Re: [FRnOG] [ALERT] Coupure long haul

2022-04-27 Par sujet Julien Escario
Covage, pour sa part, remonte un fiber cut volontaire (vandalisme) à 
Souppes-sur-Loing. Ca fait au moins 100km de Mareuil-lès-Meaux.


Ca ressemble de plus en plus à soit un vandalisme très bien organisé 
soit un go-fast en mode destruction de chambres.


Quelqu'un a t'il commencé à lister les coordonnées des différentes 
réparations en cours ? Est-ce qu'il faut demander aux ukrainiens de 
renvoyer quelques soudeuses ?


Julien

Le 27/04/2022 à 15:47, Clement Cavadore a écrit :

On Wed, 2022-04-27 at 09:47 +0200, Clement Cavadore wrote:

J'ai un Paris-Bruxelles de down, et DE-CIX a perdu un Francfort-NYC
cette nuit, j'imagine que ca pourrait être lié:

"Currently, the link between NYC1 and FRA12 is down and that is
causing link saturation between NYC2 and FRA6. We are investigating
the issue and we are in touch with our vendor. We will update you
with our findings."

Les derniers updates de DE-CIX:

UPDATE 2022-04-27 13:44 UTC:
Cables have been cut inside the chamber and they have called out their
repair team and contractors have reached the site and confirmed the
break was due to vandalism(sabotage).
As per the update from the provider, the cut has been localized between
Mareuil-lès-Meaux & Paris and the provider has engineers on site
troubleshooting. We will update you with new info ASAP.

UPDATE 2022-04-27 13:02 UTC:
As per update from provider, cut has been localized between Mareuil-
lès-Meaux & Paris. Repair team is now engaged and awaiting ETA, further
updates to come.


--
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*

---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] eos 4.18, VRRP et router advertisement

2022-04-12 Par sujet Julien Escario

Bonjour la liste,

J'ai un comportement que je pense être un bug sur eos 4.18 (oui, c'est 
vieux mais c'est tout ce que j'ai).


Je tente de faire du VRRP (pas VARP) sur IPv6 sur un VLAN. J'ai donc 
toute ma conf avec deux IPv6 dans le même subnet et une conf de ce style :


vlan100
   ipv6 address a:b:c:d::fe/64
   ipv6 nd ra suppress all
   vrrp 51 priority 200
   vrrp 51 ipv6 a:b:c:d::1
   vrrp 51 ip version 3

Et pareil sur l'autre arista mais IP en a:b:c:d::fd et priorité 150.

Notez le suppress *all* . Maintenant, quand je bascule la priorité VRRP 
du Arista maître (disons 100), j'ai un RA qui déboule en sortie du VLAN 
et me bousille le routage des machines qui l'acceptent.


Alors que ça ne devrait pas arriver, nan ?

Le plus fun : lorsque je remets la priorité à 200, je n'ai *pas* de RA.

Et vice-versa si je modifie la priorité du backup. C'est toujours 
lorsque l'Arista sur lequel je ne fais pas la conf passe Master que j'ai 
l'émission d'un RA.


Ca ressemble tellement à un bug que j'aimerais voir si l'un d'entre vous 
peut confirmer ça (disons que si quelqu'un a déjà rencontré ça, il est ici).


Pour le moment, la seule solution que j'ai trouvée c'est de mettre 'ipv6 
nd ra lifetime 0' : ça envoi toujours des RA mais au moins ils ne 
chamboulent pas mes machines sur le LAN.


Merci pour vos lumières (histoire que j'arrête de me retourner la tête 
et puisse passer à autre chose),


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Utilisation des fourreaux télécom Orange ?

2022-03-30 Par sujet Julien Escario
Le 30/03/2022 à 12:21, François Lacombe a écrit :
> Il faut répondre à la question 1 et décider en fonction
> * Les fourreaux sont à la commune, pas de problème pour tirer du câble
> dedans a priori
> * Les fourreaux sont à quelqu'un d'autre, il faut se renseigner sur
> l'existence ou non d'une offre de location (qui doit normalement exister
> aux termes du L34-8-2-1 CPCE notamment)

Dans tous les cas : soit le GC appartient à la collectivité (comcom,
commune), soit elle appartient à un opé privé qui doit par conséquent
payer la RODP ou est-ce que je dis une grosse bêtise ?

Et si le fourreau appartient à la collectivité, est-ce qu'elle a
également l'obligation de proposer une offre de location ?

Merci !

Julien



OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Problèmes envoi de mail vers GMAIL

2022-03-08 Par sujet Julien Escario

Le 08/03/2022 à 12:13, Hugues Voiturier a écrit :

Mine de rien, c'est de plus en plus problématique ces politiques de plus en
plus dures de filtrage.

Suffit de respecter les bonnes pratiques, SPF/DKIM et DMARC en bonus ça règle 
déjà bien des soucis.


Merci Hugues.

DKIM, c'est un peu plus complexe mais SPF, c'est juste un enregistrement 
DNS après identifier les serveurs susceptibles de faire sortir du mail 
pour ton domaine.


Ca fait quand même gentiment 10 ans que tout le monde explique qu'il 
faut s'y mettre.



Forcément qu’en envoyant des mails sans se conformer aux standards, ça ne peut 
que mal se passer.


C'est un peu comme se connecter sur un IX sans configurer les ROAs : ça 
fonctionne jusqu'au jour où ça passe plus.


Bientôt dans vos salles : "je n'ai positionné mes enregistrements MX et 
je ne reçois pas de mail, c'pas normal !"


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] ToR ou MoR

2022-02-21 Par sujet Julien Escario
Ah oui, ok, tu vas vraiment loin dans l'idée de faire 'bien les choses' 
en fait ;-)


Nos 7050 en mesuré consomment environ 80W une fois le boot terminé. Si 
tu aspires bien l'air côté cold corridor pour le souffler côté chaud, le 
flux est dans le bon sens. Perso, je ne pense pas que les 40 ou 50cm 
entre la facade de la baie et l'arrière des Arista pose un soucis 
quelconque. Surtout si tu as des serveurs rackés en face avant sur l'U 
au dessus ou au dessous; ils feront, partiellement du moins, office de 
guide d'air, même si tu as deux 7050 au dessus l'un de l'autre. Bon, ok, 
il y a un peu de perte de charge par les rails, sur le côté.


C'est d'ailleurs une bonne raison pour ne laisser plein d'U vides dans 
tes baies ;-)


Et honnêtement, qu'un switch aspire de l'air à 22°C ou à 30°C, je ne 
pense pas que va change grand chose pour lui. Un serveur avec ces 
300/500W/1000W (!), à la rigueur. et encore.


Sauf erreur, il y a une légère surpression dans les cold corridor 
(combien ?), inhérente à la soufflerie forcée des clims. Même sans 
ventilos, l'air froid circulera toujours un peu dans les équipements.


On est dans le détail et j'avoue ma limite de compétence à ce stade. Il 
y a probablement sur la liste, des gestionnaires de DC qui pourront être 
beaucoup plus précis que moi.


En tout cas, un 'avaloir' d'air pour baie, je n'ai jamais vu et ça me 
paraît compliqué puisque cela dépend de la longueur de tes équipements 
et surtout de la distance entre les montants avant et arrière de la 
baie. Il faudrait quelque chose de rétractable pour s'adapter à une 
gamme de profondeur et ça créerait forcément des pertes de flux d'air 
puisque l’étanchéité me paraît difficile à obtenir dans ces conditions.


Julien


Le 21/02/2022 à 13:15, guilla...@vass.al a écrit :

Bonjour Julien,

Parti trop vite désolé..

Je ne l'ai en effet pas précisé mais il s'agit bien de switch
"back-to-front" qui aspirent donc bien l'air depuis le cold corridor.

Mon problème reste que si je veux "bien faire les choses" d'un point
de vue DC je suis censé coller la face arrière (qui contient les
ventillos) alignée avec les blank-pannel coté cold corridor.
 -> Sauf que les ports deviennent difficilement accessibles

Si je décide de ne pas le faire:
 - le switch va aspirer l'air depuis l'arrière qui est au final le 
milieu de la baie
 - je met la grouille dans le principe du cold corridor car j'enleve 
un blank-panel ce qui fait un passage directe froid -> chaud.


D'ou mon idée de "tunnel rallonge" pour prolonger l'arriere de mon 
swicth est amener la prise d'air dans l'alignement de la facade coté 
froid.


Pour etre plus concret, on est sur ce genre de switch (ventilos bleu 
donc): 
https://www.arista.com/assets/data/pdf/Datasheets/7050X3-Datasheet.pdf


Il y a des rails la dessus qui font que ca se rack comme un serveur au 
final avec une fixation a l'avant et a l'arrière de la baies sans 
porte-à-faux


Guillaume


Le 21.02.2022 12:39, Julien Escario a écrit :

Ton switch 'de base', que sa face avant soit alignée ou non avec
l'avant de la baie, aspire de l'air chaud puisqu'il a un airflow avant
(= côté chaud) -> arrière (cold corridor).

Déjà, les DC n'aiment pas ça du tout puisque tu injectes finalement de
l'air chaud vers le cold corridor = ça oblige la clim à compenser. Un
switch par ci par là, ce n'est pas méchant mais quand il commence à y
en avoir beaucoup, ça joue (c'est comme les auvergnats).

Raison pour laquelle on trouve de plus en plus de modèles dits
reverse-airflow : le switch aspire l'air par l'arrière et le rejette à
l'avant (ou le côté).

Dernière solution : des switchs sans ventilateurs : en bonus, tu es
quitte que les ventilos crament. Hors PoE, ça doit se trouver
maintenant avec l'amélioration des consos des chips.

Julien



Le 21/02/2022 à 12:23, guilla...@vass.al a écrit :

Bonjour,

Petite question bonus pour savoir ce que qui se fait de nos jour 
niveau ventilation quand le switch est placé à l’arrière de la baie 
avec les ports coté couloir chaud donc !


Historiquement nous avions des switchs presque aussi profonds que 
nos serveurs donc nous les "enfoncions" dans la baie pour que 
l’arrière du switch soit aligné avec les faces avant des serveurs 
coté froid et qu'il aspire donc un air bien frais.


Depuis le dernier renouvellement la profondeur des switch a bien 
diminué et avec ce mode de pose nous nous retrouvons a devoir 
plonger l'avant bras dans la baie pour atteindre les ports. Sans 
compter qu'il faut laisser plusieurs U au dessous et et dessous 
pour voir quelque chose et y passer les mains.


Certains d’entre vous sont-ils dans la même situation ? Avez-vous 
décidé au final de mettre la face avant du switch aligné avec les 
rails arrière de la baie quitte a laisser un trou béant sur la face 
froide et que le switch avale un peu ce qu'il peut niveau air ?


Utilisez-vous sinon ce genre de choses type "SwitchAir" ex: 
https://www.geis

Re: [FRnOG] [TECH] ToR ou MoR

2022-02-21 Par sujet Julien Escario
Ton switch 'de base', que sa face avant soit alignée ou non avec l'avant 
de la baie, aspire de l'air chaud puisqu'il a un airflow avant (= côté 
chaud) -> arrière (cold corridor).


Déjà, les DC n'aiment pas ça du tout puisque tu injectes finalement de 
l'air chaud vers le cold corridor = ça oblige la clim à compenser. Un 
switch par ci par là, ce n'est pas méchant mais quand il commence à y en 
avoir beaucoup, ça joue (c'est comme les auvergnats).


Raison pour laquelle on trouve de plus en plus de modèles dits 
reverse-airflow : le switch aspire l'air par l'arrière et le rejette à 
l'avant (ou le côté).


Dernière solution : des switchs sans ventilateurs : en bonus, tu es 
quitte que les ventilos crament. Hors PoE, ça doit se trouver maintenant 
avec l'amélioration des consos des chips.


Julien



Le 21/02/2022 à 12:23, guilla...@vass.al a écrit :

Bonjour,

Petite question bonus pour savoir ce que qui se fait de nos jour 
niveau ventilation quand le switch est placé à l’arrière de la baie 
avec les ports coté couloir chaud donc !


Historiquement nous avions des switchs presque aussi profonds que nos 
serveurs donc nous les "enfoncions" dans la baie pour que l’arrière du 
switch soit aligné avec les faces avant des serveurs coté froid et 
qu'il aspire donc un air bien frais.


Depuis le dernier renouvellement la profondeur des switch a bien 
diminué et avec ce mode de pose nous nous retrouvons a devoir plonger 
l'avant bras dans la baie pour atteindre les ports. Sans compter qu'il 
faut laisser plusieurs U au dessous et et dessous pour voir quelque 
chose et y passer les mains.


Certains d’entre vous sont-ils dans la même situation ? Avez-vous 
décidé au final de mettre la face avant du switch aligné avec les 
rails arrière de la baie quitte a laisser un trou béant sur la face 
froide et que le switch avale un peu ce qu'il peut niveau air ?


Utilisez-vous sinon ce genre de choses type "SwitchAir" ex: 
https://www.geistglobal.com/switch-air-unit/10643/sa2-002 ou avez vous 
une solution bien moins onéreuse pour une simple rallonge au final !



Guillaume



Le 21.02.2022 11:51, David Ponzone a écrit :

J’avoue que je me suis posé la même question.
Le $job de Cécile a peut-être des supers prix à proposer en colo :)

Merci à tous pour vos retours, il semble y avoir quand même une
préférence pour le MoR, et je pense que ça va devenir la mienne aussi.
Pour être précis, je pense que ça sera exactement à l’endroit où mes
PDU APC verticaux n’ont pas de prise, puisque de toute façon le switch
en étant monté à l’arrière a ses câbles d’alimentation qui font
back->front. Ca change pas grand chose d’aller chercher une prise un
peu plus haut ou un peu plus bas.
Alors que pour un serveur 1U, c’est plus disgracieux/hétérogène.

D’ailleurs, aucun constructeur de baie n’a eu l’idée d’avoir des PDU
verticaux fixés sur la face intérieure et au milieu des portes
latérales ?
Parce que le PDU vertical à l’arrière sur les côtés, ça bouffe quand
même un max de place, où on aimerait bien mettre du cable-management.
L’autre avantage c’est que ça éviterait les câbles d’alim qui font
back->front pour les équipements réseaux (même idée que pour le MoR,
ça ferait des câbles d’alim de longueurs plus standard et plus facile
à gérer/cacher).
Et pour les serveurs qui ont les 2 PS du même côté, c’est facile de
connecter le PS vers le PDU le plus proche avec un câble de 50cm, mais
généralement l’autre PS aurait besoin de 75cm pour connecter le PDU de
l’autre côté, ce qui n’est pas exactement standard.


Le 21 févr. 2022 à 11:34, Julien Escario  
a écrit :


Le 21/02/2022 à 09:27, Cécile MORANGE a écrit :

Hello !

At $job, on fait que du middle of rack, ça donne ça:
https://twitter.com/AtaxyaNetwork/status/1405074545980100610
https://twitter.com/AtaxyaNetwork/status/1408410014994386945


Très chouette mais pourquoi cette manie de laisser des U vides entre 
les équipements ? Vous les payez moitié prix vos baies ?


Un jour, on m'a rétorqué que c'était pour le refroidissement (dans 
un airflow front/back ...). J'ose espérer qu'il y ai une vraie 
raison ;-)


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] ToR ou MoR

2022-02-21 Par sujet Julien Escario

Le 21/02/2022 à 09:27, Cécile MORANGE a écrit :

Hello !

At $job, on fait que du middle of rack, ça donne ça:
https://twitter.com/AtaxyaNetwork/status/1405074545980100610
https://twitter.com/AtaxyaNetwork/status/1408410014994386945


Très chouette mais pourquoi cette manie de laisser des U vides entre les 
équipements ? Vous les payez moitié prix vos baies ?


Un jour, on m'a rétorqué que c'était pour le refroidissement (dans un 
airflow front/back ...). J'ose espérer qu'il y ai une vraie raison ;-)


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] CCR2116-12G-4S+

2021-12-09 Par sujet Julien Escario
Le 09/12/2021 à 17:19, Arnaud FEIX a écrit :
> Pour rebondir sur les Mikrotik à vos mise à jour.
>
> https://thehackernews.com/2021/12/over-30-mikrotik-devices-found.html

Mais c'est pas encore et toujours le même truc qui ressort tous les 6
mois depuis 2019 ? Oui, Mikrotik a une vulnérabilité dans les versions
d'il y a trois ans, peut être pas la peine de tourner en boucle là
dessus, non ?

Au début, j'ai cru que c'était juste des journaleux qui aiment bien
faire peur mais je finis par me demander si ce n'est pas une vraie
campagne organisée.

Non pas que krotik soit au dessus de tout soupçon en matière de soft
(loin de là) mais des failles, y'en a partout tous les jours hein.

Julien



OpenPGP_signature
Description: OpenPGP digital signature


[FRnOG] [ALERT] Alphalink OpenVNO

2021-10-20 Par sujet Julien Escario
Bonjour,

Encore une qui va plaire à Bortzmoinsbien : un IPBX chez nous n'arrivait
plus à joindre sip3.openvno.net (un endpoint SIP d'alphalink).

Après quelques recherches, le domaine à tout simplement expiré ... plus
de résolution :

Registry Expiry Date: 2021-10-20T08:26:47Z

Domain Status: clientHold https://icann.org/epp#clientHold

J'ai cru comprendre qu'il y avait plusieurs personnes passant leur voix
par chez eux sur la liste, je me suis que ça ferait sûrement gagner du
temps de debug à plusieurs co-listiers.

Et si quelqu'un a deux secondes pour confirmer mon diag, je prends.

https://atlas.ripe.net/measurements/32564346/#probes

Trop de NXDOMAIN pour être honnête.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] Re: [ALERT] OVH mort ?

2021-10-13 Par sujet Julien Escario
Le 13/10/2021 à 09:55, Stephane Bortzmeyer a écrit :
> On Wed, Oct 13, 2021 at 09:31:58AM +0200,
>  David Ponzone  wrote 
>  a message of 37 lines which said:
>
>> Pareil ici, j’ai leurs annonces sur Equinix-IX, mais aucun ping ou 
>> traceroute ne passe, aucun HTTP ne répond, pas même le DNS.
> Uniquement IPv4. IPv6, après un court problème, est reparti presque
> tout de suite.

C'est confirmé (si mon mail à la liste veut bien arriver dans un délai
raisonnable).

Octave a tweeté puis supprimé une erreur de copier/coller :

d2> ... route-map ipv

d2> 4

J'imagine que le routeur n'a pas trop su quoi en faire du 4 tout seul.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Re: Gros problème OVH ?

2021-10-13 Par sujet Julien Escario
Le 13/10/2021 à 09:32, Stephane Bortzmeyer a écrit :
> On Wed, Oct 13, 2021 at 09:29:28AM +0200,
>  Stephane Bortzmeyer  wrote 
>  a message of 3 lines which said:
>
>> Tout leur réseau semble très perturbé.
> Ça semble en train de repartir.

Alors, je dirais plutôt que c'est IP legacy qui est down, alors que l'IP
de ce siècle fonctionne :

$ host dns10.ovh.net
dns10.ovh.net has address 213.251.188.129
dns10.ovh.net has IPv6 address 2001:41d0:1:4a81::1

Ping OK sur l'IPv6 alors que l'IPv4 ne répond pas, un mtr s'arrête juste
avant leur AS.

C'est basique comme test, il faudrait un guru RIPE Atlas pour être
certain du diag de fortune ;-)

Mon pronostic : ils ont décidé de basculer en IPv6-only pour fêter leur
entrée en bourse. La voilà notre killer-app pour faire avancer le
déploiement.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [ALERT] OVH mort ?

2021-10-13 Par sujet Julien Escario
Il y a un truc qui m'étonne : ici ovh.com s'affiche tout de même.

Je me demande bien ce qu'il peut se passer puisque l'AS16276 semble, au
moins partiellement, joignable.

Julien

Le 13/10/2021 à 09:30, Philippe ASTIER via frnog a écrit :
> Exact, tout ce que j’ai comme service ou serveur chez OVH (SIP, web, dédié) 
> est injoignable, comme le site d’OVH même.
> Essayé depuis Free, Orange Pro et un troisième opérateur.
>
>> Le 13 oct. 2021 à 09:25, Oliver varenne  a écrit :
>>
>> Tout ce qui est chez OVH semble mort !
>> Quelqu'un au courant de quoi que ce soit ?
>>
>>
>>
>> Cordialement,
>>
>> [cid:image001.png@01D7C014.42678B40]<http://www.ipconnect.fr/>
>>
>> Olivier Varenne
>> Co-gérant, Commercial & Développeur
>> T +33 (0)4 27 04 40 00 | ipconnect.fr<http://www.ipconnect.fr/>
>>
>> Suivez-nous !
>> [picto-twitter]<https://twitter.com/ip_connectweets>[picto-youtube]<https://www.youtube.com/channel/UC4W_ceUZgLBRAeQUjtopVug>[picto-linkedin]<https://www.linkedin.com/company/20541473/admin/>
>> [cid:image005.jpg@01D7C014.42678B40]<http://www.ipconnect.fr/>
>>
>>
>> -------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] RE: [TECH] ATS + UPS = cdhsjkezlkezllksq

2021-10-07 Par sujet Julien Escario
Le 07/10/2021 à 15:40, Pierre Colombier via frnog a écrit :
> Petite reflexion connexe au sujet propos des onduleurs et autres alims
> redondées.
>
> [...]
> Dès lors, pourquoi s'emmerder avec des systèmes qui travaillent en
> courant alternatif qui sont à la fois chers et compliqués à mélanger.
>
> Il y a le problème des onduleurs, il y a le problème de la synchro des
> groupes electrogènes, des temps de commutations etc...
>
> ça ne serait pas carrément plus simple de faire la distribution (et
> surtout le mélange des sources) avec du courant continu ?


Il fût une époque où on trouvait pas mal d'équipements en 48V DC avec la
possibilité de se faire livrer ça dans les baies. Il reste des reliques
(une salle complète dans l'ex-lambdanet Cogent Dijon au moins).

48V, ça fait 4 éléments 12V en série et c'est en dessous de la limite
qui impose des habilitations spécifiques (choc électrique) dans pas mal
de pays.

Le problème du 48V DC, c'est que ... ce n'est pas du 230 ou 110V : je ne
voudrais pas dire d'ânerie mais c'était devenu vraiment compliqué pour
les constructeurs de maintenir du matos de série avec des alims 48V.
Tout était en doublon, même si le design d'une alim, c'est clairement un
truc automatique dans n'importe quel CAD.

Je pense que le soucis tient plus dans les stocks à maintenir : deux
fois moins de référence, c'est deux fois moins de stock à gérer, point
barre.

Autre 'petit' inconvénient : 3kVA de base par baie en 48V, ça fait déjà
64A à faire arriver (x2) donc facilement du 16mm2 voire du 20mm2 alors
que c'est du 2,5mm2 en 230V. Et le cuivre, ça coûte cher.

Julien



OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Choix d'AP WIFI

2021-09-30 Par sujet Julien Escario
Le 30/09/2021 à 17:40, Nicolas Vuillermet a écrit :
> Hello,
>
> De notre côté, nous regardons chez Ruckus avec le R750 / R850.
>
> Ce qui fait chavirer notre cœur est la possibilité de faire du 802.1 sur un 
> SSID (avec un joli radius derrière) et du DPSK pour les périphériques 
> éc̵l̵a̵t̵és̵ modestes ainsi que les invités (avec tout autant un joli radius 
> derrière qui te permet de coller le backend que tu veux ou une api rest, 
> permettant de balancer un tunnel ID transformé en vlan côté AP).
>
> Enfin, une borne Wi-Fi 6 avec un uplink seulement gigabit, ça me semble assez 
> aberrant. (Oublions unifi, Mikrotik a déjà perdu la lice à ce stade..)
>
> Côté controller, où devrais-je plutôt parler de manager, il y a Ruckus 
> Unleashed embarqué sur les AP avec élection du master, ou plus casual du 
> manager onpremise voir en virtu avec SmartZone.
>
> Tout cela d’après mes recherches, on va sûrement se diriger vers cette 
> direction.
>
> Ah, cahier des charges aussi, ne pas se taper des frais récurrents et ne pas 
> être forcé à un accès Claude permanent parce que bon, faut pas qu’il mette 
> ses sales mains partout non plus.

Tu vas les prendre les frais récurrents mais de manière plus insidieuse
: Ruckus va te passer les bornes en deprecated un beau matin, impossible
de mettre à jour le contrôleur sans remplacer tes bornes parce qu'elles
n'auront pas le firmware version Y nécessaire pour aller avec le
contrôleur version X. Et impossible de rajouter une borne parce qu'elle
est déjà en version Z incompatible avec ton contrôleur en version V.

Après, je ne dis pas qu'ils sont les seuls. C'est même devenu la norme
(cf Ubnt). Ce sont les constructeurs qui décident de la durée de vie du
matériel en fonction de l'évolution de leur EBITDA.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Black Thursday

2021-09-29 Par sujet Julien Escario
Le 29/09/2021 à 17:22, Wallace a écrit :
> On encourage les gens à garder leur matériel plus longtemps mais on
> leur coupe un des usages si ce n'est le majeur de leurs appareils. Pas
> de web, pas d'api pour les store, ...
>
> A mon avis va y a voir des appels dans les hotlines des FAI, ça marche
> pas j'arrive plus à aller sur Internet, moi j'ai rien changé ...

Meuh non, tout le monde sait que Internet = Facebook. Vu qu'ils
n'utilisent pas Let's Encrypt (sans vérifier, je l'ai bloqué niveau DNS
ici), ça va passer crème.

Qu'est-ce qu'on va rigoler vendredi ! Si *en plus* y'a d'la Chouffe,
alors là ...

Julien



OpenPGP_signature
Description: OpenPGP digital signature


[FRnOG] [TECH] DNSSEC et puis s'en va

2021-08-27 Par sujet Julien Escario
Bonsoir,

Un peu tard pour causer technique comme ça mais on vient d'avoir un
soucis de résolution sur mxa.mailgun.org et mxb.mailgun.org.

Vérification faite, nos résolveurs avaient une DS key en cache pour la
zone mailgun.org :

$ dig @resolveur2 mailgun.org DS

mailgun.org.        80164    IN    DS    49611 8 2
28F2F10427480AC6FB98D7544D61FE8D866EB5FB33688BC7C3CB8DC6 5D39C916

Mais cette DS ne semble visible nul par ailleurs.

Mon intuition étant qu'ils ont activé DNSSEC 'quelque part', nos
résolveurs ont attrapé l'info puis il y a eu un rollback.

Nos résolveurs étant configurés pour la validation DNSSEC, c'était
évidemment cassé.

Une idée de la façon dont je peux valider cette hypothèse ? (juste pour
me coucher moins bête). A priori, j'ai 22h pour trouver, ensuite le
cache n'existera plus.

J'ai une trace de mon pdns recursor sur une requête que je ne suis pas
certain de savoir analyser correctement. Je peux envoyer en privé si besoin.

Merci,

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Geolocalisation IP sur les plateformes de streaming

2021-08-25 Par sujet Julien Escario
Le 24/08/2021 à 14:58, Julien Escario a écrit :
> Le 24/08/2021 à 13:29, Olivier FONTÈS a écrit :
>> Nous avons rencontré ce soucis de black list avec les connexions
>> occitanet il y a un peu plus de deux ans. 
>>
>> Nous avons contacté le support de netflix en utilisant un des comptes de
>> nos clients et ils ont retiré notre /22 ipv4 et notre /29 ipv6 de leur
>> blacklist en 48 h. 
>>
>> Si ça peut aider j'ai ptet encore le mail du support tech.
> Merci, j'ai tenté la procédure ce matin, on va voir si ils retirent tout
> le /24 ou juste l'IP.
>
> J'attends de voir le résultat mais en dernier recours, je prends
> volontiers l'adresse d'un tech ou service en off pour plus d'efficacité
> (et éviter la batterie de questions sans aucun rapport avec le problème).
>
> Julien

Donc si cela peut servir à quelqu'un dans le futur : ~24h après, je
constate que Netflix a carrément whitelisté le /22 entier (mon jumphost
avec un beau reverse en 'vpn' passe aussi) alors que je ne demandais que
le /24.

J'imagine qu'à leur échelle, ça ne fait pas une grande différence.

J'attends le retour de mon client pour savoir si FranceTV a suivi, ce
qui confirmerait qu'il y a une liste commune d'une manière ou d'une autre.

Julien



OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Geolocalisation IP sur les plateformes de streaming

2021-08-25 Par sujet Julien Escario
Le 25/08/2021 à 09:10, Vincent Bernat a écrit :
>  ❦ 24 August 2021 10:59 +02, Julien Escario:
>
>> Est-ce qu'il y a ici des gens qui savent quelle service utilisent les
>> plateformes de streaming pour déterminer si une IP est utilisée en tant
>> que VPN/Proxy ou a accès à un catalogue ?
>>
>> Depuis la mi-juillet, nous avons identifié au moins deux plateformes
>> (Netflix et FranceTV) qui interdisent l'accès à des IPs dans un subnet
>> chez nous (185.123.87.0/24) et je ne parviens pas à en connaître la
>> raison exacte.
>>
>> RIPE DB propre (obviously) et Maxmind nous situe bien en France. J'avoue
>> que je ne vois pas trop quoi d'autre modifier pour qu'ils remettent le
>> sub dans la bonne catégorie.
> Il y a plein de bases différentes et les content providers sont plutôt
> discrets pour te dire quelle base ils utilisent. Il y a quelques indices
> sur comment faire corriger la base de chaque provider ici (plutôt
> orienté US) :
>
> https://thebrotherswisp.com/index.php/geo-and-vpn/

Cette page est une sacré mine d'infos !

Je constate par exemple que ipinfo.io rajoute 'vpn: true' à toutes les
IPs dans le range qui m’intéresse. Plus qu'à trouver comment corriger ça.

Merci !

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Geolocalisation IP sur les plateformes de streaming

2021-08-24 Par sujet Julien Escario
Le 24/08/2021 à 11:51, Vincent Habchi a écrit :
>> Les IPs de OVH et Scaleway sont blacklistés aussi ; par exemple.
> Oui, j’avais oublié ça.
>
> Il faut dire qu’il est facile de louer un serveur pour quelques euros par 
> mois et installer un VPN genre strongswan dessus.
>
> V.

Ce que je ne comprends pas dans tout ça, c'est pourquoi est-ce qu'ils ne
se basent pas sur l'adresse de facturation du compte, en tout cas pour
Netflix : un compte est dans un pays et il a accès au catalogue, peu
importe d'où il se connecte.

Au lieu de ça, ils se font chier avec des pseudos listes d'IP par pays +
un système de réputation.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Geolocalisation IP sur les plateformes de streaming

2021-08-24 Par sujet Julien Escario
Le 24/08/2021 à 13:29, Olivier FONTÈS a écrit :
> Nous avons rencontré ce soucis de black list avec les connexions
> occitanet il y a un peu plus de deux ans. 
>
> Nous avons contacté le support de netflix en utilisant un des comptes de
> nos clients et ils ont retiré notre /22 ipv4 et notre /29 ipv6 de leur
> blacklist en 48 h. 
>
> Si ça peut aider j'ai ptet encore le mail du support tech.

Merci, j'ai tenté la procédure ce matin, on va voir si ils retirent tout
le /24 ou juste l'IP.

J'attends de voir le résultat mais en dernier recours, je prends
volontiers l'adresse d'un tech ou service en off pour plus d'efficacité
(et éviter la batterie de questions sans aucun rapport avec le problème).

Julien




OpenPGP_signature
Description: OpenPGP digital signature


[FRnOG] [TECH] Geolocalisation IP sur les plateformes de streaming

2021-08-24 Par sujet Julien Escario
Bonjour la liste,

Est-ce qu'il y a ici des gens qui savent quelle service utilisent les
plateformes de streaming pour déterminer si une IP est utilisée en tant
que VPN/Proxy ou a accès à un catalogue ?

Depuis la mi-juillet, nous avons identifié au moins deux plateformes
(Netflix et FranceTV) qui interdisent l'accès à des IPs dans un subnet
chez nous (185.123.87.0/24) et je ne parviens pas à en connaître la
raison exacte.

RIPE DB propre (obviously) et Maxmind nous situe bien en France. J'avoue
que je ne vois pas trop quoi d'autre modifier pour qu'ils remettent le
sub dans la bonne catégorie.

Rien de bien dramatique mais je commence à avoir 2/3 retours clients et
ce n'est pas agréable.

Merci pour vos lumières,

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] [BGP] [Cisco]

2021-07-12 Par sujet Julien Escario
Le 12/07/2021 à 20:25, David Ponzone a écrit :
> Mikrotik!

C'est faux : c'est supporté depuis belle lurette. Suffit de mettre l'IP
sans subnet comme IP et l'autre comme network.

La langue, la bouche, 7 fois, toussa.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Le prix des adresses IPv4

2021-06-29 Par sujet Julien Escario
Le 28/06/2021 à 18:49, Vincent Habchi a écrit :
> Hey,
>
>> Oh certainement pas l'état Américain ni l'ONU. L'ICANN serait probablement 
>> le choix le plus répandu, mais ne fait pas l’unanimité.
> Quels sont les autres ?
>
> Merci pour le point historique !
>
> Mais cette histoire de non-propriété est un peu problématique. 
Pas du tout en fait ;-) C'est très occidental de considérer que chaque
chose doit avoir un propriétaire.
> Qu’arriverait-il si quelqu’un se mettait à publier une route pour un segment 
> (disons, pour faire moins conflictuel, non attribué) sans l’autorisation du 
> régional correspondant, ou de l’ICANN ? Et défendait son bout de gras en 
> disant que, puisque les adresses sont, pour ainsi dire, res nullius, rien ne 
> l’empêche de s’en attribuer un morceau ?

Il faut faire un peu d'histoire là : Internet, c'est la bazar (dans le
sens 'la cathédrale et le bazar'). C'est un projet communautaire qui a
fonctionné. A posteriori, un certain nombre de choses se sont mises en
place politiquement : les RIRs, ICANN et une certaine reconnaissance par
l'ONU.

Mais dans les faits, ce n'est pas un législation qui dicte le
fonctionnement d'Internet : ce sont des communautés, ici regroupées sous
l'appellation RIPE et au niveau mondial sous les termes ICANN/IANA/IETF
pour les différents niveaux.

Tout ça est organisé selon un modèle documenté et tend à converger vers
un modèle, jusqu'au prochain retournement de table.

Si tu n'adhères pas aux règles de la communauté, tu dégages.

Pour n'importe quel juge, même à la CPI, c'est forcément hors-périmètre
d'intervention et il devrait se déclarer incompétent sur la question.

A ma connaissance, il n'existe aucune cours de justice ayant un mandat à
portée mondiale et reconnue par l'ensemble des états.

Bref, tout ça est fragile et stable à la fois. Ca semble un bon modèle
de coopération internationale même si il est complexe à comprendre. Il
fallait bien quelques geeks pour l'inventer ;-)

Le gros point de vulnérabilité de tout ça reste les intérêts financiers
qui n'existaient pas au départ et avec lesquels il faut maintenant
composer. Michel t'en dira plus à ce sujet.

Julien

P.S. : il me manque encore beaucoup d'éléments de compréhension et il
est probable que je me fasse étriller par les spécialistes sur les
raccourcis utilisés dans ce mail




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Re: Donne baie informatique

2021-06-24 Par sujet Julien Escario
Laisse moi deviner : Cécile vient chercher la baie en métro ?

Le 24/06/2021 à 15:38, Mickael Hubert a écrit :
> Ça a été rapide, j'ai trouvé preneur ;)
> ++
>
> Le jeu. 24 juin 2021 à 15:10, Mickael Hubert  a écrit :
>
>> Bonjour à tous,
>> ma société déménage et donne une bien jolie baie info 42U, 19 pouces. Elle
>> est neuve, voici les photos: https://photos.app.goo.gl/68eDdSjv9Qiut3i96
>>
>> A venir chercher obligatoirement avant lundi 28 midi, dans le 8ème.
>> (Adresse précise fournie au premier qui ira la chercher ;) )
>>
>> Bonne journée
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Jerikan : un système de gestion de configuration pour les équipes réseau

2021-05-25 Par sujet Julien Escario
Voilà qui est fort sympathique, merci !

Du coup, je rebondis non pas sur un mais sur deux threads récents :

* Est-ce que c'est du SDN ? (spoiler : je dirais oui, totalement)

* OVHCloud cherche du monde pour son NOC ;-)

Julien

Le 25/05/2021 à 14:57, Vincent Bernat a écrit :
> Hello !
>
> Nous avons publié (nous = l'équipe réseau de Blade/Shadow) notre outil
> interne de gestion de configuration orienté réseau. Cela comprend un
> soft qui génère des fichiers de configuration à partir d'une source de
> vérité et de templates, d'un playbook Ansible mais aussi de la
> configuration quasi-complète de nos datacenters de San Francisco et de
> Corée du Sud. Cela couvre la partie datacenter mais aussi la partie
> edge.
>
> https://vincent.bernat.ch/fr/blog/2021-reseau-jerikan-ansible
>
> Il me semble que c'est assez peu fréquent de trouver ce genre de choses
> et cela peut donc intéresser ceux qui se demandent comment configurer un
> routeur pour du transit et du peering (Junos ou IOS XR) ou comment faire
> le provisioning des switchs en datacenter.
>
> Nous publions ceci "tel quel" car notre société a été rachetée et
> l'infrastructure va être migrée chez OVHcloud. Les deux DC en question
> sont déjà éteints. Du coup, c'est une bonne occasion de pouvoir publier
> des vraies configurations qui ont tourné pour de vrai en production.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Petite question Postfix

2021-05-21 Par sujet Julien Escario
Je sais bien qu'on est vendredi après-midi mais ta demande est quand
même sacrément confuse ...

Si tu veux une réponse, soit clair et précis. Encore plus sur cette
liste que sur beaucoup d'autres, ce sera apprécié et tu maximises ta
chance de réponse pertinente et donc utile.

En bref, soit tech.

Julien

Le 21/05/2021 à 16:16, Vincent Habchi a écrit :
> Ah, non, ce n’était pas ma question en fait. Petit imbroglio.
>
> Je repends :
>
> Christophe Baegert m’avait répondu par mail perso à mon premier message 
> quelque chose du genre : « dis toujours ce qui te chiffonne ». je lui ai donc 
> envoyé un mail avec mon souci, mail qui m’est revenu en pleine face avec 
> l’erreur de RDNS. Comme je ne pouvais pas lui faire part de cette erreur par 
> mail direct (lol), je l’ai postée sur la liste pour qu’il soit prévenu ! :)
>
> V.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IPv4 publique

2021-05-18 Par sujet Julien Escario
Le 18/05/2021 à 12:22, Hugo SIMANCAS a écrit :
> Bonjour,
>
> Mais si tu as déjà un /24 tu ne peux pas en avoir un second ...
>
> Hugo

Euh, si, en ouvrant un autre LIR ... C'était déjà possible avant la mise
en place de la waiting list mais pour des /22. A ce niveau, rien de
change, sauf l'allocation maximale.

Je sais, de source sûre, que certains membres de la liste ouvrent des
LIR à tout de bras. Le passage à un /24 a certes réduit l'intérêt de la
chose. C'est tout de même un peu de taf administratif (compter une
journée pour la première ouverte, 1/2 journée ensuite voir deux heures
quand on est habitué).

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IPv4 publique

2021-05-18 Par sujet Julien Escario
Bonjour,

Le 18/05/2021 à 11:14, Johnnathan CHAN a écrit :
> Salut à tous,
>
> Je suis à la recherche d'adresse IPv4. Même si elle commence à se faire
> rare à cause de quelques entités qui gardent un grand nombre d'ip qui n'ont
> pas besoin...
>
> N'hésitez pas à me mp, si vous souhaitez les vendre ! :)

Cela fait plusieurs fois que je vois passer ce genre de demandes sur la
liste.

En plein RIPE meeting, je me demande ce qui pousse à passer par un
broker pour obtenir des IPs, en tout cas pour des /24.

La waiting list du RIPE actuelle est à zéro jour, ce qui signifie qu'en
ouvrant simplement un LIR, vous êtes garantis d'obtenir un /24 en
quelques jours (disons ~15). Sans compter le /29 v6 en bonus.

https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-waiting-list

Est-ce qu'un /24 acheté reviendra moins cher qu'un /24 attribué ?

A vos trolls, vous avez 4 heures,

Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Panne SIP Free (Free et Centile)

2021-04-22 Par sujet Julien Escario
Le 22/04/2021 à 11:48, Emmanuel DECAEN a écrit :
> Le 22/04/2021 à 11:18, Raphael Mazelier a écrit :
>>
>> Le SIP over internet, over un truc qui fait du bricolage nat comme le
>> cgnat free, bon courage en effet. C'est bien pour cela que les
>> entreprises de Centrex fournissait l'accès internet ou exigeait un
>> accès vraiment neutre (ou mettais en place un VPN). 


Je ne suis pas un grand habitué du SIP/RTP mais par curiosité, pour
définir un peu mieux le problème : est-ce que le serveur Centile 'porte'
l'IP publique lui même ou est-ce qu'il est derrière une sorte de
reverse-nat ?

Et est-ce que vous avec un STUN ou TURN défini dans le provisionning ?
Ca pourrait peut être aider pour le nat-traversal ?

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-22 Par sujet Julien Escario
Le 22/04/2021 à 09:52, David Ponzone a écrit :
>> Donc, il faut bien se faire à l'idée, déjà bien implantée, qu'on ne gagne 
>> plus d'argent sur la revente de matériels ou de services tiers, mais que 
>> l'on ne peut s'en tirer qu'en vendant notre propre valeur ajoutée derrière…
>
> Après, ça donne une leçon à certains acteurs de la distribution qui depuis 
> quelques années sont devenus des revendeurs à flux tendu plutôt que des 
> grossistes. Jamais de stock, forte dépendance envers le constructeur ou les 
> problèmes d’acheminement. Effectivement au final, autant acheter au 
> constructeur.

Ce constat se fait sur à peu près tout en informatique. Un constructeur,
passé une taille critique assez basse finalement, n'a pas beaucoup de
mal à monter une chaîne logistique vers le client final. Le site
ecommerce, c'est quasiment une commodité maintenant et ensuite c'est
surtout de la logistique, beaucoup de gens savent faire ça très bien.

On est en train d'assister à la disparition des 'grossistes'. Prédiction
: dans 10 ans, ce métier n'existe plus.

Etape 1 : Ils se sont eux mêmes tiré une balle dans le pied en sautant
sur la revente de logiciels en SaaS qui ne coûte rien et en délaissant
leur métier historique : acheter de gros volumes, stocker et dispatcher
ensuite. Le stock, ca coûte de l'argent et avec 4% de marge brute sur le
matos, ca n'interresse personne.

Etape 2 : Les éditeurs leur passe au dessus de la tête en vendant les
renouvellements en direct puisqu'ils ont les coordonnées du client,
pourquoi s'en priver.

Etape 3 : Les grossistes ne savent plus faire de logistique, n'ont plus
de stock.

Etape finale : une petite crise sur la pénurie de semi-conducteurs et le
métier peut tranquillement mourir.

C'est fou comme on ne le redira jamais assez : pas de valeur ajoutée
(ressentie par le client), pas de business.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-21 Par sujet Julien Escario
Le 20/04/2021 à 18:27, David Ponzone a écrit :
> De toute façon, qui a besoin de 1Gbps de BP en wifi….

Au hasard : les mêmes qui ont besoin de plus de 640ko de mémoire vive ?
(désolé, elle était trop tentante)

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-21 Par sujet Julien Escario
Le 20/04/2021 à 22:45, merwan.lis...@gmail.com a écrit :
> Hello,
> On utilise uniquement du Unifi chez nos clients. Selon ta surface à couvrir 
> il faudra prévoir +/- d’AP, mais les UAC-AP-PRO fonctionnent très très bien 
> et couvent une sacrée distance. 
> A partir du moment où tu commence à mettre du Unifi, tu es piqué et tu 
> remplace ton réseau petit à petit avec leurs matos 

Moui, c'est vrai que c'est vraiment pas dégueu avec un contrôleur.

Par contre, leur politique d'EoL illisible ne simplifie pas vraiment les
choses. En gros, un matin, en mettant à jour, on t'annonce que dans 12
mois, toute une génération d'AP va passer EoL.

Perso, remplacer un AP qui fonctionne parfaitement parce qu'il ne fait
pas la dernière techno à la mode, ca me fait quand même bien chier, sans
compter qu'il faut l'annoncer au client.

Et quand tu achètes de l'Unifi, c'est en grande partie pour le
contrôleur, donc évitez les arguments du type : "mais ta borne
fonctionnera encore, c'est juste qu'elle ne sera plus supportée par le
contrôleur".

Oui, ça m'a bien gavé récemment...

Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] OVH + openstack SBG3 en carton ?

2021-04-16 Par sujet Julien Escario
Le 16/04/2021 à 18:18, x.r...@sipleo.com a écrit :
> Donc oui, OVH ça énerve un peu, beaucoup mais n'empêche qu'ils ne mentent pas 
> trop sur la marchandise non plus, non ?
> Et a un certain prix tu sais forcément ce que tu achètes ou pas lol

Ca fait 2/3 fois que je lis cet argument (rien à dire sur le reste) :
"c'est pas cher donc fallait comprendre que tu n'avais aucune garantie".

Ce que trouve fallacieux dans cet argument, c'est que le discours d'OVH
c'est justement : on fait de supers trucs, super garanties (qui se
souvient du SLA à 100%) à des prix défiants toute concurrence.

En partant de ce postulat, comment envoyer chier tous ces gens (allant
du mec dans un garage au DSI de grosse structure) qui se sont dit banco ?

Et navré de vous l'apprendre mais dans notre industrie, le même truc
peut sans problème prendre un /10 en tarif sans la moindre justification
en terme de SLA. Juste avec quelques bonnes idées, de la mutualisation
intelligente, etc ...

Après, sur la première proposition consistant à prendre des baies, des
serveurs, des liens et en faire un truc homogène avec du SLA 'à la papa'
(comprendre qu'on ne promet par la lune mais qu'on fait le maximum pour
l'atteindre), j'ai quand même bon espoir qu'on soit quelques-uns sur
cette liste à avoir fait ce choix. Je ne doute pas d'ailleurs que
Vincent croule sous les propales à cette heure.

Il faut aussi intégrer qu'en 10 ans, le SLA minimal 'acceptable' sur une
infra IT est quand même passé de 2 jours à 2 heures.

Allé, bon week-end (avec les chevaliers du Fiel)

Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?

2021-04-13 Par sujet Julien Escario

Le 13/04/2021 à 13:33, Will van Gulik a écrit :
> Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support
> u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs 
> derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, 
> j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer 
> tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes
> mignonnes) .
>
> Un avis ? (Spoiler : je ne suis pas très familier avec ssh-agent, etc) . 
>
> Will

Salut Will,

On est plus à une question bête près, hein.

J'aurais tendance à dire que oui tant que tu ne cherches pas à faire de
l'agent-forwarding (c'est à dire que ton client SSH sur le bastion a la
capacité de se connecter à l'agent sur ton poste au travers de la
session que tu as avec le bastion, c'est assez dangereux quand tu ne
maîtrises pas le serveur intermédiaire). Note : gpg-agent ne semble pas
supporter l'agent-forwarding (ou j'ai loupé un truc).

Dans ce cas, tu as bien du 2FA entre ton poste et le bastion mais plus
entre le bastion et les hôtes finaux/finals.

Je n'ai jamais joué avec les bastions, préférant me concentrer sur les
clés et le 2FA mais j'imagine que l'idée c'est que tu te connectes à une
machine qui stocke les clés utilisées pour se connecter sur les autres
serveurs ? (en verrouillant l'IP source de connexion à celle du bastion
uniquement).

Ceci dit, si c'est le cas, si ton bastion se fait pourrir, l'ensemble de
ton processus sécu est pawned non ?

Et Mikrotik, avec leur R soft de bulot, ne supporte toujours pas ni
les autorités SSH, ni les clés ECC (nist p384, ed25519). C'est moche
mais ils l'ont promis pour Ros7 (avec l'auto-génération d'éléphants roses).

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?

2021-04-13 Par sujet Julien Escario

Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> Bonjour à tous,
> Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
> connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
> ..) et chaque profil n'a accès qu'à ce qu'il a besoin.
> Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à
> valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH
> justement.
> [...]
> Peut-être du 2FA en hard (avec une clé)...

Alors, écoute, clairement, un yubikey en guise de 2FA, ca fonctionne
vraiment très bien. Nous n'avons pas de bastion ici encore mais toutes
les sessions SSH sont basées sur clé SSH privée exportée depuis
l'identité GnuPG de la yubikey (gpg-agent) + certificat SSH pour éviter
de devoir gérer une liste de clé SSH (le bastion rempli déjà ce rôle du
coup).

Si toutes tes machines sont parfaitement à jour, tu peux aussi partir
sur ed25519_sk. Je n'ai pas beaucoup jouer avec parce que OpenSSH 8+
obligatoire et honnêtement, on en est pas encore là. Ca évite de se
coller la partie GnuPG qui est assez mal documentée et même parfois
bugguée (spoiler : ne faites pas de ed25519 avec GnuPG).

J'ai écrit un bout d'exemple de conf rapide pour le support Yubikey à
l'époque, c'est toujours en ligne :
https://gitlab.altinea.fr/altinea/install-scripts/src/branch/master/ssh/yubibug.md

Attention, je ne garantis pas que ça va rester encore des mois en ligne ça.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] La "backdoor" de Chrome

2021-04-08 Par sujet Julien Escario
Le 08/04/2021 à 16:48, Michel Py via frnog a écrit :
>> l...@51514.fr a écrit :
>> Pour les bons, il y aura toujours curl.
> Et ça sert à quoi ? pour configurer un machin sans certificat ?

Ca sert à tout curl : il y a deux jours, j'ai diagnostiqué un soucis de
certificat LDAPS sur un service avec (voir la liste des protocoles
supportés par curl).

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Résolution DNS étrangement partielle

2021-03-24 Par sujet Julien Escario
Le 23/03/2021 à 18:21, David Ponzone a écrit :
>
> Ah ça, le DNS qui répond qu’aux requêtes A, j’avais jamais vu….
> Keyyo semble subir l’effet On-a-été-racheté-par-Bouygues-On-se-tire.
> D’autres ont connu/connaissent le même sort en ce moment.
>
> Julien, si tu fais un reverse sur l’IP, tu
> trouves prx13.sip.phonesystems.net
> , tu peux ptet utiliser ça ? :

J'avais vu ça oui mais si l'idée est bonne, ce n'est pas comme si
j'avais la main sur le template de provisionning des téléphones ...

Merci pour vos analyses (encore un bigup à Bortz). Le plus triste dans
l'histoire c'est que ça va se finir avec soit un résolveur publique (un
quadX), soit avec une entrée statique dans le resolveur local.

Ce qui est, dans un cas comme dans l'autre, une mauvaise pratique mais
hors de question que je dégrade la qualité de mes résolveurs en
supprimant le qname-min.

La prochaine fois, on va me demander de virer la validation DNSSEC.

Bonne journée,

Julien




OpenPGP_signature
Description: OpenPGP digital signature


[FRnOG] [TECH] Résolution DNS étrangement partielle

2021-03-23 Par sujet Julien Escario
Bonjour,

Aujourd'hui, je tombe sur un problème chez un client qui utilise de la
VoIP Keyyo.

Après un peu de debug, on se rend compte que la résolution de
7472.lb.keyyo.net ne fonctionne pas sur nos résolveurs (SERVAIL).

Et j'avoue avoir un peu de mal à comprendre si c'est chez nous ou chez
eux. J'ai tenté Atlas mais je dois mal l'utiliser.

Ca : https://www.whatsmydns.net/#NS/lb.keyyo.net m'en dit déjà un peu plus.

Si je résume : DNS Chez Gandi, délégation de la zone vers
|lb-ns[1..4].keyyo.net|

|Rien de choquant si ce n'est que la délégation n'a pas l'air de passer
partout.|

|Ca peut être beaucoup de choses, y compris une sorte de GSLB qui
filterait par country-code par exemple.|

|J'ai tout de même ceci : https://atlas.ripe.net/measurements/29354619/.
On y voit quelques SERVFAIL mais des masses.|

|Une idée du test probant que je pourrais réaliser ?
|

|Merci !|

|Julien
|



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] OVH : SBG-2 en feu

2021-03-18 Par sujet Julien Escario
Le 18/03/2021 à 10:30, Stéphane Rivière a écrit :
>> Un NAS-HA, forcément, c’est sur un site, faut pas rêver. 
> C'est intéressant ce que tu dis. Je le croyais aussi.
>
> Avec la techno qu'on développe en interne (qui n'est que la synthèse des
> possibilités réunies de xen linux lvm drbd avec de la glue logique pour
> résumer), on fait aujourd'hui 'NAS de pauvre' entre GRA et RBX (2ms
> entre, avec des serveurs NVMe qui poutrent et lien stable à 2Gbps).
>
> Bon, c'est pas du CEPH, hein, c'est un truc de pauvre. Mais qui marche.
>
> Voire même en triplette entre GRA RBX SBG (latence max 13ms) et sur SBG
> un serv avec disques mécas 8To raid 10 (pour des trucs moins sensibles à
> la perf mais triplement redondés). Et on triche pas coté vitesse puisque
> l'acquittement vient après l'écriture sur le disque pour privilégier la
> sûreté.

Ah, un peu de tech ! ;-)

Alors, même avec Ceph, y'a pas mal de possibilités avec rbd-mirror qui
fonctionne de manière asynchrone. Avec ça, la latence, tu t'en fous, il
faut juste que le lien puisse engranger le débit de tes écritures. Et ça
marche en 'two-way'.

Je n'ai pas encore testé mais en Octopus, tu peux aussi faire du mode
snapshot, qui revient, peu ou prou avec un ZFS send/receive (si j'ai
bien compris).

En version 'du pauvre', il est tout à fait possible de faire tourner un
cluster Ceph avec ... un seul nœud (un étant un nombre impair) +
rbd-mirror. Même avec un seul OSD pour avoir la couche CephFS, RBD,
export NFS, exporter prometheus et tout le reste du stack.

Tout ça implique 2/3 manips au moment du PRA (changement de sens de
synchro, passage en primaire, etc ...). Chez nous, on a choisit de
documenter ça plutôt que de faire de l'automatique mais chacun ces
préférences et son engagement de service.

Mais même avec une des deux solutions ci-dessus, on peut trouver des
use-cases où un delta de 30s voire de 13ms n'est pas acceptable.

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] OVH : SBG-2 en feu

2021-03-18 Par sujet Julien Escario
Le 18/03/2021 à 10:01, Philippe ASTIER a écrit :
> La haute-disponibilité entre sites, c’est hors de prix et contraignant, parce 
> que la bande passante et la latence sont durs à gérer, même avec les débits 
> d’aujourd’hui.
> Un NAS-HA, forcément, c’est sur un site, faut pas rêver. 
>
> Bref. Un bâtiment, ça se détruit, la preuve. 
> Donc ton NAS-HA il était destructible. Tout le monde l’oublie, certes, mais 
> il fallait le documenter et comprendre si c’était un souci ou pas.

Tu te confrontes à tes propres contradictions : c'est aux prestas de
prévoir les backups hors-site mais quand OVH te dit qu'il s'en occupe,
tout d'un coup ça devient 'compliqué' ? Avec un réseau en propre ?

Au risque de te vexer à nouveau (sans que ce soit le but), c'est ma
définition de fan-boy, mais on peut ergoter longtemps juste sur ce point.

Mon client n'attendait pas de la haute dispo sur une catastrophe
pareille mais un backup restaurable, même à J+7, il aurait trouvé ça
plutôt normal. TL;DR : le backup est spécifié dans le service NAS-HA.
Après, ce que c'est exactement, on en sait pas et c'est justement là
qu'on a fauté pour notre part.

On essaie toutefois de rester humbles et compatissants parce qu'un jour,
ça va nous arriver.

>> 99,99% d'uptime garanti, pour du site vitrine, ça semblait bien coller,
>> on s'est laissés avoir, on a pas creusé davantage et on a commencé à
>> migrer à marche forcée les trucs qui étaient vraiment en danger.
> 99,99% = 3,65 jours de downtime par an, ça commence déjà à faire beaucoup.
Tu connais les contraintes de dispo de mon client et ce qu'il a lui-même
vendu à ses clients ?
>> Avec tout le respect que j'ai pour Octave et ce qu'il a accompli ces 20
>> dernières années, quand on démarre une boite dans un esprit low-cost, il
>> est très difficile d'en sortir (cf le peering Free, par exemple), n'en
>> déplaise aux fan-boys.
> Tu es allé chez OVH pour le côté low-cost, difficile de s’en offusquer après. 
Je n'ai pas dû être clair, désolé : j'étais en train de SORTIR un
client, ce ne sont pas des choix que j'ai fait mais que je dois assumer
quand même, c'est la vie ;-)

Julien




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] OVH : SBG-2 en feu

2021-03-18 Par sujet Julien Escario
Bonjour,

Je vous lis depuis quelques jours en train de vous étriper sur la place
du curseur de responsabilité d'OVH.

Honnêtement, je pense qu'il faut que vous sortiez des facteurs
techniques et que l'on accepte collectivement que c'est le marketing qui
est la cause principale d'une perte de données.

Exemple : j'ai un client qui était en cours de migration sur une infra
qu'on lui a monté chez nous : pas de bol, ce qui tournait bien, n'avait
pas de soucis de perf ou de problème immédiat de redondance était à
SBG2. des machines physiques avec une grosse partie du stockage en
NAS-HA. Pourquoi on est passés à côté ? Parce que le service NAS-HA, il
est vendu sur la page comme quasi-indestructible avec des SLA de malade
en dispo, du backup, etc ...

99,99% d'uptime garanti, pour du site vitrine, ça semblait bien coller,
on s'est laissés avoir, on a pas creusé davantage et on a commencé à
migrer à marche forcée les trucs qui étaient vraiment en danger.

Si on avait pu parler à un tech OVH d'un level suffisant, il nous aurait
probablement expliqué où était le risque (et il est probable qu'on
l'aurait mis de côté vu ce qu'il y avait par ailleurs) mais voilà, c'est
du low-cost et le tech, on y a pas accès parce que le marketing a
verrouillé la communication sur ces questions.

Avec tout le respect que j'ai pour Octave et ce qu'il a accompli ces 20
dernières années, quand on démarre une boite dans un esprit low-cost, il
est très difficile d'en sortir (cf le peering Free, par exemple), n'en
déplaise aux fan-boys.

La chose positive dans tout ça, c'est que depuis, nos clients nous
'challengent' sur leurs PRA/PCA et on découvre plein de trucs qui ne
vont pas ici et là. C'est très instructif.

Julien

Le 18/03/2021 à 09:05, Stéphane Rivière a écrit :
>> Heureusement que tu n’as pas parié en 2017 après le black-out électrique et 
>> la promesse du démantèlement des dc containers. 
> OVH a doublé comme prévu son alim sur SBG, plusieurs M€ d'investissement
> et les conteneurs, ça se déménage en claquant des doigts ? Les permis de
> construire, le pognon, les thunes quoi, facile, j'achète, j'achète :)))
>
> OVH est en train de finaliser SBG5 (physique), certainement pour migrer
> SBG1 et SBG4 et ensuite "faire de la place" pour un SBG6 (physique).
>
> Bon, ça ne va pas assez vite pour toi... Monsieur pressé :)
>
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*




OpenPGP_signature
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Subnet ip publique sur LAN

2021-03-16 Par sujet Julien Escario
Alors, pour la blague, dans le coin, on passe derrière une boite (qui a
fait faillite) qui adorait numéroter avec des subnets exotiques, comme
si ils avaient lu la RFC1918 de haut en bas mais pas de droite à gauche.

On a plein de 192.10.0.0/24, des 172.168.0.0/24.

On a même une grosse boite nationale, gérée en fédération de fédérations
qui a fait monter un réseau MPLS national et qui route dedans les subs
192.174.0.0/24 et suivants.

Ca donne une jolie table de routage en sortie du LAN :

192.178.253.0/24
192.178.254.0/24

etc. Avec des /28 au milieu sinon c'était trop simple.

Bref, les techs de base ont une fâcheuse tendance à s’asseoir sur
RFC1918 et suivants. J'ai même dû couper des doigts à des petits
nouveaux en interne.

Ah, et pour info, tous les profs de BTS info ici enseignent l'adressage
par classe. Je trimballe un document tout prêt expliquant l'état de
l'art quand je vais en RDV de suivi de mes alternants.

Sinon, vous en êtes où du déploiement IPv6, RPKI et DNSSEC/DANE ?

Julien

Le 16/03/2021 à 14:42, Jerome SCHEVINGT a écrit :
>
> Bonjour,
>
> Cela m'est arrivé plusieurs fois chez des clients sans trop de soucis.
>
> Notamment parce qu'a une époque, il y avait dans les docs IBM des
> exemples
> avec des IP de leur plage, et les premiers admin réseau en herbe
> voyaient sur la doc tel plage
> et bin ils mettaient la même sur leur réseau 
>
> a+
> Jérôme
>
> Le 16/03/2021 à 11:16, Richard MATOS a écrit :
>> Salut la liste,
>>
>> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
>> est-ce que certains parmi vous ont rencontré ce cas de figure ?
>> Si oui quelle solution avez-vous implémenté?
>>
>> Merci
>>
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Passerelle de filtrage de mails à base d'IA ?

2021-03-02 Par sujet Julien Escario
Le 03/03/2021 à 08:42, Mickael Monsieur a écrit :
> Proxmox Mail Gateway. Toutes des briques open source connues avec un GUI open 
> source et un support entreprise possible. 
>
> Utilisation depuis très longtemps, très satisfait.
>
> J’ai longtemps maintenu des vm avec postfix, mailwatch/mailscanner, s-a, 
> amavis/clamav, etc, pour 10x plus de travail et un résultat moindre. 

On est également en cours de test là dessus pour se tirer de chez
SpamExperts qui a rendu de bons services mais s'est violemment dégradé
depuis la rachat par ... SolarWinds.

Il y a quelques trucs qui m'ont déjà gêné quand même et j'ai dû
surcharger un template pour que le postfix gère le TLS proprement (aka
sans TLS1.0). Un petit menu permettant de configurer les versions et les
ciphers de TLS ne serait pas du luxe.

Mais mon expérience avec PVE (Proxmox Virtual Environnement) montre
qu'avec un abonnement (quasiment obligatoire pour une offre à
destination de clients finaux), on arrive à leur faire ajouter les
fonctionnalités qui manquent.

On peut même proposer ces propres patchs parce que ça reste de
l'open-source à la base : https://git.proxmox.com/

PMG, c'est juste une interface propre pour manager la stack
Postfix/Clamav/SpamAssassin/WhatElse au final mais le reporting est
plutôt sympa.

Pour revenir à la question initiale : est-ce qu'un filtre Bayésien,
c'est de l'IA ? Vu ce que l'on vend comme de l'IA, j'aurais tendance à
dire que oui.

Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RIPE & DNSSEC

2021-02-25 Par sujet Julien Escario
Le 25/02/2021 à 09:00, Julien Escario a écrit :
> Bonjour,
>
> Ayant un ARC ce matin avec le RIPE, j'avais envie de faire bonne
> impression en commençant à signer mes rDNS avec DNSSEC.
>
> J'ai donc activé DNSSEC sur la zone dans mes PowerDNS et j'ai créé des
> champs ds-rdata dans mon objet domain.
>
> C'était il y a environ 45 minutes et je n'ai toujours pas de DS records
> dans la zone parente pour le moment.
>
> Si quelqu'un s'est déjà amusé à faire ça, est-ce que c'est juste long à
> remonter ou est-ce que j'ai raté une étape dans le déploiement ?
>
> C'est la zone 212.146.45.in-addr.arpa, au cas où l'invocation d'un Bortz
> fonctionnerait ou que le sujet intéresserait quelqu'un d'autre.

Autant faire l'update de suite : j'avais juste, c'est simplement que ça
a mis environ 3 heures à remonter dans la zone parente.

Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] RIPE & DNSSEC

2021-02-25 Par sujet Julien Escario
Bonjour,

Ayant un ARC ce matin avec le RIPE, j'avais envie de faire bonne
impression en commençant à signer mes rDNS avec DNSSEC.

J'ai donc activé DNSSEC sur la zone dans mes PowerDNS et j'ai créé des
champs ds-rdata dans mon objet domain.

C'était il y a environ 45 minutes et je n'ai toujours pas de DS records
dans la zone parente pour le moment.

Si quelqu'un s'est déjà amusé à faire ça, est-ce que c'est juste long à
remonter ou est-ce que j'ai raté une étape dans le déploiement ?

C'est la zone 212.146.45.in-addr.arpa, au cas où l'invocation d'un Bortz
fonctionnerait ou que le sujet intéresserait quelqu'un d'autre.

Merci !

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] blacklist by orange business (only)

2021-02-19 Par sujet Julien Escario
Le 18/02/2021 à 20:56, Simon Bressier a écrit :
> alors là par contre je ne comprends pas pour l'instant pour les user
> unknown, je crée les adresses à la volée en db lors de la visite sur
> la home page et les user unknown que vous reportez ne sont en effet
> pas du tout créés en db, vous utilisez un navigateur particulier, des
> extensions qui flinguent les sessions ?
> Je vais creuser dans les jours qui viennent.

Pas forcément grand chose d'exotique : Firefox 85 en mode protection
stricte. Ublock Origin ou pas ne change rien.

Ca passe nickel sur le Brave (base Chromium) que j'ai à côté sur la même
machine (une Mint).

Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] blacklist by orange business (only)

2021-02-18 Par sujet Julien Escario
Je plussoie sur le prometteur mais je ne suis même allé aussi loin :

This is the mail system at host scanmy.email.
[...]
: User unknown

Ce n'était peut être pas la bonne liste sur laquelle faire de la pub, on va te 
trouver tous les bugs du truc ;-)

Bon courage,
Julien

Le 18/02/2021 à 19:10, David Ponzone a écrit :
> C’est joli et prometteur, mais ça marche pas (404 not found au bout de 15% 
> d’analyse) :)
>
>
>> Le 18 févr. 2021 à 19:02, Simon Bressier  a écrit :
>>
>> Au cazou ça aide quelques-uns ici, j’ai dev il y a quelques mois le service
>> https://scanmy.email pour de l’analyse de setup email et reputation de
>> contenu
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Audit réseau (pat ou port mirroring)

2021-02-17 Par sujet Julien Escario
Le 17/02/2021 à 12:06, David Ponzone a écrit :
> Un PI, ça le ferait pas ?
>
Ca existe un raspi avec deux cartes réseau ?

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Outils pour surveillance ping

2021-02-16 Par sujet Julien Escario
Bonjour,

Je suis aussi intéressé par une piste vers un truc simple. Ca semble
trivial mais rarement prévu 'out of the box' dans les outils de supervision.

Pour le moment, je me contente de :

mtr-o "LSDR NBAW JMXI" -z -b -t -4 

Mais je n'ai pas de joli graph en fonction du temps avec ça, juste des
stats détaillées sur la période.

On pourrait prévoir un machin complexe en shell qui récupère simplement
la sortie d'un ping et place des points sur un graph (latence et loss ou
pas).

Merci,
Julien

Le 16/02/2021 à 09:29, Lucas Viallon a écrit :
> Bonjour,
>
> Comme tous le monde, nous devons de temps en temps placer une liaison en
> surveillence car nos clients on des "micro coupures".
>
> Le genre de micro coupure que quand vous testez vous ne voyez rien car il
> faut le faire sur 24 a 48h.
>
> Jusqu'ici on lance un ping sur une machine et on regarde 24h plus tard
> combien on a perdu de ping. Pas tres fiable et pratique.
>
> Notre supervision Centreon fait un test de quelques pings toutes les 5mn
> donc on ne peut pas voir.
>
> Quelqu'un sait si il y a un outils opensource style une interface web, on
> indique l'ip a surveiller, cela lance un ping permanent (ou qui ce
> renouvelle toutes les x minutes sans periode de blanc)  et ou l'on peut
> retrouver dans l'interface un mini compte rendu  ?
>
> merci
>
> -------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Problème Free xDSL pour joindre des services en Suisse

2021-02-15 Par sujet Julien Escario
Ah, oui, ca pique. Comme tu l'as dis, c'est de l'ICMP mais à ce stade de
loss, c'est probablement révélateur d'un vrai problème.

Prochaine étape du debug : des traceroute dans les deux sens pour voir
si il y des points communs/différences entre les chemins et voir si tu
as une asymétrie.

Tu parles de ton FAI : ça signifie que tu n'as pas la main sur ton
routage ? Si oui, il est clairement la clé de l'équation:  normalement,
c'est lui qui est à même de te guider voire de résoudre le problème.
Sans compter qu'il va avoir d'autres clients touchés (enfin, c'est une
affirmation plus litigieuse).

Une chose est sûre : je doute que tu aies beaucoup de retour de la part
des netops de Free ici (mais bon, bouteille à la mer, toussa).

Julien

Le 15/02/2021 à 16:14, greg a écrit :
> Sorry je m’exprime peut être mal. > > Changement de transitaire du côté de 
> notre FAI. > > Les clients ont
plus de 75% de packet loss en ICMP. Ok c’est de > l’ICMP. Mais du coup
les services en https ne fonctionnent pas. A > noter qu’hier tout était
au vert, ce matin à partir de 6h, plus de > services. > > Les sondes
Atlas sont quasi ok partout en France. > > Si on essaye de pinger une IP
Free depuis notre réseau : --- > 78.244.247.xx ping statistics --- 3414
packets transmitted, 753 > received, 77% packet loss, time 3427882ms rtt
min/avg/max/mdev = > 45.005/48.712/92.586/7.990 ms > > Un ami en fibre
Free sur Paris et un autre en fibre sur Annecy, ca > passe niquel. En
xDSL sur 74 et 01, KO > > >> On 15 Feb 2021, at 16:04, Julien Escario >>
 wrote: >> >> Je dirais même plus : c'est
quoi "n'arrivent pas à joindre" ? >> >> Le 15/02/2021 à 14:14, greg via
frnog a écrit : >>> Hello, >>> >>> Petite bouteille à la mer mais si
quelqu’un de chez Free pouvait >>> m’aider… >>> >>> Nous avons plusieurs
utilisateurs Free xDSL (pas en fibre) en >>> Haute-Savoie/Ain qui
n’arrivent pas à joindre des services >>> hébergé en Suisse. On a tenté
des bascules de fournisseurs de >>> notre côté mais rien à faire. >>>
>>> Si une âme charitable passe par la… >>> >>> Merci. Greg >>> >>>
--- Liste de diffusion du FRnOG >>>
http://www.frnog.org/ >> -- *Julien Escario* Technicien Informatique >>
>> julien.esca...@altinea.fr Tel direct : 03 74 39 10 21 Support : 09 >>
70 75 44 25 Logo Altinea *Conseils & Infrastructures >> Informatiques*
>> >> Accueil : 03 74 39 10 20 9 Rue du faubourg 39570 Nogna >>
*www.altinea.fr <https://www.altinea.fr>* >> >> >>
--- Liste de diffusion du FRnOG >>
http://www.frnog.org/ >


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Problème Free xDSL pour joindre des services en Suisse

2021-02-15 Par sujet Julien Escario
Je dirais même plus : c'est quoi "n'arrivent pas à joindre" ?

Le 15/02/2021 à 14:14, greg via frnog a écrit :
> Hello,
>
> Petite bouteille à la mer mais si quelqu’un de chez Free pouvait m’aider…
>
> Nous avons plusieurs utilisateurs Free xDSL (pas en fibre) en 
> Haute-Savoie/Ain qui n’arrivent pas à joindre des services hébergé en Suisse. 
> On a tenté des bascules de fournisseurs de notre côté mais rien à faire.
>
> Si une âme charitable passe par la…
>
> Merci.
> Greg
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Google et les IX :)

2020-12-17 Par sujet Julien Escario
Bonjour,

Le 18/12/2020 à 07:21, David Ponzone a écrit :
> Amusant, réponse de Google à une demande de peering:
> 
> "Thank you for requesting Internet Exchange (IX) peering with Google.
>  
> IX Peering requests are currently paused as we improve our automation systems 
> to incorporate Internet Route Registry (IRR) based filtering into all IX BGP 
> sessions.
>  
> During this time Google prefixes remains reachable on route servers at IXes 
> which we are connected to. For a complete list of our global IX presence 
> please visit our PeeringDB entry at https://www.peeringdb.com/asn/15169 
> 
>  
> While we undergo our system improvements we request that you update you IRR 
> entries to ensure your prefixes will be accepted by our filters. »
> 
> Ca fait longtemps qu’ils répondent ça ou c’est depuis l’autre jour ? :)
> 
> David

J'ai dû avoir la même il y a bien 6 mois quand j'ai activé un nouveau
IX. Il y a ~2 ans, c'était passé nickel.
Pas très précis, mais ça borne un peu les choses.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Prise électrique commandée par câble (USB ?) : genre de PDU mono-prise sans réseau

2020-12-07 Par sujet Julien Escario
Le 07/12/2020 à 17:34, Olivier Cochard-Labbé a écrit :
> On Mon, Dec 7, 2020 at 5:05 PM DUVERGIER Claude <
> frnog...@claude.duvergier.fr> wrote:
> 
>> Bonjour,
>>
>> Je recherche un produit (ou un bricolage offrant la même fonctionnalité)
>> pour pouvoir redémarrer électriquement un équipement assez simple
>> (modem/routeur de FAI) à distance : sans avoir à me déplacer sur place.
>>
> J'ai eu le même problème sur un lab avec du matos non IPMI (PC engines APU)
> et ma solution: 44€ le pack des 4 prises intelligentes «Smart Life»:
> https://www.amazon.fr/gp/product/B086C1RJCZ/ref=ppx_yo_dt_b_asin_title_o07_s00
> Il faut du wifi dans le labo, mais ensuite c'est «Alexa, reboot mon
> routeur» :-)
> 
> Olivier

Ah super, vivement les "Alexa, reboote les datacenter de la zone est, on
va tester le PRA". Ca va être magique ...

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Création ADSL problème de boucle locale

2020-12-07 Par sujet Julien Escario
Le 07/12/2020 à 09:20, l...@51514.fr a écrit :
> Bonjour,
> 
> Je dérive du sujet original mais pour la fibre, comment cela va se
> passer en cas de saturation ?
> 
> Est-ce que le déploiement voit très large ? Est-ce facile d'augmenter le
> nombre de livraison sur la boucle locale ? etc ???

A ma connaissance, c'est peu ou prou la même chose : il y a un
dimensionnement du PM (point de concentration ultra-local) et du NRO (où
sont posés les équipements actifs). Si ça a été mal évalué, il faut
changer ou rajouter des éléments de collecte et là, la galère commence.

On commence d'ailleurs à voir apparaître des jarretières coincées dans
les portes entre deux PM côte à côte. Ce n'est probablement pas un hasard.

Il me semble avoir lu des histoires de FO 'volée' par l'opérateur qui
débarque pour livrer son client (enfin, c'est le sous-traitant qui fait,
ça permet de faire traîner les choses dans un ping-pong de responsabilités).

Donc au fur et à mesure que les PM se remplissent, il est probable qu'on
retourne dans le même genre de situation.

Jusqu'à présent, il semblerait que la règle soit : un logement = une
paire mais j'ai aussi lu des annonces qui tendraient à permettre de
faire livrer deux FO dans un même logement en mixant GP et 'PRO'.

Mais les experts de la 'concurrence par les infras' de la liste pourront
probablement être plus précis que moi, notamment sur les différences
ZTD/ZMD.

Bonne journée,
Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Brouilleur téléphones mobiles

2020-12-07 Par sujet Julien Escario
Le 07/12/2020 à 09:04, Michel KOENIG a écrit :
> Bonjour,
> 
> J'ai une demande de brouillage des téléphones mobiles dans une entreprise
> 
> Quelqu'un aurai un produit à me conseiller ?

Oui : ne pas le faire. C'est rigoureusement interdit par la loi à ma
connaissance.

https://www.anfr.fr/fr/controle-des-frequences/brouillages/les-brouilleurs-dondes/quest-ce-quun-brouilleur-radioelectrique/


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Création ADSL problème de boucle locale

2020-12-06 Par sujet Julien Escario
Le 05/12/2020 à 13:17, Daniel via frnog a écrit :
> Bonjour
[...]
> l'abonnement- avec gain de cause à la sortie. Par la suite j'ai appris
> qu'Orange -qui n'était pas mon opérateur- avait récupérer discrètement
> ma ligne Adsl au motif que je possédai 2 liens. No comment.

Tu cherches aussi : deux paires de cuivre dans un résidentiel non
collectif ? Holàlà, mon bon monsieur, vous avez vu le cours du cuivre ?

Pour compléter j'ai eu le cas récemment : MED dans un patelin, toutes
les maisons qui n'avaient pas d'abonnement ont été automatiquement
dépouillées de leurs livraison cuivre. Et le mieux : 2 maisons à livrer
dans la même rue = deux fois les frais de désaturation, une seule
opération de desat (il a suffit de faire traîner un peu la première
demande) qui consistait à tirer un câble de collecte sur 4 poteaux (mais
ils l'ont fait à la nacelle, propre).

Y'a pas d'petit profit qu'y disaient ...

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Incident Alphalink

2020-11-04 Par sujet Julien Escario
Bonsoir,
Pareil ici : la terminaison des appels est H.S sur les trunks SIP.

Merci d'avoir alerté !

Julien

Le 04/11/2020 à 23:08, Daniel via frnog a écrit :
> Bonsoir. Je confirme, uniquement Alphalink en berne.
> 
> Le 04/11/2020 à 23:01, Anthony Frnog a écrit :
>> Bonsoir la liste
>>
>> Il semblerait qu'Alphalink soit HS depuis 22h45.
>>
>> Plus rien ne répond chez eux.
>>
>> S'agit-il d'un incident localisé que chez eux?
>>
>> Cdt
>> Anthony
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Borne Wifi

2020-10-15 Par sujet Julien Escario

Le 15/10/2020 à 20:17, Stéphane Rivière a écrit :

Le 15/10/2020 à 20:09, Oliver varenne a écrit :

Sauf erreur de ma part, les fréquences ou tu as droit à du 60db ne sont de 
toute façon pas autorisée en France.


Franchement, 1KW en 5GHz, c'est soit de la démence, soit un radar
militaire à impulsion :>


Moui. Sauf à avoir à faire 300 bornes comme tu dis, je vois mal 
l'intérêt. Sans compter qu'à moins d'avoir des poteaux bien hauts au 
dessus des arbres et du relief local, ça permet surtout de générer un 
bon millier de signaux par rebonds qui finissent pas devenir compliqués 
à démêler du vrai signal direct.


Mais ne pas oublier que Michel est dans le pays où on fait les choses en 
grand ! Les maisons, les bagnoles, même les routeurs. Donc quand on peut 
balancer des W, on va pas se priver.


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Borne Wifi

2020-10-15 Par sujet Julien Escario

Le 15/10/2020 à 11:06, Oliver varenne a écrit :

Déjà, fait limiter au pays "France"


Bah, ca dépend beaucoup de l'endroit où tu te trouves. Ici, il faut 
sélectionner aussi la Suisse et l'Allemagne par exemple ;-)


Et choisir aussi la bande C, le reste ne vous intéresse pas (en wifi 
extérieur en tout cas, pas encore).


C'est un peu de boulot, oui. Si un spécialiste de la carto sait 
récupérer tout ça en opendata et générer un outil magique, ce serait 
chouette mais je n'ai pas trouvé et c'est très loin de mes compétences.


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Borne Wifi

2020-10-15 Par sujet Julien Escario

Le 15/10/2020 à 10:23, Oliver varenne a écrit :

Le changement de pays permet d'outrepasser la limite de 500mw sur la bande 5Ghz 
en émission extérieure, et envoyer 1W (voir plus)
Mais cela désactive aussi souvent le DFS qui est la pour protéger les stations 
radar météo.


Alors si on fait ça (et même si on le fait pas), le mieux, c'est encore 
d'aller voir les fréquences des radars à proximité ici :

https://www.eumetnet.eu/wp-content/themes/aeron-child/observations-programme/current-activities/opera/database/OPERA_Database/index.html

Et de se mettre sur une bande de fréquence qui ne risque pas de créer 
d'interférences.


Parce que même avec une PIRE à 1W en extérieur, c'est assez désagréable 
pour les météorologues. Sans compter qu'en cas de détection, les 
nouvelles normes pour le DFS font que votre liaison va être H.S. un bon 
petit moment (ça peut vite prendre une heure de retrouver un canal dispo 
en 5Ghz).


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?

2020-10-13 Par sujet Julien Escario
Le 13/10/2020 à 10:41, GUIOT Jean-Philippe a écrit :
> Idem par ici.
> 
> Si j'ai bien compris la faille, il ne "faut" pas autoriser les récursions 
> depuis ses propres IP externes/d'AS. Auquel cas, l'attaquant spoof tes IP 
> externes et utilise ton serveur en récursif ou en fonction de ta 
> configuration, accède à des noms de domaine potentiellement "internes". C'est 
> pas très clair en tout cas je trouve ^^

C'est un peu plus sournois que ça puisque chez nous, c'est clean : les
résolveurs ne répondent qu'à nos subnets.
En l’occurrence, ce n'est pas un soucis de resolveur ouvert mais un
soucis de protection contre les sources spoofées.

Ils ont pris du DNS parce que c'est un service UDP fréquemment
disponible (le spoofing TCP est nettement plus compliqué).

> Dommage qu'on ne puisse pas "tester" en live un éventuel fix ☹

+1. Par contre, ils me renvoient le même mail une seconde fois, ça
commence à faire lourd.

Julien

> --
> Jean-Philippe GUIOT
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de David 
> Ponzone
> Envoyé : mardi 13 octobre 2020 10:35
> À : Frnog misc 
> Objet : [FRnOG] [MISC] DSAV Project: sérieux ou scam ?
> 
> J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans 
> l’Utah), qui me semble surprenant.
> D’autres ont reçu un mail de leur part affirmant avoir détecté une faille 
> n’existant à priori pas ?
> Je vais les contacter pour avoir la méthode et la trace.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DSAV Project: sérieux ou scam ?

2020-10-13 Par sujet Julien Escario
Salut,
Même chose ici, ca ne semble pas un scam. Pour moi, ils ont testé de la
résolution DNS sur tous les UDP/53 trouvés sur le réseau en spoofant
l'adresse source, rien de plus.

J'ai quelques résultats intéressants en ce qui me concerne. J'aimerais
bien avoir leurs commandes pour valider des solutions correctives.

Donc si tu as des retours et que tu peux, n'hésites pas à partager.

Merci,
Julien

Le 13/10/2020 à 10:34, David Ponzone a écrit :
> J’ai reçu un mail de DSAV Project (venant d'un labo d’une université US dans 
> l’Utah), qui me semble surprenant.
> D’autres ont reçu un mail de leur part affirmant avoir détecté une faille 
> n’existant à priori pas ?
> Je vais les contacter pour avoir la méthode et la trace.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Contact wholesale Bouygues

2020-09-16 Par sujet Julien Escario
Le 16/09/2020 à 10:06, Jean-Pierre Roussanidès via frnog a écrit :
> Bonjour,
> 
> 
> Quelqu'un pourrait me donner un contact chez Bouygues Wholesale ?

Bah je crois qu'on s'est posés la même question, je prends aussi ;-)

> Merci à vous
> 
> JP Roussanidès
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

2020-05-08 Par sujet Julien Escario
Le 08/05/2020 à 20:23, Damien DUJARDIN a écrit :
> Tu aurais du lire mieux (troll gratuit du vendredi)

Mais justifié ;-)

> Techniquement il utilise un bit réservé dans l'entête donc ça peut
> fonctionner.

Merci, tu viens de me faire gagner deux bonnes heures à comprendre
quelle bidouille il utilise.
C'est donc un bit flip.

Ce qui ne change rien au fait que c'est du vent mais la raison n'est
plus totalement technique.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

2020-05-08 Par sujet Julien Escario
Il faudrait peut être expliquer pourquoi sa proposition est une
aberration totale ?

Si j'ai bien compris, le monsieur propose de jouer sur la représentation
de l'IP dans un paquet. En changeant [0-255].[0-255].[0-255].[0-255] en
[0-65535].[0-65535].
Ce qui est une connerie abominable au niveau technique puisque dans un
paquet, il n'y a aucun point, uniquement |0-F]{8} donc c'est strictement
la même chose.

J'ai arrêté ma lecture à ce stade tellement j'ai trouvé ça à des années
lumières de la connaissance technique qu'il faut pour causer de ça. Si
même moi, avec mes quelques notions de réseau je comprends ça (tout en
ramant pas mal pour suivre les prez des RIPE Meeting), le mec n'a juste
rien à faire ni au RIPE, ni à proposer un draft.

Juste ou j'aurais dû lire mieux ?

Julien

Le 08/05/2020 à 19:44, Hugues Voiturier a écrit :
> Est-ce que c’est un troll ?
> 
> Dans le cas contraire, ce genre de propos est franchement indigne d’une ML 
> comme FRnOG…
>  
> Hugues
> AS57199 - AS50628
> 
>> On 8 May 2020, at 19:24, Bruno LEAL DE SOUSA  
>> wrote:
>>
>> Hello,
>>
>> Je ne connais pas ce fameux candidat mais au vu de la complexité d'adoption
>> de l'IPv6 et de l'attachement à l'IPv4, proposer ce type de solution est
>> intelligent et encourageant !
>>
>> A suivre...
>>
>> Bruno LEAL DE SOUSA
>> 06.01.23.45.96
>>
>> Le ven. 8 mai 2020 à 15:42, Christophe PLESSIS  a écrit :
>>
>>> Bonjour,
>>> Avez vous reçu cette information pour augmenter le nombre d’ipv4 ? Quel
>>> est votre avis ?
>>> A bon entendeur.
>>> Christophe
>>>
>>> De : Elad Cohen 
>>> Envoyé : vendredi 8 mai 2020 00:06
>>> À : contact 
>>> Objet : Message important concernant les élections du RIPE
>>>
>>> Bonjour,
>>>
>>> Je m'appelle Elad Cohen et je suis candidat au conseil d'administration du
>>> RIPE lors des prochaines élections, qui auront lieu le 13 de ce mois.
>>>
>>> J'ai créé une solution technique avec laquelle il y aura plus de 4 294 967
>>> 296 adresses IPv4 pour les 5 registres Internet régionaux, y compris le
>>> RIPE, vous pouvez en savoir plus à ce sujet ici :
>>>
>>> https://www.ripe.net/ripe/mail/archives/members-discuss/2020-April/003676.html
>>>
>>> Le problème « d'épuisement d'IPv4 » sera derrière nous et chaque membre
>>> RIPE recevra au moins un /21 d'adresses IPv4 gratuites si je suis élu.
>>> Personne d'autre ne mettra en œuvre ma solution technique, je vous demande
>>> votre vote en ligne. Sans votre vote en ligne à la prochaine assemblée
>>> générale du RIPE, ma solution technique ci-dessus ne sera pas mise en œuvre.
>>>
>>> Veuillez vous inscrire au vote en ligne pour les élections du RIPE en
>>> utilisant le lien suivant :
>>> https://www.ripe.net/s/gm-registration-may-2020
>>>
>>> Si vous rencontrez un problème pour vous inscrire au vote en ligne,
>>> veuillez envoyer un courrier électronique à a...@ripe.net>> a...@ripe.net>
>>>
>>> ---
>>>
>>> Outre la solution technique susmentionnée au problème de « l'épuisement de
>>> l'IPv4 », il existe deux autres solutions techniques que je m'efforcerai de
>>> mettre en œuvre si j'ai l'honneur d'être élu :
>>>
>>>
>>> Une solution technique au problème mondial du spam par courrier
>>> électronique :
>>>
>>> https://www.ripe.net/ripe/mail/archives/members-discuss/2020-April/003778.html
>>>
>>> Une solution technique au problème mondial de l'amplification de
>>> l'usurpation du DDoS :
>>>
>>> https://www.ripe.net/ripe/mail/archives/members-discuss/2020-April/003902.html
>>>
>>> ---
>>>
>>> Si vous votez pour moi et que je suis élu, je ferai en sorte que RIPE
>>> devienne :
>>>
>>> - Une organisation 100% transparente.
>>>
>>> - Une organisation centrée sur le LIR (il y aura un ANS de 24 heures pour
>>> chaque demande d'assistance, après quoi le membre du RIPE pourra évaluer la
>>> qualité du service reçu et marquer si la demande d'assistance a été résolue
>>> ou non, et si ce n'est pas le cas, l'assistance de niveau 2 recevra
>>> automatiquement la demande d'assistance). Chaque aspect du RIPE changera
>>> pour être centré sur le LIR et non sur la bureaucratie.
>>>
>>> Une organisation efficace en termes de dépenses de RIPE, je veillerai
>>> personnellement sur chaque dépense de RIPE afin de m'assurer que la RIPE
>>> soit une organisation efficace. Lorsque RIPE soit devenue une organisation
>>> efficace, les cotisations annuelles des membres de RIPE seront
>>> considérablement réduites.
>>>
>>> Je vous demande de vous inscrire pour le vote en ligne en utilisant le
>>> lien suivant :
>>> https://www.ripe.net/s/gm-registration-may-2020
>>>
>>> ---
>>>
>>> Le RIPE est géré par des personnes qui ne se soucient pas de vos intérêts,
>>> vous pouvez en voir l'exemple à travers les deux liens suivants :
>>>
>>>
>>> https://www.ripe.net/ripe/mail/archives/agm-nominations/2020-April/000692.html
>>>
>>> Dans ce lien ci-dessus, l'actuelle présidente du conseil d'administration
>>> du RIPE, Maria Hall, candidate à sa réélection, a soutenu la nomination de
>>> l'actuel président du conseil 

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

2020-05-01 Par sujet Julien Escario
Le 01/05/2020 à 15:00, Denis Fondras a écrit :
>> Outre le mariole dont on a initialement parlé (Elad Cohen), qui est
>> candidat et promet monts et merveilles (ainsi que des trucs tres
>> farfelus techniquements), il y a également 6 candidats sur les treize
>> qui sont Iraniens, et sortis d'on ne sait trop où (une histoire de peur
>> de sanctions européeenes il me semble), assortis d'une représentation
>> assez forte de LIR iraniens qui voteront: Je ne suis pas expert en la
>> matière, mais je dirais ca ressemble un peu à une tentative de putsch.
>> Sauf que le risque, c'est que vu le nombre de candidats, les votes
>> soient bien dilués au final.
>>
> 
> En imaginant qu'ils gagnent les 3 sièges, quel est le risque ?
> Je fais confiance aux 4 membres restants pour sauvegarder les intérêt de TOUS
> les LIR de la zone en adoptant des positions consensuelles.

Peut être parce que déjà avec 3 sièges sur 7, ils pèseront lourd sur les
décisions et auront des responsabilités.

Et ensuite, parce que si ils suffit qu'ils fassent passer un 4ème
candidat au prochain renouvellement pour avoir la majorité.

Je n'ai pas compris leur logique mais c'est une autre culture. Il n'est
pas impossible, étant donné la façon dont les choses sont faites, que ce
soit organisé de manière étatique par le pays.

Vous voulez que les prochaines décisions concernant la gouvernance des
ressources (AS, IPv4, IPv6, Atlas, etc ...) soient prises de Téhéran ?

Note : si cela devait se produire, RIEN dans les status du RIPE (à ma
connaissance) ne permet de se prémunir contre la récupération du bureau
par un pays, tant que les décisions prises ensuite ne sont pas contre le
droit international (et plus particulièrement néérlandais).
Du coup, si c'est le scénarios qu'ils déroulent, on peut imaginer pas
mal de cas assez préoccupants.
Mais il y a nettement plus pertinent que moi sur le sujet et peut être
qu'on s'imagine un complot qui n'existe pas, chacun est juge.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] En cas d'arnaque on fait quoi ?

2020-04-22 Par sujet Julien Escario
Le 22/04/2020 à 09:55, Kevin CHAILLY | Service Technique a écrit :
> Question numéro 1 : vendent-ils aussi des fournitures de bureautique faisant 
> des photocopies ? 

Haha, alors c'est le même business model mais non ;-)

Là, on est vraiment dans l'arnaque (quoique les vendeurs de copieurs
...). Le client est certain de signer avec Orange du début à la fin.
On est à la campagne, c'est encore la société nationale des télécoms ici
et les arnaqueurs le savent bien.

Il y a une nette différence entre usurper clairement l'identité d'une
boite d'ampleur nationale et monter des contrats qui enchaînent le client.
Le deuxième cas se règle entre avocats devant un TC. Le premier, c'est
aux forces de police de le gérer.

Mais la boite en question est bien parisienne, pas d'inquiétude.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] En cas d'arnaque on fait quoi ?

2020-04-22 Par sujet Julien Escario
Le 21/04/2020 à 16:49, Oliver varenne a écrit :
> Bonjour à tous,
> 
> Question « droit » : on a rencontré quelques société déjà, malheureusement 
> pour nous, qui nous achètent des IPBX et des téléphones (nous sommes « 
> grossistes a valeur ajoutée » comme on dit), et les revendent en se faisant 
> passer pour Orange
> Généralement ça se passe comme ça :
> 
> Un centre d'appel à l'international appelle des prospects et tiens grosso 
> modo ce discours :
> «  bonjour, bidule de la société Orange, je vous appelle pour faire le point 
> sur votre installation »
> Au choix :
> « vous êtes pas client orange ? faisons le point je vais vous proposer 
> quelque chose de mieux »
> « vous êtes déjà client orange ? justement nous faisons le point avec nos 
> clients pour voir s'ils peuvent faire des économies »
[...]

On a eu un cas similaire ici avec une boite de télécom qui a ratissé les
petites communes et se présentant comme Orange et pour préparer la fin
du RTC.
Même chose : engagement 72 mois, tarif totalement délirant (100 €/mois
pour une ADSL + un tél) sur la base de 'vous n'avez pas le choix, sinon
on va couper votre service'.

Et on nous a appelés en tant que sous-traitants pour accueillir le tech
Orange qui venait poser l'ADSL.

On s'est fait un plaisir d'y aller, de discuter avec le maire et de leur
faire casser la commande avant la fin du délai de rétraction.
Mais ça a déclenché des quelques drames avec des conseils municipaux qui
sont tombés sur le maire qui validé le truc dans son coin.

A qui est-ce qu'on peut signaler ce genre de pratiques ? DGCCRF ? Pas
l'ARCEP, c'est certain, parce que ces arnaqueurs ne se donnent pas la
peine de se déclarer opérateur.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] QSFP+ vs SFP28

2020-04-14 Par sujet Julien Escario
Le 14/04/2020 à 15:35, benoit mordac a écrit :
> Bonjour,
> 
> Attention au SFP28, on se retrouve sur certains modèles de switchs à devoir
> choisir la vitesse du port (10Gb/s ou 25Gb/s) par groupes de 4 ports :
[...]

Merci à tous pour vos retours précieux. Donc à priori, le SFP28 avec
quelques ports QSFP28 semble plus future-proof.

Est-ce que quelqu'un a déjà testé ce genre de babasses :
https://www.supermicro.com/en/products/accessories/networking/SSE-F3548S.php

Ca semble se trouver entre 3000 et 4000 €, ce qui me paraît très correct
étant donné le fond de panier qu'il faut coller là dessus (1800 Gbps).

Et bonus, il semblerait que l'on puisse même faire du 1G (mais pourquoi
diable ?).

A première vue, je dirais que c'est un OEM brandé Supermicro, ce qui ne
me pousse pas vraiment à l'achat impulsif.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] QSFP+ vs SFP28

2020-04-14 Par sujet Julien Escario
Bonjour la liste,
Une petite question rapide : je dois passer à la vitesse supérieure sur
notre stockage distribué, le NVMe commençant à avoir raison du 10G.

Du coup, est-ce que vous avez des recommandations entre le SFP28 et le
QSFP+ ? (outre le débit).

J'ai lu, par exemple, que le QSFP+ est en train de disparaître doucement
mais c'est dommage parce qu'il permet d'upgrader en douceur en utilisant
des break-out QSFP+ -> 4 SFP+ en attendant d'avoir plus de ports QSFP+.

Est-ce que, par hasard, on pourrait éclater un SFP28 en 2xSFP+ ? (j'en
doute très fortement vu que le SFP28 n'est pas un agrégat de canaux mais
une simple augmentation du débit).
J'ai lu qu'on peut utiliser des DAC SFP+ dans des ports SFP28 (et vice
versa semble t'il). C'est systématique ?

Et par curiosité, y aurait-il une différence notable de latence ?
J'image que la décomposition en 4 canaux puis recomposition du QSFP+
doit rajouter quelques (dizaines de) ns dans la communication ?

Note : dans mon use-case, c'est exclusivement du DAC puisque cluster de
stockage Ceph.

Je prends volontiers les conseils, et pardon si on est plus dans
l'application du réseau au stockage que dans du routage pur et dur.

Merci,
Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Devis Observium

2020-04-08 Par sujet Julien Escario
Le 08/04/2020 à 18:22, Michel Py a écrit :
>>> oups...@oupsman.fr a écrit :
>>> Perso, si je suis appelé à 3h du matin, j'aime bien avoir un support 
>>> joignable dans l'heure pour me dépanner.
> 
> A 3 heures du matin, le support c'est moi. Je n'ai pas le temps de perdre 3 
> jours à passer avec le niveau 1,2 et 3 du support pousse-bouton d'un vendeur 
> qui le sous-traite à Bangalore à des clampains qui sont ingénieurs réseau 
> comme moi je suis chirurgien dentiste.

Holà malheureux ! Et sur qui tu te dédouanes quand ça marche toujours
pas à 8h ?

Tu veux dire que ... tu assumes toi même le bon fonctionnement de tes
services ? Quelle audace !

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Hébergement local et internet mobile

2020-04-04 Par sujet Julien Escario
Le 04/04/2020 à 16:41, Eugène Ngontang a écrit :
> Hello la liste...
[...]
> - Quel est l'impact du DNS dans la consommation des données mobiles ?
[...]

Ah, ça, je peux répondre : l'optimisation de n'importe quelle image dans
une appli web fera gagner 50x ce que consomme le traffic DNS en terme de
volumétrie dans les tuyaux.

En gros, le problème n'est pas dans le réseau, il est dans le dev (ou le
graphisme en l'occurence) : une appli qui se contente de renvoyer
uniquement les infos nécessaires dans un format optimisé, ca change tout
en terme d'occupation des réseaux (et souvent des ressources système
côté serveur et terminal).

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] [natha...@ripe.net: [ncc-announce] [service] Accidental Deletion of ROAs]

2020-04-02 Par sujet Julien Escario
Bonjour,
Chez nous, les ROAs n'ont pas bougé. C'est en tout cas ce que dit le
dahsboard RPKI.

Un moyen tiers de vérifier ça autrement ? (mais j'imagine que BGPmon et
Qrator auraient levé des alertes, non ?)

Cela soulève une question interressante : quelles sont les bonnes
pratiques en matière de durée du cache de vos validators ?

Bonne journée,
Julien

Le 02/04/2020 à 11:20, Clément Cavadore a écrit :
> Hello les confinés,
> 
> Je confirme!
> 
> Sur plusieurs des LIRs et end-users que j'ai en gestion, j'ai du les recréer.
> Allez bien checker vos propres ROAs !
> 
> Clement 
> 
> Le 2 avril 2020 10:57:41 GMT+02:00, Stephane Bortzmeyer  a 
> écrit :
>> Ceci n'est pas un poisson.
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Corona virus :, intervention pendant confinement

2020-03-16 Par sujet Julien Escario
Le 16/03/2020 à 18:59, Richard Klein a écrit :
> Le port du masque, des gants, de la ceinture,des bretelles et de l airbag
> pour moi ne servira à rien.
> Lorsque l'ami Corona va voler dans l'air il passera probablement dans la
> clim qui souffle du froid.
> Le virus va probablement s'endormir avec le froid et se mélanger avec la
> poussière des filtres pour muter avec les copains.
> Quand la clim va s'arrêter ou souffler du chaud le virus va se multiplier
> et se faire éjecter de son filtre pour saturer la pièce et atteindre son
> hôte.

Vérifie tes idées reçues sur ce virus : la clim ne l'interresse pas
beaucoup. Il se transmet assez mal de manière 'indirecte' avec une durée
de vie assez courte une fois sorti de son hôte.

En fait, dans son cas, c'est même plutôt un facteur de diminution de
l'infectiosité puisque tout ce qui est en sur-pression plaque les
goutellettes sur le sol et les murs. Moins de chance que ca reste en
suspension.

Mais les connaissances sur ce virus n'ont pas fini d'évoluer.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] le pétaoctet du pauvre

2020-03-12 Par sujet Julien Escario
Le 12/03/2020 à 18:40, Michel Py a écrit :
>>> Phil Regnauld a écrit :
>>> Faut jamais exposer CephFS directement aux utilisateurs finaux de toute 
>>> façon.
> 
>> Fabien Sirjean a écrit :
>> Je suis curieux, quel est le problème ?
>> Ici on hésite justement entre un gros RBD exporté par samba ou du CephFS...
> 
> Curieux aussi. Le gateway Samba directement connecté sur CephFS çà me parait 
> moins compliqué.
> 
> Je pense que je ne vais pas passer à Ceph, ceci étant dit. Trop compliqué 
> pour me petits besoins.
> 
> Michel.

Bah honnêtement, si tu as au moins trois noeuds à y consacrer, c'est
vraiment pas long et ça fait gagner un temps d'admin assez hallucinant.

J'avais aussi tenu ce discours il y a 5/6 ans, quand Ceph demarrait.
J'ai revu mon jugement en 2019, on a migré fin d'année et depuis, c'est
que du bonheur avec du Promox en hyperconvergé. On commence même à jouer
avec le support trim/discard et c'est *presque* out of the box (modulo
un kernel 5 pour le moment).

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Modem VDSL petit/qui marche ??

2020-03-04 Par sujet Julien Escario
Le 04/03/2020 à 11:49, x.r...@sipleo.com a écrit :
> Hello,
> 
> On a vu, on a testé et on est passé 
> Déjà on pose une condition lors de l'achat pour test on vous répond oui oui 
> ...
> A la mise en œuvre quand on doit faire et que l'on n'y arrive pas toujours : 
> oui oui 
> Après on se renseigne plusieurs mois après toujours rien et suivi du dossier 
> ...
[...]
> Les personnes sont sympas mais sur la maitrise du produit qu'ils marquent 
> Nascom, ce n'est vraiment pas ça.
> Si souci en production :( :(
> 
> Et donc en usage autonome on a le problème de NAT 1:1 VPN et en usage du coup 
> Modem uniquement VDSL/ADLS pas possible ...
> Pour nous c'est donc hors-jeux 
> 
> Xavier

Ca me rassure, tu as eu exactement la même expérience que nous.

On a demandé la doc du bouzin, jamais eue. En fait, je crois qu'elle
n'existe pas, tout simplement. Ou alors en chinois et ils n'ont pas eu
le temps de la traduire.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Modem VDSL petit/qui marche ??

2020-02-28 Par sujet Julien Escario
Le 28/02/2020 à 08:16, Frank ALEXIS a écrit :
> Bonjour ensoleillé (si si ... ici c'est ensoleillé;-) !)

Pareil, bonjour !

> Je cherche un remplaçant à mes vénérables Netgear DM200 qui font le job pour 
> 50 balles, mais j'ai pas bien trouvé le truc qui me plait.
> 
> VDSL/VDSL2 (ADSL2 sous entendu)
> Mode bridge (un minimum)
> Ethernet
> Pas gros
> Pas cher (50/60 max)
> Stable
> Pas une bouse en performance
> Qu'on oublie posé au fond de la baie (forcément c'est pas rackable :-p !)
> 
> J'ai vu le TP-LINK TD-W9970 mais je sais pas trop.
> 
> Galère à trouver comme truc basique :-(
> 
> Merci à vous amis dans la matrice !
> Frank

Même problématique ici. J'ajouterais juste comme contrainte le support
du bi-vlan (835/850).

Si on était chez les Bisounours, je demanderais même que le bouzin
puisse être alimenté en PoE.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] AOC ou DAC, et question existentielle sur la position idéale d'un ToR

2020-02-19 Par sujet Julien Escario
Le 19/02/2020 à 14:32, Sébastien VIGNERON a écrit :
> Bonjour,
[...]
> Ma préférence reste sur les modules optiques + fibres optiques séparées car 
> tu peux commander directement les modules pour tes différents constructeurs 
> au lieu de devoir recoder les modules des DAC pour que cela fonctionne. Et de 
> plus, tout est dans la finesse du trait (la FO de quelques mm versus le câble 
> DAC).

J'ai souvenir d'une conversation ici sur la latence DAC vs SFP : j'avais
souvenir que les DAC étaient meilleurs en terme de latence puisqu'il n'y
a pas de conversion électrique/optique.

Mais je manque de temps pour retrouver les infos.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Fake or note Fake

2020-02-19 Par sujet Julien Escario
Houlà, ils se donnent du mal pour ressembler à des scripts kiddies alors.

Je confirme qu'ils m'ont déjà pointé des services vulnérables sur notre
infra. Des instances Nextcloud très anciennes par exemple.
Ca permet de faire peur au client pour qu'il mette à jour quand on lui
dit que c'est l'agence de sécurité officielle de l'état qui remonte
l'info. Bizarrement, c'est mis à jour aussi sec alors qu'on en était au
3ème mail d'alerte.

Bref, fort utile dans certains cas.

Julien

Le 19/02/2020 à 12:27, Joris 'Tifox' BOQUET a écrit :
> retour de l'anssi
> 
> Bonjour,
>>
>> Après vérification, nous vous confirmons que l'adresse 92.154.95.236
>> appartient bien à l'ANSSI.
>>
>> Cordialement,
>>
>> VC
>>
>> --
>> ANSSI/SDO/CERT-FR
>> Agence nationale de la sécurité des systèmes d'information
>> Centre opérationnel de la sécurité des systèmes d'information
>> Centre d'Expertise gouvernemental de Réponse et de Traitement des
>> Attaques informatiques
>> 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP
>> Tel : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70
>> Mel : cert-fr.co...@ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Fake or note Fake

2020-02-19 Par sujet Julien Escario
Le 19/02/2020 à 11:17, Kevin Thiou a écrit :
> Justement le whois ne m'a pas donné l'information que je cherchais.
> 
> Ex-transpac et ANSSI je vois pas forcement le rapport direct mais merci

La plupart des ministères et agences nationales sont servies par du Orange.

Dans mon expérience, quand tu as un méchant, c'est
quasi-systématiquement du CN, BR, UA, RU, whatelse. Au point que
'certains' mettent des filtres par pays dans leurs firewalls.

Après, oui, ça peut être un fake bien monté par un mec abonné Orange
mais il risque gros parce l'identifié ne sera pas un gros problème. Je
gage que les gens de l'ANSSI ont les relations que les OIV pour
identifier un abonné en quelques minutes.

Si tu as un doute, ils sont plutôt dispos par e-mail. Tu risques d'avoir
plus de chance de réponse/action qu'à la cellule abuse de l'agrume qui
doit crouler sous les demandes.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Fake or note Fake

2020-02-19 Par sujet Julien Escario
Le 19/02/2020 à 11:07, Kevin Thiou a écrit :
> Bonjour,
> 
> j'ai une ip qui me scan un peu, pas trop mais passionnément : 92.154.95.236
> 
> je vous laisse aller sur le site http://92.154.95.236
> 
> Et me dire ce que vous en pensez.

Bah, tu fais un whois sur l'IP, constate que c'est de l'ex-transpac donc
ça paraît cohérent.
Un whois propre avec l'identification de l'ANSSI pour le préfixe aurait
été un plus mais pas obligatoire car ressources 'legacy'.

Et si tu as encore des doutes, tu écris à ab...@orange.fr pour leur
demander confirmation.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] L2 entre un tiers et une infra OVH

2020-02-17 Par sujet Julien Escario
Le 17/02/2020 à 09:13, Mickael Hubert a écrit :
> Bonjour à tous,

Bonjour !

> je me permets de vous solliciter, car j'ai beaucoup de mal à trouver une
> solution à mon problème.
> Je cherche un moyen de monter un L2 entre divers clients et notre infra
> hébergée chez OVH.

Alors dans mon expérience, le mieux c'est de faire péter tout le MPLS de
l'agrume qui n'apporte pas grand chose et de le remplacer par des
routeurs qui font du VPN L2TP/IPSec, GRE/IPSec ou (mets ici le VPN que
tu préfères).

Chez Mikrotik ça s'appelle EoIP.

Ca permet de faire du niveau 2 parfaitement et sans contrainte sur
l'opérateur qui fournit la liaison. ET en gagnant une thune de malade
sur les liens parce que le MPLS de l'Agrume, ça juste marche mais il
faut un sacré paquet de brouzoufs pour se le payer.

Et tu mets simplement un routeur soft sur une VM dans ton infra chez
OVH, fin du problème.

Méfiance : l'agrume a une belle tendance à lier contractuellement son
service de voix à la connexion MPLS. Du coup, c'est un peu galère pour
en sortir.

Mot clé pour que ça passe chez ton client : SDN. Si tu arrives à placer
I.A. et Big Data dans la même phrase, tu as gagné un joli contrat.

Je me lance : 'Une solution SDN optimisée par une I.A. dans une logique
Big Data'.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] recherche 4 VMs avec 4 opérateurs différents

2020-02-11 Par sujet Julien Escario
Le 11/02/2020 à 14:28, Frederic macaigne a écrit :
> Salut a toutes et à tous,

Salut,

> pour des besoins de test, j'ai besoin de un ou plusieurs fournisseurs qui
> seraient capable de me louer un ou plusieurs VMs depuis lesquelles je vais
> initier un test (imaginez un trace route) sur un ou plusieurs opérateurs.
> 
> Ce qu'il me faut ce sont des VMs avec un control de quel opérateur me
> laisse sortir du DC et sans fail-over (ou alors sur le même opérateur).
> 
> Une fois cela dit, le reste est flexible: un, 2, 3 ou 4 fournisseurs. 1, 2,
> 3 ou 4 VMs. Les opérateurs par lesquels j'ai besoin de sortir sont: Colt,
> Tata, Orange et Verizon.

Et avec RIPE Atlas ? Tu dois pouvoir trouver des sondes chez chacun de
ceux là sans trop de soucis.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Deploiement WIFI

2020-02-07 Par sujet Julien Escario
Le 07/02/2020 à 10:04, Quentin Leconte via frnog a écrit :
> Bonjour !
> 
> +1 pour Ruckus.
> 
> Ils ont du très très bon matériel, possibilité d'avoir un contrôleur en local 
> ou en cloud/datacenter. Et les bornes continuent aussi de fonctionner en cas 
> de perte de communication avec le contrôleur.

Alors cet argument est un peu marrant : quelqu'un connaît un
constructeur dont les bornes arrêtent de fournir les SSID quand elles
perdent la connexion avec le contrôleur ?

Si une marque fonctionne encore comme ça, c'est une sacré blague.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Ransomware chez Bouygues Construction ?

2020-01-31 Par sujet Julien Escario
Le 31/01/2020 à 14:10, Philippe Bourcier a écrit :
> Re,
> 
>> Il va y avoir des postes a prendre dans pas longtemps je pense...
>> C'est pas le genre de maison qui laisse passer ce genre de problème sans
>> le faire payer chèrement.
>>
>>> http://www.leparisien.fr/high-tech/le-geant-du-btp-bouygues-construction-cible-d-une-cyberattaque-30
>>> 01-2020-8248854.php
> 
> Des infos que j'ai, un prestataire IT (pas plus de détails (peut-être filiale 
> de Bouygues, d'ailleurs)) qui bosse pour pas mal de boîtes 
> BTP/Ciment/Construction a propagé une infection ransomware chez pas mal de 
> ses clients, dont Bouygues...
> 
> Le pire dans tout cela, c'est que ca risque fortement de profiter au cloud... 
> et probablement essentiellement au cloud US.
> #ThatsLife

Intéressant. On a eu dans notre coin aussi un ransomware qui semble être
remonté au travers du presta IT via l'outil de supervision Kaseya.
Je vois mal comment cela pourrait être le même presta par contre ça
pourrait être la même solution, ce qui viendrait confirmer qu'elle est
particulièrement ciblée.

La communication est assez lacunaire (sans blague) donc difficile
d'avoir des certitudes et d'en tirer un REX quelconque.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Rentabiliser des IP

2020-01-31 Par sujet Julien Escario
Le 30/01/2020 à 14:43, Christophe Desnoyer a écrit :
> Hello la liste
[...]
> Bref, je suis d'accord avec l'opinion déjà exprimée ici : ce business
> est au moins douteux et le jeu n'en vaut pas la chandelle.

Ca me fait penser aux boites qui vendent des produits à base d'IA parce
que c'est un des buzzwords à la mode alors qu'il y a une base de données
avec un code plein de if ensuite.

J'attends toujours de voir une IA fonctionner dans la vraie vie. A
priori, certains le font : IBM avec Watson qui commence à être déployé
dans la relation client. Microsoft l'a tenté avec un chatbot qui s'est
retrouvé raciste en moins de 24h
(https://fr.wikipedia.org/wiki/Tay_(intelligence_artificielle).

Bizarrement, chaque fois qu'on me parle d'IA, c'est dans un truc dans
une boite noire bien enfouie au fin fond de l'infra.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Rentabiliser des IP

2020-01-27 Par sujet Julien Escario
Le 27/01/2020 à 17:25, Michel Py a écrit :
>>> C'est une blague ou quoi ? T'as filé un /22 pour $50 par mois ?
> 
>> Julien Escario a écrit :
>> Je n'ai pas l'utilité de ce /22 pour le moment et ça ne m'engage à rien.
>> Testé, pas approuvé, je coupe le tunnel GRE et je passe à autre chose.
>> Au moins, je mourrai un peu moins con.
> 
> Cà c'est la bonne attitude, merci pour le retour.
> 
> Est-ce que tu as mesuré combien te coute le trafic qu'ils prennent, ou est-ce 
> que tu as un port fixe qui te coute la même chose quel que soit le volume ?

Ca fait des pics à 500kbps, la plupart du temps autour de 100kbps.
Autant dire peanuts. Peut être que mes IPs ne sont pas digestes.

Leur outil me donne 250 Go de transfert le mois dernier, seul mois où le
service a vraiment tourné à plein.

Bref, vous allez pas exploser votre commit avec ça, non.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Rentabiliser des IP

2020-01-27 Par sujet Julien Escario
Le 27/01/2020 à 17:09, Pavel Polyakov a écrit :
> On Mon, 27 Jan 2020 15:31:11 +0100
> Julien Escario  wrote:
> 
>> Par contre, ça ne rapporte rien : en filant un /22 et deux /24, je
>> devrais toucher environ 50$/mois. (55$ le mois dernier, 32$ ce mois-ci
>> plus les quelques jours qu'il reste).
> 
> C'est une blague ou quoi ? T'as filé un /22 pour $50 par mois ?

Je n'ai pas l'utilité de ce /22 pour le moment et ça ne m'engage à rien.
Testé, pas approuvé, je coupe le tunnel GRE et je passe à autre chose.

Au moins, je mourrai un peu moins con.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Rentabiliser des IP

2020-01-27 Par sujet Julien Escario
Le 27/01/2020 à 15:20, David Ponzone a écrit :
> Oui et il faut faire de la conf sur son/ses routeurs core, sans aucune 
> garantie de revenu puisque ça dépend du volume de trafic dans le tunnel 
> (220$/mois pour le premier To, si j’ai tout compris).
> 
>> Le 27 janv. 2020 à 15:12, Clement Cavadore  a écrit :
>>
>> Salut,
>>
>> On Mon, 2020-01-27 at 14:09 +, randomuser444 via frnog wrote:
>>> j'ai trouvé ceci sur Twitter (merci Hugues) et ça fait l'affaire : 
>>> https://divinetworks.com/fr/
>>> - https://l.divinetworks.com/presentation
>>
>> J'avais vu passer ca a une époque: Ca me parait tout de
>> même un peu fumeux ce genre de business

Bonjour,
J'ai testé pour vous ! Je confirme que c'est honnête, pour avoir regardé
un peu le trafic à la mise en service, il s'agit essentiellement de
requêtes https. Par contre, ce qu'ils font avec, je l'ignore mais je
doute que ce soit de l'attaque par amplification ;-)

Par contre, ça ne rapporte rien : en filant un /22 et deux /24, je
devrais toucher environ 50$/mois. (55$ le mois dernier, 32$ ce mois-ci
plus les quelques jours qu'il reste).
C'est vraiment léger alors qu'ils demandent une conf sur le border (ce
que je n'ai pas fait, j'ai routé au travers d'un routeur spécifique avec
iGBP).

Sur le plan technique, c'est un tunnel GRE avec IPs privées de chaque
côté et du mangle pour marquer les connexions sortantes et que les
paquets soient routés vers le GRE en entrée. Pas de connexions entrantes
sur les IPs possibles.

D'ailleurs, ça laisse la possibilité aux plus margoulins d'entre vous de
continuer à utiliser les IPs pour d'autres services, à vous de voir.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] appel d'urgence

2020-01-24 Par sujet Julien Escario
Le 23/01/2020 à 17:52, Eric Le Dortz a écrit :
> Bonsoir,
> 
> Les gros opérateurs et en particulier SFR ne font pas de customisation sur 
> les T2, seule l'adresse du site d'installation est prise en compte. 
> Si tu veux gérer les sorties urgence de sda de différentes zones 
> géographiques, il faut passer par un trunk sip où tu declares à l'opérateur 
> l'adresse géographique de chaque sda transportée. Tu peux aussi faire une 
> transformation de numéro sur ton autocom, mais ça implique de connaître les 
> sda des pompiers/police de chaque zone et de maintenir ça à jour (bref, je 
> déconseille vivement).

Ca se fait. Il faut contacter les préfs de chaque département et
demander à être intégré dans la liste de diffusion des PDAAU. C'est un
peu de boulot mais on observe (au doigt mouillé) moyenne deux
modifications par an et par préf.

En gros, c'est du boulot mais pas insurmontable non plus, ça dépend
beaucoup des moyens que l'on veut se donner.

Pas non plus la peine de s'occuper des départements dans lesquels on a
pas d'install. Bien expliquer au client que sur de la VoIP, les
téléphones sont rattachés à une zone géographique pour les numéros
d'urgence et qu'en cas de déménagement, il faut qu'il prévienne.

Par contre, le PFLAU, je découvre. Quelqu'un a un pointeur pour
commencer à exporter des localisations client dans une interface
quelconque ?
Je vais demander à mon correspondant SDIS si ils l'utilisent pour
essayer d'avoir des infos techniques.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Gaine PEHD : fournisseur et ordre de grandeur de tarif

2020-01-14 Par sujet Julien Escario
Merci mais en l’occurrence, c'est pour un client qui maîtrise le GC mais
pas les telecoms. Donc on est partis du principe qu'il pouvait faire la
tranchée et qu'on pose la gaine, les chambres (T0) et la fibre dedans.
Notamment parce qu'il était parti pour nous mettre de l'annelée bleue
(bonjour le tirage).

On ne va pas demander à son concurrent pour faire un truc qu'il sait faire.

Donc posée, ça ne intéresse pas. Sinon, j'aurais demandé une boite de TP
qui sait faire ça dans mon coin (mais les locaux, je les connais déjà).

Julien

Le 14/01/2020 à 10:30, Ducassou Laurent a écrit :
> Bonjour,
> 
> Autant le dire clairement, si c'est pour un usage pro durable (pas pour
> ton jardin privée où rien ne passe...) et en complément sur voirie
> publique (hello le DICT et autorisation de voirie !), mieux vaut faire
> appel à un pro du Génie Civil !
> 
> Coté Prix on va aller de 15€ (pleine terre) à 120€ (voirie bituminé type
> départementale, nationale, etc) au max le mètre posé et recette avec du
> 4*50mm (+ 500€ la chambre + ~700€ de DICT) par un pro. Si c'est entre
> deux bâtiments à toi, profite en pour étudier le passage de réseaux
> complémentaires dans la même tranché (énergie, eau, chauffage) avec
> chaqu'un ces règles ingénieries !
> 
> La distance entre deux chambre "en ligne droite" peux aller jusqu'à 2km
> sans soucis. Personnellement, je pense que une chambre intermédiaire à
> 250m sur ton projet est à prévoir car pour tirer un câble sur 500m,
> c'est de la force à tirer (et du matos !) et puis optionnellement, si
> entre temps tu construit un truc entre les deux... Ca ne peux pas faire
> de mal ! :)
> 
> Niveau pré-requis, google sera ton ami, il existe quantité de PDF des
> région pour la pose de réseau sur les RIP et DSP et de règle d'ingénérie
> de pose pour t'inspirer !
> 
> Bon courage =)
> 
> Laurent
> 
> 
> Le 14/01/2020 à 09:57, Julien Escario a écrit :
>> Bonjour la liste,
>> Parmi ceux d'entre vous qui tirent du réseau régulièrement, est-ce que
>> certains peuvent partager un contact chez un fournisseur qui peut livrer
>> de la gaine PEHD pour réseau fibre enterré soit en touret, soit en
>> couronne (besoin environ 500m) avec un peu d'accompagnement pour les
>> non-initiés (étanchéité, longueur max entre deux chambres, néccessité
>> d'un dévidoir, etc ...).
>>
>> Et si vous avec un ordre de grandeur du coût au mètre linéaire (non
>> posé), ça intéresse.
>>
>> Merci,
>> Julien
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Gaine PEHD : fournisseur et ordre de grandeur de tarif

2020-01-14 Par sujet Julien Escario
Bonjour la liste,
Parmi ceux d'entre vous qui tirent du réseau régulièrement, est-ce que
certains peuvent partager un contact chez un fournisseur qui peut livrer
de la gaine PEHD pour réseau fibre enterré soit en touret, soit en
couronne (besoin environ 500m) avec un peu d'accompagnement pour les
non-initiés (étanchéité, longueur max entre deux chambres, néccessité
d'un dévidoir, etc ...).

Et si vous avec un ordre de grandeur du coût au mètre linéaire (non
posé), ça intéresse.

Merci,
Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] MX ipv6 DNS record

2020-01-13 Par sujet Julien Escario
Le 12/01/2020 à 23:56, Thomas BRENAC a écrit :
> alors pour ceux que cela intéresse: que la priorité dans le DNS soit donne au
> MX Ipv6 ou non ne change rien puisque le SMTP expéditeur tentera, suivant ses
> capacités, d'abord IPv6 et en suivant IPv4. CQFD
> 
> Exemple bien commente ici:
> https://labs.ripe.net/Members/mirjam/sending-and-receiving-emails-over-ipv6
> 
> J'ai teste les deux (priorite a MX IPV6 ou non) et en effet pas de difference.

Sachant que l'enregistrement MX 'SHOULD' être un nom d'hôte et pas une
IP, le mieux reste d'avoir un hôte avec un record A et un record  et
mettre ce nom d'hôte comme MX. Les stacks IP feront le reste.

En sortie, ne pas oublier le reverse, ce qui est vite fun la première
fois en IPv6.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] CPE qui vas bien...

2020-01-10 Par sujet Julien Escario

Le 10/01/2020 à 15:29, Xavier Beaudouin a écrit :

Hello la liste,

Bonne année toussa, mais comme je crois au père noel et que certains d'entre 
vous sont sympa, voici ce
que j'aimerais avoir sur mon bureau pour 2020 :)

Je cherche un CPE pas trop onéreux (eg < 1000€) qui sait faire :

- pppoe client (bah wai, avec des ONT, là où je suis j'en ai besoin)
- de l'ipv4 + ipv6
- du routage dynmique : ospf/ospfv3/is-is
- des vrf lite
- des tunnels GRE ou ipip... bref avec une vrf
- qui ne soit pas un goret en conso
- qui soit capable de se prendre 1Gbps de traffic avec tout ça d'activer SANS 
monter en CPU.
- qui soit fiable
- qui a snmp
- pas de machin avec du clowd dedans...


C'est plus le père noël qu'il te faut, c'est directement le petit Jésus 
à ce stade ...


Plus sérieusement : tu as du Cisco qui passe ton cahier des charges 
actuellement ? Y compris la thune ?


Sinon, si tu enleves IS-IS, ca s'appelle Mikrotik avec RouterOS 
bugfix-only. Mais c'est de la pièce d'usure quoi.


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Gestion restauration config Mikrotik

2020-01-09 Par sujet Julien Escario
Le 09/01/2020 à 11:49, Sébastien 65 a écrit :
> @Mathieu
>> Si tu as un port sd/usb, tu peux peut-être aussi essayer de mettre ton 
>> fichier là pour voir.
> Je vais essayer avec une clé USB, pas bête !!
> 
> @Kevin Thiou
>> Les fichiers placés dans /flash restent au reboot, info support mikrotik.
> Pas sur le mien !!!

Je double-checkerais ça, ce n'est pas normal.

Regarde aussi si tu as des MAC dans ton fichier de conf. Quand tu
changes de device, même si c'est le même modèle, ça coince.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DNS Public et Adresse IPv4 privés.

2019-12-05 Par sujet Julien Escario
Le 05/12/2019 à 14:58, Sylvain Grégoire a écrit :
> Bonjour.
> 
> Je me demande quel sont les incidence technique et règlementaires si l'on met 
> une adresse ip Privé ( un 172.16.X.X par exemple) dans un dns Public ?
> 
> Je ne trouve que cette solution ou l'inscription dans un fichier host, pour 
> que les machine connectés par un plan d'adressage commun mais des dns 
> différents ce connectent à un serveur web interne.

Rien de dramatique à faire. Par contre, l'idéal étant de ne pas envoyer
cet enregistrement A sur le net, publiquement.
Pour cela, il faut regarder du côté de split-horizon DNS mais c'est
assez lourd à mettre en place juste pour un enregistrement. Peut être
aussi voir si le resolver interne peut simplement aller piocher dans son
fichier hosts pour répondre.

Comme ça, les trucs moches en interne restent en interne ;-)

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Boitier étanche pour poteau 'cerclable'

2019-11-28 Par sujet Julien Escario

Le 28/11/2019 à 15:17, Gary BLUM a écrit :

Hello

https://www.telenco-distribution.com/pr13817/bride-pour-fixation-de-boitiers-sur-appui-erdf
https://www.telenco-distribution.com/pr14127/bride-a-entraxe-variable-420mm
https://www.telenco-distribution.com/pr21426/boitier-de-distribution-modulaires-bmx-pc-7-paires


Ah h, merci Gary. Donc ce que je cherche s'appelle une bride pour 
feuillard, nickel ! Plus qu'à trouver la bride et la boite de la bonne 
taille qui correspond.


Merci !
Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Boitier étanche pour poteau 'cerclable'

2019-11-28 Par sujet Julien Escario
Le 28/11/2019 à 15:03, Stéphane Rivière a écrit :
>> C'est justement ce que je ne trouve pas.
> 
> C'est pour ça que je te proposais une solution field-proven, au sahara,
> aux antilles, sur oléron et ailleurs, à partir d'une référence legrand
> avec une porte à charnière... qui tombera pas au bas du poteau alors que
> t'es en haut :)
> 
> Sinon demandes au rexel du coin, dans les boutiques cossues genre
> mhzshop, wimo ou autres thurnes de radiohams ou wifistes wardrivers :>

Justement, je pensais que c'était ici le dangereux repaire de wifistes
wardrivers mais j'ai dû me tromper, c'est devenu trop consensuel ou
alors on passe trop de temps à étriller Michel sur IPv6 ;-)

Mhzshop a quelques références en gentlebox très sympas mais qui ne
marchent que pour des mats raisonnablement gros (genre diam. 54mm max).
 Ca fait mon bonheur sur les mâts d'antenne mais pas sur les réverbères.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Boitier étanche pour poteau 'cerclable'

2019-11-28 Par sujet Julien Escario
Le 28/11/2019 à 13:42, Stéphane Rivière a écrit :
> Tous les poteaux EDF ne sont pas précontraints
> 
>> Le feuillard, c'est bien ;)

Ne vous battez pas : c'est du poteau metal creux. On pourrait faire des
trous dedans mais j'aime autant éviter d'y passer trop plombe. La pince
à feuillard, ça va aller 5 fois plus vite.

> C'est pour ça qu'il y avait un paragraphe suivant :)
Oui, d'ailleurs je ne suis pas sûr d'avoir compris : tu visses dans les
colson ? Ca tient dans le temps ça ?
Pour les passer ensuite dans le feuillard. Ca sonne un peu bricolo-pipo
dans ma tête.

J'aurais préféré un boîtier avec un passant pour le feuillard (un
feuillard de 10 ou 13, ça va largement faire le boulot vu le poids de
ce que je vais mettre dedans).
 Et ça évite de faire un trou dans le boîtier et d'espérer que tu as mis
assez de sika.

C'est justement ce que je ne trouve pas.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Boitier étanche pour poteau 'cerclable'

2019-11-27 Par sujet Julien Escario
Bonjour,
Éprouvant toutes les peines à trouver le produit adéquat, j'aimerais
savoir si certains d'entre vous ont des références de boîtier étanche
tout simple, juste pour mettre une alimentation à découpage (100x50x20mm
+ câbles), et qui pourrait être cerclé autour d'un poteau, type appui
télécom ou énergie (pas juste un mât de diam. 20mm mais plutôt du
diamètre ~200mm).

Deux passages de câbles percés pour presse-étoupe seront les bienvenus
mais on sait aussi faire un trou de 10 dans du plastique.

Soit cerclé autour, soit avec des pattes en face arrière me permettant
de faire passer mon feuillard largeur 10, ce qui est nettement plus
simple pour aller farfouiller DANS le boîtier sans couper le feuillard.

Avant que la remarque n'arrive : les appuis en question appartiennent à
mon client, je ne fais rien de sauvage.

Merci,
Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  1   2   3   4   5   >