Re: [FRnOG] [TECH] RFC 9637: Expanding the IPv6 Documentation Space

[Jean-Baptiste Bussignies via frnog]

Bonjour,

Le mer. 28 août 2024 à 09:34, Stephane Bortzmeyer  a
écrit :

>   Cette nouvelle taille permet de documenter des réseaux réalistes, par
> exemple où deux /32 se parlent.
>
> https://www.bortzmeyer.org/9637.html


Il semblerait que vous fassiez erreur quant à la lecture de la RFC
4291 [1], il y est indiqué qu'un nouveau subnet en /20 pour la
documentation a été réservé (3fff::/20), mais que le subnet d'origine
(2001:db8::/32) reste inchangé.

La liste précise fournie par l'IANA est disponible sur leur site [2].

[1] https://www.rfc-editor.org/rfc/rfc9637.html#RFC4291
[2]
https://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml

-- 
Jean-Baptiste

Le mer. 28 août 2024 à 09:34, Stephane Bortzmeyer  a
écrit :

>   Le préfixe IPv6 normalisé pour les documentations, 2001:db8::/32 était
> trop petit pour vous ? Vous aviez du mal à exprimer des architectures
> réseau complexe, avec beaucoup de préfixes ? Ne pleurez plus, le
> préfixe vient d'être étendu, c'est désormais un /20.
>
>   Ce RFC modifie légèrement le RFC 3849, qui normalisait ce préfixe de
> documentation. Le but d'un préfixe IP de documentation est d'éviter que
> les auteur·es de ces documentations ne prennent des adresses IP qui
> existent par ailleurs, au risque que des administrateurices réseaux
> maladroit·es ne copient ces adresses IP (songez au nombre d'articles
> qui parlent d'IPv4 en utilisant des exemples comme les adresses 1.1.1.1
> ou 1.2.3.4, qui existent réellement). On doit donc utiliser les noms de
> domaine du RFC 2606, les adresses IPv4 du RFC 5737, et les numéros d'AS
> du RFC 5398. Pour IPv6, l'espace de documentation est désormais
> 2001:db8::/20.
>
>   Cette nouvelle taille permet de documenter des réseaux réalistes, par
> exemple où deux /32 se parlent.
>
> https://www.bortzmeyer.org/9637.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> --
> Vous recevez ce message, car vous êtes abonné au groupe Google
> Groupes Infra - Mailing FRNOG.
> Cette discussion peut être lue sur le Web à l'adresse
> https://groups.google.com/a/shiku.fr/d/msgid/frnog-ml/Zs7RqJNRTdjJJW1q%40sources.org
> .
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème FortiGate

[Baptiste Chappe]

Salut,
J’ai eu un soucis similaire suite à un upgrade de forti. En 7.2 tu as une
nouvelle features qui vient checker la validité des certificats distants
même quand tu es en défaut.
*Event-Sub-Type : certificate-probe-failed »*

Ça se désactive en cli via la création d’un nouveau template…
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-allow-HTTPS-port-443-traffic-when/ta-p/200844

Baptiste

Le mer. 15 mai 2024 à 15:36, Florian VANNIER 
a écrit :

> Pour répondre à Richard KLEIN, non, nous n'en avons plus ...
> Aller si, juste un "certificate inpection" ...
> [image: image.png]
>
> Le mer. 15 mai 2024 à 15:22, Nicolas VUILLERMET 
> a écrit :
>
>> On avait dit que le vendredi…
>>
>> Should I block ICMP? <http://shouldiblockicmp.com/>
>> shouldiblockicmp.com
>> <http://shouldiblockicmp.com/> <http://shouldiblockicmp.com/>
>>
>> Je dirai que l’icmp se filtre et se rate-limit.
>> Ça fait parti des sujets sensibles avec le NAT, palliatif d’une pénurie
>> d’IPv4, qui est devenu un moyen de sécurité car « l’extérieur peut pas
>> joindre l’intérieur sans règle ».
>>
>> Évidemment combo avec l’ipv6… j’ai un gros client pour les JO, on a fait
>> tout propre dualstack bah… pour des raisons de « sécurité » faut virer
>> l’ipv6, en plus de faire un double nat. Ça va, le client est sympa du coup
>> on lui propose quand même un setup aux oignons! Mais j’ai mal à ma ftto
>> quoi…
>>
>> C’est pénible, mais bon en général les experts réseaux touchent pas aux
>> pare-feux et inversement, so…
>>
>> My vendredi cents,
>> Nicolas
>>
>>
>> Le 15 mai 2024 à 15:11, Xavier Beaudouin via frnog  a
>> écrit :
>>
>> Hello,
>>
>> A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a
>>
>> enlevé ce paramètre.
>>
>>
>> On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille
>>
>> sur pas mal de sujets/problématiques mais on fait appel aux supports quand
>>
>> on en a besoin ...
>>
>>
>> Mais quelle excellente idée de changer la MTU de l’interface sans changer
>>
>> la MSS, c’est un super moyen de s’assurer d’avoir des problèmes :-)
>>
>>
>>
>> Dans le même genre j'ai eu des soucis avec des gens qui sont restés dans
>> les années
>> 2000, qui filtraient TOUT l'icmp... donc pMTUd : dtc... etc...
>>
>> Un moment il vas falloir que ça rentre : l'ICMP se rate limite, mais ne se
>> filtre pas
>>
>> Xavier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>>
>
> --
> *Florian VANNIER*
> Administrateur systèmes et réseaux
> Tel : +33 6 83 10 70 09
> E-mail : florian.vannie...@gmail.com
>

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

[Baptiste Chappe]

Salut,
Remplace le fqdn par l’ipv4 sur le client :-) c’est crade mais ca marche
(tête fortinet 7.2 et 7.4) …

Baptiste


Le jeu. 2 mai 2024 à 13:24, David Ponzone  a
écrit :

> Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire:
>
>
> https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
> <
> https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
> >
>
> Pour IOS, à une époque, on pouvait virer IPv6 en faisant un profile custom
> avec:
>
> https://support.apple.com/apple-configurator <
> https://support.apple.com/apple-configurator>
>
> David
>
> > Le 2 mai 2024 à 13:08, Philippe ASTIER 
> a écrit :
> >
> > OK, why not, on va faire ça sur le Mac, pas possible sur iOS.
> >
> > (Chez Free, pas besoin de désactiver IPv6 en tout cas.)
> >
> >
> > Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis
> le PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire
> sur aucun tunnel VPN.
> >
> >
> > Ce qui me choque, c’est que le seul fait de passer par Orange Mobile
> casse le fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a
> changé sa configuration.
> >
> >
> >
> >> Le 2 mai 2024 à 12:56, David Ponzone  a écrit
> :
> >>
> >> Désactive IPv6 sur le client pour voir.
> >>
> >> David
> >>
> >>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a
> écrit :
> >>>
> >>> Salut à tous !
> >>>
> >>> Je rencontre un souci très pénible.
> >>>
> >>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants
> et des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange
> Pro, Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec
> entre les sites distants sans aucun souci, fiables, ça monte très vite en
> IKEv2.
> >>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL,
> IPSec, clients Forti selon les cas, mais pas eu beaucoup de soucis.
> >>>
> >>> Depuis quelques mois (dur à retracer), chez un seul client, impossible
> de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le
> device ou en partage de connexion).
> >>> Avec la même configuration, la connexion en wifi/ethernet depuis
> n’importe quel autre opérateur fonctionne sans souci. J’ai essayé via Free
> et FreePro mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
> >>>
> >>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se
> passer normalement, puis j’ai quasi dans la foulée un message du type «
> recv ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne
> monte pas.
> >>>
> >>>
> >>> Comme je viens de manger du log de debug depuis des jours en
> m’arrachant la tête, je me suis dit que soumettre ça à la brillante
> sagacité de la liste pourrait me donner des pistes…
> >>> Any idea ?
> >>>
> >>>
> >>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on
> est en train de mettre une solution ZTNA basée sur Wireguard, mais si ça
> pouvait juste marcher comme chez les autres opérateurs, ça me soulagerait
> des plaintes récurrentes et justifiées du client)
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] accès "sans engagement" accès privé aux Clouds

[Baptiste Chappe]

Hello,
Quel genre de débit tu penses y passer ?
Pour du petit (- de 1G de trafic) = le bon vieux IPSEC entre toi et ton
cloud provider.
Pour du moyen (1G -> 10G) = megaport.com. Une plateforme de vente de port
de collecte. Je n'ai pas testé directement mais j'ai vu plusieurs infra de
connecté et RAS de la part des équipes techs (dév/infra).
Pour du plus gros : En route dédié/direct comme on te propose via
un fournisseur de Clouude..
Baptiste,

Le jeu. 18 janv. 2024 à 16:48, Quentin Leconte, SHPV via frnog <
frnog@frnog.org> a écrit :

> Hello,
>
> Besoin d’un lien physique ou d’un tunnel ? Quel type ?
>
> On a moyen de faire ça sur notre plate-forme de cloud public :)
>
> Quentin
>
> > Le 18 janv. 2024 à 15:18, sbu sbu  a écrit :
> >
> > Bonjour,
> >
> >
> >
> > Savez-vous si un opérateur sait faire des liens privés vers les Clouds de
> > manière « flexible »
> >
> >
> >
> > Je suis newbee sur le sujet,
> >
> > En résumé avec un contrat je voudrais pouvoir gérer des circuits privés
> > depuis mon réseau client vers les clouds publics, avec une durée
> > d’engagement réduite voir nul pour chaque circuit.
> >
> > Car les opérateurs que j’ai vus me force un engagement d’au moins un an
> sur
> > chaque circuit logique qui parfois ne servent que 2 mois, ou ne servent
> > plus du jour au lendemain.
> >
> > Savez vous si un opérateur fait ce genre d’offre ou s’en approche, car de
> > ce que j’ai compris, c’est plutôt un problème financier (et pas de
> > rentabilité) plutôt que technique, Ils aiment bien savoir d’avance
> combien
> > de sous ils vont avoir à 12-24--- mois. Ce qui s’entends.
> >
> > Mais, c’est en opposition avec les usages vu d’un cloudiste.
> >
> > Ça me semble bizarre que ce genre de service soit aussi peu flexible.
> Mais
> > je n’ai peut-être pas toutes les billes.
> >
> >
> >
> >
> >
> > NB : je ne peux pas utiliser ipsec pour interconnecter les VPC avec mon
> > réseau client.
> >
> >
> >
> > Cdt
> >
> > SBU
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?

[Baptiste Chappe]

Hello,
Même soucis d’accès depuis un FAI Alternatif depuis décembre.
C’est du cloudfront qui semble poser le problème.

Baptiste

Le ven. 5 janv. 2024 à 10:52, David Ponzone  a
écrit :

> > Le 5 janv. 2024 à 10:40, Julien Escario  a
> écrit :
> >
> > Houlà, un tas ! Après, j'ai testé avec un chrome (pour éliminer un
> plugin ou user agent qui ne lui plairait pas), depuis un autre poste et
> depuis un serveur extérieur avec wget. Même constat.
> >
> > Bon après, qu'ils me jettent avec le user-agent de wget, je peux
> comprendre.
>
> Moi ça marche avec wget.
>
> > FDN étant mon FAI, je pense que la raison la plus logique serait que
> Enedis s'est dit que ce serait malin de mettre une liste de refus en mode
> 'tout ce qui ne vient pas des préfixes GP des 4 ou 5 FAI classiques
> français'.
> > Je suis un mauvais eyeball, que veux-tu.
>
> Mon IP source aussi n’est pas un gros eyeball du tout :)
> La vérité est ailleurs….
>
> …car j’ai le même problème que toi en faisant le wget depuis une VM chez
> Amen (IP source enregistrée au RIPE chez SimplyTransit/UK). Problème de
> géoloc avec ton IP ?
>
> David
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche solution "PCAP -> IPFIX/NETFLOW"

[JEAN BAPTISTE Patrick via frnog]

Bonjour,D’expérience je ne vois pas d’autre solution qu’une solution hardware 
si on veut éviter les mauvaises surprises.Je dirais d’utiliser la vieille 
méthode du devis comparatif avec les concurrents, ils ne sont pas tous aussi 
chers que Gigamon.Je reste quand même très intéressé de savoir comment vous 
avez résolu.

Le vendredi 6 janvier 2023 à 20:08:16 UTC+1, Vincent Bernat 
 a écrit :  
 
 On 2023-01-06 17:54, sbu sbu wrote:
> Je suis à la recherche d'une solution qui saurait prendre du PCAP en entrée
> (10 x TAP optique 10G mono et multi) et le convertir en Flow. pour
> l'envoyer vers un seul puits de stats.
> J'ai bien pensé à prendre des switch mais ceux que j'ai, ont besoin d'une
> licence pour le flow, que je n'ai pas, qui coûte un bras. Et je ne suis
> même pas certain de pouvoir récupérer le flux des Tap et le NetFlowiser.
> En gros l'idéal serait des Gigamon lite  pour ceux qui connaissent, sans
> les fonctions des flux metadata et pour beaucoup mon cher.
> Pour info ce constructeur me propal plus de 200k€ sur 3 ans (achat +
> support de 2 boites)... (volume de data 10G en burste sur l'aggregation des
> 10 points de collecte)
> Si quelqu'un à déjà utilisé d'autre techno basique ou on intervient
> uniquement sur l'échantillonnage. Solution hardware, boîtier matriciel
> comme les Gigamon ou single ou même une solution software qui fonctionne,
> je suis preneur du retour d'expérience.

pmacct sait lire des pcap (pcap_savefile) et exporter en IPFIX 
(nfprobe_receiver + nfprobe_version).


---
Liste de diffusion du FRnOG
http://www.frnog.org/
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fermeture ATM Orange / Coupure client sans préavis / Migration à prix x 2.5

[Baptiste Chappe]

Salut,
Tu en as eu de la chance :-)
Pour un bâtiment de 9 étages avec 12 ascenseurs en 2020 sur Paris.
C’est une nappe cuivre entre la cabine et le haut de la cage. En haut de la
cage, un rj11. Puis 350m de cuivre plus tard, livraison sur une Box Agrume
sur la prise rj11. Qui elle même est livré en ADSL. Une box par ascenseur.

J’ai bien tenté essayer de faire passer une 4G ou autre chose que la
bidouille mais impossible de faire changer le bureau d’étude et encore
moins l’installateur…

Le mar. 5 juil. 2022 à 15:35, Laurent GUERBY  a écrit :

> On Tue, 2022-07-05 at 14:20 +0200, David Ponzone wrote:
> > C’est pas faux, mais par contre, les téléphones d’urgence dans les
> > ascenseurs sont un cas intéressant.
> > Quelqu’un sait ce que les installateurs mettent maintenant ?
> > Passerelle 4G avec batterie ?
>
> Il y a deja de grosses batteries dans les ascenseurs recents, je
> suppose que c'est pour gerer en sécurité une coupure et maintenir une
> alarme sonore.
>
> Pour nos batiments dans le cadre d'une migration analogique vers SIP de
> la telephonie nous avons demandé aux prestataires qui gerent les
> ascenseurs de passer en GSM, la prestation n'est pas tres chere et il y
> a un petit abonnement+maintenance en plus.
>
> Sincèrement,
>
> Laurent
>
> >
> > > Le 5 juil. 2022 à 14:15, Alexandre Archambault  a
> > > écrit :
> > >
> > > Le 28/06/2022 à 21:05, Vincent a écrit :
> > > > Je regrette surtout la fermeture du RTC, car on pouvait
> > > > téléphoner et donc appeler les secours même lorsqu'il y avait une
> > > > coupure d'électricité.
> > >
> > > Car c'est bien connu que 100% de la base installée RTC est équipée
> > > d'un S63 qui permet effectivement de téléphoner en absence de
> > > courant, alimenté par le réseau (pour quelques heures au plus).
> > >
> > > --
> > > Alec,
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-- 
Baptiste Chappe
06 61 28 71 10

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [TECH] Distribution horizontale d'un bâtiment : Cuivre ou Fibre ?

[Baptiste Chappe]

Hello,
Rapide REX : Testé et en prod sur un bâtiment  de 8 etages  - 2000
utilisateurs quotidien.  Environ 700 switchs sous les pieds en double lien
FO 10G.
- Switch 8 ports en extrémité sous les planchers. Tirage d’un RJ entre le
poste et le switch.
Conf full 802.1X avec gestion dynamique des vlans.

En terme de gain :
Plus aucun local IT dans les étages et vu le prix du m2 et de la Clim,
c’est une vrai économie pour la boîte.
Le 802.1X permet de gérer les end points de manière  dynamique. Plus aucun
problème lors des déménagements/réorganisation. Pour le matos ne sachant
pas faire, c’est à la mac déclaré.
Baptiste

Le jeu. 30 juin 2022 à 11:02, Julien Escario  a
écrit :

> Le 30/06/2022 à 10:43, David Ponzone a écrit :
> > Ok mais ça revient justement au cas dont je parlais: quand le vertical
> se prolonge en horizontal, et là, poussé à l’extrême.
> > Après ça veut dire gérer par un switch par table, donc une alim, des
> cordons fibre plus fragiles que du cuivre, des connecteurs plus fragiles,
> une prise femelle fibre (plancher ou sur la table directement ?) plus
> fragile aussi.
> > Je pense que ça dépend de la population d’utilisateurs qu’on a, et des
> meubles aussi (des super tables/bureaux neufs, avec une petite trappe pour
> planquer la prise fibre et le switch par exemple).
> > Ca serait intéressant d’avoir un RetEx de Philippe, un peu plus complet
> que son PowerPoint, concernant les emmerdes qu’il faut gérer, est-ce qu’ils
> avaient pas justement changé tous les meubles aussi au passage, et le type
> de population concerné (grande différence entre utilisateur final et gens
> qui bossent dans l’IT).
>
> Bon, je crois qu'on est tous d'accord sur le fait qu'il mettre de la
> fibre jusqu'au dernier hop avant le poste. En profiter pour mettre de la
> monomode et tirer du 24 FO (max à ma connaissance sur un bandeau 1U) pas
> beaucoup plus cher du 2 ou 4 FO.
>
> En version luxe, tirer deux adductions pour chaque switch terminal via
> deux chemins différents quand c'est possible.
>
> Par contre, sur le poste, CAT7 aujourd'hui et basta. Y'aura tout le
> temps de changer la distribution le jour où la fibre jusqu'au poste se
> démocratise (10 ans ? 15 ans ? jamais ?).
>
> Perso, je vois mal le eyeball manipuler des jarretières LC sans les
> exploser au bout de deux jours (cf le mec qui roule avec sa chaise sur
> le RJ45).
>
> Julien
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-- 
Baptiste Chappe
06 61 28 71 10

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Demande Contact Orange Business

[Baptiste Franchina via frnog]

Hello

Sur Paris
brehima.dia...@orange.com

A+
--

 Baptiste Franchina


-
Réseaux d’entreprise & Infogérance
11 rue Marsollier, 75002 Paris 01 86 64 64 64


On Fri, Jan 28, 2022 at 9:05 PM Aurélien MERCKEL 
wrote:

> Bonjour,
>
> Je cherche un contact Orange Business pour un besoin.
>
> Cordialement.
>
> Aurélien
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] instabilité transit via AS8218 / Zayo

[Baptiste Chappe]

>
> >>>>> Arnaud Willem
> >>>>>
> >>>>>
> >>>>> ---
> >>>>> Liste de diffusion du FRnOG
> >>>>> http://www.frnog.org/
> >>>>>
> >>>>
> >>>> ---
> >>>> Liste de diffusion du FRnOG
> >>>> http://www.frnog.org/
> >>>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> > --
> >
> >
> >
> > ~
> > Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
> > http://www.atanar.com  . . `; -._)-;-,_`)
> >  (v_,)'  _  )`-.\  ``-'
> > Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
> > - So much to do, so little time -   ((,.-'   ((,/
> > ~
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-- 
Baptiste Chappe
06 61 28 71 10

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Free et Centile

[Baptiste Chappe]

Hello,

C'est assez similaire chez nous sur une tête VPN en IPV4 only depuis ce
matin.

Les utilisateurs sont obligés de remplacer l'entrée DNS part une IP pour
que ça fonctionne.

Baptiste,


Baptiste,



Le jeu. 22 avr. 2021 à 11:03, Julien OHAYON  a écrit :

> On a pas encore pu faire de trace SIP, j'attends d'avoir la main des deux
> côtés. Ce sont des personnes en télétravailles...
>
>
> C'est sur du fixe ADSL/FTTH. Presque tout le monde à le CGNAT maintenant
> chez Free...
>
> 
> De : David Ponzone 
> Envoyé : jeudi 22 avril 2021 10:58:39
> À : Julien OHAYON
> Cc : FRnOG
> Objet : Re: [FRnOG] [TECH] Free et Centile
>
> C’est ton Centile donc tu prendras une trace SIP non ?
> Ca dit quoi ?
>
> Peut-être CGNAT de Free Mobile encore plus agressif qu’avant ?
> Ca fait pareil avec un Softphone PC derrière un ADSL/FTTH Free avec CGNAT
> activé ?
> Et sans CGNAT ?
>
> > Le 22 avr. 2021 à 10:31, Julien OHAYON  a écrit :
> >
> > Bonjour à tous,
> >
> >
> > Depuis hier fin d'après après midi et surtout depuis ce matin, de plus
> en plus d'utilisateurs ont du mal à connecter leur softphone. En regroupant
> le tout on remarque qu'à chaque fois les utilisateurs sont chez Free.
> >
> >
> > Notre plateforme Centile n'est pour le moment qu'en IPv4 (oui je sais
> boh tu as qu'à mettre du v6) .
> >
> > Est-ce que d'autres ont détecté des problèmes depuis peu entre Free et
> des plateformes Centile ?
> >
> >
> > Désolé pour le bruit
> >
> > Julien
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ExpressRoute GlobalReach et SFR

[Baptiste Chappe]

Hello,

Rapide rex sur le support d’une ExpressRoute pour quelques clients. Ça a un
peu évolué depuis 2018 mais c’est facile, y’en a pas... :-) J’ai pas vécu
d’incident Azure mais plutôt de l’erreur de conf du sysadmin.

Très simplement, si tu es en dehors du standard sur ton ExpressRoute, tu
n’auras pas de support. De toute façon, tu pourras pas vraiment monter ton
ER.

Si tu es dans le standard sur l’ExpressRoute tu auras peut être un diag. Il
faut juste te dire que les outils sont les mêmes que les tiens sur la
subscription. Si toi tu t’en sors pas, c’est très possible que le support
N1/N2 n’y arrive pas.

Pour monter ton EG :

C’est la misère quand tu dois faire discuter ton opérateur, ton DC et ton
Microsoft pour faire ça bien.  Généralement entre 3 et 6 mois pour monter
une ExpressRoute en physique.

J’ai pas trouvé mieux que :
- Degager l’express route en physique et passer par du tunnel IPSec via
l’object VPN Azure. C’est une heure à confer et c’est scriptable. Le plus
long étant le déploiement de l’objet qui va bien sur Azure.

- Quand le client veut un SLA/Garantie débit bullshit et des sous : Passe
par un DC sérieux qui propose l’interco azure. Prévoir deux ports et du tag
de vlan de ton côté. Ça coûte cher mais à ce qu’il parait le débit est
garantie :-)
C’est un L2 entre toi et ton DC avec vlan tag. Tu payes Crossconect avec
ton fournisseur de service.
Ton FAI et Azure se débrouille pour se connecter entre eux. Ça tombe bien,
ils sont déjà connectez.

La suite est une annonce de routage (IBgP) dans ton équipement. Le virtual
routeur reçois et met à jour de son coté.

Ah oui, oublie pas que c’est payant le trafic entre les VitualNetwork. Et
généralement pour éviter que le dev explose ton ressource group ou est
présent ton EG, tu crées un autre virtuel network. Donc tu payes aussi ici
encore :-)

Bon week end,

Baptiste

Le sam. 16 janv. 2021 à 12:00, Victor TALVAZ  a
écrit :

>  > Oui mais quand c’est les tiens tu les maitrises:
> > -si tu sais que SFR et ATT sont à TH2 et à PA3, tu peux vérifier avec eux
> qu’ils ont pas une dépendance pendulaire de PA3 sur TH2 par exemple. Avec
> Azure, ça va être je crois très compliqué d’avoir une réponse claire mais
> je peux me tromper
> > - au pire, si t’as qu’un DC d’interco, tu maitrises le truc, c’est ton
> routeur, ton contrat avec TH2, ton tech que tu peux envoyer vérifier le
> patching ou remuer TH pour vérifier le patching, etc….avec Azure tu vas >
> attendre la réaction du support (Niveau 0, au courant de rien), et ensuite
> attendre qu’on te passe un Niveau 1, puis un Niveau 2, et attendre la
> résolution. Y a des gens dans la salle pour nous dire comment ça se p asse
> en cas d’incident chez Azure ?
>
> Des expériences que j'ai eu sur le support Networking de Microsoft, le N1 a
> une marge de manœuvre importante. Dans 95% des problèmes que j'ai
> rencontrés, le souci était côté opérateur et non Microsoft. Les 5% restants
> ont été résolus directement par le N1.
> Si le N1 ne peut pas résoudre, c'est escaladé aux équipes produit, qui
> répondent souvent dans la journée.
> Sur les délais de réponse de premier ticket, cela dépend de ton contrat.
> Cela va de 1h à 8h.
> Si tu ouvres ton incident en urgence (interruption totale de service), tu
> es rappelé sous 10 mns en moyenne et un ingénieur intervient en moins de
> 30mns. Tu as aussi une personne qui suit l'incident côté Microsoft et qui
> peut solliciter directement les autres équipes techniques si nécessaire. Le
> tout en 24/7.
>
> *Victor TALVAZ*
>
>
>
> On Sat, Jan 16, 2021 at 11:43 AM David Ponzone 
> wrote:
>
> >
> > > Le 16 janv. 2021 à 11:33, Victor TALVAZ  a
> > écrit :
> > >
> > > > Il doit s’agir d’un de ces clients que ça ne dérange pas, pas plus
> que
> > de mettre un SPOF chez Microsoft.
> > > > Jusqu’au jour où….
> > >
> > > parce que mettre ton interco aussi dans une seule baie dans un seul DC,
> > c'est pas un SPOF non plus ?
> > > Ce n'est pas un argument acceptable. De plus, rien n'empêche le client
> > d'avoir deux sites relais.
> >
> > Oui mais quand c’est les tiens tu les maitrises:
> > -si tu sais que SFR et ATT sont à TH2 et à PA3, tu peux vérifier avec eux
> > qu’ils ont pas une dépendance pendulaire de PA3 sur TH2 par exemple. Avec
> > Azure, ça va être je crois très compliqué d’avoir une réponse claire mais
> > je peux me tromper
> > -au pire, si t’as qu’un DC d’interco, tu maitrises le truc, c’est ton
> > routeur, ton contrat avec TH2, ton tech que tu peux envoyer vérifier le
> > patching ou remuer TH pour vérifier le patching, etc….avec Azure tu vas
> > attendre la réaction du support (Niveau 0, au courant de rien), et
> ensuite
> > attendre qu’o

Re: [FRnOG] [TECH] OpenVPN / Orange et 4G

[Baptiste Chappe]

Hello,

Je pense aussi à un sujet de MTU Je ne compte plus les réseaux
"présta/marketing" et les services de TPE bancaire sensible à la MTU (à
base de openvpn pour sécuriser le fllux """"CB""""). Consigne => Passez
votre OpenVPN à 1450/1430.

Baptiste,


Baptiste,



Le lun. 21 déc. 2020 à 14:09, Benoît Grangé  a
écrit :

> Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par
> tomber en marche ^h ^h ^h panne dans certains cas.
>
>
> Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard  a
> écrit :
>
> > Salut à tous,
> >
> > Je sèche sur l'origine d'un soucis transitoire...
> >
> > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous
> > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est
> installé
> > sur leur solution flexible engine qui fait un bridge entre l'extérieur et
> > nos réseaux via une VM.
> >
> > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce
> > soit en ethernet ou en WIFI l'ensemble fonctionne correctement.
> >
> > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil
> client,
> > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de
> > se connecter à certains services (que ce soit du web, un flux RTP, du
> CIFS).
> >
> > Les requêtes partent vers les différents services que l'on test (ex.
> web),
> > mais les réponses associées sont quasi inexistantes. On arrive par
> exemple
> > à avoir une page 404, mais dès que la réponse est trop conséquente,
> aucune
> > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il
> y'en
> > a pas.
> >
> > Par contre si l'on connecte une machine en partage de connexion avec un
> > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son
> client
> > OpenVPN.
> >
> > Quelqu'un aurait des idées ?
> >
> > Jérôme
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
> --
> *Benoît Grangé*
> Mobile: 06 58 58 05 59
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: : [FRnOG] [ALERT] Incident Linkt

[Baptiste Chappe]

Bonjour Xavier,

Pour Zayo, c'est une attaque.

En tout cas, c'est revenu pour nous.

[image: image.png]
Baptiste,



Le jeu. 5 nov. 2020 à 10:10, Xavier BELOND  a
écrit :

> Hello la liste,
>
> Dés informations sur un incident de collect entre Linkt et Microsoft ?
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Baptiste Jonglez]

Bonjour,

Pour information, on a déjà publié plusieurs papiers cette année sur cette
problématique, avec exactement la même méthodologie (envoi de requête DNS
avec spoof d'adresse source).

Le site du projet est là : http://www.closedresolver.com/

L'article de blog : 
https://blog.apnic.net/2020/10/05/are-you-filtering-for-inbound-spoofed-packets-chances-are-youre-not/

Et les papiers pour les plus motivés : http://www.closedresolver.com/#papers

On avait prévu envoyer des notifications aux réseaux affectés, mais ils
ont été plus rapides que nous !

On 13-10-20, Stephane Bortzmeyer wrote:
> > D’ailleurs, on devrait leur demander qui est leur ISP à cette
> > université :)
> 
> Il est logique que les chercheurs en sécurité aient un accès spécial,
> permettant des tests rigolos.

En réalité, faire ce genre de manip sur les réseaux d'université, c'est
trop compliqué, il a fallu trouver autre chose...

Baptiste


signature.asc
Description: PGP signature

Re: [FRnOG] [BIZ] contacts câblage bureaux

[Baptiste Franchina]

Bonjour Guillaume,

Tu peux joindre Dominique de LAMAS TECH au 06 11 53 22 81 de ma part (si 
c'est un projet sérieux)
On travaille avec eux depuis des années sur des projets de la TPE au 
grand compte, toujours top


Bonne journée,

--
Baptiste Franchina
BoucheCousue
01 83 62 52 34

-- Message d'origine --
De: "Guillaume" 
À: "frnog-...@frnog.org" 
Envoyé : 11/09/2020 13:52:57
Objet : [FRnOG] [BIZ] contacts câblage bureaux


Bonjour,

Je cherche pour un client à Paris 10 des contacts de sociétés
spécialisées dans le câblage de bureaux.


--
Bonne journée,

Guillaume SELLIER
ADI


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chine: recommandations CDN & transit ?

[Baptiste Chappe]

Hello,
Tout dépends de ton besoin et surtout du débit.  A noter, c'est une
solution de pauvre mais idéal pour une startup...
J'ai pas trouvé mieux que le cloud Aliyun à HK pour mes petits besoins
(environ 250 équipements dans la vraie Chine. 2 à 3 giga de trafic/day avec
quelques update quotidien des équipes de markéteux.
Pour passer le GFW, du openvpn/mikrotik/pfsense avec du stnunel pour être
légitime. Important de bien custom le stunel et la MTU pour pas être
déconnecté tout le temps.
Pour que ca marche mieux :
- Avoir une infra sur HK. Faire pointer les devices chinois sur tes IP à
HK. Oublie le DNS coté China continental, ca juste ne marche pas si tu n'es
pas autorisé ICP.
- Pour avoir une latence correct pour toucher HK, tu peux utiliser quelques
serveurs Aliyun sur Brux, Dubai et Tokyo avec un crontab pour monter les
tunnels VPN et rerouter le trafic selon les heures creuses. Débit correct
garantie (10 à 12 Mbit/s). Ca coute pratiquement rien sur un petit VPS.

Baptiste

Le jeu. 10 sept. 2020 à 16:43, Guillaume Khayat 
a écrit :

> Bonjour à tous,
>
> Je découvre dernièrement les saveurs un peu particulières de l’internet
> chinois. Au menu, sur toutes les connections traversant le Great Firewall
> chinois (GFW), en désordre et non-exhaustif :
> - forte latence et pertes de paquet importante
> - TCP RST aléatoires
> - pans entiers d’IPv4 redirigés aux oubliettes
> - DNS menteurs
> - bloquage du TLS 1.3 + ESNI
> - throttling/bloquage des principaux VPNs
> - throttling/bloquage des tunnels SSH
> - FAIs chinois mal/peu interconnectés en eux
> - barrières administratives (numéro ICP)
>
> Ma petite PME ayant de plus en plus de clients en Chine continentale, nous
> essayons de trouver des solutions pour fiabiliser le trafic IP entre nos
> clients et notre infra hébergée essentiellement en Europe, et bientôt
> répliqué à Hong-Kong.
>
> Nous avons 2 problématiques à résoudre :
> 1) trouver un tuyau fiable pour interconnecter notre infra à Hong-Kong et
> notre infra continentale sans passer par le GFW.
> 2) trouver un CDN en Chine continentale avec suffisamment de PoP chez
> chaque FAI (cf pbs d’interconnections mentionnés plus haut)
>
> #1 Transit
> J'ai sollicité China Telecom et China Unicom qui m'ont proposé des
> solutions de type SD-WAN (les solutions de type MPLS ou IPLC dépassent nos
> besoins). Avez-vous des retours d’expérience avec ces opérateurs ? Quid de
> China Mobile ou des opérateurs non-chinois (e.g. BSO ou Aryaka) ? Quelques
> recommandations peut-être ? Nous avons des requirements assez modestes, que
> ce soit en latence ou en débit.
>
> #2 CDN
> Les FAIs chinois étant peu/mal interconnectés, l’usage d’un CDN de qualité
> semble primordial en Chine continentale. Avez-vous des retours d’expérience
> sur des CDNs opérants sur place (e.g. Chinacache, CDnetworks, Verizon,
> Akamai, Cloudfront, Alibaba, Tencent…) ? Quelques recommandations peut-être
> ?
>
> ——
>
> Guillaume
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [FRNOG][TECH] Network Access Control

[Baptiste Chappe]

Bonjour,
Je suis d'accord avec le post de Fabien mais le genre de problématique est
largement gérable par une délégation de la gestion au support.
Petit retour sur la mise en place du nac tout frais chez nous.

Taille de l'équipe pour la mise en place : 3 chef de projet et un
intégrateur performant + quelques experts en interne. Environ 6 mois de job
après un rapide poc. Pas trop de le choix de mettre en place ce genre de
techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans).

Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2
expert tech et une bonne volonté de l'ensemble des utilisateurs DSI.
Taille du run : 6 techs + 3 admins + 2 experts tech
Périmètre : 90 sites en france et un site central.
Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et
1000 prestas, 30 vlans similaires par site distant et 200 sur le site
central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP
Windows.

Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En
soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu
d'Ucopia pour les portal guest pour les différentes populations.

Coté périphérique :
Windows en majorité pour les postes avec du certificat issu des PKI.
Télèphone Cisco géré à la mac sur le voice vlan.
Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs
tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le
réseaux "DSI" DRH...etc.
Si computer inconnu ou non déclaré, vlan guest avec portal captif.

La clef de la réussite : Le fameux on bording des périphériques (interne,
externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus
particulièrement les numéros de vlan).
Devant le nombre de périphériques à gérer, on a développé une webinterface
"user friendly support" pour permettre au support N1 de faire les
modifications de mac et groupe de sécurité Windows.

Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui
va ou, comment faire pour avoir un onbording performant.
Gestion des exceptions (comment donner du réseaux à un presta en charge
d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de
PC de la boite ?)
Le risque : Si perte des PKI Windows, du renouvellement des certificats,
des liaisons au DC ou des serveur radius en eux même, c'est terminé pour
tout le monde. Se prévoir quelques prises non 802.1X dans les
bureaux d'admin.

Concernant la difficultées d'administration : Il faut a mon sens absolument
déléguer les tâches courante de la gestion des accès au support N1. Je
parle en prenant la casquette de
CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin.

Coté surprise :
Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques
de connectés...
Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui
discute uniquement en 443 :)

Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un
réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne
a ce qu'il paraît en sécurité ;)

Baptiste,

Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog <
frnog@frnog.org> a écrit :

> Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la
> plupart des cas et ça fait le job de contrôle d'accès L2.
>
> Maintenant, si tu veux partir sur plus complexe avec des produits avec
> clients lourds installés sur les postes qui vérifient l'état de
> l'antivirus, les MaJ appliquées et les logiciels installés,
> effectivement c'est souvent un peu lourd, et passer au firewall / VPN
> pour contrôler les flux IP c'est souvent suffisant.
>
> Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de
> verrouiller l'accès au réseau, alors 802.1x fait le café si tes
> équipements sont assez homogènes et supportent le 802.1x. Si ton job
> c'est de verrouiller l'accès aux services (aka du cloud over IP), alors
> oui un bon firewall/IPS/Détection d'applications et VPN fait le job.
>
> Mais c'est clair que les produits de NAC et d'enforcement des postes de
> travail, c'est vite une usine à gaz, surtout en si tu as autre chose que
> du windose.
>
> Fabien
>
> Le 01-09-2020 17:34, A Gaillard a écrit :
> > Hello,
> >
> > Même retour que Guillaume, le NAC c'est beau sur le papier.
> > En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès
> > que
> > t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles
> > caméras, etc.) tu fais des exceptions qui cassent une bonne partie de
> > la
> > plus-value sécurité. Et à gérer pendant la vie de la solution, tu as
> > besoin
> > d

Re: [FRnOG] [TECH] Filtrage DNS chez SFR

[Baptiste Chappe]

Bonsoir,

J'ai eu la même ce jour avec un client sur une Freebox. Je monte le VPN
avec un split. Seul le trafic vers le range precis passe dans le tunnel.
Impossible de ping la ressource en DNS.
Je change le DNS par Google et paf ca marche.

Je suis un dingue en publiant dans le DNS des clients une IP privée ? J'ai
rarement la chance d'avoir un DNS en local sur les sites (TPME 5 à 30
personnes).
 Ex : imprimante.toto.com = 192.168.1.2

Merci

Le ven. 20 mars 2020 à 19:59, Alarig Le Lay  a écrit :

> On ven. 20 mars 19:50:45 2020, Paul Rolland (ポール・ロラン) wrote:
> > Hello,
> >
> > On Fri, 20 Mar 2020 19:43:17 +0100
> > Alarig Le Lay  wrote:
> >
> > > [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @89.2.0.1
> > >
> > > ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @89.2.0.1
> > > ;; global options: +cmd
> > > ;; connection timed out; no servers could be reached
> >
> > 89.2.0.1 ne repond apparemment que si tu es sur le reseau SFR.
> > 54 [19:49] r...@riri.def:~> dig -t A www.google.fr @89.2.0.1
> >
> > ; <<>> DiG 9.11.14-RedHat-9.11.14-2.fc31 <<>> -t A www.google.fr @
> 89.2.0.1
> > ;; global options: +cmd
> > ;; connection timed out; no servers could be reached
> >
> > Paul
>
> La machine est bien sur le réseau de SFR, mais en fait le resolveur en
> question, c’est celui de numéricâble !
>
> [alarig@bsdcore3 ~]$ mtr -bzwe 89.2.0.1
> Start: 2020-03-20T19:53:55+0100
> HOST: bsdcore3.phaleon.org   Loss%   Snt
>  Last   Avg  Best  Wrst StDev
>   1. AS???192.168.1.1 0.0%10
> 0.3   0.4   0.3   0.5   0.1
>   2. AS??????100.010
> 0.0   0.0   0.0   0.0   0.0
>   3. AS15557  66.56.154.77.rev.sfr.net (77.154.56.66) 0.0%10
> 1.6   4.3   1.6   6.8   1.7
>   4. AS15557  210.61.6.109.rev.sfr.net (109.6.61.210) 0.0%10
> 1.8   3.2   1.8   6.5   1.4
>   5. AS15557  166.11.128.77.rev.sfr.net (77.128.11.166)   0.0%10
> 6.9   6.0   4.4   8.1   1.3
>   6. AS15557  217.10.136.77.rev.sfr.net (77.136.10.217)   0.0%10
>  18.1  18.3  16.1  20.1   1.2
>   7. AS15557  217.10.136.77.rev.sfr.net (77.136.10.217)   0.0%10
>  19.2  18.1  15.6  20.2   1.4
>   8. AS??????100.010
> 0.0   0.0   0.0   0.0   0.0
> [alarig@bsdcore3 ~]$ mtr -bzwe 109.0.66.10
> Start: 2020-03-20T19:56:01+0100
> HOST: bsdcore3.phaleon.org  Loss%   Snt
>  Last   Avg  Best  Wrst StDev
>   1. AS???192.168.1.10.0%10
> 0.4   0.4   0.3   0.5   0.0
>   2. AS??????   100.010
> 0.0   0.0   0.0   0.0   0.0
>   3. AS15557  66.56.154.77.rev.sfr.net (77.154.56.66)0.0%10
>   5.2   7.3   1.5  35.4  10.0
>   4. AS15557  46.162.17.93.rev.sfr.net (93.17.162.46)0.0%10
>  17.4  17.8  15.9  19.7   1.4
>   5. AS15557  vip-dns-gp-primary.dns.sfr.net (109.0.66.10)   0.0%10
>  19.7  17.4  15.4  19.7   1.7
> [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @109.0.66.10
>
> ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @109.0.66.10
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51561
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;roucool.int.no.swordarmor.fr.  IN  A
>
> ;; ANSWER SECTION:
> roucool.int.no.swordarmor.fr. 10800 IN  A   10.0.4.0
>
> ;; Query time: 114 msec
> ;; SERVER: 109.0.66.10#53(109.0.66.10)
> ;; WHEN: Fri Mar 20 19:55:52 CET 2020
> ;; MSG SIZE  rcvd: 62
>
> [alarig@bsdcore3 ~]$ dig -t A rfc1918.futomaki.net @109.0.66.10
>
> ; <<>> DiG 9.14.9 <<>> -t A rfc1918.futomaki.net @109.0.66.10
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22396
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;rfc1918.futomaki.net.  IN  A
>
> ;; ANSWER SECTION:
> rfc1918.futomaki.net.   1800IN  A   192.168.0.43
>
> ;; Query time: 64 msec
> ;; SERVER: 109.0.66.10#53(109.0.66.10)
> ;; WHEN: Fri Mar 20 19:57:37 CET 2020
> ;; MSG SIZE  rcvd: 54
>
> [alarig@bsdcore3 ~]$
>
> Et donc au final, c’est même pas SFR qui fait du brin, c’est NC :D
>
> --
> Alarig
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] OSPF Bird et configure

[Baptiste Jonglez]

Bonjour,

Je ne vois pas ce que le passage à Bird 2 apporte dans ce cas.  Tu veux
juste redistribuer certaines routes du kernel vers OSPF, mais il te faut
un moyen de les identifier.

Tu peux matcher sur tous les attributs génériques de routes décrits ici :

  https://bird.network.cz/?get_doc&v=16&f=bird-5.html#ss5.5 (bird 1.6)
  https://bird.network.cz/?get_doc&v=20&f=bird-5.html#ss5.5 (bird 2.0)

+ ceux du protocole kernel (faut scroller un peu) :

  https://bird.network.cz/?get_doc&v=16&f=bird-6.html#ss6.6


Le plus simple est probablement d'utiliser krt_source qui correspond au
"proto" de iproute2 (cf. /etc/iproute2/rt_protos), ça ressemble à ça :

- ajouter une route dans ton automatisation : "ip route replace XXX/X via YYY 
proto 142"
  (j'utilise "replace" au lieu de "add" pour écraser une éventuelle route
  existante, à toi de voir ce que tu préfères dans ce cas)

- importer ces routes dans le proto kernel : soit "import all" soit plus
  précis "import where krt_source = 142"

- exporter ces routes dans le proto OSPF : "export where krt_source = 142"

Si tu exportais vers BGP, ce serait une bonne idée de mettre une
communauté pour que tous tes routeurs sachent d'où vient la route, ça
ressemblerait à ça :

filter kernel_import {
if krt_source = 142 then {
bgp_community.add((ton_AS, 142));
accept;
}
reject;
}

protocol kernel {
...
import filter kernel_import;
}

filter bgp_export {
 ...
 if filter(bgp_community, [(ton_AS, 142)]).len > 0 then accept;
 reject;
}

protocol bgp {
...
export filter bgp_export;
}


On fait un truc du genre pour le blackhole, il suffit d'ajouter une route
/32 dans le kernel (avec le bon proto) pour qu'elle soit propagée en BGP à
tous les transitaires avec la communauté de blackhole qui va bien.  C'est
la même conf que Gitoyen dispo ici :

  
https://code.ffdn.org/gitoyen/bird-config/blob/master/etc/local/bird/common/bgp-filters.conf#L134

Baptiste

On 16-01-20, Duchet Rémy wrote:
> L'objectif c'est justement que Bird apprenne les routes via autre chose que 
> "STATIC".  Aujourd'hui c'est un script qui modifie un simple fichier, via de 
> l'automatisation. Et c'est STATIC => OSPF . 
> Mais dans ce sens pour ajouter une route dans la table STATIC, ça demande le 
> "configure" pour que la route soit active pour Bird. Et donc le changement de 
> la table STATIC provoque la propagation de l'intégralité de la table OSPF à 
> tous les autres devices. 
> 
> Pour la partie BGP je n'ai pas de soucis, d'autant que c'est un de nos RS.
> Par contre, dans la 2.0.7 Ipv4 et IPv6 c'est le même process. Et c'est les 
> TABLE qui semblent séparer les versions, du coup toute la config change. 
> 
> Cordialement,
> 
> Rémy 
> 
> -Original Message-
> From: Alarig Le Lay  
> Sent: jeudi, 16 janvier 2020 17:49
> To: Duchet Rémy 
> Cc: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] OSPF Bird et configure
> 
> What ?!
> 
> bird> show route
> Table master4:
> 0.0.0.0/0unicast [kernel_ipv4 09:46:49.133] (10)
> via 85.166.184.1 on enp2s0
> 45.91.126.32/28  unicast [ospf_ipv4 09:47:05.225] E1 (150/20) 
> [45.91.126.96]
> via 45.91.126.96 on enp3s0.50
> 79.170.80.128/25 unicast [ospf_ipv4 10:10:59.225] E2 (150/10/64) 
> [4faa50fa] [45.91.126.236]
> via 45.91.126.236 on tinc0
> […]
> bird> show route protocol kernel_ipv4
> Table master4:
> 0.0.0.0/0unicast [kernel_ipv4 09:46:49.133] (10)
> via 85.166.184.1 on enp2s0
> 85.166.184.0/22  unicast [kernel_ipv4 09:46:49.133] (10)
> dev enp2s0
> bird> show route protocol kernel_ipv6
> Table master6:
> ::/0 unicast [kernel_ipv6 09:46:49.133] (10)
> via fe80::5e5e:abff:fe43:1ece on enp2s0
> 2001:4640:a14f::/48  unreachable [kernel_ipv6 09:46:49.133] (10)
> 
> J’ai bien des routes OSPF et bird ne les apprend pas via le kernel. Je ne 
> vois pas comment ça pourrait marcher s’il le faisait d’ailleurs.
> 
> Et en version BGP (avec une full) c’est pareil :
> 
> bird> show route
> 128.0.128.0/20 via 89.234.186.33 on vmbr12 [ibgp_asbr01_ipv4 2020-01-04] 
> * (100/?) [AS25513i]
>via 89.234.186.33 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11 
> from 89.234.186.34] (100/?) [AS25513i]
> 208.0.208.0/24 via 89.234.186.34 on vmbr12 [ibgp_asbr02_ipv4 2020-01-11] 
> * (100/20) [AS46559i]
>via 89.234.186.34 on vmbr12 [ibgp_asbr01_ipv4 2020-01-11 
> from 89.234.186.33] (100/20) [AS46559i]
>

Re: Re[2]: [FRnOG] [TECH] Convertisseurs VDSL2

[Baptiste Jonglez]

Bonjour,

J'ai lu qu'il n'y avait pas de management, est-ce qu'il est quand même
possible de choisir le profil ? (17a plutôt que 30a)

Je pose la question parce qu'il est visiblement souvent vendu en 30a par
défaut :

https://planet.com.tw/en/product/vc-231
https://www.abix.fr/planet-vc-231-convertisseur-vdsl2-rj45-rj11-30a-410231.html
https://www.cdiscount.com/informatique/composants-informatiques/planet-vc-231-convertisseur-vdsl2-rj45-rj11-30a/f-107130602-auc4711213687242.html

Au passage, ça a l'air pas évident à trouver neuf à un prix pas
déraisonnable, quelqu'un aurait des fournisseurs à conseiller en France ?
Le prix est presque raisonnable chez Abix mais ils ont pas l'air de
l'avoir en stock.

Merci,
Baptiste

On 22-11-19, Alexis Guirlé wrote:
> Bonjour,
> 
> Pour nous, on en a plusieurs en service et j’en ai pris 4 au piff qui sont up 
> depuis le 20 Mai 2019 (Leur installation)
> 
> Donc c’est parfait.
> 
> Cordialement,
> Alexis
> 
> De : valen...@brasserie-du-slalom.fr 
> Envoyé : vendredi 22 novembre 2019 10:35
> À : BASSAGET Cédric 
> Cc : Alexis Guirlé ; Pierre-Loïc Carette - ALPESYS 
> ; frnog-t...@frnog.org; David Ponzone 
> 
> Objet : Re[2]: [FRnOG] [TECH] Convertisseurs VDSL2
> 
> 
> Salut,
> 
> Je suis plus sur la liste donc tu peux fwd ma réponse, mais ici aucun soucis, 
> j'ai juste programmé un reboot du microtik si l'interface n'est pas up en 2 
> minutes. Je n'ai pas l'impression qu'il reboot (j'entends jamais le bip du 
> démarrage du microtik).
> 
> Valentin
> 
> --
> Envoyé depuis l'application myMail pour Android
> vendredi, 22 novembre 2019, 10:24AM +01:00 de BASSAGET Cédric 
> cedric.bassaget...@gmail.com<mailto:cedric.bassaget...@gmail.com>:
> 
> 
> Bonjour,
> Déterrage du vendredi !
> Est-ce que quelqu'un peut faire un retour sur la stabilité du VC-231 ? Ou 
> est-ce que vous avez trouvé d'autres modèles de pur modem vdsl2 ?
> Merci et bon week end à tous et toutes !
> Cédric
> 
> Le mar. 23 avr. 2019 à 09:40, David Ponzone 
> mailto:david.ponz...@gmail.com>> a écrit :
> Ok ensuite, faut voir combien de temps ça tient sans reboot.
> 
> David Ponzone
> 
> 
> 
> > Le 23 avr. 2019 à 10:30, Alexis Guirlé 
> > mailto:agui...@izarlink.com>> a écrit :
> >
> > Bonjour,
> >
> > Bon on a testé ^^.
> >
> > Et ceci marche plutôt bien. En sélectionnant le mode CPE et le bon profil 
> > (17A).
> >
> > Bonne semaine.
> > Alexis
> > -Message d'origine-
> > De : Valentin Surrel 
> > mailto:valen...@brasserie-du-slalom.fr>>
> > Envoyé : jeudi 18 avril 2019 07:48
> > À : Pierre-Loïc Carette - ALPESYS 
> > mailto:plcare...@alpesys.fr>>
> > Cc : Alexis Guirlé mailto:agui...@izarlink.com>>; 
> > David Ponzone mailto:david.ponz...@gmail.com>>; 
> > frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>
> > Objet : Re: [FRnOG] [TECH] Convertisseurs VDSL2
> >
> > Bonjour,
> >
> > Mon petit doigt me dit que le VC-231 fonctionne très bien avec les DSLAM 
> > télécom. Ce mail en est la meilleure preuve ! C'est un bon moyen de mettre 
> > un "vrai" routeur à la maison ou au boulot (et c'est stable). Perso, ça me 
> > permet de faire un vpn site-to-site à pas cher.
> >
> > Il chauffe un peu par contre, à étudier si c'est pour en faire une armoire 
> > complète.
> >
> > Valentin
> >
> > - Mail original -
> >> De: "Pierre-Loïc Carette - ALPESYS" 
> >> mailto:plcare...@alpesys.fr>>
> >> À: "Alexis Guirlé" mailto:agui...@izarlink.com>>, 
> >> "David Ponzone"
> >> mailto:david.ponz...@gmail.com>>
> >> Cc: frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>
> >> Envoyé: Lundi 15 Avril 2019 21:56:46
> >> Objet: Re: [FRnOG] [TECH] Convertisseurs VDSL2
> >
> >> Hello
> >> J'ai un gros doute que ce convertisseur fonctionne sur des DSLAM telecom.
> >> Si ca le fait ca serait avec des degradations de service car ces
> >> boitiers ne gerent qu'un nombre minimal d'annexes DSL (type de synchro).
> >> D'ailleurs les annexes se gèrent manuellement pour certaines avec des
> >> dip switchs.
> >>
> >> Ces boitiers sont fait pour faire de l'ethernet sur une paire de
> >> telephone jusqu'à 1km environ avec un boitier en maitre l'autre en CPE.
> >>
> >>
> >>
> >> Pierre-Loïc Carette
> >>
> >>
&g

Re: [FRnOG] [TECH] Un TTL qui varie sans raison

[Baptiste Jonglez]

On 03-01-20, Stephane Bortzmeyer wrote:
> Le TTL change à chaque paquet.
> 2) Quel équipement ferait ça, et pourquoi ?

Vraisemblablement le serveur lui-même.  Très certainement pour le fun, ou
pour que des ingénieurs et chercheurs se posent trop de questions :)

En tout cas, le TTL des paquets retours est stable en TCP, donc c'est un
comportement spécifique à l'ICMP.

En analysant rapidement les TTLs observés (merci Perl [1] pour l'histogramme 
rapide) :

$ ping -c 500 -i 0.2  114.114.114.114 | sed -nr 's/.*ttl=([0-9]*).*/\1/p' | 
sort -n | uniq -c | perl -lane 'print $F[1], "\t", "*" x $F[0]'
50 ***
51 *
52 
53 
54 *
55 
56 ***
57 *
58 
59 *
60 
61 
62 **
63 *
64 **
65 **
66 ***
67 ***
68 **
69 *
70 **
71 ***
72 
73 ***
74 
75 
76 **
77 *
78 **
79 ***
80 **
81 **

Les TTLs ont donc l'air d'être tirés de façon à peu près uniforme.

En TCP j'ai un TTL retour de 42, donc en supposant qu'ils partent à 64 ça
fait un décalage de 22 : ils tirent donc les TTLs uniformément entre 72 et 103.

C'est possible de faire quelque chose d'approchant avec iptables (man 
iptables-extensions) :

for ttl in {0..31}
do
  iptables -t mangle -A OUTPUT -p icmp --icmp-type echo-reply -m statistic 
--mode nth --every 32 --packet $ttl -j TTL --ttl-set $((ttl+72))
done

Là ça donne des TTL dans l'ordre, mais en cherchant un peu on doit pouvoir
faire des séquences pseudo-aléatoires.  Il y a un autre mode où on peut
appliquer une règle avec une certaine probabilité, mais là ça devient
chaud de faire une distribution uniforme à partir de ça.

Bon en tout cas, quelle que soit la méthode, ils ont l'air de s'être bien
amusés et je pense que c'est la réponse à ta question :)

Baptiste

[1] 
https://unix.stackexchange.com/questions/17/drawing-a-histogram-from-a-bash-command-output


signature.asc
Description: PGP signature

Re: [MISC] Re: [FRnOG] [MISC] VoIP, tests des numéros d'urgence

[Baptiste Chappe]

Bonsoir,

On a eu les mêmes contraintes que vous sur le sujet. Aprés une discussion
avec l'opérateur et l'intégrateur, on a décidé (nous DSI) de tager nos
trames SIP avec le code ClientDuSite + Code Insee. Ca à demandé un peu de
boulot au départ et d'avoir nos SBC en propre.
De cette facon, on a un gros trunksip centralisé mais on localise
géographiquement nos agences via le code INSEE.et code technique site

A chaque porta :
- On déclare un code technique de site + code insee dans nos trame SIP via
nos SBC/CallManager. L'opérateur le voit et dispatche.
- Pour le dérangement pompier, nous n'avons jamais eu de problème avec eux.
On test un appel au 18 en demandant la caserne de rattachement pour
vérifier que le job est bien fait par nous DSI et par l'opérateur. L'appel
dure moins de 30 sec. A ce qu'il parrait, ils ont l'habitude.
- On divise pas 10 nos couts de forfait (migration RNIS/T2 vers du SIP).

Le seul bémol sur le sujet est que la DSI à une réponsabilitée en cas de
mauvaise attribution du code site/insee.

Baptiste,



Le mer. 27 nov. 2019 à 21:41, David Ponzone  a
écrit :

> Je ne t’ai pas suivi.
> Le centre d’urgence n’a pas ton adresse (sauf ce qu’il peut trouver en
> utilisant les Pages Jaunes/Google, et j’imagine que c’est ce qu’ils font si
> la personne en ligne n’est pas capable de donner son adresse).
> Si le centre d’urgence des différents sites est le même, tu n’as pas de
> problème.
> Tu peux quand même présenter le numéro principal du site, plutôt que le
> numéro du siège, ça peut les aider à trouver l’adresse.
>
> > Le 27 nov. 2019 à 21:19, Olivier Vailleau 
> a écrit :
> >
> > Bonsoir,
> > Je comprends la problématique, mais j'ai du mal à voir comment dans
> notre cas on pourrait y répondre :
> > Dans notre cas, nous avons quelques dizaines de sites dispatchés sur une
> com d'Agglo et reliés (en fibre noire, donc "dans le LAN") à notre toIP
> centrale.
> > Si un petit site appelle le 15, ce sera forcément la "sortie" du site
> principal qui sera utilisée et donc l'adresse du siège au lieu de l'adresse
> de l'agence.
> > Alors, ca ne changera pas le centre d'urgence (on va pas se retrouver au
> Samu de Roubaix au lieu du nôtre), mais l'adresse sera erronée, et en cas
> d'arrêt cardiaque, ca fera la différence.
> >
> > Existe-t-il des moyens pour envoyer des informations supplémentaires et
> discriminantes sur l'adresse dans les méta-données qui accompagnent l'appel
> ?
> > Olivier.
> >
> >
> > Le mer. 27 nov. 2019 à 19:44, Michel Py <
> mic...@arneill-py.sacramento.ca.us  mic...@arneill-py.sacramento.ca.us>> a écrit :
> > > David Ponzone a écrit :
> > > Hélas, j’ai peur que la situation actuelle ne soit pas le résultat
> d’une réflexion sur
> > > l’efficacité du dispositif, mais plutôt d’un reliquat historique
> mélangé avec un immobilisme
> > > lié au problème des fonctionnaires qui seraient concernés par la
> rationalisation du dispositif.
> >
> > Pareil ici. Vu de loin, çà a l'air mieux organisé, ceci dit.
> >
> > > Vous avez 50 Etats, nous on a 101 départements et 13 régions :)
> >
> > Pour les politiciens, je te rassure : on a les mêmes à la maison aussi !
> >
> > Michel.
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ <http://www.frnog.org/>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] [TECH] Meraki... première et dernière...

[Baptiste Franchina]

Bonjour Jérôme,

Les conditions de retours chez Cisco Meraki sont de 30 jours après la 
date d'expédition, sans justifications particulières.
Pour cela il faut se rendre via ton dashboard : 
https://dashboard.meraki.com/rma


Les frais de retours sont à la charge du client

Bonne journée,

--
Baptiste Franchina
BoucheCousue
01 83 62 52 34

-- Message d'origine --
De: "Jérôme Quintard" 
À: "David Ponzone" 
Cc : "Nicolas GIRARDI" ; "frnog-t...@frnog.org" 


Envoyé : 19/11/2019 19:02:36
Objet : [TECH] Re: [FRnOG] [TECH] Meraki... première et dernière...


Oui/Non David.

Ce n’est pas le coût qui me gêne mais les soucis ou les contraintes que l’on 
cache.

Les features mineures qui manquent je peux faire avec, elles arriveront (ou 
pas) avec le temps.

Mais je ne peux pas tolérer qu’un stack tombe en rade sans savoir pourquoi. 
Surtout que rien ne permet de comprendre (pas de log, pas de graph de CPU, de 
RAM, etc.).

Que sans internet, l’ensemble du réseau soit HS.

Que l’on ne puisse superviser en SNMP que le parc d’équipements actifs.

Que pratiquement le MOINDRE BPDU envoyé par un équipement connecté au réseau 
fasse tomber celui-ci (sachant que BPDU guard n’est pas dans mon cas une 
alternative et qu’il n’y a pas de BPDU filter). Niveau sécurité c’est juste 
hallucinant d’autant que par défaut les ports sont livrés BPDU guard désactivé.

Qu’un MX m’explique que je ne peux créer un ip virtual dans la conf de VRRP 
parce que l’un des hôtes est en /29 lorsque les deux périphériques ont un mask 
en /28.

Qu’à chaque modification, je ne sois pas stressée par le Locked-In Syndrom... 
Les LED de toutes les couleurs c’est bien mais on ne sait pas ce qui se passe...

Là où tu dis qu’ils ne cachent rien moi je dis qu’il ne communique pas... je 
n’aurai pas acheté en connaissance de cause... Et même si tu peux faire un POC, 
le matériel est généralement limité (un MX, un AP) et il est à peine arrivé 
qu’on te demande de le renvoyer.

Pour finir, j’ai discuté ce matin avec notre revendeur au sujet d’un RMA. Cisco 
à imposé à celui l’achat d’un nouveau switch (17k€) pour reprendre l’un des 
nôtres dont le numéro de série ne fonctionne pas.

Niveau garantie, c’est loin d’être une pratique concevable pour bon nombre 
d’entreprises.

Le hic c’est que c’est mon fournisseur qui va devoir gérer la situation. Si lui 
a payer sa facture à Meraki, c’est loin d’être mon cas. Et hors de question que 
je paye une infra qui fonctionne en pointillé. On a un point avec Cisco 
Vendredi tout dépendra de leur comportement et de leur retour pour résoudre ces 
soucis.

Jérôme




 Le 18 nov. 2019 à 12:31, David Ponzone  a écrit :

 Je ne tiens pas à défendre le modèle Meraki, qui a ses pros/cons maison:
 -ils ne forcent personne à acheter chez eux et ils ne cachent rien
 -tant que tu paies la licence, le hardware est sous garantie (donc à vie), ce 
n’est pas rien

 Si tu prends une licence 5 ans, que tu calcules donc ton coût annuel en 
maintenance, tu vas arriver à environ 8% du prix du matériel, ce qui est 
en-dessous du prix habituel chez Cisco.

 Après, la vraie question qu’on doit se poser avec Meraki sur la partie WIFI, 
c’est: ai-je vraiment besoin des fonctionnalités avancées de 
statistiques/tracking qui sont vraiment très orientées marketing/retail.
 Sinon, Ubiquiti ça marche et sur 5 ans c’est 8 fois moins cher.

 Par rapport aux problèmes de Jérôme, je n’ai jamais essayé les switch, parce 
qu’à mon avis, il sont très mal positionnés au niveau tarifaire.

 Mais encore une fois, ce ne sont pas des gangsters: on sait ce qu’on achète 
quand on va chez Meraki, et on sait qu’on va payer à vie, comme quand tu 
renouvelles tes Smartnet chez Cisco.
 Le succès de la marque est la preuve que le modèle convient à pas mal de 
clients, mais peut-être pas en France.


 Le 18 nov. 2019 à 09:35, Nicolas GIRARDI  a écrit :

 Bonjour,

 Ton message tombe à pic. Je suis actuellement en train de choisir une solution 
wifi sans contrôleur et je suis en balance entre des Ruckus r520 unleashed et 
des mr42. (Petit site de 100 personnes)

 Le côté cloud m’a toujours un peu rebuté  mais il faut vivre avec son temps. 
Avoir un contrôleur pour 4 bornes n’est pas justifié.

 Également le modèle de licensing de Meraki est abusif à savoir, on paie à la 
borne versus on paie 1 fois pour Ruckus. Le hardware est devenu une commodité 
il me semble. Du coup la logique de payer 1 fois le support pour un service me 
semble moins « gangster » pour réutiliser tes mots.

 Merci pour ton partage d’expérience.

 Nicolas Girardi.


 Le 17 nov. 2019 à 20:25, Jérôme Quintard  a écrit :


 J'ai dépensé près de 130k€ en matos Meraki pour un de nos sites.

 Côté hardware :


 *   Un MS425, pour lequel il a fallut près de 3 mois pour avoir un RMA car le numéro de 
série était déjà "utilisé" ailleurs.
 *   Des MS225 qui qui deviennent indisponibles... par enchantement et qui 
nécessite un redémarrag

Re: [FRnOG] [MISC] Configuration network, service publicité

[Baptiste Franchina]

Bonjour Jérôme
De suivre les préconisations d'Adobe : 
https://helpx.adobe.com/photoshop/kb/networks-removable-media-photoshop.html
Inciter les utilisateurs à travailleurs sur leur disque et renvoyer les 
fichiers une fois achevé
Le SSD et un bon réseau pour leur permettre de rapatrier rapidement les 
fichiers


A+

--
Baptiste Franchina
BoucheCousue
01 83 62 52 34

-- Message d'origine --
De: "Jerome Lien" 
À: frnog-m...@frnog.org
Envoyé : 04/11/2019 08:49:52
Objet : [FRnOG] [MISC] Configuration network, service publicité


Bonjour à tous,

nous possédons un service publicité (7 personnes) (qui à grandit récemment)
qui travaille sous Windows 10 et la suite adobe, indesign, photoshop,
illustrator et parfois première pro. Hors première pro, ils travaillent
couramment avec des fichier entre 80Mo jusqu'à 500Mo.
Le serveur de fichier un un VM sous windows 2016 avec disque SSD et un lien
1Gbps.
Les machines des utilisateurs sont des i9 ou des xeon, 32Go de ram, ssh ou
nvme et carte 1Gbps cuivre.

sauf qu'il se plaignent souvent de lenteur, plantage..

Après analyse, les soft adobe font énormément d’accès réseau car les
fichiers qu'ils utilisent sont lié à plein d'autres fichiers (ce qui est
normal en soit)

Avez vous des conseils sur l'infra que vous mettez en place pour ce genre
de service ?

merci, jérôme

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ICMP > 96 bytes sur 8.8.8.8/8.8.4.4

[Baptiste Jonglez]

On 18-10-19, Alarig Le Lay wrote:
> J’ai envie de dire « ça dépend » :p
> 
> alarig@herbizarre ~ $ mtr -bzwe -s 100 8.8.8.8
> Start: Fri Oct 18 12:42:14 2019
> HOST: herbizarre.swordarmor.fr  Loss%   Snt   
> Last   Avg  Best  Wrst StDev
>   1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209) 0.0%10   
>  0.2   0.3   0.1   0.4   0.0
>   2. AS204092 asbr01.cogent-rns.grifon.fr (89.234.186.7) 0.0%10   
>  0.4   1.7   0.4  12.4   3.7
>   3. AS34019  ve504-rt2-th2.bb.hivane.net (193.200.43.85)0.0%10   
>  9.3  16.2   9.3  76.1  21.0
>   4. AS34019  xe-0-0-3-rt2-vty.bb.hivane.net (193.164.153.195)   0.0%10   
>  9.8  12.8   9.7  37.4   8.7
>   5. AS34019  ge1-10-rt2-vty.bb.hivane.net (193.164.153.230) 0.0%10   
> 10.0  14.3   9.8  21.0   4.2
>   6. AS???google2.par.franceix.net (37.49.236.2) 0.0%10   
> 10.2  10.6  10.2  11.6   0.3
>   7. AS15169  108.170.244.1610.0%10   
> 16.9  19.0  16.6  38.7   6.9
>   8. AS15169  108.170.235.37 0.0%10   
> 10.3  10.9  10.2  15.8   1.6
>   9. AS15169  dns.google (8.8.8.8)   0.0%10   
> 10.4  10.3  10.1  10.4   0.0
> alarig@herbizarre ~ $ ping -s 100 -c4 8.8.8.8
> PING 8.8.8.8 (8.8.8.8) 100(128) bytes of data.
> 
> --- 8.8.8.8 ping statistics ---
> 4 packets transmitted, 0 received, 100% packet loss, time 7ms
> 
> 
> J’ai pas trop pigé le truc là…

C'est juste ta variante de ping qui n'aime pas les paquets tronqués et qui
ne t'affiche rien.  Pareil ici, ping ne montre rien mais je reçois
pourtant bien des réponses :


~$ ping -c 4 -s 200 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 200(228) bytes of data.

--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 8ms


11:58:15.491422 IP 172.23.184.82 > 8.8.8.8: ICMP echo request, id 5395, seq 1, 
length 208
11:58:15.516050 IP 8.8.8.8 > 172.23.184.82: ICMP echo reply, id 5395, seq 1, 
length 76
11:58:16.493582 IP 172.23.184.82 > 8.8.8.8: ICMP echo request, id 5395, seq 2, 
length 208
11:58:16.526372 IP 8.8.8.8 > 172.23.184.82: ICMP echo reply, id 5395, seq 2, 
length 76
11:58:17.494631 IP 172.23.184.82 > 8.8.8.8: ICMP echo request, id 5395, seq 3, 
length 208
11:58:17.521847 IP 8.8.8.8 > 172.23.184.82: ICMP echo reply, id 5395, seq 3, 
length 76
11:58:18.496148 IP 172.23.184.82 > 8.8.8.8: ICMP echo request, id 5395, seq 4, 
length 208
11:58:18.521121 IP 8.8.8.8 > 172.23.184.82: ICMP echo reply, id 5395, seq 4, 
length 76


Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re[2]: [FRnOG] [TECH] Client OpenVPN pour Win ?

[Baptiste Franchina]

https://www.sparklabs.com/viscosity/

--
Baptiste Franchina
BoucheCousue
-- Message d'origine --
De: "David Ponzone" 
À: "Grégory Poudrel" 
Cc : "frnog-tech" 
Envoyé : 11/10/2019 13:40:33
Objet : Re: [FRnOG] [TECH] Client OpenVPN pour Win ?




 Le 11 oct. 2019 à 13:37, Grégory Poudrel  a écrit :

 Bonjour,

https://openvpn.net/client-connect-vpn-for-windows/ 
<https://openvpn.net/client-connect-vpn-for-windows/>
 Ça fait le job depuis des lustres.



Je ne trouve pas.
Doc pathétique si tu veux faire des trucs un peu custom, 3 versions différentes 
au moins, avec des Install/fonctionnements différents.
Pas de GUI pour la config d’un tunnel, on sent que ça pousse pour vendre des 
Access Server.
Vraiment pas convaincu du produit.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Accès OOB 4G

[Jean-Baptiste COUPIAC]

Salut,
T
Tu as regardé du côté de Teltonika, le RUT955 par exemple ?
Super matos, ça gère Openvpn et probablement Ipsec (voir le manuel
d'utilisateur).

Nickel pour du Mgmt OOB

+

Le mer. 28 août 2019 à 19:09, Hugues Voiturier 
a écrit :

> Des opérateurs avec de la collecte EIT ? Je pense à Lasotel par exemple...
>
> Pour les Tunnels, j’ai déjà eu de la session fantôme sur du MikroTik côté
> LNS, mais en soi un kill et ça remonte...
>
>
> Sent from my iPhone
>
> > On 28 Aug 2019, at 19:02, David Ponzone  wrote:
> >
> >
> >
> >> Le 28 août 2019 à 18:33, Florent CARRÉ  a écrit :
> >>
> >> Effectivement David, tu as raison dans le cas d'IPv4 mais qu'en est-il
> des IPv6 ?
> >> Un accès direct peut être plus sympa, non ?
> >
> > Y a un opérateur qui fournit une vraie IPv6 publique en 4G ?
> > Qui ?
> >
> >> Quid du tunnel qui ne se rétablit pas ?
> >
> > Jamais eu de problème avec OpenVPN entre Mikrotik.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

Le mer. 28 août 2019 à 19:09, Hugues Voiturier 
a écrit :

> Des opérateurs avec de la collecte EIT ? Je pense à Lasotel par exemple...
>
> Pour les Tunnels, j’ai déjà eu de la session fantôme sur du MikroTik côté
> LNS, mais en soi un kill et ça remonte...
>
>
> Sent from my iPhone
>
> > On 28 Aug 2019, at 19:02, David Ponzone  wrote:
> >
> >
> >
> >> Le 28 août 2019 à 18:33, Florent CARRÉ  a écrit :
> >>
> >> Effectivement David, tu as raison dans le cas d'IPv4 mais qu'en est-il
> des IPv6 ?
> >> Un accès direct peut être plus sympa, non ?
> >
> > Y a un opérateur qui fournit une vraie IPv6 publique en 4G ?
> > Qui ?
> >
> >> Quid du tunnel qui ne se rétablit pas ?
> >
> > Jamais eu de problème avec OpenVPN entre Mikrotik.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Stacker ou ne pas stacker was : Switch PoE+

[Baptiste Chappe]

Hello,

On a 4 stacks en VSS de 4507blindé de ports cuivres et SUP2T. Que de la
conf simple,vlan, trunk, lag et rstp.

RAS en 4 ans.

Baptiste,

Le jeu. 1 août 2019 à 11:57, Xavier Beaudouin  a écrit :

> Hello,
>
> > En termes de stabilité :
> > - on a eu un crash d'un de nos 6500 en 15 ans : la réponse officielle du
> TAC
>
> (...)
>
> > Personnellement j'ai une grande préférence pour le stacking,
> essentiellement à
> > cause du management simplifié.
>
> Vas stacker du 6500 avec du VSS, tu vas voir si c'est simple (pas a
> manager, mais les
> emmerdes qui vont avec...) :)
>
> Moi les stack sauf si besoin sous contrainte de mort c'est non... :=)
>
> /xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Flow-Control / Bagots à 10G

[Jean-Baptiste COUPIAC]

Bonjour à tous,

Est ce que le flow-control , lorsqu'il n'est actif que d'un seul côté, peut
faire flaper un lien ? je m'explique :

d'un côté: baie SAN Compellent SCv3020 avec 8 ports 10G BaseT
de l'autre: switchs cisco Nexus 3064PQ avec 8 SFP 10G BaseT

Comportement:
Dès que je cable un port de la baie , en 10G, sur le switch, il flap
(toutes les 1s), jusqu'à ce que le port passe en linkFlapErrDisabled
Si je cable un port de switch en 10G BaseT avec un autre port de switch en
10G BaseT, je n'ai pas de flap => Les flaps n'interviennent qu'avec la baie.
Si je mets des SFP 1G , aucun flaps.
- Cables en CAT7 (800Mhz)
- Fix SolidOptics proposé mais sans effet (et pas sur que mon problème soit
lié aux SFP puisque sur un lien inter-switch, pas de flap...)

Avez vous déjà eu ce type de comportement ? Pensez vous que le problème est
lié au manque de flow-control côté switch ? (flow-control peut être
bloquant à 10G et pas 1G ...?)

Merci la liste !

__

Jean-Baptiste,

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Baptiste Chappe]

Hello,

Pour tout ce qui est Microsoft/Skype/ADFS, Microsoft demande de faire du
split DNS avec des serveurs proxy ADFS en DMZ pour le NDD principale.
Ici, on sur-écrit notre zone DNS publique en interne mais chaque
enregistrement est considéré comme une sous zone. Ainsi, si
l'enregistrement n'existe pas en Interne, le poste va résoudre le DNS
publique. C'est crade mais je ne vois pas trop d'alternative (sur du DNS
Microsoft).

Je voyais mal les milliers d'utilisateurs utiliser un login :
us...@auth.hello.com pour envoyer en ger...@hello.com

Baptiste,

Le lun. 11 févr. 2019 à 10:59, Philippe Bourcier  a
écrit :

> Re,
>
> > Attention, Maitre Capello passe :
> >
> >> Il n'y a aucun record dans cette sous zone
> >
> > Dans ce cas, ce n'est pas une zone mais juste un domaine.
>
> Oui, un sous-domaine, autant pour moi.
>
> >> sinon les records à la racine de celle-ci (. A IP).
> >
> > L'apex, pas la racine (qui a un autre sens pour le DNS).
>
> Là tu m'apprends carrément un nouveau mot :)
> J'ai toujours entendu "racine du domaine" (qui est effectivement différent
> de domaine racine).
>
> >> Ainsi on n'a pas besoin de recopier toute la zone racine
> >> (example.com)
> >
> > Le suffixe public, pas la racine (qui a un autre sens pour le DNS).
>
> Ou plus simplement "tout le domaine" (voire "toute la zone")...
>
> Merci pour ce moment lexicologique :)
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Don Blade IBM et Baie Netapp

[Baptiste Chappe]

Bonjour Thomas & Frnog.

Le matériel a trouvé preneur chez une association.

A+

Baptiste


Le mer. 9 janv. 2019 à 15:02, Thomas Samson  a écrit :

> Bonjour et bonne année,
>
> C'est deja parti, ou pas encore ? je suis interessé.
>
> --
> Thomas SAMSON
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Don Blade IBM et Baie Netapp

[Baptiste Chappe]

Bonjour la liste,

On donne les matériels suivants :

   - Blade Center IBM H
  - Doubles Alims
  - 9 Lames HS22 (Type 7870)
 - 2 CPU
 - 48 Go DDR
  - 2 Cartes Ethernets + 2 Cartes Fibre Channel
   - Netapp FAS2040 avec 2 Contrôleurs
  - 24 Disques 3Gbit/s – 1 TO/Disque


A venir récupérer sur Paris 17 ème Rue de Sausure. Ça tient dans 1/4 de
baie.

Baptiste

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Acquisition IPv4 /22

[Baptiste Chappe]

Bonjour,

Je vous confirme que l'attribution d'un /22 est toujours dispo. J'ai reçu
ce matin un nouveau range en tant que nouveau LIR.

Baptiste,

Le mar. 27 nov. 2018 à 11:07, Yannis Aribaud  a écrit :

> Au temps pour moi.
>
> Le RIPE a encore quelques blocs récupérés dispo:
>
> https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion
>
> Cordialement,
>
>
> 26 novembre 2018 22:03 "Matthieu Texier"  a
> écrit:
>
> > Bop bop bop …
> >
> > J’ai eu le mien en Septembre: avec une demande pour le moins légère en
> justification !
> >
> > Qui paye sa Dime et sa Gabelle, reçoit ses IP’s …
> >
> > Matthieu.
> >
> >> On 26 Nov 2018, at 20:23, Yannis Aribaud  wrote:
> >>
> >> Hello,
> >>
> >> Malheureusement c'est fini depuis un petit moment.
> >> Le RIPE n'a plus aucun bloc v4 à distribuer, même aux nouveaux LIR.
> >>
> >> Cordialement,
> >>
> >> 23 novembre 2018 19:22 "Clement Cavadore"  a
> écrit:
> >>
> >>> Hello,
> >>>
> >>> Ouvre un LIR :-)
> >>>
> >>> Clément
> >>>
> >>> On Fri, 2018-11-23 at 19:23 +0100, MERCKEL Aurélien wrote:
> >>
> >> Bonjour à toute la liste.
> >>
> >> Il me semble que ce sujet a été posté à plusieurs reprises.
> >> Nous recherchons à acquérir un bloc ipv4 /22.
> >>
> >> En vous remerciant par avance pour vos retours.
> >> Cordialement.
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org
> >>
> >> --
> >> Yannis Aribaud
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org
>
> --
> Yannis Aribaud
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Massive outage Cogent

[Baptiste Cottey]

Hello,


Idem sur Tours.

Cogent dans les choux depuis 4h32.

Tout semble rentré dans l'ordre depuis 9h45 environ.


[https://gravatar.com/avatar/e264b53dbcf8b0792f72de9541e02a29]

Baptiste Cottey

Association Proxgroup
www.proxgroup.fr<https://signature-maker.net/www.proxgroup.fr>
12 Rue Grécourt, 37000 TOURS

[https://s3.amazonaws.com/rkjha/signature-maker/icons/twitter_circle_color-20.png]<https://twitter.com/proxgroup>
 
[https://s3.amazonaws.com/rkjha/signature-maker/icons/facebook_circle_color-20.png]
 <https://facebook.com/proxgroup>  
[https://s3.amazonaws.com/rkjha/signature-maker/icons/wordpress_circle_color-20.png]
 <https://proxgroup.fr/blog/>



De : frnog-requ...@frnog.org  de la part de Thibault 

Envoyé : lundi 29 octobre 2018 09:46:00
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Massive outage Cogent

Hello la liste,

Pour nous, c'est Rennes, Rouen et Paris qui ont le mal de mer.
Par contre, Lille se porte à merveille. La bière du nord y serait pour
quelque chose ?

++

Le 2018-10-29 09:32, Youssef Bengelloun-Zahr a écrit :
> Apparement, y aurait eu un upgrade de code la nuit dernière sur paris
> mais pas vu passer le mail de maintenance :
>
> « Location: Paris (France)
> Start time: 10/28 22:00 GMT
> End time: 10/29 04:00 GMT
> Work order number: NC840-128 »
>
> De là à dire qu’il y a un lien...
>
> @++
>
>
>
>> Le 29 oct. 2018 à 09:31, Youssef Bengelloun-Zahr 
>> a écrit :
>>
>> Ouep,
>>
>> « Cogent is having a fairly broad outage in Europe at the moment, last
>> 40 mins. Master ticket HD10421872, top item on
>> http://status.cogentco.com/
>>
>> We are seeing spotty routing to Deutsche Telekom from source IPs in
>> the same advertised block - looks like a source/dest map and their
>> techs say failed hardware. »
>>
>> My 2 cents.
>>
>> @++
>>
>>
>>
>>> Le 29 oct. 2018 à 09:29, Josselin Lecocq
>>>  a écrit :
>>>
>>> Salut la liste,
>>>
>>> Il semblerait que le réseau de Cogent soit sujet à quelques menus
>>> problèmes depuis ce matin...
>>>
>>> Quelqu'un a des infos à ce sujet ?
>>> Leur NOC a l'air surchagé.
>>>
>>> --
>>> Josselin Lecocq
>>> Quantic Telecom
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème de performance Fastly / Equinix Paris (ECMP déséquilibré ?)

[Baptiste Jonglez]

Bonsoir,

On 15-07-18, Baptiste Jonglez wrote:
> On constate depuis quelques semaines des download parfois très lents
> depuis Fastly, sur l'archive Debian (deb.debian.org et security.debian.org).
> 
> Le symptôme : parfois le download est très rapide (> 100 Mbps voire 1 Gbps),
> parfois c'est très lent (3 à 4 Mbps).  Le tout depuis la même machine, à
> quelques secondes d'intervalle, en tapant sur la même IP Fastly.

D'après le support, le problème était bien causé par un lien qui merdait
dans un agrégat, sans plus de détails.  J'imagine que c'est sur leur
interco Equinix (2x100G d'après peeringdb) ou bien sur un étage
d'agrégation juste avant.  En tout cas, c'est résolu depuis lundi soir 16
juillet.

En terme de support, ils sont assez efficaces (merci Renaud pour le
contact initial !) :

- ils ont un site pour collecter des infos de debug : 
https://www.fastly-debug.com/
  Ça donne notamment le POP sur lequel on tombe, le RTT et débit
  (sous-)estimé depuis le POP, et la latence vers tous les autres POP.

- le support est joignable par mail à supp...@fastly.com : même sans être
  client chez eux, problème remonté à 14h30 UTC lundi dernier, résolu à 21h UTC.

Bonne soirée,
Baptiste

> 
> Pour tester, essayer de lancer plusieurs fois :
> 
>   $ wget -4 -O /dev/null 
> http://security-cdn.debian.org/pool/updates/main/l/linux/linux-image-3.2.0-6-rt-amd64-dbg_3.2.102-1_amd64.deb
> 
> Ça semble n'affecter que les clients qui sont redirigés vers l'instance
> Fastly à Paris (151.101.120.204 en IPv4, 2a04:4e42:1d::204 en IPv6) via
> GéoDNS.  Voilà un exemple depuis Gandi :
> 
>   https://paste.swordarmor.fr/zBv7
> 
> On passe de 9 minutes à 1 seconde, c'est un facteur 325 en performance
> selon si on a de la chance ou non !
> 
> 
> En testant avec le Ring NLNOG, le point commun entre tous les noeuds qui
> ont le problème, c'est que ça passe par Equinix Paris…  Ça sent très fort
> l'ECMP avec un des liens qui est complètement bouché (soit chez Equinix,
> soit chez Fastly).
> 
> Est-ce que quelqu'un a un autre moyen de tester l'infra de Fastly, pour
> voir si c'est spécifique au miroir Debian ou pas ?  J'ai pas trouvé de
> « Speedtest fastly » fourni par Fastly.  Et sinon, quand est-ce que Fastly
> se connecte au FranceIX ? ;)
> 
> Bonne soirée,
> Baptiste
> 
> 
> PS : sur des AS qui passent par des PNI avec Fastly à Paris (Telia, NTT),
> ça fonctionne bien à tous les coups :
> 
>   https://paste.swordarmor.fr/SNOP
>   https://paste.swordarmor.fr/alu7
> 
> En supposant que le PNI est bien aussi pris au retour, ça semble dire que
> le problème est chez Equinix et pas chez Fastly.
> 
> Idem depuis de la fibre Orange et SFR (qui ont probablement aussi des PNI
> avec Fastly ?  je n'ai pas d'accès rapide pour faire un traceroute), ça
> fonctionne correctement.




signature.asc
Description: PGP signature

[FRnOG] [TECH] Problème de performance Fastly / Equinix Paris (ECMP déséquilibré ?)

[Baptiste Jonglez]

Hello,

On constate depuis quelques semaines des download parfois très lents
depuis Fastly, sur l'archive Debian (deb.debian.org et security.debian.org).

Le symptôme : parfois le download est très rapide (> 100 Mbps voire 1 Gbps),
parfois c'est très lent (3 à 4 Mbps).  Le tout depuis la même machine, à
quelques secondes d'intervalle, en tapant sur la même IP Fastly.

Pour tester, essayer de lancer plusieurs fois :

  $ wget -4 -O /dev/null 
http://security-cdn.debian.org/pool/updates/main/l/linux/linux-image-3.2.0-6-rt-amd64-dbg_3.2.102-1_amd64.deb

Ça semble n'affecter que les clients qui sont redirigés vers l'instance
Fastly à Paris (151.101.120.204 en IPv4, 2a04:4e42:1d::204 en IPv6) via
GéoDNS.  Voilà un exemple depuis Gandi :

  https://paste.swordarmor.fr/zBv7

On passe de 9 minutes à 1 seconde, c'est un facteur 325 en performance
selon si on a de la chance ou non !


En testant avec le Ring NLNOG, le point commun entre tous les noeuds qui
ont le problème, c'est que ça passe par Equinix Paris…  Ça sent très fort
l'ECMP avec un des liens qui est complètement bouché (soit chez Equinix,
soit chez Fastly).

Est-ce que quelqu'un a un autre moyen de tester l'infra de Fastly, pour
voir si c'est spécifique au miroir Debian ou pas ?  J'ai pas trouvé de
« Speedtest fastly » fourni par Fastly.  Et sinon, quand est-ce que Fastly
se connecte au FranceIX ? ;)

Bonne soirée,
Baptiste


PS : sur des AS qui passent par des PNI avec Fastly à Paris (Telia, NTT),
ça fonctionne bien à tous les coups :

  https://paste.swordarmor.fr/SNOP
  https://paste.swordarmor.fr/alu7

En supposant que le PNI est bien aussi pris au retour, ça semble dire que
le problème est chez Equinix et pas chez Fastly.

Idem depuis de la fibre Orange et SFR (qui ont probablement aussi des PNI
avec Fastly ?  je n'ai pas d'accès rapide pour faire un traceroute), ça
fonctionne correctement.


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Augmentation de la latence entre la Chine et la France depuis le 19/06

[Baptiste Chappe]

Bonjour Pablo,

Perso je fais du Aliyun depuis 1 ans sans difficultés.

Les tips :
- Faire du stunnel entre HK et China pour éviter les coupures du VPN.
- Selon les heures de la journée, basculer le routage OpenVpn entre
différente VM dans différente zone pour garder une latence acceptable.

Niveau tarif : En pay as you go sur du Debian, un 20 dollars/mois/vm

Bon courage :)

Baptiste


Le 28 juin 2018 à 15:48, Pablo BADIA  a écrit :

> Bonjour,
>
> On peut (c'est justement ce que China Telecom nous propose). Je suis pas
> contre le contact pour comparer leur offre.
>
> Merci
>
> Cordialement / Best regards
>
>
>
> Pablo BADIA
> ADMINISTRATEUR RESEAU
> Route de Ceret
> 66110 Amelie les bains - Palalda – FRANCE
> pablo.ba...@sterimed.fr
>
>
> 04 68 87 59 43
>
> 464
>
> www.sterimed.fr
>
>
>
> -Message d'origine-
> De : Benjamin BILLON [mailto:bbil...@splio.com]
> Envoyé : jeudi 28 juin 2018 15:21
> À : Pablo BADIA ; Nico G 
> Cc : Pierre Emeriaud ; frnog-t...@frnog.org
> Objet : RE: [FRnOG] [TECH] Augmentation de la latence entre la Chine et la
> France depuis le 19/06
>
> Si tu peux te permettre d'utiliser des machines (et pas juste du réseau),
> jette un oeil à ce qu'Aliyun peut proposer. Ils sont présents en Europe, ou
> Singapour (plus rapide que HK), et leur réseau interne fonctionne bien.
> Toi France => Aliyun monde => Aliyun Chine => Toi en Chine
>
> (j'ai un contact en France si besoin)
>
> --
> Benjamin
>
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of
> Pablo BADIA
> Sent: Thursday, 28 June, 2018 21:08
> To: Nico G 
> Cc: Pierre Emeriaud ; frnog-t...@frnog.org
> Subject: RE: [FRnOG] [TECH] Augmentation de la latence entre la Chine et
> la France depuis le 19/06
>
> Bonjour,
>
> Merci pour ce retour. De toute évidence il nous reste donc une grosse
> marge de négo avec les tarifs annoncés par China Telecom...
>
> J'avais déjà entendu parler de cette archi pour sortir de Chine, me reste
> à voir les tarifs d'implémentation.
>
> Cordialement / Best regards
>
>
>
> Pablo BADIA
> ADMINISTRATEUR RESEAU
> Route de Ceret
> 66110 Amelie les bains - Palalda – FRANCE pablo.ba...@sterimed.fr
>
>
> 04 68 87 59 43
>
> 464
>
> www.sterimed.fr
>
>
>
> -Message d'origine-
> De : Nico G [mailto:nico.garn...@gmail.com] Envoyé : jeudi 28 juin 2018
> 14:59 À : Pablo BADIA  Cc : Pierre Emeriaud <
> petrus...@gmail.com>; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH]
> Augmentation de la latence entre la Chine et la France depuis le 19/06
>
> Salut,
>
> Les prix que je vois passer en ce moment pour des MPLS vers china
> mainland. (Zones manufacturières à côté de Shanghai - enfin à côté tout est
> relatif).
> 4M : entre 10 et 15k/an
> 10M : entre 24-28K/an
>
> Si tu envisages de l’ipsec, sdwanisé ou non, le choix des ISP en France et
> en Chine sera important pour optimiser les latences, sans garantie dans
> tous les cas.
> Pour faire de l’Internet non filtré, il s’agit souvent de passer par un
> bout de MPLS entre le site et Hong Kong , puis de sortir en public à partir
> de là, ça reste plus open.
>
> Nicolas
>
> > Le 28 juin 2018 à 14:39, Pablo BADIA  a écrit :
> >
> > Bonjour,
> >
> > D'abord merci pour votre réponse, ensuite pour info le site de prod est
> tout nouveau et la politique a été "si ça marche tant mieux si ça marche
> pas on réfléchira à une autre solution" (en résumé, pour des raisons de
> coûts). On est bien d'accord sur le rapport coût du lien / indispo de
> production, mais tant que les décideurs n'y sont pas confrontés en général
> ça se passe comme ça (chez nous en tout cas).
> >
> > Je cherche donc actuellement une autre solution. Je sais qu'un MPLS à
> 40k l'année ne passera pas au budget, mais je suis preneur de toute autre
> solution pour stabiliser notre lien (4 Mo seraient suffisants à partie du
> moment où la latence est en dessous de 300 ms et le lien stable). Je vais
> déjà creuser les réponses de Nicolas, Grégoire et Jean-Henri.
> >
> > Merci à tous pour votre aide
> >
> > Cordialement
> >
> > Pablo BADIA
> >
> >
> >
> > -Message d'origine-
> > De : Pierre Emeriaud [mailto:petrus...@gmail.com] Envoyé : jeudi 28
> > juin 2018 13:46 À : Pablo BADIA  Cc :
> > frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Augmentation de la
> > latence entre la Chine et la France depuis le 19/06
> >
> >> Le 28 juin 2018 à 12:10, Pablo BADIA  a écrit
> :
> >> Bonjour la liste,
>

Re: [FRnOG] [TECH] Logiciel de topologie réseau

[Baptiste Chappe]

Bonjour,

Je confirme pour The Dude. Ça pique mais ça fait carrément bien le job pour
l'avoir vu tourné pour une infra de 7000 Mikro (prévoir un peu de RAM et de
l'IO Disk).
L'ensemble de l'outil est entièrement customisable pour du discover et du
pool de service. Intégration de script Windows et Nagios sans difficultés.
Il y a des poolers déportés assez facilement aussi.

Il me semble qu'il y a une licence depuis 2 ans et que c'est only Windows
avec l'obligation de faire un TSE pour voir l'outil (pas de front web).

Baptiste.

Le 28 mai 2018 à 15:23, Joël DEREFINKO  a écrit :

> Ah sinon, y'a "The Dude" de Mikrotik.
> Gratuit, mais ca pique un peu aux yeux...
>
> https://mikrotik.com/thedude
>
>
>
> Joël
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
> de Joël DEREFINKO
> Envoyé : lundi 28 mai 2018 15:20
> À : julien soula; françois Dumond
> Cc : pascal.val...@free.fr; frnog@frnog.org
> Objet : RE: [FRnOG] [TECH] Logiciel de topologie réseau
>
> Bonjour,
>
> La réponse de Phil Regnauld a l'air d'être passée inaperçue : netdisco2 a
> l'air de répondre à ton besoin (j'ai découvert au passage).
>
> https://metacpan.org/pod/App::Netdisco
>
> Démo :
> https://netdisco2-demo.herokuapp.com/inventory
>
> Joël
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
> de julien soula
> Envoyé : lundi 28 mai 2018 15:07
> À : françois Dumond
> Cc : pascal.val...@free.fr; frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] Logiciel de topologie réseau
>
> On Mon, May 28, 2018 at 02:19:30PM +0200, françois Dumond wrote:
> > Oula j en demande pas temps, juste les interconnexion avec le numéro de
> > port ca me va... Et une topologie du réseau simple... Après l'âge de
> > l'administratrice en fonction du mots de passe serait un plus... 
>
> chez nous, on utilise Nedi. C'est GPL et en perl (donc Windows
> aussi). C'est un peu simpliste mais ca fait le boulot (exploration,
> neighbour, hosts...)
>
> a+,
> --
> Julien
> << Vous n'avez rien a dire... Parlons-en! >>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

[Jean-Baptiste COUPIAC]

Bonjour à tous,

Je me permet de rebontir car j'essai d'annoncer en OSPF un /16 dont la GW
serai une @IP vrrpv3 secondary.
J'ai pas l'impression que ca marche très bien ^^

*ip prefix-list Vlan176 seq 5 permit 10.76.0.0/24 <http://10.76.0.0/24>*
*ip prefix-list Vlan176 seq 10 permit 10.77.0.0/16 <http://10.77.0.0/16>*

*interface Vlan176*
*  no shutdown*
*  ip address 10.76.0.252/24 <http://10.76.0.252/24>*
*  ip ospf passive-interface*
*  vrrpv3 2 address-family ipv4*
*address 10.76.0.254 primary*
*address 10.77.255.254 secondary*

* redistribute direct route-map routes-Vlan176*

La redistribution du 10.76 est fonctionnelle mais pas celle du 10.77. Suis
je obligé d'avoir une ip physique dans le range 10.77 pour redistribuer en
ospf ?

+

__
Jean-Baptiste


Le 6 avril 2018 à 09:17, David Ponzone  a écrit :

> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique
> à une des IP réelles.
> Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.
>
> Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :
>
> > Hello la liste,
> >
> > Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> > spécifique pour la virtuelle.
> >
> > Ça a l'air bien expliqué ici :
> > https://www.randco.fr/blog/2012/2045/
> >
> > En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui
> soit
> > définie.
> > En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> > pour ne pas avoir d'interruption de service le temps que la table ARP
> soit
> > refreshée.
> >
> > C'est expliqué au chapitre  8.1.2
> > <https://tools.ietf.org/html/rfc5798#section-8.1.2>. "Host ARP
> Requests",
> > ici :
> >
> > https://tools.ietf.org/html/rfc5798
> >
> >
> >
> > Pour éviter une blague en prod, je te recommande de vérifier la MAC
> address
> > table en face de chaque interface histoire de voir si tu as bien 3
> adresses
> > MAC en tout ; 2 physiques et 1 virtuelle.
> > Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> >
> >
> > Cordialement,
> > Cédric Houzé.
> >
> >
> >
> > Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a
> écrit :
> >
> >> Bonsoir,
> >> je me lance pour ma première réponse dans la mailing list :)
> >> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
> >> Nexus (jusque là c'est classique).
> >> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
> >> IP dans les familles d'adresses.
> >> En IPv4, il y a la primaire et la secondaire. La primaire sert
> uniquement
> >> de next hop, tous les paquets qui sont directement adressés à cette
> adresse
> >> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on
> veut
> >> causer directement à l'équipement.
> >> En IPv6, il faut configurer une adresse globale ET une adresse
> link-local
> >> qui servira de next-hop pour les hôtes.
> >> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
> >> template de conf trouvé dans le guide des Nexus 3000 :
> >>
> >> interface Vlan20
> >> vrrpv3 10 address-family ipv4
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address 20.1.1.1 primary
> >> address 20.1.1.5 secondary
> >> vrrpv3 10 address-family ipv6
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address fe80::1 primary
> >> address 2011::5
> >>
> >> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
> >>
> >>
> >> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/ne
> xus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
> >>
> >> Cordialement,
> >>
> >> LECLERC Eric
> >>
> >> Mobile +33 6 95 07 88 59
> >>
> >> er.lecler...@gmail.com
> >>
> >> Le 5 avril 2018 à 22:58, Michel Py 
> a
> >> écrit :
> >>
> >>>> David Ponzone a écrit :
> >>>> Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
> >>> IP réelle par routeur, et une IP virtuelle flottante.
> >>>> Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses
> IP.
> >>>> Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
> >>> identique à une des IP réelles, mais cela me semble risquer.
> >>>
> >>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
> >>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes
> de
> >>> HSRP, pas VRRP).
> >>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] TCP vs. UDP : les chiffres

[Baptiste Jonglez]

Bonjour,

On 08-02-18, Stephane Bortzmeyer wrote:
> Est-ce que quelqu'un a des chiffres *récents* sur la part de trafic
> TCP vs. UDP, à divers endroits du réseau ? Je ne trouve que des vieux
> chiffres comme
> <http://www.caida.org/research/traffic-analysis/tcpudpratio/> qui ne
> tiennent pas compte, par exemple, de WebRTC.

Note que ces données de trafic sont collectées en continu et publiquement
accessibles, par exemple ici pour Equinix Chicago :

http://www.caida.org/data/monitors/passive-equinix-chicago.xml
http://www.caida.org/data/realtime/passive/?monitor=equinix-chicago-dirA

Par contre la collecte s'est arrêtée autour de 2015-2016 (visiblement
parce que le lien est passé en 100G...), mais c'est déjà plus récent que
l'étude dont tu parles.

J'ai fait de la biblio sur le sujet il y a quelques mois, et côté
académique le plus récent que j'avais trouvé c'est ça :

https://wand.net.nz/sites/default/files/imc27-alcock.pdf

Ça se base sur du trafic collecté en septembre 2015 sur un campus en
Nouvelle-Zelande, pendant une semaine.  Attention, il y a une erreur sur
le nombre de flots UDP/53, c'est 364M et non 364G...

Dans les trucs intéressants il y a QUIC (déjà à l'époque), qui pèse 1.2 To
contre 12 To pour HTTPS et 11 To pour HTTP.

Et sinon, comme attendu, DNS domine en nombre de flots (364M flots DNS,
contre 126M flots en combinant HTTP+HTTPS+QUIC).  Par contre en octets ça
représente moins de 1%.  C'est dommage qu'il n'y ait pas les statistiques
en paquets dans le papier.

Si tu trouves des études encore plus récentes, ça m'intéresse :)

Baptiste


signature.asc
Description: PGP signature

Re: [FRnOG] [MISC] cherche fournisseur pour jarretières fibre

[Jean-Baptiste COUPIAC]

Salut,

Lightmax, ils sont sympa et ont un bon catalogue : http://lightmax.fr
+

Le 13 oct. 2017 6:27 PM, "Clément Guivy"  a écrit :

> Salut, je cherche une boutique sérieuse qui peut fournir des jarretières
> fibre en faible quantité dans un délai assez court (< 1 semaine), pour un
> besoin basique : entre 1 et 10 m, OS2 ou OMx, connecteurs LC, SC, ou SC/APC
> dans la plupart des cas.
>
> Vous achetez chez qui, vous ?
>
> Merci.
>
>
>
> clément
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: auto-negotiation entre Juniper EX3400 et VmWare

[Jean-Baptiste COUPIAC]

Tu as changé tes câbles cuivres pour voir si le problème n'était pas là
bêtement ?

+

__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
9 rue Ritay 31000 Toulouse - France | www.nfrance.com


Le 12 octobre 2017 à 14:27, Kevin Thiou  a écrit :

> Pour info les statu actuel me dit que l'auto-neg a fonctionné
>
> Côté juniper :
>
>   Autonegotiation information:
> Negotiation status: Complete
> Link partner:
> Link mode: Full-duplex, Flow control: Symmetric, Remote fault: OK,
> Link partner Speed: 10 Mbps
> Local resolution:
> Flow control: None, Flow control tx: Disabled, Flow control rx:
> Disabled, Remote fault: Link OK, Local link Speed: 10 Mbps, Link mode:
> Full-duplex
>
>
> Côté VmWare :
>
> wmic0 100 Complet Négocier vSwitch0
>
> négocier mais pas sur la même vitesse, je ne comprends pas.
> J'ai de la connectivité mais un débit très bas.
>
> Le 12 octobre 2017 à 14:19, Kevin Thiou  a écrit :
>
> > Bonjour,
> >
> > je viens d'installer 2 EX3400 en VC. Ils tournent sur JunOS 15.1X53-D56.
> >
> > Je branche mon serveur dessus, l'interface de l'idrac négocie 100M/full
> > sans problème.
> >
> > L'interface Gb1 ne réussie pas la négociation, le serveur tourne avec un
> > VmWare 6.5.
> >
> > J'ai essayer de forcer en 1G/full des deux côtés sans succès, le port
> > passe down.
> >
> > Quelqu'un a t il déjà eu ce problème ?
> >
> > J'ai essayé pas mal de configuration, la dernière en date :
> >
> > ge-1/0/0 {
> > ether-options {
> > auto-negotiation;
> > }
> > unit 0 {
> > family ethernet-switching {
> > interface-mode trunk;
> > vlan {
> > members [ admBackend Stockage ];
> > }
> > }
> > }
> > }
> >
> > je suis preneur de toute idée.
> >
> > Merci
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Housing 1U TH2

[Jean-Baptiste COUPIAC]

On ne pas s'installer en sous-location et ré-utiliser des emplacements sur
le tiroir existant du bailleur (si ce dernier est ok bien sur :), et s'il
dispose d'un tiroir ) ?
+

__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 27 septembre 2017 à 16:34, Hugues VOITURIER 
a écrit :

> Bonjour,
>
> J’ai peut-être raté un truc, mais dans 1U, tu n’as pas la place de mettre
> ton équipement et un tiroir de fibres, du coup, c’est quoi l’idée ? :p
>
> Hugues,
>
>
> > On 27 Sep 2017, at 16:22, Jean-Baptiste COUPIAC <
> jeanbaptiste.coup...@nfrance.com> wrote:
> >
> > Bonjour,
> >
> > Nous recherchons un espace d'hébergement 1U:
> >
> >   - Emplacement: *TH2*
> >   - Prises: 1 ou 2 ports C13
> >   - Conso: 100W max
> >   - Engagement:  12 mois max
> >
> > Contact en MP
> >
> > Merci d'avance,
> > __
> >
> > *Jean-Baptiste COUPIAC*
> > Tél. : +33 5 34 45 55 01
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Housing 1U TH2

[Jean-Baptiste COUPIAC]

Bonjour,

Nous recherchons un espace d'hébergement 1U:

   - Emplacement: *TH2*
   - Prises: 1 ou 2 ports C13
   - Conso: 100W max
   - Engagement:  12 mois max

Contact en MP

Merci d'avance,
__

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 01

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur switch juniper ex3300

[Jean-Baptiste COUPIAC]

Salut,

On utilise des EX3300 depuis quelques années à présent.
Aucun soucis, fiable, et surtout JunOS , avec son commit confirmed.

Niveau prix, un EX3300 en 48T, c'est moins de 1400€, donc plutôt bon marché
(pas besoin de carte additionnelle pour le VC)

A regarder aussi du coté des EX3400 qui sont pas beaucoup plus cher, et
avec 2*40Gbit/s pour le VC (et donc la libération de 2*10Gbits)

+

__


*Jean-Baptiste*




Le 13 juillet 2017 à 11:43, David Ramahefason  a écrit :

> white box switches avec Cumulus Linux ca reviens moins cher je pense.
> 6 qui tournent depuis presque 2 ans sans pb (fabric en OSPF pour le
> moment, mais ca tourne en BGP aussi)
>
> Sinon le v-Chassis Jun ca marche oui, utilisé il y a qq années sur des
> EX2500 (mais solution proprio).
>
> David
>
>
> > On 13 Jul 2017, at 11:39, Michaël  wrote:
> >
> > Bonjour,
> >
> > je cherche des switch TOR.
> >
> > Dans l'idéal je voudrais des arista 7010T. Mais pour des questions de
> budget, je cherche des alternatives moins cher pour les services moins
> sensibles.
> >
> > Je pensais mettre 2 EX3300 en TOR afin de minimiser les couts.
> >
> > Avez vous un retour d'expérience sur ces équipements, ainsi que sur la
> solution de virtual chassis de juniper ?
> >
> > Merci
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Supervision réseau

[Jean-Baptiste COUPIAC]

Salut,
Facile à mettre en place:
*Centreon + Centreon Plugin pack* (à prendre sur Git).
Si tu veux approfondir, tu peux utiliser les modèles. Pas mal de doc en
français pour débuter !

+

__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 6 juin 2017 à 15:07, Idriss SOIDIKI 
a écrit :

> Bonjour,
>
> Il y a Nagios, Observium aussi peu de gens connaissent mais c'est cool.
>
> Cordialement,
>
>
> Le 04/06/2017 14:05, Thin-hinen Hedli a écrit :
>
>> Chère Liste,
>>
>> Je suis stagiaire, en master réseau et systèmes embarqués et je sollicite
>> votre aide dans le cadre de la mise en place de la supervision réseau (
>> LAN
>> embarqué).
>> J'ai 6 équipements réseau (switch/switch-routeur) avec chacun derrière une
>> dizaine de PC et devices, des flux de toutes sortes : temps réel, vidéo,
>> data... La plupart des PCs ont deux cartes réseaux dans des VLAN séparés.
>> Je cherche une solution open source pour gérer la supervision, de
>> préférence "facile" à mettre en place :D
>> Qu'est ce que vous me conseillez ?
>> Merci pour vos avis expérimentés.
>>
>>
>> Thin
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
> --
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH]

[Jean-Baptiste COUPIAC]

Bonjour,

Merci de vos réponses.
En effet, ces deux réseaux ne peuvent pas être unifiés.
Merci pour l'idée de propager un vlan sur les postes clients + KVM le tout
avec un / des routeur(s) au milieu (dois je faire obligatoirement du vxlan
dans ce cadre ?).

Pour un peu  résumer: les ranges IPs de mes deux réseaux (clients / KVM)
sont forcements différentes. Je dois par contre pouvoir découvrir, depuis
les clients, les KVMs. (le poste client fait un broadact
255.255.255.255:8000 pour découvrir des KVMs).
Solution 1:  Je peux placer tous les KVMs dans un même Vlan, et propager ce
Vlan (en taggé) jusqu'à mes postes clients. Mes clients devront par contre
avec une interface Vlan configuré sur leur poste (en plus du flux dé-taggé
"classique").
Solution 2: Est ce que ip helper-address peut aider dans le cadre d'un
broadcast UDP (255.255.255.255:8000) ? (d'après
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/configuration/12-4/iap-12-4-book/iap-bph.html#GUID-C0348E9F-D9BD-4AAC-8EBA-1684CEAA36C9
, je penses que oui). De toute façon, c'est pour Cisco, et moi je route
sous FreBSD ^^.
Après quelques recherches, j'ai peut être trouvé mon bonheur:
http://www.joachim-breitner.de/udp-broadcast-relay/ (un peu vieu, mais si
ca fait le taf)


+


__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 12 mai 2017 à 10:17, Michel Hostettler <
michel.hostett...@telecom-paristech.fr> a écrit :

>
> > L'usage d'un VLAN commun sur tes deux L2 pour avoir un même domaine de
> diffusion par exemple.
>
> Cela supposerait 2 adressages IP. Toutes les machines dans le VLAN commun
> doivent aussi être dans le même sous-réseau IP.
>
> > Configuré le routeur en pont ou le remplacer par un switch
>
> J'ai pas l'impression que cela change quoi que ce soit. La couche IP des
> machines terminales ne sera pas nécessairement atteinte, sauf si elles sont
> dans le sous-réseau IP.
>
> Cordialement,
> Michel
>
>
> - Mail original -
> De: "Xavier ROCA" 
> À: frnog-t...@frnog.org
> Envoyé: Jeudi 11 Mai 2017 19:34:59
> Objet: RE: [FRnOG] [TECH]
>
> Bonsoir,
>
> L'usage d'un VLAN commun sur tes deux L2 pour avoir un même domaine de
> diffusion par exemple.
> Cela est peut être incompatible avec l'archi déjà en place, surtout qu'il
> doit bien y avoir une raison d'avoir deux L2 sur un même routeur...
> Sinon  :
> Configuré le routeur en pont ou le remplacer par un switch
> Ok c'est pas encore Dredi je sors
> mais sans plus d'info sur l'archi cela va être dur de bien répondre.
>
> Xavier
>
> -Message d'origine-
> De : Jean-Baptiste COUPIAC [mailto:jeanbaptiste.coup...@nfrance.com]
> Envoyé : jeudi 11 mai 2017 09:53
> À : frnog-t...@frnog.org
> Objet : [FRnOG] [TECH]
>
> Bonjour la liste,
>
> J'utilise une appli KVM (ATEN) qui broadcast sur 255.255.255.255 pour
> découvrir ses petits.
>
> Bien que cette découverte ne soit pas parfaite, elle a le mérite de
> simplifier la vie aux utilisateurs.
> Cette découverte est limité à un même niveau 2.
>
> Malheureusement, les postes de mes utilisateurs (appli KVM) ne sont pas
> sur le même L2 que les KVM. La découverte n'est donc plus fonctionnelle.
>
> Connaissez vous un moyen (sale ou propre) pour faire fonctionner une
> découverte sur 255.255.255.255 dans deux L2 différents ? (proxy ***?) A
> savoir, mes deux L2 sont en directly connected sur un même routeur.
>
> Merci beaucoup,
>
> __
>
> *Jean-Baptiste,*
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH]

[Jean-Baptiste COUPIAC]

Bonjour la liste,

J'utilise une appli KVM (ATEN) qui broadcast sur 255.255.255.255 pour
découvrir ses petits.

Bien que cette découverte ne soit pas parfaite, elle a le mérite de
simplifier la vie aux utilisateurs.
Cette découverte est limité à un même niveau 2.

Malheureusement, les postes de mes utilisateurs (appli KVM) ne sont pas sur
le même L2 que les KVM. La découverte n'est donc plus fonctionnelle.

Connaissez vous un moyen (sale ou propre) pour faire fonctionner une
découverte sur 255.255.255.255 dans deux L2 différents ? (proxy ***?)
A savoir, mes deux L2 sont en directly connected sur un même routeur.

Merci beaucoup,

__

*Jean-Baptiste,*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik RB2011 limitation bande passante

[Baptiste Chappe]

Hello,

C'est une bonne piste le coup du bridge.
J'avais remarqué qu'entre les deux masterswitch bridgé, j'étais capé à
100mbits et non en 1000 de chaque interface.
Vérifie le CPU qui explose si tu actives netflow ou que as un peu trop de
packets entre les interfaces

Baptiste

Le 25 avril 2017 à 19:23, Julien Escario  a écrit :

> Le 25/04/2017 à 14:47, Michaël a écrit :
>
>> bonjour,
>>
>> j'ai un lien 200Mbits/s sur lequel j'ai installé un Mikrotik RB2011.
>>
>> Quand je test le lien je plafonne à 94Mbit/s. J'ai tester sans le
>> mikoritk et j'ai bien mon débit max.
>>
>> Y a t'il une limitation que je n'aurais pas vu, peut être au niveau
>> licence ou même hardware ?
>>
>
> Normalement, le RB2011 peut faire mieux.
>
> Une piste : le routeur est livré avec un vilain bridge entre les ports 1G
> et les ports 100Mbps.
>
> Est-ce que ça ne serait pas une source de limitation ? Il faudra que je
> teste ça, jamais testé avec plus de 100Mbps et maintenant, on s'oriente
> plutôt vers les RB3011 comme CPE fibre.
>
> Julien
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] max MTU sur ONT FTTH Orange

[Jean Baptiste Favre]

Hello Jérome,

On 06/04/2017 09:56, Jérôme Nicolle wrote:
> Bonjour Sarah,
> 
> Le 30/03/2017 à 11:54, Sarah Nataf a écrit :
>> Alors clairement : non. Mais je ne doute pas que l'intelligence
>> collective découvrira la ou les ingénieries à utiliser (d'ailleurs il me
>> semble qu'il y avait déjà des marquages DSCP sur les qq forums survolés).
> 
> En effet, on finira bien par trouver les détails manquants. Le problème
> suivant est juste de l'implémenter avec les limites des équipements à
> disposition ;-)
> 
> Je n'ai trouvé aucun moyen d'altérer le marquage en sortie du mikrotik,
> la règle mangle en chain output est bien valide mais sans effet. Du
> coup, ça sent fort le mini-PC recyclé en guise de CPE…
> 
> Je suis toujours preneur de suggestion, afin d'"éviter d'intercaler un
> switch entre l'ONT et et le CPE sur ce setup.

À ma connaissance, il existe 1 solution sûre (confirmée) qui consiste à
créer un bridge dans lequel tu intègres l'interface VLAN 832 d'orange.
Les règles de FW s'appliquent alors et la règle mangle marque bien le
paquet.
Par contre, visiblement, y a un impact sur les perfs :-/

++
JB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] max MTU sur ONT FTTH Orange

[Jean Baptiste FAVRE]

Hello,

On 30/03/2017 11:22, David CHANIAL wrote:
> Bonjour,
>
>> On 30 Mar 2017, at 10:54, Jérôme Nicolle  wrote:
>>
>> Avant ça on pouvait bypasser la livebox avec une requête DHCP portant
>> les options 77 et 90 appropriées, sur le VLAN832 au cul de l'ONT.
>>
>> Maintenant il semblerait que la requête elle même doive avoir un
>> marqueur DSCP spécifique, ce qui n'est pas possible simplement sur la
>> pluaprt des équipements.
>
> Oui, les paquets doivent sortir avec ToS 6 au lieu de 10.
> Il faut soit modifier le client dhcp, soit modifier les paquets qui en
sortent avec le pare-feu ou le switch.

Oui et non.
A priori, ça dépend aussi de la zone géographique.

Dans mon cas, ça fonctionne parfaitement sur un routeur Mikrotik sans
réglage de la QoS/DSCP.

J'ai cru devoir en passer par DSCP après un déménagement, mais en fait non.
Sur mon Mikrotik, il faut s'assurer que l'interface vlan correspondant
au VLAN 832 d'Orange utilise bien l'option "use-service-tag=no". C'est
normalement le cas par défaut, mais j'ai du le changer par mégarde.

Mes 2 cents,
JB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Linux, Multicast et VXLAN

[Baptiste Malguy]

Hello Vincent,

J'ai déjà lu ta page en fait, pas plus tard qu'hier. J'étais parti pour
utiliser pimd (de manière assez arbitraire) à l'étape d'après, mais je te
confirme que je n'ai aucun démon configuré pour router. ip mroute ne
retourne rien de rien.

En revanche, ton idée m'a permis de voir une erreur dans mon setup, et oui
j'ai bien quelque chose d'autre qui réinjecte la trame multicast ... comme
quoi il était nécessaire par principe que je pose la question, pour me
faire lever le nez.

Je vais attaquer la partie router.

Donc, merci !

PS : toutes mes confuses pour les yeux qui piquent avec les fautes de mon
premier mél (s/trop/troll/, etc).

Le 2 décembre 2016 à 15:45, Vincent Bernat  a écrit :

>  ❦  2 décembre 2016 14:53 +0100, Baptiste Malguy  :
>
> > Immédiatement les annonces multicast vers 239.0.0.10 sont émises depuis
> > 192.168.50.5 sur eth0 et eth1, au lieu de eth0 seul.
>
> Perso, je trouve cela fort suprenant si tu n'as pas encore mis de démon
> de routage multicast. Linux route le multicast comme l'unicast et
> consulte la table de routage classique. Es-tu sûr que tu ne vois pas
> simplement les trames émises sur eth0 revenir sur eth1 ? ip mroute
> est-il vide ?
>
> Sur le VXLAN Linux, j'avais fait un peu de doc ici quand ça avait été
> développé. J'ai retesté récemment et ça fonctionnait toujours :
>  https://vincent.bernat.im/en/blog/2012-multicast-vxlan.html
>
> Note que dans ton cas, faire de l'ECMP multicast ne marchera pas sans
> démon de routage (genre du PIM-SM). Je compte faire ça très
> prochainement, donc tout retour de ta part m'intéresse.
> --
> Keep it right when you make it faster.
> - The Elements of Programming Style (Kernighan & Plauger)
>



-- 
Baptiste Malguy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Linux, Multicast et VXLAN

[Baptiste Malguy]

Bonjour,

C'est vendredi, et pourtant je n'ai pas de trop à proposer :)

Il était une fois Linux, le multicast et VXLAN (et un chouia de BGP). Mon
cas de figure est peut-être simplissime à résoudre et je n'ai pas encore lu
la bonne page de manuel à ce propos, donc si au final j'obtiens un RTFM
avec la référence qui va bien, je suis preneur !

Je teste le setup décrit plus bas, et c'est sur la partie multicast que
c'est drôle. La version courte : avec VXLAN (au moins), il semble que
quoique je fasse, le noyau semble envoyer les trames multicast sur toutes
les interfaces réseau, peu importe que j'ai cherché à le désactiver ou pas.
Le trafic étant généré par le noyau et non par un processus qui puisse être
influencé, je sèche après avoir testé quelques pistes.

Je cherche à réduire au maximum la couche L2 au minimum du setup.

Deux machines (et une gw qui n'a pas d'importance), chacune avec eth0 et
eth1, et Bird :
- host1 : eth0 / 192.168.50.5/28, eth1 / 192.168.50.20/28, lo:1 /
192.168.100.2/32
- host2 : eth0 / 192.168.50.6/28, eth1 / 192.168.50.21/28, lo:1 /
192.168.100.3/32
- gw : 192.168.50.1/28, 192.168.50.17/28 et 192.168.100.1/32 et ses propres
uplinks
- du BGP entre tout ce petite monde (Bird sur host1 et host2). gw annonce
la default route, chacun annonce sa loopback et plus tard d'autres routes
- plutôt qu'avoir une redondance en L2 au travers d'un trunk/LAG/portgroup,
ça se passe en L3, rien de transcendant jusque là.
- Ubuntu Xenial (16.04), avec un noyau 4.4.0-47

A présent je veux ajouter du VXLAN sans mettre (pour le moment) de
contrôleur. Avant même de vouloir faire annoncer le VXLAN sur un groupe
multicast depuis la loopback (et profiter de la redondance L3), je commence
par tester le fonctionnement plus simple. Et déjà là, ça coince :

Lorsque je fais ceci :
# ip link add vxlan10 type vxlan id 10 group 239.0.0.10 ttl 4  dstport 4789
dev eth0
# ip link set vxlan10 up

Immédiatement les annonces multicast vers 239.0.0.10 sont émises depuis
192.168.50.5 sur eth0 et eth1, au lieu de eth0 seul. Idem en configurant
vers eth1 plutôt qu'eth0. Idem en ayant préalablement saisi ces commandes
avant l'ajout de vxlan10 :
# ip link set eth1 multicast off
# ip link set eth1 allmulticast off
# route add -net 224.0.0.0 netmask 224.0.0.0 dev eth0

A noter qu'utiliser "ip link add ... local 192.168.255.2" fonctionne comme
je le le souhaite (ce qui est mon objectif au départ) mais malgré, le
trafic multicast part partout, que je puisse le maîtriser sur une évolution
"d'archi".

Suis-je en mode neuneu ou bien c'est plus subtile ?


-- 
Baptiste Malguy

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Amen, encore.....

[Lacroix, Baptiste]

Et là ça commence à faire très mal... 
 
Baptiste LACROIX
Information System Manager
   
FuturSkill - ManpowerGroup
Parc d’activités de la Hallerais
3 rue du Bois de Soeuvres
35770 Vern-sur-Seiche 
 
T  : +33 (0)2 30 26 00 03
M : +33 (0)6 30 12 19 34 
 
baptiste.lacr...@futurskill.fr
www.futurskill-digital.fr/
www.manpowergroup.fr/

  



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : mardi 15 novembre 2016 10:54
À : frnog-al...@frnog.org
Objet : [FRnOG] [ALERT] Amen, encore.

Encore un problème chez Amen, confirmé par eux sur Twitter.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Amen dans les choux

[Lacroix, Baptiste]

Bonjour

Pareil pour tous nos ND donc beaucoup de client... Depuis le temps que je 
postpone mon déménagement de mes ND...Sniff

 
Baptiste 




-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Florian Leleu
Envoyé : mercredi 9 novembre 2016 17:57
À : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] Amen dans les choux

Je confirme et eux aussi : https://twitter.com/amenfrance?lang=fr


Le 09/11/2016 à 17:54, Pierre DOLIDON a écrit :
> Bonjour.
>
> Amen dans les choux ?
>
> Plusieurs de mes clients hébergés chez eux m’indiquent que leurs sites ne 
> sont plus accessibles.
>
> Vous auriez des infos ?
>
> Pierre.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur BGP

[Jean-Baptiste COUPIAC]

Bonjour à tous,

Sur quelle base HW / SW avez vous pu faire tourner VyOS, Quagga ou Bird ?
Vous conseillerai plutôt BSD ou Linux en OS pour un max de stabilité ?

+

__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 27 octobre 2016 à 15:53, Sébastien 65  a écrit :

> Pour compléter la réponse de David sur archi PC il y aussi Quagga et Bird.
>
> 
> De : frnog-requ...@frnog.org  de la part de
> David Ponzone 
> Envoyé : jeudi 27 octobre 2016 15:48:17
> À : Richard MATOS
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Routeur BGP
>
> Mikrotik ou PC avec VyOS.
>
>
> > Le 27 oct. 2016 à 15:42, Richard MATOS  a écrit
> :
> >
> > Salut la liste,
> >
> > Je dois mettre en place des intercos BGP avec 2 transitaires (un tiers1
> et
> > un national) et me connecter sur deux IX's pour peerer.
> > Quel routeur me conseillez-vous en sachant que les interco se feront en
> > 1gbps, que nous annoncerons qu'un AS avec un seul préfixe.
> > Merci pour vos retours.
> >
> > --
> > Richard MATOS
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Feedback JUNIPER Virtual-Chassis

[Jean-Baptiste COUPIAC]

Merci pour vos retours,
On a globalement tous les mêmes soucis :)

Vous compareriez une paire de EX3300 en VC à quel(s) modèle(s) chez les
autres constructeurs ?

+

__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 27 octobre 2016 à 00:23,  a écrit :

> Bonjour,
> Même souci avec snmp et LACP (sur 2200 et 4500), le CPU de la RE est trop
> juste.
> Cdt
> SBU
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
> de Cyril Lavier
> Envoyé : mercredi 26 octobre 2016 15:32
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] Feedback JUNIPER Virtual-Chassis
>
> Bonjour.
>
> J'en fais tourner pas mal dans les bureaux (10 stacks de 4-5 membres et 4
> stacks de 2 membres tout en EX3300), et ça tourne bien.
>
> Il faut bien suivre les recommandations (OS dans les mêmes versions, bien
> cabler) et ça tourne sans trop de soucis.
>
> Par contre, 2 choses :
> - Par expérience, je conseille le mode pré-provisionné sur les VChassis,
> et pas le provisionning dynamique basé sur le poids du master, car au
> moment de changer un membre, si tu ne vérifies pas le poids du nouveau
> membre, et hop, il se retrouve master et tu perds toute la conf de ton
> stack, et là, t'es bon pour aller chercher un backup à restaurer.
> - Quand on fait du poll SNMP sur des stacks de 5 switchs, ça pique un peu
> en temps de polling, donc il faut faire attention à ça.
>
> Mais pour le reste, ça tourne correctement.
>
> Merci.
>
> - Original Message -
> From: "Jean-Baptiste COUPIAC" 
> To: frnog@frnog.org
> Sent: Wednesday, 26 October, 2016 15:26:44
> Subject: [FRnOG] [TECH] Feedback JUNIPER Virtual-Chassis
>
> Bonjour la liste,
>
> J'utilise depuis quelques temps la techno Juniper Virtual-Chassis sur des
> switchs entrées de gamme EX2200-EX3300 (techno de Stack chez Juniper). Je
> trouve la techno assez fiable.
>
> Y'a t'il du monde qui a du recul / un feedback sur VirtualChassis (en bien
> ou pas bien :)) ?
>
> Merci,
> __
>
> *Jean-Baptiste COUPIAC*
> Tél. : +33 5 34 45 55 00 <%20+33534455500>
> 4 rue Kennedy 31000 Toulouse - France
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> --
> Cyril "Davromaniak" Lavier
> KeyID 59E9A881
> http://www.davromaniak.eu
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Feedback JUNIPER Virtual-Chassis

[Jean-Baptiste COUPIAC]

Le 26 octobre 2016 à 15:32, Cyril Lavier  a
écrit :

> Bonjour.
>
> J'en fais tourner pas mal dans les bureaux (10 stacks de 4-5 membres et 4
> stacks de 2 membres tout en EX3300), et ça tourne bien.
>
> Il faut bien suivre les recommandations (OS dans les mêmes versions, bien
> cabler) et ça tourne sans trop de soucis.
>
> Par contre, 2 choses :
> - Par expérience, je conseille le mode pré-provisionné sur les VChassis,
> et pas le provisionning dynamique basé sur le poids du master, car au
> moment de changer un membre, si tu ne vérifies pas le poids du nouveau
> membre, et hop, il se retrouve master et tu perds toute la conf de ton
> stack, et là, t'es bon pour aller chercher un backup à restaurer.
>
=> Point de ISSU sans conf provisionné de toute façon, c'est un des
premiers trucs que je fait que je tombe un Virtual-Chassis :)


> - Quand on fait du poll SNMP sur des stacks de 5 switchs, ça pique un peu
> en temps de polling, donc il faut faire attention à ça.
>
=> J'ai d'ailleurs eu un gros problème à cause du polling. Un LibreNMS
faisait du polling toutes les 5 mins sur mon stack (stack qui ne finissait
pas de répondre pas dans les 5 minutes...) et je me suis retrouvé avec le
Routing-Engine avec 200% de charge, et en pleine nuit, la coupure / le flap
de plusieurs services, dont ceux qui gèrent LACP et STP... Depuis j'ai mis
des alertes sur la charge CPU du routing engine.

Concernant la charge; sur un stack de 7*EX3300, j'ai un Load15 à 0.61 et un
Load1 qui peut monter à 1.2 / 1.5. Bien que je n'ai pas encore eu de
problème sur ce stack, je trouve ces valeurs un peu élevées L'HW du
EX3300 n'est t'il pas un peu faible ?

+


> Mais pour le reste, ça tourne correctement.
>
> Merci.
>
> - Original Message -
> From: "Jean-Baptiste COUPIAC" 
> To: frnog@frnog.org
> Sent: Wednesday, 26 October, 2016 15:26:44
> Subject: [FRnOG] [TECH] Feedback JUNIPER Virtual-Chassis
>
> Bonjour la liste,
>
> J'utilise depuis quelques temps la techno Juniper Virtual-Chassis sur des
> switchs entrées de gamme EX2200-EX3300 (techno de Stack chez Juniper). Je
> trouve la techno assez fiable.
>
> Y'a t'il du monde qui a du recul / un feedback sur VirtualChassis (en bien
> ou pas bien :)) ?
>
> Merci,
> __
>
> *Jean-Baptiste COUPIAC*
> Tél. : +33 5 34 45 55 00 <%20+33534455500>
> 4 rue Kennedy 31000 Toulouse - France
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> --
> Cyril "Davromaniak" Lavier
> KeyID 59E9A881
> http://www.davromaniak.eu
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Feedback JUNIPER Virtual-Chassis

[Jean-Baptiste COUPIAC]

Bonjour la liste,

J'utilise depuis quelques temps la techno Juniper Virtual-Chassis sur des
switchs entrées de gamme EX2200-EX3300 (techno de Stack chez Juniper). Je
trouve la techno assez fiable.

Y'a t'il du monde qui a du recul / un feedback sur VirtualChassis (en bien
ou pas bien :)) ?

Merci,
__

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Baptiste Jonglez]

On Mon, Oct 03, 2016 at 02:11:05PM +0200, Olivier Benghozi wrote:
> L'adressage interne de la boite que personne n'a envie de changer selon 
> l'adressage des liens externes, c'est un problème clairement généralisé.
> Du coup on va immanquablement voir du NPTv6 lorsque l'IPv6 se retrouvera en 
> entreprise.

Ou pas, le double adressage IPv6 public + privé (ULA¹) sert justement à ça.

L'adressage en ULA est stable et peut servir en interne, tandis que
l'adressage public peut changer mais c'est pas bien grave
(autoconfiguration des postes via RA/DHCPv6).

OpenWRT fait déjà ça par défaut, le routeur distribue des IPv6 en ULA +
des IPv6 publiques quand le WAN a une connectivité IPv6.

¹ https://en.wikipedia.org/wiki/Unique_local_address

> > Le 3 oct. 2016 à 13:21, Pierre Colombier  a écrit :
> > 
> > Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec le 
> > nat depuis 15 ans.
> > 
> > Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en IPv6, 
> > c'est le carnage...
> > 
> > Et il y en a combien des comme ça ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: PGP signature

[FRnOG] [JOBS] Plusieurs postes d'administrateur système et/ou réseau

[Baptiste Malguy]

Bonjour,

Diabolocom recrute plusieurs administrateurs expérimentés en système et/ou
réseau sur Levallois-Perret (au pied de la station de métro Anatole France,
ligne 3). Plus bas vous trouverez le lien vers l'annonce sur le site.

Diabolocom développe et opère des plateformes de services en cloud
permettant aux entreprises de gérer la relation avec leurs clients via tous
les canaux de communication (voix / email / réseaux sociaux / live chat).
Les infrastructures sont en propre dans plusieurs datacenters franciliens.

L'annonce sur le site parle assez logiquement de plusieurs compétences
parfois pointues (SIP-I, BGP, ... et il en manque d'autres orientées
systèmes : Salt, Foreman, ...). Contrairement à certains qui cherchent
"l'admin à 5 pattes", l'objectif pour Diabolocom est bien de faire
progresser une équipe dont la somme de ses talents maitrise l'ensemble de
ces points. Dit autrement, il n'est pas attendu qu'une personne seule
maitrise toutes ces compétences. Et c'est aussi pour ça qu'on recherche
plusieurs personnes.

Il y a de l'IP, du telco (SS7, SIP-I), du système, du stockage (NetApp tout
juste sorti des cartons), du Cisco et du Juniper (aussi fraichement sorti
des cartons) et pleins de choses à faire avec.

Si vous avez envie de participer à la façon dont on va s'amuser avec tout
ceci, vous pouvez m'envoyer un mél afin qu'on en discute ensemble.

Voici le lien vers l'annonce plus formelle :
http://www.diabolocom.com/offre/administrateur-systeme-2/

Bonne fin de journée,

-- 
Baptiste MALGUY

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM

[Jean-Baptiste COUPIAC]

Pour rebondir sur ce topic,

Quel est pour vous le meilleur outil DCIM / le plus abouti (qu'il soit
open-source ou non ...) ?

Merci,

__

[image: NFrance Conseil] <http://www.nfrance.com/>

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 30 juin 2016 à 14:19, Florian Cauzard  a
écrit :

> Hello,
>
> Nous on utilise PHPIPAM. Ca fait le boulot, simple a upgrade. Tu peux y
> renseigner tes VLAN, IPv4, IPv6. Si tu choisis la mauvaise IP il te le dit
> donc tu ne peux pas faire n'importe quoi. Analyse du RIPE pour recuperer
> tes sugnets automatiquement. Peut se coupler avec un annuaire.
>
> Celle de digital Ocean est top car mélanger IPAM et Racktables (en gros)
> plus une gestion des secrets mais pas ne peut pas se coupler (sauf si je me
> trompe) a un annuaire.
>
> 2016-06-27 19:08 GMT+02:00 Foucault de Bonneval :
>
> > Bonsoir,
> >
> > Je viens de voir passer Netbox (IPAM+DCIM), un projet sous Apache de
> > Digital Ocean.
> >
> > https://github.com/digitalocean/netbox
> >
> >
> >
> > ++
> > F/
> >
> > 2016-06-21 10:55 GMT+02:00 Pierre-Yves Dubreucq :
> >
> > > Bien le bonjour,
> > >
> > > Je vais juste intervenir sur Ralph 3 pour donner un peu plus
> > d'information.
> > >
> > > Le lien qui présente Ralph en Français concerne Ralph 2 (c'est moi qui
> > > l'ai écrit) néanmoins, ils sont en train de porter toutes les
> > > fonctionnalités majeures de Ralph 2.
> > >
> > > D'ailleurs Ralph 3 n'est pas encore sorti en stable pour cette raison,
> il
> > > reste quelques fonctionnalités à porter à 100%.
> > >
> > > Voici un état d'avancement de la Roadmap du 19 mai dernier :
> > >
> > > https://github.com/allegro/ralph/wiki/Ralph-3.x-roadmap
> > >
> > > Dans sa globalité, c'est assez stable et le projet semble de bonne
> > > qualité. Niveau activité, il est vraiment très actif et est supporté
> par
> > > une entreprise.
> > >
> > > Je pense franchement que Ralph 3 deviendra une référence dans la
> gestion
> > > de datacenter / cmdb
> > >
> > > Bonne journée à tous
> > >
> > >
> > >
> > > Le 20/06/2016 à 15:11, Phil Regnauld a écrit :
> > >
> > >> Julien Schafer (j.schafer) writes:
> > >>
> > >>> Bonjour
> > >>>
> > >>> Je voudrais savoir si certains ont un avis éclairé sur les solutions
> > >>> disponibles sur le marché (sachant qu'il y a du GPL, du payant etc)
> > >>>
> > >>  J'ai fini par compiler une liste des différents outils, avec des
> > >>  commentaires perso (en anglais), y compris des outils plus
> complets
> > >> de gestion d'inventaire/configuration/data center.
> > >>
> > >> J'ai pas tout regardé, mais je retiens:
> > >>
> > >>  - GestioIP
> > >>  - Ralph 3
> > >>  - phpIPAM
> > >>  - opennetadmin
> > >>  - nocproject (usine à ga^H^Hplutonium)
> > >>  - NetDot (que je connais bien)
> > >>
> > >> # IPAM and CMDB software
> > >>
> > >> ## IPAM
> > >>
> > >> * HaCi http://haci.larsux.de/ - 2015-03
> > >>
> > >>  - IPAM only, v4/v6, multiple POPs, uses templates, space
> > >> visualization
> > >>
> > >> * GestioIP  http://haci.larsux.de/ - 2016-02
> > >>
> > >>  - IPAM w/ VLAN management, subnet disco. via SNMP, space
> > >> visualization
> > >>  - BIND zone file generator fwd/ptr
> > >>  - Integration OCS Inventory NG
> > >>
> > >> * TeemIP - http://www.combodo.com/teemip-194 (2015-03), part of iTop
> or
> > >> alone
> > >>
> > >>  - request management w/portal systen for requestors
> > >>  - DNS
> > >>  - extensible
> > >>
> > >> * Subnetsmgt http://sourceforge.net/projects/subnetsmngr/ - 2013-05
> > >>
> > >>  - IPAM
> > >>  - PowerDNS integration
> > >>
> > >> * phpIPAM - http://phpipam.net - 2016-02
> > >>
> > >>  VLAN, VRF, visualization, RIPE, host scanning, etc...
> > >>  IP request form
> > >>
&

Re: [FRnOG] [TECH] RFC 7854: BGP Monitoring Protocol (BMP)

[Baptiste Jonglez]

Intéressant, merci !

Je suis étonné que ni ton article, ni la RFC ne citent mrtdump, qui est
pourtant similaire ?  C'est le format utilisé par RIS et Routeviews pour
stocker les RIB et updates BGP :

  
https://www.ripe.net/analyse/internet-measurements/routing-information-service-ris
  http://www.routeviews.org/tools.html

Il y a plusieurs outils pour parser ce format :

  https://bitbucket.org/ripencc/bgpdump/wiki/Home (antique)
  https://bgpstream.caida.org (récent)

L'équivalent de BMP serait une session BGP avec un Quagga ou un Bird, qui
dumpe ce qu'il reçoit au format mrtdump.  Ceci dit, un des avantages que
je vois à BMP est qu'on peut avoir accès à tous les messages BGP
directement, et pas uniquement ce qui concerne la meilleure route (ou
toutes les routes si on utilise ADD_PATH).

Baptiste

On Tue, Jun 28, 2016 at 02:59:54PM +0200, Stephane Bortzmeyer wrote:
> Un nouveau jouet !
> 
> http://www.bortzmeyer.org/7854.html
> 
> 
> 
> Auteur(s) du RFC: J. Scudder (Juniper
>   Networks), R. Fernando
>   (Cisco), S. Stuart (Google)
> 
> Chemin des normes
> 
> 
> 
> 
> Ce nouveau protocole *BMP* ("BGP Monitoring Protocol") va faciliter le 
> travail des administrateurs réseaux qui font du BGP. Il permet 
> d'obtenir sous une forme structurée les tables BGP. Avant, la solution 
> la plus répandue était d'utiliser l'interface en ligne de commande du 
> routeur (show ip bgp routes sur un Cisco), et d'analyser le résultat 
> depuis son programme, une méthode qui est très fragile, le format de 
> sortie ayant été conçu pour des humains et pas pour des programmes.
> 
> Les tables convoitées sont bien sûr la RIB mais aussi des informations 
> comme les mises à jour de routes reçues. BMP donne accès à une table 
> BGP nommée Adj-RIB-In, « "Adjacent [peers] Routing Information Base - 
> Incoming" », définie dans le RFC 4271, section 1.1. Elle stocke les 
> informations brutes (avant les décisions par le routeur) transmises par 
> les pairs BGP.
> 
> BMP fonctionne (section 3) en établissant une connexion TCP avec le 
> routeur convoité. Celui-ci envoie ensuite l'information qu'il veut. Il 
> n'y a pas de négociation ou de discussion au début. Dès que la 
> connexion est établie, le routeur transmet. Il envoie d'abord des 
> messages "Peer Up" pour chacun de ses pairs, puis des messages "Route 
> Monitoring" pour toute sa base de routes (la section 5 les décrit plus 
> en détails). Une fois que c'est fait, le routeur transmet des messages 
> indiquant les changements : "Route Monitoring" en cas d'annonce ou de 
> retrait d'une route, "Peer Up" ou "Peer Down" s'il y a des changements 
> chez les pairs. Autres messages possibles : "Stats Report" pour envoyer 
> des statistiqes globales (voir les sections 4.8 et 7), "Initiation" et 
> "Termination" pour les débuts et fins de sessions, "Route Mirroring" 
> pour envoyer verbatim les annonces BGP reçues (c'est une vision de plus 
> bas niveau que "Route Monitoring" et cela permet, par exemple, 
> d'analyser des annonces BGP syntaxiquement incorrectes, cf. section 6).
> 
> Le client BMP ne transmet jamais de message au serveur (au routeur), à 
> tel point que le routeur peut parfaitement fermer la moitié de la 
> connexion TCP, ou mettre sa fenêtre d'envoi à zéro (ou encore, jeter 
> tous les messages qui seraient envoyés). Toute la configuration est 
> dans le routeur.
> 
> Le format des messages est décrit en section 4. C'est du classique. On 
> trouve dans le message un numéro de version (actuellement 1), la 
> longueur du message, le type du message (la liste des types est 
> indiquée plus haut) représentée par un entier (0 pour "Route 
> Monitoring", 1 pour "Stats Report" (ou "Statistics Report"), etc), puis 
> les données. À noter que le type arrive après la longueur, alors que 
> c'est en général le contraire (encodage TLV).
> 
> Pour la plupart des messages BMP, il y aura un second en-tête, 
> rassemblant les informations sur le pair (son adresse IP, son AS, etc).
> 
> Les différents paramètres numériques sont désormais stockés dans un 
> registre IANA 
> <https://www.iana.org/assignments/bmp-parameters/bmp-parameters.xml>.
> 
> Quelques petits mots sur la sécurité pour finir. Pour économiser ses 
> ressources, le routeur peut évidemment (section 3.2) restreindre 
> l'ensemble des adresses IP autorisées à se connecter en BMP à lui, tout 
> comme il peut limiter le nombre de sessions BMP (par exemple, une

Re: [FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide

[Baptiste Jonglez]

Salut,

J'imagine que tu connais déjà OpenIPMap, du RIPE ?

  
https://ripe68.ripe.net/presentations/397-2014-05.ripe68.openipmap.emileaben.pdf
  
https://ripe69.ripe.net/wp-content/uploads/presentations/83-2014-11.emileaben.ripe69.openipmap.pdf
  https://github.com/emileaben/django-openipmap

Ca se base sur l'analyse des reverse DNS, des IP (IXP connus), un peu de
crowdsourcing, et une vérification de la cohérence du résultat via le RTT.

Tous les traceroutes d'Atlas peuvent être visualisés avec, par exemple :

  https://atlas.ripe.net/measurements/3679340/#!openipmap

Baptiste

On Mon, May 23, 2016 at 05:43:23PM +0200, Salim Gasmi wrote:
> Bonjour,
> 
> Voila, cela fait maintenant plus d'un an que je travaille sur mon temps libre 
> à un projet consistant a tenter de géolocaliser les routeurs d'un traceroute.
> Je sais, vous souriez et vous vous dites que c'est un projet mort d'avance ;)
> 
> La méthodologie est simple, écrire un algo d'IA qui analyse les traceroutes 
> comme un humain le ferait.
> En gros analyser les reverses, les latences plus un peu de bon sens pour 
> essayer de géolocaliser correctement les hops.
> En s'appuyant en plus sur les bases déjà existantes comme openip du RIPE ou 
> DDEC.
> 
> Pour cela, cela nécessite des nodes dans des endroits différents pour croiser 
> les informations.
> Par exemple une ip dont le reverse semblerait être à New York, mais qui 
> depuis Paris ping en 3ms, l'algo peut détecter l'erreur.
> Après en tentant de la magie vaudou, on peut même essayer d'estimer ou 
> pourrait se trouver le node en croisant avec les grosses villes et les autres 
> nodes et un peu de bon sens.
> 
> Le projet inclu déjà 4 nodes, 2 en France et 2 aux US (merci Michel!)
> 
> Pour le moment, cela marche plus ou moins bien, en gros 90% des 
> géolocalisations sont correctes.
> Cela pourrait sembler suffisant, mais sur un traceroute de 10 hops, cela fait 
> 1 hop mal placé (et généralement pas pour rire).
> 
> Donc, si je vous écrit tout cela, c'est que je recherche des nodes 
> supplémentaires.
> Un node, c'est juste un machine ou vous me créez un compte ssh sur lequel le 
> tool va se connecter et lancer la commande mtr.
> Donc le compte peut être chrooté ou en VM, voir même sous docker.
> L’intérêt d'avoir son node, c'est déjà pour aider et pouvoir s'amuser (vous 
> êtes des geeks) à voir visuellement ses traceroutes depuis chez soi.
> Le must serait un node en asie ou amerique du sud (je sais, je suis exigent), 
> mais je suis preneur de toute autre localisation.
> 
> Exemple: un traceroute entre un node aux US et www.gov.kg au kyrgyzstan
> https://geotr.gasmi.net/index.php?node=1&host=www.gov.kg
> 
> Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net
> N’espérez pas avoir une précision au niveau des villes de France, c'est trop 
> petit comme pays, je n'en suis pas encore la, trop peu de nodes.
> 
> Bien sur, quand le code sera fonctionnel (ce n'est pas encore le cas, trop 
> d'erreurs à mon gout), il passera en Open Source.
> 
> Merci d'avance aux geeks qui voudraient participer, c'est encore du beta, 
> mais malgré cela, je ne connais pour le moment, aucun autre outil moins faux 
> que celui la ;)
> 
> Salim
> 
> Ps:
> Inutile de me remonter les traceroutes erronés que vous ne manquerez pas de 
> trouver, j'en ai déjà pour toute une vie en base.
> Par contre, si vous bossez chez un opérateur et/ou que vous êtes sur qu'un 
> routeur est mal placé et que vous êtes certain de sa vraie localisation, je 
> suis preneur de l'info.
> Ca me permettra de comprendre pourquoi l'algo a lamentablement foiré.


signature.asc
Description: PGP signature

RE: [FRnOG] [TECH] Relais SMTP

[Lacroix, Baptiste]

Merci Jean-Baptiste, je vais me pencher sur sparkpost et ce qu'ils proposent

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Florent JEAN-BAPTISTE [cobalink]
Envoyé : vendredi 11 mars 2016 14:22
À : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Relais SMTP

Pour 100K de mails par mois, c'est vrai que c'est pas la peine de 
s'emmerdouiller à monter une infra.. qui va te rendre chévre... puisque les 
regles changent tout le temps sur les FAI, et encore plus quand tu vas bouriner 
un peu plus... et encore plus plus quand tu vas avoir du mail degeu par 
accident.
Si tu passes à coté de cette maintenance, tu vas te faire BL pour un oui ou 
pour un non...
bref la merde.

Donc, il ya des trucs bien meme en france. comme le serveur dédié de mail chez 
Critsend (500e / mois ::  IP dédié ::  webhooks, gestion des FBL
(classement en spam))   ) et tu send  maximum 400k/jour... ( pour moi c'est
la rolls)
Si tu as beaucoup moins d'argent à jeter par la fenetre pour ce tout petit 
volume, tu peux tenter chez sparkpost offre a 24$ + ip dedié (20$) ... meme 
systeme webhooks, fbl etc etc ... c'est juste canon...

Je te déconseille d'aller au moins cher, les spammeurs Optin partenaire ont 
déjà squatté les outils SaaS,et souvent la délivrabilité est en dents de 
scie




Le 11 mars 2016 à 10:45, Lacroix, Baptiste  a 
écrit :

> Bonjour à tous,
>
> Je suis actuellement en pospection sur des solution de relais SMTP viable.
>
> Voici le conteste :
> Je travaille pour un éditeur de LMS, 90% des plateformes que nous 
> vendons sont hébergées par un partenaire avec plusieurs types 
> d'hébergement managés par l'hébergeur et/ou par nos soins.
> Nos clients sont essentiellement de grand groupes.
>
> La plateforme possède deux principaux mécanismes d'envoi de mail :
>
> -  Les notifications automatiques pour les inscriptions, les cours
> et autre
>
> -  Un « pseudo » webmail
>
> Le webmail pose énormément de problèmes car il n'a pas été développé 
> avec une approche technique mail, ce que je veux dire c'est que 
> jusqu'à il y a peu les mails étaient envoyés « From » l'adresse mail 
> renseignée par le user dans la plateforme... Oui ça pique.
> Je milite depuis mon arrivée dans cette entreprise pour changer cela 
> et c'est en cours (ajout d'un header « sender » géré par nos soins et 
> d'un « reply-to » le user)
>
> Aujourd'hui 40% de nos plateformes sont derrière notre relais qui est 
> donc bloqué chez microsoft, les autres ont un relais local qui, aux 
> vues du volume « légé » de mails générés par plateforme n'ont pas trop 
> de problème (ça reste très très très sale) J'ai optimisé au maximum le 
> relais actuel afin de limiter les dégâts mais tant que je n'aurais pas 
> migré sur un relais propre (qui bride en entrée le domaine du sender) 
> et passé les clients avec la bonne version du produit derrière on aura 
> des problème et c'est normal !
>
> Aujourd'hui j'hésite à construire mon nouveau relais 
> (debian+postfix+awstat+fail2ban+sasl tls+outil de debug maison...+conf 
> DNS propre + à terme du DKIM) Ou Trouver une solution existante, 
> robuste, proposée par un spécialiste, avec des SLA et pouvant nous 
> accompagner sur une migration Aujourd'hui on est à 20 000 mails par 
> mois pour 40% du parc, à 100% j'estime que nous serions autour de 100 
> 000 mails
>
> Baptiste
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



--

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Relais SMTP

[Florent JEAN-BAPTISTE [cobalink]]

Pour 100K de mails par mois, c'est vrai que c'est pas la peine de
s'emmerdouiller à monter une infra.. qui va te rendre chévre... puisque les
regles changent tout le temps sur les FAI,
et encore plus quand tu vas bouriner un peu plus... et encore plus plus
quand tu vas avoir du mail degeu par accident.
Si tu passes à coté de cette maintenance, tu vas te faire BL pour un oui ou
pour un non...
bref la merde.

Donc, il ya des trucs bien meme en france. comme le serveur dédié de mail
chez Critsend (500e / mois ::  IP dédié ::  webhooks, gestion des FBL
(classement en spam))   ) et tu send  maximum 400k/jour... ( pour moi c'est
la rolls)
Si tu as beaucoup moins d'argent à jeter par la fenetre pour ce tout petit
volume, tu peux tenter chez sparkpost offre a 24$ + ip dedié (20$) ... meme
systeme webhooks, fbl etc etc ... c'est juste canon...

Je te déconseille d'aller au moins cher, les spammeurs Optin partenaire ont
déjà squatté les outils SaaS,et souvent la délivrabilité est en dents de
scie




Le 11 mars 2016 à 10:45, Lacroix, Baptiste 
a écrit :

> Bonjour à tous,
>
> Je suis actuellement en pospection sur des solution de relais SMTP viable.
>
> Voici le conteste :
> Je travaille pour un éditeur de LMS, 90% des plateformes que nous vendons
> sont hébergées par un partenaire avec plusieurs types d'hébergement managés
> par l'hébergeur et/ou par nos soins.
> Nos clients sont essentiellement de grand groupes.
>
> La plateforme possède deux principaux mécanismes d'envoi de mail :
>
> -  Les notifications automatiques pour les inscriptions, les cours
> et autre
>
> -  Un « pseudo » webmail
>
> Le webmail pose énormément de problèmes car il n'a pas été développé avec
> une approche technique mail, ce que je veux dire c'est que jusqu'à il y a
> peu les mails étaient envoyés « From » l'adresse mail renseignée par le
> user dans la plateforme... Oui ça pique.
> Je milite depuis mon arrivée dans cette entreprise pour changer cela et
> c'est en cours (ajout d'un header « sender » géré par nos soins et d'un «
> reply-to » le user)
>
> Aujourd'hui 40% de nos plateformes sont derrière notre relais qui est donc
> bloqué chez microsoft, les autres ont un relais local qui, aux vues du
> volume « légé » de mails générés par plateforme n'ont pas trop de problème
> (ça reste très très très sale)
> J'ai optimisé au maximum le relais actuel afin de limiter les dégâts mais
> tant que je n'aurais pas migré sur un relais propre (qui bride en entrée le
> domaine du sender) et passé les clients avec la bonne version du produit
> derrière on aura des problème et c'est normal !
>
> Aujourd'hui j'hésite à construire mon nouveau relais
> (debian+postfix+awstat+fail2ban+sasl tls+outil de debug maison...+conf DNS
> propre + à terme du DKIM)
> Ou
> Trouver une solution existante, robuste, proposée par un spécialiste, avec
> des SLA et pouvant nous accompagner sur une migration
> Aujourd'hui on est à 20 000 mails par mois pour 40% du parc, à 100%
> j'estime que nous serions autour de 100 000 mails
>
> Baptiste
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



--

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Relais SMTP

[Lacroix, Baptiste]

C'est toute la subtilité de la chose j'ai fait suffisament de ménage pour que 
le relais actuel (smtp.syfadis.fr) ne sois pas blacklisté dans les RBL, du moin 
pas que j'ai pu constater ces derniers...
Il n'empêche que l'on ne répond pas aux pré-requis de microsoft (et seulement 
mmicrosoft) et je ne sais sur quel élément, le fait est que le simple fait que 
nous autorisons encore certain client a utiliser leur ND pose problème car je 
maîtrise pas leur entrée SPF... Donc l'idée est de repartir sur une base saine

8< 
---
Mar 10 02:16:35 smtp postfix/smtp[10201]: E415D60ADF: to=, 
relay=mx1.HOTMAIL.COM[65.55.92.136]:25, delay=0.73, delays=0.04/0/0.55/0.15, 
dsn=5.0.0, status=bounced (host mx1.HOTMAIL.COM[65.55.92.136] said: 550 SC-001 
(SNT004-MC1F20) Unfortunately, messages from 151.236.58.42 weren't sent. Please 
contact your Internet service provider since part of their network is on our 
block list. You can also refer your provider to 
http://mail.live.com/mail/troubleshooting.aspx#errors.   (in reply to MAIL FROM 
command))
8< 
---


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Fabien H
Envoyé : vendredi 11 mars 2016 11:52
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Relais SMTP

Désolé, je suis légèrement HS, mais en parlant de mauvaises habitudes données 
au client : sur le "in", comment vous faites pour expliquer au client que son 
client/fournisseur utilise un SMTP blacklisté (dans les RBL) et que le problème 
ne vient pas de notre coté mais de celui du client/fournisseur ?  Quand le 
fournisseur dit que ça marche partout ailleurs..

Surtout quand en face c'est un SMTP 1and1 voire même orange.

Vous restez ferme vis à vis de votre client ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Relais SMTP

[Lacroix, Baptiste]

Je veux faire du propre, je fais du gris et je nettoie le gris foncé et putain 
c'est laborieux, entre les demandes au produit pour faire évoluer et les 
clients à qui il faut faire comprendre qu'on les à laissé prendre de mauvaises 
habitudes...


Baptiste 



-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com] 
Envoyé : vendredi 11 mars 2016 11:35
À : Lacroix, Baptiste 
Cc : FanThomaS ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Relais SMTP

Et ce que tu envoies, c’est des mails propres ou du gris, ou du gris foncé ?

> Le 11 mars 2016 à 11:30, Lacroix, Baptiste  a 
> écrit :
> 
> Désolé je réponds avec un mail vide mais l'antispam du groupe qui nous 
> possède est très relou (heureusement que nous sommes autonome pour tout le 
> reste...) et j'ai vu ton message sur les archives
> 
> Tu cherches donc uniquement du "SMTP out", pas de in ?
> 
> Oui l'idée c'est de ne faire que du "out"
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Relais SMTP

[Lacroix, Baptiste]

Je confirme je ne fait que du SMTP out, en fait il s'agit d'une question de 
temps humain, pas seulement en terme de configuration mais aussi de maintien, 
je m'intéresse aux aspects techniques mais je considère que la gestion des 
mails est une science à part entière, ayant beaucoup d'aspects à gérer entre 
nos infrastructures internes, celles de production, les process, et plein de 
joyeusetées plus "administratives et commerciales" j'ai tendance à m'appuyer 
sur des spécialistes dans des domaines spécifiques, ça fait mal à ma vie de 
technicien et à mon gout du "do it yourself", mais du bien à ma vie de famille 
:-)
L'autre point est que je maîtrise beaucoup trop d'éléments technique sans 
backup, ce qui d'un point de vue professionnel forme un risque pour la 
société...



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Eric Belhomme
Envoyé : vendredi 11 mars 2016 11:26
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Relais SMTP



Le 11/03/2016 10:54, Nicolas Parpandet a écrit :

> Ca fait bien longtemps que je ne m’embête plus à monter une infra 
> mail, on installe zimbra, qui est un assemblage relativement bien fait 
> de : postfix, ldap, amavis, spamassassin, clamav, dkim, ..., 
> architecture mail qu'il faut plusieurs jours à monter à la mimine, 
> soit installée en quelques minutes, le monde change ;)
> 

Le monde change, pas forcément les besoin...

En l'occurence, au vu de la problématique décrite un Zimbra c'est un marteau 
pour enfoncer une punaise, et encore, je suis même pas sûr que Baptiste 
arriverait à contraindre proprement Zimbra à ses besoins !

Vu le cas d'utilisation (on parle *uniquement* de relais SMTP là !) je ne vois 
même pas pourquoi il hésites : Postfix oeuf corse !

mes 2 cents,

--
Rico

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Relais SMTP

[Lacroix, Baptiste]

Désolé je réponds avec un mail vide mais l'antispam du groupe qui nous possède 
est très relou (heureusement que nous sommes autonome pour tout le reste...) et 
j'ai vu ton message sur les archives

Tu cherches donc uniquement du "SMTP out", pas de in ?

Oui l'idée c'est de ne faire que du "out"




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Relais SMTP

[Lacroix, Baptiste]

Bonjour à tous,

Je suis actuellement en pospection sur des solution de relais SMTP viable.

Voici le conteste :
Je travaille pour un éditeur de LMS, 90% des plateformes que nous vendons sont 
hébergées par un partenaire avec plusieurs types d'hébergement managés par 
l'hébergeur et/ou par nos soins.
Nos clients sont essentiellement de grand groupes.

La plateforme possède deux principaux mécanismes d'envoi de mail :

-  Les notifications automatiques pour les inscriptions, les cours et 
autre

-  Un « pseudo » webmail

Le webmail pose énormément de problèmes car il n'a pas été développé avec une 
approche technique mail, ce que je veux dire c'est que jusqu'à il y a peu les 
mails étaient envoyés « From » l'adresse mail renseignée par le user dans la 
plateforme... Oui ça pique.
Je milite depuis mon arrivée dans cette entreprise pour changer cela et c'est 
en cours (ajout d'un header « sender » géré par nos soins et d'un « reply-to » 
le user)

Aujourd'hui 40% de nos plateformes sont derrière notre relais qui est donc 
bloqué chez microsoft, les autres ont un relais local qui, aux vues du volume « 
légé » de mails générés par plateforme n'ont pas trop de problème (ça reste 
très très très sale)
J'ai optimisé au maximum le relais actuel afin de limiter les dégâts mais tant 
que je n'aurais pas migré sur un relais propre (qui bride en entrée le domaine 
du sender) et passé les clients avec la bonne version du produit derrière on 
aura des problème et c'est normal !

Aujourd'hui j'hésite à construire mon nouveau relais 
(debian+postfix+awstat+fail2ban+sasl tls+outil de debug maison...+conf DNS 
propre + à terme du DKIM)
Ou
Trouver une solution existante, robuste, proposée par un spécialiste, avec des 
SLA et pouvant nous accompagner sur une migration
Aujourd'hui on est à 20 000 mails par mois pour 40% du parc, à 100% j'estime 
que nous serions autour de 100 000 mails

Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Conseil switches

[Jean-Baptiste COUPIAC]

Bonjour à tous,

Je me permets de déterrer ce topic, car j'ai, il y a peu, fait face à un
bug applicatif sur mon Stack de switchs (Brocade ICX). Le stack s'est un
peu transformé en HUB, avec du Broadast qui a induit des pertes de paquets
sur des routeurs, rien de bien sympa...
Bien que le problème semble etre fixé chez Brocade (avec les updates
Softwares qui s’enchaînent), je suis de moins en moins chaud à faire du
stack Multi-chassis avec le super "SPOF logiciel".

Quelles seraient les alternatives ? les techno de type MC-LAG ? Faire de la
résilience niveau 3 exclusivement ?

+
*Jean-Baptiste*


Le 20 janvier 2015 à 09:44, Maxime Baudin  a
écrit :

> Le 09/01/2015 18:44, fatiha boudj a écrit :
>
>>   Il a y a aussi les switchs AVAYA ERS3500 ou ERS4000 en  réseau de
>> périphérie et
>>   en coeur il y a la gamme des ERS48xx ou ERS5000
>> http://www.avaya.com/fr/produit/ethernet-routing-switch-5000-series/
>>
>
> +1
>
> très content de la gamme 56xx (la gamme 55xx est en fin de vie, mais le
> 5530 reste LE switch qui a changé ma vie :)  ) en coeur de réseau
> idem pour la gamme 4xxx en edge ou en TopOfRack (préférer les 48xx, les
> 45xx sont en fin de vie également)
>
> Stack sérieux, cli intuitive et (trop) complète.
>
> les firmwares apportent régulièrement de nouvelles fonctionnalités, et
> surtout : il y a un grosse base documentaire sur le site Avaya.
>
> Bref, j'apprécie la gamme.
>
> Cordialement,
> Maxime Baudin
>
> --
> Maxime Baudin - Rectorat de Rennes
> SERIA-R, 8 rue Jean-Julien Lemordant - 35000 Rennes
> Tel : 02 23 42 16 88  Fax : 16 60
> E-mail :Maxime.Baudin(at)ac-rennes.fr
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>


--

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche serveurs informatiques

[Florent JEAN-BAPTISTE [cobalink]]

J'ai un switch catalyst 2948G à filer à l'occaz contre une bière et frais
d'envoi...
je dois également avoir un 24 quelque part.

bon j'ai le droit c'est gratuit ?


Cet
e-mail a été envoyé depuis un ordinateur protégé par Avast.
www.avast.com

<#DDB4FAA8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Le 18 janvier 2016 à 08:05, Olivier Mis  a écrit :

> Bonjour la liste,
>
> Dans le cadre de notre activité d'hébergement "low-cost" associative, nous
> avons de gros besoins en serveurs informatiques et tout ce qui va avec, que
> nous achetons majoritairement aux USA (du moins hors France) pour avoir des
> prix intéressants.
>
> J'ai donc pensé à passer une annonce sur la liste, car tant qu'à acheter
> en circuit court, ca ne peut que être bénéfique pour tout le monde.
>
> Ainsi, nous recherchons des personnes ou des sociétés qui pourraient avoir
> à vendre des lots de serveurs, RAM, disques... inutilisés et probablement
> jamais utilisés (upgrade, ne meet pas les besoins...).
>
> Je connais pour ma part pas mal le marché du refurb et je prendrai plaisir
> à quoter tout ce que vous pouvez avoir et qui n'est pas trop trop
> préhistorique :-)
>
> Pour donner des exemples :
> - Serveurs rack HP (G6 ou plus), IBM (M2 ou M3), Dell (Rx1x) ou d'autres
> marques
>
> - De la RAM (2GB, 4GB, 8GB en PC3-8500r ou pc3-10600r)
>
> - Disques (de préférence Sff, mais LFF on prends aussi)  : 72gb, 146gb,
> 300gb sas, 500gb/1tb/2tb+ sata...
>
> - Réseau : switches Cisco 2960G, 3560G, 3750G, 4948(10g) et éventuellement
> des chassis de 6500, des sup720-3bxl, des cartes 10ge... (Si vous avez des
> prix/perf aussi intéressants en full gigabit sur d'autres marques, je suis
> preneur, je n'ai rien trouvé chez Brocade/Juniper à ce genre de tarifs...)
>
> - Autres : rails universels ou pas, baies de serveurs, rj45 coloré (et
> oui, même ca...), STS, PDU (non exhaustif)
>
> Si vous souhaitez déprovisionner une salle informatique où si vous faites
> du leasing et avez constamment du matériel en sortie de leasing, tout ceci
> peut nous intéresser.
> Nous pouvons même venir quoter le matériel sur place si volume intéressant.
>
> Nous avons l'habitude de travailler avec pas mal de brokers, nous
> connaissons le prix du marché et le matériel que nous achetons, on pose pas
> de questions techniques inutiles, on ne demande aucune garantie, passer par
> la liste nous permet de gagner du temps dans nos recherches et pour votre
> part, gagner du temps sur la vente.
>
> Merci à tous,
>
> Olivier Mis – PulseHeberg
> 16-18 avenue de l'Europe
> 78140 Vélizy Villacoublay
> Port.: +33 6 27 46 59 84
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



--

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Poste RSI et/ou RSSI

[Lacroix, Baptiste]

Bonjour à tous,

Je lance à tout hasard une question sans réelle conviction quant à la probité 
de cette demande au sein de la liste mais cela pourrait peut-être servir à 
d'autres que moi

Je travaille pour un éditeur de solution LMS

Aujourd'hui je suis en charge à la fois :

-  De notre SI (à peu près 50 personnes, une plateforme de 
virtualisation 2 esx une baie de disque et quelques serveurs physiques le tout 
représente environ 70 machines)

-  Des infrastructures d'hébergement vendues à nos client afin de 
soutenir notre produit et hébergées chez un hébergeur et parfois chez le client.

-  De la mise en place des process et des rédactions de PAS/PAQ entre 
nous et les clients ainsi que entre nous et l'hébergeur.

-  Avant-vente auprès de nos commerciaux sur les aspects systèmes.

Aujourd'hui ma position n'est pas identifié proprement et mon employeur 
souhaite corriger cela (parce que le client le souhaite bien entendu :) )

Je suis tout seul sur ma petite chaise et c'est une charge importante, je ne me 
plein pas car j'espère pouvoir mettre des choses en place pour justifier d'un 
second poste pour m'aider, en effet aujourd'hui j'essaie de délégué à notre 
équipe support (support produit) quelques petites choses bien documentées mais 
ils considèrent souvent (à raison) que ce n'est pas leur métier et ils sont 
déjà bien occupés !

Ma question est la suivante :

Pour intituler un tel poste je ne parviens pas imaginer quelque chose de 
probant :

ð  « RSSI » : Oui c'est clairement ma tâche mais seulement une partie et qui 
plus est je suis à la fois juge et partie...

ð  « RSI » : Plus proche de ce que je fais mais cela n'évoque pas tant la 
partie « production »

ð  Autre : là je ne sais pas trop


Cordialement,

[FuturSkill (2) (290 x 275).jpg]

Baptiste LACROIX

Project Manager Systems & Networks



FuturSkill Digital - ManpowerGroup

T : +33 (0)2 30 26 00 03

M : +33 (0)6 30 12 19 34

baptiste.lacr...@futurskill.fr<mailto:baptiste.lacr...@futurskill.fr>

www.futurskill-digital.fr<http://www.futurskill-digital.fr/>  |  
[cid:image009.jpg@01D121FD.C6C707F0] <https://twitter.com/futurskill>
[cid:image005.png@01D121FB.5A7A56D0] 
<https://plus.google.com/117005844243214226229/posts>
[cid:image006.png@01D121FB.5A7A56D0] 
<https://www.linkedin.com/company/futurskill>
[cid:image007.png@01D121FB.5A7A56D0] 
<https://www.facebook.com/FuturSkill-Digital-511071182329026/>




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Don de matèriel

[Lacroix, Baptiste]

Salut la liste,

Cela fait un peu plus d'un an que je suis chez Futurskill Syfadis à Rennes et 
ça fait un peu plus d'un an que je me dis qu'il faut que je me débarrasse des 
matériels entassés ici.

Voici ma liste (avec les services TAG):
Power Edge 2850 - 8CYZD1J
Power Edge 2950 - CXZV54J
Power Edge 2650 - 2X1FN0J
Power Edge 1750 - C643C1J
Power Edge 1650 - 83LTG0J
Power Vault 745N - 6D4532J
Proliant DL360

Une imprimante Dell MSP 3115cn (aucune idée de la panne) avec quelques 
cartouches neuves en rab

Une trentaine de téléphone IP Polycom SoundPoint IP331

Une pieuvre Sound station IP5000

Une station d'accueil IP650 SIP


Si toutefois cela peut intéresser quelqu'un !!!

Cdt,

[FuturSkill (2) (290 x 275).jpg]

Baptiste LACROIX

Project Manager Systems & Networks



FuturSkill Digital - ManpowerGroup

T : +33 (0)2 30 26 00 03

M : +33 (0)6 30 12 19 34

baptiste.lacr...@futurskill.fr<mailto:baptiste.lacr...@futurskill.fr>

www.futurskill-digital.fr<http://www.futurskill-digital.fr/>  |  
[cid:image004.jpg@01D10DB8.B74D8730] <https://twitter.com/futurskill>
[cid:image005.png@01D10DB1.DE674F60] 
<https://plus.google.com/117005844243214226229/posts>
[cid:image006.png@01D10DB1.DE674F60] 
<https://www.linkedin.com/company/futurskill>
[cid:image007.png@01D10DB1.DE674F60] 
<https://www.facebook.com/FuturSkill-Digital-511071182329026/>




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] ServerU / ProApps / Netmap

[Jean-Baptiste COUPIAC]

Salut à tous,

Y'a t'il des personnes qui ont déjà travaillé avec des "appliances" 
ServerU L-800 ? (http://www.serveru.us/en/netmapl800)


Des feedbacks sur son utilisation, ses performances, avec netmap / 
netmap-ipfw ? Stabilité, ect...


Quid de l'os maison "ProApps" ?

Merci par avance,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Tarification étude WIFI

[Baptiste Angenault]

pour clarifier, c'est pour un audit (on a aidé un ami), donc pour résumer : 
analyser les locaux, comprendre la demande de l'hotel, effectuer les test de 
couvertures et proposer un schéma de déploiement.

Il y a  les chambres + plus les salles de conférences, restaurants, bar, 
extérieurs ... bref c'est vaste.  1 antenne par chambre (demande de l'hotel + 
-60dba d'atténuation des murs).
C'est un hotel, donc, tous les étages sont identiques (sauf les suites) alors 
3h, oui c'est suffisant...

Donc ma question, est bien orienté sur la tarification de l'audit et uniquement 
l'audit.


-Message d'origine-
De : Christophe Casalegno (Digital Network) 
[mailto:christophe.casale...@digital-network.net] 
Envoyé : lundi 28 septembre 2015 13:09
À : Baptiste Angenault
Cc : frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] Tarification étude WIFI

> Bonjour à tous,
>
> Avec un amis nous avons fait, une étude sur site pour le déploiement 
> du wifi dans un hôtel. (6 étages - 18 chambres par étages + 
> restaurant, salle de conf, hall... en gros 150 points d'accès) ça 
> fait environ 3h de travail et il a eu le contrat.
>
> La personne qui nous a demandé notre aide souhaite maintenant 
> connaitre notre prix...
> J'ai aucune idée du tarif d'une telle prestation et je pense que vous 
> serais à même de nous guider pour lui donner un prix juste. ;)

Pour l'audit ou pour le déploiement ?

--
Christophe Casalegno
http://www.christophe-casalegno.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Tarification étude WIFI

[Baptiste Angenault]

Bonjour à tous,

Avec un amis nous avons fait, une étude sur site pour le déploiement du wifi 
dans un hôtel. (6 étages - 18 chambres par étages + restaurant, salle de conf, 
hall... en gros 150 points d'accès) ça fait environ 3h de travail et il a eu le 
contrat.

La personne qui nous a demandé notre aide souhaite maintenant connaitre notre 
prix...
J'ai aucune idée du tarif d'une telle prestation et je pense que vous serais à 
même de nous guider pour lui donner un prix juste. ;)

Merci d'avance.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] overthebox

[Baptiste Jonglez]

On Fri, Sep 25, 2015 at 11:39:25AM +0200, Raphael Mazelier wrote:
> Rappelons que cela ne fonctionne correctement que si les différents liens
> agrégés sont fortement similaires (notamment en terme de latences), et que
> le débit agrégé est a peu près égal à 1.9 * la bp du lien le plus faible.

Sauf à utiliser Multipath TCP, qui est *précisément* fait pour fonctionner
sur des technos très différentes (genre, VDSL + 3G).

Ça tombe bien, c'est ce qu'utilise la solution d'OVH :)

> Et bien sur c'est reculer pour mieux sauter, la fibre étant la seule
> solution d'avenir :)

+1, mais on n'a parfois malheureusement pas le choix (ou les moyens financiers 
;) )


pgpLWcVKkNKF8.pgp
Description: PGP signature

Re: [FRnOG] [TECH] overthebox

[Baptiste Jonglez]

On Fri, Sep 25, 2015 at 11:23:52AM +0200, slesim...@laposte.net wrote:
> Oui sans compter que cela ne fonctionnera probablement parfaitement qu'avec 
> leurs accès. 

De: "Clément Breuil"  
> il feront payer 9.99€/mo donc pas prêt à le lâcher le code 

Bin en fait, non, c'est entièrement basé sur des technos libres existantes :
Multipath TCP, vtun/OpenVPN, et ShadowSocks.  Ils filent même le code de
leur boiboîte, basé sur OpenWRT.  Donc ça peut s'utiliser sans acheter
leur boiboîte côté client, et en utilisant son propre serveur VPN de
l'autre côté.

Une analyse rapide écrite sur le coup :

  
http://bitsofnetworks.org/ovhs-overthebox-internet-access-link-aggregation-using-multipath-tcp.html

Baptiste


pgpZOJ6uTSM1V.pgp
Description: PGP signature

Re: [FRnOG] [JOBS] Stage SysAdmin

[Jean-Baptiste]

Bonsoir,

Bon bon bon ... Je vois qu'au moins, cela active un peu la liste :-).

==

Bon *Jérome*, c'est avec plaisir que je te lis, en revanche, je suis désolé
mais je ne peux pas faire grand chose pour toi  ...
j'imagine que tu en as bavé par le passé.
Ceci dit, Google semble avoir la solution :
http://www.psychologue.net/psychologue-ado/paris

==

*Cyril*, je reconnais qu'il y a des choses pertinentes dans ton post et je
t'en remercie. Tout d'abord, je met de ce pas un lien vers le site de la
boite :-), merci. Je suis toutefois navré de t'avoir donnée cette
impression de "buzzwords", effectivement, la liste de technos donne un peu
cet effet, mais je suis preneur de ton avis sur le format.

Le poste n'est absolument pas pour un SysAdmin et, contrairement à bien
d'autres offres, je ne demande aucune expérience pro ... D'autre part,
réussir à comprendre ce qui a été mis en place me semble être un bon
exercice pour un stagiaire, non ? La question de la rémunération est
pertinente, elle est complètement lié aux motivations et aux compétences du
candidat, mais elle n'est clairement pas plafonné vers le bas !

Cyril, je remarque que tu fais beaucoup de suppositions, je pense que tu
devrais y faire attention ;-), en l'occurence, je ne demande pas quelqu'un
d'autonome.
Il n'est absolument pas question de laisser le candidat seul, bien au
contraire, le stage est - à mon sens - un moment de partage de cette
fameuse *expérience* et une façon de comprendre ce à quoi l'on peut être
confronté dans la réalité.

En ce qui concerne la période, il y a certains stages qui se font à cette
période (ex : http://www.epita.fr/entreprises-stages.aspx), même si c'est
un peu tardif. Tu supposes également que c'est urgent, ce n'est pas le cas,
mais le poste est ouvert.

Tu suppose là encore qu'un domaine réservé en Chine est mauvais signe. Pour
mémoire, la Chine est un pays émergent qui investit massivement en France
(Google pourra t'aider à ce propos). Je ne vois pas de pertinence à
mentionner la Chine dans l'annonce, il n'y a aucun pré requis.
Et je pense justement que les stagiaires qui ont de la "*jugeotte*" aurons
suffisamment lu pour savoir pour quelle raison ce domaine est détenu par
une organisation Chinoise.

Pour ma part, je pense que tes interrogations sont légitimes compte tenu de
la façon dont certains "utilisent" les stagiaires (en particulier les
SSII), toutefois il ne s'agit pas la de recruter un Ops senior au prix d'un
stagiaire.

Somme toutes, merci à vous deux (enfin un peu plus à Cyril hein ;-))

Bonne soirée à tous.

Le 31 août 2015 21:05, Cyril Lavier  a écrit :

> - Original Message -
> From: "Jérôme Nicolle" 
> To: frnog@frnog.org
> Sent: Monday, 31 August, 2015 20:22:44
> Subject: Re: [FRnOG] [JOBS] Stage SysAdmin
>
> Le 31/08/2015 17:18, Jean-Baptiste a écrit :
> > Nous recherchons actuellement un Stagiaire SysAdmin aventureux
>
> Traduction du lien dans le post :
>
> """
> On est des putes à clic.
>
> Tu dois déjà connaitre tout les trucs "cloud" hypes de 2014.
>
> On t'engueulera pour le moindre écart au "zero downtime" alors qu'on
> maitrise rien de notre infra.
>
> Et c'est qu'un stage -> 485€/mo max.
> """
>
> Je confirme, c'est  plutôt pour FRsAG. Ou pour
> http://urgentrecherchestagiaire.tumblr.com/ .
>
> @+
>
>
> --
> Jérôme Nicolle
> 06 19 31 27 14
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> Bonsoir.
>
> Pour une fois que je poste sur FRnOG, ça va être pour râler :).
>
> Je suis entièrement d'accord avec toi Jérôme.
>
> Vu la composition de la "fiche de poste", disons plutôt un repère à
> buzzwords et parfaite pour faire une bonne grille de bullshit-bingo... Ça
> semble être un poste (ou même 2) pour un (ou 2) sysadmins avec un minimum
> d'expérience pour réussir à comprendre ce qui a été mis en place
> (probablement par un autre stagiaire payé en M&M's...) et ensuite voir
> comment faire évoluer tout ça sans tout faire péter.
>
> On a tous faits des stages, et clairement, un stagiaire N'EST PAS AUTONÔME
> ("N'EST PAS", c'est une négation, pour ceux qui ne comprennent pas...).
> Certains stagiaires peuvent être bons techniquement et acquérir une
> certaine autonomie après 1 mois / 1 mois et demi (j'ai connu ça avec mon
> dernier stagiaire), mais il reste jeune, tant au niveau technique pure
> qu'en habitude de travail (on appelle ça l'expérience). Mais il faut
> toujours considérer les stagiaires comme une aide et un stagiaire balancé
> seul, ça ne donnera jamai

[FRnOG] [JOBS] Stage SysAdmin

[Jean-Baptiste]

Bonjour à tous,

Nous recherchons actuellement un Stagiaire SysAdmin aventureux pour nous
rejoindre.
La description ci-dessous en dira plus long :-)

https://goo.gl/kK5Aun


N'hésitez pas à me contacter.

Cheers

-- 

Jean-Baptiste FAREZ

--

LinkedIn : http://minu.me/-jbfldn
Viadeo : http://minu.me/-jbfvia

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [!!Mass Mail][FRnOG] [TECH] Petit routeur pour remplacer netscreen

[Mattieu Baptiste]

2015-08-21 11:56 GMT+02:00 Olivier Cochard-Labbé :
> 2015-08-21 11:34 GMT+02:00 Mattieu Baptiste :
>>
>> 2015-08-21 10:55 GMT+02:00 Olivier Cochard-Labbé :
>>
>> Salut,
>>
>> > 4860 (4 cœurs, 6 NIC). Et avec un pfSense/opnsense d'installé cela ne
>> > fait
>> > pas si "root" que cela. Par contre
>> > toutes ces nouvelles plateformes étant multi-cœurs, mettre de l'OpenBSD
>> > qui n'utilise que 1 cœur pour le routage/filtrage c'est un peu dommage.
>>
>> As-tu des stats prouvant cela ? D'après ce que j'ai pu lire à droite à
>> gauche, et le retour d'amis, OpenBSD n'a pas à rougir question
>> performances sur un APU par rapport à pfsense (ce serait même plutôt
>> l'inverse).
>>
>> Par ailleurs, un gros boulot est en train d'être fait pour que la pile
>> réseau d'OpenBSD (drivers, pile TCP/IP, PF, etc.) tire profit du
>> multi-coeurs. C'est donc un bon choix pour l'avenir.
>>
>
> Oui des stats de performances j'en ai pleins :-)
>
> Voici une "vieille" synthèse comparant l'intérêt d'avoir un système
> SMP-Friendly:
> http://dev.bsdrp.net/benchs/BSD.network.performance.TenGig.png

Merci pour tes stats, très intéressant :).

Je ne conteste absolument pas l'intérêt du SMP. Je parlais juste
spécifiquement de l'APU et de pfsense (pas FreeBSD). A l'époque où je
m'y étais intéressé, ça remonte à 2014 et la 2.2 n'était pas encore
sortie, ce qui explique que pfsense était à la rue.

Concernant tes stats sur l'APU, as-tu par hazard le même protocole sur
de l'OpenBSD récent ? Je vais essayer de trouver le temps pour faire
quelques tests sur le mien, mais de tête, avec PF ça ne me semblait
pas très différent de ce que tu obtiens.


-- 
Mattieu Baptiste
"/earth is 102% full ... please delete anyone you can."


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [!!Mass Mail][FRnOG] [TECH] Petit routeur pour remplacer netscreen

[Mattieu Baptiste]

2015-08-21 10:55 GMT+02:00 Olivier Cochard-Labbé :

Salut,

> 4860 (4 cœurs, 6 NIC). Et avec un pfSense/opnsense d'installé cela ne fait
> pas si "root" que cela. Par contre
> toutes ces nouvelles plateformes étant multi-cœurs, mettre de l'OpenBSD
> qui n'utilise que 1 cœur pour le routage/filtrage c'est un peu dommage.

As-tu des stats prouvant cela ? D'après ce que j'ai pu lire à droite à
gauche, et le retour d'amis, OpenBSD n'a pas à rougir question
performances sur un APU par rapport à pfsense (ce serait même plutôt
l'inverse).

Par ailleurs, un gros boulot est en train d'être fait pour que la pile
réseau d'OpenBSD (drivers, pile TCP/IP, PF, etc.) tire profit du
multi-coeurs. C'est donc un bon choix pour l'avenir.

-- 
Mattieu Baptiste
"/earth is 102% full ... please delete anyone you can."


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche presta clim "pour petite salle info"

[Baptiste Malguy]

Bonjour,

Je recherche un prestataire de clim. Pas pour un DC, mais pour une petite
salle info (au sein des bureaux sur Levallois). On parle d'environ 15kW à
refroidir, pas le bout du monde. Notre installation fonctionne normalement,
mais on ne souhaite pas continuer avec le prestataire actuel.

Et bonnes vacances ! :)

-- 
Baptiste MALGUY

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Problème ligne Completel

[Jean-Baptiste]

Ok merci Louis, je confirme que la terminaison n'est pas du tout coaxiale
mais que c'est bien de la fibre.



Le 19 mai 2015 16:59, Louis  a écrit :

> si c'est du câble, alors la terminaison est coaxiale. NC/completel ne fait
> pas de conversion coaxial vers fibre.
>
>
> Le 19 mai 2015 16:31, Jean-Baptiste  a écrit :
>
>> Pour être honnête, je ne sais pas exactement, j'ai bien une fibre qui
>> arrive, ce qu'il y a avant je ne le sais pas.
>> Y a t-il un moyen simple de le vérifier ?
>>
>> Merci.
>>
>> Le 19 mai 2015 16:25, David Ponzone  a écrit :
>>
>>> T’es sûr que c’est une fibre ?
>>> C’est pas du câble NC que Completel revend comme FTTH ? :)
>>>
>>>
>>> Le 19 mai 2015 à 16:22, Jean-Baptiste  a écrit :
>>>
>>> > @David, je te laisse imaginer que non ;-) sinon je ne posterai pas sur
>>> nOG
>>> > @Fathia, effectivement je confirme le rétablissement vers 14h, merci
>>> pour
>>> > le retour. En revanche, nous n'avons pas eu le privilège d'avoir la
>>> même
>>> > notice à propos de la collecte...
>>> >
>>> > Cheers
>>> >
>>> > Le 19 mai 2015 15:48, fatiha boudj  a écrit :
>>> >
>>> >> Nous avons rencontre le meme probleme avec nos clients dans le 11e
>>> >> retablissement vers 14h
>>> >> ci dessous retour Completel
>>> >>
>>> >> "Notre diagnostique nous indique un défaut sur notre équipement de
>>> >> collecte de la fibre sur notre tête de réseau vers le client.
>>> >> Nous déclenchons une intervention afin d'effectuer un remplacement de
>>> la
>>> >> SFP de la fibre.
>>> >> Nous vous tiendrons informé sur la planification de cette
>>> intervention."
>>> >>
>>> >>
>>> >>  --
>>> >> *De :* Jean-Baptiste 
>>> >> *À :* frnog@frnog.org
>>> >> *Envoyé le :* Mardi 19 mai 2015 10h22
>>> >> *Objet :* [FRnOG] [ALERT] Problème ligne Completel
>>> >>
>>> >> Bonjour,
>>> >>
>>> >> J'ai depuis ce matin un problème sur mon accès Completel (FTTH / Paris
>>> >> 11ème), pas moyen de récupérer d'IP.
>>> >> Completel indique un problème obscur avec un "presta" et un
>>> rétablissement
>>> >> approximatif dans quelques heures au plus (une perle).
>>> >>
>>> >> Si quelqu'un à plus d'infos à ce sujet, je suis preneur, mieux, si
>>> >> quelqu'un de Completel lis ce mail, un petit UP sur le status serait
>>> le
>>> >> bienvenu.
>>> >>
>>> >> Cheers
>>> >>
>>> >> -- JB
>>> >>
>>> >> ---
>>> >> Liste de diffusion du FRnOG
>>> >> http://www.frnog.org/
>>> >>
>>> >>
>>> >
>>> >
>>> > -- JB
>>> >
>>> > ---
>>> > Liste de diffusion du FRnOG
>>> > http://www.frnog.org/
>>>
>>>
>>
>>
>> --
>>
>> Jean-Baptiste FAREZ
>>
>> 6 Bis, Rue de Pierrepont
>> 80134 Hangest en Santerre
>>
>> Tél : +33 (0)3 22 35 33 91
>> Gsm : +33 (0)6 51 39 67 87
>>
>> jbfa...@gmail.com
>>
>> --
>>
>> LinkedIn : http://minu.me/-jbfldn
>> Viadeo : http://minu.me/-jbfvia
>>
>>
>


-- JB

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Problème ligne Completel

[Jean-Baptiste]

Pour être honnête, je ne sais pas exactement, j'ai bien une fibre qui
arrive, ce qu'il y a avant je ne le sais pas.
Y a t-il un moyen simple de le vérifier ?

Merci.

Le 19 mai 2015 16:25, David Ponzone  a écrit :

> T’es sûr que c’est une fibre ?
> C’est pas du câble NC que Completel revend comme FTTH ? :)
>
>
> Le 19 mai 2015 à 16:22, Jean-Baptiste  a écrit :
>
> > @David, je te laisse imaginer que non ;-) sinon je ne posterai pas sur
> nOG
> > @Fathia, effectivement je confirme le rétablissement vers 14h, merci pour
> > le retour. En revanche, nous n'avons pas eu le privilège d'avoir la même
> > notice à propos de la collecte...
> >
> > Cheers
> >
> > Le 19 mai 2015 15:48, fatiha boudj  a écrit :
> >
> >> Nous avons rencontre le meme probleme avec nos clients dans le 11e
> >> retablissement vers 14h
> >> ci dessous retour Completel
> >>
> >> "Notre diagnostique nous indique un défaut sur notre équipement de
> >> collecte de la fibre sur notre tête de réseau vers le client.
> >> Nous déclenchons une intervention afin d'effectuer un remplacement de la
> >> SFP de la fibre.
> >> Nous vous tiendrons informé sur la planification de cette intervention."
> >>
> >>
> >>  --
> >> *De :* Jean-Baptiste 
> >> *À :* frnog@frnog.org
> >> *Envoyé le :* Mardi 19 mai 2015 10h22
> >> *Objet :* [FRnOG] [ALERT] Problème ligne Completel
> >>
> >> Bonjour,
> >>
> >> J'ai depuis ce matin un problème sur mon accès Completel (FTTH / Paris
> >> 11ème), pas moyen de récupérer d'IP.
> >> Completel indique un problème obscur avec un "presta" et un
> rétablissement
> >> approximatif dans quelques heures au plus (une perle).
> >>
> >> Si quelqu'un à plus d'infos à ce sujet, je suis preneur, mieux, si
> >> quelqu'un de Completel lis ce mail, un petit UP sur le status serait le
> >> bienvenu.
> >>
> >> Cheers
> >>
> >> -- JB
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >>
> >
> >
> > -- JB
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>


-- 

Jean-Baptiste FAREZ

6 Bis, Rue de Pierrepont
80134 Hangest en Santerre

Tél : +33 (0)3 22 35 33 91
Gsm : +33 (0)6 51 39 67 87

jbfa...@gmail.com

--

LinkedIn : http://minu.me/-jbfldn
Viadeo : http://minu.me/-jbfvia

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Problème ligne Completel

[Jean-Baptiste]

@David, je te laisse imaginer que non ;-) sinon je ne posterai pas sur nOG
@Fathia, effectivement je confirme le rétablissement vers 14h, merci pour
le retour. En revanche, nous n'avons pas eu le privilège d'avoir la même
notice à propos de la collecte...

Cheers

Le 19 mai 2015 15:48, fatiha boudj  a écrit :

> Nous avons rencontre le meme probleme avec nos clients dans le 11e
> retablissement vers 14h
> ci dessous retour Completel
>
> "Notre diagnostique nous indique un défaut sur notre équipement de
> collecte de la fibre sur notre tête de réseau vers le client.
> Nous déclenchons une intervention afin d'effectuer un remplacement de la
> SFP de la fibre.
> Nous vous tiendrons informé sur la planification de cette intervention."
>
>
>   --
>  *De :* Jean-Baptiste 
> *À :* frnog@frnog.org
> *Envoyé le :* Mardi 19 mai 2015 10h22
> *Objet :* [FRnOG] [ALERT] Problème ligne Completel
>
> Bonjour,
>
> J'ai depuis ce matin un problème sur mon accès Completel (FTTH / Paris
> 11ème), pas moyen de récupérer d'IP.
> Completel indique un problème obscur avec un "presta" et un rétablissement
> approximatif dans quelques heures au plus (une perle).
>
> Si quelqu'un à plus d'infos à ce sujet, je suis preneur, mieux, si
> quelqu'un de Completel lis ce mail, un petit UP sur le status serait le
> bienvenu.
>
> Cheers
>
> -- JB
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>


-- JB

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Problème ligne Completel

[Jean-Baptiste]

Bonjour,

J'ai depuis ce matin un problème sur mon accès Completel (FTTH / Paris
11ème), pas moyen de récupérer d'IP.
Completel indique un problème obscur avec un "presta" et un rétablissement
approximatif dans quelques heures au plus (une perle).

Si quelqu'un à plus d'infos à ce sujet, je suis preneur, mieux, si
quelqu'un de Completel lis ce mail, un petit UP sur le status serait le
bienvenu.

Cheers

-- JB

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration Fibre SFR

[Baptiste Betelu]

>
> Du coups ca sert a quoi de livrer sur un Switch?
>

Seule l'offre de type lan-to-lan est livrée sur un switch. Les autres sont
livrées sur un routeur ou un iad (j'avais oublié la voix) après le switch.
Le switch est là pour raccorder la fibre et permettre de livrer tous les
services.

2015-04-16 10:40 GMT+02:00 Raphael Mazelier :

>
>
>
>
>> Exactement pour toutes ces raisons il me semble.
>>
>>
>
> Oui et surtout pour faire point de démarcation.
> C'est un grand classique, avant on faisait ça systématiquement sur des
> RAD, maintenant SFR deploie du Huawei.
>
> --
> Raphael Mazelier
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration Fibre SFR

[Baptiste Betelu]

Bonjour,

Pour la culture générale:

switch Huawei -> offre Entreprise
avec SFP -> fibre SFR

switch sans CPE L3 -> offre SFR Ethernet (lan to lan)
switch + CPE L3 -> offre SFR IPnet (vpn) ou SFR Connect (internet)

Et dans tous les cas: CDP pour la configuration à appliquer pour se
connecter.

Baptiste

2015-04-16 9:40 GMT+02:00 David Ponzone :

> Ils posent un ONT pour le GP il me semble.
> A moins que cela soit variable.
>
> Le 16 avr. 2015 à 09:34, Alexis Lameire  a
> écrit :
>
> > C'est une offre pro ou grand public ?
> >
> > Alexis
> > Le 16 avr. 2015 00:11, "Paul Birnbaum"  a écrit :
> >
> >> Bonjour,
> >>
> >> Une âme charitable à t il la config pour se connecter derrière un switch
> >> Huawei connecté en Fibre en direct avec un sfp.
> >>
> >> Retour par MP svp
> >>
> >> Cordialement
> >>
> >> Paul
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] DDoS / analyse de traffic

[Baptiste]

Sans aller dans les extrêmes, quelques centaines de milliers de
paquets ne prennent pas un gros volume et peuvent faire tomber la plus
part des équipements réseau et/ou serveurs d'un infra.

Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DDoS / analyse de traffic

[Baptiste]

Bonjour,

Soyons précis, il faut citer tout le monde:
- check point DDOS protector
- corero
- juniper DDOS secure
- fortinet fortiddos

Les LB "haut de gamme":
- F5
- a10
- radware

Et le petit dernier, made in France:
- HAProxy Technologies a ajouté récemment sur son LB ALOHA un module
de protection contre les DDOS

Baptiste



2015-02-27 8:35 GMT+01:00 Amaury DUCHENE :
> Bonjour,
>
> A qu'elle hauteur devez vous mitiger les attaques ?
>
> Cordialement,
>
>
> On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte 
> wrote:
>
>
> Il y a aussi les produits de Andrisoft et flowtraq
>
> Fabien
>
> On Feb 26, 2015, at 9:26 PM, Raphael Mazelier  wrote:
>
>> Le 26/02/2015 21:10, Jeremy a écrit :
>>> Prend une licence chez Wanguard va :)
>>>
>> Je trouve que ce soft a un très bon rapport qualité/prix.
>> Évidement c'est loin d'être parfait, mais à ce tarif c'est imbattable.
>> Le support est réactif qui plus est.
>>
>> --
>> Raphael Mazelier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche Revendeur BROCADE (gamme ICX)

[Jean-Baptiste COUPIAC]

Bonjour la liste, 

 

Nous sommes à la recherche d’un revendeur Brocade pouvant nous fournir du
Switch  BROCADE ICX 6610 – 24p

 

Contact en MP :)

 

Cordialement,

 

+-   N F R A N C E  -  C O N S E I L   -+

|  Jean-Baptiste COUPIAC  Toulouse, France  |

|  phone : +33 (0)5 34 45 55 01www.nfrance.com  |

|  email : jeanbaptiste(at)nfrance.com AS15826  |

+---+

 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Conseil switches

[Mattieu Baptiste]

2015-01-04 15:19 GMT+01:00 Simon Morvan :
>
> Je commence à regarder par quoi remplacer ces équipements. Je pensais
> passer sur du cisco, genre de simple 2960 qui feront fort bien
> l'affaire, mais est-ce vraiment un gage de meilleure durabilité ?
> Qu'est-ce qu'on peut trouver d'aussi bien dans le même genres chez les
> autres "références" (Brocade ? Juniper ?).
>
> Pour l'architecture en elle-même, un point me tente (et me chiffonne
> aussi) : passer sur du stacking, au lieu du double lien ethernet entre
> les deux switchs. Évidemment, c'est plus agréable et peut etre un poil
> plus performant (pour mon usage), mais est-ce que la stack ne va pas
> devenir rapidement un SPOF en elle même ?

Bonjour,

J'ai en prod depuis plusieurs années et pour des besoins similaires
(coeur de réseau, stack de distribution, etc.) de nombreux stacks HP
(gamme anciennement 3Com/H3C) :
- Des stacks de 5500 EI dans leur première version stackable (via les
liens CX4) composés de 2 à 5 éléments : en 5 ans, j'ai perdu un switch
suite à une coupure de courant.
- Des stacks de 5800 de 2 éléments. Idem, j'ai perdu un switch en 4
ans. Côté alim, j'ai des modules RPS sur ces modèles. C'est moins
pratique que les nouvelles gammes avec les alims intégrées.
- Plus récemment des stacks de 5820 de 2 éléments. Les deux alims sont
intégrées. RAS pour le moment.

Quelque soit la version, ça fait très bien le boulot si on ne demande
pas l'impossible. J'ai un peu de mal avec la CLI de cette gamme par
rapport aux ProCurve ou autres Cisco-like, mais c'est question
d'habitude.
Tous les équipements connectés à ces stacks sont au minimum double
attachés sur différents éléments, ce qui permet de tenir quelques
jours avant de remplacer un switch en cas de problème : je me repose
sur la garantie à vie HP (jamais eu de problème avec ça, bonne
réactivité). Evidemment, ça n'adresse pas la rare éventualité d'un
plantage du stack complet... mais tout est question du risque que tu
acceptes de prendre.

Pour les stacks de 5820, je me suis récemment posé la question de
changer de constructeur (Cisco ou Juniper) mais vu les tarifs de
ceux-ci, et le fait que je suis satisfait des modèles HP, je suis
reparti pour HP.

++

-- 
Mattieu Baptiste
"/earth is 102% full ... please delete anyone you can."


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRsAG] [TECH] - Blocage des requètes HTTP contenant un header X-Forwarded-For:

[Baptiste]

Bonjour,

> % curl --header "Forwarded-For: 8.8.8.8 1.1.1.1" www.seloger.com
> renvoie une erreur 500

D'un point de vue HTTP, tu n'as envoyé qu'un header HTTP
X-Forwarded-For qui contient la chaine de caractère "8.8.8.8 1.1.1.1"
et qui n'est donc pas une adresse (ni deux) IP.
Si tu veux envoyer 2 adresses IP, tu as deux solutions:
  curl --header "Forwarded-For: 8.8.8.8, 1.1.1.1" www.seloger.com
ou
  curl --header "Forwarded-For: 8.8.8.8" --header "Forwarded-For:
1.1.1.1" www.seloger.com

Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] PowerEdge 1950 II & R610 & HP DL380G4 [VTS] SPEC

[jean-baptiste Pétré]

Bonjour,

Toujours sur onduleur:

Voici les specs :

PowerEdge R610 + 2 chassie en stock (uniquement)
Double alimentation
Dell PERC 6/i RAID Controller Card 256MB + 2 en stock
Drac (entreprise) + 1 en stock
CPU X1 XEON L5506 2.13Ghz
X3 4G de ram (8G au total)
6 Rack pour Disque 2.5 (sans disque) + disque en option
Lecteur DVD + 2 en stock

PowerEdge 1950 II
Double alimentation
RAID 'sur la photo' ou SAS (sur demande)
Drac
CPU X2 XEON 5160 3.00Ghz
X2 2G + X2 1G (total 6G de ram)
pas de lecteur

HP DL380 G4 U2
Double alimentation
CPU X2 3.80Ghz
X6 Disque de 300G 3.5 (ISCI)
4G de ram
Lecteur


A prendre sur place "PARIS 15"

Merci de faire une proposition

Cordialement,
Jean-Baptiste










 


Le 19 novembre 2014 19:06, jean-baptiste Pétré  a écrit :


Bonjour, Bonsoir,



je m’excuse pour petit mail.

J'ai du matériel qui commence a prendre la poussier et donc je doit m'en 
débarrasser au plus vite .



J'ai trois serveur a ventre :

PowerEdge 1950 II

PowerEdge R610

HP DL380G4



Serveur a venir cherche sur place.

Pour ceux et celle qui serais intéresser contacté moi en priver afin de ne pas 
trop faire de spam.

Merci a vous.



Cordialement,





---

Liste de diffusion du FRnOG

http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] PowerEdge 1950 II & R610 & HP DL380G4 [VTS]

[jean-baptiste Pétré]

Bonjour, Bonsoir,

je m’excuse pour petit mail.
J'ai du matériel qui commence a prendre la poussier et donc je doit m'en 
débarrasser au plus vite .

J'ai trois serveur a ventre :
PowerEdge 1950 II
PowerEdge R610
HP DL380G4

Serveur a venir cherche sur place.
Pour ceux et celle qui serais intéresser contacté moi en priver afin de ne pas 
trop faire de spam.
Merci a vous.

Cordialement,

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Offre d'emploi chez Cedexis

[Baptiste]

Eh Jean-Kevin, tu fais des "BGB anouncement" ??
C'est vendredi, c'est permis.

Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/