Re: [FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

[Eric Belhomme (FRnOG)]

Le 24/06/2020 à 10:27, Nico CARTRON a écrit :

Débrayer une solution de protection de la vie privée parce que
Microsoft a fait n'importe quoi ? Le pouvoir des GAFA est vraiment
dingue.


Oui, il l'est. Comment veux-tu expliquer à ton utilisateur que non, il 
n'accèdera pas à sa messagerie *pro* parce que MS fait de la merde ? 
C'est in-entendable. Hélas.




Non, le problème a été causé par l'introduction de la fonction
qname-minimization dans PowerDNS Recursor, cf. l'issue GH:

"With the introduction of qname minimization, a function
doResolveNoQNameMinimization() was introduced. This function is
called by doResolve() with depth incremented. Due to the recursive
nature of the resursor algortihm (Nomen est Omen) we end up
incrementing the depth too much"


Il s'agit donc d'un bug de pdns. Et au passage un grand merci pour la 
solution de contournement, elle fonctionne :D


La suite est HC ici, mais je me demande bien pourquoi la limite de 
récursion appliquée aux CNAME est codée en dur et ne tient pas compte de 
la conf...


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] récursion DNS en SERVFAIL pour outlook.office.com

[Eric Belhomme (FRnOG)]

Bonjour la liste : je suis confronté à un problème de récursion DNS que 
je ne sais pas comprendre, et donc que je n'arrive pas à résoudre, 
lorsque des clients de mon réseau local tentent d'accéder à 
'outlook.office.com' :

$ dig @172.16.81.10 outlook.office.com

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @172.16.81.10 
outlook.office.com

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 53342
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;outlook.office.com.        IN    A

;; ANSWER SECTION:
outlook.office.com.    9    IN    CNAME substrate.office.com.
substrate.office.com.    300    IN    CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 8    IN    CNAME afd-k.office.com.
afd-k.office.com.    8    IN    CNAME 
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net.    188 IN CNAME 
outlook.ha.office365.com.

outlook.ha.office365.com. 60    IN    CNAME outlook.ms-acdc.office.com.

;; Query time: 213 msec
;; SERVER: 172.16.81.10#53(172.16.81.10)
;; WHEN: Wed Jun 24 08:10:19 CEST 2020
;; MSG SIZE  rcvd: 232

On se mange un SERVFAIL la plupart du temps (mais pas tout le temps, il 
y a des fois où àa arrive à passer, là non plus, je ne sais pas par quel 
miracle)


Le serveur DNS en 172.16.81.10 est un PowerDNS--recursor 4.3.1, qui 
tourne sur une Debian 10. Sa configuration spécifique ce résume à ces 
quelques primitives:


allow-from=127.0.0.0/8, 172.16.80.0/23, ::1/128, fc00::/7, fe80::/10
api-key=uotCEgO01KQYX2W1dHXfOsmhnPgcwGOl
forward-zones-file=/etc/powerdns/forward-zones.conf
local-address=0.0.0.0
max-recursion-depth=0

J'ai rajouté le "max-recursion-depth=0" pour tenter de résoudre mon 
présent problème (la limite de récursion étant par défaut de 40)


J'ai tracé coté pdns les questions-réponses générées par le dig plus 
haut, ça m'a craché plus de 800 lignes de log que je ne sais pas 
interpréter. J'ai collé ça sur pastiebin ici : 
https://www.pastiebin.com/5ef30139ea1ee


J'ai bien compris qu'il y a moult indirections de CNAME en CNAME, je 
vois bien dans les logs que pdns remonte la piste jusqu'à ce qu'il en 
ait marre en ligne 809 et lache l'affaire en retournant un SERVFAIL. Le 
message est clair: "but recursing too deep"


Pourtant j'ai désactivé la limite de profondeur de récursion

Pourtant si je demande aux DNS de cloudflare ou de google, eux savent 
résoudre :


$ dig @1.1.1.1 outlook.office.com

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @1.1.1.1 outlook.office.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47479
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;outlook.office.com.        IN    A

;; ANSWER SECTION:
outlook.office.com.    52    IN    CNAME substrate.office.com.
substrate.office.com.    292    IN    CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 52 IN    CNAME afd-k.office.com.
afd-k.office.com.    52    IN    CNAME 
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net.    232 IN CNAME 
outlook.ha.office365.com.

outlook.ha.office365.com. 52    IN    CNAME outlook.ms-acdc.office.com.
outlook.ms-acdc.office.com. 52    IN    CNAME CDG-efz.ms-acdc.office.com.
CDG-efz.ms-acdc.office.com. 2    IN    A    52.97.233.66
CDG-efz.ms-acdc.office.com. 2    IN    A 40.101.136.242
CDG-efz.ms-acdc.office.com. 2    IN    A    52.97.150.2

;; Query time: 25 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Wed Jun 24 09:45:01 CEST 2020
;; MSG SIZE  rcvd: 320

Alors, je me doute bien que je dois être un sombre idiot à rester planté 
sur un truc praeil, mais là je suis sec, alors une âme charitable 
pouvait me mettre sur la piste, je lui en serait vraiement reconnaissant :)



--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 07/03/2020 à 05:04, Michel Py a écrit :
- Si çà dit POE mais pas 802.af ou 802.3at, à éviter : c'est du passif 
avec un pinouillage batard et un voltage batard.
possiblement va falloir un injecteur et un déjecteur (à défaut de 
français pour reverse-injector) spécial.

- Si çà dit "digital zoom" et pas "optical zoom", c'est daubique.
- Si çà dit "optical zoom", çà veut pas dire que c'est vrai.
- Si c'est pas ONVIF, à éviter. Tous les softs gratuits propriétaires 
sont de la merde en boite.


J'essaie de pas être méchant, mais les merdasses à 20 balles sur 
Bangood ou Aliexpress, il y à une bonne raison pour laquelle elles 
sont à 20 balles.


Alors sur le papier, la daube que j'ai achetée est :

- 802.3af et dans les faits je l'ai bien alimenté en 802.3af, même si 
elle n'a linké qu'à 100Mbps et pas en gigabit


- elle est supposée ONVIF

Le (peu de) temps où elle a correctement fonctionnée, je l'ai utilisée 
sans aucun problème avec ZoneMinder en RTSP. Elle sortait du 720p plutôt 
correct, avec bascule auto en mode IR, et elle m'éclairait le garage en IR !


Après tu as raison, et si je me suis laissé tenter par un achat 
impulsif... ben c'est précisément parce que je prenais pas un gros risque ;)


Cela dit, maintenant que je me suis fait c***r à tirer une ligne 
ethernet jusque dans le garage, va falloir que je trouve une *vraie* cam 
à brancher dessus :p


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 05/03/2020 à 12:49, David Ponzone a écrit :

Je suis déçu, je trouve que tu baisses les bras un peu vite.
C'est que j'ai aussi un métier, et que je préfères me casser les dents 
sur du trucs un peu plus rigolos, genre utiliser une SBC pour monter un 
NAS (ou une borne d'arcade, ou un AP wifi, ou...) ;)

Y a des modèles qu’il faut secouer pendant 10 sec pour le reset usine.
Essaie.


???

Et il faut aussi que je lève la jambe gauche et le bras droit, et que je 
sautille en tournant 3 fois autour de moi-même ? Ca ressemble à la 
chasse au Dahut ton affaire...


Bon pour en finir avec cette histoire et pour répondre à ceux qui 
voulaient connaitre la marque, il s'agit d'une cam HC612-P vendue sous 
la marque "hiseeu" (appréciez le jeu de mots pourri).


Et pour l’anecdote, j'ai fait une énième tentative hier, en la branchant 
directement au cul de mon laptop, en configurant mon laptop en IP fixe 
sur le plan d'adressage "usine de la cam (192.168.1.0/24) avec un 
wireshark tournant en tâche de fond. Je lance l'appli "DeviceManager" du 
"constructeur" qui permet de configurer la cam :
- je vois toujours les annonces ARP en provenance de la MAC de la CAM 
pour 172.16.80.81 (l'ip initialement attribué)
- le clique sur le bouton "search" de leur soft moisi. Coté wireshark, 
je vois que "DeviceManager" balance du broadcast UDP sur le port 12349. 
Et là, miracle, je vois la cam apparaître dans la liste du soft 
pourri... avec son IP en 172.16.80.81 (je rappelle que je suis en 
192.168.1.1, avec une seule interface, et une seule IP configurée sur 
ladite interface). Évidemment quand j'ai tenté de modifier la conf, je 
me suis pris un message d'insulte "device unreachable". Définitivement, 
le chinois, c'est plus fort que moi.
- malgré de nombreuses autres tentatives, je n'ai pas réussi à faire 
réapparaître cette satanée cam dans la liste du "DeviceManager". Je ne 
sais pas par quelle invocation Vaudou j'ai réussi à la voir à un moment. 
Mais bon, définitivement, la stack IP de cette cam, c'est du grand 
n'importer quoi !



--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 05/03/2020 à 10:46, David Ponzone a écrit :

oh la vache, le coup-bas:)
Alors déjà moi, j’ai pas vraiment sollicité de temps sur un problème réseau, 
sans filer ma conf:)
Et puis le but correspond à un besoin puisque le NAS enfin fabriqué est plus 
puissant qu’un NAS commercial 2 fois plus cher, ta caméra à 20€ peut-elle en 
dire autant ?:)


Pas un coup bas, juste un clin d'oeil entres adeptes de la bricole et du 
DIY :D


Quant à ma conf, il s'agit de mon "lab à moi que j'ai" dans ma cave, 
j'en ai un peu rien à braire que le Monde sache que j'ai 4 VLAN qui se 
battent en duel avec un plan d'adressage en 172.16.80.0/21 derrière ma 
freebox :p Et tu noteras tout de même que j'ai pris soin de virer mes 
secrets ('blablabla', ce n'est pas un mot de passe !) La sécurité par 
l'obscurité, ce n'est pas un bon modèle ;)



Et un ping depuis le switch, ça marche mieux ?
Sinon, remplace la cam par un PC avec la même IP.
Si ça marche, tu jettes la caméra (tu peux éventuellement vérifier s’il y a pas 
un upgrade à faire, car souvent les produits chinois de ce type restent 2 ans 
dans un vieux stock dont personne ne veut, jusqu’à ce que Alitruc réussisse à 
les fourguer.à un gogo (ça c’est toi)


Comme répondu à Dominique, la cam va partir à la benne et je vais partir 
un chasse d'une caméra dôme + IR digne de ce nom. Il faut savoir 
reconnaitre ses echecs ;)


--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

À tout hasard :
- as-tu essayé de ping vers l'ip 192.168.1.10 depuis qu'elle ne
   "fonctionne plus" ?
- pas vu passer le fait que tu aies essayé de la réinitialiser en
   config usine ; si c'est vraiment parceque le mode DHCP ne fonctionne
   pas, tu reset et mets en statique.



Oui, j'ai bien tenté de retaper sur son IP "usine", ça na rien donné. 
J'ai aussi tenté de la brancher direct au cul d'un laptop, sans POE, 
même résultats...


Pour la conf usine, c'est là que vous allez rigoler... Y'a pas de bouton 
"reset to factory defaults" ! Me disant que c'était pas possible, qu'ils 
avaient dû le planquer à l'intérieur, je l'ai désossé : rien, nada, que 
pouic ! pas le moindre bouton, ou jumper, ou même seulement des touches 
de contacts directement sur le PCB ! Même pas vu un truc qui 
ressemblerait de près ou de loin à du JTAG, c'est à se demander 
/comment/ ils flashent leur firmware de merde sur cette cam ???


Je laisse tomber, j'ai ouvert un litige sur aliexpress. Comme l'a fort 
justement fait remarquer David, le jeu n'en vaut pas la chandelle ;)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Le 05/03/2020 à 09:43, David Ponzone a écrit :

Ma sagesse très personnelle dit:

Faut arrêter d’acheter des (mauvais) trucs chinois à 20€ sur Alibaba, 
pour finalement perdre 80€ de son temps personnel (ou des autres) à 
les faire marcher, alors qu’une cam à 100€ aurait fait le boulot direct :)


C'est pas faux, j'ai agit sous l'impulsion d'un coup de tête... Je te 
dirais bien que ça me servira de leçon, mais je n'y crois pas, et toi 
non plus ;) Et puis venant de la part d'un gars qui voulait monter un 
NAS à coups de SBC chinetoque y'a pas deux mois, et qui en a chié comme 
un Turc pour faire tourner une carte SATA de provenance douteuse, la 
remarque ne manque pas de sel ;-)



Ceci était, à vue de nez rapide, le comportement que tu as fait penser à:
-caméra dans le VLAN10
-interface IP 172.16.80.1/24 sur le catalyst pas dans le VLAN 10


la cam est effectivement sur le VLAN10, tout comme mon host en 
172.16.80.90, le Catalyst est bien mon routeur de "cœur de réseau" et 
172.16.80.1 est bien l'IP associée au VLAN10 sur le catalyst.



Sans la conf complète du Catalyst, c’est pas simple, et y a rien à 
gagner en plus :)


Je ne voulais pas polluer la liste avec 200 lignes de fichier de conf, 
mais puisque tu demandes... et pour la carotte, ma gratitude éternelle, 
ça compte ? :D


version 15.0
no service pad
service timestamps debug datetime
service timestamps log datetime
no service password-encryption
!
hostname quicksilver
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 blablabla
enable password blablabla
!
username admin password 0 blablabla
aaa new-model
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
ip routing
no ip cef optimize neighbor resolution
ip domain-name ricolan
ip name-server 172.16.81.10
!
ip multicast-routing distributed
!
crypto pki trustpoint blablabla
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
ip ssh logging events
ip ssh version 2
ip ssh pubkey-chain
  username blablabla
!
interface GigabitEthernet0/6
 description bureau - desktop eric
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/39
 description POE camera
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/47
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 description interconnect
 ip address 172.16.87.254 255.255.255.252
!
interface Vlan10
 description workstations
 ip address 172.16.80.1 255.255.255.0
 ip helper-address 172.16.81.10
 ip pim sparse-dense-mode
!
interface Vlan11
 description servers
 ip address 172.16.81.1 255.255.255.0
!
interface Vlan12
 description wifi
 ip address 172.16.82.1 255.255.255.0
 ip helper-address 172.16.81.10
 ip pim sparse-dense-mode
!
interface Vlan13
 description sandbox
 ip address 172.17.0.1 255.255.255.0
!
interface Vlan20
 ip address 172.16.83.1 255.255.255.0
!
interface Vlan30
 no ip address
!
no ip http server
no ip http secure-server
!
ip pim send-rp-announce Vlan10 scope 5
ip pim send-rp-announce Vlan12 scope 5
ip pim send-rp-discovery scope 5
ip route 0.0.0.0 0.0.0.0 172.16.87.253
ip route 172.16.86.0 255.255.255.0 172.16.87.253
ip route 192.168.16.0 255.255.255.0 172.16.80.5
ip route 192.168.27.0 255.255.255.0 172.16.87.253
!
logging host 172.16.81.13 transport tcp port 514
!
snmp-server community blablabla RO
!
vstack
!
line con 0
line vty 0
 password blablabla
 transport input telnet
line vty 1 4
 password blablabla
 transport input ssh
line vty 5 10
 password blablabla
 transport input ssh
line vty 11 15
 password blablabla
!
monitor session 1 source interface Gi0/39
monitor session 1 destination interface Gi0/47
ntp server 172.16.81.2 prefer version 2
ntp server mafreebox.freebox.fr prefer version 2
end

Je n'ai laissé que les interfaces qui entrent en jeu:
- g0/6 : mon host source en 172.16.80.90/24, sur le VLAN10 sur lequel 
tourne une Debian

-g0/39: l'interface sur laquelle est conectée la cam, sur le VLAN10
- g0/47 : une interface non utilisée que j'ai configuré en mirroring du 
port g0/39 pour les captures (les captures ont été faites sur une 
interface non utilisée de mon FW à coups de tcpdump)


Mon serveur DHCP est sur le VLAN11 (172.16.81.10)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Cisco, table MAC, cache ARP, et autres chinoiseries

[Eric Belhomme (FRnOG)]

Bonjour la liste,

Ayant acheté une chinoiserie connectée sur un site bien connu, en 
l’occurrence aliexpress, je me retrouve confronté à un problème que je 
n'arrive pas à comprendre, et j'aurais besoin de votre science 
Ciscotienne, mes compétences en la matière étant somme toute quelque peu 
limitées.


Voici le topo : j'ai donc acheté une caméra POE sur aliexpress. J'ai 
profité de ce dernier week-end gris pour l'installer et la brancher sur 
mon installation:


- un injecteur Gigabit POE 802.3af/at en mode A à 4 ports, qui 
alimentent également mon AP WIFI (un Linksys)


- un switch Cisco WS-C3560G-48TSen version 15.0(2)SE11 qui tourne sur 
l'image C3560-IPSERVICESK9-M


Je vous passe les détails rocambolesques avec une appli (très) mal 
traduite du chinois pour pouvoir configurer la cam en DHCP, lui coller 
un mot de passe, et désactiver tout ce qui est inutile (j'ai laissé 
uniquement NTP et RTSP), la caméra finit donc par tomber en marche et je 
peux l'ajouter à mon ZoneMinder. Ca c'était dimanche.


Hier, je me rends compte que ZM ne capture plus le flux RTSP de cette 
cam. Je me rends compte qu'en fait la cam n'est plus joignable. Je 
regarde donc les logs de mon dhcpd et je constate que le dernier lease 
date de dimanche tard dans la nuit, depuis plus rien !


Comme j'ai un switch L3 sous la main, je regarde son cache ARP, ainsi 
que sa table MAC:


quicksilver>show interfaces status

Gi0/39    POE camera connected    10 a-full  a-100 
10/100/1000BaseTX


Le port est bien up

quicksilver>show mac address-table
  Mac Address Table
---

Vlan    Mac Address   Type    Ports
    ---       -
...
  10    0012.4134.5e76    DYNAMIC Gi0/39
...

la MAC de la cam est bien présente dans la table du switch, sur le port 
gb sur lequel je l'ai connecté


quicksilver#show interfaces gi0/39 | include ARP
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00

config ARP par défaut pour un cisco

quicksilver>show arp
Internet  172.16.80.81    0 0012.4134.5e76  ARPA   Vlan10

à priori, la cam a annoncé son conf IP via ARP

Pourtant, pas de réponse au ping, ni sur aucun port supposément ouvert 
(HTTP, RTSP), nmap reste aveugle (depuis un host sur le même VLAN que la 
CAM) et le soft "DeviceConfig" livré avec la cam ne la voit plus lui non 
plus !


A court d'idée, je finis par configurer un port-mirroring sur mon port 
g0/39 afin de lancer une capture du trafic au boot de la cam. Voici ce 
que j'obtiens:


No. Time   Source Destination   Protocol Length Info
  6 58.060403  a2imarke_34:5e:76 Broadcast ARP  
60 Who has 172.16.80.1? Tell 172.16.80.81


Frame 6: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

No. Time   Source Destination   Protocol Length Info
  7 59.059478  a2imarke_34:5e:76 Broadcast ARP  
60 Who has 172.16.80.1? Tell 172.16.80.81


Frame 7: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

No. Time   Source Destination   Protocol Length Info
  8 60.059471  a2imarke_34:5e:76 Broadcast ARP  
60 Who has 172.16.80.1? Tell 172.16.80.81


Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

No. Time   Source Destination   Protocol Length Info
 18 88.820063  a2imarke_34:5e:76 Broadcast ARP  
60 ARP Announcement for 172.16.80.81


Frame 18: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast 
(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (ARP Announcement)

rien de plus que du trafic ARP. Ce qui explique les entrées au niveau du 
switch. Par contre aucun trafic DHCP ou BOOTP. Pourtant la cam me 
ressort l'IP que mon dhcpd est sensé lui attribuer. Il a donc dû stocker 
ça quelque part dans une NVRAM. Bref, j'en arrive à la conclusion que la 
stack DHCP de cette cam pue grave du fion, ce qui explique pourquoi dans 
la doc succincte fournie avec la cam ils spécifient "We do not recommand 
leaving the IP camera on DHCP" (en config usine elle est en 
192.168.1.10/24 statique)


Quand je tente de pinger cette saleté de cam, voici ce que j'obtiens en 
capture:


No. Time   Source Destination   Protocol Length Info
  1 0.00   ASUSTekC_c4:19:e3 Broadcast ARP  
60 Who has 172.16.80.81? Tell 172.16.80.90


Frame 1: 60 bytes on wire (480 bits),

Re: [FRnOG] [MISC]QNAP/NETAPP/SYNO

[Eric Belhomme (FRnOG)]

Le 09/12/2019 à 20:45, Frank ALEXIS a écrit :

Mon Atari 512ste et les démos de hackeurs en overscan (infaisable paraît-il
😂😂) ont vécu aussi de belles heures sur mon bureau ...

Tout a une fin 🥺


... ou pas...

Il y toujours des furieux qui codent sur ces plate-formes, des démos sur 
Amtrad, des cartouches de jeu "homebrew" sur Colecovision, et qui se 
retrouvent lors de demoparties !


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC]QNAP/NETAPP/SYNO

[Eric Belhomme (FRnOG)]

Le 09/12/2019 à 10:12, Stéphane Rivière a écrit :

Et 15 ans plus tard, moment de solitude quand tu vois un bidule
foutinaze qui avait fini à la déchèt' à plus de 500 € sur ebay...


Ca me rappelle une anecdote: il y a un disaine d'années, en faisant 
justement du tri dans de vieux cartons, je retombe sur mon interface "Le 
Hacker" : Une petite interface que l'on connectait au port d'extension 
d'un Amstrad CPC et qui faisait un freeze mémoire et registres avant de 
basculer sur un déboggeur en ligne. Du haut de mes 14 ans, je bavais sur 
les publicités insérées dans l'illustre mag "Amstrad 100%". Je me 
rappelle même du prix : 500 FF, une véritable fortune pour moi à 
l'époque (je vous passe les détails du lobbying parental pour obtenir ce 
graal...)


"Tiens j'ai encore ce truc ? Je vais essayer de le coller sur eBay avant 
de le jeter"


J'ai du mettre le truc à 20 €, les enchères se sont affolées et le 
bidule est parti à presque 150 € ! Je contacte l'acheteur pour les 
détails em m'excusant du fait que ça soit parti aussi cher, et là le 
type me répond qu'il faut pas, qu'il a fait une bonne affaire, que ça 
faisait longtemps qu'il lurkait pour en chopper un, et que d'habitude ça 
part encore plus cher...


En même temps, j'ai moi-même longtemps cherché (en vain) un 
flicker-fixer et une interface ethernet pour Amiga à prix raisonnable... 
Jamais trouvé !


La grande époque de la micro-informatique 8 et 16 bits, c'était le bon 
temps :)


PS: j'ai toujours une UC de CPC 6128. J'arrive pas à le jeter...

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Installer sa box au garage en utilisant les sortie du DTI

[Eric Belhomme (FRnOG)]

Le 07/12/2019 à 06:12, David Touitou a écrit :
comme tout le monde y va de son avis, moi aussi 8) 


Bon alors y'a pas de raison que je me prive moi aussi :D


Lorsqu'on a fait rénover la maison actuelle (2003), l'électricien (et 
les autres) nous ont regardé avec des gros yeux ronds parce qu'on 
voulait une paire de RJ45 en Cat5 dans chaque pièce (chaque chambre, 
cuisine, salons, bureaux, etc) et une paire de coax qui descende du 
toit ("master bedroom" et salon/HC). On envisageait à l'époque d'avoir 
des ordinateurs branchés dans les chambres (et cuisine et salon/HC), 
des players multimedia en RJ45 (qui se souvient des Popcorn Hour ?) et 
aussi quelques phones (un par niveau, il y en a trois). Je précise, on 
bosse à la maison. Au final, quelques années plus tard : . il y a une 
base DECT au premier et c'est tout (avec un combiné qui bouge très peu 
du bureau, on utilise nos mobiles) . on a arrêté le sat parce que... 
L'offre (et la box C-Sat, au secours). . pas de box opérateur (une 
APU2 branchée sur un vieux SpeedTouch ADSL2, on n'a pas droit à plus) 
. des Mibox en WiFi comme players (Plex, Arte.tv, C-Sat, etc) . le 
serveur Plex est parti au DC et il y a une Bitscope Blade en PoE avec 
4 Pi pour jouer (PiHole, emoncms, etc) Ce qui reste de l'utilisation 
du réseau Cat5 : . l'APU2 remonte au switch (qui est devenu PoE et 
fanless) . la ligne support de l'ADSL remonte au bureau pour le fax 
(mais c'est fini) . un switch (alimenté en PoE) pour le bureau (pour 
une vieille imprimante et pouvoir brancher des bidules pour faire des 
tests) . trois bornes Ruckus 7363 (en occasion, ça vaut plus rien et 
ça juste fonctionne), une par niveau, en PoE Dans la prochaine maison 
(passive, en cours de construction), on va retrouver ce même principe 
: tout en WiFi. 


Je suppose donc qu'en usage domestique, c'est avant tout une question de 
sensibilité car étant dans la même situation que toi, j'ai un usage 
radicalement différent du réseau, à tel point que j'ai dû remplacer mon 
vénérable C3560-24 par un non moins vénérable C3560-48...


Chez moi, c'est :

- 130 m² habitable, plus sous-sol (garage et atelier complet)

- dans ma "salle serveur" (un recoin du sous-sol où arrivent les 
adductions eau, EDF, et telecom), j'ai un coffret de brassage avec une 
30aine de noyaux ethernet.


- a noter que je ne me suis pass emm^Wembêté avec le bazar"DTI" et Cie : 
la paire de cuivre qui vient de la rue part directement sur un noyau 
cat. 5e dans mon armoire de brassage...


Rien que dans le séjour, j'ai 6 ethernet qui arrivent au coin TV : entre 
la TV connectée, la box TV, la Playstation, et l'OragePI qui me sert de 
serveur mpd (et accessoirement de serveur domotique) c'est déjà bien 
plein...


Ensuite le bureau, comme toi, ma femme et moi-même travaillons beaucoup 
depuis chez nous. Il y a donc encore 6 ethernet dans le bureau : 
imprimante, nos 2 desktops, ma base de laptop, et la base du téléphone dect.


Pour le Wifi, j'ai collé un AP Linksys dans les combles alimenté en PoE. 
Quitte à me faire suer à tirer un câble dans les combles, je l'ai 
doublé.. on sait-jamais. Chez moi le wifi sert surtout à la tablette et 
au téléphone. Les laptops sortent finalement assez peu du bureau ;)


J'ai aussi pas mal câblé mon atelier et mon garage. Un vieux pécé sur 
l'établi, ça sert toujours ;)


Pour l'anecdote, lorsqu'on a acheté notre maison, on a signé chez le 
notaire un vendredi, et le lundi j'avais les peintres qui débarquaient 
pour repeindre entièrement la maison. J'ai bossé tout le week-end pour 
faire les préparations (saignées, percements de dalle, gainage, 
scellement des boîtes et rebouchage) dans le week-end... c'est dire 
l'ordre de mes priorités :D--


Pour moi, rien ne remplace (encore) un bon vieux cable ethernet ;)

PS: J'ai aussi du Coax... mais pas d'antenne... et j'ai viré la parabole 
qu'avait posé l'ancien proprio ! Et si je me suis tâté pour mettre un 
rateau (pas  fait car je suis dans une zone d'ombre, et dans une région 
où le mistral souffle fort, et que la perspective de coller 2 ou 3 
mètres de mât pour suspendre au râteau à au moins 15 éléments ne 
m'enchante pas plus que ça) la lecture de vos commentaires sur le 
devenir de la TNT a fini de m'en dissuader !


--
Rico



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Installer sa box au garage en utilisant les sortie du DTI

[Eric Belhomme (FRnOG)]

Le 06/12/2019 à 08:11, Radu-Adrian Feurdean a écrit :

- La norme *T568B *étant plus répandue, dois-je systématiquement l'utiliser
lors de ce raccordement

Faut juste etre coherent et avoir le meme code couler des deux cotes (fort 
preferablement un des 2 versions de T568)


J'avais souvenance que de par des questions bassement physiques 
(constantes diélectriques, diaphonie entre les paires) la norme T568B 
était à privilégier pour du gigabit.


Évidemment je ne retrouve plus la source... Un Barbu pour confirmer ?

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Boitier étanche pour poteau 'cerclable'

[Eric Belhomme (FRnOG)]

Le 28/11/2019 à 10:26, Stéphane Rivière a écrit :

J'anticipe une remarque : pour le poteau béton c'est pas 2 chevilles de
8 qui vont attaquer sa structure mais le cerclage serait effectivement
plus propre - si on tape une ferraille au perçage, elle va s'oxyder et
ça finira par gonfler et claquer le béton...


C'est pas pré-contraint ça, comme les poutrelles béton ? Si c'est le 
cas, il est *interdit* de faire le moindre percement dedans : si par 
malheur tu touches et endommages une contrainte, c'est l'intégrité même 
de la poutrelle (ou du poteau) qui est remise en cause. En tout cas pour 
les poutrelles, la responsabilité de l'auteur du trou serait engagée en 
cas de sinistre.


Le feuillard, c'est bien ;)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Incident Free depuis 1h du matin

[Eric Belhomme (FRnOG)]

Le 27/11/2019 à 11:29, David Ponzone a écrit :


On doit pas avoir les mêmes clients :)
Les miens veulent pas claquer d’oseille pour un truc aussi inutile mais le jour 
où c’est coupé, ils perdent 10k€ de CA par jour de coupure.


Alors 2 précisions s'imposent:

1. le telco n'est pas mon métier, juste un centre d'intérêt.

2. Moi mon métier, c'est l'infra, l'automation et le cloud. D'où mon 
intérêt pour FRnOG (je suis aussi FRsAG, mais j'aime beucoup l'ambiance 
de FRnOG), parce-ce que même si le réseau n'est pas mon cœur de métier, 
j'en suis tout de même assez proche pour me sentir /très/ concerné ;)


Donc si, nous avons bien les mêmes clients. C'était justement l'objet de 
mon message, qui visait à nous rappeler que le monde professionnel ne 
tourne pas *que* autour de boîtes pour lesquelles l'IT est un enjeu vital ;)



Quand même la chance d’avoir quelqu’un qui répond au téléphone, qui gère la 
coupure, fait intervenir qui il faut si pas problème général et t’informe d’un 
délai de rétablissement si c’est un incident général.
Et aussi (très fréquent), qui t’explique que Internet marche bien, que c’est 
plutôt le super firewall Zyxel/Sophos/Netasq/bouze installé par le talentueux 
prestataire qui déconne (mais comme le prestataire ne répond pas au téléphone, 
on appelle qui ?)
Après, effectivement, rien de mieux que 1 lien cuivre, 1 lien optique et 1 4G. 
Là tu peux presque acheter que du GP, mais ça va coûter de toute façon plus de 
30€.


Question de réponse proportionnée au besoin ! Un exemple "moi-ma-vie" : 
Ma femme est indépendante, architecte de son état. Le siège social, ben 
c'est notre domicile. Elle a *besoin* d'internet au quotidien pour son 
travail (email, échange de plan, devis, factu... URSSAF, etc) pour 
autant un dysfonctionnement d'internet, même durable, est chiant, mais 
pas critique.


J'ai envisagé à un moment d'aller sur une offre pro, mais quel intérêt ? 
l'offre Free basique fait le job, et comme elle en est encore au stade 
où tout compte, c'est une dépense qui a été jugée inutile.


Ce cas particulier s'applique à une énorme masse de la population des 
TPE/indéps, j'en suis convaincu.


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

[Eric Belhomme (FRnOG)]

Le 27/11/2019 à 09:58, Hugues Voiturier a écrit :

Et je ne suis pas d’accord avec toi, ces boîtes ont quasiment toutes besoin de 
leur connexion, que ce soit pour les TPE, pour les mails, pour leur stock...


C'est ton droit :) Mais le monde entier ne tourne pas /encore/ sur 
Internet, et il y a encore plein de pros qui n'on pas un besoin *vital* 
d'internet et qui peuvent supporter une coupure plus ou moins longue 
sans dommage aucun.



Et ces gens là tournent derrière des offres pas adaptées, et ne savent même pas 
quoi faire en cas de souci.


Stéphane a bien résumé : les offres "pro" à destination des TPE n'ont de 
pro que le prix...


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

[Eric Belhomme (FRnOG)]

Le 27/11/2019 à 09:01, Hugues Voiturier a écrit :

Y a quelques « prestataires » qui vont avoir du boulot pour remettre leurs 
clients sur autre chose en urgence.
Mais sérieux, mettre des pro sur des freebox en nominal...


Les mecs descendez un peu de vos tours d'Ivoire de temps en temps : il n'y a pas que des grands 
comptes qui ouent des liens à xxx Gbps et autres fibres noires avec des meshs MLPS dans tous les 
sens... Parmis les "professionnels" il y a aussi des TPE, indépendants, professions 
libérales, pour lesquels Internet n'est qu'une commodité, et pour qui bien souvent l'IT se limite à 
une "box" et un laptop sous Windows.

Ces gens-là font vivre des "prestataires informatique" à leur échelle, qui n'ont pas 
forcément vos niveaux en ingénierie telco, et de toutes façons ces clients-là ne comprennent pas 
pourquoi leur abonnement à internet "pro" devrait leur coûter 3x ce qu'ils ont à la 
maison.

Et pour ces clients là, une coupure de service, c'est chiant, mais c'est pas la 
cata. Leur métier ne tourne pas autour de l'IT.

D'ailleurs, pour la vaste majorité de cette clientèle, le fait que leur FAI 
fasse de la CGNAT ou du 4RD n'a aucun impact : du moment qu'ils puissent faire 
leurs déclarations d'URSSAF et suivre leur comptes en banque, le reste n'a 
aucune importance :)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Covage - SFR

[Eric Belhomme (FRnOG)]

Le 25/11/2019 à 12:39, Raphael Jacquot a écrit :

et oui...
la vraie révolution aurait été d'avoir une seule infra de dark
appartenant a l'état, louant a tout le monde aux memes conditions...


Allons bon ! et pourquoi pas, tant qu'on y est, fournir un vrai service 
public équitable, défendant l'intérêt du contribuable, plutôt que les 
intérêts court-termistes des copains (aux dépens dudit contribuable, 
cela va sans dire) ? ;)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] La chasse à la licorne 1U et en-dessous

[Eric Belhomme (FRnOG)]

Le 23/11/2019 à 22:23, Raphaël Jacquot a écrit :

ca a un peu coulé.
par contre, tu peux regarder chez pcengines.ch


J'ai utilisé par le passé leurs cartes "Alix" avec bonheur pour quelques 
bureaux en remote. PC Engines à rafraîchi quelques peu son offre avec 
une nouvelle base hardware "APU".


Leur "APU4c2" https://www.pcengines.ch/apu4c2.htm est juste génial : un 
CPU pas ashmatique, 4 *vrais* NICs Gbits (Intel 211), on peut y coller 
du stockage m.2 ou SATA, du mini-pcie pour du wifi et/ou du wwan, le 
tout pour une conso anecdotique :)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE : [FRnOG] [MISC] Besoin d'avis pour mon avenir professionnel

[Eric Belhomme (FRnOG)]

Le 20/11/2019 à 18:23, Cécile MORANGE a écrit :

Je voulais vous remercier pour tout vos mail ! Je m’attendais pas à autant de 
réponse…
Je pense suivre la voie de la raison et finir ce BTS. On verra plus tard pour 
un bac +3/+5, mais j’en ai ni l’envie ni la force pour l’instant.


La voie de la raison ;)

Autre chose, que personne n'a évoqué dans la discussion, mais qui me 
semble pourtant crucial étant donné tes aspirations: un BTS, c'est un 
Brevet de *Technicien* Supérieur. Avec un tel diplôme en poche, ne 
t'attends pas à faire de /l'ingénierie/ avant un certain nombre 
d'années... Pour ça il faudra d'abord que tu démontes tes talents et que 
tu justifies d'une certaine expérience... D'où l'intérêt de pousser à +3 
ou +5.


Vraiment, si tu ne t'éclates pas chez ton employeur en alternance, 
changes-en à la fin de ton cursus. J'ai jeté un œil à ton blog, tu es 
chez un "client final". A ton age, et étant en alternance, tu perds ton 
temps dans ce genre de société.  Vas plutôt voir du coté des sociétés de 
services et des intégrateurs. Sur le secteur d'Aix-Marseille, ce n'est 
pas ce qui manque... Tu rencontreras un paquet de gens aux profils très 
différents qui t'apprendront beaucoup, tu auras accès à un paquet de 
matos et de technologies que tu ne verra /jamais/ chez un unique 
employeur, et tu bénéficieras du mentorat des consultants seniors qui 
auront beaucoup de choses à t'apprendre.


... Et je suis sûr que dans ces conditions, le BAC +3 ou +5 te semblera 
beaucoup plus supportable ;)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Configuration network, service publicité

[Eric Belhomme (FRnOG)]

Le 19/11/2019 à 11:28, David Ponzone a écrit :

Tu pars du principe qu’un transfert SMB n’utilise qu’une connexion.
Je pense que même Microsoft a fait des progrès à ce niveau:
https://blogs.technet.microsoft.com/josebda/2012/06/28/the-basics-of-smb-multichannel-a-feature-of-windows-server-2012-and-smb-3-0/
 

http://www.frnog.org/


Effectivement, j'y ai pensé après coup :) Je note tout de même cette amélioration est 
arrivée avec SMB3, qui n'a été introduit "que" depuis Windows 2012 ;)

--
Rico, notoirement ignorant de l'éco-système Microsoft...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] déménagement de ligne partiellement dégroupée : qui fait quoi ?

[Eric Belhomme]

Bonjour la liste,

Ma question n'est pas tout à fait en charte, mais FRnOG est probablement 
le lieu le mieux adapter pour exposer le cas... Mes excuses pour le 
bruit généré...


Soit une TPE, dont le siège se situe en un endroit A. Cette TPE dispose 
d'une ligne cuivre partiellement dégroupée, et d'un abonnement ADSL chez 
Free sur cette ligne. (oui, c'est un FAI grand public, mais la TPE en 
question est un petit artisan, et son SI se limite à un ordinateur avec 
sa solution de compta/facturation et une imprimante, même pas en réseau...)


La TPE déménage son siège en un endroit B... situé à quelques dizaines 
de mètres seulement de l'endroit A... Techniquement, elle reste donc sur 
le même NRA. Le patron a donc demandé à Orange une création de ligne 
temporaire dans le bâtiment B (il s'agit d'un bâtiment neuf, sans ligne 
Orange existante) ainsi que le migration du numéro géographique de sa 
ligne A vers sa ligne B.


Tout ça est limpide et ne devrait pas poser de problème pour la 
téléphonie coté Orange. En revanche, coté Internet, je suis dans le 
brouillard le plus total : on a posé la question à Free, qui répond 
qu'il faut effectuer une procédure de déménagement sur leur site, mais 
pour ma part je ne suis pas sûr que ce cas de figure entre en compte : 
il ne s'agit pas d'un client qui change de logement et qui demande à ce 
que son abonnement associé à une ligne A soit ré-associé à une ligne B, 
mais d'une unique ligne déménagée physiquement.


J'entrevois donc 2 cas de figure :

- Lorsque orange va reconnecter la ligne sur le nouvel emplacement, ils 
pêtent le dégroupage partiel au passage. Du coup appel au support Free, 
qui fait intervenir Orange pour remettre les service, et il n'y a pas de 
procédure de déménagement à initier chez Free


- Lorsque Orange reconnecte la ligne, le dégroupage saute, c'est normal 
car la ligne cuivre n'est plus la même, et il faut initier la procédure 
de déménagement auprès de Free.


Il y aurait bien un 3e cas, mais ce serait trop simple : Orange fait 
suivre le dégroupage lorsqu'il bascule les lignes, et tout fonctionne 
sans rien faire !


La question que me pose mon artisan est simple : comment faire en sorte 
de minimiser au maximum la période de deconnexion durant laquelle il 
n'aura plus d'accès à l'Internet ? Je suis resté sec quant à quoi lui 
répondre... Auriez-vous des éléments de réponse ?


Merci,

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 24/08/2017 à 12:36, Alarig Le Lay a écrit :

Dans ce cas, pourquoi tu recherches du côté des opérateurs commerciaux ?
Ce que tu veux se rapproche beaucoup plus de ce que proposent les
opérateurs associatifs.
C'est une piste à creuser, mais la dernière fois que je m'étais penché 
sur la question, les opérateurs associatifs pêchaient sur la collecte : 
là où les "grands" opérateurs commerciaux proposaient de l'ADSL 2+ ou du 
VSDL à 40Mbps, les opérateurs associatifs ne proposaient "que" un lien 
ADSL. Je veux bien payer un peu plus cher, mais je veux une connectivité 
au moins à peu près équivalente à ce que permet la technique. Soit dans 
mon cas précis un lien VDSL qui devrait avoisiner les 40Mbps débit 
descendant. La fibre dans mon quartier, ce sera pas pour tout de suite, 
j'en ai bien peur...


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 24/08/2017 à 11:27, Olivier Lange a écrit :


Bon courage alors ;). J'ai pas trouvé. AU final, pour moi, j'ai une
fibre Orange, avec un mikrotik qui gère tout, et un tunnel eoip vers
un mikrotik hébergé, et je sors mon trafic depuis mon hébergeur (ovh).

J'ai gagné en stabilité, en vitesse, et je ne me prends plus la tête
avec ma connexion. Et surtout, si demain j'ai mon lien qui tombe, je
mets une 4G, et rien ne change (même ip, même plage, etc...). Pareil
si je dois changer de fournisseur, ou mettre un lien adsl de backup.

C'est une solution, mais qui nécessite une infra que je n'ai pas et que 
je ne souhaite pas mettre en place : c'est clairement overkill par 
rapport à mes besoins !



Espérer avoir une offre grand public, qui te tonne tout les avantages
d'une offre pro, c'est un peu croire au père noêl ;)
Je n'ai pas /besoin/ d'un offre pro, mais simplement d'une offre où on 
me vende un lien *intègre*, sans bridage abritraire ! (et accessoirement 
sans services à la con dont je n'ai aucun besoin)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Re: [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 24/08/2017 à 01:28, megagolgoth a écrit :

Aujourd'hui cela a-t-il encore un sens de bloquer le port 25?


Parce que ça en avait plus hier ?

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 23/08/2017 à 17:19, Eric Masson a écrit :


Orange Pro ici :
- ipv4 fixe
- pas d'ipv6 natif (tunnel HE)
- pas de filtrage reporté par les outils de scan externes.
- Infra Orange...
- Pas de box, un Thomson ST-536 en firmware 7.x et un TP-Link sous
   LEDE-17.01 (pas d'obligation de box pour avoir le support)

C'est pas con : les offres VDSL pro deviennent presque compétitives 
faces aux offres grand public... à voir



Le support sur la ligne cuivre n'est pas des plus performants, il faut
vraiment des problèmes de synchro francs pour qu'une intervention
terrain soit déclenchée (ce qui explique pourquoi je suis chez Orange,
je n'ose pas imaginer les soucis si c'est un opérateur tiers qui demande
une interventions sur la BL, même si passer chez Nerim avec une offre
Trust me titille de plus en plus...)

Bah, j'ai bien pensé à Nerim, mais mes dernières expériences 
professionnelles avec eux m'ont un peu fait déchanter : excellence 
technique des années 2000 est partie en même temps que son fondateur :(


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 23/08/2017 à 18:06, David Ponzone a écrit :


Pour faire simple, parmi tes questions, 2 catégories:
-celles auxquelles le FAI peut répondre et s'il ne le fait pas correctement, il 
vaut peut-être mieux ne pas envisager d'amorcer une relation


Il fut un temps où free était à peu près transparent, mais on me souffle 
que ce temps là est révolu, y compris chez eux. Je ne peux plus juger, 
je ne suis plus client chez eux depuis plus de 5 ans (une éternité dans 
ce milieu)


Quant aux autres, l'information est tout simplement impossible à 
obtenir... Essaies donc d'appeler le service commercial de 
Orange/SFR/Bouygues/whatever pour leur demander si ils fournissent une 
IP full stack ou si il y a du filtrage de port ou du proxying 
transparent chez eux, ils ne comprendront même pas la question !



Il faudrait peut-être aussi comptabiliser le taux d'indispo annuel dans tes 
critères, ca élimine certains acteurs de facto :)


Certes :)

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Le 23/08/2017 à 18:58, Antoine Drochon a écrit :

Salut,

Pour des besoins personnels


et plus tard

je recherche un opérateur qui me fournisse un vrai lien qui me
permette de travailler sérieusement :)


Petite contradiction là non ?


Pas vraiment, non...
Disons que j'ai une utilisation atypique de ma connexion domestique, 
j'imagine comme beaucoup sur cette liste :)


J'ai entre autre besoins effectivement d'une bonne liaison pour du 
télétravail, pour moi-même et ma moitié, et d'autre part j'ai moon petit 
lab @home (un hyperviseur et du stockage) qui me sert bien, y compris en 
clientèle


Et non, monter un VPN par dessus une "box" pour m'affranchir des 
limitations d'un opérateur défaillant n'est pour moi la bonne solution, 
je préfère passer par un opérateur qui "juste marche" ;)


La redondance du lien est hors-propos dans ce contexte (mais oui, mon 
smartphone au cul du routeur m'a déjà dépanné plusieurs fois)


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] comparatif *technique* des FAI "grand public"

[Eric Belhomme]

Bonjour,

La question est un peu HS ici, bien que ça concerne tout de même le 
monde des opérateurs... mais coté grand public !
Pour des besoins personnels, je recherche, pour l'instant sans succès, 
des éléments techniques afin de pouvoir comparer les offres "grand 
public" (Free, Orange, SFR, etc.) sur les seuls critères techniques de 
la connectivité fournie.


Notamment :

- la fourniture d'un IPv4 fixe/dynamique/partagée
- la fourniture d'une IPv6 d'un subnet IPv6
- du filtrage, ou de la QoS invasif
- de la qualité et du dimensionnement de l'infra propre
- de la qualité des points de collecte et de peering
- de la qualité des équipements fourni (modem/routeur)

Vous l'aurez compris, RaF des offres triple play et des box à gogos, je 
recherche un opérateur qui me fournisse un vrai lien qui me permette de 
travailler sérieusement :)


Auriez-vous des liens ou des éléments de réponse ?

Merci,

--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Eric Belhomme]

Le 19/11/2016 à 12:17, Pierre Colombier a écrit :
J'ai posé ça sur la machine qui me sert de firewall mais pour évaluer 
le niveau de charge induit sur une machine dédiée, une raspberry pi 
est probablement suffisante pour fournir ce type de service à une 
grosse PME.


Il y a quelques années, j'avais monté un "cluster" Bind9 sur des cartes 
Alix (CPU AMD Geode) pour un maximum de résilience sur l'infra de la 
boite qui m'employait à l'époque. L'infra comportait quelques milliers 
de machines réparties sur 3 sites, chaque site embarquait une paire de 
cartes Alix pour assumer les résolutions du site (domaines locaux + 
internet). Coté soft c'était du GNU/Linux Debian + Bind 9 et elles 
étaient loin d'être au taquet !


mes 2 cents

--
Eric Belhomme aka Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[ALERT] [FRnOG] [misc] AS20766 : problème chez Gitoyen ou la fin de behost.fr ?

[Eric Belhomme]

Bonsoir la Liste,

Il semble que depuis quelques jours mon VPS loué chez BeHost soit 
injoignable... La console d'administration de VPS ne marche pas non 
plus, et lorsque l'on tente d'aller sur le site www.behost.fr, on a le 
droit à ce message sibyllin :


UN PROBLÈME DE ROUTAGE NOUS OBLIGE À SUSPENDRE MOMENTANÉMENT NOS ACTIVITÉS

Et ce depuis plusieurs jours !
Ce soir j'ai tenté de voir un peu ce qu'il se passe, la route s'arrête 
effectivement quelque part chez Gitoyen, par contre aucune info quant au 
pourquoi du comment... quelqu'un aurait des infos à partager ?


Merci,

--
Eric Belhomme aka Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Relais SMTP

[Eric Belhomme]

Le 11/03/2016 11:54, Alexandre a écrit :
> Je ne suis pas d'accord, un serveur ca ne s'oublie pas. Ca se supervise
> et ca tient à jour, au moins pour les CVE. Ca reste du back office,
> c'est moins critique.
> 

Bien évidemment ! Ce que je voulais dire, c'est que ce genre de setup ne
nécessite pas de maintenance lourde comme pourrait le demander une
plate-forme de messagerie complète.

-- 
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] detection VPN SSL

[Eric Belhomme]

Le 10/03/2016 19:21, Michel Py a écrit :
> C'est pour çà que dans le fil de cryptolock, je disais à David que
> d'interdire les .zip dans le mail, c'est une arme à double tranchant.
> Dans certains environnements super restrictifs oui, avec des
> utilisateurs un peu sophistiqués non.

Pas mieux : les barrières n'emmerdent que les utilisateurs légitimes !
C'est comme les tourniquets à l'entrée du métro, ça n'emmerde *que* ceux
qui ont leur titre de transport en bonne et due forme...

-- 
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Relais SMTP

[Eric Belhomme]

Le 11/03/2016 11:37, Lacroix, Baptiste a écrit :
> Je confirme je ne fait que du SMTP out, en fait il s'agit d'une
> question de temps humain, pas seulement en terme de configuration
> mais aussi de maintien, je m'intéresse aux aspects techniques mais je
> considère que la gestion des mails est une science à part entière,
> ayant beaucoup d'aspects à gérer entre nos infrastructures internes,
> celles de production, les process, et plein de joyeusetées plus
> "administratives et commerciales" j'ai tendance à m'appuyer sur des
> spécialistes dans des domaines spécifiques, ça fait mal à ma vie de
> technicien et à mon gout du "do it yourself", mais du bien à ma vie
> de famille :-) L'autre point est que je maîtrise beaucoup trop
> d'éléments technique sans backup, ce qui d'un point de vue
> professionnel forme un risque pour la société...
> 

Arguments tout à fait recevables, mais si tu n'as pas de backup sur un
setup /basique/ de postfix en relais SMTP, c'est que soit tu travailles
dans une entitée *vraiment* petite, soit vous avez un sérieux problème
organisationnel ;)

Vu l'utilisation ciblée, ce serveur devrait se faire oublier une fois
mis en prod...

-- 
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Relais SMTP

[Eric Belhomme]

Le 11/03/2016 10:54, Nicolas Parpandet a écrit :

> Ca fait bien longtemps que je ne m’embête plus à monter une infra mail, on 
> installe zimbra,
> qui est un assemblage relativement bien fait de : postfix, ldap, amavis, 
> spamassassin, clamav, dkim, ..., 
> architecture mail qu'il faut plusieurs jours à monter à la mimine, soit 
> installée en quelques minutes,
> le monde change ;)
> 

Le monde change, pas forcément les besoin...

En l'occurence, au vu de la problématique décrite un Zimbra c'est un
marteau pour enfoncer une punaise, et encore, je suis même pas sûr que
Baptiste arriverait à contraindre proprement Zimbra à ses besoins !

Vu le cas d'utilisation (on parle *uniquement* de relais SMTP là !) je
ne vois même pas pourquoi il hésites : Postfix oeuf corse !

mes 2 cents,

-- 
Rico

-- 
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] detection VPN SSL

[Eric Belhomme]

Le 09/03/2016 11:32, Louis a écrit :
> Bonne idée. Il faut penser à définir ce qu'est un VPN. Si je fais du
> tunneling ssh, est-ce que c'est du VPN?
> 

Est-il vraiment nécessaire de répondre à ça ?

-- 
Rico, evidemment que c'en est, la fonctionnalité a même été implémenté
pour cela !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] recherche hébergement en Datacenter pour 60 racks dans l'Essonne

[Eric Belhomme]

60 racks, je trouve ça vraiment énorme... Tu as déjà fait une passe de 
virtualisation et de densification (blade) de ton parc ?
Parce que 60 racks ça va te couter vraiment bonbon.
Quid du plan de secours ? (Est-ce qu'il faut aussi prévoir 60 racks ou c'est 
potentiellement 30 + 30 sur 2 sites ?)

Quelques précisions :
- il s'agit principalement d'un ferme de calcul (disons 8 racks sur 10) et de 
stockage NAS (les 2 racks sur 10 restants)
- les racks hébergeant les nœuds de calcul sont alimentes par 3 circuits non 
redondants,
- les racks de NAS nécessitent 2 circuits redondants.

Les machines viendraient de 2 sources principales :
- un externalisation de nos serveurs hébergés en propre,
- une relocalisation de serveurs déjà hébergés en data centre, en Allemagne.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] recherche hébergement en Datacenter pour 60 racks dans l'Essonne

[Eric Belhomme]

Bonjour la liste,





Ma société  réfléchi en ce moment à externaliser l'hébergement de serveurs - 
beaucoup de serveurs - en data centre. Nos besoins :



- situation géographique en Ile de France, dans l'Essonne, idéalement dans le 
secteur de Massy/ Rungis/Wissous,

- entre 150 et 160 m² de surface privatisée,

- 60 racks avec 3x 16A par rack,

- nous ne souhaitons pas passer par un revendeur, mais traiter directement avec 
l'opérateur,

- grosse connectivité, avec possibilité de câbler un lien 100Mbps ou Gbit en 
MPLS.



Je suis totalement néophyte dans le domaine, donc je recherche des 
interlocuteurs sérieux pour me guider et faire murir ce projet.



Merci,



Eric Belhomme

Synopsys Emulation & Verification


---
Liste de diffusion du FRnOG
http://www.frnog.org/