Re: [FRnOG] [MISC] RouterOS Mikrotik sur VM - Qq'un à tésté?

[Arnaud Brand]

Ca marche bien modulo le MPLS sur CHR sur VMWare.
Il y a un bug lié à l'offload que fait VMWare sur les cartes Intel au 
moins qui fait que les tags ne sont pas poussés sur les paquets.


Bug confirmé par des tests, d'autres personnes et par le support 
Mikrotik.
Le thread sur le forum : 
https://forum.mikrotik.com/viewtopic.php?t=122446


Bug toujours pas corrigé aux dernières nouvelles, soit plus de deux ans 
pour un fix ... qui se limite à passer deux sysctl au boot au kernel 
pour désactiver l'offload vmware...
Solution proposée par Mikrotik passer sur Hyper-V ... la pire 
virtualisation réseau que j'ai rencontrée jusqu'ici.


Bref, IMMV.

A+
AB

Le 2019-08-13 08:54, David Ponzone a écrit :

Oui, hyper-stable comme leurs routeurs.


David Ponzone




Le 13 août 2019 à 08:46, Olivier Lange  a écrit :

Salut,

On en a une petite centaine en prod, plus ou moins chargée, dont notre 
cœur
de réseau interne. Sur du vmware et du proxmox. Zéro soucis. Prévois 
1go

minimum et 2-4 vcpu pour être tranquille.

Olivier


Le mar. 13 août 2019 à 08:36, Sébastien Lesimple <
sebastien.lesim...@iguanetel.fr> a écrit :


Bonjour tous!

En cette quinzaine d'aout ou tout est à l'arret, je me demandais si
quelques uns d'entre vous avaient déjà testé du RouterOS (ou autre
d'ailleurs), sur de la VM?
J'imagine bien que le IaaS provider ou l'orchestrateur utilisé à un
impact mais l'idée c'est de voir ce que l'on peu faire avec.

Seb.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] idiots du mail

[Arnaud Brand]

Bonsoir Nicolas,

Petite différence d'appréciation, effectivement.
"idiot" n'était pas pour moi une insulte, pas vraiment.
Les dictionnaires, sans qualifier ce terme d'insulte, me signalent que 
c'est un terme péjoratif.

Au temps pour moi.

Personnellement, je considère qu'on peut s'attendre d'un professionnel 
du réseau qu'il utilise des systèmes et outils qui respectent les normes 
(RFC) communes qui lui permettent d'exercer son activité et de gagner sa 
croute.
Ne pas le faire serait mettre en péril son activité, donc son gagne 
pain, et au final un peu idiot, non ?


Quant à MIB, comme déjà signalé par d'autres, la moindre des choses 
c'est de connaître les bases de son business.
De mon côté, je vends me journées de conseil, je ne fais pas de 
bénévolat, je peux leur lire les RFC, mais ce sera payant.


Enfin, les entêtes "Precedence" ne permettent pas à un spammeur de 
bypasser MIB, mais simplement d'éviter que MIB ne spamme les expéditeurs 
de mails qui passent par des listes de diffusion.


Personnellement, je n'ai pas tenté de rentrer en contact avec ces 
personnes, j'ai juste écrit à une liste.
Et pourtant j'ai aussi reçu des demandes de confirmation pour pouvoir 
communiquer avec eux.

Ce n'est pas normal.
S'ils ne veulent pas les mails de la liste, ils n'ont qu'à ne pas s'y 
inscrire.

Ou avec un mail dédié secret sans MIB dessus.

Bonne nuit,
Arnaud



Le 2019-07-29 16:33, Nicolas Brunet a écrit :

Bonjour Arnaud,

Le 29/07/2019 13:17, Arnaud BRAND a écrit :

Pourrais-tu être plus précis, s'il te plaît ?
Notamment quelle est l'insulte et qui est insulté ?

Même si elle est un peu crue, je trouve la réaction de Jérôme 
justifiée.


Pour moi, l'insulte est le premier mot du sujet du mail et la personne
visée est l'utilisateur MailInBlack. Si ce n'est pas cela, je vous prie
de m'excuser.


Je viens de vérifier et les mails qui viennent de la liste portent les
deux entêtes suivants (entre autres) :
Precedence: list
Precedence: bulk

La dernière fois que j'ai regardé (c'est à dire autour de 2005), 
c'était

un standard pour identifier un mail qui provenait d'une liste.
Une petite recherche plus tard : c'est bien un standard documenté dans
la RFC3834, modifié par la 5436 qui en change pas ce point (après un
survol de 2 minutes).


Il est possible que MailInBlack ne fasse pas les choses correctement
mais ma réponse ne portait pas sur eux.


La vindicte vis à vis de l'utilisateur mailinblack n'est peut-être pas
justifiée.
Peut-être qu'il n'a même pas été mis au courant du fait que la boite
dans laquelle il travaille basculait sur mailinblack ?
Peut-être qu'il pensait que mailinblack faisait le job correctement ?
Peut-être qu'on ne lui a pas laissé le choix ?
Ou peut-être aussi qu'il s'en moque


Peut-être effectivement qu'il s'en moque mais pour le moment on n'en
sait rien.

Je pense que la violence n'engendre que la violence (à tous les niveaux
de violence et que ce soit par des actes ou des paroles) et entraîne
rapidement sa surenchère. Il me semble qu'il est possible que les gens
discutent d'un problème calmement et que tout le monde s'en porterait
mieux dans ce monde... Mais c'est peut-être une idéologie un peu trop
"bisounours" ? ;)

Mais je pense que, provenant d'une société comme mailinblack qui se 
dit

spécialisée dans le traitement des mails ou du moins qui fait de ce
traitement son business, de telles "indélicatesses" et un tel mépris 
(ou

pire méconnaissance) des standards existants sont simplement
inacceptables et pourraient justifier des réactions sensiblement plus
crues que celle de Jérôme.


Comme indiqué ci-dessus, il est possible que MailInBlack ne fasse pas
les choses correctement, mais ma réponse ne portait pas sur eux.

Aussi, il est peut-être possible de leur remonter le problème avec des
explications et des sources ? Je ne sais pas si cela a déjà été fait 
par

quelqu'un. Si personne ne leur dit ce qu'ils font de pas bien, ça ne
risque pas trop de changer.

Cela est aussi possiblement un parti pris de leur part. Si n'importe 
qui

peut mettre les entêtes que vous indiquez alors il suffirait peut-être
que tous les spammeurs utilisent cette technique pour contourner
MailInBlack ?

Ce serait à voir avec eux et des spécialistes, mais ce n'était pas le
sujet de ma réaction au départ.

Cordialement,



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] idiots du mail

[Arnaud BRAND]

Bonjour Nicolas,

Pourrais-tu être plus précis, s'il te plaît ?
Notamment quelle est l'insulte et qui est insulté ?

Même si elle est un peu crue, je trouve la réaction de Jérôme justifiée.

Je viens de vérifier et les mails qui viennent de la liste portent les 
deux entêtes suivants (entre autres) :

Precedence: list
Precedence: bulk

La dernière fois que j'ai regardé (c'est à dire autour de 2005), c'était 
un standard pour identifier un mail qui provenait d'une liste.
Une petite recherche plus tard : c'est bien un standard documenté dans 
la RFC3834, modifié par la 5436 qui en change pas ce point (après un 
survol de 2 minutes).


La vindicte vis à vis de l'utilisateur mailinblack n'est peut-être pas 
justifiée.
Peut-être qu'il n'a même pas été mis au courant du fait que la boite 
dans laquelle il travaille basculait sur mailinblack ?

Peut-être qu'il pensait que mailinblack faisait le job correctement ?
Peut-être qu'on ne lui a pas laissé le choix ?
Ou peut-être aussi qu'il s'en moque

Mais je pense que, provenant d'une société comme mailinblack qui se dit 
spécialisée dans le traitement des mails ou du moins qui fait de ce 
traitement son business, de telles "indélicatesses" et un tel mépris (ou 
pire méconnaissance) des standards existants sont simplement 
inacceptables et pourraient justifier des réactions sensiblement plus 
crues que celle de Jérôme.


Ce n'est que mon avis personnel qui n'engage que moi.

Bonne journée à tous et à toutes,
Arnaud

Le 2019-07-29 12:31, Nicolas Brunet a écrit :

Bonjour,

Le 26/07/2019 17:38, Jérôme Nicolle a écrit :

Merci de désinscrire immédiatement tout utilisateur de ce genre de
saloperie telle que Mail In Black. Ils n'ont rien à foutre sur un
mailling-list, vu qu'ils n'ont même pas compris les bases du mail.


Est-il normal d'insulter publiquement sur une mailing list quelqu'un 
qui

n'a peut-être juste fait qu'une erreur ?

Cordialement,

--

Nicolas Brunet
Responsable technique

Devopsys
12 rue Gémini
Bâtiment 3
87068 Limoges Cedex
0587030302
http://www.devopsys.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switchs 10G Quanta

[Arnaud BRAND]

Quanta LB6M : 300$ sur ebay pour 24x 10G SFP+
Et apparemment galère pour le FW 1G.

Mikrotik
CRS328-4C-20S-4S+RM : 369$ prix public = 333€ prix public chez un 
grossiste EU (4 combos RJ/SFP Giga & 4x 10G SFP+)
CRS328-24P-4S+RM : 379$ prix public = 362€ prix public chez un grossiste 
EU (24 RJ Giga POE/POE+ & 4x 10G SFP+)
CRS317-1G-16S+RM : 399$ prix public = 360€ prix public chez un grossiste 
EU (1 RJ giga & 16x 10G SFP+)


Les inserts 1G marcheront dans tes ports 10G si besoin.
Et si t'en manques/t'as pas envie d'en acheter, les inserts Finisar FC 
2G ou 4G ou 8G qu'on trouve dans tous les vieux switches FC en quantité 
et dont plus personne ne sait quoi faire, ils marchent très bien en 1G 
sans rien toucher.


A vous de voir...

Bon WE !


Le 2019-06-28 16:11, Nicolas Parpandet a écrit :

Hello,

J'utilise du LB4M de mon côté,

je n'ai jamais trouvé le firmware L3, donc je fais du L2,
dès qu'on touche à la conf, (ex: réaffecter un port dans un autre
vlan), faut allumer un cierge : comportements aléatoires, réglés par
un reboot !
tant qu'on ne touche à rien ça fait le taff ;)

documentations : pourrie
firmwares : pourris
suivi/communauté : pourrie
prix: compétitif


en résumé on a le service du prix payé !, un switch manageable chinois
sans support

mais bon pas mieux en reconditionné cisco : firmware plus supportés
sans contrat de service etc

Pour les alsaciens : j'ai du matériel permettant de monter un musée si
cela intéresse quelqu'un ; AIX/HP-UX/Solaris/pc(vieux), et réseau
hp+cisco (vieux/lents)

A+

Nicolas



- Mail original -

De: "Michaël Paulon" 
À: "frnog-tech" 
Envoyé: Vendredi 28 Juin 2019 15:43:11
Objet: [FRnOG] [TECH] Switchs 10G Quanta



Bonjour la liste,

Je viens de la part des petits jeunes (bien que je sois pas beaucoup
plus vieux) de Aurore, l'association réseau des résidences étudiantes
l'ENS Paris-Saclay et de l'université Paris-Sud.

Ils vont devoir cet été remonter quasi from scratch un réseau dans 
leurs

résidences et sont à la recherche de conseils et d'infos concernant
leurs nouveaux coeurs de batiments.
Ils partaient sur des Quanta LB6M (avec peut être un firmware flashé
pour supporter des SFP 1G) parceque c'est vraiment pas cher pour plein
de SFP/SFP+ et qu'ils ont pas besoin de toutes les fonctionnalités 
kikoo.


Et voudraient savoir si:
    - des gens ont des retours d'expérience dessus
    - des gens connaitraient des fournisseurs en France/Europe de ce
matos (pour donner une idée, on a bien trouvé des trucs, mais c'est 
soit
acheter au compte goute sur ebay (ce qu'on va faire avec 1 pour le 
tester),

soit un broker aux US avec des tarifs plutot bons, mais des frais de
port et de douanes prohibitifs et peu d'infos sur les délais de 
livraison).


--
Michaël PAULON
ex-président et responsable techinque vieillissant du Cr@ns


PS : ils voudraient monter un réseau de plutot bonne qualité et qui
tiendra quelques années et leurs finances risquent d'être un peu short
(même si ils ont encore une petite marge de trezo)
du coup si des gens veulent se débarasser de matos (ouais ouais c'est 
du

matos récent que je cite en dessous, j'ai peu d'espoir que des gens
dégagent ce genre de stuff, mais hésitez quand même pas à proposer, on
est généreux en caisses de bières ou en saucissons), entre autres:
    - switchs HP (2530/2540, 24 ou 48 ports, POE ou non)
    - bornes unifi UAP ac Pro
    - serveurs hp DL360 gen8/9/10 ou équivalents
Et plus généralement, (même si vu tout ce que  j'ai pu voir passer par
ici c'est peut être superflu comme remarque) hésitez pas si vous avez
des trucs qui prennent de la place dans les
garages/stocks/entrepots/sous les bureaux des admin-sys, y'a plein
d'assos/clubs bourrés de petits jeunes motivés qui ont pas toujours
beaucoup de moyens et qui ont soif d'apprendre et qui vous seront
fortement reconnaissants !


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [HS] [FRnOG] [MISC] FTTH, OI et local commercial au RDC

[Arnaud BRAND]

Le 2019-06-21 11:19, François CASSEDANNE a écrit :

N’importe quoi.

Merci !


L’info pour se désinscrire n’est pas aussi simple que çà d’accès.
Oui, c'est vrai. Une recherche google "frnog". 4 clics (j'ai compté) et 
renseigner son adresse mail.


en général dans les outils modernes tu as un « cliquez ici » en bas de 
l’email.
Oui, mais comme on est carrément vieux, un peu réac et limite 
rétrogrades, nous, les trucs modernes tu sais


Bon WE quand même !
Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [HS] Re: Fwd: [FRnOG] [MISC] FTTH, OI et local commercial au RDC

[Arnaud BRAND]

Au moins il n'a pas fait comme la plupart des users : signaler comme 
spam...

Je ne sais pas pourquoi on devrait s'en réjouir, c'est sûr.

Mais c'est sûr que pour une recherche d'emploi dans l'IT, ça peut faire 
tâche ce genre de traces sur internet.
Perso, un gars qui préfère faire perdre leur temps à x centaines de 
personnes plutôt que de prendre 20 secondes (je viens de le faire, ça 
prend pas plus que ça) à chercher comment se désinscrire, je ne vais pas 
plussoier sa candidature, bien au contraire.


Le 2019-06-21 10:22, Ge DUPIN a écrit :

Bonjour
Si même sur FrNog on trouve des gens infoutus de se désabonner à une
newsletter ..
Ge

Le 21 juin 2019 à 10:10, Alexandre GRIVEAUX  a 
écrit :


Le 2019-06-21 09:46, François CASSEDANNE a écrit :

Bonjour,
Je voudrais me désabonner de la liste mais je ne sais pas comment 
faire.

Merci de votre aide.
francois.casseda...@yahoo.fr
François Cassedanne

Bonjour,

Pour ce désinscrire c'est marqué dans l'e-mail:

List-Unsubscribe: 

Donc un petit e-mail à sympa et ce sera bon.

Cordialement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Tunnel L2 sur liens fibre L3

[Arnaud BRAND]

Comme dit par plusieurs :
- iperf UDP pour savoir combien ton tuyau/tunnel débite
- iperf TCP pour voir si tes tailles de fenêtres windows sont limitantes 
par rapport au RTT (cf bandwidth-delay product)
- autres protos (FTP, SMB, ...) pour valider ce que le client verra (et 
qui peut mener à du tuning de taille de fenêtre dans son 
registre/netsh/gpo windows)


Comme dit par d'autres: Mikrotik avec de l'EoIP fera très bien le job.
Pour du 100M et +, je mets en général des CCR1009 par sécurité 
(plusieurs tunnels, plusieurs queues et un peu de classification), mais 
en lab j'ai monté les hEX à 700/800M de mémoire.

Attention, débit sans chiffrement, donc à réserver à du backbone privé.
Pour 50 balles pièces, je réfléchis pas trop longtemps.

Pense à passer les tests avec des paquets UDP à 1400 pour éviter la frag 
par le tunnel et à activer le clamp MSS sur le tunnel EoIP avec la bonne 
valeur pour que les connecs TCP s'adaptent bien au MTU réel.


Bonne journée,
AB


Le 2019-06-11 11:05, CHENICLET, DAVID a écrit :

Bonjour,

+1

Pour le test de débit il vaut mieux le faire avec FTP.
La vitesse du transfert varie en fonction de la version du protocole
CIFS (liée à la version de l'OS Windows).
J'ai déjà eu le cas de transfert bridés avec le partage Windows...


Cordialement,
David C

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de
David Ponzone
Envoyé : mardi 11 juin 2019 10:18
À : Fabien H
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Tunnel L2 sur liens fibre L3

Hmm y a un temps où quand un Cisco tapait le 50% de CPU, c’était pas
bon du tout et il était temps de l’upgrader.
Je ne sais pas si Cisco a changé sa manière de calculer le CPU….

Après tu as essayé de faire un test de perf avec iperf ?
Parce que j’ai rarement vu un transfert SMB utilisé comme étalon de 
performance.

D’autres sur la liste seront certainement aptes à nous dire si SMB est
capable de débits wirespeed même si le RTT augmente.


Le 11 juin 2019 à 09:54, Fabien H  a écrit :

Bonjour,

un client a un besoin pour faire un tunnel L2 d'au moins 100Mb/s entre
2 sites équipés en fibre 200M (MPLS).

Nous avons essayé de mettre en place un Xconnect l2tpv3 entre les 2
routeurs client (des CISCO 1921). Nous livrons de part et d'autre le
tunnel
L2 sur l'interface Gigabit Ethernet 0/1 du routeur client.

Ca marche bien, mais le débit plafonne à environ 60 Mb/s en transfert
de fichier Windows ( Le CPU du routeur n'est qu'à 50% ... ). Nous
avons essayé de tuner le mtu et le adjust tcp mss, les buffer de
fragmention/defrag des interfaces LAN du xconnect, mais sans succès..

Nous souhaiterions au moins atteindre 100 Mb/s en L2

Avez-vous des pistes pour arriver à ce résultat ?

- Est-ce que le xconnect MPLS plutôt que l2tpv3 serait plus efficace
au niveau bande passante ?
- Le stacked Vlan semble intéressant mais j'ai du mal à voir si c'est
pour faire du tunnel L2..
- Nos switch core (Cisco) ne gèrent pas le Vlan rewrite
- Nos routeurs de coeur sont des ASR 1002-X

Merci,
Cordialement,

Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/
This message contains information that may be privileged or
confidential and is the property of the Capgemini Group. It is
intended only for the person to whom it is addressed. If you are not
the intended recipient, you are not authorized to read, print, retain,
copy, disseminate, distribute, or use this message or any part
thereof. If you receive this message in error, please notify the
sender immediately and delete all copies of this message.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Arnaud BRAND]

Il y a des standards.
Et puis il y a des constructeurs qui font du protectionnisme et bloquent 
les matériels standard de leurs concurrents.
Les raisons évoquées sont variées : pas sûr qu'ils soient assez 
standard, pas assez bien pour discuter avec nos équipements, standard 
mais pas compatibles, on l'a pas validé, etc


Tu peux choisir d'utiliser les matériels de ces constructeurs 
protectionnistes.

Ou d'acheter d'autres matériels.

La tout de suite, je te conseille des cartes Mellanox ConnectX-4 LX, 
pour faire du 1/10/25G sur port SFP28 (rétro compatible SFP et SFP+, 
donc).

http://www.mellanox.com/page/products_dyn?product_family=219=connectx_4_lx_en_card

Si tu ne veux pas de 25G/SFP28, tu pourras économiser 10€ avec un modèle 
qui ne fait que SFP/SFP+.

https://store.mellanox.com/categories/adapters/ethernet-adapter-cards/connectx-4-lx-en.html

A+

Le 2019-06-03 13:05, Olivier Lange a écrit :

Ok. Donc à priori si je prends des dac, j'aurais pas de soucis.

Merci du retour. Ce serait bien d'avoir du standard sur ce matériel...

Olivier

Le lun. 3 juin 2019 à 13:01, Michel 'ic' Luczak  a
écrit :


io,

> On 3 Jun 2019, at 09:42, Olivier Lange  wrote:
>
> Hello,
>
> Je me permets de revenir sur cette histoire de DAC et de jarretière
> optique. J'avoue, première fois que je monte une infra en optique. L'idée
> est de pouvoir monter sur du 10G entre les serveurs et nos Mikrotik. Du
> coup, qu'y a-t-il comme DAC ou SFP+ optique qui soit conseillé et adapté
à
> la fois sur du Mikrotik (CCR 1036) et mes CM type Supermicro avec une
carte
> type Supermicro AOC-STG-i4S Network Card, 4 x 10Gbit/sec SFP+, Intel X710
> chip ?

Une carte Intel va se désactiver avec des SFP+ qui ne sont pas codées
Intel mais je n’ai pas rencontré de soucis avec les câbles DAC 
(Arista,

Cisco et noname).

Il est possible de passer outre en bricolant le driver mais autant 
coder

les optiques en Intel si c’est pour faire de l’optique.

++ ic




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Re: Solution de virtualisation : Hyper-V

[Arnaud BRAND]

Nutanix, je connais au moins 3 variantes :

- Nutanix avec hyperviseur VMWare ESXi :
Du classique VMWare en hyperconvergé, marche (très) bien, ràs.

- Nutanix avec hyperviseur AHV :
Permet de tirer parti de pas mal d'optimisations/offloads notamment avec 
les cartes Mellanox.
Seule limite connue (avec ma pratique très limitée sur cet 
environnement) : tu ne peux pas monter une interface trunk avec tous les 
vlans du vswitch dans la VM.

Pour des usages réseau, ça peut être limitatif.
A part ça, rock solid, pas plus de soucis que sur VMWare (=aucun 
crash/comportement anormal ou inattendu/souci d'update sur les 4-5 
dernières années).


- Nutanix avec hyperviseur Hyper-V :
Been there, done that, won't do it again.
C'est juste pas comparable aux deux précédents quand on parle d'infra 
d'entreprises.
Je parle de comptes avec 500 à 100 VMs, >3 To de RAM, >100To de disque 
par cluster, PRI ou PCI, etc...
On l'a toujours en prod chez de "petits" clients, mais le passage à 
l'échelle ça l'a pas fait.



Pour revenir à Nutanix, je ne sais pas si ça s'interface avec d'autres 
hyperviseurs aussi.

En tous cas, ça marche plutôt très bien.

Bon WE
AB

Le 2019-05-31 11:49, Kevin CHAILLY | Service Technique a écrit :

Sous 2012 j'avais testé FreeBSD ( pfSense en l'occurrence )

Pour le coup, il avait rapidement émis le cri du cochon sauvage et de
manière définitive.

J'ai donc rangé ça dans la case "tant pis".

Par contre Nutanix pour le coup, j'ai lu du rêve cette semaine grâce a
vous tous 

Merci!

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de
Toussaint OTTAVI
Envoyé : vendredi 31 mai 2019 11:27
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Re: Solution de virtualisation : Hyper-V


Le 30/05/2019 à 13:53, Olivier Vailleau a écrit :

Après, faut avoir de sales contraintes pour s'amuser à faire tourner
du Nunux sur de l'HyperV, mais bon, ça arrive.


Pas forcément des contraintes, simplement des choix ;-)

Si on a 80 % de VM Windows à faire tourner, Hyper-V est un choix
naturel. Et du coup, on fait tourner les 20% de VM Linux dessus
également. Cà tient la route, et l'intégration dans Debian est
correcte.
Avec FreeBSD, il faut faire gaffe aux disques dynamiques, sinon, ZFS a
vite fait d'occuper 100% de l'espace de stockage même si le disque est
vide :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Arnaud BRAND]

Hello,

Pour l'instant, chez nous en campagne/province, le mouvement est plutôt 
encore vers le cloud (ce qui ne nous réjouit pas forcément).
Sans vouloir hijacker le thread, quels sont les motifs qui vous ont 
poussé (ou ont poussé vos clients) à revenir en arrière ?


Sur la question initiale, sur infra "classique" (= comme toi, Lucas, 
baies de disques et SAN) on bosse beaucoup avec VMWare, satisfaisant 
depuis longtemps.

Après, c'est sûr, ça coûte des sous.

La volumétrie, typologie de machine, les attentes en termes 
d'automatisation, etc... seraient un réel plus pour orienter la réponse.


Quoi qu'il en soit, je suis preneur d'un retour d'expérience quand tu 
auras réinternalisé (car je devine des écueils que les cloud providers 
n'auront pas manqué de poser)


Bon WE
Arnaud


Le 2019-05-24 13:55, Romain Degez a écrit :

Bonjour Lucas,

Intéressant ce rétropédalage / sortie du cloud.
C'est une tendance qu'on constate un peu aussi du coup suis intéressé 
du

feedback si tu peux en dire un peu plus!

Pour répondre à ta questionj e dirais que ça dépend un peu du nombre
d'hyperviseurs (HV) & DC que tu veux gérer ainsi que des features que 
tu

attends de la solution.

Proxmox (que tu peux piloter avec Terraform.io derrière!) présente
l'avantage d'être assez simple, rock solid et de ne pas nécessiter un
contrôle plane séparé comme OpenStack par exemple : tu peux facilement
faire un cluster avec seulement 3 HV par exemple.
Mais tu n'auras pas vraiment les "services" un peu fancy que tu trouves
chez les cloud-provider en plus de la simple fourniture de VM.

Proxmox gère jusqu'à 32 Noeuds par cluster, supporte la live-migration 
et
un SAN iSCSI sans problème. (Ainsi que Ceph, et autres joyeuseté autour 
de

ZFS - d'ailleurs la version 0.8 d'OpenZFS vient de sortir et apporte du
lourd! https://github.com/zfsonlinux/zfs/releases )

Je dirais qu'oVirt est encore plus light que Proxmox en terme de 
feature

mais je l'ai moins utilisé donc je ne me prononce pas trop..

Tu n'as pas mentionné OpenNebula et CloudStack qui sont aussi des
alternatives que je placerai un peu entre Proxmox et OpenStack en terme 
de

features/complexité.
OpenNebula se positionne comme une alternative ou en tout cas une 
solution

relativement compatible avec un environnement VMWare existant (voir
https://opennebula.systems/opennebula/ & h
ttps://opennebula.systems/vonecloud/ 


 )
La promesse initiale de CloudStack (projet Apache) était d'offrir 
solution

de virt avec des API compatibles AWS EC2 et S3 et le projet à beaucoup
évolué depuis! (
http://docs.cloudstack.apache.org/en/4.12.0.0/releasenotes/about.html)

Pour OpenStack... c'est clairement la solution la plus riche (pas pour 
rien
qu'OVH se base dessus pour son offre public-cloud) mais aussi de loin 
la

plus complexe à intégrer et opérer donc il faut que l'envergure du
besoin/projet en vaille la peine.

++

--
Romain



On Fri, May 24, 2019 at 1:22 PM Lucas Viallon 
wrote:


Bonjour,

Bon je sais ce n'est pas trop réseau mais je pose quand même la 
question,

n’hésitez pas a faire des retours en privés pour ne pas ennuyer.

Après avoir externalisé nos serveurs dans des cloud de grand nom, nous
souhaitons maintenant les ré-internaliser. Nous avons eu de trop 
mauvaise
expérience (Attention, on ne cherche pas de nouveau prestataire ou 
cloud).


Nous avons donc un NAS haut de gamme bourré de SSD et supportant 
ISCSI,
plusieurs serveurs pour faire des nodes, des switch cisco nexus 100% 
10G

bref que du bonheur pour moi en terme d’équipement.

Aujourd'hui je dois choisir la solution software, de base j'ai ProxMox 
dans
la tête mais je voulais connaitre l'avis de ceux qui comme moi on 
rapatrié

ou on gardé en interne.

Proxmox, OVirt, OpenStack que choisir ? sachant que nous aimerions 
disposer

de la Haute Disponibilité avec si possible déplacement des VM a chaud.

merci d'avance
Lucas

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Accès Office365

[Arnaud BRAND]

Hello,

Orange propose des solutions "Galerie".
Chez des clients MPLS/BVPN, ça permet d'accéder à O365 directement à 
travers le BVPN/MPLS et c'est orange qui gère l'interco avec MS.
Après c'est peut-être pas limité aux offres BVPN, je ne connais pas les 
détails.


Bonne soirée
AB

Le 2019-05-22 17:09, Joe Yabuki a écrit :

Bonjour à tous,

Pouvez-vous s'il vous plait me dire comment vous accédez à Office365 
(chose

que MS semble compliquer de plus en plus...) :

   - Uniquement via INTERNET (préconisé par MS)
   - Via un GIX (pas sûr qu'on peut recevoir les routes Office365 en 
GIX ?)
   - Via un peering RouteExpress (il me semble qu'il faut un accord MS 
pour

   recevoir les routes O365)
   - Via une autre solution ?

Merci pour votre aide,
Joe

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] n x 10G sur 80 km de FON ...

[Arnaud BRAND]

Par contre, avec un MUX DWDM passif, pas de risque de casse (ou si 
peut-être ?).
Donc on peut "doubler" les canaux entre des équipements actifs (switchs, 
routeurs, ...) différents pour assurer une meilleure sécurité du lien.


En passant sur des muxponders on va rajouter deux éléments actifs en 
série sur le chemin.
Perso je vois ça comme un spof plus risqué que les MUX DWDM passifs 
(peut-être à tort faute d'expérience sur le sujet, et je suis preneur de 
vos corrections).


Du coup, je me pose la question suivante : ça sait faire du bidi les 
muxponders ?
L'idée étant de mettre deux muxponders de chaque côté, chacun sur un 
brin de la PFON entre les deux sites.


Je pose la question (presque) juste pour la culture :-)

Bon dredi à tous et à toutes
AB


Le 2019-04-25 12:43, Nang Bat a écrit :
Et pour répondre à la question initiale, sur un besoin comme ça tu pars 
sur
deux muxponder 20x10G <-> 200G 1U ou 2U (par ex chez packetlight ou 
adva

pour rester dans des couts raisonnables), c'est de l'ordre de la
quasi-certitude que ça fonctionnera bien et ça te laisse une marge
confortable pour la suite. Et je plussois pour l'accompagnement, même 
si tu

as 0 compétence en interne avec un revendeur/installateur compétent tu
prends pas vraiment de risque sur un projet comme celui la.

Le jeu. 25 avr. 2019 à 12:04, Mathieu HUSSON 


a écrit :


Exact, la solution est CFP2 ACO ou DCO. (100G ou 200G en monolambda).
Cela dépend de ta plateforme.
Avec amplis et tout ce qui va bien, tu peux faire même plusieurs 
milliers

deKm.

Ce n'est pas parce que fs ne sait pas faire que cela n'existe pas .
Pour l'instant seules de rares entreprises fabriquent ces produits. La
technologie est très complexe.

Mes équipes sauront t'accompagner si tu en as besoin.
Par contre, cela demande du réglage, ce n'est pas si simple.
Cela peut prendre du temps mais ça fonctionne, et les économies sont
importantes.

Cordialement,

Mathieu HUSSON
Président
www.infractive.fr

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de 
Nang

Bat
Envoyé : jeudi 25 avril 2019 10:40
À : frnog 
Objet : Re: [FRnOG] [TECH] n x 10G sur 80 km de FON ...

> Bon la question à 100 balles : est-ce qu'on va arriver à faire passer
100 G sur un seul canal DWDM et si oui, sur 80 km ?
> Le problème de toutes les optiques 100 G que j'ai vu est qu'elles
prennent plus qu'une longueur d'onde et sont donc difficiles à 
intégrer

dans un système DWDM.

Les seules optiques pluggables 100G mono-lambda longue distance ça va 
etre

des CFP2-ACO (sans DSP dans le transceiver, donc linecard
spécifique) ou des CFP2-DCO, mais effectivement y'en a pas chez fs.com 
:D

Sinon en 100g-pam4, tu peux commencer à trouver des qsfp28 qui collent
2 lambdas pour s'intégrer dans les système avec un espacement de 
100ghz

entre canaux DWDM, par contre ça dépassera pas 80km...


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche vieux matériels Alcatel

[Arnaud BRAND]

Bonjour la liste,

Je recherche pour un de mes clients :
- des cordons pour stacker des OS6850-P24 (4x)
- des cordons pour stacker des OS6850E-24X (2x)
- des cordons pour stacker des OS6900-X40 (2x)
- des OS6850E-24X (2x)
- un OS6900-X40 (1x)

Je sais que les 6850 sont EOS, c'est pour faire du spare et le client 
est ouvert au matériel refurb.

Il préfère même vu l'usage prévu (nul).

Il n'achètera pas tout, mais un mix, selon les prix et ce qu'on pourra 
lui dégoter comme matos.


Merci pour vos offres et bonne journée !
Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

[Arnaud BRAND]

Le 2019-03-08 03:17, Michel Py a écrit :

Philippe Bourcier a écrit :
Je suis assez impatient de voir une DSI qui passera en full IPv6-only 
avec son AD et tout le
reste... faut avoir envie de mettre le doigt dans des trucs mal 
documentés/testés.


Depuis Windows Vista/2008R2, le coeur de l'AD tourne en v6.
cf KB929852 : Internet Protocol version 6 (IPv6) is a mandatory part of 
Windows Vista and Windows Server 2008 and newer versions. We do not 
recommend that you disable IPv6 or its components. If you do, some 
Windows components may not function.


Depuis W2016, la "bonne vieille technique" qui consistait à "décocher" 
le protocole IPv6 sur la carte réseau ne fonctionne vraiment plus très 
bien.
Par exemple, les forêts multidomaines perdent leur synchro au bout d'un 
certain temps.


Au fur et à mesure, chercher à conserver un réseau no-IPv6 va demander 
de plus en plus de temps et d'arsouilles, faire découvrir des bugs que 
les dev(ops) n'auront pas vu car eux sont en v6, etc




:-)  C'est le dire poliment

En fait, quand il va a y avoir du content en v6-only, c'est à dire pas 
tout de suite... je pense que
le premier réflexe des DSI ce sera plutôt de coller un NAT 46 et le 
maquillage DNS qui va avec.


+1



Peut-être que d'ici là les générations auront changé et qu'ils mettront 
plutôt un NAT64 pour supporter le legacy ?


d'autant qu'il y a une double fracture (un double obstacle, si on 
veut) : routage vs NAT et IPv6 vs IPv4.


L'énorme avantage de NAT ce n'est pas tellement la vague sécurité que
çà apporte, mais l'assurance contre la renumérotation.
Les gens qui ont du se taper une renumérotation du réseau interne
parce qu'ils avaient eu la mauvaise idée de construire leur réseau
interne avec les PA de leur FAI ne le feront plus.



La preuve que le legacy peut aussi piquer quand tu fais n'importe quoi 
sans comprendre ?
Combien de réseaux clients rencontrés en 111.111.111.0/24 ou en 
1.2.3.0/24 parce que "ça rentrait sans erreur" ?



Pour faire du réseau sans NAT, il faut partir directement sur du PI;
je ne vois pas çà arriver en dessous d'une certaine taille. J'ai bien
peur que NAT ne soit pas près de disparaitre.



Ca fait partie du produit: demander l'allocation d'un bloc v6 par le 
RIPE pour le client.
Pour moi, ça fait partie d'un service de qualité, qu'on peut livrer aux 
TPE aussi, d'un accompagnement qui ne les lie pas mais les sécurise, 
leur donne accès au multi-homing, etc



Faire du v6 avec du NAT, c'est crade.



+1

AB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] différences entre un réseau MPLS et LAN 2 LAN

[Arnaud BRAND]

Salut Damien,

J'ai longtemps hésité à répondre...
Mais comme personne ne fait la vulgarisation qui semble t'être 
nécessaire



MPLS c'est généralement un abus de langage pour parler de réseaux routés 
(= niveau 3).
Souvent appelé Business VPN, VPN multisite, VPN, etc... dans les offres 
commerciales des gros opérateurs de la place.

Dans ce modèle routé, les différents VLANs de chaque site :
- ne communiquent pas directement en niveau 2 (Ethernet)
- portent un plan IP différent

LAN to LAN c'est pour parler de réseaux de niveau 2, Ethernet.
Ils existent en multipoint/multisite aussi.
Dans ce modèle niveau 2, le port de l'équipement opérateur agit comme le 
port d'un gros switch virtuel.
Donc si tu as le VLAN 3 sur deux sites, ils communiquent directement en 
Ethernet.
Généralement, tu as le même plan IP sur tous tes VLANs 3 pour qu'ils 
communiquent directement ensemble.



Après peu importe le protocole ou la techno utilisés pour transporter le 
service sur le backbone opérateur, ce n'est pas ton problème mais celui 
de ton opérateur.
D'ailleurs il ne précisera sans doute pas les protocoles qu'il 
utilisera, ne serait-ce que pour pouvoir les faire évoluer avec la 
techno.
Ton problème, par contre, c'est de blinder les garanties de débit, de 
service, de CoS/QoS, etc...



Pour les avantage/inconvénients, comme beaucoup l'ont dit, ça dépend 
réellement de ce que tu fais de ton réseau et des débits que tu comptes 
souscrire.
Pour certains, le niveau 2 sera plus efficace, voire quasi 
indispensable, pour d'autres le niveau 3 sera bien meilleur.


Globalement, vu les ennuis que tu peux te cogner sur un L2L, je 
rejoindrais Michel pour te dire de partir sur un L3.


Seul point qui me ferait pencher pour du L2, c'est si tu diffuses des 
réseaux qui doivent être isolés ( ex: SSID Wifi Guest complètement isolé 
).
J'ai déjà vu des réseaux s'écrouler au passage de L2 à L3 parce que 
suite à la migration ces réseaux devaient être "tunnelés" jusqu'au 
contrôleur Wifi central qui transformait un paquet broadcast en autant 
de paquets tunnelés qu'il y avait de points d'accès Wifi (un petit 
facteur d'amplification de 350 ça pique).



Quoi qu'il en soit, ton intégrateur devrait être à même de faire cette 
vulgarisation de base.
Une heure devant un tableau blanc avec quelques dessins te permettront 
de comprendre les avantages/inconvénients L2 vs L3.


Si ton intégrateur ne peut pas expliquer ça pour te permettre de :
- comprendre les choix qui s'offrent à toi,
- designer une architecture qui fonctionnera pour tes usages précis,
je ne peux que te conseiller d'en changer.

Après, comme dit Michel, c'est ton argent, c'est ton réseau, tu fais 
comme tu veux.
Je plussoie son avertissement sur les pousse-propale, mais je n'irai pas 
au moins cher, plutôt à un prestataire/intégrateur local, recommandé par 
des connaissances de confiance.
Au moins, en cas de soucis -que je ne te souhaite pas-, il sera "à 
portée de baffe" :-)


Bon courage !

Arnaud


Le 2019-01-28 12:29, djun...@netcourrier.com a écrit :

Bonjour,


Je cherche à comprendre les grandes lignes, avantages et inconvéniant
d'un réseau LAN 2 LAN face à un réseau de type MPLS.



Merci



Damien


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le prix de l'essence

[Arnaud BRAND]

Le 2018-12-21 08:29, David Ponzone a écrit :
L'amérique est un grand pays routier. De larges avenues, de très 
longues

autoroutes. C'est pourquoi, je me demandais par quoi, quel impôts, est
financé ce réseau ? Qui gère l'infrastructure et par quel moyen ?


Routes en mauvaises état dans mes souvenirs (Trump avait pas promis de
remettre à neuf les infrastructures ?).
Il y a peu de péages également.
Là encore, on s'est fait empapaouter par la délégation de gestion des
autoroutes au secteur privé, qui nous fait payer une fortune, augmente
ses profits et a pourtant viré quasiment tous les employés de péage.
Certes, nos autoroutes sont superbes, certainement parmi les plus
beaux du monde, peut-être les plus beaux.


Pas d'accord, les Suisses sont très bien aussi, pour la modique somme de 
35€/an (+/- les variations de change CHF/EUR).
Et pour ce prix tu as des tunnels aussi, à 2x2 voies (2 tunnels en 
fait), où tu peux vraiment rouler, pas du recyclage de tunnels 
ferroviaires de 1910 où tu roules à 60 km/h en double sens.

Et tu peux rouler toute l'année pour ce prix, pas seulement 2-3h.

L'Allemagne, pour les portions refaites récemment, c'est pas mal aussi.
Bon, c'est vrai que comme tu paies rien, t'as pas autant de bosses et de 
"hoops" que sur nos belles autoroutes qui coutent une blinde.
Ils n'ont pas non plus pris l'option  "revêtement qui fait un bruit de 
dingue".
En même temps, pour rouler à 200 ou plus, c'est *vraiment* plus 
confortable la version plate et silencieuse ;-)


Venant d'Alsace (où les autoroutes sont gratos), j'ai été choqué lors de 
mes premiers déplacements dans l'intérieur de devoir payer des péages.
Je trouve les prix exorbitants et les bénéfices annuels de ces sociétés 
(qui ont éliminé tout leur petit actionnariat) simplement inadmissibles.

Un peu comme tout le reste en fait




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] le prix de l'essence

[Arnaud BRAND]

Faudra bien marquer sur le baril, "ceci n'est pas de l'essence", hein.
Sinon les douanes vont pas laisser flotter la TIPP/TICE :-)

Le 2018-12-21 08:19, Paul Rolland (ポール・ロラン) a écrit :

Hello,

On Fri, 21 Dec 2018 03:42:14 +
Michel Py  wrote:


J'ai l'impression que vous vous faites empapaouter :-)


T'es plus fort qu'Elisabeth Tessier et sa boule de cristal ;)

Puisque tu es lance dans les calculs, ca me revient a quoi si c'est toi 
qui
me remplit un baril et me l'envoi par un transport pas trop cher 
jusqu'en

France ? Peut-etre que la solution, pour nous pauvre Francais, c'est
d'acheter notre essence chez l'oncle Sam !

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Iperf

[Arnaud BRAND]

Je sais que ce n'est pas exactement ta question, mais  
http://proof.ovh.net/ utilise un plugin nperf qui marche plutôt pas mal.

Tu peux envoyer et recevoir plusieurs centaines de Mbps sans soucis.
Après je suppose que ça dépend au moins un peu de la pêche du PC qui 
fait tourner le plugin.

Mais c'est plutôt pratique pour les incompétents.

Potentiellement, en regardant le chargement/code du plugin tu trouveras 
peut-être même un/des serveurs iperf derrière




Le 2018-12-07 08:49, David Ponzone a écrit :

Tous,

2 questions sur iperf:

-y a-t-il un GUI pour Win/Mac ?  J’ai rien trouvé sauf un vieux truc
qui dépend de Java6….

-y a-t-il un serveur ouvert sans limite en UDP ? :) Online semble
limiter l’UDP à 5Mbps maintenant, ce que je comprends bien entendu. Je
sais que je peux faire tourner le mien, mais c’est pour permettre à un
prestataire informatique incompétent de faire un test sans m’accuser
de tricher….

Merci!


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Smartphone et enfants

[Arnaud BRAND]

Le 2018-11-29 17:07, Simon Morvan a écrit :

On 29/11/2018 09:52, Thierry Chich wrote:

Non, dans les établissements et les écoles, on aimerait simplement
qu'au milieu d'une visite au musée, on se retrouve pas subitement
téléporté avec les enfants au milieu d'une boite échangiste (si je
peux oser cette métaphore).


J'aimerais bien qu'on m'explique comment reproduire localement ce bug
afin de le fixer...

Ca n'arrive jamais, ni à moi, ni à mes enfants. Selon mon expérience, 
il
faut *activement* chercher à tomber sur ce genre de contenu. Ou alors 
le

site du musée en question est peut être douteux, à la base.


Ou le navigateur vérolé, peut-être...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Smartphone et enfants

[Arnaud BRAND]

Le 2018-11-29 15:52, Thierry Chich a écrit :

Le 29/11/2018 à 12:56, Arnaud BRAND a écrit :

Le 2018-11-29 10:07, Stéphane Rivière a écrit :

Ensuite, faut laisser les gens faire. Les gens savent. Ce qui est bon
pour eux. Tout le reste n'est que censure.


+/- 1

Je suis assez d'accord, mais je vais nuancer.

Pas les enfants. D'où l'importance de les éduquer pour leur apprendre 
à éviter les contenus toxiques pour eux.
Et les contenus qui au regard de notre morale toute subjective sont 
néfastes directement ou indirectement pour les autres ou la société en 
général.


Mais de là à essayer de se placer en censeur tout puissant, c'est se 
voiler la face et ne pas traiter le problème.

Qu'est ce qui se passe quand ils sont hors du firewall ?


Censeur tout puissant ? Sur internet ? Faut déjà avoir un sacré melon
pour croire qu'on peut l'être, ou alors on travaille avec des listes
blanches.

Non, dans les établissements et les écoles, on aimerait simplement
qu'au milieu d'une visite au musée, on se retrouve pas subitement
téléporté avec les enfants au milieu d'une boite échangiste (si je
peux oser cette métaphore).



Si c'est juste ça le pb, installe umatrix (plugin gratuit) sur tes 
navigateurs.
Depuis que je l'ai, je n'ai plus jamais eu ce type de pbs et j'ai été 
très libéré des adds en plus.


Deuxième avantage, tu vois ce que ton navigateur fait et à quel point 
tous les sites actuels sont mal brélés.
Même pour la page https de ta banque (ING en l'occurence) tu laisses des 
traces sur google analytics.


Ca leur montrerait tout ce qu'il faut ouvrir et toutes les traces 
laissées partout.


Bon chez ING, ils n'ont pas compris en quoi c'était génant, mais ça 
c'est un autre débat.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Smartphone et enfants

[Arnaud BRAND]

Le 2018-11-29 10:07, Stéphane Rivière a écrit :

Ensuite, faut laisser les gens faire. Les gens savent. Ce qui est bon
pour eux. Tout le reste n'est que censure.


+/- 1

Je suis assez d'accord, mais je vais nuancer.

Pas les enfants. D'où l'importance de les éduquer pour leur apprendre à 
éviter les contenus toxiques pour eux.
Et les contenus qui au regard de notre morale toute subjective sont 
néfastes directement ou indirectement pour les autres ou la société en 
général.


Mais de là à essayer de se placer en censeur tout puissant, c'est se 
voiler la face et ne pas traiter le problème.

Qu'est ce qui se passe quand ils sont hors du firewall ?

Si je devais faire une analogie c'est comme pêcher ou apprendre à 
pêcher.

Soit tu filtres pour eux, soit tu leur apprends à filtrer.

les chinois ont décidé, eux



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Smartphone et enfants

[Arnaud BRAND]

On parle plus aux gens. On préfère règler des problèmes humains avec des 
solutions techniques. C'est moins salissant.


Le 2018-11-29 11:43, Arthur Pellissier a écrit :

La comparaison avec les aides sociales semble un peu facile... il y a
une différence entre devoir payer une chimio et avoir une conversation
avec son fils pour lui apprendre à respecter les femmes...

Le 29 nov. 2018 à 11:40, Thierry Chich  
a écrit :




Le 29/11/2018 à 10:07, Stéphane Rivière a écrit :
Ensuite, faut laisser les gens faire. Les gens savent. Ce qui est bon 
pour eux. Tout le reste n'est que censure.


Certains utilisent exactement cet argument pour prôner la suppression 
de toute aide sociale.






---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Arnaud BRAND]

C'est sans fin et ça le sera toujours.

Certains ont légitimement besoin de (pseudo-)confidentialité de de 
(pseudo-)confiance (ex: banking, whistleblowers, secret de fabrication, 
etc...)

Donc on crée des systèmes pour apporter cette confidentialité.
Évidemment, les contenus plus ou moins réprouvés par la morale des uns 
ou des autres se servent de ces systèmes pour passer outre les blocages 
arbitraires dont ils font l'objet par certains.
Sans même parler du porno, ça s'applique très bien aux régies de pub 
intrusives et aux trackers, hein.
Donc on cherche à créer, avec plus ou mois de succès, des outils qui 
permettent de quand même espionner/filtrer les systèmes créés avant.

Mais le besoin de confidentialité/confiance existe toujours...
Donc on va créer un autre système pour la récréer...

Au passage, vu que les certifs c'est pas offert (avant LE), ben c'est 
plus maintenu et ça expire.
On a éduqué les utilisateurs a rajouter automatiquement des exceptions à 
leurs browsers et autres outils parce que tout le monde veut/doit faire 
de l'https.

Bravo la sécurité !

Sur le fond de ta question de départ Thierry, quand tu es sur un parc 
contrôlé (=ton parc académique), il existe des produits commerciaux qui 
font très bien le déchiffrement/filtrage https.

Les plus "compatibles" passent par un proxy explicite.
Cela suppose ensuite le déploiement d'un certificat de CA privé trusté 
par les postes qui permettra à la  solution de générer à la volée des 
certifs pour les sites visités.
Si tu as un environnement windows/ad, c'est facilement déployable sans 
passer sur les postes, simplement en rajoutant ce certif au magasin du 
domaine et en rajoutant un enregistrement wpad au domaine local.
Sinon, je suppose qu'il y a une infra puppet/ansible/autre pour 
maintenir les paramètres des postes ?
Je pense que tu trouveras l'accompagnement nécessaire en envoyant sur 
BIZ, peut-être plus sur FRSAG que sur FRNOG d'ailleurs.



Quant au fait de savoir si internet est nécessaire à nos têtes blondes à 
l'école, personnellement je n'en suis pas convaincu.
L'ENT pourrait être accessible en réseau privé sans être obligé de 
passer par internet.
Même si c'est déjà cloudisé chez google/amazon/azure/autre, tous les 
opérateurs sont ravis de vendre de l'express route/galerie/commercial pour du peering>.


Les profs pourquoi pas, mais les collégiens/lycéens ?
Franchement, à mon époque (92-99), il n'y avait pas (beaucoup) internet 
et on y arrivait aussi.
A part pour des cours "d'internet" (bon comportement, sensibilisation à 
la conservation des données, attention aux posts sur les réseaux 
sociaux, phishing, scam, etc...) je ne vois pas l'utilité.
Et ces cours (utiles et nécessaires je pense, bien qu'inexistants je 
suppose) pourraient être isolés sur des sous-réseaux autorisés 
spécialement.


Et quid des responsabilités de FAI que ça fait porter aux 
collèges/lycées/académies ?


Enfin, pour la sécu de tests postes ce sera beaucoup plus safe s'ils 
n'ont juste pas accès à internet.
L'Education Nationale n'a pas vocation à financer des botnets de 
cryptominers, si ?


De toute façon, avec les facebook, instagram, telegram, et tous les 
nouveaux trucs que le vieux que je suis ne connait même pas, tu veux 
faire comment ?
On retombe dans la même problématique qu'avant : dès que blocage il y a 
(cf la Russie avec Telegram), les développeurs montent des techniques 
d'évasion.


La plupart des produits commerciaux ne suivent pas alors que des experts 
sont cher payés pour ne faire que ça.

Tu espères vraiment trouver des produits gratuits qui répondent à ça ?
Et avec les mobiles, tu veux faire comment ?

Concernant l'exposition des enfants aux images ou contenus choquants, je 
crois qu'il y a eu une campagne de pub sur le sujet.
Le leitmotiv était qu'on n'arrivait de toute façon pas à les protéger de 
tout, et qu'il valait mieux en parler avec eux.

Après, j'ai pas d'enfants, donc le yaka, fokon, c'est facile, c'est sûr.

Perso, comme dit, pas vraiment d'internet à l'époque, donc le porn, 
c'était plutôt des magazines semi-collés, comme certains ont pu 
l'évoquer.
Par contre, quand il y a eu le début d'internet (avec les modems 56k 
pour moi), ben on a eu vite fait de trouver les sites d'indépendantistes 
québecois et comment fabriquer divers truc "marrants".
Et l'un de nous s'est bien amoché en faisant le malin avec la même 
substance que celle qui a servi au stade de France (plus de 10 ans avant 
les attentats, n'allez pas chercher de corrélation).
Il avait mis 8g au lieu des 3g habituels pour faire son intéressant et 
une mèche trop courte.
On y sorti des bouts de plastique de son torse encore 3 mois après 
l'accident.


Donc le porn, franchement, à part si vraiment il y a des tendances 
gang-bang non consenties, ça me paraît bien insignifiant comme sujet.
Peut-être d'ailleurs plus drivé par la frustration de toute une classe 
d'âge qui face à la menace du sida n'a pas connu la même liberté que les 
générations 

Re: [FRnOG] [TECH] Faire cohabiter des catalyst et des omniswitch

[Arnaud BRAND]

Salut,

Ta conf a l'air OK.
Peut-être passer :
vlan 1 port default 2/2
Des fois qu'il ait été taggué dans une conf précédente et que tes IPs de 
test soient sur le vlan 1.
Ou au contraire le tagguer si tu as un "vlan dot1q tag native" sur ton 
Cisco.


Sinon, les habituelles questions bateau :
- ils se voient mutuellement si tu actives le LLDP ?
- pas de soucis de spanning tree ?
- tes IPs que tu essaies de pinger sont bien dans le même VLAN ? plage 
IP?

- pas d'acl spécifique sur l'un ou l'autre ?

Bonne soirée,
Arnaud


Le 2018-11-21 21:36, Jérôme Quintard a écrit :

Salut à tous,


Je dois raccorder des Catalyst 3750 sur des Omniswitch 6450 présents
depuis des lustres sur un site. J'apprivoise AOS que je trouve galère
vis à vis de IOS (probablement une question de goût) mais j'ai deux
questions :

  *   Existe t'il chez AL un équivalent de VTP (1 ou 2) compatible
avec ce dernier ? Je sens d'ici l'ajout à la main...

  *   Commet on configure un simple trunk entre deux interfaces...
j'ai l'impression que l'on d'autres choix que de les définir à la main
(l'équivalent d'un trunk allowed). J'ai fait ça sur le AL :

vlan 1 enable name "VLAN 1"

vlan 10 enable name "Management"

vlan 100 enable name "VOIX"

vlan 101 enable name "DATA"


vlan 10 802.1q 2/2 "VLAN 10"

vlan 100 802.1q 2/2 "VLAN 100"

vlan 200 802.1q 2/2 "VLAN 200"


Et une conf basique sur le Catalyst (après avoir ajouté les VLAN) :


interface gi1/0/1

switchport mode trunk

switchport encapsulation dot1q

Mais rien ne passe... impossible de pinger l'un ou l'autre... alors
que chaque interface est UP. Ou est le mal ?

Jérôme

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [JOBS] Wanted : Administrateur Système Réseaux Linux (H/F)

[Arnaud BRAND]

Bonjour,

Le 2018-10-20 15:14, Arnaud Launay a écrit :

> Le 20 oct. 2018 à 12:24, Oliver varenne  a écrit :
> Le poste te plait pas ?
> Ben ne postule pas !
> C'est vraiment CHIANT toutes vos critiques à chaque fois !


+1 . Je me demande si une modération de JOBS ne serait pas de bon
aloi. Surtout les critiques venant de personnes qui de toute
façon ne postuleront pas.


+1 sur le côté chiant des critiques inutiles.
Philippe n'avait pas dit que ce genre de mail donnerait lieu à un BAN de 
la ML ?


-1 sur la modération par contre.
Je pense qu'on est tous assez grands, raisonnables et sensés pour ne pas 
avoir besoin de ça.




Le Sat, Oct 20, 2018 at 12:34:55PM +0200, Ge DUPIN a écrit:

Oui, comme les palanquées de blagues à 2 balles sous couvert de
trolldi, comme si on avait que ça à foutre


Il y a un truc qui s'appelle "filtre", il suffit de supprimer
tout ce qui vient de MISC, hein. Ca, pour le coup, -1, vous avez
déjà tous les outils pour faire le ménage qui vous plaît. Perso,
j'apprécie une bonne tranche de rigolade le vendredi, on n'a pas
des métiers faciles tous les jours.


+1 surtout que tous ceux qui ne travaillent pas le week-end n'ont pas 
forcément envie de déployer le vendredi.
C'est donc la journée idéale pour sortir la tête du guidon et s'ouvrir à 
d'autres choses.



Arnaud.

Arnaud (sans le point) :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Répéteur GSM Multi Opérateurs

[Arnaud BRAND]

Article dans la presse la semaine dernière sur le sujet: 
https://www.linformaticien.com/dossiers/mobilite-indoor.aspx
Si les "executives" se limitent à la première partie (voire au sujet), 
ça risque de pulluler comme type de demande.


Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche contact pour achat de L2 ou de lambda entre Strasbourg et Kehl

[Arnaud BRAND]

Bonjour la liste,

Je cherche des contacts qui sauraient fournir de la L2 ou de la lambda 
entre Strasbourg et Kehl.


Le PoP à Strasbourg est le Netcenter.
Le point à joindre est à Kehl, de l'autre côté du Rhin, pas très loin du 
DC Level3/Century link.


Alternativement, si vous pouvez proposer (ou avez des contacts qui 
savent proposer) de la boucle locale entre le DC Level3 et mon extremité 
à Kehl, je suis preneur aussi (et je me débrouillerai pour faire le 
raccord entre les deux DCs).


Plus de détails en MP.

Merci pour vos retours !
Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mettez à jour vos Mikrotik (si ce n'est pas déjà fait)

[Arnaud BRAND]

Ah ben vi, c'est vrai, c'est trolldi !

Bon trolldi à tous :-)
Arnaud

Le 2018-08-10 08:50, Benjamin BILLON a écrit :

Hello,

RouterOS (depuis v6.29 jusqu'à v6.43rc3, sauf v6.42.1) contient une
faille permettant d'utiliser les routeurs comme relais de spam.

https://forum.mikrotik.com/viewtopic.php?t=133533
https://twitter.com/spamhaus/status/1026581759524302849


--
Benjamin


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fwd: Lync et classe QoS

[Arnaud BRAND]

Salut,

Pour avoir été confronté à un problème similaire sur du WiFi avec Skype 
for Business, on a trusté les clients.
Skype marque en effet différemment les paquets voix, les paquets vidéo, 
les paquets de partage d'écrans, et les paquets de transferts de 
fichiers.
Et ça matche bien avec le WMM, retranscrit à la volée par l'AP au 
passage sur le réseau filaire.


Après pour Lync, je ne sais pas si ça marche aussi bien par défaut.

Bref, de toute façon si tu ne veux pas truster tes clients, faut 
remarquer.
Les infos aux pages 25/26/27 du document word dans ce zip vont t'aider 
je pense :  
https://www.microsoft.com/en-us/download/confirmation.aspx?id=39084
Les pages suivantes expliquent aussi comment gérer/forcer des marquages 
DSCP pour les différents services Lync, si tu veux quand même truster 
:-)


Une raison particulière pour ne pas truster d'ailleurs ?

AMHA, si tu mets un shape strict et égalitaire sur ta classe voix, le 
guignol qui bidouille son PC pour "aller plus vite que les autres" aura 
finalement moins de BP que sans bidouilles et finira par revenir dans le 
rang de lui-même.
Potentiellement avec une sanction s'il tu l'as identifié et qu'il a gêné 
le travail des autres tout trafiquant le matériel de l'entreprise sans 
autorisation.


A+
Arnaud

Le 2018-06-25 17:16, Joe Yabuki a écrit :

Bonjour à tous,

Je me retrouve confronté à un dilemme,

J'ai deux versions par rapport à la classe de service qui doit être
assignée à Lync dans notre entreprise :

   - Le mettre en RT (EF), car c'est considéré comme de la VOIP, et
   maintenant que l'entreprise utilise Lync plus que le téléphone, cela
   devient primordiale.
   - Absolument pas, il faut le mettre dans une classe classique (D1) 
car
   trop risqué, cela risque d'impacter la vrai VOIP, en plus, on ne 
souhaite

   pas "truster" les PC des utilisateurs

Je suis preneur de tout avis...

Merci à tous,
Joe

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil d'analyse pour IP mix

[Arnaud BRAND]

Merci à tous pour vos réponses !

On a donc :
- AS-Stats : simple et efficace
- Stack ELK + Grafana : plus compliqué mais puissant
- Elastiflow : qui semble être une version packagée et plutôt sexy du 
précédent, mais avec des besoins en ressources importants
- Flowanalyzer : version packagée, mais semble disposer de moins de 
fonctionnalités, aucune idée des besoins.


Apparemment Elastiflow a la bonté de permettre en plus de faire des AS 
Lookups.
Quelqu'un a essayé / sait comment le lookup est fait / sait si c'est 
efficace ?


Sinon, comment faites-vous quand vos f. routeurs ne remplissent pas 
les AS dans les flows (alors qu'ils ont une full-table en mémoire...) ?


Le 2018-05-30 12:24, Arnaud BRAND a écrit :

Bonjour la liste,

Je viens puiser dans ton infinie expérience J

Je cherche des outils/méthodes pour identifier les AS qui constituent
le gros mon transit.
Ce pour ajuster au mieux mon mix et fournir le meilleur service au
meilleur prix.

Bêtement, je partais sur des flow.
Pour la partie export des flows c'est trivial.
Mais pour la collecte/agrégation/classification, ça l'est nettement 
moins.


Quels outils/méthodes utilisez-vous ?

Merci pour vos retours et belle journée !
Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Outil d'analyse pour IP mix

[Arnaud BRAND]

Bonjour la liste,

Je viens puiser dans ton infinie expérience J

Je cherche des outils/méthodes pour identifier les AS qui constituent le 
gros mon transit.
Ce pour ajuster au mieux mon mix et fournir le meilleur service au 
meilleur prix.


Bêtement, je partais sur des flow.
Pour la partie export des flows c'est trivial.
Mais pour la collecte/agrégation/classification, ça l'est nettement 
moins.


Quels outils/méthodes utilisez-vous ?

Merci pour vos retours et belle journée !
Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Contact Divop OWF

[Arnaud BRAND]

Bonsoir Messieurs,

Comme Thierry Del Monte il y a presque un an, je suis à la recherche 
d'un contact commercial à la divop Orange.


Mes tentatives par les canaux officiels sont restées sans réponse, alors 
si vous pouvez m'aider...


Merci et bonne soirée,
Arnaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH]Difficultés d'acheminement vers smtp d'Orange

[Arnaud BRAND]

Bonjour,

Je confirme.
Wanadoo a eu quelques soucis aussi une dizaine de minutes avant.
Rétablissement pour nous entre 15h40 (dernier test raté) et 15h49 
(premier test qui est repassé).


Ce qui m'étonne c'est que les envois depuis gmail et/ou free par exemple 
n'arrivent pas dans la boite Orange, mais ne reviennent pas en NDR non 
plus.
Cela laisse penser soit qu'il sont bien optimisé leurs mécanismes 
adaptatifs soit qu'il y a une mailling list où ils se signalent les 
soucis et "mettent en pause" une destination.

Si c'est une LD et que quelqu'un connaît, je suis preneur :-)

Bonne journée,
Arnaud


Le 2017-07-17 16:05, François Otho a écrit :

Bonjour,

Depuis environ 14h00 nous avons plusieurs de nos relais SMTP ont du
mal a acheminer les mails vers Orange.

exemple :
Jul 17 14:50:51 mx*** postfix-orange/smtp[4325]: 1320A42595:
to=<*@orange.fr>, relay=smtp-in.orange.fr[193.252.22.65]:25,
delay=23, delays=0.08/15/0.16/8.2, dsn=5.2.0, status=bounced (host
smtp-in.orange.fr[193.252.22.65]
said: 550 5.2.0 Mail rejete. Mail rejected. ofr_506 [506] (in reply to
end of DATA command))

Ces erreurs sont aléatoires, la plupart des emails passent 
convenablement.


Tous nos serveurs rencontrent ces difficultés. Nos postfix ne sont pas
réglés à plus de 1 mail/seconde pour chaque destinataire.

Merci de vos retours partagés.

Francois Otho
Email : f.o...@adwin.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/