[FRnOG] [TECH] Bornes wifi PoE / WDS / (OpenWRT)
Salut la liste, Je parcours nombre de sites, mais je me suis dit que certains barbus de la liste doivent avoir monter ça chez eux. Pour mon futur chez moi, je vais câbler, mais comme je veux pas tout taper tout de suite, je pense à mettre en place un wifi en WDS pour avoir du roaming. Je cherche donc 2 bornes permettant de faire, sur OpenWRT (ou pas, juste un système assez velu pour un techos réseau comme moi), alimentable en PoE pour faire ca propre à partir de la cave. Pourquoi pas un port USB pour l'imprimante au passage. Any ideas ? Ubiquity ? Mikrotik ? A vot' bon coeur ! Fabien V. --- Twitter : @beufanet Website : https://beufa.net (https://beufa.net) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bornes wifi PoE / WDS / (OpenWRT)
Le 17 juillet 2015 22:51:27 CEST, Paul Birnbaum p...@birnbaum.io a écrit : Bonjour, Ubiquiti l'os est un dérivé de Vyatta (cli + gui pas trop mal foutus ) est à base de debian wheezy donc tu peux à peu près tout faire et une fonctionalité sympa et pratique si après tu veux rajouter des bornes tu peux installer un Unifi controller sur un serveur et gérer la conf de toutes les bornes depuis un seul endroit et elles sont poe après pas de port printer à ma connaissance Par contre tu as déjà un routeur ou une des bornes doit être le routeur ? Si tu en as pas les Edge Router sont pas mal et le 5 port est POE. J'ai déjà un serveur qui fait routeur + xbmc avec un x minimaliste + nas en même temps. Il va partir à la cave car TV juste au dessus, il me faut juste 2 bornes poe avec roaming dans le wds (en bref, je veux passer que 2 ou 3 câbles rj45 le long d'un mur depuis la cave ou le switch sera) Il faut bien respecter le woman acceptance factor ! P.S : Il existe aussi des antennes extérieur pour le jardin. My 2 cents. Cordialement Paul Birnbaum Le 18 juil. 2015 à 04:17, Fabien V. list-fr...@beufa.net a écrit : Salut la liste, Je parcours nombre de sites, mais je me suis dit que certains barbus de la liste doivent avoir monter ça chez eux. Pour mon futur chez moi, je vais câbler, mais comme je veux pas tout taper tout de suite, je pense à mettre en place un wifi en WDS pour avoir du roaming. Je cherche donc 2 bornes permettant de faire, sur OpenWRT (ou pas, juste un système assez velu pour un techos réseau comme moi), alimentable en PoE pour faire ca propre à partir de la cave. Pourquoi pas un port USB pour l'imprimante au passage. Any ideas ? Ubiquity ? Mikrotik ? A vot' bon coeur ! Fabien V. --- Twitter : @beufanet Website : https://beufa.net (https://beufa.net) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Cherche Hébergement
Le 14 juillet 2015 21:05:31 CEST, Fabien VINCENT fab...@beufa.net a écrit : Le 14 juillet 2015 18:49:17 CEST, Michel Luczak fr...@shrd.fr a écrit : Je me permets de faire un retour plus mitigé et raison pour laquelle je vais sûrement déplacer un de mes clients chez OVH (ou ailleurs). Online c’est bien si tu n’as pas besoin de : - utiliser des fonctionnalités avancées de l’hyperviseur, comme vMotion (ou son équivalent chez les autres) - utiliser un réseau privé vraiment utilisable entre tes serveurs Version longue : l’association serveur / ip / mac via la console (ou l’api) c’est chiant, ça empêche de faire du vMotion en automatique (ou semi auto) entre plusieurs hôtes physiques. Il faut couper (ou suspendre ou déconnecter le réseau de) la VM, bouger l’IP dans la console online, rallumer (ou rétablir le réseau de) la VM - aucun intérêt idem pour du carp / vrrp / whatever, impossible sur du online Concernant le RPN, il faut savoir qu’il est limité à une seule ip/mac pour tout le serveur physique. Donc soit tu colles cette IP sur l’hyperviseur pour faire par exemple du SAN et dans ce cas tu perds la possibilité pour tes VMs de se parler via un vrai réseau privé, soit tu colles cette IP sur une VM qui va servir de routeur (obligation de passer par de l’ipsec ou du GRE car le RPN n’est pas juste du L2) pour faire communiquer tes VMs entre elles (avec les inconvénients que ça représente en terme de fiabilité / performance et surtout ça te bouffe une VM juste pour faire du routage à la con) et dans ce cas plus de possibilité d’utiliser le SAN… Je me retrouve à avoir un OpenBSD qui fait du GRE + routes statiques sur chaque machine physique juste pour que toutes les machines puissent discuter entre elles, sachant que dedans il y a de la réplication Mongo et Gluster qui passe donc ça ne tiendra jamais la charge (ah oui, t’es limité à 1 Gbps sur le RPN _si tu payes l’option pour avoir 1 Gbps_). Bref, si tu veux monter une infra un peu “sérieuse”, c’est mort. Sur OVH il semble y avoir moins de limitations sur le réseau privé (en plus il est propagé entre les datacenters) et j’ai cru lire qu’il sera bientôt possible de faire des vlans à toi dedans, ce que j’aurais bien aimé avoir sur le RPN… Tu peux déjà le faire dans un private cloud récent. Et bientôt tu pourras faire la même chose entre un private cloud et un serveur dédié en transparent. Et en multi sites bien sûr. 4092 vlans + native vlan, les deux en même temps sont possibles. ++ ic On 14 Jul 2015, at 18:31, Teh 'SpyKeeR' spyk...@gmail.com wrote: Pareil pour moi. Je gères deux serveurs pour une association a base d'ESXi, Cordialement. Le 14 juil. 2015 17:37, Fabrice Hanounou fabr...@fab777.com a écrit : Bonjour, Je te recommande Online.net là ou je travaille nous avons 5 serveurs --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON piron.sam...@neoxis.eu a écrit : Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) - https://github.com/nbs-system/naxsi Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [2] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors - Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] https://github.com/comotion/VSF#varnish-security-firewall [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL. Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) De ton budget et de ta maîtrise de l'application dépendra ton besoin. Ne pas oublier de te donner un TPS pour sélectionner ton produit. F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux fesses), de la scalabilite et du niveau de secu recherché Équation difficile a résoudre avec le peu de variables données ici. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peut-on blâmer les rats de quitter le navire ?
Le 6 avril 2015 10:44:48 CEST, Benjamin BILLON bbil...@splio.fr a écrit : Euh ... Qui sont les rats et quel est le navire ? Construire des DC à l'international est une stratégie d’expansion qui n'a rien de surprenant, c'est d'ailleurs d'autant plus logique pour un opérateur / fournisseur de connectivité / hébergeur. D'autres boîtes préfèrent en racheter plutôt que de les construire, c'est leur choix. Je ne vois pas en quoi on devrait y voir une fuite de la France, si c'est bien le sujet. -- Benjamin Le 6 avril 2015 00:45, Edelwin Khaelos edel...@mailoo.org a écrit : https://twitter.com/olesovhcom/status/581350367646093312 On cherche 5 chefs de chantier BTP Bac+5, 10 ans d'expérience, pour nous aider à construire 25 datacentres en 5 ans, partout dans le monde. Je pense que le tweet parle tout seul, et j'espère sincèrement qu'OVH ne sera pas le seul hébergeur à construire des DC offshore… --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour, Effectivement, je n'ai ni compris l'objectif, ni compris l'interprétation du tweet d'oles. Faut vraiment arrêter la drogue ou attendre trolldi ! Beufa. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Décret concernant le blocage des sites web
trolldi on Le plus simple et le plus efficace : iBGP hijack ou annonces dans l'IGP de 8.8.8.8/32 et 8.8.4.4/32 C'est sale, mais c'est gratuit par rapport à du DPI Qosmos/Eagle. Le client sera super content, pour la première fois de sa vie, il n'aura pas de saturation vers Google depuis Free sur son smokeping ! :p /trolldi off Quelques soient les solutions, l'Etat n'a aucun pouvoir international sur Internet. Donc continuons à les laisser écrire des lois inapplicables, voir inappliquées ! Bon WE ;) Fabien V 6 février 2015 22:21 Eric ROLLAND roll...@artefact.fr a écrit: Bonsoir la liste, Dans le decret, il y a une inconnue dans l'Article 6 : /Les éventuels surcoûts résultant des obligations mises à la charge des personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée en application de l'article 6-1 de la même loi font l'objet d'une compensation financière prise en charge par l'Etat.// //Le terme de « surcoût » désigne les coûts des investissements et interventions spécifiques supplémentaires résultant de ces obligations.// //Pour obtenir une compensation, les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée adressent à l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication un document détaillant le nombre et la nature des interventions nécessaires ainsi que le coût de l'investissement éventuellement réalisé.// //Le Conseil général de l'économie, de l'industrie, de l'énergie et des technologies analyse le document transmis, notamment au regard des coûts habituellement estimés dans le secteur concerné./ C'est quoi les coûts habituellement estimés dans le secteur concerné ? Parce que bon, 2 VM, sur 2 nets, avec 2 binds(ou Ubound), ca coute un peu de temps en setup et en électricité. Si on ajoute à ca le ROI sur l'infra, ca fait juste un poil plus. J'en vois certains qui vont me dire qu'on devrait déjà avoir ca ! Que néni! On repousse tout à 8.8.8.8 ;-) Le soucis, c'est si on doit spoofer des NdD en moins de 24h à chaque fois qu'un débile produit du contenu répréhensible quelque part dans le monde.Là, ca va faire du taf... et envoyer la note pour chaque heure de conf au Conseil général de l'économie, de l'industrie, de l'énergie et des technologies, ca va pas être drôle ;-( Bon trolldi à toutes et tous, Cordialement, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 Info réseau : @AS42929 https://twitter.com/AS42929 - NOC Artewan https://noc.artewan.net *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr *artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr --- Liste de diffusion du FRnOG http://www.frnog.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
Salut,
C'est clair qu'avec Dell, c'est pas des features que tu vas trouver :p
Plus sérieusement, pour moi, si tu fais mapping de vlan sur un trunk, ca
devrait fonctionner si tu mappes dans 2 vlans différents. La seule restriction
logique, pour ne pas casser le modèle vlan c'est que tu ne peux pas mapper 2
vlans dans le même vlan id de destination.
Mais techniquement c'est possible et ca marche pour moi sur un switch qui
propose la feature.
Bon courage.
29 janvier 2015 11:26 Florent Arrgn zecla...@gmail.com a écrit:
Est-ce que les modèles bas de gamme de Juniper le font ou juste le milieu
et le haut de gamme ?
Je ne connais pas beaucoup la gamme Juniper.
Par contre tu mets un port access, là où j'ai un trunk moi. non ?
Le 29 janvier 2015 11:13, Raphael Maunier raph...@maunier.net a écrit :
Chez Juniper :
user@sw show configuration interfaces xe-0/0/13
description Cust: XYZ;
unit 0 {
family ethernet-switching {
port-mode access;
}
}
user@sw show configuration vlans vlan10
vlan-id 10;
interface {
xe-0/0/13.0 {
mapping {
407 {
swap;
}
}
}
}
user@sw show configuration vlans vlan20
vlan-id 20;
interface {
xe-0/0/13.0 {
mapping {
300 {
swap;
}
}
}
}
En prod chez un client suite à une rachat de 2 sociétés et impossible de
changer les vlans pour le moment, et ça fonctionne :)
Chez Cisco ça doit être pareil !
On 29 Jan 2015, at 09:59, Florent Arrgn zecla...@gmail.com wrote:
Bonjour la liste,
J'héberge le PRA d'un client que je fais par réplication veeam.
Je reçois sur mon switch une LAN2LAN de ce client.
Il m'envoie un trunk qui fait passer 2 VLAN, le VLAN 1 et le VLAN 2.
Moi j'héberge deux machines virtuelles de ce client sur mon infra vmware
(les réplica) et j'ai taggué ces VM l'une avec le VLAN 5 et l'autre avec
le
VLAN 6 (car je ne peux pas utiliser les VLAN du clients).
Je cherche donc à faire une sorte de mapping entre le :
VLAN 1 - VLAN 5
VLAN 2 - VLAN 6
La complexité c'est que je n'ai qu'un switch pour faire ça.
Voilà le genre de schéma rapide :
trunk 1,2 trunk 5,6
---(L2L)-- |SW_| --
Savez-vous s'il est possible de réaliser cette maquette ?
Merci par avance pour vos partages.
NB : C'est bien le même plan IP, il est uniquement question de niveau 2
Florent
---
Liste de diffusion du FRnOG
http://www.frnog.org
---
Liste de diffusion du FRnOG
http://www.frnog.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] network design routeur ipv6
Le 16 décembre 2014 21:18:29 CET, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Je suis en train de monter un LAB pour tester IPV6 en dual-stack. J’ai quelque problème sur la topologie réseau à employer… Je simule un réseau avec un routeur BGP qui a comme préfixe 2001:db8:::/48 J’ai trois routeurs cisco 881 sur lesquels je simule un site. Je veux attribuer une /64 par site : Site_1 : 2001:db8::1000::/48 Site_2: 2001:db8::2000::/48 Site_3 : 2001:db8::3000::/48 Le routeur cisco 881 a une interface WAN qui est raccordé sur le routeur BGP, l’interface LAN (vlan1) est raccordé à un switch interne qui accueille des postes. La ou je bloque : Faut-il que je dédie une /64 (2001:db8::::/48) pour gérer les interconnections entre les ciscos 881 et le routeur BGP : R_BGP = 2001:db8::::/48 R_ Site_1 = 2001:db8::::1/48 R_ Site_2 = 2001:db8::::2/48 R_ Site_3= 2001:db8::::3/48 Donc la configuration du cisco 881 du Site_1 va être : l’interface WAN sera 2001:db8::::1/48 ? l’interface vlan1 prefixe 2001:db8::1000::/48 ? Que me conseillez-vous comme network design ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ Salut, https://tools.ietf.org/html/rfc6164 Si j'ai tout bien compris :) -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Hello, Personnellement, le mode active active sortant (et surtout entrant), je ne le recommande pas pour plusieurs raisons : Quand on dit redondance, on dit 1 pour 1. Et pas 1+1. Donc si tu veux redonder 1G, il te faut 1G en 'passif'. Si tu veux faire 2G de BP, tu fais 2x2G en active passif sur 2 agrégats LACP ? Sinon, le jour ou tu as une panne, ton best effort sera difficilement supportable si tu utilises le max de capa à 1+1. En bref, je recommande toujours l'active-backup dans mon cas sur N5K+FEX, sinon en balance-rr, tu te retrouves avec la mac de ton interface qui se balade entre les 2 nexus. Ca fonctionne, mais pour le debug L2, ca peut être très chiant ! Dis nous ce que tu as choisi et ce que ca donne ;) Fabien V. 10 octobre 2014 16:11 Florian Taboul fl...@muchomail.com a écrit: Merci à tous pour vos réponses. Je vais essayer de répondre à tous ici. Lilian : quand tu dis pas trop mal, tu as eu des difficultés à quel niveau ? Gurvan : je n'ai pas d'arp inspection prévu sur cette infra donc ça devrait le faire. Olivier : effectivement le active-backup est ma solution de repli si je n'arrive pas à faire ce que je veux. Mais je trouve que c'est dommage de perdre la moitié de la capacité lorsque ça fonctionne. Dans cette situation là, il vaut mieux donc un switch de backup de moins bonne qualité que le principal, c'est à voir. David, Raphael : c'est bien ce qu'il me semblait, le LACP sur plusieurs switch n'est pas mature, ou trop propriétaire à mon gout pour les marques où ça tourne bien. --- lil...@devclic.fr wrote: From: Lilian - Devclic lil...@devclic.fr To: fl...@muchomail.com Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:50:26 +0200 Bonjour, J'ai déjà essayé du mode 6 et ça fonctionne pas trop mal. Le trafic est bien géré globalement. Le 10/10/2014 13:45, Florian Taboul a écrit : Bonjour Gurvan et merci de ta réponse. Si je ne m'abuse, le mode 802.3ad (lacp) n'est pas utilisable en multi-switch. Bien sur ça peut fonctionner selon la marque en stack, mais justement je ne souhaite pas utiliser une seule et unique marque de switchs, mais différentes marques qui ne supportent pas le stackage entre elles. C'est là qu'est le problème :) --- inulo...@gmail.com wrote: From: Inulogic - Free-H inulo...@gmail.com To: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:22:24 +0200 Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/ _ The Free Email with so much
Re: [FRnOG] [TECH] Firewall Multi Tenant
25 septembre 2014 09:14 Guillaume Tournat guilla...@ironie.org a écrit: Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Et surtout consomme aussi du CPU. Le problème des VDOMs en soit, c'est que tu ne peux pas limiter l'usage CPU et RAM à un VDOM (seulement nombres de sessions et éventuellement BP). Donc un seul VDOM peut vautrer les 8 ou 9 autres (suivant si on compte le root ou pas) par un simple pic de charge sur une plateforme. Ca peut paraitre logique d'un point de vue logiciel / hw, mais en revanche, c'est compliqué à expliquer aux 8/9 autres clients que sa plateforme est lente à cause d'un pic de charge de la plateforme du voisin. Bref, les VDOMs ca fonctionne bien, mais ca apporte son lot de problèmes aussi ! Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. ___ Liste de diffusion du FRnOG http://www.frnog.org/ ___ Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Saturation Level / Orange ?
Réponse : pas de saturation, juste ~1% de loss à cause d'un SFP tout pourri qui provoquait des erreurs d'alignement chez nous :( Désolé pour la fausse alerte, et merci à ceux qui ont pris le temps de me répondre / faire le test ! 4 septembre 2014 17:25 Jérôme Nicolle jer...@ceriz.fr a écrit: Le 04/09/2014 15:08, Raphaël Jacquot a écrit : va bientot y avoir le netflix problem ;-) Mais non, il y a la hopus solution ! -- Jérôme Nicolle 06 19 31 27 14 ___ Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Saturation Level / Orange ?
Bonjour, Suite à plusieurs incidents, nous avons identifié des lenteurs provenant de notre transitaire Level 3 vers Orange/3215. Nous avons rerouté par Cogent le 3215 et avons constaté la disparition des lenteurs / débits faibles. Quelqu'un sur la liste aurait des informations qui nous permettrait de confirmer ce comportement ? Merci d'avance pour toute aide ou information ;) Fabien VINCENT -- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Saturation Level / Orange ?
Bonjour, A cette heure ci, y a aussi des grosses différences. Et oui on est pas encore vendredi, mais depuis MegaUpload a disparu, on peut de nouveau faire ca non, 3215 = COGENT ? :p A noter sans troll, qu'on ne sait pas vraiment depuis quand ca date, mais depuis le début nous n'avions jamais constaté une aussi grosse perte de perfs sur le 3215 depuis 3356 ;) Fabien V. 4 septembre 2014 12:10 Frederic Dhieux frede...@syn.fr a écrit: Bonjour, A cette heure ci ou le soir ? Frederic Le 04/09/14 12:02, Fabien V. a écrit : Bonjour, Suite à plusieurs incidents, nous avons identifié des lenteurs provenant de notre transitaire Level 3 vers Orange/3215. Nous avons rerouté par Cogent le 3215 et avons constaté la disparition des lenteurs / débits faibles. Quelqu'un sur la liste aurait des informations qui nous permettrait de confirmer ce comportement ? Merci d'avance pour toute aide ou information ;) Fabien VINCENT ___ ___ Liste de diffusion du FRnOG http://www.frnog.org/ ___ Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch brocade fcx
On 4 août 2014 10:52:32 CEST, Jeremy li...@freeheberg.com wrote: Ou alors, quelqu'un sait il ou je peux acheter ces jarretières à paris ? Merci. Jérémy Le 04/08/2014 00:52, Jeremy a écrit : Bon, suite aux échanges avec le support Brocade, j'ai deux ultimes tests à faire : 1) Changer les optiques 2) Changer les jarretières. Si ça ne change rien, Brocade va faire une RMA. Pour les optiques, Alturna m'a envoyé 2 optiques modifiés vendredi en express avec un coding différent (1 bit qui se balade apparemment). Pour les jarretières, je n'en ai pas en stock en spare. Est ce que quelqu'un pourrait me dépanner de 2 jarretières de type : SC/PC - LC/PC de 10M monomode sur Equinix PA2/PA3 ? Ca serais super cool à vous ! Merci, et à bientôt pour de nouvelles aventures avec Brocade minus ! Jérémy Le 30/07/2014 21:53, Jeremy a écrit : Salut les barbus, Je cherche un coup de main pour configurer des saloperie de switch brocade FCX qui me bouffent la vie depuis quelques jours. Le concept de stacking qui pourrait être séduisant sur le papier est incompréhensible. J'ai une carte 4x10G qui semble reconnu comme des ports 1G comme le suggère cette réponse du cli : equinix-val59-10G#sh media ethernet 1/1/1 Port 1/1/1: Type : 1G M-LX(SFP) Vendor: BrocadeVersion: 1.0 Part# : 10G-SFPP-LR+-SOSerial#: SOP131L2340 equinix-val59-10G#sh media ethernet 1/1/4 Port 1/1/4: Type : 1G M-LX(SFP) Vendor: BrocadeVersion: 1.0 Part# : 10G-SFPP-LR+-SOSerial#: SOP131L2339 D'ailleurs, mes optiques sont sur 1/2/1 et 1/2/4, je ne comprend pas pourquoi il les voit sur 1/1/1 et 1/1/4. Encore un coup du stack unit 1 ? Bref, si quelqu'un a déjà eu à faire à ces bêtes là, ou qui veux une bonne bière la semaine prochaine lorsque je vais repasser à paris, ça serais très sympa. Merci et bonne soirée, Jérémy __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Dans mes souvenirs, les sites managers eqx ont des contacts qui te permettront d'obtenir ça en 24h -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Statut adresses IPv4 .0
On 21 juillet 2014 14:47:13 CEST, Emmanuel Thierry m...@sekil.fr wrote: Bonjour, A mon grand étonnement Oles distribue des IPs en x.y.z.0/32 à ses clients, malgré les problèmes que cela peut/a pu poser chez certains opérateurs (Orange avec Livebox Sagem par exemple). Bon, la surprise, l'énervement et le dédain du support étant passé (on est un client de plus ou de moins là bas), il est temps de passer aux témoignages. Qu'en est-il du routage de ces IPs chez Orange et Numéricable en 2014 ? Question subsidiaire, est-ce que des gens les utilisent pour des services en front-end ? Merci Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ Chez NC, ma box a déjà eu des IPs attribuées en .0 ou .255. Malgré mon étonnement, je n'ai jamais eu aucun problème, et avait même des fail2bans de 0.0.0.7 XD. Cordialement, Fabien V. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Coupure Completel
Nombreux impacts aussi sur Equinix PA3 Quelqu'un a plus d'infos ? On doit pas payer assez cher pour les alertes et être rattaché à l'incident xD Fabien V. 3 juin 2014 17:17 Maxime Jégo a écrit: Bonjour, Tronc Completel Down sur Aubervilliers (93).. Visiblement une fibre en vrac..?! Quelqu'un a des infos?? Completel annonce que mon ticket est rattaché à un majeur en cours .. Merci -- --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re[2]: [FRnOG] [ALERT] Coupure Completel
Ca remonte progressivement on dirait (16h24 coupure et retour vers 17h40) Si quelqu'un a des infos sur la cause, ca serait sympa de partager. 3 juin 2014 17:49 Emmanuel Lacour a écrit: On Tue, Jun 03, 2014 at 03:33:26PM +, Fabien V. wrote: Nombreux impacts aussi sur Equinix PA3 Yep je confirme également, sans pouvoir identifier précisément l'impact. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Vends 28 baies APC à enlever sur Lille
Bonjour, Ma société propose pour 2000€ à débattre un lot de 28 baies informatiques APC à enlever sur site (agglomération lilloise). Les baies sont des baies APC NetShelter 42U 750*1070, qui ont servis 2 ans environ, elles sont en parfait état. http://cgi.ebay.fr/ws/eBayISAPI.dll?ViewItemitem=321374749213ssPageName=ADME:L:LCA:FR:1123 Réponse en PV si intéressé ! Fabien V. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re[2]: [FRnOG] [TECH] Redistribution default route au même équipement dans 2 aires différentes
18 avril 2014 13:50 Radu-Adrian Feurdean a écrit: On Wed, Apr 16, 2014, at 19:01, Fabien V. wrote: Hello, Je cherche à maquetter de l'OSPF entre FortiGate et OSPF. Je ne sais pas si je fais quelque chose d'incohérent, donc un peu d'indulgence si il y a un truc qui m'a échappé. Je vais essayer d'être complet, n'hésitez pas à commenter ce qui vous choque :D Je souhaiterai faire des filtres sur les annonces entre les R1 et R2, et le lien entre R1 et R2, c'est l'aire 0. D'après ce que je trouve comme docs, pour filtrer, je suis obligé de faire des aires différentes dans des processes différents entre R1 et R2. Donc même en omettant ces considérations voici ce que j'imaginai : R1 FORTIGATE : Aire 303 dans process 303 R2 FORTIGATE : Aire 403 dans process 403 R1 R2 : Aire 0 dans process X R1 et R2 doivent redistribuer la default gateway au FORTIGATE. FORTIGATE doit annoncer 10.59.59.0/24 Quelques observation sur ton set-up: - au niveau du Fortigate, il y aura pas une interface manquante ? si oui, elle est dans quellq aire ? Son interco avec area 0 c'est ou ? - tu est au courant que dans la philosophie OSPF tous les routeurs dans une aire doivent avoir la meme image du reseau. Le concept de re-distribution n'est pas necessairement bien-venu. Oui il y a bien une aire 0 entre R1 et R2 et il y aussi de l'ibgp qui n'a rien à voir avec les processus OSPF ;) ca me paraissait tellement évident que je l'ai pas mentionné. Pour la même image du réseau oui, je suis d'accord avec toi, mais nous souhaitons avoir un minimum de contrôle pour éviter l'anarchie quand ce sera pas un FG mais 100 on va dire :D D'où l'idée d'aires / processus séparés avec prefix-list / route-map. En effet, dans certains cas, je n'ai qu'une aire entre FG et R1, et le R2 n'a jamais connaissance de FG que par R1 (pas de vlan / link direct) La redistribution de la defaut gateway en always me semble inévitable si je veux pas balancer 490k routes de l'eBGP à mon pauvre fortigate qui est plus sensé faire de l'IDS/IPS que passer son temps à calculer des ribs ! J'ai deja fait le meme set-up toujours avec de fortinet double-attaches vers le backbone. Par contre les deux uplinks (vers R1 et R2) etait toujours dans area0, avec des poids qui decouragent un routage R1 - FG - R2. Si on arrivait la, il y avait des problemes bien plus graves que le traffic entre R1 et R2 qui passe par le FG. La dessus je te suis aussi, mais si on peut éviter d'empiler les merdes, ca m'arrange. Au final, ma maquette fonctionne bien comme ca, avec une aire unique étendue entre R1 FG et R2 FG, et une prefix list pour éviter les emmerdes dans le process. A noter qu'il s'agit bien d'un cas particulier.. puisque dans les autres cas, je n'ai besoin que de redistribuer la default gateway et pas besoin de faire du routage 'optimisé' vers R1 ou R2. Dans tous les autres cas, soit c'est R1 qui annonce la DG, soit c'est R2 si bascule il y a. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Vends 28 baies APC à enlever sur Lille
Hello, Çà a été vite, à priori c'est vendu Désolé pour les éventuels déçus . Fabien V. 18 avril 2014 12:54 Fabien V. a écrit: Bonjour, Ma société propose pour 2000€ à débattre un lot de 28 baies informatiques APC à enlever sur site (agglomération lilloise). Les baies sont des baies APC NetShelter 42U 750*1070, qui ont servis 2 ans environ, elles sont en parfait état. http://cgi.ebay.fr/ws/eBayISAPI.dll?ViewItemitem=321374749213ssPageName=ADME:L:LCA:FR:1123 Réponse en PV si intéressé ! Fabien V. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Redistribution default route au même équipement dans 2 aires différentes
Alors, après test et réponses en off-list, mon problème vient du fait que je suis bien sur 2 aires différentes.. Quand je fais une seule aire entre le FortiGate vers R1 et vers R2, tout fonctionne, mais du coup, R2 récupére aussi les routes de R1 en intra.. Ce que je voulais éviter avec l'aide de mes 2 aires, me permettant de sélectionner mes redistribute d'autres processes et filtrer par prefix-list chaque aire, mais visiblement FortiGate ne sait pas faire ca simplement. Merci à ceux qui ont répondu en off, et n'hésitez pas si vous avez l'idée du siècle ou avez déjà fait face à un problème de ce type ! 16 avril 2014 19:03 Fabien V. a écrit: Hello, Je cherche à maquetter de l'OSPF entre FortiGate et OSPF. Je ne sais pas si je fais quelque chose d'incohérent, donc un peu d'indulgence si il y a un truc qui m'a échappé. Je vais essayer d'être complet, n'hésitez pas à commenter ce qui vous choque :D La maquette : R1 CISCO R2 CISCO \ / \/ \ / \/ FORTIGATE Je souhaiterai faire des filtres sur les annonces entre les R1 et R2, et le lien entre R1 et R2, c'est l'aire 0. D'après ce que je trouve comme docs, pour filtrer, je suis obligé de faire des aires différentes dans des processes différents entre R1 et R2. Donc même en omettant ces considérations voici ce que j'imaginai : R1 FORTIGATE : Aire 303 dans process 303 R2 FORTIGATE : Aire 403 dans process 403 R1 R2 : Aire 0 dans process X R1 et R2 doivent redistribuer la default gateway au FORTIGATE. FORTIGATE doit annoncer 10.59.59.0/24 La config : R1 : router ospf 303 router-id 0.0.3.1 auto-cost reference-bandwidth 1 default-information originate always metric 1 distribute-list prefix AllowedOSPFRoutes in distance ospf external 200 R2 : router ospf 403 router-id 0.0.4.1 auto-cost reference-bandwidth 1 default-information originate always metric 1 distribute-list prefix AllowedOSPFRoutes in distance ospf external 200 FORTIGATE : config router ospf config area edit 0.0.1.47 next edit 0.0.1.147 next end set auto-cost-ref-bandwidth 1 config network edit 1 set area 0.0.1.47 set prefix 10.30.3.0 255.255.255.0 next edit 2 set area 0.0.1.147 set prefix 10.40.3.0 255.255.255.0 next end config ospf-interface edit AREA303 set interface port2 set priority 0 next edit AREA403 set interface port1 set priority 0 next end config redistribute static set status enable set routemap rtmap-static-v4 end set router-id 0.0.3.2 end Tout fonctionne bien sur mes routeurs : R1 : #sh ip ospf 303 rib * 10.59.59.0/24, Ext2, cost 10, tag 0 via 10.30.3.2, Vlan303 R2 : #sh ip ospf 303 rib * 10.59.59.0/24, Ext2, cost 10, tag 0 via 10.40.3.2, Vlan403 En revanche sur le FORTIGATE, je n'obtiens qu'une seule default gateway dans la table de routage, même si la database en voit 2 : FORTIGATE $ get router info ospf database brief [...] AS External Link States Link ID ADV Router Age Seq# CkSum Flag Route Tag 0.0.0.0 0.0.3.1 1562 8467 977d 0012 E2 0.0.0.0/0 303 0.0.0.0 0.0.4.1 680 800c 62ac 0012 E2 0.0.0.0/0 403 10.59.59.0 0.0.3.2 1091 8005 49f5 0031 E2 10.59.59.0/24 0 FORTIGATE $ get router info ospf route E2 0.0.0.0/0 [100/1] via 10.40.3.1, port1 C 10.30.3.0/24 [100] is directly connected, port2, Area 0.0.1.47 C 10.40.3.0/24 [100] is directly connected, port1, Area 0.0.1.147 Y a t-il une raison explicite que j'ai loupé avec la tête dans le guidon pour laquelle le FORTIGATE insère une seule route dans sa table de routage ? Si oui pourquoi celle de l'aire 403 ? Et si vous avez des idées comment contourner ce problème en ayant 2 aires OSPF ? Merci d'avance pour vos remarques / aides ! Fabien V. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re[2]: [FRnOG] [TECH] Redistribution default route au même équipement dans 2 aires différentes
Bein d'après ce que je lis sur la nssa non, ca serait trop restrictif. Ca marcherait effectivement bien pour l'injection de la default route, mais ca me limiterai à la réinjection de route par BGP/d'autres processes OSPF. En effet, je veux que R1 et R2 injecte une route par défaut tous les 2 au fortigate (avec choix sur le fortigate du cost de l'interface), mais je veux redistribuer les routes d'autres aires / processes de R1 et R2 dans le fortigate, pour que les routes les plus courtes d'autres processes OSPF arrivent par le bon routeur R1 ou R2 et ainsi optimiser le routage. En bref : - R1 et R2 redistribue d'autres aires au fortigate - Je ne veux pas que Fortigate route ces autres aires si jamais le lien entre R1 et R2 est HS / Je veux pouvoir filtrer les prefix sur chaque aire de manière indépendante et éviter la boucle Je sais pas si je suis clair :( Encore merci à tous ceux qui me répondent ! 16 avril 2014 21:29 Fabien Dedenon a écrit: Et avec du nssa, ça n'aiderait pas ? Fabien Sent from my phone Le 16 avr. 2014 à 21:01, Fabien V. a écrit : Alors, après test et réponses en off-list, mon problème vient du fait que je suis bien sur 2 aires différentes.. Quand je fais une seule aire entre le FortiGate vers R1 et vers R2, tout fonctionne, mais du coup, R2 récupére aussi les routes de R1 en intra.. Ce que je voulais éviter avec l'aide de mes 2 aires, me permettant de sélectionner mes redistribute d'autres processes et filtrer par prefix-list chaque aire, mais visiblement FortiGate ne sait pas faire ca simplement. Merci à ceux qui ont répondu en off, et n'hésitez pas si vous avez l'idée du siècle ou avez déjà fait face à un problème de ce type ! 16 avril 2014 19:03 Fabien V. a écrit: Hello, Je cherche à maquetter de l'OSPF entre FortiGate et OSPF. Je ne sais pas si je fais quelque chose d'incohérent, donc un peu d'indulgence si il y a un truc qui m'a échappé. Je vais essayer d'être complet, n'hésitez pas à commenter ce qui vous choque :D La maquette : R1 CISCO R2 CISCO \ / \/ \ / \/ FORTIGATE Je souhaiterai faire des filtres sur les annonces entre les R1 et R2, et le lien entre R1 et R2, c'est l'aire 0. D'après ce que je trouve comme docs, pour filtrer, je suis obligé de faire des aires différentes dans des processes différents entre R1 et R2. Donc même en omettant ces considérations voici ce que j'imaginai : R1 FORTIGATE : Aire 303 dans process 303 R2 FORTIGATE : Aire 403 dans process 403 R1 R2 : Aire 0 dans process X R1 et R2 doivent redistribuer la default gateway au FORTIGATE. FORTIGATE doit annoncer 10.59.59.0/24 La config : R1 : router ospf 303 router-id 0.0.3.1 auto-cost reference-bandwidth 1 default-information originate always metric 1 distribute-list prefix AllowedOSPFRoutes in distance ospf external 200 R2 : router ospf 403 router-id 0.0.4.1 auto-cost reference-bandwidth 1 default-information originate always metric 1 distribute-list prefix AllowedOSPFRoutes in distance ospf external 200 FORTIGATE : config router ospf config area edit 0.0.1.47 next edit 0.0.1.147 next end set auto-cost-ref-bandwidth 1 config network edit 1 set area 0.0.1.47 set prefix 10.30.3.0 255.255.255.0 next edit 2 set area 0.0.1.147 set prefix 10.40.3.0 255.255.255.0 next end config ospf-interface edit AREA303 set interface port2 set priority 0 next edit AREA403 set interface port1 set priority 0 next end config redistribute static set status enable set routemap rtmap-static-v4 end set router-id 0.0.3.2 end Tout fonctionne bien sur mes routeurs : R1 : #sh ip ospf 303 rib * 10.59.59.0/24, Ext2, cost 10, tag 0 via 10.30.3.2, Vlan303 R2 : #sh ip ospf 303 rib * 10.59.59.0/24, Ext2, cost 10, tag 0 via 10.40.3.2, Vlan403 En revanche sur le FORTIGATE, je n'obtiens qu'une seule default gateway dans la table de routage, même si la database en voit 2 : FORTIGATE $ get router info ospf database brief [...] AS External Link States Link ID ADV Router Age Seq# CkSum Flag Route Tag 0.0.0.0 0.0.3.1 1562 8467 977d 0012 E2 0.0.0.0/0 303 0.0.0.0 0.0.4.1 680 800c 62ac 0012 E2 0.0.0.0/0 403 10.59.59.0 0.0.3.2 1091 8005 49f5 0031 E2 10.59.59.0/240 FORTIGATE $ get router info ospf route E2 0.0.0.0/0 [100/1] via 10.40.3.1, port1 C 10.30.3.0/24 [100] is directly connected, port2, Area 0.0.1.47 C 10.40.3.0/24 [100] is directly connected, port1, Area 0.0.1.147 Y a t-il une raison explicite que j'ai loupé avec la tête dans le guidon pour laquelle le FORTIGATE insère une seule route dans sa table de routage ? Si oui pourquoi celle de l'aire 403 ? Et si vous avez des idées comment contourner ce problème en ayant 2 aires OSPF
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-21 11:52, Cedric T. a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...); L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? La même. En plus, on vient de nous le proposer ce jour, comme pour Jérôme ... On a refusé ce fonctionnement, ne serait que parce que l'iBGP ou l'OSPF pourrait avoir à utiliser ce genre d'adresses Y a pas un SHOULDNOT quelque part dans les RFC de BGP ? Stéphane, tu peux nous le remplacer par un MUSTNOT ? ;) En interne, why not, c'est fait pour ca. En externe, je trouve que c'est encore plus crade que les logiques de CGN dont on parle beaucoup. troll presque vendredi on pourrait faire une RFC BGP Peering NAT ? Pour natter l'IP de ton peer en sortie du Tier x ? Et pour accéder à ton routeur, c'est comme chez CloudWatt, tu nattes l'IP du border du tier depuis le port 666 vers le port 22 de ton routeur ? /troll Bref, on va avoir des beaux trous noirs dans ces cas là quand il n'y aura pas de back2back ou d'accès différencié au cul du routeur sur l'OOB mgmt En bref pour moi c'est une hérésie du RFC1918 sur une interco transit. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ -- - Fabien V. @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Internet via un tunnel GRE
Le 2013-10-30 22:43, Fabien V. a écrit : Le 2013-10-30 22:21, Laurent Cima a écrit : Salut Aurélien, Le cas le plus probable est souvent qu'il y a un firewall ou un routeur sur le chemin qui bloque l'ICMP car c'est beaucoup plus rare d'avoir un serveur qui ignore les ICMP retour. La solution la plus simple dans le cas que tu décris est effectivement, comme tu le suggères, de mettre le DF à 0 à l'entrée. Sur les Cisco, par exemple on utilise une route-map sur l'interface avec une commande 'set ip df 0' Sur le Vyatta, tu peux le faire dans l'iptable pour les paquets sortants : iptables -t mangle -A POSTROUTING -j DF --clear pour les paquets entrants : iptables -t mangle -A PREROUTING -j DF --clear et pour le Fortinet, je ne sais pas... Chez Fortinet, c'est dans la policy en cli (config firewall policy puis edit id) tcp-mss-sender maximumsize_int (Enter a TCP Maximum Sending Size number for the sender) DEFAULT : 0 tcp-mss-receiver maximumsize_int (Enter a TCP MSS number for the receiver) DEFAULT : 0 Si tu veux vérifier, un simple show full dans la policy ID te permet de voir l'ensemble des commandes possibles. Le MTU du GRE devrait être de 1476 et ton TCP MSS à 20 de moins. Laurent Le 30/10/2013 16:50, Aurélien a écrit : Hello la liste, Il y a quelques jours, je me suis lancé dans une petite aventure consistant à essayer d'accéder à internet à travers un tunnel GRE et une session BGP. Globalement, ça me diminue ma MTU à 1460, et mon TCP Max Segment à 1436 si j'ai bien tout compris. J'ai réglé cette MTU dans mes équipements d'extrémité (Fortinet d'un côté, Vyatta de l'autre), et j'ai essayé de faire fonctionner le tout. Il semble que sur certains sites cela fonctionne, et sur certains autres non. J'ai fait pas mal de débugs, et j'ai fini par trouver les éléments suivants: - Tous les paquets IP avec du TCP dedans comportent le flag DF, ce qui est nécessaire pour le PMTU. - Il semble que mon routeur Vyatta, au moment où un trop gros paquet devrait rentrer dans le tunnel envoie bien l'ICMP comme quoi ça ne passe pas. Cependant à partir de ce point ça se complique, puisqu'il arrive que la communication passe bien (IE, l'ICMP est reçu, et la communication se poursuit correctement), soit ça ne passe pas, et la source continue à retransmettre comme si le paquet avait été perdu. En creusant plus, j'ai réussi à déterminer que c'était un souci de routage de l'ICMP too-big en question, qui n'arrivait pas forcément à l'hôte qui a émis le paquet, en fonction du load-balancing utilisé pour le site web concerné. Du coup, comme à priori je ne peux pas patcher internet (c) je me demande si il y a un moyen ou pas que mon équipement oublie le flag DF et fragmente quand même mon paquet pour que ça passe ? Est-ce que ce type de configs vous paraît raisonnable ? Ou sinon, il y a peut-être une autre solution au problème que je veux résoudre (utilisation de mes propres IP internet derrière une ADSL classique, en backup dégradé d'un lien dédié) ? Avez-vous déjà réalisé ce type de configurations ? Avez-vous des solutions à ce type de souci de fragmentation ? Merci pour vos réponses ! Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/ Oups, j'avais pas tout lu en fait, je pense que tu avais déjà changé les mss dans tes policies ? Peut être essayer de forcer au niveau de l'interface du firewall avec un set tcp-mss, en en changeant le comportement du pmtu-icmp (normalement à enable pour renvoyer unreachable) je pense dans la config globale (en cli tjs) Je pense pas qu'il soit possible, comme ca, avec un FG, de changer le bit DF ? -- - Fabien V. @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] : cisco, juniper, what else ?
Le 2013-10-24 18:04, Jean Senechaut a écrit : Bonjour, Oui cela évolue très rapidement avec 12% des 35 Bn$ investis en RD. Pour en témoigner, nous avons signé plusieurs ISP qui sont satisfaits de la qualité et de la performance de nos solutions, ainsi que de nos prix. Cordialement. On parle d'Outremer Telecom et ZTE là ? Non parce que bon, faut voir la certif ANSSI :p (Désolé c'est trolldi) Jean Senechaut Directeur Commercial Partenaires Régions / Regional Channel Sales Director Enterprise Business Group France Arcs de Seine - Bâtiment B 18, quai du Point du Jour 92659 Boulogne-Billancourt Mobile: +33 (0)6 21 58 58 60 jean.senech...@huawei.com www.huawei.com/enterprise -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérôme Nicolle Sent: mercredi 23 octobre 2013 10:59 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] : cisco, juniper, what else ? Le 21/10/2013 19:33, Jean Senechaut a écrit : What else? Huawei bien sûr... Mouais, il y a plusieurs problème à ce niveau : * Gamme très méconnue (site web pourri, pas de doc accessible hors des brochures marketting tout juste bonnes à jouer au bullshit bingo) * Positionnement à l'Alcatel (Les NE sont juste hors de prix) * Produits pas toujours secs (petits bugs pas grave mais chiants à l'usage), typiquement sur les AR3k (mais qui voudrait encore du soft ou une archi PXF à la 7304/NSE150 ?) A moins que ça aie évolué depuis l'année dernière ? -- - Fabien V. @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le cloud à la française, reloaded
Bon j'avais pris de l'avance sur trolldi, mais du coup, après réflexion y a des trucs qui me taraude : - Ils sont payés pour ca ? - Si c'est le cas, comment peut raler contre toujours plus de taxes (OVH) et faire le contraire derrière (c'est à dire aller chercher des subventions) ? - Pourquoi Atos et OVH ? Pourquoi pas Numergy et Cloudwatt a qui on a déjà filé plein de thunes ? Pourquoi pas EuroCloud ? Bref, je comprends pas ce que viennent faire seulement 2 gros privés FR et SAP dans le débat A l'heure ou on annonce une dette qui explose à 93,4% du PIB, je vois pas pourquoi on réfléchit avec des gens aux cheveux gris qui ne savent même pas eux même définir le mot cloud ? Il suffit de faire comme les journalistes, on arrête de router son trafic vers les AS15169 et autres GAFA, et on regarde ce qui se passe, c'est pas plus simple ? Bon ok, c'est très Nieliste comme position, mais au moins on arrêtera de dépenser du fric public dans le vent (ou dans le cloud au choix) ? Le 26/09/2013 16:44, Fabien V. a écrit : Surtout qu'un Breton c'est pas vraiment français, si ? Ok je sors ... Tant d'argent public gaspillé à se payer la tête des gens pour installer du vmware sur des serveurs dell avec des processeurs intel routé par des cisco et huawei ! Le 26/09/2013 12:01, flavien.lamic a écrit : Bonjour, L'une des personnes s'occupant du projet (je ne sais plus qui) avait sorti comme argument que si le projet était francais, nous n'aurions rien à craindre au niveau de la sécurité de nos données car les USA ne pourrait jamais y accéder. Sur le moment, avec les collègues, on avait bien rigolé.. On 26/09/2013 11:48, Solarus wrote: Le 2013-09-26 10:42, Stephane Bortzmeyer a écrit : http://www.leparisien.fr/high-tech/cloud-breton-charge-de-mission-sur-le-pour-la-france-et-l-ue-25-09-2013-3168793.php « Thierry Breton, ancien ministre de l'Économie, co-pilote avec OVH.com (hébergeur français) le plan industriel dédié au cloud à la française » Je me souviens encore des promesses originelles du cloud, la haute disponibilité et la réplication dans le monde entier, c'était des voeux pieux. Envolées les belles promesses. Maintenant on nous sort du cloud à la française, quelle catastrophe. Encore un label inutile accompagné de subventions justeuses. Mais juste une question ? Le mec qui promeut le cloud à la française et qui utilise un CDN en amérique, c'est toujours du cloud à la française ? Parce que sinon bonjour les performances du bouzin à l'international. Cocorico ! Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le cloud à la française, reloaded
Surtout qu'un Breton c'est pas vraiment français, si ? Ok je sors ... Tant d'argent public gaspillé à se payer la tête des gens pour installer du vmware sur des serveurs dell avec des processeurs intel routé par des cisco et huawei ! Le 26/09/2013 12:01, flavien.lamic a écrit : Bonjour, L'une des personnes s'occupant du projet (je ne sais plus qui) avait sorti comme argument que si le projet était francais, nous n'aurions rien à craindre au niveau de la sécurité de nos données car les USA ne pourrait jamais y accéder. Sur le moment, avec les collègues, on avait bien rigolé.. On 26/09/2013 11:48, Solarus wrote: Le 2013-09-26 10:42, Stephane Bortzmeyer a écrit : http://www.leparisien.fr/high-tech/cloud-breton-charge-de-mission-sur-le-pour-la-france-et-l-ue-25-09-2013-3168793.php « Thierry Breton, ancien ministre de l'Économie, co-pilote avec OVH.com (hébergeur français) le plan industriel dédié au cloud à la française » Je me souviens encore des promesses originelles du cloud, la haute disponibilité et la réplication dans le monde entier, c'était des voeux pieux. Envolées les belles promesses. Maintenant on nous sort du cloud à la française, quelle catastrophe. Encore un label inutile accompagné de subventions justeuses. Mais juste une question ? Le mec qui promeut le cloud à la française et qui utilise un CDN en amérique, c'est toujours du cloud à la française ? Parce que sinon bonjour les performances du bouzin à l'international. Cocorico ! Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Probleme electrique A TH2 ?
Pas d'impact direct puisque pas a TH2, mais en revanche, Completel semble prendre cher sur son transit Le 19/09/2013 12:00, Pierre LEONARD a écrit : Il semblerait que cela vienne de retomber ? Pierre -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sylvain Charron (LASOTEL) Envoyé : jeudi 19 septembre 2013 11:36 À : Arthur Fernandez - Liazo; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Probleme electrique A TH2 ? Impacte en zone 22 sur une seule voie. Quelques machines mono alim sans STS impactees ;-) Sylvain Arthur Fernandez - Liazo arthur.fernan...@liazo.fr a écrit : Salut, pour nous, nous n'avons pas eu d'impact en 12 et 31, mais perdu un des deux feed en 21. par contre comme d'autres, beaucoup de baies clientes en zone 22 impactées. courage pour les équipes sur place A+ -- Arthur Fernandez - Directeur / CEO Liazo - Solutions sur mesure pour opérateurs et entreprises exigeantes. Mobile:+33.6.61.66.89.54, Fixe:+33.1.82.28.82.80, Fax:+33.1.82.28.82.70. siège : 3/7 rue Albert Marquet, 75020 Paris antenne : 35 rue des jeuneurs, 75002 Paris Le 19/09/2013 11:02, Fabien Thapon a écrit : Salut, Pas d'impact au 3 ème étage en 31E (coté EST). Fabien -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frederic Dhieux Envoyé : jeudi 19 septembre 2013 10:44 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Probleme electrique A TH2 ? Hello, Le 9/19/13 10:30 AM, Clement Cavadore a écrit : Oui, au deuxième étage, un de mes routeurs a redémarré. Pas de redémarrage au 1er, ni au 3e (tout au moins pour mes équipements) Pas de problème au 1er de notre côté ni au 3eme. Merci d'avoir précisé l'étage/zone, parce que coupure électrique TH2 sans préciser l'étage c'est très flou vu l'indépendance de ceux ci ;) Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Double alimentation
Bonjour, Une expérience similaire avec des STS, qui ont fait sauté les disjoncteurs. Résultat, même ce qui était double alimenté est tombé, le STS ayant switché de voies, a fait tombé l'autre PDU ... Bref, c'est un SPOF difficile à éliminer pour le mono-alim et qui peut engendrer la coupure d'une baie complète A savoir, même si pour l'instant, on continue d'utiliser (une seule fois le problème de coupure total d'une seule baie en 2 ans). Le 17/09/2013 19:58, Frederic Dhieux a écrit : Hello, Expérience de mon côté dans le sens contraire : - Panne de STS (rencontré plusieurs fois même si c'est rare, avec 3 modèles différents MGE et APC) - Disjonction de STS sur un problème de bascule d'arrivée électrique (baie chargée à 12A sur feed 16A, reliée à la terre, mais incident entrainant une surchauffe tout de même. Bon le DC n'était pas forcément innocent dans l'histoire mais la conséquence est là, tout à terre) - Panne d'une alim (Dell) entrainant disjonction du feed A puis du feed B suite à la bascule du STS (plusieurs fois aussi). Du coup la politique : - Tout en double alim, ou du moins en redondance totale sans SPOF (le STS est un SPOF malgré tout) - STS pour juste quelques éléments mono alimentés et particuliers (CPE fourni par un opérateur pour un lien spécial, produits particuliers) et sur des intensités faibles. Après forcément tout est question de coût et de quantité, mais pour avoir vécu l'expérience jadis sur des grandes salles d'hébergement, je ne le recommande pas. Je préfère même 2 switchs mono alim sans STS/ATS et des serveurs avec une patte sur chacun en redondance qu'un STS pour pas voir les switchs tomber en cas de coupure d'un feed. My 2 cents, Frédéric Le 9/17/13 7:32 PM, Xavier Beaudouin a écrit : Hello, Le 17 sept. 2013 à 08:53, Julien Escario esca...@azylog.net a écrit : (...) Si jamais tu as la possibilité de prendre des serveurs avec deux alimentations, je pense que c’est plus simple. Tu auras également deux arrivée et tu seras en plus protégé de la panne de l’une des deux alimentations ; le basculement de lune à l’autre est directement géré au niveau hardware dans le serveur. Après ça sans doute être plus cher. Pour avoir longuement pesé le pour et le contre, nous avons fait le choix de serveur mono alim avec un STS en frontal + PDU. Au final, nous n'avons JAMAIS eu de panne sur une alim (que du Supermicro chez nous) et cela nous revient nettement moins cher d'acheter un STS + modules d'alim de spare que de mettre de la double alim sur chaque machine. Une exception : les serveurs de fichiers (filer), le reste peut tomber sans réelle incidence. Je fais les mêmes exceptions que toi, avec celle en plus : les gros serveurs de virtu (ceux qui ont 30 ou 40 vm) Sans compter la place que l'on gagne sur les PDU : la plupart des DC fournissent de l'APC avec 21 prises C13 ce qui limite le contenu de la baie à 21 serveurs avec de la double alim (un PDU par voie). En 2U, ça marche mais dès qu'on met une machine 1U, il y aura du vide dans la baie (à moins de rajouter de la multiprise). L'autre avantage, aussi c'est que du double alim dans un serveur c'est pas loin de 20% de consommation de plus... Donc ça se paye aussi largement sur le prix de la baie... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] OVH - incident de sécurité
Le 23/07/2013 13:51, Olivier Kerfant a écrit : Ce qui m'inquiète plus c'est que OVH fonctionne déjà en mode parano, et pourtant vient de subir une attaque. Comment les autres opérateurs plus ou moins paranoïdes gèrent ce problème? Parce que l'autruche est un animal qui a une forte capacité à réussir à appliquer le Principe de Peter. Pourquoi on parlait pas non plus du hack des forums Ubuntu ? de la version 3.0.4 de Wordpress de http://www.carlabrunisarkozy.org/ à 400k et de ses innombrables failles remontées par bluetouff ? Plus sérieusement, c'est du journalisme de pâquerettes tous les commentaires (sans compter les steack hachés de cheval roumain qui se transforment en hulk chiffré sans aucune clé à l'horizon), tout le monde en parle, mais au lieu de parler, il ferait mieux de regarder les failles sur l'ensemble des produits en circulation à ce jour et ne surtout pas faire confiance à un antivirus qui promet Papa Maman sans voir le fils ! Cela peut arriver à tout le monde de se faire trouer, et le moins que l'on puisse dire, c'est que la transparence est là. Avant même que la CNIL ne l'impose (ce qui serait une bonne chose pour les clients). PS : avant de crier au loup, combien ici ont leurs données commerciales chez SalesForce ou sur un Excel dans un partage CIFS sans restrictions ? -Message d'origine- De : ekasp...@gmail.com [mailto:ekasp...@gmail.com] De la part de Étienne KASPERCZYK Envoyé : mardi 23 juillet 2013 13:21 À : solt...@imad.fr Cc : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] OVH - incident de sécurité Je lis : Le chiffrement du mot de passe est salé et basé sur SHA512, afin d'éviter le bruteforce. Ne serait-il pas plus pertinent de passer à un algorithme tel que scrypt pour le mode parano supérieur ? 2013/7/23 solt...@imad.fr +1 Le 2013-07-23 12:50, Olivier Kerfant a écrit : Curieux. Personne n’en a parlé sur la liste. -- SAS OVH - http://www.ovh.com 2 rue Kellermann BP 80157 59100 Roubaix Bonjour, Récemment, nous avons relevé un incident de sécurité sur notre réseau interne au siège social d'Ovh. Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons relevé que la base de données des clients Europe aurait pu être illégalement copiée. Cette base comporte les données suivantes : le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne sont pas concernées puisqu'elles ne sont pas stockées par OVH. Même si le chiffrement du mot de passe de votre identifiant est très fort, nous vous conseillons de changer le mot de passe dans les plus brefs délais. En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=**detailsid=8998http://travaux.ovh.net/? do=detailsid=8998 Cordialement, Support Client OVH Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min) Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min) Fax : 03.20.20.09.58 Contact : http://www.ovh.com/fr/contact Du lundi au vendredi : 8h00 - 20h00 Le samedi :9h00 - 17h00 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Donner une adresse se terminant par .0 est-il sadique ?
J'ai eu ce cas chez Numéricable, une adresse en .255. Personnellement, ça m'a étonné, mais jusqu'au changement suite à MaJ de LaBox de Valérie, je n'ai pas constaté de problème plus que ca --- --- Fabien VINCENT Twitter : @beufanet Le 03/07/2013 17:07, Thomas Barandon a écrit : Et encore, quand ce n'est pas la boite d’extrémité de l'ISP qui fout la grouille: Exemple avec les lutins: http://www.gcu-squad.org/2013/02/linternet-par-orange/ ;-) -- Thomas Le 3 juillet 2013 16:30, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Cela se traduit par quelques pertes de connectivité : https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Problème de peering / routage entre Colt et Completel ?
Hello, Quelqu'un constaterait-il des problèmes entre Colt et Completel ? Environ 30% de loss entre les 2 et visible sur cette IP : 84.14.152.174 (cpefr_par000587.ia.colt.net) Un techos de l'un ou l'autre aurait-il des infos ? -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Pour le 10G sur Netasq oublie Pour info Youssef, tu peux regarder du côté des VDOM pour avoir une sorte de virtu sur le boitier hardware que tu achètes, ca permettra de séparer les deux (VDOM L3/L4 only + VDOM L7) en fonction de ton archi. Pas encore testé la feature, mais c'est intéressant à mon avis sur du hardware au dessus de la gamme SMB. Quand à la remarque sur le fait que les boitiers s'effondrent sur analyse L7, je pense que tous les constructeurs sont dans ce cas, à la différence que les ASICs Fortinet en SP semble bien puissant (encore une fois jamais testé, mais les features annoncées semblent sympa, y compris sur l'antivirus flow-based) --- --- Fabien VINCENT Twitter : @beufanet Le 26/06/2013 14:47, Naskaputt a écrit : Bonjour à tous, Nouveau dans la liste de diffusion, je profite de l'occasion, ne sachant pas vraiment si elle est justifiée, mais qu'en est-il de Netasq, surtout pour ce genre de besoins ? J'ai travaillé avec pas mal d'équipements de netasq mais pas à sur cette taille de besoins, et pour le coup j'aurais bien aimé avoir vos retours. En tout cas, j'apprécie beaucoup les retours détaillés, j'essaierai d'en faire de même si l'occasion se présente. Bonne journée à vous, 2013/6/26 Youssef Ghorbal youssef.ghor...@gmail.com Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L2L SFR, Le vortex spatio-temporel
Sur la latence, problème déjà constaté Pour faire nord de Lille vers sud de Lille, on passait par Rennes en circuit de secours. D'ailleurs si tu as le problème un jour, c'est surement que tu passes par un chemin de secours du VPLS ... et là bon courage pour revenir sur le chemin nominal. --- --- Fabien VINCENT Twitter : @beufanet Le 03/05/2013 15:01, Jérémy Martin a écrit : On a la SANEF qui déploie pour le 1er trimestre 2014. Y a plus qu'à patienter... CIV - FH-DC1, y a 96 km sur du Sanef. Faut que je trouve des optiques qui peuvent le faire en DWDM :) Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com Le 03/05/2013 14:53, Maxence Rousseau a écrit : Le vendredi 03 mai 2013 à 14:43 +0200, Phibee Network Operation Center a écrit : Réponse du service réseau d'SFR : 22 ms sont dans les limites contractuelles du produit. (sympa quand on fait du serveur de jeu ! ) Si tu fais du serveur de jeux, ca ne me semble pas si delirant queca de penser a de la fibre noire pour 50km. Ca peut probablement couter plus cher, mais au moins tu sais pourquoi. sauf que tu trouve pas facilement de la fibre noir en region ;=) En l’occurrence, cela existe pour ce tracé et ce n'est que 4 fois le prix (propale sur mon bureau). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Problème routage BGP SFR
Bonjour, Je rencontre depuis plusieurs jours des problèmes avec du transit SFR (le nouveau Completel, peut être pour ca que NC veut racheter :D ), quelques plages IP d'AS ne sortent jamais de leur AS 15557. Le problème identifié concernait jusqu'à maintenant des petits AS (/24), mais désormais c'est un /15 de chez Cogent/AS174 qui semnble injoignable ... Quelqu'un a-t-il des infos ? Depuis 10 jours, SFR fait la sourde oreille, et je me tâte à couper le transit pour le WE tellement le nombre de problème augmente en cascade avec cet opérateur, quelque soit l'offre ... Le réseau concerné chez Cogent : 149.6.0.0/15 (j'ai bien la route, mais quand je fais un traceroute, je ne sors jamais de 15557, alors que chez Orange, j'arrive bien sur 174 ) Merci d'avance pour votre aide. -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème routage BGP SFR
Effectivement, le problème semble résolu, mais tout à l'heure ca tournait en rond dans AS 15557 (je n'ai plus les traceroute, mais croit moi sur parole, ca merdait bien en boucle depuis notre border SFR, et pas les autres). Bref, problème résolu, je ne sais pas ce que SFR fait avec son routage sur l'AS 15557 en ce moment, mais des incidents comme ca, j'en ai à la pelle en ce moment. Difficilement identifiables car sporadiques, mais toujours là quand un transfert FTP a lieu (comme par hasard). Merci à tous ceux qui m'ont filé un coup de main ! --- --- Fabien VINCENT Twitter : @beufanet Le 19/04/2013 14:09, Stéphane Le Men a écrit : Salut Iln'y a pas de problème BGP visible depuis SFRpour 149.6.0.0/15 Dans ce réseau, il y a 149.6.114.5 traceroute to 149.6.114.5 (149.6.114.5), 30 hops max, 40 byte packets 1 84.96.177.67 33.089 ms 34.418 ms 35.954 ms 2 84.96.187.5 37.498 ms 38.488 ms 39.875 ms 3 84.96.186.254 41.197 ms 42.453 ms * 4 149.6.114.5 53.485 ms * * PING 149.6.114.5 (149.6.114.5) 56(84) bytes of data. 64 bytes from 149.6.114.5: icmp_seq=1 ttl=248 time=37.3 ms 64 bytes from 149.6.114.5: icmp_seq=2 ttl=248 time=36.9 ms Vous pouvez le voir aussi en faisant les mêmes commandes sourcés sur votre ip d'intercodepuis votre border. Il faut vérifier l'annonce de votre réseau vue depuis un lg de la destination: http://www.cogentco.com/fr/network/looking-glass Bon courage ! Stephane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Perte optique Nord
Problème constaté aussi sur LAN 2 LAN SFR de 22h12 à 23h07, par chance pas actif suite à un problème déjà survenu la semaine dernière et bouteille à la mer pour lequel un ticket se sent seul au niveau 3 /bouteille à la mer Pas d'impact sur l'accès au net et le peering BGP, on dirait que seuls les VPLS et la collecte DSL ont été impactés ? --- --- Fabien VINCENT Twitter : @beufanet Le 16/04/2013 23:15, Yann Beulque a écrit : http://travaux.ovh.net/?do=detailsid=8469 Probleme électrique sur le POP SFR de Lille. EDF fait des travaux sans prevenir. C'est en cours de retablissement. Le 16 avril 2013 23:12, Frédéric GANDER fgan...@corp.free.fr a écrit : - Mail original - De: Jérémy Martin li...@freeheberg.com À: frnog-al...@frnog.org Envoyé: Mardi 16 Avril 2013 23:09:08 Objet: [FRnOG] [ALERT] Perte optique Nord A ceux qui ne l'ont pas remarqué et qui cherchent pourquoi leur supervision gueule, ou que leur gamin de 15 ans ne peux plus surfer, une fibre a été dégommé (ou volé) dans le Nord. pb elec A priori, Free ADSL est down dans le 59/62/02. SFR ADSL est down au minimum dans le 59. Mon transit SFR est tombé aussi à Lesquin (CIV). Bref, c'est la fête. Si des gens en div op ont des infos, je suis preneur. -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Ping routeur SFR
C'est bon merci pour ton aide, Baptiste Betelu m'a résolu le soucis avec brio... Pour la petite histoire, l'interco /30 n'était pas routée car pas demandée au setup de nouveau lien après un déménagement. Encore merci pour votre aide, mon ticket a été résolu plus vite que je ne l'espérai, et avant la fin du monde ;) --- --- Fabien VINCENT Twitter : @beufanet Le 2012-12-21 18:14, ROTA, Nicolas a écrit : Bonjour, Avant la fin du monde c'est mal embarqué, mais si on survit jusqu'après les fêtes et si ce TT venait à être boulotté par un méchant trou noir, je pourrai jeter un œil à ce mystère qui semble durer ... Juste me faudrait il les IP concernées par cette grève du ping (srce/dst) Cordialement Nicolas Rota -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Fabien V. Envoyé : vendredi 14 décembre 2012 11:15 À : frnog@frnog.org Objet : Re: [FRnOG] [MISC] Ping routeur SFR Pour info, j'ai ouvert un ticket, merci à tous pour vos réponses On/Off the list. J'aurai peut être une réponse avant la fin du monde ? --- --- Fabien VINCENT Twitter : @beufanet Le 2012-12-13 10:02, Christophe Baegert a écrit : Bonjour, Une idée de si c'est normal ou pas ? Je n'ai pas d'ACL spécifique ni de configuration particulière, c'est un routeur identique à mes autres peers, et une configuration du port routé identique. Certains de nos grands opérateurs nationaux ne sont pas très chauds avec la transparence, il font de la security by obscurity. Chacun son truc... Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Ping routeur SFR
Pour info, j'ai ouvert un ticket, merci à tous pour vos réponses On/Off the list. J'aurai peut être une réponse avant la fin du monde ? --- --- Fabien VINCENT Twitter : @beufanet Le 2012-12-13 10:02, Christophe Baegert a écrit : Bonjour, Une idée de si c'est normal ou pas ? Je n'ai pas d'ACL spécifique ni de configuration particulière, c'est un routeur identique à mes autres peers, et une configuration du port routé identique. Certains de nos grands opérateurs nationaux ne sont pas très chauds avec la transparence, il font de la security by obscurity. Chacun son truc... Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Ping routeur SFR
Hello, Petite question à la con, j'ai un routeur qui peer en BGP avec SFR, et contrairement à d'autres peerings avec d'autres opérateurs, je n'arrive pas à pinguer ni mon routeur depuis l'externe, ni ma gateway de SFR. Il semblerait que dès que je passe 133.61.6.109.rev.sfr.net (109.6.61.133), l'ICMP soit bloqué. Une idée de si c'est normal ou pas ? Je n'ai pas d'ACL spécifique ni de configuration particulière, c'est un routeur identique à mes autres peers, et une configuration du port routé identique. Merci d'avance ! -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.
Toute cette discussion me rappelle une intervention au NetCenter dans le Nord, ou personne de chez SFR ne savait ou était le BAS Redback sur lequel je devais faire ma manip hw. Du coup, sur le conseil de SFR, j'ai ouvert toutes les baies, même les non SFR, avec code et clé au tournevis ... D'ailleurs quelqu'un connait un datacenter ou les clés des baies sont différenciées pour chaque baie ? Parce que je connais pas de constructeur qui en fasse, à part avec code en plus de la clé. Donc sécurité physique c'est bien, mais si on creuse un peu, les récents doivent surement pas être beaucoup plus blindés dans le fond que les anciens... C'est dans le catalogue que ca change, pour les décideurs 01net et ceux qui font le chèque ... Tout techos trouvera forcément une faille dans un DC mutualisé. --- --- Fabien VINCENT Twitter : @beufanet Le 2012-11-20 20:36, Frederic Dhieux a écrit : Le 20/11/2012 19:38, Inulogic - Free-H a écrit : Un des très nombreux cas où la sécurité ne repose que sur l'ignorance, mais pas seulement chez SFR. En étant un peu observateur je pense que vous pouvez vous introduire dans n'importe quel datacenter, suffit de profiter de la porte mal refermée, de la livraison portes béantes, du mec qui vous laisse passer avec lui dans le sas, de travaux, d'une panne ou d'une maintenance, du badge négligemment oublié par le personnel, des escaliers de secours, j'en passe et des meilleures. En tous cas aucun datacenter que je fréquente ne présente effectivement le niveau de sécurité dont il se targe devant ses clients, malgré un tas de gadgets débiles qui par contre sont des freins pour l'exploitation et le traitement des incidents. Et quand on fait de la sécurité comme ça, alors on a pas compris ce que c'est la vraie sécurité pour un client. Tu devrais te pointer à DC2 de Iliad à Vitry, tu verrais que c'est pas forcément le cas :). Ca ressemble à quelqu'un qui prêche pour sa paroisse parce qu'il y est tiens. A la rigueur, c'est possible d'entrer si le garde de l'entrée est en ronde via un accès de secours qui est moins secure que le SAS unique biométrique. Bien sur, avant d'entrer dans le datacenter, il faut déjà trouver un trou dans la clôture ou escalader avec le barbelé roulé en haut. Ou juste pousser le portail électrique qui est en panne depuis quelques temps... Ensuite, tu irais pas bien loin étant donné que chaque salle est vraiment fermée. Comme dans tout datacenter habituel, c'est fermé tant qu'un employé ou autre client n'ouvre pas la porte quand tu es à côté. Imaginons qu'une salle est restée ouverte, il faut ensuite accéder aux couloirs froids via ton badge. Les baies donnant sur les couloirs non fermés dans les allées chaudes, seules les allées froides sont fermées. Mauvais badge ou si tu forces la porte et/ou bloque une fermeture, tu as une belle alarme et ça doit surement remonter au noc. Imaginons qu'une salle est restée ouverte et un couloir froid, tu mets le bordel dans une baie, il suffira de retracer ton parcours via les caméras pour avoir ton visage. (Elles marchent vraiment !!). Là encore c'est tout à fait standard Le tout bien sur en étant pas repéré par le NOC et les Gardiens via les caméras. Bref, c'est bien d'avoir des retours sur TH2 et NetCenter, ça fait juste un peu peur par contre, même pour des tout petits hébergeurs. TH2 et Netcenter sont des PoP opérateurs réseaux historiques à la base, pas des centres d'hébergement comme on les voit maintenant. La sécurité des baies y est un peu obsolète mais il faut comparer ce qui est comparable (il y a des opérateurs qui laissent les baies sans porte ou non fermées à clé pour les intervenants par exemple. Ce que tu racontes, tous les datacenters que j'appellerais de hosting sont munies de grilles, de gardiens, de sécurité par contrôle d'identité dans un sas avec gardien ou contrôle biométrique (doigt, oeil), de caméras, de suites privatives avec contrôle, etc. Tout ça c'est effectivement ce que tu vas retrouver chez Iliad comme chez InterXion, Equinix ou Telecity. Par contre tu parles de situations normales, le message où tu réponds parle de situations particulières, comme durant des travaux ou des événements particuliers, et là effectivement il arrive qu'il y ait des loupés parce que les gardiens sont formés mais ils sont simplement des employés d'une société de personnel de sécurité extérieure. Pareil sur de la sortie de matériel parfois pour une personne autorisée. La vidéo permet de voir ce qui se passe dans les couloirs, mais pas dans les baies ou les salles privatives (pour des raisons de confidentialité notamment). Je ne critique pas Iliad hein, j'ai été très agréablement surpris quand j'ai découvert le site pour la première fois par rapport à ce que je pensais, mais soyons clair, ils font les choses aussi bien que les autres spécialistes du sujet, rien d'exceptionnel ;) Personnellement je ne suis pas traumatisé par ces questions, la somme
Re: [FRnOG] [MISC] [MICHU] Trolldi / phénomène étrange Orange end-user
Le CGN serait il en marche côté Orange ? De mon côté, je me regarde des choses assez bizarres aussi chez NC. traceroute to google.fr (74.125.230.247), 30 hops max, 60 byte packets 1 10.26.0.1 24.242 ms 24.211 ms 24.198 ms 2 80.236.5.20 24.482 ms 24.472 ms 24.462 ms 3 80.236.0.206 24.396 ms 24.431 ms 24.429 ms 4 * * 80.236.0.201 24.348 ms 5 172.19.128.170 40.006 ms 40.017 ms 40.026 ms 6 80.236.1.161 40.094 ms 16.224 ms 16.221 ms 7 72.14.239.205 16.205 ms 28.302 ms 28.297 ms 8 209.85.242.51 28.804 ms 28.765 ms 28.728 ms 9 74.125.230.247 28.880 ms 28.879 ms 23.023 ms Alors que l'IP de ma Box est 81.67.255.x et ma gateway 81.67.252.1 D'ou vient ce 10.26.0.1 ? En faisant un nmap dessus : Starting Nmap 5.21 ( http://nmap.org ) at 2012-11-16 14:37 CET Nmap scan report for 10.26.0.1 Host is up (0.012s latency). Not shown: 995 closed ports PORT STATESERVICE 22/tcp filtered ssh 23/tcp filtered telnet 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 2126/tcp open unknown = Port utilisé par DOCSIS / Packet-COPS Le plus drole c'est quand même que derrière, si on scanne le /24 on obtient les boxs des voisins ? : $ nmap -sP 10.26.0.1-254 Nmap done: 254 IP addresses (235 hosts up) scanned in 4.82 seconds Bon, rien de nouveau puisque y a déjà eu un article de Bluetouff là dessus (BBox sur NC) : http://bluetouff.com/2012/04/10/bbox-fibre-by-numericable-smells-like-p/ En IPv6, je n'ai bien sûr pas le problème car sur un tunnel broker he.net --- --- Fabien VINCENT Twitter : @beufanet Le 2012-11-16 14:14, Julien BREVIERE a écrit : Bonjour à tous, j'espere ne pas trop etre a coté de la plaque, ni lever un lièvre connu de tous mais bon je me lance a titre pro nous avons quelques livebox grand public pour du backup ou des sorties alternatives une chose que je n'avais jamais vu et qui me parait des plus étrange : L'IP WAN (donc normalement une IP routable. si j'en crois mes 15 ans d'expérience) attribuée par Orange est d'un jour a l'autre devenue non routable .. En gros ils m'attribuent une IP RFC1918 ... et le pire c'est que j'ai encore (TRES lentement) de l'accès à Internet Est-ce bien raisonnable ? normal ? - d'une part d'attribuer une IP WAN sur un bloc RFC1918 (par exemple la j'ai : 172.17.49.64 ...) - que l'internet passe encore (!!!) ? Et ca pousse le vice jusqu'à m'indiquer que pour l'administration à distance ... l'url a utiliser est http://172.17. (sic) Evidemment ca le fait (en changeant d'IP sur le bloc 172.17) a toutes les synchro, .. c'est bien synchronisé / connecté et j'ai deux live box et l'autre attribue des IPs tout a fait normales (routables quoi, et appartenant à orange pas à IANA) Voila .. je n'attends pas d'assistance technique du type 3900 je vous rassure .. c'etait juste pour avoir votre avis sur la pratique d'attribution d'adresses RFC1918 à des Mr et Mme Michu et lancer un petit troll vers mes amis couleur casimir ... En tout les cas je n'avais jamais vu un truc pareil -- -- Julien Brevière __ Checked by MailScanner : OK --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [MICHU] Trolldi / phénomène étrange Orange end-user
On est d'accord, mais ca reste aussi dégueu' que du CGN / NAT444 ! --- --- Fabien VINCENT Twitter : @beufanet Le 2012-11-16 15:06, Solarus a écrit : On Fri, 16 Nov 2012 14:47:03 +0100, Fabien V. list-fr...@beufa.net wrote: De mon côté, je me regarde des choses assez bizarres aussi chez NC. traceroute to google.fr (74.125.230.247), 30 hops max, 60 byte packets 1 10.26.0.1 24.242 ms 24.211 ms 24.198 ms 2 80.236.5.20 24.482 ms 24.472 ms 24.462 ms 3 80.236.0.206 24.396 ms 24.431 ms 24.429 ms 4 * * 80.236.0.201 24.348 ms 5 172.19.128.170 40.006 ms 40.017 ms 40.026 ms 6 80.236.1.161 40.094 ms 16.224 ms 16.221 ms 7 72.14.239.205 16.205 ms 28.302 ms 28.297 ms 8 209.85.242.51 28.804 ms 28.765 ms 28.728 ms 9 74.125.230.247 28.880 ms 28.879 ms 23.023 ms Alors que l'IP de ma Box est 81.67.255.x et ma gateway 81.67.252.1 D'ou vient ce 10.26.0.1 ? C'est une IP privée sur le réseau opérateur, probablement sur son MPLS. Ca ne pose aucun souci tant qu'il route ton IP correctement. Il t'attribue une IPv4 publique, il l'annonce dans un de ses préfixes et ça fonctionne. Les opérateurs sont de plus en plus réticents à utiliser des interco en /30 ou /31 avec des IP publiques quand ce n'est pas obligatoire, toujours à cause de la pénurie. Peu importe qu'il ait des IP privées sur le chemin, ça ne pose aucun problème à BGP pour annoncer des préfixes publics. Cordialement, Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problème resolveurs mailclub.fr
Bonjour, Les valeurs du domaine sont les suivantes : refresh = 8h, retry = 4h, expire = 41 days 16 hours, TTL = 86400 / 1day Le problème s'est matérialisé par une grosse chute de trafic en entrant de 18h00 à 00h00 avant hier. Fabien -- --- Fabien VINCENT Twitter : @beufanet Le 2012-10-24 13:07, Julien BAILHACHE a écrit : Bonjour Fabien, nous avons pas mal de domaines déclarés sous mailclub, notamment aufeminin, ses déclinaision internationales, et marmiton. On n'a pas vu d'incident notable de notre côté sur la période que tu cites, mais il est vrai aussi que notre monitoring sur mailclub est assez faible. De plus, nos TTLs pour la plupart des sous-domaines déclarées est assez élevée, ce qui limite le risque. As-tu plus de détails sur les symptômes et la durée de l'incident? Cordialement, -- Julien Le 24 octobre 2012 12:02, Fabien VINCENT list-fr...@beufa.net a écrit : Avé liste FrNog, Quelqu'un aurait il entendu parler ou subit des problèmes de résolveur DNS sur les ns de mailclub hier en fin de soirée (18h00) pour des domaines hébergés chez eux ? ns1.mailclub.fr [1] internet address = 80.245.60.10 ns2.mailclub.fr [2] internet address = 193.151.86.13 C'est pour confirmer qu'un incident client est bien de leur faute ;) Merci d'avance ! -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] -- Julien BAILHACHE IT Architect T. +33 1 53 57 79 79 / M. +33 6 10 80 44 99 8 rue Saint-Fiacre, 75002 Paris jbailha...@smartadserver.com [4] Links: -- [1] http://ns1.mailclub.fr [2] http://ns2.mailclub.fr [3] http://www.frnog.org/ [4] http://blog.smartadserver.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Coupure Completel ?
Putain de completel ... je confirme que la latence confirmée à l'international s'est résolue au moment ou le graph Renater est repassé au vert A quoi bon ouvrir des tickets de support chez eux ... --- Fabien VINCENT --- Twitter : beufanet Le 2012-10-05 13:36, Fabien V. a écrit : 2 questions par rapport à ca : - mon smokeping @Home derrière Numéricable ne voyait plus rien, même si notre AS est multi-homé . Je suspecte donc Completel de continuer à annoncer les routes malgré une coupure franche (d'ailleurs la perte d'une de nos 2 sessions de peering BGP est 2h avant la coupure franche, vers 20h30) ... Comment est ce possible que sur le même réseau (Completel =~ Numéricable) j'ai un trou noir alors que je ne perds pas de sessions BGP côté de mon AS derrière Completel ? X-Files tout ca ? - on a énormément de latence depuis vendredi dernier également et ce depuis la Suisse qui arrive à priori majoritairement par Completel. Est ce que des gens ici ont ce genre de problème de latence / loss depuis la Suisse vers un AS derrière completel ? --- Fabien VINCENT --- Twitter : beufanet Le 2012-10-05 11:52, Nicolas VANHAUTE a écrit : Depuis les sites internes à renater, rien de mieux... Je viens d'avoir d'ailleurs un technicien de chez nerim qui m'a dit que l'incident était aussi clos mais qd je lui ai donné l'url de son smokeping (qu'il n'avait pas l'air de connaitre au passage), il a dit qu'il allait investiguer et me recontacter en début d'apres midi. = http://smokeping.nerim.net/cgi-bin/smokeping.cgi?target=World.Europe.France.Renater [3] on voit clairement que depuis vendredi soir dernier y a un tas de pertes. Cordialement Nicolas Le 05/10/2012 11:47, ochicheporti...@free.fra écrit : Bonjour Completel vient de me préciser que l'incident dans la région Est était clos. La panne était due à une coupure de fibre par un opérateur tiers qui effectuait des travaux. Ce même opérateur s'est occupé des réparations et le service serait revenu à la normale à 4 heure du matin. Constatez-vous également un retour à la normale ? Merci Olivier Chicheportiche Journaliste/ZDNet.fr - Mail original - De: Nicolas VANHAUTE nicolas.vanha...@ac-clermont.fr À: Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Cc: cd christophed...@wanadoo.fr, frnog@FRnOG.org Envoyé: Vendredi 5 Octobre 2012 10:45:37 Objet: Re: [FRnOG] [ALERT] Coupure Completel ? c'est pas visible de partout effectivement : http://smokeping.nerim.net/cgi-bin/smokeping.cgi?target=World.Europe.France [2]Cordialement Nicolas Le 05/10/2012 10:39, Radu-Adrian Feurdean a écrit : On Fri, Oct 5, 2012, at 10:23 AM, cd wrote: 3. 213.144.222.254 38.2% 34 48.4 48.9 48.3 53.9 1.2 4. 195.7.99.170 20.6% 34 48.4 59.0 48.1 229.8 37.8 5. 194.68.129.103 0.0% 34 115.9 70.1 49.8 151.7 28.4 3. 195.7.109.254 29.2% 424 30.7 36.3 29.8 207.4 21.1 4. 194.68.129.103 0.0% 424 36.1 47.0 30.3 189.2 25.2 Dans les 2 cas, je vois 100% des paquets livres a destination - pas de perte manifeste et comme on est vendredi, arretez d'acheter (du transit) chez Completel, prennez un truc plus serieux. --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ [2] http://smokeping.nerim.net/cgi-bin/smokeping.cgi?target=World.Europe.France [3] http://smokeping.nerim.net/cgi-bin/smokeping.cgi?target=World.Europe.France.Renater --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Coupure Completel ?
Salut la liste Je sais que c'est un pléonasme, mais pour être sûr, y a des gens ici qui ont constatés une coupure des sessions BGP chez Completel depuis le jeudi 4/10 à 20h / 20h30 et une coupure franche à 22h30 à 22h45 environ ? Merci d'avance --- Fabien VINCENT --- Twitter : beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Maxmind geoip ? XF theiemsolut...@gmail.com a écrit : Bonjour tout le monde, Dans le cadre de notre activité, nous devons résoudre un nombre important d adresses IP V4 (environ 10 000) chaque mois qui sont issues de rapports générés via un outil de type SIEM. Lobjectif est de trouver le pays dorigine de ces adresse IP à des fins statistiques. A lheure actuelle, nous utilisons un fichier Excel qui traduit les adresses IP en base 10 et les fait correspondre avec une base de donnée pour trouver le pays dorigine. Linconvénient cest que la base de donnée est statique et nous nous retrouvons avec pas mal dadresses non résolues. Une deuxième solution à été dutiliser le logiciel IPNetinfo de Nirsoft, mais là aussi, nous sommes limités au niveau du nombre de requêtes RIPE (le seuil journalier est de 5 000 adresses si je me souvient bien), ce qui nous oblige à réaliser lopération en plusieurs fois . Connaitriez-vous un outil plus performant ou une meilleure technique qui permette de résoudre un tel nombre dadresse IP ? Merci pour vos éclairages et vos conseils Cordialement, Xavier. --- Liste de diffusion du FRnOG http://www.frnog.org/ Fabien V. Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Annonces BGP / désagrégation de préfixe
Concernant le découpage, même si ce sont des PI ton opérateur SFR doit filtrer les annonces non ? Fabien V. Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Annonces BGP / désagrégation de préfixe
Attention le 128.0/16 n'est plus a filtrer ... En revanche je reste persuadé que SFR filtre au minimum ta plage pour éviter les pbs en DFZ et comme déjà énoncé par d'autres ici, c'est très probablement annoncé comme un seul block par SFR, surtout sur du PI ... le seul moyen de comprendre et d'utiliser un looking glass de SFR si ils en ont un public et un looking glass d'un autre opérateur ! Gille Fergusson gille.fergus...@gmail.com a écrit : Bonsoir, Hum, je ne suis pas un spécialiste du BGP... ! Jusque la on a fait les choses simplement : router bgp bgp router-id 86.7X.X.XXX bgp log-neighbor-changes bgp deterministic-med network 195.1.2.0/24 aggregate-address 195.1.2.0/24 summary-only neighbor 86.7X.X.XXY remote-as 15557 neighbor 86.7X.X.XXY description NEUF-CEGETEL neighbor 86.7X.X.XXY next-hop-self neighbor 86.7X.X.XXY soft-reconfiguration inbound neighbor 86.7X.X.XXY route-map AS15557_in in neighbor 86.7X.X.XXY route-map AS15557_out out ! ip prefix-list ISP-Egress-Out description Announced prefixes to peers ip prefix-list ISP-Egress-Out seq 30 permit 195.1.2.0/24 ip prefix-list ISP-Egress-Out seq 200 deny 0.0.0.0/0 le 32 ip prefix-list ISP-Ingress-In-Strict seq 10001 deny 128.0.0.0/16 le 32 ip prefix-list ISP-Ingress-In-Strict seq 10100 deny 192.0.0.0/3 ge 25 ip prefix-list ISP-Ingress-In-Strict seq 10101 deny 10.0.0.0/16 ge 25 ip prefix-list ISP-Ingress-In-Strict seq 10102 deny 192.0.0.0/24 le 32 ip prefix-list ISP-Ingress-In-Strict seq 10200 permit 0.0.0.0/0 le 24 ! route-map AS15557_out permit 10 match ip address prefix-list ISP-Egress-Out ! route-map AS15557_in permit 10 match ip address prefix-list ISP-Ingress-In-Strict Je veux bien faire la tentative sur la communauté BGP et la route more specific mais ... comment dire, j'ai besoin d'un peu plus de details :) Merci d'avance. Gille Fergusson Le 17 septembre 2012 00:24, Sidney Boumendil sidney.boumen...@gmail.com a écrit : Et en collant la communauté no-export sur la route more specific ? 2012/9/17 Gille Fergusson gille.fergus...@gmail.com: Bonsoir, Non, SFR ne filtre rien, nous pouvons annoncer les blocs que nous souhaitons sans rien leur déclarer. (en faisant les bons enregistrements route au ripe évidemment). A priori cela ne vient donc pas de ca Gille Fergusson Le 17 septembre 2012 00:17, Fabien V. list-fr...@beufa.net a écrit : Concernant le découpage, même si ce sont des PI ton opérateur SFR doit filtrer les annonces non ? Fabien V. Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. Fabien V. Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
_ping_._ovh_._net_ ?
En tout cas pas mal d'hébergeurs ont un
système similaire, je ne sais pas ce qu'il en des F.A.I.
En revanche,
ta question soulève un autre point, es tu sûr de pinguer le bon host ?
Parce que dans mon cas, je peux te dire de pinguer un site, ce ne sera
pas pour autant le serveur qui délivre (cache ou front end) qui te
répondra mais le load balancer dans le cas d'un virtual server sur des
ports any* ... Bref, le même problème qu'avec l'anycast, mais encore
pire ... (i.e. ton serveur est down mais l'équipement de répartition de
charge répond pour lui !)
Perso, même si c'est pas dans les conditions
d'utilisation, je continuerai à pinguer 8.8.8.8 et 8.8.4.4 pour test ou
n'importe quelle autre IP tant que ca me montre que ca marche niveau
couche basse !
Enfin, sur la différence entre test HTTP / DNS / ICMP,
l'objectif n'est pas du tout le même, mais les deux tests sont à faire
en parallèle. Perso, je monitore tout mon archi perso avec Munin (HTTP
loadtime) et Smokeping (ICMP/HTTP/DNS), ce qui me permet de voir les
pertes de paquets (L2/L3/L4) et les problèmes applis (L5/L6/L7). Je vais
ainsi plus vite dans l'analyse.
---
Fabien
VINCENT
---
Twitter : beufanet
Le
2012-09-05 22:06, Stephane Bortzmeyer a écrit :
Je crois que c'est
une question qui concerne directement les
opérateurs réseau (j'ai cité
Free pour les exemples mais cela n'a rien
de spécifique à Free). Avis
bienvenus.
http://www.bortzmeyer.org/que-pinguer.html [1]
Lorsqu'on met en place une
infrastructure de surveillance de serveurs
Internet, il est agaçant
de recevoir autant d'alarmes que de serveurs
surveillés, alors que
c'était simplement la connectivité Internet de la
sonde de
surveillance qui était en panne. Tous les grands logiciels de
surveillance de réseau ont une option pour éviter cela, qui permet de
dire que le test d'un serveur dépend du succès d'un test sur un autre
composant, par exemple le routeur de sortie (si ce dernier est en
panne, il n'y a pas besoin de tester les serveurs et d'alerter si ça
rate). Mais quel composant tester pour déterminer qu'on a un accès
Internet qui marche ?
Avec les logiciels de la famille Nagios comme
Icinga, l'option qui
permet d'indiquer la dépendance d'un test envers
un autre se nomme
parents. Si on écrit :
define host {
host_name freebox
address 192.168.1.1
}
define host {
host_name remote-host
parents freebox
...
}
alors on déclare
que le test de remote-host
dépend de celui de freebox. Si on est
connecté à
l'Internet par ce seul routeur, c'est logique. Si
freebox
est injoignable, le reste de l'Internet
l'est aussi.
Mais si
freebox fonctionne mais ne route plus
http://bugs.freeplayer.org/task/10258 [2] ? Ou bien si quelque chose
déconne dans le réseau de Free bloquant tout accès à l'extérieur ?
C'est là qu'il est utile de tester autre chose que le premier routeur.
On voudrait en fait tester si on a toujours un accès Internet et
pouvoir écrire :
define host {
host_name remote-host
parents
Internet
...
}
Mais comment faire ce test ? En pinguant des
machines distantes, bien évidemment. Il « suffit » de sélectionner des
machines stables, qui répondent aux paquets
ICMP d'écho, et qui n'ont
elles-mêmes que très
peu de pannes. Mais lesquelles choisir ?
Il
faut bien voir que ces machines sur l'Internet, ces amers ou mires
http://www.bortzmeyer.org/amer-mire.html [3] (target en anglais) ne
nous appartiennent pas. Si chaque petit réseau local, pour tester sa
connectivité, pingue 192.0.2.1 toutes les trois minutes, et qu'il y a
dix millions de petits réseaux qui le font dans le monde, 192.0.2.1
recevra 50 000 paquets/seconde, ce qui est une charge sérieuse même
pour un gros serveur. (En débit, cela ne fera pas grand'chose car les
paquets de test seront de petite taille. Mais pour les routeurs et
les
serveurs, ce n'est pas que le nombre de bits par seconde qui
compte,
celui des paquets par seconde est également important, chaque
paquet
nécessitant un traitement, indépendemment de sa taille.)
Utiliser le
premier serveur qu'on a choisi pour des tests répétitifs,
c'est comme
jeter une canette vide par terre : si une seule personne
le fait, c'est
juste un peu agaçant, si tout le monde le fait, on
détruit
l'environnement. Ce n'est pas parce qu'un service est
publiquement
accessible qu'on peut le bombarder de requêtes pour son
usage
personnel. Dans le passé, il est déjà arrivé qu'un constructeur
configure (bêtement) ses machines pour utiliser un serveur public
sans
autorisation, l'écroulant ainsi sous la charge
http://slashdot.org/story/06/04/07/130209/d-link-firmware-abuses-open-n
[4]
tp-servers.
Qu'est-ce que cela nous laisse comme
possibilités ? En posant la
question, on obtient des réponses (plus
ou moins dans l'ordre
décroissant du nombre de suggestions) :
*
8.8.8.8 (ou, à la rigueur, 8.8.4.4,
Re: [FRnOG] [TECH] Probléme sur l'Internet Européen ?
Si ca peut aider : Depuis Completel : Tracing the route to 62.160.52.116 1 * * * 2 213.244.0.233 [AS 12670] 4 msec 4 msec 4 msec 3 213.244.0.234 [AS 12670] 4 msec 4 msec 4 msec 4 213.244.0.246 [AS 12670] 4 msec 4 msec 4 msec 5 212.73.207.181 [AS 3356] 64 msec 212 msec 4 msec 6 4.69.139.202 [AS 3356] 8 msec 4 msec 4 msec 7 193.251.255.157 [AS 5511] 8 msec 8 msec 193.251.255.161 [AS 5511] 8 msec 8 193.251.133.102 [AS 5511] 8 msec 12 msec 12 msec 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 62.160.52.116 [AS 3215] 16 msec 12 msec 16 msec Depuis OBS : Tracing the route to 62.160.52.116 1 90.83.62.134 [AS 3215] 0 msec 0 msec 0 msec 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 62.160.52.116 [AS 3215] 4 msec 4 msec 8 msec Depuis SFR : pas de réponse ! PS : les peerings OBS sont sur le 3215. --- Fabien VINCENT --- Twitter : beufanet Le 2012-08-27 12:07, Guillaume Leyronnas a écrit : 2012/8/27 Pascal Rullier pas...@rullier.net: Le 27 août 2012 10:42, Guillaume Leyronnas guillaume.leyronnas+fr...@gmail.com [2] a écrit : Bonjour, 2012/8/26 Anthony Arciero a.arcier...@gmail.com [1]: Le problème est résolu, un redémarrage du firewall du site distant et tout est redevenu fluide. Désolé de vous avoir embêter pour cela... De notre côté cela fait 16h qu'on ne communique pas entre les AS12552, AS8473, AS3301 (Suède), et AS1759 (Finlande) vers AS3215 (FT)... Bonjour, Possible de donner une ip de destination ? C'est sympa un traceroute mais sans savoir où ca va vraiment... c'est useless... Bien sûr : ping 62.160.52.116 depuis 93.91.177.130 par exemple. Je viens d'avoir une réponse de Telia : « I have checked the routes from our side and am unable to locate any issues inside TeliaNet. The traffic is stopping on a OpenTransit equipment (our IP, but their side of the peering session), and I see the same pattern when testing from other providers. Please have your partner in France report the issue to their upstream provider in order for them to investigate possible filtering/ACL/routing issues inside OpenTransit/France Telecom. Trace from access router towards destination; anla61@ffm-b2_re0 traceroute 62.160.52.116 traceroute to 62.160.52.116 (62.160.52.116), 30 hops max, 40 byte packets 1 francetelecom-ic-129986-ffm-b2.c.telia.net (213.248.93.114) 4.147 ms france-telecom-119877-ffm-b3.telia.net (213.248.77.206) 1.589 ms francetelecom-ic-129986-ffm-b2.c.telia.net (213.248.93.114) 3.842 ms 2 * * * » Là on essaie de faire comprendre notre problème à nos interlocuteurs FT... --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:a.arcier...@gmail.com [2] mailto:guillaume.leyronnas+fr...@gmail.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Optiques AVAGO gratuites
_Perso je préfère recruter un ingé qui comprend les protocoles, qu'un ingé qui sait taper les commandes, mais qui ne comprend pas pourquoi il les tape..._ +1, je vois des signatures d'architectes réseaux (ingénieurs ou pas, peu importe) qui savent configurer (parfois après 2h de réflexion) un VLAN, mais qui ne comprenne toujours pas le protocole 802.1Q et la différence entre des ports tagged / untagged. Et franchement, je vois pas ce que le terme ingénieur vient faire dans ce bloubi boulga ! Je trouve que Renault c'est de la grosse chiotte, et pourtant je roule en Clio parce que j'ai pas les moyens d'acheter une Audi ^^ Chacun sa vision des choses et on fait ce qu'on peut avec ce qu'on a, l'herbe est de toute façon toujours plus verte ailleurs quand on s'engage un minimum sur des technos et qu'on ne fait pas des pirouettes tous les 3 mois. Pour moi, l'idée de montrer des optiques peut avoir du sens, Cisco ou autre, le principal de toute façon est qu'un ingé puisse sortir avec la connaissance globale sur des optiques 'standards'. Par expérience, je suis arrivé chez un intégrateur (en sortant de mon école de merde d'ingénieur xD), je connaissais peanuts de la différence entre du LX / SX / Whatever, ni même sur les très importants considérations de monomode / multimode (et même plus avec les 50 ou 62,5/125) ... Alors quelque soit le constructeur ou la techno, ca peut permettre d'éviter de former des marketeux rompus à telle ou telle marque, c'est plus que positif ! Bref, encore des critiques qui ne font pas avancer le schmilblick ;) --- Fabien VINCENT --- Twitter : beufanet Le 2012-08-13 17:22, Guillaume Barrot a écrit : Bonjour la ML Je passerai outre l'évolution de ce thread, symptomatique de la ML en ce moment (Eh les gens, j'ai du matos gratuit == Cisco c'est de la merde), pour revenir sur un point : est-ce que se former sur Cisco c'est pertinent ? Je ne pense pas que l'on puisse taper sur une école d'ingé sous prétexte qu'elle forme ses élèves sur Cisco et pas sur un autre constructeur. A cela deux raisons : 1) Cisco est un acteur majeur du réseau qu'on le veuille ou non 2) un diplome n'a jamais été un gage de compétences techniques pointue, directement opérationnelle en prod. Que les choses soient claires, je suis persuadé qu'il faille former des ingénieurs sur autre chose que Cisco, et à tout choisir, je pense qu'un formation correcte s'appuierait sur des outils open source (typiquement, on peut monter du lab sur Quagga ou autre), et ce de manière à éventuellement pouvoir creuser le code en cours de C en parallèle. Certains de vous ont parlé de GNS3, et bien sur le site du projet, dans la partie appliance, il y a possibilité de télécharger des routeurs softs, ainsi que des switchs soft. Ca ne sera clairement pas au niveau d'un Nexus ou d'un Tserie, mais si on part par là, toutes les écoles devraient avoir la possibilité de maniper sur du CRS1 en multi-chassis, ou du T-Matrix, car on ne sait jamais un ingénieur pourrait avoir à en faire un jour. Clairement, le role de la formation est de donner les bases les plus solides pour qu'on puisse ensuite, dans le cadre de ses expériences, se former au jour le jour, et en fonction de l'arrivée des technos. Dire que se former sur Juniper c'est mieux que Cisco, c'est puéril. Je me rappelle d'un meeting avec des gens de Juniper qui nous parlaient de la possibilité de router de l'IPv4 dans OSPFv3 sur MX et T séries, à partir de Junos 9.2http://www.juniper.net/techpubs/software/junos/junos95/swconfig-routing/ospf3-multiple-address-families.html . Alors y a bien une discussion a l'IETF sur ça, mais pour l'instant ça ne reste qu'un proposed standard http://tools.ietf.org/html/rfc5838, et ce depuis avril 2010. Bon en plus, le meeting dont je vous parle avait lieu avant Avril 2010, l'interop avec les autres constructeurs est donc clairement assuré dans un cas comme ça... Pour autant, c'est normal avec du matériel constructeur d'avoir des implémentations différentes, ainsi que des protocoles propriétaires, et une certaine opacité sur le code. C'est pour ça qu'on leur paye du support d'ailleurs. Faut-il se former sur ces technos pour autant ? Bien sur, c'est ce genre de matériel qu'on va trouver en prod. Faut-il ne connaitre qu'un seul constructeur ? Non, c'est certain, c'est pas idéal, mais c'est pas plus grave que ça, c'est surtout à ça que servent les premiers mois (années) de boulot. Posez vous une question toute bête : vous donneriez un réseau opérateur à gérer à un jeune fraîchement diplômé en faisant une entière confiance à son diplôme ? Il lui manquera toujours l'expérience, qui ne peut s'acquérir qu'en galérant à 2h du matin avec des collègues et en maudissant un constructeur. Perso je préfère recruter un ingé qui comprend les protocoles, qu'un ingé qui sait taper les commandes, mais qui ne comprend pas pourquoi il les tape... Pour en revenir à la formation en
[FRnOG] [TECH] IOS 7206VXR avec NPE-G1
Hello, Petit demande d'aide technique, j'ai un 7206VXR qui tourne très bien avec une NPE-G1 et 3 interfaces Giga que je souhaite mettre à jour dans une version d'IOS un peu plus récente. Problème, je ne trouve pas les IOS correspondants sur le site de DL Cisco (je vois bien les NPE-G2, mais pas les G1). Quelqu'un pourrait me faire des préco de versions IOS qui tournent sans problème sur ça (1G / 64M), car bon la version 12.3(9)fc2 dessus ne supporte même pas le SSH (c7200-is-mz.123-6f.bin) Merci d'avance ! -- Fabien VINCENT --- Twitter : beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IOS 7206VXR avec NPE-G1
I know I know, c'est plus que tant qu'à faire un upgrade pour avoir le SSH, autant mettre une version à jour ;) --- Fabien VINCENT --- Twitter : beufanet Le 2012-08-03 14:20, Benjamin BILLON a écrit : SSH c'est pas une question de numéro de version, c'est une question de euh .. branche ? Si le nom contient k9, c'est que tu as la crypto dans le soft, et donc que tu peux utiliser ssh Le 03/08/2012 14:17, Fabien V. a écrit : Hello, Petit demande d'aide technique, j'ai un 7206VXR qui tourne très bien avec une NPE-G1 et 3 interfaces Giga que je souhaite mettre à jour dans une version d'IOS un peu plus récente. Problème, je ne trouve pas les IOS correspondants sur le site de DL Cisco (je vois bien les NPE-G2, mais pas les G1). Quelqu'un pourrait me faire des préco de versions IOS qui tournent sans problème sur ça (1G / 64M), car bon la version 12.3(9)fc2 dessus ne supporte même pas le SSH (c7200-is-mz.123-6f.bin) Merci d'avance ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Tout le monde a bien jeté ses routeurs Huawei à la poubelle ?
+1, ceux qui croient à travers une démo à la DEFCON et le FUD que cela crée que Huawei est plus crade que les autres se trompent sur la conclusion la plus intéressante de cette préz' : Huawei n'a pas de process de remontée et de correction de vulns à la manière de Microsoft (avec leur avancée importante sur le MAPP ces dernières années) ou Cisco avec son système d'alerte. Question: y a-t-il ca chez Alcatel, Juniper ou Apple ? (je pose la question sérieusement pour les 2 premiers, pour le dernier c'est presque trolldi). Et que dire des IPS ou des WAFs qui se font déborder tous les jours ? Quand Eugène K dit qu'Apple c'est pourri, c'est pas le produit qu'il critiquait, mais le manque de prise en compte des failles dans un vrai process organisé et structuré. Donc les autres, comme Huawei, préfèrent jouer à la politique de l'autruche, c'est bien ce qui a été mis en avant (si on tient pas compte des 300 articles de FUD par heure apparus sur la toile). Le problème est que l'autruche ça a toujours les fesses à l'air, et quand 2 gars qui ont décidé de s'y attaquer titille ce qu'il faut, la tête sort vite du sol ;) PS : on fait beaucoup moins de cas (en nombre d'articles bidons) de F5 qui laissent trainer des clés SSH partout dans les TMM/SCCP... Mais eux encore une fois, on eu une réaction structurée Celui qui se fait péter avec ça lors d'un audit est pleinement responsable vu la comm' bien gérée qu'il y a sur cette faille bien crados elle aussi ! --- Fabien VINCENT --- Twitter : beufanet Le 2012-08-02 22:13, 3pr0m.pt a écrit : Alcatel ? J'ai pas pas compris Sous OMCR, meme les BTS ou BCS T'as aucun interface web, tout est codé par des roumains et indiens... C'est pas franchement mieux, mais au moins c'est pas chinois et c'est quand même plus stable :) Sent from my iPhone On 2 Aug 2012, at 20:19, Jérôme Nicolle jer...@ceriz.fr wrote: Le 01/08/2012 14:40, Adrien Pestel a écrit : Show must go on : http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon [1] Voilà ! La c'est clair, net et sans bavure : ça prouve qu'on doit se méfier de ce matos car, au moins sur cette gamme, les developpeurs d'Huawei bossent comme des porcs. Beaucoup plus recevable que les attaques en l'air des lobbyistes d'Alcatel. Question maintenant : est ce que Huawei va corriger le tir, et sous quel délai ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ [2] --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon [2] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité
+1 sur le fait que pour le notifier, encore faut il le détecter ... Quand on voit comment même DropBox galère à trouver d'ou vient la faille, on se dit que c'est pas la petite boîte qui utilise Joomla pour récolter des dons pour la recherche qui va s'apercevoir de quoi que ce soit :) Par expérience pro, la politique de sécurité s'apparente à la politique de l'autruche, parce que la sécurité on s'en fout sauf quand ca titille le fessier. Et à chaque fois qu'un incident se produit, soit on dit c'est depuis que t'es là, soit on dit c'est les petits chinois. Bref, même si dans le fond, ca part d'un bon sens (je crois qu'aux USA, c'est déjà le cas), il ne faut oublier que pour détecter les incidents de sécurité, il faut du matériel ... américain ou chinois xD --- Fabien VINCENT --- Twitter : beufanet Le 2012-07-24 10:12, Fabien Delmotte a écrit : Bonjour, encourager les mesures de protection par des mesures incitatives Cela me laisse pantois !!! signaler les incidents de sécurité Encore faudrait il pouvoir les qualifier !! Il me semble qu'il faudrait encourager par des mesures contraignantes la coopération entre les opérateurs afin de mettre un système de protection efficace. A mon humble avis une protection par opérateur n'a pas de sens, car un groupe est plus fort qu'un individu. Cordialement Fabien Le 24 juil. 2012 à 09:38, Stephane Bortzmeyer a écrit : Bon, maintenant qu'on a bien rigolé sur les routeurs chinois (lorsqu'on se met à parler des catcopters dans une discussion, c'est qu'elle a cessé d'être sérieuse), passons aux propositions moins spectaculaires et moins médiatiques du rapport Bockel. Qu'est-ce que vous pensez de signaler les incidents de sécurité, ne serait-ce que pour avoir enfin des statistiques fiables ? http://www.senat.fr/rap/r11-681/r11-681_mono.html [1] Recommandation n°17 : Rendre obligatoire une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information et encourager les mesures de protection par des mesures incitatives Recommandation n°24 : Rendre obligatoire pour les opérateurs d'importance vitale une déclaration d'incident à l'ANSSI dès la détection d'un incident informatique susceptible de relever d'une attaque contre les systèmes d'information et pouvant porter atteinte au patrimoine informationnel ou à l'exercice des métiers de l'opérateur, et encourager les mesures de protection par des mesures incitatives --- Liste de diffusion du FRnOG http://www.frnog.org/ [2] --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] http://www.senat.fr/rap/r11-681/r11-681_mono.html [2] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité
_Il me semble que c'est du pinaillage. Personne n'a parlé de signaler *tous* les incidents de sécurité._ _Pour les autres (cas où l'attaquant tente d'être discret), ils sont parfois détectés par accident (pas de chance pour l'attaquant) et, là, la politique la plus courante aujourd'hui est de tout dissimuler. C'est ce que le rapport Bockel voudrait changer._ Donc on est bien d'accord que l'on veut que les incidents, soit qu'on ne détecte pas, soit qu'on cache, soient déclarées ? Personnellement, je vois une méthode plus simple, c'est celle de se baser sur les déclarations ou les autorisations sur les fichiers (i.e. les bases utilisateurs) à la CNIL. Si le fichier est attaqué, on doit informer tous les utilisateurs, voir plus (et encore, je vois difficilement l'intérêt, car il y aura très probablement des tricheurs). Ca protégerait le consommateur sans pour autant léser des entreprises pour commencer. Reste à voir la suite pour le cas DoS ou intrusions/defacing, mais bon, je trouverai abusif que la encore on affiche avec des croix rouges ceux pénalisés par l'attaque et pas les coupables / origines (dans ce dernier cas, ovh ou dedibox prendrait cher niveau image, cf les rapports Arbor Networks, alors que potentiellement ils n'y sont pour rien). Mais bon, tout le monde s'en fout que le Joomla ou le WP de Mme Michu a été défacé par un hackeur turque pour protester contre la reconnaissance du génocide arménien :p --- Fabien VINCENT --- Twitter : beufanet Le 2012-07-24 10:56, Stephane Bortzmeyer a écrit : On Tue, Jul 24, 2012 at 10:41:29AM +0200, Fabien V. list-fr...@beufa.net wrote a message of 97 lines which said: +1 sur le fait que pour le notifier, encore faut il le détecter ... Il me semble que c'est du pinaillage. Personne n'a parlé de signaler *tous* les incidents de sécurité. Le rapport Bockel a certes des perles comme « les entreprises françaises sont aujourd'hui massivement victimes d'attaques informatiques non détectées » (si elles ne sont pas détectées, comment on le sait ?) mais l'idée est quand même plus sérieuse que cela. Tous les incidents de sécurité ne sont pas détectés mais plusieurs le sont. Les DoS et les défigurations sont deux exemples de problèmes qu'on ne peut pas ne pas détecter (même sans IDS). Pour les autres (cas où l'attaquant tente d'être discret), ils sont parfois détectés par accident (pas de chance pour l'attaquant) et, là, la politique la plus courante aujourd'hui est de tout dissimuler. C'est ce que le rapport Bockel voudrait changer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Tout le monde a bien jeté ses routeurs Huawei à la poubelle ?
_Et que dire de checkpoint alors firewall issu par le mossad qui équipe toutes les sociétés du cac40 ? Surtout lorsque Stuxnet et FLAME semble clairement avoir été développé par ces derniers ?_ Et je dirais même, que dire des sociétés produisant des boitiers en France et soumis à des validations ANSSI pour exporter du SSL ou de l'IPSec dans les pays du golfe ? Parce que c'est bien beau de tirer sur l'ambulance, mais faudrait peut être qu'on regarde ce qu'on exporte avant de se demander ce qu'on importe ! Les coordonnées sont toujours les plus mal chaussés ... X-Telecom ou pas, ca montre bien une volonté économique, mais qui n'a aucun sens techniquement. Ou alors je comprendrais que demain, les pays du Golfe n'achètent plus des boitiers de sécu français, car l'ensemble des équipes RD de ces boites sont financées avec du crédit impôt recherche. Je crois que comme dans bon nombre de cas, ce genre de rapport prend en compte 10% des problèmes, mais pas les problèmes de 90% de la population. Je voudrais bien avoir un téléphone portable français, mais je crois que Thalès est plus intéressé pour fournir seulement au président, qui peut se permettre des téléphones à 10k. Perso, je pense que ce sont des rapports bon pour se torcher le cul, et qui montre l'intelligence et la compétence de nos élus politiques en matière de réalité du terrain ! Donc je comprends ce rapport économiquement cool pour A. Montebourg, par contre c'est de la foutaise d'un point de vue techos ... Ca me rappelle le cas d'une entreprise X qui voulait isoler sa crèche des ondes wifi, et qui pour ca avait acheter de la peinture au plomb pour recouvrir les murs que les enfants allaient lécher --- Fabien VINCENT --- Twitter : beufanet Le 2012-07-22 11:00, Marc De Saya a écrit : Et que dire de checkpoint alors firewall issu par le mossad qui équipe toutes les sociétés du cac40 ? Surtout lorsque Stuxnet et FLAME semble clairement avoir été développé par ces derniers ? Les usa aussi ont déjà financé moult fois des société pour leur éviter la faillite et ce n'est pas un hasard si une grande partie de la rd cisco est en Inde (au sujet de la vente à perte). Donc que la chine finance huwaei ne m'étonne pas trop. Même si la communication émane du Sénat, personnellement je pense qu'il faut vraiment nuancer ces propos qui semblent très orientés ... Il existe très certainement une grande société de télécom qui déduction faite des pots de vins au dirigeant a équipé son coeur de réseau en alcatel ou autre à perte alors que cela ne correspondait pas au besoin d'origine ... Le 22 juillet 2012 00:36, Stephane Bortzmeyer bortzme...@nic.fr a écrit : http://www.senat.fr/rap/r11-681/r11-681_mono.html [1] 3. Un enjeu majeur : Pour une interdiction totale sur le territoire européen des « routeurs de coeur de réseaux » et autres équipements informatiques sensibles d'origine chinoise --- Liste de diffusion du FRnOG http://www.frnog.org/ [2] --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] http://www.senat.fr/rap/r11-681/r11-681_mono.html [2] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Tout le monde a bien jeté ses routeurs Huawei à la poubelle ?
Quelle contribution Enfin bref, quand vous saurez ce que sont les versions export validée par l'ANSSI des produits de sécurité en FR, peut être fera-t-on moins les malins ... Désolé de cette erreur en espérant que ça ne perturbera pas le vrai débat ... --- Fabien VINCENT --- Twitter : beufanet Le 2012-07-22 21:43, Eric ROLLAND a écrit : Le 22/07/12 19:28, Fabien V. a écrit : Les coordonnées sont toujours les plus mal chaussés Bonsoir, C'est sûr, faut pas laisser aux chinois les correcteurs orthographiques... Cordialement, Eric ROLLAND Réseau Artewan AS42929 ORG-ARTE2-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 www.artefact.fr http://www.artefact.fr - Communication interactive www.artewan.fr http://www.artewan.fr - Opérateur de réseaux *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. * --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
