'upgrade pour 5.5? http://www.openbsd.org/faq/upgrade55.html En particulier cet extrait: Prepare for first reboot after time_t change. The time_t change requires rebuilding a some files, including the /etc/master.password file. Without this being done, you cannot log in after the reboot! This is done automatically by the upgrade script, but has to be done manually on first boot after upgrade by creating a /etc/rc.firsttime: echo /usr/sbin/pwd_mkdb -d /etc /etc/master.passwd /etc/rc.firsttime echo cp /dev/null /var/log/lastlog /etc/rc.firsttime echo cp /dev/null /var/log/wtmp /etc/rc.firsttime This will regenerate the password file and delete a couple files that will not work after the time_t change. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/