RE: [FRnOG] [BIZ] Boitier Multi-ISP

2021-05-04 Par sujet Michel Py via frnog
> Lucas Viallon a écrit :
> Je recherche un bon boitier pour faire du routage/équilibrage de charge sur 
> deux accès internet.

Le Firewall NG Untangle fait ça, ce n'est pas gratuit mais prix raisonnable.
A mettre sur son propre matos ou un z4.
https://www.untangle.com/shop/wan-balancer/


> David Ponzone a écrit :
> Tu t’en fous, tu fais du NAT sur ton routeur intermédiaire, et y a un
> autre NAT sur le CPE opérateur. Le double-NAT a jamais tué personne.

Quand on peut éviter, c'est encore mieux; même si c'est vrai que de plus en 
plus de choses supportent double-NAT, le moins j'en ai le mieux je me porte.


> Raphael Mazelier a écrit :
> Le moins d'equipement de ton ISP tu as le mieux tu te portes en général.

+1
Et si pas possible, au moins le mettre en mode bridge ou passthrough.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Recherche matériel réseau pour rétro-networking

2021-05-03 Par sujet Michel Py via frnog
> Oliver varenne a écrit :
> Sur linkedin, Thales recrute des dév ADA
> https://www.linkedin.com/jobs/search/?currentJobId=1190255234=ada

Exactement ce que je disais : aviation / militaire. Un marché petit et très 
fermé.
Il y a des offres pour du COBOL à côté de chez moi, aussi (sérieux).


> Erwan David a écrit :
> Un viogtaine d'offres à l'APEC... (il faut virer les 1 ou 2 pour un  loueur 
> de voiture multi-marques...)

Compare à combien qui demandent C ou Python ou Java

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Recherche matériel réseau pour rétro-networking

2021-05-03 Par sujet Michel Py via frnog
>> Michel Py a écrit :
>> Le problème d'ADA, c'est que à part un peu l'aviation et le militaire, ça 
>> n'existe pas. Si tu
>> ne fais pas partie de cette communauté, il n'y a pas grand-chose à se mettre 
>> sous la dent.

> Stéphane Rivière a écrit :
> Merci de maintenir ton niveau de troll. Je m'inquiétais de te trouver un peu 
> faiblard ces temps-ci.

Tu peux citer UN programme en Ada accessible au public ? je sais pas moi, un 
programme de compta, facturation, une appli web, un système d'exploitation, un 
traitement de texte, un jeu, un logiciel de gestion de réseau, une appli 
bureautique ? Un site de cul écrit en Ada ? Une appli de gestion de photos de 
chatons écrite en Ada ? UNE offre d'emploi qui demande Ada ?

Et puis un petit coup de gougleu vite fait : "most popular programming language"

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] 5G décentralisée sur la blockchain [troll?]

2021-05-02 Par sujet Michel Py via frnog
> Pierre Colombier a écrit :
> Est-ce que je suis le seul vieux con rétrograde à faire du classement 
> vertical catégorie
>"halacon" (ou "troll velu") dès que le mot blockchain apparait quelque part ?

Ben non. J'essaie de garder l'esprit ouvert, mais j'y trouve effectivement une 
quantité de bullshit élevée.
Ceci étant dit, il y a des gens qui ont gagné de l'argent avec, et il y en aura 
encore surement qui vont en gagner dans le futur, tant qu'il y aura des pigeons 
il y aura des margoulins pour leur prendre leur pognon.

Ca arrive dans tous les domaines, regarde Gamestop par exemple : un bon coup de 
tam-tam et il y a des milliards qui bougent. Combien ça vaudra dans 5 ans moi 
je demande à voir.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Recherche matériel réseau pour rétro-networking

2021-04-29 Par sujet Michel Py via frnog
>> Michel Py a écrit :
>> Windows, Intel et Microsoft, tu peux pas éviter. Cisco tu peux pas éviter 
>> non plus.

> Toussaint OTTAVI a écrit :
> Maigre consolation pour moi, je suis dans l'informatique d'entreprise,

Moi aussi.

> donc j'arrive encore à me passer de Cisco :-)

Surement parce que tu es trop petit. Il n'y a pas que Cisco, mais à moins que 
tu ne fasses que de la PME c'est difficile d'éviter le switch Catalyst et la 
longue lignée ISR 2500/2600/2700/2800/2900/4000.
Pour les grandes entreprises, c'est également difficile d'éviter le Nexus dans 
le datacenter et l'ASR à la bordure.


> Toussaint OTTAVI a écrit :
> Pour fabriquer un ordinateur, il fallait un microprocesseur, de la RAM, un 
> PIA, éventuellement
> une ROM, du perchlorure de fer pour le circuit imprimé, et un fer à souder. 
> On comprenait et
> maitrisait  ce qu'on faisait... L'instruction de programme qui engendre un 
> signal électrique,
> qui lui-même génère une  action sur un périphérique. Aujourd'hui, on retrouve 
> un peu cet état
> d'esprit avec les Arduino et Raspberry, qui sont faciles d'accès et 
> économiques.

+1000, je suis un fan du Raspberry Pi. Intéressant de voir comment ça a évolué 
aussi, étant devenu un ordi utilisable pour travailler et développer; j'écris 
le code pour le Pi sur mon Pi, ce qui historiquement n'a pas été le cas avec 
les microcontrôleurs.


> A coté de çà, j'étais aux anges quand j'ai découvert Python,
> et la délimitation des blocs par indentation (obligatoire).

Je déteste cette partie; l'indentation du code c'est pour le rendre lisible, je 
ne pense pas que ça devrait faire partie de la syntaxe. Le côté "Monty Python" 
de Python ne me plait guère.

> Puis j'ai découvert ADA, qui est une évolution "logique". C'est un langage 
> robuste, qui permet
> d'éviter une grande partie des erreurs de programmation, et dont j'apprécie 
> la logique.

Il y a pas mal de truc sympas, comme la surcharge des opérateurs.

> Il me manque juste un peu plus de temps pour m'y mettre plus sérieusement.

Le problème d'ADA, c'est que à part un peu l'aviation et le militaire, ça 
n'existe pas. Si tu ne fais pas partie de cette communauté, il n'y a pas 
grand-chose à se mettre sous la dent.


> Problème résolu ici. Même si cela fait partie de mon métier, la programmation
> doit rester un loisir, un plaisir, une satisfaction intellectuelle. Pas 
> question
> donc de coder dans un langage qui m'est désagréable comme C ou Perl :-)

Je ne raisonne pas comme ça; je ne programme plus pour le plaisir de 
programmer, maintenant je programme pour le plaisir de voir mon programme faire 
quelque chose, que ça soit utile, cool, nécessaire, etc. Le dernier truc que 
j'ai fait qui a demandé un Pi et un fer à souder, c'était pour utiliser un 
lecteurs de badges RFID qui parlait en Wiegand au Pi et qui devait parler au 
réseau aussi, et qui devait ouvrir une porte. La partie soudure ça a été vite 
fait, un relais quelques résistances enfin rien de compliqué. C'est moi qui ai 
choisi le langage de programmation, et j'ai choisi C. Pourquoi ? A cause de la 
partie Wiegand. J'en avais jamais fait, et j'avais ni l'envie ni le temps de 
réinventer la roue, donc j'ai commencé à regarder qu'est-ce que quelqu'un 
d'autre avait déjà fait pour faire du Wiegand sur un Raspberry Pi et j'ai 
trouvé du C donc j'ai fait mon projet en C.

Alors oui, c'est comme ça qu'on crée une usine à gaz tentaculaire avec plein de 
librairies dont on utilise même pas 1%, maintenant pour faire clignoter une DEL 
il te faut 512 Mégas de mémoire, toussa.
Sauf que, pour faire clignoter ma DEL, j'ai besoin du réseau, de TCP/IP, d'un 
client SQL, de syslog, etc et donc oui if faut 512 Mégas de mémoire et Linux. 
La raison pour laquelle on en est arrivé là, c'est que en quelques heures je 
peux faire marcher le machin (en réutilisant le code existant), alors qu'il 
aurait fallu des mois pour développer ça à partir de rien.


>> Le temps où on écrivait du code sur un processeur 8 bits à 1 MHz avec un jeu 
>> de 100 instructions
>> et quelques malheureux Kilos de mémoire, sans système d'exploitation, par 
>> rapport à ce qu'on a
>> aujourd'hui, c'est la même différence qu'entre une bactérie et un humain. Et 
>> ça a évolué de la même
>> façon aussi : à grands coups d'erreurs et d'échecs, et pas en favorisant le 
>> plus beau, le plus
>> rapide, le plus fort ou le plus sympa. En favorisant le plus coriace ou 
>> adaptable, celui qui survit.

> Belle image. Je dirais que ceux qui ont survécu, ce sont ceux qui ont su 
> recruiter
> des commerciaux et des marketeux là où les autres recrutaient des ingénieurs 
> ;-(

Hélas, et je le déplore autant que toi. Mais nous vivons dans un monde 
capitaliste.

No bucks, no Buck Rogers.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] Re: [MISC] 5G décentralisée sur la blockchain [troll?]

2021-04-29 Par sujet Michel Py via frnog
> Stephane Bortzmeyer a écrit :
> Il y a une définition officielle de « 5G » ? J'avais plutôt l'impression que 
> c'était un terme
> marketing qui pouvait désigner un groupe de technologies, toutes déployées 
> ensemble ou pas.
> Cf. la polémique entre Orange et Free pour savoir si la 5G de Free est de la 
> « vraie » 5G.

+1

C'est un peu comme "SD-WAN" ou Cloud, un fourre-tout marketing. Ici on dit 
CHIAAS ;-)

Il n'y a d'ailleurs pas de standard en télécoms, si on regarde dans un passé 
récent ce qui a existé ou existe encore :
CDMA, TDMA, GSM, UMTS, EV-DO, Edge, HS-DPA, LTE, GPRS, et j'en oublie. C'est 
une véritable tour de Babel.


> Christophe Desnoyer a écrit :
> mais, mon point, c'est qu'un modèle économique, même en vraie monnaie, basé à
> l'usage ne peut pas fonctionner pour un réseau à débit dérisoire, comme ici.

+1

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Recherche matériel réseau pour rétro-networking

2021-04-28 Par sujet Michel Py via frnog
> Toussaint OTTAVI a écrit :
> C'est juste que je me sens parfois un peu largué dans le monde actuel.

Pas plus que les jeunes, sauf que eux ils se sentent pas largués parce qu'ils 
n'ont pas connu l'évolution.
La raison pour laquelle tu te sens largué est parce que tu te rappelles de 
l'époque où on pouvait encore avoir une vision globale de l'informatique et du 
réseau et être relativement potable dans la majorité des domaines, ce qui a 
cessé d'être le cas depuis longtemps.

Windows, Intel et Microsoft, tu peux pas éviter. Cisco tu peux pas éviter non 
plus.


> Sans parler de l'omniprésent C, que mon cerveau a toujours refusé
> d'intégrer (illisible, illogique, intrinsèquement dangereux).

Pour moi C ça va encore (à petite échelle), quoi que pour la partie illisible 
et dangereux je suis d'accord, mais c'est un compromis entre la vitesse 
d'exécution de l'assembleur et la facilité du Pascal (mon favori). C++  et C# 
je m'y suis jamais vraiment mis. La programmation orientée objet j'ai du mal 
aussi; j'ai fait un peu de VB, mais j'ai du mal.
Le problème aujourd'hui c'est qu'il y a trop de choses. Au boulot, je fais (pas 
dans l'ordre) : Python, Perl, C, VB, Powershell, Batch (bon maintenant c'est 
plus MS-DOS .bat, c'est devenu .cmd command line, mais dans le temps on 
m'appelait batman, il y avait une raison), Go, Tcl, Sh.
 
Et ça ce n'est que pour supporter le réseau, mon métier c'est l'ingénierie de 
réseau donc c'est switch, routeur, pare-feu, cuivre, fibre, wifi, VLAN, IP, 
VPN, SIP, SNMP, OSPF, EIGRP, BGP, IOS, QOS, IPSEC, SSH, etc. Je ne me sens pas 
largué, mais ça fait longtemps que je ne peux plus approfondir plus de 2 ou 3 
choses en même temps.

Le temps où on écrivait du code sur un processeur 8 bits à 1 MHz avec un jeu de 
100 instructions et quelques malheureux Kilos de mémoire, sans système 
d'exploitation, par rapport à ce qu'on a aujourd'hui, c'est la même différence 
qu'entre une bactérie et un humain. Et ça a évolué de la même façon aussi : à 
grands coups d'erreurs et d'échecs, et pas en favorisant le plus beau, le plus 
rapide, le plus fort ou le plus sympa. En favorisant le plus coriace ou 
adaptable, celui qui survit.


> Vincent Habchi a écrit :
> Pour ceux qui ne le sauraient pas, le bruit « caractéristique » des disks ][ 
> au boot était dû au fait
> qu’à cette époque héroïque, les contrôleurs de disquettes n’existaient pas. 
> Le formattage était donc 
> fait en soft, et un octet quelque part dans la RAM stockait la position 
> courante de la tête de lecture
> parmi les 80 possibles. Mais évidemment, au boot, cet octet ne contenait plus 
> rien. Comment faire ?
> Réponse : demander à la tête de revenir 80 fois en arrière, quitte à heurter 
> 79 fois consécutivement
> la butée. Seul moyen de s’assurer que la tête était bien revenue sur la piste 
> 0...

Le Disk ][ n'avait d'ailleurs que 35 pistes... C'était un disque en plastique 
avec un sillon en spirale, et le clac clac clac c'était le bruit du doigt qui 
sautait du sillon quand le bras arrivait en butée.

> (2) Locksmith

:-D
Souvent l'intérêt d'un jeu sur disquette n'était pas de jouer (il y en avait 
des carrément nuls) mais de le déplomber pour faire une copie illégale de la 
disquette, c'était bien plus rigolo.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [SPAM] Re: [FRnOG] [MISC] Recherche matériel réseau pour rétro-networking

2021-04-28 Par sujet Michel Py via frnog
> Toussaint OTTAVI a écrit :
> Y a t-il un psy dans l'assemblée pour nous expliquer pourquoi nous sommes tant
> attachés à ces reliques de notre jeunesse passée, alors qu'un simple Raspberry
> Pi à 30 € est nettement plus puissant (et, accessoirement, permet de faire 
> tourner
> tous les émulateurs de la création + 10 ans de logithèque sur une simple 
> carte SD) ?

Ca fait pas le même bruit, ça réagit pas de la même façon. Le disk ][ qui fait 
le bruit caractéristique quand tu bootes, les paddles avec le petit bouton 
rouge de 2mm qui te niquent les mains, la disquette avec la découpe à la pince 
à tiercé pour utiliser la 2ème face, le clavier d'une ergonomie douteuse, tout 
ça tu l'a pas sur un émulateur.

> N'est-il pas tout simplement temps pour nous de rejoindre
> les machines de notre époque :  au musée, chez Cécile ? :-)

Parles pour toi, moi je soude toujours et de temps en temps j'écris un peu de 
code.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] 5G décentralisée sur la blockchain [troll?]

2021-04-28 Par sujet Michel Py via frnog
> Oliver varenne a écrit :
> Mais c'est comme la ruée vers l'or... Ceux qui deviennent riche sont les 
> vendeurs de pelles.

Et les propriétaires de terrain qui te le louent pour prospecter.
Et les politiciens.

Pas loin de chez moi, il y a plusieurs endroits très pittoresques qui, pour une 
somme raisonnable, te louent à la journée le matériel nécessaire à prospecter. 
Quand tu t'es gelé le cul dans la rivière toute la journée, tu ramènes 2 ou 3 
pépites, à peine plus grosses qu'un grain de sable, qui brillent un peu. Leur 
valeur est négative : oui elles contiennent de l'or, mais le traitement requis 
pour l'extraire coute plus cher que la valeur marchande. Le soir, pour te 
réchauffer, tu vas au saloon pour boire un whisky avec tes camarades, et les 
écouter de raconter les pépites qu'ils ont trouvées, dont la taille est 
directement proportionnelle au nombre de verres qu'ils ont sifflé.

Le truc que je n'ai pas compris dans ce machin, c'est qu'est-ce qu'il y a 
derrière pour que la FCC ait fait un effort; comme d'habitude les gens qui vont 
en retirer quelque chose sont ceux qui ont créé le machin depuis le départ, 
quand le public commence à en entendre parler c'est souvent déjà trop tard.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] 5G décentralisée sur la blockchain [troll?]

2021-04-27 Par sujet Michel Py via frnog
> Nick Rand a écrit :
> Est-ce que tout ça n'est qu'une grosse arnaque ourdie par des fabricants de 
> matériels qui veulent nous
> vendre de la 5G jusque dans nos maisons en nous faisant miroiter des mythcoin 
> à la clé pendant que
> {les reptiliens|les atlantes|les illuminati|les klingons|satan} nous implante 
> des ondes gamma dans la tête?

A première lecture, oui :P
J'ai lu un peu sur la bande en question (CBRS), tout ce que j'ai lu c'est un 
ramassis de promesses impossibles à délivrer.

Je t'explique le modèle économique : achète mon matos pour plusieurs centaines 
d'Euros. L'empire Klingon te dédommagera généreusement pour utiliser ton point 
d'accès. Ils veulent avoir établir une influence sur terre avant que les 
Vulcans n'arrivent, le 5 Avril 2063 comme tout le monde le sait. En fait, la 
technologie de 5G personnel, la raison pour laquelle elle marche c'est qu'elle 
utilise une technologie supérieure, de provenance Klingon, qui est nettement 
plus avancée que ce qu'on fait en ce moment.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-27 Par sujet Michel Py via frnog
>> Willy Manga a écrit :
>> J'espère que les uns et les autres comprendront pourquoi c'est vachement
>> plus intéressant d'allouer au moins un /56 pour un client résidentiel ;)
>> Madame Michu ne fera pas tout ça bien sur mais c'est possible de proposer
>> des services aux clients résidentiels et les placer chacun dans son propre
>> LAN. Chaque usage étant "cloisonné" avec les ACL qui vont bien avec.

>> David Ponzone a écrit :
> Je serais curieux de savoir quels sont les systèmes domo et autres (sono,
> media server, etc…) qui marchent encore en segmentant comme ça avec des ACL
> entres les LAN :) Déjà que la plupart des mécanismes automagiques ne marchent
> plus si tu sépares ton LAN en 2 subnet IP…

En effet, il y a encore plein de trucs qui sont basés sur un broadcast qui ne 
sort pas du VLAN.

Presque personne ne fait ça de toute façon, la preuve étant que c'est 
disponible depuis la nuit des temps.
Partant du même principe, on peut déjà faire 192.168.1.0/24 pour quelque chose, 
192.168.2.0/24 pour autre chose, etc.
Combien il y en a, même ici, qui font ça ? A un moment j'avais un VLAN 
visiteur, mais depuis que tout est WiFi et que mon système a une fonction 
visiteur intégré, je l'ai enlevé.
A job[-1] j'avais un VRF et un VLAN séparé pour le boulot, mais c'était pas un 
truc qu'on donnait aux utilisateurs.

Même en entreprise, dans les petites succursales on n'a souvent qu'un seul 
VLAN, alors le coup de donner par défaut un /56 au résidentiel ça me fait 
carrément rigoler.


> Vincent Habchi a écrit :
> Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. 
> Depuis, je me suis tourné
> vers ce démon, et, en bon philanthrope, j’ai ouvert l’accès à l’ensemble de 
> l’humanité ! :)

Dans le temps j'avais bloqué la Corée du Nord et quelques autres, mais 
honnêtement je pense que ça ne sert à rien :
Si on essaie de se protéger d'un truc issu d'une armée de zombies, il y en a 
suffisamment dans d'autres pays qu'on autorise.
Si on essaie de se protéger d'une attaque ciblée, ils ont un VPN.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-27 Par sujet Michel Py via frnog
> Willy Manga a écrit :
> Je pense que ces opérateurs ont des mécanismes qui ne se basent pas seulement 
> sur l'IP pour "caractériser" une personne.

Certes, et plus il y a de mécanismes mieux c'est, et une adresse unique au par 
machine c'est du pain béni : pas moyen de l'enlever, pas de mode privé, etc. 
C'est dans l'entête du paquet.

> Je serais plus fin en disant "chaque interface réseau" et non juste PC peut 
> avoir au moins
> une adresse globalement routable (mais dans la pratique c'est souvent au 
> moins 2).

Tout à fait, et aussi une FE80:, et plus.

> Même si je doute que tous les systèmes d'exploitation implémentent absolument 
> la
> RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais 
> l'adresse
> IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*.

Aucune importance, le merdiciel va générer sa propre adresse et la choisir pour 
envoyer son trafic.
Disons que ton réseau local soit 2001:DB8:CAFE:BABE::/64. Rien ne t'empêche de 
prendre :
2001:DB8:CAFE:BABE::1 pour ton routeur
2001:DB8:CAFE:BABE::2 pour ton serveur
2001:DB8:CAFE:BABE::3 pour ton iPBX
Etc. En partant du même principe, le merdiciel peut prendre n'importe laquelle 
des 2^64 adresses disponibles.

En ayant un réseau d'une taille aussi importante, dont l'adresse n'est pas 
réécrite par NAT, on a créé deux nouveaux profils d'attaque :

- Changer d'adresse souvent pour éviter de se faire bloquer par les systèmes de 
blacklist.
- Attaquer directement les systèmes de blacklist en générant tellement 
d'entrées qu'ils s'effondrent.

Dans les deux cas, la solution évidente est de blacklister le /64 dont lequel 
l'adresse fait partie, au lieu de blacklister l'adresse elle-même.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] RE: [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

2021-04-27 Par sujet Michel Py via frnog
> Julien CANAT a écrit :
> Ayant récupéré un cisco ME2600X avec quelques soucis, je cherche à utiliser 
> son port console, seulement voilà
> sur ce modèle cisco n'a rien trouvé de mieux à faire que d'utiliser un câble 
> console ultra spécifique :

Un truc comme ça ne te conviendrait pas ? j'ai jamais essayé sur un ME2600X 
mais ça marche sur plein d'autres modèles.
https://www.ebay.fr/itm/174457605233

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog
> Laurent Barme a script :
> Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers 
> d'IPv4 qui
> leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus 
> harassé.
> Pour les pirates, cela ferait un budget de $70 rien que pour les adresses 
> IP.

Sauf que les pirates ne payent pratiquement jamais les adresses. Sur les 24000, 
il y en a 23000 qui sont des victimes : le PC de Claude Michu s'est fait 
contaminé par un merdiciel, c'est lui qui t'attaque, et si il trouve quelque 
chose il va en rendre compte au pirate. Pour Claude Michu, non seulement il 
faut décontaminer le PC, mais il faut aussi parfois whitelister l'adresse. Et 
pour les 1000 qui restent, oui c'était le pirate, sauf qu'il était chez un 
hébergeur pas regardant et éphémère.

> Je sais qu'il est possible de bloquer une plage d'adresse mais au risque de 
> bloquer les accès légitimes dans la plage.

C'est déjà le cas avec IPv4, il y a 3 cas courants :

- L'hébergement mutualisé : sur 1 IP on met 100 sites WordPress ou autre, ou 
100 VM de daube derrière NAT, qu'on vend 2€ par mois. Quand un des sites se 
fait pirater, c'est l'IP entière qui se fait blacklister et tous les autres 
avec. Solution : Si t'as un business un peu sérieux, dépense un peu plus que 2€ 
par mois pour ton site.

- Les subnets d'hébergeurs sans scrupules : le pirate change d'hébergeur, et le 
nouveau client récupère l'adresse précédemment utilisée par le pirate, et qui 
est tellement blacklistée et parfois à la main que le nouveau client galère 
pendant des semaines à se faire délister.

-Variation sur le précédent : quand un /24 arrive à un certain niveau de 
contamination, il y en a certains qui bloquent le /24 entier, il y a un moment 
où ça devient nécessaire. Cette partie va devenir éminemment plus nécessaire 
avec IPv6, pour les raisons expliquées plus tôt.

Comme le faisait remarquer plus tôt Vincent avec blacklistd, le besoin de 
bloquer directement un préfixe en se basant sur une adresse a déjà été anticipé 
pas les gens qui sont plutôt du côté système (je suis plutôt du côté réseau). 
C'est un de ces exemples ou, pour adopter IPv6, il faut refaire ou adapter les 
outils.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Une announce BGP inhabituelle (armée étatsunienne)

2021-04-26 Par sujet Michel Py via frnog
> Thomas Brenac a écrit :
> Ce qui était gratuit et synonyme de liberté d'internet devient mercantile, et 
> je suis bien
> place pour le savoir. Mais au fonds de moi, je pense fermement que ce /8 
> devrait revenir
> et être redistribue aux RIRs, comme dans le bon vieux temps, gratuitement. Je 
> rêve.

Carrément. En plus, maintenant que nous sommes dans la phase "mercantile", je 
ne crois pas que ça serait une bonne idée de donner les adresses pour rien. Ca 
a été débattu, il y avait plein de margoulins connus dans la liste d'attente 
dont le but était de les obtenir gratos pour les revendre plus tard, que 
finalement je préfère le système du marché libre. Au moins ça n'enrichit pas 
les profiteurs.

Ce qu'il faudrait en faire des adresses du DoD si jamais elle se libèrent 
vraiment, c'est de les incorporer dans RFC1918. Mais ça ne peut pas arriver, 
car ça donnerait raisons au squatteurs.

> En plus des contraintes techniques, personne n’achètera un /8 (hors un 
> Google/Amazon/Microsoft),
> car les plus gros autres acheteurs sont souvent dans le collimateur des US
> (Iran, golf Persique au sens large, Chine) n'y auront pas acces.

C'est vrai que l'Iran qui achèterait un /8 du DoD du Grand Satan, ça fait 
carrément sourire comme idée !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog
> Michel Py a écrit :
> Si je devine correctement, c'est une des craintes que Laurent devait avoir 
> dans son billet original.

> Laurent Barme a écrit :
> C'est tout à fait ça !
> Mais j'ignorais que le /64 était officiellement prévu par machine ; merci 
> pour l'information !

C'est comme ça depuis 25 ans. Faudrait chercher profond pour en retrouver 
l'origine, mais le subnet de base en IPv6 est un /64, et il y a des FAI qui 
donnent des /56 à leur machinbox, tout ce qui est à droite c'est à toi.
IPv4 : ta machine est dans un subnet /24, tu as donc 2^8 (32 - 24) (moins 
celles déjà utilisées) adresses dispo si tu veux changer d'adresse.
IPv6 : ta machine est dans un subnet /64, tu as donc 2^64 (128 - 64) (moins 
celles déjà utilisées) adresses dispo si tu veux changer d'adresse.

> Du coup, cela ne fait plus que 2^(128 - 29 - 64) soit 1225 tickets d'attaque 
> par /29 gratuits ; ouf !

Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant 
disponibles :-( (à moins de bloquer dès le départ à /64).
Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même 2^35 
soit 34.359.738.368, suffisamment pour exploser ta blacklist.
Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, mais 
suffisamment pour être trop énorme pour suivre.
Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs de 
ça :
https://tools.ietf.org/html/rfc4941


> (Par contre je ne comprends par comment cela pourrait préserver la vie privée 
> de changer d'adresse dans une plage /64).

C'est une histoire de suivi (tracking) et de corrélation. Tout comme les 
cookies, big data suis ton adresse IP. Exemple typique : je suis en train de 
surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de 
switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son PC, 
pas du mien), et bam tout d'un coup les pubs que je reçois sont de la lingerie 
féminine. Comment tu crois que ça arrive ? On est tous les deux derrière NAT 
sur la même IP publique. Big data.

Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de 
l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une 
fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un suivi 
encore plus pointu et les GAFA de mettre leur nez encore plus profond. L'idée 
c'était donc que, dans la plage du subnet local /64, l'adresse du PC change 
régulièrement, ce qui en théorie empêcherait le tracking. Sauf que il y a 
tellement de méthodes pour tracker que l'utilité est douteuse.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog
>>>> Michel Py a écrit :
>>>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
>>>> IPv4/IPv6 pour le même réseau.
>>>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

>>> Uniquement l'adresse.

>> C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 
>> adresses; si je me rappelle
>> bien l'origine de ça c'était la vie privée, en changeant d'adresse tout le 
>> temps sur le papier il y
>> avait une possibilité d'améliorer les choses. J'y crois pas vraiment, mais 
>> c'est possible : les 64 bits
>> de droite sont disponibles pour chaque machine. Il faut donc s'attendre à ce 
>> que ça arrive;
>> contrairement à ce que certains disent, les malfaisants ne sont pas 
>> forcément cons et historiquement
>> très doués à trouver les failles d'un système. C'est donc relativement 
>> facile de faire planter ton
>> système, en le saturant avant un nombre d'adresses qu'il ne peut pas 
>> digérer. Quand tu détectes une
>> attaque en provenance d'une IPv6, il faut dès le départ bloquer au minimum 
>> le /64 correspondant.
>> Si je devine correctement, c'est une des craintes que Laurent devait avoir 
>> dans son billet original.

> C'est effectivement une possibilité.
> En IPv4, on remarque souvent des multiples IP du même /24 qui "attaque" en 
> même temps plusieurs cibles.

Il y a plusieurs des confrères qui font de l'agrégation avec des seuils : s'il 
y a plus de x /32 adresses blacklistées dans un /y, on enlève les x adresses 
individuelles et au lieu on annonce /y. Ca réduit la taille du feed, et quand 
un subnet devient pourri au-delà d'un certain point, c'est probablement la 
chose à faire.

Avec IPv6, vu que maintenant on donne un /56 à Claude Michu, ce n'est qu'une 
question de temps pour que les merdiciels comprennent la taille de l'espace 
adressable qu'ils ont et commencent à sourcer sur la plage entière dans le but 
de saturer fail2ban et autres. J'ai bien peur qu'il soit rapidement nécessaire 
de passer à /56 comme blocage.


> Vincent Habchi a écrit :
> Au passage, ceci est déjà prévu et disponible dans blacklistd:
> man blacklistd.conf
> [...]
> The name field, is the name of the packet filter rule to be used.  If the 
> name starts with a “-”,
> then the default rulename is prepended to the given name.  If the name 
> contains a “/”, the remaining
> portion of the name is interpreted as the mask to be applied to the address 
> specified in the rule,
> causing a single rule violation to block the entire subnet for the configured 
> prefix.

C'est un peu brutal (pas de seuil configurable), mais c'est en effet l'idée.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog
>>> Rémy Duchet a écrit :
>>> Stats d'IP pirate détecté sur 1 an:
>>> IPv4 : augmentation de 49% (actuel 12100 environ)
>>> IPv6 : augmentation de 43% (actuel 950 environ)

>> Michel Py a écrit :
>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
>> IPv4/IPv6 pour le même réseau.
>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

> Uniquement l'adresse.

C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 
adresses; si je me rappelle bien l'origine de ça c'était la vie privée, en 
changeant d'adresse tout le temps sur le papier il y avait une possibilité 
d'améliorer les choses. J'y crois pas vraiment, mais c'est possible : les 64 
bits de droite sont disponibles pour chaque machine. Il faut donc s'attendre à 
ce que ça arrive; contrairement à ce que certains disent, les malfaisants ne 
sont pas forcément cons et historiquement très doués à trouver les failles d'un 
système. C'est donc relativement facile de faire planter ton système, en le 
saturant avant un nombre d'adresses qu'il ne peut pas digérer. Quand tu 
détectes une attaque en provenance d'une IPv6, il faut dès le départ bloquer au 
minimum le /64 correspondant.

Si je devine correctement, c'est une des craintes que Laurent devait avoir dans 
son billet original.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog
> Rémy Duchet a écrit :
> Stats d'IP pirate détecté sur 1 an:
> IPv4 : augmentation de 49% (actuel 12100 environ)
> IPv6 : augmentation de 43% (actuel 950 environ)

Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
IPv4/IPv6 pour le même réseau.
Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog
> Laurent Barme a écrit :
> Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers 
> d'IPv4 qui
> leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus 
> harassé.

J'ai un feed BGP qui fait ça aussi, c'est presque tout le temps au-dessus de 
5. Tu n'es pas le seul.

> Je ne vois pas comment bloquer plus efficacement les attaques que subissent 
> mes serveurs
> autrement qu'en bloquant les adresses IP des pirates et j'ai un doute sur la 
> capacités de mes
> serveurs à faire le tri parmi des milliers de yotta d'adresses IPv6. Je sais 
> qu'il est possible
> de bloquer une plage d'adresse mais au risque de bloquer les accès légitimes 
> dans la plage.

Le problème n'est pas fondamentalement différent IMHO, à part qu'il faut faire 
le travail une 2ème fois comme toujours.
Je ne fais pas d'IPv6, mais je pense que pour bloquer, l'équivalent d'un /32 
serait un /64, le problème d'échelle est directement lié au nombre de machines 
contaminées. Il faut raisonner en termes de préfixes bloqués, pas en termes de 
nombre d'adresses bloquées. Je pense que d'inclure IPv6 dans le système, en 
bloquant au minimum un /64, ça ne ferait "que" doubler le nombre de préfixes à 
bloquer, plus le malus que les préfixes IPv6 demandent plus de ressources que 
les IPv4.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Une announce BGP inhabituelle (armée étatsunienne)

2021-04-24 Par sujet Michel Py via frnog
>> Michel Py a écrit :
>> Attention aux faux-amis ici, en anglais un "billion" c'est 10^9, alors qu'en 
>> français un "billion" c'est 10^12.

> Stephane Bortzmeyer a écrit :
> Non, en anglais, un "billion", c'est 10^12, c'est en états-unien que ça vaut 
> 10^9 :-)

Ah oui bien vu, merci pour la correction ! Je l'avais pensé dans le bon sens, 
mais mes doigts ont fourché. C'est à s'y perdre.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Une announce BGP inhabituelle (armée étatsunienne)

2021-04-24 Par sujet Michel Py via frnog
> Stephane Bortzmeyer a écrit :
> https://www.kentik.com/blog/the-mystery-of-as8003/

Mes commentaires en ligne, 

> Even as other nations began purchasing IPv4 as a strategic investment, the 
> DoD sat on much of their unused
> supply of address space. In 2019, Members of Congress attempted to force the 
> sale of all of the DoD’s IPv4
> address space by proposing the following provision be added to the National 
> Defense Authorization Act for 2020:

> Alors même que d'autres pays ont commencé à acheter IPv4 en tant 
> qu'investissement stratégique, le Ministère
> de la Défense Américain (DoD) garde en réserve une grande partie de son 
> espace d'adressage inutilisé. En
> 2019, les membres du Congrès ont tenté de forcer la vente de tout l'espace 
> d'adressage IPv4 du DoD en
> proposant que la disposition suivante soit ajoutée à la de finance de la 
> défense nationale pour 2020:

Cà c'est typique des politiciens qui n'y comprennent que dalle.

Est-ce que DoD a beaucoup d'adresses ? Oui, vraiment beaucoup.

Est-ce que DoD a trop d'adresses ? Oui, il y a forcément du gaspillage. 
Personne ne connait les détails, mais bon question optimisation des adresses, 
il y a surement un énorme gaspillage et des progrès énormes à faire.
Pourquoi ils ne le font pas ? Parce que renuméroter c'est compliqué, laborieux, 
risque de poser des problèmes, qu'ils n'ont pas besoin de le faire, et que 
personne ne leur a demandé.
Et parce que, contrairement à ce que certains disent, DoD ils sont dans le même 
bateau que tout le monde en ce qui concerne IPv6 et que d'enlever IPv4 ce n'est 
pas demain la veille.

Est-ce que ces adresses sont inutilisées (unused) ? Pas forcément. Ce n'est pas 
parce qu'elles ne sont pas annoncées sur l'Internet public qu'elles sont 
inutilisées. Le problème c'est que dans un /8, même s'il n'y a que quelques 
malheureux /24 et /16 qui sont en service, on ne peut pas vendre le /8 en 
entier, voir plus haut. Le cas d'adresses uniques utilisées uniquement sur un 
réseau privé a toujours été la justification de les obtenir.


> Sale of Internet Protocol Addresses. Section 1088 would require the Secretary 
> of Defense to sell at fair
> market value all of the department’s Internet Protocol version 4 (IPv4) 
> addresses over the next 10 years.

> Vente d’adresses IP : l’article 1088 obligerait le Ministre de la Défense à 
> vendre à la valeur du marché
> toutes les adresses Internet Protocol version 4 (IPv4) de DoD au cours des 10 
> prochaines années.

Logique que ça soit sur 10 ans, faut pas tuer le marché en mettant tout à 
vendre au même moment.


> The proceeds from those sales, after paying for sales transaction costs, 
> would be deposited in the
> General Fund of the Treasury. The authors of the proposed legislation used a 
> Congressional Budget
> Office estimate that a /8 (16.7 million addresses) would fetch $100 million 
> after transaction fees.

> Le produit de ces ventes, après paiement des frais de transaction, serait 
> déposé au
> Fonds général du Trésor Public. Les auteurs du projet de loi ont utilisé une 
> estimation
> du Bureau du Budget du Congrès selon laquelle un /8 (16,7 millions d'adresses)
> rapporterait 100 millions de dollars après les frais de transaction.

Et bien plus que ça aujourd'hui, on en est aux environs de $29 par IP ces 
jours-ci, donc on parle plutôt de $400 millions.
Bon je les prendrais bien moi, les $400 millions, mais le budget de DoD 
additionné aux petits copains la CIA et la NSA est pratiquement un trillion (en 
anglais) de dollars, soit 10^12. Le budget fédéral est de 3,7 trillion,  donc 
ça représente 1/1, une goutte d'eau dans la mer.

Attention aux faux-amis ici, en anglais un "billion" c'est 10^9, alors qu'en 
français un "billion" c'est 10^12.
https://www.btb.termiumplus.gc.ca/tpv2guides/guides/clefsfp/index-fra.html
https://fr.wikipedia.org/wiki/Billion_(nombre)


> In the end, it didn’t matter because this provision was stripped from the 
> final bill that was signed into law
> - the Department of Defense would be funded in 2020 without having to sell 
> this precious internet resource.

> En fin de compte, peu importe car cette disposition a été retirée du projet 
> de loi final qui a été promulgué.
> Le Ministère de la Défense serait financé en 2020 sans avoir à vendre cette 
> précieuse ressource Internet.

Alors justement pourquoi est-ce que ces adresses en question n'ont pas été 
vendues et que la disposition en question a été enlevée ?


> Jean-Charles Bisecco a écrit :
> La projet de migration IPv6 du DoD étant bien lent, ils se sont surement dit 
> qu'ils allaient commencer
> à vendre des IPv4 plus rapidement que ce que prévoyait la bill non validée 
> évoquée dans l'article.

Je crois que c'est le contraire : le projet de migration IPv6 du DoD étant bien 
lent, ils ne sont pas prêts à vendre leurs IPv4, et c'est donc la raison pour 
laquelle le projet de loi pour les vendre a capoté.

> Auparavant ils devaient logiquement filtrer leurs 

RE: [FRnOG] [TECH] Une announce BGP inhabituelle (armée étatsunienne)

2021-04-24 Par sujet Michel Py via frnog
> Stephane Bortzmeyer a écrit :
> Si vous voulez regarder l'AS 8003 sur stat.ripe.net, prenez une machine 
> costaud, le navigateur Web va souffrir.

En faisant quoi ? Je ne vois que 625 préfixes, c'est pas la mer à boire.


> thomas brenac a écrit :
je me demande pourquoi il y a des geolocalisations en Espagne, Belgique, 
Australie, Norvege.

Moi aussi, mais je suis sur que c'est legit.

> et 'que' 379 /24 sur un total de 625 prefixes.

Oui je suis surpris aussi, je m'attendais à bien plus.
Analyse détaillée à suivre.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC]Cartographier un câblage réseau existant ?

2021-04-24 Par sujet Michel Py via frnog
> Nicolas S.
> - prendre son courage à deux mains, çà sera quand même pénible à faire.

Pour 50 prises sur 3 étages, ça va prendre 2 heures à 2 personnes au minimum; 
c'est pour ça que tant que tu y es, à devoir tout débrancher de toute façon, 
c'est probablement une bonne idée de mettre un switch récent managé même si tu 
fais la cartographie au testeur.


Indispensable aussi : une étiqueteuse
https://www.amazon.fr/Brother-Etiqueteuse-bureautique-compacte-symboles/dp/B01I3EQM6K
Imprimer les étiquettes à l'avance, non seulement ça fait gagner du temps de 
les avoir déjà prêtes, mais en plus ça fait économiser un peu de ruban; chaque 
fois qu'on coupe il y a de la perte.
A01A02A03A04A05...

En option, pour étiqueter les câbles eux-mêmes, j'ai celle-ci, avec les 
étiquettes Nylon flexible de 19mm (3/4") :
https://www.amazon.fr/DYMO-S0955970-4200/dp/B005HVYC8I
https://www.amazon.fr/Compatible-Remplacement-Industrielles-Flexible-Auto-Adh%C3%A9sif/dp/B08S3683CM

Je préfère le laminé pour mettre sur les surfaces plates, les prises murales, 
etc; et le nylon flexible pour les câbles.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC]Cartographier un câblage réseau existant ?

2021-04-23 Par sujet Michel Py via frnog
> Laurent Barme a écrit :
> Pour faire ça j'ai investi dans un testeur avec 25 bouchons numérotés et un
> boîtier qui affiche leur identification lue à travers le branchement.

Je plussoie, le VDV501-852 ça marche pour moi, pas trop cher.
https://www.amazon.com/Klein-Tools-VDV501-852-Tester-Locates/dp/B08BDBB983/
Il y a plein d'autres modèles / marques aussi.

L'inconvénient c'est qu'il faut tout débrancher en même temps, et c'est 
carrément plus rapide quand on est deux.


> A priori, il n'y a pas de switch manageable qui permettrait d'aider un peu.

Au prix des switch manageable, c'est pas forcément une mauvaise idée d'en 
mettre un non plus...
Le paquet CDP / LLDP ça te dit sur quel port du switch tu es branché, après il 
n'y a qu'à suivre la jarretière entre le panneau de brassage et le switch.


> Alexis Lameire a écrit :
> - LLDP : mais ça implique du switch manageable. Ca marche plutot pas mal 
> gràce à https://github.com/lldpd/lldpd

Wireshark avec le bon filtre d'affichage ca fait le boulot aussi,  et c'est 
surement déjà installé sur le portable.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Question con

2021-04-23 Par sujet Michel Py via frnog
> Oliver varenne a écrit :
> Par efficace j'entend : stabilité et meilleurs débit par rapport à ce qu'on 
> peut attendre de la ligne

C'est toujours un compromis. Plus de vitesse maximum = moins de stabilité, et 
vice-versa.


> Clairement dans ce cas, 6M semble être le maximum. Mais y'a 6M qui coupe 
> toutes les 3h et 5.5M qui coupe pas

Le problème avec le machin automagique pour aDSL c'est que çà revient rarement 
en arrière. Une radio, ça descend quand il se met à pleuvoir et ça remonte 
quand l'orage s'arrête; aDSL, pas vraiment.


> Tu vois ce que je veux dire. On peut sacrifier 1 ou 2M pour avoir quelque 
> chose qui tient.

Le compromis dont je parlais au-dessus; tu choisis entre la vitesse et la 
stabilité.



>> Si tu veux améliorer la stabilité de la liaison, il faut donc :
>>  - Augmenter la largeur du spectre (en évitant les pièges à con genre radar 
>> météo, et les voisins).

> J'aurai dit l'inverse justement: réduire la largeur du spectre. (en gardant à 
> l'esprit que efficacité = stabilité, et non pas "débit max")

Vu que c'est un compromis, tout ce qui est bon pour la vitesse (y compris la 
largeur de spectre) est bon pour la stabilité : tu enlèves d'une poche ce que 
tu mets dans l'autre, donc ce qui compte au final c'est la somme de ce que tu 
as dans tes poches.

En aDSL, la largeur du spectre n'est pas (ou peu, genre Annex M) ajustable. En 
descendant c'est de 138 à 1104 kHz, donc 0,966 MHz, donc avec la même 
efficacité spectrale d'un peu plus de 20 bits / seconde / Hz qu'on trouve sur 
une radio récente, t'en arrives à un maximum théorique de 20 et quelque Mb/s, 
pour des raisons similaires.
 
Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Question con

2021-04-23 Par sujet Michel Py via frnog
La partie Wifi :

> Oliver varenne a écrit :
> Sur un lien PTP wifi (par exemple), il est plus « efficace » de transporter
> la même energie sur une largeur de 10Mhz que 80Mhz ou 160, vrai ?

Il n'y a pas de question con, mais par contre question ambiguïté c'est top :P
Définis "efficace" ? et "energie" ?

Je pense pas que de réduire la largeur du spectre ça rende la liaison plus 
efficace. Certes, en utilisant moins de spectre on en libère une partie pour 
quelqu'un d'autre, mais vu que la bande passante est directement dépendante de 
la largeur du spectre, pour la maintenir il va falloir améliorer quelque chose 
d'autre, ce qui est rarement possible.
Pour moi, l'efficacité (spectral efficiency) d'une radio ça se mesure en bits / 
seconde / Hz. Sur une radio récente 4096QAM on est à un peu plus de 20, donc 
pour avoir 1 Gb/s il faut 50 MHz de spectre.
Si tu réduis la largeur à 10 MHz, ta bande passante va tomber à 200 Mb/s.

Uniquement dans le cas où tu n'as besoin que d'une fraction des capacités de la 
radio (rare dans la réalité) tu peux te permettre d'utiliser un spectre étroit. 
L'efficacité, elle est propre à la radio elle-même, et aux spécificités de la 
liaison qui peuvent dégrader l'efficacité maximum théorique.


> Donc sur un lien PTP wifi (toujours par exemple), si la connexion est un peu 
> limite,
> réduire la bande passante permet de « concentrer l'Energie » (je ne sais pas 
> si ça
> peut être vu comme ça) et donc d'augmenter le SNR ? ou j'ai rien compris

Euh t'as pas tout compris :P

Pour commencer, tu ne réduis pas la bande passante de la radio. La bande 
passante, c'est une fonction complexe qui a de multiples paramètres.
Sur une radio moderne, ce que tu peux régler, c'est 3 choses :
- La largeur du spectre.
- La puissance d'émission.
- La complexité de la modulation (le niveau de QAM).

Si tu veux améliorer la stabilité de la liaison, il faut donc :

- Augmenter la largeur du spectre (en évitant les pièges à con genre radar 
météo, et les voisins).

- Avoir juste la bonne puissance d'émission, qui n'est pas forcément la 
puissance maximum (même si on prend des libertés avec la PIRE). Sur une 
Airfiber par exemple, les modulations efficaces 1024QAM et 4096QAM ne peuvent 
pas être atteintes à la puissance d'émission maximum, car l'étage 
d'amplification a un taux de distorsion élevé qui est incompatible avec la 
finesse nécessaire. La puissance d'émission maxi, ça sert dans un cas bien 
précis : la longue distance, avec une antenne pas forcément bonne, à une 
vitesse réduite. Avec la PIRE Française je pense pas que c'est une limite mais 
avec la mienne, oui; les vitesses maxi sont obtenues avec 6bB de moins que ce 
qu'on pourrait patater.

- Limiter le niveau de QAM. Plus la QAM est élevée, plus elle est 
chatouilleuse. En limitant la QAM, tu perds de l'efficacité et donc de la bande 
passante, mais comme la complexité su signal est moindre, tu peux avoir un 
rapport S/B plus faible.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-22 Par sujet Michel Py via frnog
> Toussaint OTTAVI a écrit :
> Beaucoup de monde semble apprécier Unifi. J'aime beaucoup Ubiquiti pour leur 
> gamme PtP
> (PowerBeam/NanoBeam etc...), mais je n'ai pas aimé les AP Unifi. Enfin, j'ai 
> juste essayé
> en vitesse avec 2 AP. Leur système de contrôleur, et le fait de devoir en 
> installer deux,

Là j'ai pas compris ? une VM avec du snapshot ça marche pour moi. Et oui en 
plus sous Windaube :P
Et, pour avoir essayé, le controleur qui se barre en couille çà n'arrête pas le 
truc, c'est plutôt quand il reboote qu'il faut avoir peur.


> A part le prix, vous leur trouvez quoi, aux AP Unifi ? ;-)

C'est même pas le prix. Note que je mets ce qui suit au passé, parce que ça 
fait 2 ans que j'y ai pas touché, mais comparé à Junisco, c'est pas parce que 
la borne vaut 150 balles au lieu de 800, et c'est pas parce qu'en plus la 
license à la mords-moi-la-bite fait que finalement un AP Junisco ça finit par 
couter 3000 balles au lieu de 150 que j'ai choisi.

J'étais dans un environnement super difficile. Le UAP-AC-PRO, ça juste marchait 
et en plus ça me faisait pas chier.
C'est là ou ils ont tout faux avec leur connerie récente : sans ça, j'aurais 
même pas regardé un autre vendeur. Maintenant qu'ils me font chier la b..e avec 
leur marketing à la con et "dans 1 an ça s'arrête", je regarde de nouveau.


>> Ce qu’ils sont en train de faire à leur réseau de distribution indirecte 
>> aussi est contestable.

> Tu peux préciser ? En ce qui me concerne, je n'ai pas vraiment trouvé de 
> "réseau de distribution" chez eux.

Même question. Mes UAP-AC-PRO, je me rappelle pas vraiment ou je les ai 
achetés, mais il y en a la moitié probablement sur Amazon.
C'était un des critères de décision, d'ailleurs : on achète un produit 
banalisé, pas besoin de s'emmerder avec un réseau de distribution.


> Julien Escario a écrit :
> Ce constat se fait sur à peu près tout en informatique. Un constructeur, 
> passé une taille critique assez basse finalement,
> n'a pas beaucoup de mal à monter une chaîne logistique vers le client final. 
> Le site ecommerce, c'est quasiment une
> commodité  maintenant et ensuite c'est surtout de la logistique, beaucoup de 
> gens savent faire ça très bien.

Intellectuellement je suis vachement d'accord avec toi, mais dans la pratique, 
tu pourrais pas expliquer ça aux vendeurs qui ont pété les plombs ?


> On est en train d'assister à la disparition des 'grossistes'. Prédiction: 
> dans 10 ans, ce métier n'existe plus.

J'aimerais tant que tu aie raison, mais je n'y crois plus. J'essaie d'être le 
plus désagréable possible avec toi : tu parles comme un vieux con. :P

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-21 Par sujet Michel Py via frnog
>>> Xavier Beaudouin a écrit :
>>> Perso je préfère de loin unifi ou bah : a partir de tel version
>>> d'unifi les AP ne seront plus supporté : "clone vm", basta.

>> Michel Py a écrit :
>> Pareil ici. Même s'il y a une politique d'obsolescence planifiée, tu n'es
>> pas obligé de mettre ton contrôleur à jour et surtout, surtout, tu ne te
>> fais pas empapaouter à sec avec la license des "autres" vendeurs.

> David Ponzone a écrit :
> Oui enfin, si tu veux supporter les nouveaux AP, tu dois quand même mettre à 
> jour. Donc tu finis avec plusieurs
> versions du contrôleur. C’est certainement plus acceptable que le modèle 
> Merdaki mais ça peut devenir compliqué
> à gérer quand tu as des clients, et qu’un client avec des vieux AP veut aussi 
> des nouveaux…

Oui faut reconnaitre qu'ils baissent dans mon estime. Pour les vieux AP ça 
vaudrait peut-être le coup de stocker un peu.
Et puis il y a le marché d'occase et la récup des clients qui sont partis vers 
la nouvelle gamme, mais c'est quand même craintos.

> Mais Ubiquiti, +1. Faudrait juste qu’ils arrêtent de faire n’importe
> quoi avec Video/Protect/what next ? Ca c’est pas sérieux du tout.

C'est la folie des grandeurs, et ils sont loin d'être à la hauteur de Louis de 
Funès. C'est incroyable le nombre de boites qui se sont plantées à faire ce 
genre de chose, diversification tous azimuts dans des domaines qui ne font pas 
partie de leurs compétences de base. Bon c'est classique des boites qui sont 
parties de rien et qui en quelques années se retrouvent cotées en bourse; tout 
d'un coup ils se retrouvent avec plus de pognon qu'ils ne peuvent dépenser.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-21 Par sujet Michel Py via frnog
> Xavier Beaudouin a écrit :
> Perso je préfère de loin unifi ou bah : a partir de tel version
> d'unifi les AP ne seront plus supporté : "clone vm", basta.

Pareil ici. Même s'il y a une politique d'obsolescence planifiée, tu n'es pas 
obligé de mettre ton contrôleur à jour et surtout, surtout, tu ne te fais pas 
empapaouter à sec avec la license des "autres" vendeurs.


> Vincent Habchi a écrit :
> Quant à détecter un signal radar, à moins d’opérer à l’extérieur à proximité 
> d’un aéroport commercial ou
> militaire, les chances sont infinitésimales. Les radars ne tirent pas à 
> l’horizontale, généralement
> (c’est d’ailleurs un souci quand des avions disparaissent en-dessous d’une 
> certaine altitude de vol).

Les radars météo c'est différent; les interférences avec WiFi sont courantes, 
ceci dit dans la très grande majorité des cas c'est du WiFi PTP directionnel 
qui pointe directement vers le radar.


> Julien a écrit :
> Attention à ne pas confondre les radars météo (qui opèrent autour de 5650Mhz) 
> avec
> les radars de détection d'aéronefs qui opèrent à des fréquences biens plus 
> hautes

Exact.

> Le problème est que ces radars ont une sensibilité extrême, donc une
> borne wifi dans l'axe à plus de 100km peux perturber la détection météo.

Ca par contre c'est de la légende (pour la partie 100km). Ce qui est vrai, 
c'est que sur l'écran du radar météo tu vois une radiale qui peut en effet 
s'étendre sur 100 km, mais c'est l'interprétation qu'en fait le radar; dans 
tous les cas que j'ai regardé, la source de brouillage était proche du radar 
météo (qui n'est d'ailleurs pas forcément proche d'un aéroport). C'est très 
reconnaissable, sur l'écran. D'ailleurs, comme tous ceux qui font du WiFi PTP 
sur la distance le savent, pour capter un signal WiFi 5600 Mhz à 100 km, faut 
se lever tôt; rien que pour la courbure de la terre il faut une antenne qui 
soit plus haute que la tour Eiffel ou qu'elle soit sur une montagne. Ca peut 
arriver, mais faut faire exprès. Attention à ne pas tomber dans les arguments 
de plateux, la terre est ronde.

> Vincent Habchi a écrit :
> Ouais, enfin, à ce niveau-là, c’est clairement le régulateur et les 
> organisations de normalisation
> internationales qui sont à blâmer (ITU, CEPT…). On n’autorise pas une 
> application scientifique et
> une application grand public sur la même bande de fréquence. C’est totalement 
> incohérent.

En effet.


> Wallace a écrit :
> Par contre quand l'appareil coupe son transpondeur, il devient invisible sur 
> les radar civils.

C'est complètement faux. Un radar civil va détecter l'écho de l'avion, 
transpondeur ou pas. C'est le principe même du radar. Les avions qui ne se 
voient pas au radar, c'est une autre technologie (dont la France ne dispose 
pas). Peut-être que la détection se fera d'un peu moins loin, et évidemment on 
va perdre le squawk et possiblement l'altitude si le transpondeur en est 
capable, et l'ident aussi, mais l'avion se verra toujours sur le radar. Au 
fait, ici le squawk VFR c'est 1200, pas 7000. Le transpondeur, c'est une 
amélioration du radar; quand il ne marche pas on perd de l'info, mais pas 
l'écho.

A côté, il y a l'ADS-B, qui est un animal complètement différent basé sur le 
GPS. Il y en a qui disent que ça va remplacer le radar; faudrait que tous les 
avions en soient équipés, on verra.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] le fil des vieux

2021-04-20 Par sujet Michel Py via frnog
> Toussaint OTTAVI
> Mince ! J'ai raté un thread de vieux :-)

T'es pas aussi vieux que ça :P

Le mec qui a fait le plus pour démocratiser Internet ?
Moi je vote pour Peter Tattam. J'ai eu le plaisir de le rencontrer plusieurs 
fois.
C'est le mec qui a écrit Trumpet Winsock. Sans ça, peut être que l'Internet 
n'aurait jamais démarré sur Windoze. Quand j'ai commencé, avec un modem à 9600 
bauds, sans Trumpet Winsock, pas d'Internet à la maison.


> Et puis là, fin du rêve... Il a fallu commencer à travailler ! A faire des 
> trucs qu'on ne m'avait
> jamais appris, comme des devis, des factures, installer Novell Netware puis 
> Windows NT,

Moi on ne m'avais jamais appris ça non plus, j'ai appris moi-même. CNE depuis 
Netware 2.x sur un 286.
Avant ça, j'ai écrit du code dBase II sous CP/M. Oui, sur un Z80. Me demandez 
pas comment, j'ai réussi à éviter le FORTRAN et le COBOL.
Quelque part j'ai été puni car je me suis bouffé du X25, du SS7, de l'ATM, du 
frame-relay et autres à n'en plus finir.

Netware je n'ai jamais trouvé ça compliqué; peut-être que c'est parce que je 
suis tombé dedans quand j'étais petit, mais c'était un produit vachement 
logique que ce soit au niveau serveur ou au niveau poste de travail.
Si tu comprenais un peu le modèle ISO, c'était clair. Sur le serveur, tu 
chargeais le pilote de la carte réseau (load ne2000, niveau 1), puis tu liais 
la trame Ethernet_II ou Ethernet_SNAP (niveau 2) qu'il fallait, en fonction du 
protocole (niveau 3) de niveau supérieur. Je l'ai fait plein de fois, on 
pouvait avoir IPX, IP, et Appletalk sur la même carte réseau, et c'était 
vachement logique.

Pour le poste de travail, c'était pareil :
C:\LSL.COM
C:\NE2000.COM
C:\IPXODI.COM
C:\NET3.EXE

Pour les jeunes : on faisait déjà du réseau multiprotocole, y compris IPv4, il 
y a 30 ans. Sous MS-DOS, et parfois avec un Macintosh. Le meilleur serveur pour 
un Mac, c'était Novell Netware.
Ah fallait pas être pressé, il y avait plusieurs boites de disquettes à donner 
à bouffer, et je parle pas de COMPSURF.


> vendre et faire marcher un système même si on sait que c'est de la m*rde,

C'est bien pour ça que je ne vends plus.


> envoyer des rapports détaillés d'anomalies à Microsoft et Compaq (devenu hp) 
> en pensant naïvement qu'ils allaient les corriger...

Chez tous les vendeurs, il y a eu un petit nombre d'années (avant qu'ils ne 
deviennent trop gros et soient consommés par les conneries du marketing) ou le 
tech support t'écoutait parce que c'était encore l'époque ou un ingé pouvait 
parler à un autre ingé. Fallait avoir grimpé l'échelle, et ça n'a jamais duré 
longtemps, mais quand t'étais CNE au début des années 90 ou MCSE quelques ans 
plus tard ou CCIE au début du millénaire, ça comptait encore pour quelque chose.

Oh et puis, au début des années 90, quand on était CNE, on pouvait appeler les 
disquettes par leur vrai nom.
Par exemple, la disquette OSEXE-1. La réponse, plus bas.

Michel.






Plus bas






Encore





OSEXE-1 : Oh - Sexe - Un


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-20 Par sujet Michel Py via frnog
> merwan a écrit :
> On utilise uniquement du Unifi chez nos clients. Selon ta surface à couvrir 
> il faudra prévoir
> +/- d’AP, mais les UAC-AP-PRO fonctionnent très très bien et couvent une 
> sacrée distance.

Je plussoie aussi, c'est un modèle dont j'ai installé des quantités.

Je me demande si je ne prendrais pas le Unifi 6 Lite au lieu du LR, ceci dit. A 
l'époque, le UAC-AP-PRO avait l'avantage sur le modèle plus petit que c'était 
du POE 802.11af standard au lieu du POE passif, mais cet argument ne tient 
plus. L'argument "LR" je n'y crois qu'à moitié : dans un système WiFi, la 
limitation est souvent ce qui se connecte dessus, pas la borne elle-même; un 
mobile ou un portable avec une radio de daube, ça va pas forcément mieux 
marcher avec un LR qu'avec un Lite.


> Ludovic LACOSTE a écrit :
> Depuis que Dieu a inventé les harmoniques de fréquences. "Les fréquences du 
> WiFi sont les bandes 2,45 GHz
> (2 400-2 483,5 MHz) et 5 GHz (5 150-5 350 MHz et 5 470-5 725 MHz). Dans la 
> bande 2,45 GHz, le WiFi est en
> partage avec d’autres technologies pour les appareils de faible portée (par 
> exemple, le Bluetooth)

Je vois toujours pas le rapport avec le VOR et je n'ai jamais entendu parler 
d'interférence avec WiFi. VOR est une technologie ancienne (années 60) basée 
sur une différence de phase entre deux signaux; c'est sensible aux 
interférences (par exemple quand il y a de l'orage, l'aiguille bouge) mais je 
ne connais pas de cas connu d'interférence WiFi. Vu la puissance d'émission 
d'une balise VOR et la différence de fréquence, il faudrait une accumulation de 
facteurs très improbable pour que ça se produise.

En plus le VOR ces jours-ci, à part de faire suer le burnous aux candidats à la 
certification instrument, c'est à peu près aussi utile que le coax 10base-5 à 
vampires. C'était le bon vieux temps, comme dans un autre fil ;-)

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-20 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> De toute façon, qui a besoin de 1Gbps de BP en wifi….

Plein de gens y compris moi. Je fais du WiFi de campus / entreprise, donc ça 
sert principalement à accéder à des serveurs sur place, dont tous sons GigE et 
plein en 10G; le WiFi c'est pas que pour streamer Netflix.

> Après si c’est du WIFI qui vient remplacer l’ethernet, c’est un autre 
> problème et vu
> l’économie de câblage que ça représente, ça mérite bien de densifier niveau 
> AP.

Les utilisateurs ils veulent la mobilité à l'intérieur du campus maintenant. 
Avec Covid ça s'était calmé mais je vois ça revenir au galop.


> Vincent Habchi a écrit :
> Depuis quand les VOR et le WiFi opèrent-ils sur des fréquences proches ?
> Pour moi, les VOR, c’est du VHF juste au-dessus de la FM (108-120 MHz).

+1

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] RE: [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-20 Par sujet Michel Py via frnog
> Wilfried Tidas a écrit :
> après je me posait la question surtout pour l'utilisation des spectres. Il 
> faut donc mieux les set a la main ?

Sur un campus de grande dimensions, c'est ce que je fais; pas de MIMO.
Le problème de MIMO, c'est que au final on a plusieurs bornes et clients qui se 
battent pour la même fréquence, et c'est pas glop.
Avec MIMO, on a refait la même connerie qu'en 2.4 GHz : les canaux qui se 
recouvrent (en 2.4 GHz, en réalité il n'y a que 3 canaux : 1, 6, et 11).

MIMO c'est très bien au milieu de la cambrousse car on peut effectivement 
utiliser tous les canaux en même temps et donc avoir la vitesse maximum, mais 
en milieu dense on en revient toujours au même problème de base : quelle 
largeur de spectre on alloue à combien de clients. Moi je préfère la méthode 
déterministe : même si la bande passante maximum est plus faible, j'alloue 1 
canal ou 2 à une borne, comme ça elle bave pas sur la fréquence des bornes 
proches.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] RE: [TECH] Retour sur UniFi 6 Long-Range Access Point

2021-04-20 Par sujet Michel Py via frnog
> Wilfried Tidas a écrit :
> Je souhaites avoir un retour sur les performances long terme des bornes Unifi 
> wifi 6 ou les
> bornes Unifi en général dans un environement  d'entreprises assez larges 
> (300-500 personnes).

Satisfait ! Pas encore fait de WiFi 6, ceci dit. Pour ce qui est du multi-gig, 
je ne fais pas de toute façon : il faut allouer une partie très importante du 
spectre à chaque borne, je préfère mettre les canaux à la main, pour qu'ils ne 
se recouvrent pas.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] OVH + openstack SBG3 en carton ?

2021-04-19 Par sujet Michel Py via frnog
>> Vincent Habchi a écrit :
>> C’est comme les premiers réseaux Ethernet sur des câbles coaxiaux, fallait 
>> faire
>> gaffe à ne pas oublier le bouchon de terminaison 50 Ω, sinon c’était la 
>> cata..

> Nicolas Bougues a écrit :
> Tu parles bien du câble jaune, des transceivers "vampires" et cartes à prise 
> AUI ?

C'était moderne :P 10 Mégas, quelle vitesse fabuleuse. La bonne époque de la 
NE-1000, on pouvait déjà mettre plus que 1 protocole (IP et IPX) et même 
encapsuler l'un dans l'autre (RFC1234); loin d'être les débuts du réseau.

Avant ça, j'avais fait du Arcnet, du Token-ring, et du localtalk, dans les 
années 80. J'ai encore la carte localtalk dans mon Apple //. Appletalk v1 
c'était pas vraiment du réseau : protocole non routable. Mais avec IPX et IP, 
on pouvait router, avec un Cisco AGS.

Mon premier micro : MEK6800D2, il y avait 1/2 KO de mémoire, c'était même pas 
de l'assembleur mais du code machine direct en hexa; à la fin des années 70.
Elektor, oui c'était une super bonne revue.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [Tech] Optimisation bascule BGP arista

2021-04-14 Par sujet Michel Py via frnog
> Clement Cavadore a écrit :
> Si c'est le cas, j'avoue que les bras m'en tombent.

Gardes les, il va falloir que tu en donnes un pour payer ta license aux 
vendeurs l'année prochaine.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [Tech] Optimisation bascule BGP arista

2021-04-14 Par sujet Michel Py via frnog
> Julien OHAYON a écrit :
> Je te rejoins Michel. Si j'ai 3 reproches à faire à Arista ce sont : 
> - La lenteur BGP

Pas d'excuse. Vu que je suis le troll institutionnel de cette liste, j'ai le 
déplaisir de constater, à mon grand regret, que faire du BGP ce n'est pas à la 
portée de tous les vendeurs. Tant que j'y suis, et malgré que j'aime bien 
Mikrotik comme vendeur, il y a tellement de gens (dont plusieurs connaissent 
BGP mieux que moi) qui m'on dit que leur code BGP c'était de la daube que 
j'essaie même pas. La même chose avec Arista. Ca me fait profondément chier, 
mais pour un routeur de coeur, je ferme ma gueule et laisse ma boite acheter la 
marque "Junisco".


> - Ne pouvoir avoir que 4000 VLAN sur une machine. Tu ne peux pas comme sur 
> IOS-XE
> ou XR par exemple avoir des sub avec un vlan déjà existant mais différent.

"que" 4000 VLAN ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [Tech] Optimisation bascule BGP arista

2021-04-14 Par sujet Michel Py via frnog
Salut Julien,

> Julien OHAYON a écrit :
> Michel, Il faut lire... Arista a un gros défaut oui c’est son temps pour 
> programmer les routes.
> Tout est en CPU est c’est long très long trop long (coucou quand tu as plus 
> de 3M de routes)

Mais c'est pas une excuse ? j'ai un full-feed sur un Cisco 3900, j'ai 100K 
préfixes sur un Cisco 1841, c'est que du CPU aussi, et en plus, c'est un peu 
mieux qu'un ZX81 mais pas de beaucoup.
Non vraiment sans déconner, j'ai un 3900 avec un full-feed et un 1841 avec le 
full CBBC, il y a des lecteurs/lectrices qui étaient encore en train de chier 
dans leurs couches quand je les ai installés, ça me fait mal de dire que c'est 
parce que c'est tout en CPU que ça prend du temps. J'essaie de pas pourrir 
Arista, mais 3M de routes, si j'avais pas mieux à faire je ferais ça sur un 
Raspberry Pi.

Il ya a des jours ou j'ai 25K préfixes BGP qui se barrent et qui reviennent 
quelques secondes après. Je sais pourquoi : code écrit avec les pieds. On vit 
dans un monde qui tourne avec du code écrit avec les pieds, dont le mien. Tant 
que ça plante pas mon Cisco 1841, si tu veux re-écrire le code pour gratos, 
t'es embauché.

> "bgp additional-paths install" c'est magique pour ne pas attendre 20 min.

Ca devrait être la config par défaut.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [Tech] Optimisation bascule BGP arista

2021-04-13 Par sujet Michel Py via frnog
> Alexis Lameire a écrit :
> C'est quelque chose qui est de l'ordre du protocole BGP. Au sein du même AS 
> dans lequel tes routeurs
> de bordures font partis, il n'y a pas de prepend de l'AS-PATH quand la route 
> est apprise de l'autre
> côté. Donc il cherche la route la plus courte d'un point de vue de 
> "l'extérieur"

Je plussoie.

C'est une question qui revient régulièrement et qui, en plus, est vieille comme 
le monde. Il y a des jours ou je me demande si on devrait pas écrire un tuto, 
mais il y en déjà plein.
J'ai relu le fil, c'est quand même vague comme info de base :-(

Il y a quand même un truc qui me dérange : la bascule qui prend des minutes, ça 
veut dire que quelque part, il y a un routeur qui a pas compris que la session 
s'était barrée en cacahouète. Recalculer un full-feed, ça ne prend que quelques 
secondes, même avec un vieux bousin ou alors faut changer de crèmerie. Pendant 
quelques secondes, avec un control-plane à base de ZX81, il peut y avoir de la 
casse; mais des minutes c'est un problème de config ou de compréhension. Bon je 
connais pas Arista, mais comme tout bon routeur, ça devrait pas avoir en 
mémoire un ou plusieurs chemins de remplacement pour chaque préfixe, justement 
pour le cas ou un pair se barre en cacahouète, on n'attend pas d'apprendre la 
route de secours ?

> Si tu veux jouer sur ça, J'aurais tendance à modifier le local-pref des 
> routes apprises
> depuis ton intersite pour les rendre moins prioritaires. Il faut l'appliquer 
> dans une
> route-map qui est à appliquer sur tes peer entre DC. A noter que cet attribut 
> est
> transitif au sein de ton AS mais n'est pas transitif à l'extérieur de 
> celui-ci.

J'aurais pu écrire la même chose, mais comme la liste est calme ces jours-ci, 
il faudrait peut-être écouter le coté obscur de la force qui dit que prépender 
en entrée, ça marche aussi :P
A vendre : stock à peine moisi de croquettes à troll :P

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] La "backdoor" de Chrome

2021-04-08 Par sujet Michel Py via frnog
> l...@51514.fr a écrit :
> Pour les bons, il y aura toujours curl.

Et ça sert à quoi ? pour configurer un machin sans certificat ?

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] La "backdoor" de Chrome

2021-04-07 Par sujet Michel Py via frnog
> Oliver varenne a écrit :
> Néanmoins, quand tu as besoin de créer 4 ou 5 VM différentes, juste pour 3h 
> de test, tu
> as pas envie de t'emmerder 600 fois dans la journée Tu utilise les certs 
> autosignés
> présents dans tes applications de test et voila. Enfin bref, moi ça me gonfle.

+1, la quantité de travail nécessaire juste à pouvoir accéder à une page est 
débile.

> Stephane Bortzmeyer a écrit :
> Habituer les utilisateurs à avoir des alertes sur les certificats n'est pas 
> une bonne idée.

Certes, mais concevoir un système qui demande tellement de travail que personne 
ne le mets en place, c'est pire. Demander à Claude Michu d'installer un 
certificat pour utiliser un machin IOT sur son réseau local, c'est tellement 
irréaliste que ce qui va arriver c'est justement l'habituer à voir les alertes 
et même à les détourner.

> Francois Lesueur a écrit :
> Alors perso, je n'ai rien contre le HTTP-pas-S. J'en fais tous les jours et 
> je m'en porte bien ;). Le risque
> d'accepter trop facilement les certificats autosignés, c'est que ça a un côté 
> canada dry : on a l'impression
> de faire du HTTPS, alors qu'en fait on a pas du tout le niveau de sécurité 
> attendu. Et oui, 99,9% du temps,
> on parle bien avec le bon serveur, mais ce sont les 99,9% du temps où on 
> avait en fait pas besoin de HTTPS.
> Le problème, c'est le 0,1% du temps où HTTPS aurait servi et où, du coup, on 
> se fait avoir.

Je plussoie : sur le réseau local, il vaut mieux faire du HTTP non chiffré que 
d'habituer les utilisateurs aux alertes. Mais apparemment ce n'est pas la route 
prévue, maintenant HTTP c'est déjà marqué "not secure", bientôt ça va être en 
rouge.

Yàplukà garder une VM avec XP et un vieux navigateur, c'est bon pour la 
sécurité ça aussi :-(

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] La "backdoor" de Chrome

2021-04-06 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> Je sais pas si c’est lié, mais je remarque que les progrès d’HTTPS permettent 
> si j’ai bien compris de
> le rendre non-interceptable, donc de plus en plus difficile à bloquer sur un 
> FW qui fait du MITM.

Ce qui est un recul en matière de sécurité : le merdiciel contenu dans les pubs 
et autres est en train de devenir impossible à inspecter au niveau du pare-feu, 
ce qui me dérange. Ce qui est derrière mon pare-feu, je devrais pouvoir faire 
de l'interception SSL au lieu de faire confiance uniquement à l'anti-virus 
installé sur le client. Et ici, pareil en entreprise; on n'inspecte pas le 
trafic qui va sur les banques, mais le reste si.

Ceci étant dit, même problème qu'avec les certificats SSL à validité étendue 
(le machin qui devenait vert dans la barre d'url), ce n'est qu'une question de 
temps avant que les malfrats enregistrent des domaines qu'ils vont sans grand 
effort faire classifier comme "bancaire", que les pare-feu d'entreprise ne vont 
pas inspecter pour raisons de vie privée, et on en est revenu à la case départ. 
Et il y en a qui se sont fait des c.. en or, avec ces certificats verts.

La sécurité c'est comme la lessive : chaque fois qu'il y en a une nouvelle, 
elle lave plus blanc que la précédente; c'est la pub à la télé qui le dit, ça 
doit être vrai. A force, les fringues vont devenir transparentes.

> Nick Rand a écrit :
> La différence avec les cartes d'identité, c'est que les CA n'étant pas des 
> état mais des entreprises, le reste des arguments 
> est d'ordre purement commercial, en jouant sur la peur inspirée par les 
> messages d'avertissements anxiogènes des navigateurs.

Pour les domaines en .local et quand on va direct avec l'adresse IP dans le 
navigateur, ils pourraient arrêter de nous emmerder, quand même.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] La "backdoor" de Chrome

2021-04-06 Par sujet Michel Py via frnog
> Julien a écrit :
> Une question que je me suis toujours posé à ce propos: A quoi servent 
> ces restrictions sur les certificats de la part des navigateurs ?

Comme la plupart des choses qui sont reliées à l'obsolescence planifiée : à 
faire marcher le commerce.
Ca essaie de te forcer à acheter un truc dont tu n'as aucun besoin. L'industrie 
entière marche comme ça : tu passes ton temps à te tenir à jour.
Sécurité de l'emploi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Cyberattaque massive sur la France

2021-04-06 Par sujet Michel Py via frnog
> Oliver varenne a écrit :
> Je suis sur que ce sont des script kiddies qui essaient de faire leur devoirs 
> !

C'est David Lightman qui a pas fait ses devoirs et qui veut sécher, il a loué 3 
VPS en Russie et payé en bitcoin :P

Incommensurable : adjectif (bas latin incommensurabilis) : la quantité de 
conneries qu'un homme politique peut débiter.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] RE: Bitream -> Bras alternatives a JunCisco?

2021-03-30 Par sujet Michel Py via frnog
>> Sinon de l’ASR1k, ça marche bien, ça se trouve en broke à pas cher, et c’est
>> vraiment le genre de trucs que tu peux oublier une fois prod.

> Xavier Beaudouin a écrit :
> J'ai ça mais le prix des licenses 20G et interface 10G me fait ultra 
> râler... :D 

Ah non non c'est pas bien ce genre de raisonnement; mon fonds de pension vient 
d'acheter une chiée de CSCO, tu voudrais pas quand même que je crève de faim 
quand je prends ma retraite ? comment je vais faire pour bouffer plus tard si 
Junisco ne continue pas à empapaouter les gens avec les licenses ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Attenuation FO

2021-03-29 Par sujet Michel Py via frnog
>> Nicolas a écrit :
>> J'ai une perte global de baie à baie de 4.92db

> Radu-Adrian Feurdean a écrit :
> Baie-a-baie moins de 5 dB, tu peux tenter tout betement avec du LR4.
> Certains fabricants ont meme des LR4 "20km" (juste un peu boostes).

Oui ça se tente aussi, chez fs.com leurs LR4 40G ils les donnent pour 10 km, 2 
km de plus ce n'est que 1 dB, ça peut passer. Et c'est 1/3 du prix du ER4.
Le problème de faire ça, c'est que quand t'es déjà au-delà de la spec et que la 
pelleteuse passe, la soudure pour réparer ça risque d'être la goutte d'eau qui 
fait déborder le vase et ta liaison passe plus. Bon, l'hopital qui se fout de 
la charité, j'ai déjà fait; surveiller CRC.

> Jérémy a écrit :
> En réalité, ne te fais pas chier.

Justement, Nicolas avait envie de s'emmerder avec ça, je crois :P

> Les optiques modernes (et no-name), notamment les FS, sont capable de traiter 
> des signaux
> trop puissant, jusqu'à +1 dBm (oui, déjà vécu, et fiable dans le temps, sans 
> CRC).

Oui, il y a de grandes chances que ça marche sans atténuateur.

> L'optique risque de chauffer un peu, mais dans la réalité,

Les QSFP+ ER4 ça chauffe pas mal ceci dit, même si le package est un peu plus 
gros il y a 4 lasers, faut pas décourager les bonnes volontés des gens qui 
veulent faire les choses proprement.

> J'ai une liaison de ce type en production, j'avais que des 40 Km sous la
> main pour un lien qui n'avait aucune importance et qui ne fait que quelques
> centaines de Mètres. ça tourne depuis plus de 4 ans sans soucis.

T'as des sous en trop :P ? les 40km 40 G ça vaut encore 800 balles même chez 
fs.com.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Attenuation FO

2021-03-29 Par sujet Michel Py via frnog
>> David Ponzone a écrit :
>> A la louche je dirais que 5dB devrait suffire.

> Michel Py a écrit :
> La logique de mon pifomètre : 40 km - 12 km = 28 km. A 0.5 dB du km, entre 
> une liaison 40 km et des 12 km,
> t'as 14dB de rab' Tu coupes la poire en deux et tu mets 7dB d'atténuation. 
> Hautement scientifique :P

>> Mais tu te prends la tête pour rien: un atténuateur ça coute 3€.
>> Tu en prends 10 de chaque et tu verras bien…

> +1

Sur la page en anglais :
https://www.fs.com/products/36173.html
Notice: When the long reach transceiver is used in short distance transmission,
please matched with appropriate attenuator according to the table.
Distance   ≤ 15km  ≤ 25km
Attenuator10dB 5dB

Donc entre le pif à David et le mien, on est en plein au milieu :P

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Attenuation FO

2021-03-29 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> A la louche je dirais que 5dB devrait suffire.

La logique de mon pifomètre : 40 km - 12 km = 28 km. A 0.5 dB du km, entre une 
liaison 40 km et des 12 km, t'as 14dB de rab'
Tu coupes la poire en deux et tu mets 7dB d'atténuation. Hautement scientifique 
:P

> Mais tu te prends la tête pour rien: un atténuateur ça coute 3€.
> Tu en prends 10 de chaque et tu verras bien…

+1

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Attenuation FO

2021-03-29 Par sujet Michel Py via frnog
> Nicolas écrit :
> J'ai une ligne en monomode entre deux sites de 12 km que je veux éclairer en 
> 40 Gb/s. Le GBIC
> de 10km étant pas assez puissant, je dois utiliser un GBIC pour des distances 
> de 40 km.
> Connaissant les caractéristiques du GBIC, comment je dimensionne un éventuel 
> atténuateur ?

J'ai jamais vu de GBIC 40G, ça serait pas un QSFP+ des fois ?

A part ça, il faut avoir le budget optique complet : le type précis de fibre, 
est-ce qu'il y a du cross-connect quelque part, du xWDM, des raccords, etc.
Avec plein d'optiques modernes, 12 km avec des optiques de 40 km tu pourras 
probablement de passer d'atténuateur.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] RE: [MISC] APC Network Shutdown

2021-03-27 Par sujet Michel Py via frnog
> Stéphane Rivière a écrit :
> Juste pour dire. J'ai vu passer des messages genre : "vaut mieux pas 
> provoquer l'arrêt,
> c'est pire si le serveur est en plein shutdown à ce moment." J'entends bien 
> le pb mais
> ça fait mal de lire ça alors que depuis 20 ans au moins, on peut avoir ce 
> genre de chose.

En milieu industriel, pas toujours le choix, le PC est souvent à l'intérieur 
d'un machin dans lequel il n'y a pas ou peu de place pour un onduleur avec 
beaucoup de batteries. La priorité, c'est le redémarrage de l'outil, et la 
crainte c'est la perte du système d'exploitation. Les données, la calibration, 
etc c'est souvent stocké ou sauvegardé en réseau à quelques centaines de mètres 
de là dans une salle informatique qui elle est sur groupe électrogène ou avec 
le la batterie. Le PC industriel c'est trop souvent un machin vieux et lent qui 
va parfois prendre 1 heure à fermer proprement, parce qu'il faut fermer l'outil 
d'abord. La priorité, c'est qu'il reboote, pour qu'on puisse commencer les 
procédures de redémarrage de la chaine de production.

En particulier avec les vieilles versions de Windows, le système est 
extrêmement vulnérable pendant la fermeture : activité disque intense, mémoires 
tampons pas écrites, souvent c'est un PC qui n'a pas été redémarré depuis des 
mois et donc ça rame dans le goudron. Initier la fermeture sur batterie, c'est 
considérablement plus risqué que d'attendre que le courant revienne ou que la 
batterie se vide.

Appelles ça barbare ou primitif, mais c'est appris à grand renfort de coup de 
pied au derche sur le terrain. Initier la fermeture propre, c'est à faire 
uniquement quand on peut garantir que la batterie va tenir suffisamment 
longtemps  pour que ça finisse.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] APC Network Shutdown

2021-03-24 Par sujet Michel Py via frnog
> Fx a écrit :
> En général c'est intouchable car faisant partie d'une chaîne de fabrication 
> dont les composants ne sont pas
> interchangeables. Si vous saviez le nombre de chaînes de fabrication de 
> choses qui roulent ou qui volent, de
> trucs qui font gloup-gloup et peuvent exploser, et qui reposent sur du 
> WinXP/Win2003... Et du WinXP SP1 voire
> SP2 parfois. Quand le fabricant du robot industriel qui vous a couté X 
> zillions d'€ vous dit que si vous
> touchez au PC industriel et son WinXP enchâssé dedans, cela casse la 
> garantie, ben vous n'y touchez pas, sauf
> pour le sauvegarder tel quel pour pouvoir tout restaurer dans le pire de cas. 
> Et la durée de vie d'un robot
> industriel, c'est généralement beaucoup plus qu'un PC. Dans "informatique 
> industriel", il y a le mot industriel.

Je plussoie.

> Vincent Duvernet a écrit :
> Est-ce que certains ont résolu des soucis de ce type ?

Oui : pas de shutdown. Ca a l'air bête, mais en fait c'est pas plus dangereux 
que d'essayer de fermer le serveur proprement.
En particulier avec le vieux machin qui est souvent lent, le danger c'est que 
tu risques de ne pas avoir suffisamment de batterie pour finir le shutdown, et 
que un shutdown interrompu par coupure de courant, c'est encore pire que la 
coupure sans prévenir. J'ai perdu plusieurs PC comme ça, maintenant ce que je 
fais c'est d'avoir (si possible) un opérateur fermer l'application principale, 
et d'attendre. Si le courant revient pendant que tu as de la batterie, c'est 
tout bon. Si ça coupe parce que la batterie est déchargée, ben touche du bois.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] RE: [MISC] Redondance des données Microsoft 365

2021-03-20 Par sujet Michel Py via frnog
> Vincent Duvernet a écrit :
> Les DC M$ en France sont sur Paris et Marseille
> D'un côté on peut lire : 
> https://azure.microsoft.com/fr-fr/global-infrastructure/data-residency/#overview
> Mais de l'autre, O365 se base sur Azure qui est sensé avoir une résilience 
> aux pannes et sinistres. Alors qui a raison ?

C'est de la Cloud Hosted Infrastructure As A Service. T'as pas besoin de savoir 
ou c'est, tant que ça marche.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] RE: 62.4.64.0/19 (EUnet) routé chez NTT au lieu de Zayo ?!

2021-03-18 Par sujet Michel Py via frnog
> David Touitou
> C'est : 62.4.71.64/27.

c2851-michel#traceroute 62.4.71.65
Type escape sequence to abort.
Tracing the route to mfn-gw.solexine.fr (62.4.71.65)
VRF info: (vrf in name/id, vrf out name/id)
  1 173-166-233-22-sacramento.hfc.comcastbusiness.net (173.166.233.22) 0 msec 4 
msec 0 msec
  2 96.120.14.29 12 msec 12 msec 16 msec
  3 96.110.159.185 12 msec 12 msec 12 msec
  4 ae-2-ar01.sacramento.ca.ccal.comcast.net (162.151.18.133) 16 msec 12 msec 
12 msec
  5 be-36411-cs01.sunnyvale.ca.ibone.comcast.net (96.110.41.97) 104 msec
be-36421-cs02.sunnyvale.ca.ibone.comcast.net (96.110.41.101) 12 msec 16 msec
  6 be-1112-cr12.sunnyvale.ca.ibone.comcast.net (96.110.46.6) 32 msec
be-1212-cr12.sunnyvale.ca.ibone.comcast.net (96.110.46.18) 16 msec
be-1412-cr12.sunnyvale.ca.ibone.comcast.net (96.110.46.42) 16 msec
  7 be-302-cr01.9greatoaks.ca.ibone.comcast.net (96.110.37.174) 28 msec
be-303-cr01.9greatoaks.ca.ibone.comcast.net (96.110.37.178) 16 msec
be-304-cr01.9greatoaks.ca.ibone.comcast.net (96.110.37.182) 20 msec
  8 be-2412-pe12.9greatoaks.ca.ibone.comcast.net (96.110.33.46) 16 msec 16 msec 
12 msec
  9 50.208.234.10 36 msec 16 msec 12 msec
 10 ae-11.r24.snjsca04.us.bb.gin.ntt.net (129.250.3.120) [MPLS: Label 137 Exp 
0] 16 msec 20 msec 16 msec
 11 ae-2.r24.asbnva02.us.bb.gin.ntt.net (129.250.6.238) [MPLS: Labels 
138607/450 Exp 0] 72 msec *  *
 12 ae-13.r21.parsfr04.fr.bb.gin.ntt.net (129.250.6.5) [MPLS: Labels 81816/450 
Exp 0] 152 msec 156 msec
ae-11.r21.frnkge13.de.bb.gin.ntt.net (129.250.5.26) [MPLS: Label 450 Exp 0] 
160 msec
 13 ae-0.a00.frnkge13.de.bb.gin.ntt.net (129.250.2.25) 160 msec 156 msec 160 
msec
 14 83.231.214.126 160 msec 160 msec 164 msec
 15 pni.eunetworks.tcr1.itx.fra.as8218.eu (62.4.65.2) 156 msec 156 msec 160 msec
 16 ae1.tcr1.itx.fra.core.as8218.eu (83.167.63.244) 156 msec 156 msec 160 msec
 17 ae7.tcr2.th2.par.core.as8218.eu (83.167.56.150) 160 msec 160 msec 156 msec
 18 mfn-gw.solexine.fr (62.4.71.65) 156 msec 164 msec 160 msec

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Subnet ip publique sur LAN

2021-03-16 Par sujet Michel Py via frnog
>> Erwan David a écrit :
>> Je me souviens avoir vu une borne de développement photo à Auchan Vélizy
>> avec une étiquette portant une adresse IP du DOD...

> David Ponzone a écrit :
> Comme quoi, la NSA est partout.

Ah, c'est donc à que ça sert, le fric de mes impôts.

> Mais pourquoi Auchan Vélizy...

Ca y est j'ai tout compris : c'est pour ça qu'ils ont besoin de toutes ces /8 : 
c'est pour installer du matériel d'espionnage dans tous les supermarchés de 
France pour avoir des photos des terroristes mangeurs de baguette.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Subnet ip publique sur LAN

2021-03-16 Par sujet Michel Py via frnog
> Jean-Charles BISECCO a écrit :
> -Les confiants, qui exploitent des IP qui ne seront jamais annoncées sur 
> internet comme celles du département Américain de la Défense (DoD) :
> 6.0.0.0/8 7.0.0.0/8 11.0.0.0/8 21.0.0.0/8 22.0.0.0/8 26.0.0.0/8 28.0.0.0/8 
> 29.0.0.0/8 30.0.0.0/8 33.0.0.0/8 55.0.0.0/8 214.0.0.0/8 215.0.0.0/8

Tu peux dire tout ce que tu veux que c'est pas bien, on est devant le fait 
accompli. C'est le secret de polichinelle que PLEIN d'entreprises, opérateurs 
ou pas, utilisent ces adresses en interne. C'est le résultat direct de la 
politique débile de l'IETF : chaque fois qu'il y a eu un effort pour rendre 
240/4 (256 millions d'adresses, pas mal) disponible comme une extension de 
RFC1918, ça a été torpillé. Résultat des courses : les entreprises avaient 
besoin de plus d'adresses que RFC1918, elles les ont prisent ou elles 
pouvaient, c’est-à-dire DoD non annoncé.

Qu'on le veuille ou pas, que ça soit bien ou pas, que ça plaise ou pas, les 
adresses non annoncées de DoD c'est de facto RFC1918 bis.

La menace de les vendre n'a pas fait peur; personne n'en veut vraiment.
La vraie question est : si 30/8 était à vendre, est-ce que tu en voudrais, 
sachant que ça va être des emmerdes à n'en plus finir ?
Le DoD n'a pas besoin de l'argent, s'ils les vendaient ça serait des adresses 
de 2ème classe car utilisées par trop de monde en interne.

> Cependant l’article n’a pas passé le Sénat. Mais qu’en est-il si une copie 
> revient un jour ?

Je pense que les vendre ça va discrètement mourir dans les couloirs de DC; ça 
emmerderait trop de gens et les lobbyistes de toutes les grosses boites qui ont 
détourné DoD vont sortir de tous les petits trous partout et distribuer des 
peaux de banane. Perso j'aurais préféré que 240/4 devienne officiel, mais c'est 
trop tard.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Subnet ip publique sur LAN

2021-03-16 Par sujet Michel Py via frnog
> Richard MATOS a écrit :
> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
> est-ce que certains parmi vous ont rencontré ce cas de figure ?

C'est devenu rare, mais il y a toujours quelques cas.

> Jerome SCHEVINGT a écrit :
> Notamment parce qu'a une époque, il y avait dans les docs IBM des exemples
> avec des IP de leur plage, et les premiers admin réseau en herbe voyaient
> sur la doc tel plage et bin ils mettaient la même sur leur réseau 

J'ai fait ça avec Solaris / Sun. Aie aie pas taper pas taper, c'était en 1991 
mon premier réseau IP, à cette époque même RFC1597 (celle qui a précédé 
RFC1918) n'existait pas encore.


> Si oui quelle solution avez-vous implémenté?

NAT pareil que si c'était une IP privée.

> La question que je me pose c'est en dehors des sites internet qui utilisent 
> ces subnet
> publique et qui ne seront pas accessibles quelles sont les autres 
> conséquences ?

Pas grand-chose. Il y a plusieurs choses à regarder :

- Est-ce que les adresses en question sont annoncées dans la table de routage 
globale (regarder un looking glass) ? Si ce n'est pas le cas, ça enlève la 
plupart des problèmes potentiels. Ca n'enlève pas le risque qu'elles soient 
annoncées un jour, ceci dit.

- A qui les adresses sont alloués ? Si c'est Youtube ou Junisco, ça risque de 
poser des problèmes. Si c'est une entreprise de pompes funèbres dans un autre 
continent à 15000 kilomètres, probablement moins. C'est pas propre non plus, 
mais l'Internet vas pas s'arrêter de tourner.

Plusieurs sites à renuméroter, avec des VPN, c'est du temps et de l'argent. 
Avant de se lancer dans ce genre de chose, faut regarder s'il n'y a pas quelque 
chose de plus important à faire.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Free bloque Mailman2 ?

2021-03-15 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> Par contre, ça donne fortement envie de mettre une ACL pour bloquer tout
> le Vietnam car c’est une grosse présence pour un pays de cette taille.

Avec le même raisonnement on devrait faire pareil avec la France, qui a encore 
moins d'habitants (67 millions) que le Vietnam (96 millions).


> Stéphane Rivière a écrit :
> Notre serv de mail interne (pas de clients dessus et on a mailjet pour les 
> NL) a une ip bien proprette.
> Connue de micromou et de gougle mais voilà, on est quand même BL, parce qu'on 
> est juste chez OVH...

Et ça t'étonne ? Perso je ne bloque pas par AS, mais il y en a plein qui le 
font. Quand je regarde les stats, je comprends pourquoi.


>> Pavel Polyakov a écrit :
>> Arrête de nous raconter des conneries, je n'ai jamais eu aucun emmerde
>> avec OVH contrairement aux RBLs. Mais en fait surtout avec Spamhaus.

Ce n'est pas Spamhaus qui est le problème, c'est les gens qui envoient du spam. 
Chaque fois que j'ai eu un client bloqué, ce n'était pas que par Spamhaus, il 
était bloqué aussi par plusieurs autres RBL, et toujours pour une bonne raison. 
Moi je n'envoie pas de spam et je n'ai jamais été bloqué.

> Jean-Yves LENHOF a écrit :
> Yo, Cela a été pourtant le point de mon départ d'OVH vers chez Illiad 
> pourtant pour moi...
> mon serveur mail n'arrivant plus à faire son boulot correctement. Alors le 
> problème était à
> l'époque plus du côté de Microsoft qui avait blacklisté l'AS d'OVH pendant 
> une longue période

Pour la même raison que tout le monde : ils ont fini par comprendre que les 
rapports à abuse c'était comme pisser dans un violon et ils ont bloqué l'AS 
entier. Et ils ne sont pas les seuls, voir récemment dans le même fil.

> (au mois 2 mois)... mais pour moi il y a rarement de fumée sans feu, et OVH
> était trop coolant avec des serveurs piratés et qui spammaient à donf.

Il n'y a pas que le spam; les attaques brute force, les bots, tout est bon. OVH 
c'est aux hébergeurs ce que Cogent est aux tier-1 : tant que tu payes, ils 
ferment les yeux. L'argent n'a pas d'odeur.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Free bloque Mailman2 ?

2021-03-14 Par sujet Michel Py via frnog
> Simon Bressier a écrit :
> Spamhaus peut bloquer domaines, IPs, adresses email, hashes, et si tu es 
> listé sur Spamhaus
> pour le coup ce n'est pas la faute à pas de chance, c'est qu'il y a une 
> véritable raison à
> ça. Tous les expéditeurs que je vois passer avec des listing Spamhaus ont un 
> vrai problème.

+1000

Ca fait depuis la nuit des temps que j'utilise Spamhaus et chez moi et chez les 
petits clients dont j'ai eu la faiblesse de m'occuper, et j'ai jamais vu de 
faux positif avec Spamhaus. Si t'es listé, c'est que tu spammes. Il n'y a pas 
de fumée sans feu. J'ai eu plein de cas, chaque fois c'était justifié.
zen.sapmhaus.org c'est la première liste dans mes RBL. Ca juste marche.
Pour référence : uceprotect, ça n'y est pas : trop de faux positifs.

> Pavel Polyakov a écrit :
> d'être partenaire de Spamhaus dont le principe est le même et qui pratique 
> tout autant l'extorsion et le chantage.

Ca sort d’où ces conneries ? Spamhaus, ça m'a toujours aidé. Gratuitement. 
Depuis entre 10 et 20 ans.


> Mickael Monsieur a écrit :
> Je filtre ENORMEMENT de spam depuis ovh, on envoie des des rapports, et ils 
> s’en foutent mais complet, et ce depuis
> des décennies. Au moins avec SBG down, ça s’est un peu calmé. (Le seul point 
> « positif » dans leur malheur)

Hélas je suis d'accord. D'habitude je tire pas sur les ambulances, mais s'ils 
cherchent qui a mis le feu à leur datacenter, ça va être environ 1 milliard 
d'humains qui se seraient volontiers passé de leur politique "je ferme les 
yeux" qui hébergent les spammeurs et arnaqueurs et qui s'en foutent 
complètement de abuse. Par hasard, le spam récent de shitcoin-made-in-china, ça 
s'est arrêté avec le feu. Je ne connais pas leurs mesures de protection contre 
l'incendie, mais si c'est la même chose que leur protection contre les 
spammeurs et les malfaisants de tous poils, faut pas être surpris que le feu en 
soit arrivé au point ou le bateau-pompe a eu besoin de pomper l'eau de la 
rivière pour l'éteindre.

> Stéphane Rivière a écrit :
> Quand à OVH qui spamme beaucoup, c'est juste qu'ils ont plus de success que 
> d'autres. Donc plus gros. Donc plus de spam.

Donc plus gros ton chèque ? Arrête de nous raconter des conneries; je suis 
déçu, je savais pas que t'étais à vendre pour si peu.
OVH, c'est une goutte d'eau dans la mer sur l'Internet, pourtant c'est toujours 
au top 3 depuis +10 ans en temps qu'AS source d'emmerdes.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Retour sur Cisco Catalyst 8300

2021-03-10 Par sujet Michel Py via frnog
Bonjour la liste,

Est-ce que quelqu'un ici a déjà déployé du Cisco 8300 pour faire du BGP ? Rien 
d'extraordinaire, 2 full-feeds, probablement pas plus de 1G.
J'ai pas une confiance énorme dans cette plateforme, ça m'a l'air d'être un 
routeur soft, aucune donnée sur les performances en pps.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-09 Par sujet Michel Py via frnog
> Philippe ASTIER a écrit :
> Si tu veux une excellente analyse de l’antenne côté client : 
> https://www.youtube.com/watch?v=h6MfM8EFkGg

Impressionnant.


> Nang Bat a écrit :
> mais les débit annoncés sur un terminal me laisse circonspect sur le
> coût dudit terminal (7.5gbps sur un terminal cf
> https://www.telesat.com/resources/lightspeed-specifications-sheet/
> apres ils ont 4ghz de bande Ka mais quand même...)

Ca fait presque 20 bps/Hz d'efficacité spectrale, a ce genre de distance (donc 
de puissance), ça demande en effet du matos de très bonne qualité; le rapport 
S/B / distorsion doit être exceptionnel.
Mais c'est en descendant, je suppose. Combien en montant ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-09 Par sujet Michel Py via frnog
>>> Emmanuel DECAEN a écrit :
>>> Si on parle de 20 Gbps, ça fait environ 6 666 clients Netflix...
>>> Pour le calcul à l'arrache:  -> environ 3 Mbps par client : 
>>> https://ispspeedindex.netflix.net/country/france/  -> 20 000 / 3  = 6 666
 
>> Michel Py a écrit :
>> Quand il fait beau. Le downstream de Starlink c'est en 11 et 12 Ghz, donc 
>> susceptible
>> à la pluie, je voudrais bien voir la gueule de leur QAM quand il fait 
>> mauvais.

> Nang Bat a écrit :
> Il me semble que les débit (100-150mbps en down, avec l'augmentation a 
> 300mbps je sais pas
> s'il y a assez de recul) était relativement constant malgré la météo (cf le 
> reddit starlink)

Un lien ?

> David Ponzone a écrit :
> Et moi j’attends avec impatience que les anti-12G échafaudent un plan pour 
> mettre le feu à un 
> satellite en orbite, quand ils vont apprendre qu’ils sont arrosés avec du 
> 12Ghz (la 12G quoi).

La PIRE du satellite c'est 4.89 Mégawatts :P
Avec un peu plus de satellites, tu vas rôtir ! :P

Un peu de sérieux, quelqu'un connait la PIRE Française de l'émetteur Starlink 
que les utilisateurs vont recevoir (14 à 14,5 GHz en émission) ? C'est là où le 
législateur trop zélé va vous emmerder.


> Richard Klein a écrit :
> 20G c'est pour 1 satellite. Starlink utilise une constellation de satellites
> qui ne sont pas stationnaire par rapport à une station fixe.

Correct.

> Il est certain qu'une station au sol (un utilisateur) captera
> plusieurs satellites et fera de l'agrégation de bande passante.

Pas vraiment. La limite, c'est la largeur du spectre utilisé. Avoir 10 
satellites qui émettent sur la même fréquence, ça ne change rien. Si on veut 
multiplier le nombre de satellites, il faut réduire la taille du cône dans 
lequel ils émettent, ce qui veut dire que moins de satellites seront visibles. 
Pareil pour les bornes WiFi : ça sert presque à rien d'en mettre une tous les 3 
mètres si elles sont toutes sur le même canal. Le problème, c'est combien de 
clients tu mets par satellite, pas combien de satellites par client.

Aujourd'hui, un satellite couvre une surface a peu près équivalente à la 
France. https://satellitemap.space/# et cocher "rings".
500 Km d'altitude, élévation 45 degrés ou mieux.

Trop de satellites sur la même fréquence, et c'est la cacophonie.


> Lorsque les satellites commenceront à dialoguer entre eux en mode mesh la 
> charge va s'équilibrer.

Ce n'est pas le facteur limitant.

> Donc vos calculs sont valables pour un satellite géostationnaire mais par
> pour une constellation en mouvement au dessus de nos têtes. J'ais tous bon?

Pas tout. Le problème de base est toujours : combien de Km^2 tu couvres avec 
quelle largeur de spectre. Que le satellite bouge ou pas.

> Nang Bat a écrit :
> Oui mais pas que, la ressource radio est pas illimité, et donc le downlink de 
> starlink c'est
> 2ghz de Ku, donc un gros paramètre dimensionnant c'est la taille mini d'un 
> spot (une cellule)
> qu'un satellite peu former au sol, qui te donne la borne sup du débit par 
> unité de surface.

Exactement.

> La ou tout le monde les attends c'est quand les clients vont se densifier
> localement, avec une météo de merde durant le pic de fin de journée

C'est bien pour ça que j'ai écrit que tester maintenant, ça n'apporte pas 
vraiment les bonnes réponses. Avec peu de clients, tout baigne.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-09 Par sujet Michel Py via frnog
> Emmanuel DECAEN a écrit :
> Si on parle de 20 Gbps, ça fait environ 6 666 clients Netflix...
> Pour le calcul à l'arrache:  -> environ 3 Mbps par client : 
> https://ispspeedindex.netflix.net/country/france/  -> 20 000 / 3  = 6 666

Quand il fait beau. Le downstream de Starlink c'est en 11 et 12 Ghz, donc 
susceptible à la pluie, je voudrais bien voir la gueule de leur QAM quand il 
fait mauvais.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-09 Par sujet Michel Py via frnog
> Kevin LABÉCOT a écrit :
> De mon côté je suis à 27km de la base terrestre de Villenave d'Ornon qui 
> serait terminée d'après le journal Sud Ouest.
> Je suis inscrit depuis l'ouverture des "inscriptions" en France... Wait & See

Un satellite Starlink c'est environ 20G de bande passante (quand il fait beau); 
reste à voir combien de clients ils vont mettre dessus. La France (surtout le 
Nord) est bien placée, la meilleure couverture possible est au alentours du 
50ème parallèle donc même aujourd'hui il y a couverture permanente. Mais 20G 
pour couvrir l'ensemble du territoire, ça fait pas un nombre illimité de 
clients.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-08 Par sujet Michel Py via frnog
> Nicolas CORBEL a écrit :
> ‘matin

8 heures et demi du soir, hier :P   Je voyage dans le temps :P

> Techniquement on a 8 dômes qui ont été montés à Villeneuve d’Ornon (mais 
> c’est un peu récent pour que ce soit en prod) : 
> https://france3-regions.francetvinfo.fr/nouvelle-aquitaine/gironde/bordeaux/villernave-d-ornon-une-station-satellite-de-space-x-s-installe-aux-portes-de-bordeaux-1977565.html

Dômes ? Ah oui j'ai regardé la photo, dôme de 2 mètres. Pfff, de mon temps 
y'avait des dômes, à Pleumeur-Bodou.
Des dômes comme ça, j'en ponds tous les jours.


> Et un maire qui fait tout pour bloquer l’installation d’une seconde dans la 
> Manche...

Vends-lui un slip anti-ondes.
https://www.challenges.fr/high-tech/les-inventeurs-culottes-du-slip-anti-ondes-spartan-levent-un-demi-million_484758
Ou ne lui vends pas. Les politiciens qui se reproduisent, c'est une calamité.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-08 Par sujet Michel Py via frnog
> Richard Klein a écrit :
> A lire l'article c'est 1 satellite :
> https://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/pourquoi-le-satellite-konnect-fabrique-par-thales-est-tres-important-pour-eutelsat-837222.html
> et sur le papier Starlink et deja largement en avance . Debit, latence sont 
> deja largement dépassé sur LE satellite Konnect.

Ce qui n'a rien d'étonnant : Konnect est bande KA en orbite géostationaire donc 
la latence c'est généralement au-dessus de 500ms.


> J'ai hate de tester ... Si quelqu'un possède le produit starlink dans le sud 
> ouest ?

Pas maintenant; il n'y a actuellement aucune station terrestre active en 
France, ce qui est absolument nécessaire aujourd'hui.
Je suis à 25 km de la station de Robbins et à 40 km de celle d'Arbuckle.
https://satellitemap.space/   cocher "rings"
J'ai pas encore tout compris avec les couleurs.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-03-08 Par sujet Michel Py via frnog
> Richard Klein a écrit :
> Starlink et la FrenchTouch :-)
> https://www.numerama.com/tech/693784-des-deputes-veulent-contrecarrer-elon-musk-et-starlink-en-france.html

Oh heureusement pour eux que la connerie ne tue pas. Ah les politiciens, faire 
parler d'eux à n'importe quel prix.

> A part cela nous avons quoi comme alternative en France ? en Europe? avec ou 
> sans la France pas de
> solution pour couvrir nos campagnes! Personne n'interdira le progrès et 
> encore moins le survol de
> "l'espace Francais" aux satellites base orbite la concurrence/progrès 
> arrive avec ou sans nous...

Le problème n'est pas que Français ou Européen, d'ailleurs. J'ai une collègue 
de bureau qui attendait ça depuis une éternité. Le manque de couverture dans 
les zones non-urbaines, c'est un problème universel.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Utiliser un ordinateur hors ligne à l'ère du cloud

2021-03-05 Par sujet Michel Py via frnog
> Vincent a écrit :
> Que pouvons nous faire pour lutter, à part boycotter les services qui ne nous
> plaisent pas (ce qui nécessite de se priver de beaucoup de contenu en 2021) ?

Boycotter ça ne servira à rien, pour que ça serve à quelque chose il faudrait 
qu'il y ait un manque à gagner considérable, ce que je ne vois pas arriver.
 
> Carroussel Informatique a écrit :
> A titre personnel, le cloud n'est pour moi qu'accessoire. l'essentiel de ma 
> musique, de ma vidéo est
> sur mes bécanes et mes sauvegardes. Je dépend de très peu de services cloud 
> et a part le mail, peu
> sont vraiment importants, au pire si je me fait jeter de l'un, je peux aller 
> ailleurs.

+1

Pour ce qui est de la musique et des films, ma conscience est assez "élastique" 
et donc je vais souvent les chercher là où on trouve les ficher complets. Même 
si je souscris à certains services de streaming, je n'ai jamais eu de problème 
à trouver le contenu dans un torrent.

Les disques durs WD Red, ça coute 25 Euros le Téra, on en est au stade ou on 
peut stocker ses films chez soi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [BIZ] 2 Cisco 7206VXR dispo sous peu

2021-03-05 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> Mon coco, y a 2 choses qui ont changé depuis:
> -y a un marché broke qui n’existait pas à l’époque (où alors j’étais pas au 
> courant)

Il y avait et probablement toujours un peu une différence considérable entre la 
France et les US dans ce domaine.
Ici, même avant Y2K, le marché du matériel réseau d'occasion sur eBay était 
déjà très bien développé. J'ai passé mon CCNA en 1998 et commencé à construire 
mon lab CCIE à cette époque (avec du 2500, du 3500 et du 7500) et ça se 
trouvait d'occase sans problème. Même récemment (3-4 ans), ici on trouvait du 
N3K-C3064PQ beaucoup moins cher beaucoup plus facilement, je pense.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [BIZ] 2 Cisco 7206VXR dispo sous peu

2021-03-04 Par sujet Michel Py via frnog
>> Michel Py a écrit :
>> Il est amorti ! Tu l'avais acheté d'occase ? quoi comme NPE ? Ce chassis a 
>> au moins 20 ans d'age.

> David Ponzone a écrit :
> Ouais probablement, c’est un bon vieux NPE400. Quand je pense au prix que ça 
> coutait à l’époque.

Ah bon, il y a une différence avec ce que ça coute aujourd'hui ? Difficile de 
comparer, mais combien ça coute quelque chose chez Cisco qui peut prendre un 
full-feed ? Avec un NPE upgradable ?
Cherche ASR1006-X "pas cher" :P

> Et on prenait une full-table avec ça!

Et oui, environ 60K au tournant de Y2K. Maintenant, c'est la taille de la 
blacklist.
https://blog.apnic.net/wp-content/uploads/2020/01/bgpfig1.png

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [BIZ] 2 Cisco 7206VXR dispo sous peu

2021-03-04 Par sujet Michel Py via frnog
>>> David Ponzone a écrit :
>>> Dans quelques jours, je vais me débarrasser de 2 Cisco 7204VXR, le top du 
>>> top jusqu’à y a pas si longtemps :)

>> Michel Py a écrit :
>> C'est toujours au top, le matos comme ça on n'en fait plus. Une époque 
>> révolue ou la pérennité
>> de l'équipement voulait encore dire quelque chose, pas comme le jetable avec 
>> une durée de vie
>> de 2 ans que les vendeurs produisent aujourd'hui. Tu l'avais encore en prod ?

> Yep, un reste de collecte SDSL ATM.
> VXR2.EQNX-PA3 uptime is 5 years, 25 weeks, 1 day, 15 hours, 35 minutes

Il est amorti ! Tu l'avais acheté d'occase ? quoi comme NPE ? Ce chassis a au 
moins 20 ans d'age.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [BIZ] 2 Cisco 7206VXR dispo sous peu

2021-03-04 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> Dans quelques jours, je vais me débarrasser de 2 Cisco 7204VXR, le top du top 
> jusqu’à y a pas si longtemps :)

C'est toujours au top, le matos comme ça on n'en fait plus. Une époque révolue 
ou la pérennité de l'équipement voulait encore dire quelque chose, pas comme le 
jetable avec une durée de vie de 2 ans que les vendeurs produisent aujourd'hui. 
Tu l'avais encore en prod ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Passerelle de filtrage de mails à base d'IA ?

2021-03-04 Par sujet Michel Py via frnog
>>> Toussaint OTTAVI a écrit :
>>> Après une semaine de palabres, j'en suis resté là. Vaincu par la plaie de 
>>> mon métier : les commerciaux :-(

>> Michel Py a écrit :
>> C'est une solution commerciale que tu voulais, non ? :P

> :D :D :D
> Enfin, je voulais juste payer :-)

Aucun problème, j'accepte les virements bancaires internationaux, Visa/MC/Amex, 
Paypal, Zelle, les produits du terroir Corse, et les espèces :-D

> Pas regarder un mec avec une cravate devant sa webcam m'expliquer pendant une 
> demi-journée que le bouton
> ouvrir sert à ouvrir, que si je veux ouvrir, il faut cliquer sur le bouton 
> ouvrir, et que si je clique
> sur le bouton ouvrir, çà va ouvrir, sauf que je m'en fous car je ne vais 
> jamais rien ouvrir...

Le pire, c'est que quand tu prends leur produit 


>> Le problème, c'est de donner à l'IA le contenu de ton cerveau. A part les 
>> difficultés de le faire,
>> t'as vraiment envie qu'il y ait une bécane qui connaisse tout ce qui fait 
>> que tu es toi ?

> Bah, çà me fait penser aux groupuscules qui pensent que Linky les espionne, 
> et qui organisent
> leurs manifestations sur Facebook :-) Google, ou n'importe quelle machine à 
> travers laquelle
> transitent mes mails, savent déjà tout ce qu'ils peuvent savoir sur moi. Le 
> seul moyen d'y
> renoncer serait de renoncer aux mails. Et je ne suis pas prêt à le faire. 
> Donc, quitte à ce
> qu'ils lisent mes mails, autant qu'ils en profitent pour faire le ménage 
> dedans...

Oh, Big Brother sait déjà tout; mais vu le nombre d'humains qui se font avoir 
avec ce genre de chose, tu crois que IA ferait un travail convenable ?
Dans ce domaine, ce n'est pas le pourcentage que le système bloque qui compte, 
c'est le nombre de mails légitimes bloqués qui est important.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Monitoring de ligneS

2021-03-03 Par sujet Michel Py via frnog
> Richard Klein a écrit :
> Si c'est juste du ping avec un raspberry c'est un peu démesuré ?

Pourquoi s'en priver ? Un vrai ordi avec un vrai OS et une vraie pile réseau, 
le modèle avec 8G et un SSD pour le dev, le machin de base à 30 balles à 
envoyer sur site.
Le Pi ça fait tout même le café, à moins qu'il faille vraiment économiser 20 
balles et 2W, c'est le pied pour moi. Pratiquement aucune limite à ce que tu 
peux faire avec.

> Daniel a écrit :
> J'utilise LibreNMS avec SNMP. Il y a aussi Nagios, Cacti, Zabbix, ...

LibreNMS ça marche pour moi aussi.


> David Ponzone a écrit :
> Y a des prises qu’on peut rebooter par GSM (par SMS ou appel) pour environ 
> 40€ sur Amazon. Vive la Chine.

Il y a pas eu un gros lézard avec ça récemment ? ILO ou Drac qui envoyait le 
paquet de la mort au PDU qui coupait le courant ?

Pour ce qui est du double VPN, je suis en train de faire ça a plein tube, avec 
un protocole de routage qui converge rapidement c'est top.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Passerelle de filtrage de mails à base d'IA ?

2021-03-03 Par sujet Michel Py via frnog
> Toussaint OTTAVI a écrit :
> Après une semaine de palabres, j'en suis resté là. Vaincu par la plaie de mon 
> métier : les commerciaux :-(

C'est une solution commerciale que tu voulais, non ? :P

> Notre cerveau repère assez naturellement les tentatives de phishing basiques, 
> comme un message en
> provenance d'une banque dont je ne suis pas client. Mais il y a aussi tout un 
> tas d'autres signes qu'un
> cerveau exercé repère, même sur des phishings bien imités. Je me disais 
> qu'une IA pourrait peut-être
> s'avérer efficace en ce domaine, je me demandais si çà existait, et si oui, 
> ce que cela pourrait apporter...

Le problème, c'est de donner à l'IA le contenu de ton cerveau. A part les 
difficultés de le faire, t'as vraiment envie qu'il y ait une bécane qui 
connaisse tout ce qui fait que tu es toi ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Question bête Cisco IOS / BGP / Flapping / Dampening

2021-03-03 Par sujet Michel Py via frnog
> Huong Tran a écrit :
> Avec une config ebgp multihop, je vérifierais si le bgp next est vraiment 
> stable qui n’est pas partie des
> routes inactives de temps en temps Qui pourrait provoquer des boucles de 
> recalcul donc impact sur le cpu.

Oui c'est une des causes classiques, mais pas dans ce cas-là : le next-hop 
pointe vers null0 avec une route statique.
Malheureusement, c'est une de ces situations ou on résout le problème le plus 
rapidement possible et qu'on n'a pas pris le temps de tout regarder pour 
essayer de comprendre la cause :-(

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Monitoring de ligneS

2021-03-03 Par sujet Michel Py via frnog
> Frédéric Audon a écrit :
> Tout ça pour arrêter le ping-pong entre le FAI et les prestataires VPN qui se 
> renvoient la balle quand ça déconne.

Ce n'est pas un problème technique, mais politique. Trouver un fournisseur de 
VPN qui en accepte la responsabilité, y compris que le réseau marche plus ou 
moins bien.
Ou alors avoir un circuit dédié qui est la responsabilité de l'opérateur qui le 
fournit. Ou le faire soi-même.
Le tennis, c'est à Roland-Garros que ça se passe.

> Est-ce qu’il est possible de remonter un VPN par programme ou c’est 
> obligatoirement une intervention humaine ?

En général oui, suivant comment c'est fait, tout dépend. Au quotidien 
site-à-site, j'en utilise 3 différents, et c'est extrêmement rare qu'il faille 
remonter manuellement. Un bon VPN, ça remonte tout seul dès que le réseau est 
rétabli. Un bon VPN, ça envoie une alarme quand il tombe, aussi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Question bête Cisco IOS / BGP / Flapping / Dampening

2021-03-02 Par sujet Michel Py via frnog
> Paul Rolland a écrit :
> Le nombre de messages BGP recus ? sho ip b s (ou equiv) te donne ca,
> ainsi que le nombre de messages en In Queue... ca peut etre une piste

Ben justement c'est ce que j'ai fait, sh ip bgp sum et regarder l'évolution de 
MsgRcvd.
Et j'ai dépairé celui qui ne causait aucun problème, et en plus il lit cette 
liste.
Aie Aie pas taper, pas taper. C'était pas vraiment le volume, plutôt la nature 
de ce qui arrivait.

Ce n'est que plus tard que j'ai regardé debug, et comme beaucoup le savent, 
debug sur un vieux bouc qui est déjà au taquet c'est dangereux, vaut mieux 
avoir "u all" dans une autre session avec juste à appuyer sur Entrée.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Question bête Cisco IOS / BGP / Flapping / Dampening

2021-03-01 Par sujet Michel Py via frnog
Bonjour la liste,

Récemment j'ai eu un pair multihop-eBGP qui a un peu pété les plombs; d'après 
ce que dit le confrère, ils ont dépassé une limite dans leur moulinette; j'ai 
pas d'analyse profonde, mais les termes "flapping", "dampening", bagotter, et 
assimilés viennent à l'esprit. Du coup, entre BGP et les processus RIB / FIB 
associés, ça a pris 50% du CPU.

Contexte, c'était sur le routeur à la maison, le tout-puissant flambant neuf 
Cisco 2851. Le logiciel du control-plane n'est pas en carton (IOS 15.4), par 
contre processeur qui le fait tourner c'est un 486 ou vaguement un Pentium, 
faut pas demander un miracle.

Voici la question bête : quand on a un pair qui patate le control-plane BGP, 
comment identifier lequel ?
Config de blaireau, pas de dampening configuré.

Merci,
Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] peering (was BGP internal routes et external routes)

2021-03-01 Par sujet Michel Py via frnog
> Huong Tran a écrit :
> Je compare plutôt la survie du modèle du peering public avec le prix du baril 
> du pétrole vs le gaz de schiste .
> Ma principale question = peering pour gagner ou vendre quoi en 2021 .  Le 
> business model a trop changé depuis Google ..

Oui le marché a vachement changé. Le peering d'y a 20 ans je trouvais ça sympa, 
et j'espère que toutes les bonnes raisons qu'Emmanuel faisait très justement 
remarquer vont continuer à compter pour quelque chose, mais bon vu qu'on peut 
trouver un port 10G transit pour quelques centaines d'Euros par mois (en tout 
cas ici, comment c'est en France ?) faut pas jeter la pierre à ceux qui les 
prennent.


Fodrékeu, dans chaque colo ou IX, il soit obligatoire d'avoir un VLAN de 
peering gratuit, avec les route-serveurs qui vont bien.
Comme ça, tout le monde pourrait pairer avec tout le monde, le réseau serait 
vachement plus maillé que la hiérarchie d'aujourd'hui, toussa.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-03-01 Par sujet Michel Py via frnog
> Kevin Thiou a écrit :
> Merci de t'être penché sur le sujet. Sûrement ai je mal exprimé mon besoin. 
> Je suis connecté au
> même peer privé sur les deux routeurs. Du coup je reçois strictement la même 
> route sur mon routeur
> A et mon routeur B, mais l'un et l'autre l'apprennent avec une route eBGP et 
> une route iBGP.

Si ton pair privé n'a qu'une seule route, ça ne va pas être facile. Mais s'il 
en a plusieurs, tu conçois un critère qui en sélectionne "la moitié", et tu 
mets une localpref élevée sur le routeur que tu veux favoriser.
En fait, le meilleur critère ça serait de laisser ton pair décider, en te 
passant une communauté que tu utiliserais pour envoyer le trafic du coté Est ou 
Ouest.
Par exemple : SON_AS:777 : tu préfères le trafic à l'Est, SON_AS:888 : tu le 
préfère à l'Ouest.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] peering (was BGP internal routes et external routes)

2021-02-28 Par sujet Michel Py via frnog
>>> David Ponzone a écrit :
>>> En GP, j’en parle même pas, on pourrait presque vivre sans transit avec 10 
>>> peelings :) J’exagère, à peine...

>> Michel Py a écrit :
>> Pas ici; j'ai l'impression que la notion même de peering est en train de 
>> disparaitre. Ici, pour peerer il faut
>> souvent payer, à un niveau qui fait que ça ne vaut pas souvent le coup et 
>> qu'acheter du transit est souvent préféré.

> Emmanuel DECAEN a écrit :
> En France aussi, le tarif IX est kif kif avec le tarif de certains transits. 
> Pour les débits inférieurs à 40G, tu
> trouves plusieurs opérateurs de transit moins chers. Et à partir de 40G, cela 
> peut repasser un peu en faveur des IX.

Oui hélas, les colos et IX sont devenu big business, et le modèle communautaire 
dont le but était de faire des économies en partageant les frais s'est changé 
en un modèle ou le but est uniquement de gagner de l'argent.

> Aujourd'hui le prix reste un facteur déterminant : Combien de nos confrères 
> hébergeurs ont envisagés de faire
> du peering, mais trop peu consommateurs, sont restés sur leur transit à 
> quelques centaines d'Euros ?

C'est ce qui arrive quand une industrie passe de l'artisanat au produit 
banalisé. Au début, la contrainte était la bande passante : on peerait parce 
que le transit coutait un bras, pour la même raison les hébergeurs allaient 
vers des colos proches de leurs clients, ou ils pouvaient faire des économies 
de transit. Le transit est devenu tellement accessible que le besoin d'être 
local a disparu. 

> Concernant la disparition de la notion de peering,  j'espère que cela ne se 
> produira pas. Je vois plus le
> peering et les IX comme des opportunités techniques et relationnelles non 
> offertes par les transitaires.

Le problème c'est que l'industrie entière pousse à la roue dans la direction 
opposée. On perd la visibilité : tout est virtuel, tout est encapsulé, il y a 
tellement d'abstraction entre l'infra physique et le service vendu au client 
que ça devient un modèle basé sur la facturation. On est en train de consolider 
par le haut, les gros bouffent les petits. Le cloud va tuer le peering, tout 
comme le supermarché a tué l'épicerie de quartier et la vente en ligne a tué 
plein de commerces locaux.

Ca fait pas mal de temps que je regarde le peering; j'ai gardé quelques 
reliques de ce qu'on faisait il y a 20 ans et plus :
http://arneill-py.sacramento.ca.us/ipv6mh/playbook.pdf, la fondation du bouquin 
sorti plus tard.
Il y a même une version en Français : 
https://www.amazon.com/dp/B00HG2SG38/ref=sr_1_3
La référence dans ce domaine c'est Bill Norton, un des fondateurs d'Equinix; je 
l'ai rencontré quelques fois.
Dr Peering j'ai malheureusement l'impression que ça bat de l'aile :-(  Ca fait 
7 ou 8 ans que Bill a pratiquement disparu de la scène.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-27 Par sujet Michel Py via frnog
> David Ponzone a écrit :
> Tu essaies de faire passer pour simple un truc très compliqué. L’AS-PATH 
> permet pas vraiment de faire
> un choix pertinent. Un lien de transit peut être un chemin saturé, de même 
> pour un peering, etc...
> L’idée d’un prepend entrant c’est juste de ré-équilibrer le sortant vers un 
> tier-2 (qui dépend donc de
> tier-1) plutôt que vers mon tier-1, puisque les AS-PATH venant du tier-2 
> feront souvent 1 AS de plus.

Je comprends parfaitement ta logique : avec prepend en entrée, tu rajoutes un 
handicap aux routes d'un transit, et çà traite toutes les routes pareil et dont 
elles ont toujours une chance d'être évaluées et préférées ou pas plus tard 
quand l'AS-PATH est comparé. Alors que quand tu changes localpref, c'est un peu 
"tout ou rien", et donc que pour être granulaire il faut choisir les routes 
qu'on défavorise, avec des critères plus ou moins arbitraires. Le prepend, 
c'est plus égalitaire, ce que ça fait c'est de mettre tout le monde à niveau en 
rajoutant un handicap au transit(s) qui de part leur tier sont favorisés par un 
AS-PATH généralement plus court, donc qui ont tendance à attirer le trafic 
comparé à un transit plus petit.

Je suis relativement d'accord pour dire que les critères de sélection utilisés 
pour changer localpref sont souvent aléatoires ou arbitraitres, mais reste le 
problème suivant : quelles routes tu donnes aux clients downstream qui 
t'achètent du transit ? Si tu me donnes un feed avec les routes venant de ton 
transit tier-1 prependées, je vais hurler.

Là on est en train de parler des limites fondamentales de BGP et du système 
Path Vector : le processus de décision est trop déterministe; au lieu de dire 
"on regarde localpref, si c'est la même on regarde la longueur de l'AS-PATH", 
il aurait été plus souple de construire un metric composite du genre "localpref 
compte pour x% des points, la longueur de l'AS-PATH compte pour y%". Mais c'est 
pas comme ça que ca marche; et il y a plein d'inconvénients et de produits 
dérivés pas sympa (par exemple : le trafic asymétrique)


> Si tu as une autre idée, je prends.

Je te retourne la faveur : tu veux remplacer BGP ? :P
Le système n'a pas que des inconvénients, et il y a beaucoup de choses qui en 
dépendent. Bon an mal an ça marche pas si mal, a part les abominations du genre 
optimiseur qui injecte des préfixes longs et les bachibouzouks qui ne 
connaissent ni no-export ni max-prefix, avec RPKI ça reste potable.
Ca me rappelle un autre protocole, pour remplacer le système en place, c'est 
pas facile; faut qu'il y ait des avantages significatifs et un plan de 
transition qui tient la route, ce que je ne vois pas ni aujourd'hui ni demain.


> Ceci dit, tout cela est assez futile car même en B2B, le plus gros du trafic
> vient d’une poignée d’AS, que tu peux généralement avoir en peering.

Je t'envie.

> En GP, j’en parle même pas, on pourrait presque vivre sans transit avec 10 
> peelings :) J’exagère, à peine...

Pas ici; j'ai l'impression que la notion même de peering est en train de 
disparaitre. Ici, pour peerer il faut souvent payer, à un niveau qui fait que 
ça ne vaut pas souvent le coup et qu'acheter du transit est souvent préféré.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-27 Par sujet Michel Py via frnog
> Huong Tran a écrit :
> Oui , il ne faut pas réinviter la roue au niveau du bgp policy.

J'ai trouvé intéressant d'en parler, ceci dit. Le prepend en entrée, je n'y 
aurais pas pensé. Même si je trouve que l'idée n'est pas bonne, c'est mieux 
d'avoir une rationale.


> Prepend : les communautés 5511:x00x pour intervenir sur la politique de 
> routage d AS 5511
> envers ses peerings ( donc derrière AS 5511) selon la communauté annoncée par 
> son client .

Comment on fait avec les ASN 32 bits ? j'ai pas encore eu le cas à $job mais je 
le sens venir; avec le CBBC j'ai déjà plusieurs pairs qui ont un ASN 32 bits.


> Pour rappel bgp n est pas un protocole de routage mais d annonce de toute 

Pourrais-tu développer ça ?

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-26 Par sujet Michel Py via frnog
>> Michel Py a écrit :
>> Prepend je n'ai jamais fait en entrée, ceci dit. Pourquoi tu ferais un 
>> prepend au lieu de mettre une valeur basse dans localpref ?

> Tchadel Icard a écrit :
> J'aurais tendance aussi à faire un prepend plutôt que de mettre une local 
> pref plus basse. Je vais expliquer mon raisonnement,
> la local pref est le critère de sélection qui agit en premier sur la 
> sélection de routes. Dans le cas où les routes sont
> échangées en iBGP et que ta local pref plus basse sur ton tier 2, tout ton 
> trafique passera pas ce tier 2.

Uniquement dans le cas ou tu fais ça sur le feed complet, ce qui n'a pas de 
granularité. Ce que la plupart des gens font, c'est une clause "match" dans la 
route-map qui modifie les routes, et le changement ne s'applique qu'au 
sous-ensemble du feed qu'on sélectionne, pas au feed complet. C'est précisément 
en ajustant les critères de sélection des routes que l'on va favoriser ou 
défavoriser qu'on influence la répartition du trafic sortant.
 
> alors que si tu prepend ton tier 1, tu auras quand même les autres critères 
> de sélection de routes
> qui vont intervenir. Changer la local pref ici ne permet donc pas 
> d'équilibrer le trafique.

Voir ci-dessus. Faire un prepend sur l'ensemble du feed, c'est dangereux et 
dans certains cas c'est carrément mauvais : par exemple faire un prépend sur un 
préfixe qui a un AS-PATH de 1 ou 2 de long c'est une idée lamentable : çà veut 
dire que le préfixe appartient au transitaire en question ou a un de ses 
clients directs, c'est le genre de situation ou il ne faut pas changer l'ordre 
naturel des choses, en prependant tu risques que quelque chose d'autre envoie 
le trafic de l'autre coté, alors que ce qui est connecté directement a un de 
tes transitaires c'est précisément le genre de chose qu'il ne faut pas changer. 
Dans la clause match qui choisit les préfixes que l'on veut changer, il faut 
non seulement penser aux préfixes que l'on veut modifier, mais aussi prendre en 
compte les préfixes que l'on ne veut _pas_ modifier.


> Huong Tran a écrit :
> La grosse différence entre local pref et le prepend :  La métrique Local préf 
> reste en local donc en
> intra AS. Contrairement à la métrique prepend qui se propage à travers 
> plusieurs AS pour une préfixe.

Absolument, et ça devient important quand on n'est pas un AS "stub", donc qu'on 
est aussi un transitaire, car il faut donner le feed BGP aux clients. Prepender 
ses propres préfixes c'est la décision de chacun, mais prepender les préfixes 
des autres, en particulier avec un AS qui est celui de quelqu'un d'autre aussi, 
c'est crade. En tant que client ou tier-3, j'ai absolument pas envie de voir 
des préfixes prependés avec l'AS d'un tier-1.

> En pratique ou souvent ,  local préf = politique de routage en interne pour 
> le  trafic sortant 
> versus prepend = politique de routage vers l externe  pour le trafic entrant 
> de son AS .

Je plussoie. En y réflechissant un peu, prepend en entrée çà me parait pas être 
une bonne idée. Ce n'est pas parce qu'on est un petit AS "stub" qu'il faut 
succomber à le tentations de faire des trucs un peu cradingues.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-02-24 Par sujet Michel Py
> Richard Klein a écrit :
> D'un autre cotes pour faire de la couverture rapide en 3G/4G en zone
> blanche en France il y a les FH, La fibre et rien d'autre.

AMHA il n'y a pas photo : si le FH est une possibilité, sans hésiter à choisir 
au lieu de Starlink. C'est plus compliqué et pas forcément moins cher, mais 
c'est quand même une autre classe.

> J'ai hate de tester avec une Pico Nokia pour voir sur 24h comment elle se 
> comporte.

Oh si tu testes aujourd'hui tu vas être le roi du pétrole, c'est dans 3 ans 
qu'il faudra tester.

> Et je me dis que parfois je préfère avoir une bonne couverture radio Voix et 
> SMS avec un debit
> DATA bridé a quelques Megas mais stable et bien partagé que des debit max 
> aléatoire...

J'aimerais partager ton optimisme; QOS ça peut marcher quand tu maitrises les 
deux cotés du tuyau, mais dans le cas de Starlink, vu le prix ou c'est vendu, 
il ne faut pas espérer mieux que du "best effort" sur un lien qui va être 
supersaturé en permanence. Faut pas rêver : la 5G ça va pas arriver partout 
pour des raisons principalement de cout; on ne crée pas une infra pour deux 
pelés trois tondus à Trifouilly-les-Oies. Starlink n'a pas ce problème, mais il 
a l'inconvénient de l'avantage : un faisceau relativement large pour couvrir 
pas mal de surface, ça veut dire que la bande passante ne va pas être a la 
hauteur de ce qu'on ferait avec un faisceau étroit. Et, même quand on s'appelle 
Elon Musk, le kilo à mettre en orbite ce n'est pas gratuit. Ils ont un plan 
d'enfer ceci dit, quelques kilos de rab' sur un lancement commercial pour 
lancer des satellites de petite taille c'est vrai que en apparence ça pourrait 
se noyer dans la masse, mais dans le domaine de l'espace, le kilo gratuit en 
orbite c'est un peu comme le saint graal : à part Indiana Jones, personne ne 
l'a encore vu.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-24 Par sujet Michel Py
> David Ponzone a écrit :
> Entre un tier-1 et un tier-2, il peut aussi prepend une fois
> l’AS du tier-1 aux routes inbound, afin d’équilibrer un peu.

Oui ça marche aussi, au lieu de favoriser un coté on défavorise l'autre.
Prepend je n'ai jamais fait en entrée, ceci dit. Pourquoi tu ferais un prepend 
au lieu de mettre une valeur basse dans localpref ?

> Mais on connaît pas la raison qu’il a de vouloir influencer l’ordre naturel 
> des choses
> (financier ? Technique ?) Faut voir aussi les communautés de chaque transit.

+1

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-24 Par sujet Michel Py
> Kevin Thiou a écrit :
> Mais si tu veux faire un "load-blancing" et que tes deux routes sont apprises 
> en eBGP sur
> 2 routeurs différents, il faut que tu puisses comparer une route eBGP et une 
> route iBGP.

Ah ce que tu veux faire c'est "Traffic Engineering", vaste sujet.
Tu envoies le trafic à Router A, qui a tendance à préférer envoyer le trafic 
vers le transit auquel il est connecté, et tu voudrais qu'il envoie une partie 
du trafic à router B, qui a un autre transit (si je comprends bien) ?

Situation typique quand les 2 transits ne sont pas du même tiers, par exemple 
un tier-1 et un tier-2, la route annoncée par le tier-1 que tu reçois sur 
Routeur A va souvent avoir un AS-PATH plus court que celle annoncée par le 
tier-2 que tu reçois sur Routeur B, donc le trafic aura tendance à préférer le 
"gros" transit et tu as un déséquilibre.

Qu'est-ce que tu peux faire ? Premièrement, c'est d'envoyer ton trafic à router 
B au lieu de routeur A (encore mieux, que du côté interne ils soient une paire 
VRRP, et que tu configures B à être le Master). Ca ne vas pas forcément 
inverser la situation, en particulier si le transit connecté à B est plus 
"petit" que celui connecté à A, ça pourrait même équilibrer la situation. C'est 
un peu brutal, mais ça vaut le coup d'essayer.

Deuxièmement, sur le routeur auquel tu veux donner plus d'importance (B dans ce 
cas), il faut favoriser une partie des routes que tu reçois en changeant 
quelque chose qui est au-dessus de AS-PATH dans le processus de décision, 
typiquement LOCAL_PREF avec une valeur élevée. En termes Cisco, tu mettrais set 
local-preference $valeur_élevée dans une route-map qui matche une partie des 
routes. Quand Routeur A reçoit la route iBGP en provenance de Router B, il va 
la préférer à la route eBGP qu'il reçoit de l'autre transit, parce que 
LOCAL_PREF est plus élevée.

En jouant sur la sélection des routes auxquelles tu appliques la LOCAL_PREF 
plus élevée, tu influences la balance de ton trafic sortant.

Pour influencer la balance du trafic entrant, c'est moins controlable, il faut 
faire un prepend de ton propre AS sur tes préfixes quand tu les annonces au 
transit que tu veux défavoriser en entrée.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Comment AWS implémentent-tils 169.254.169.254?

2021-02-24 Par sujet Michel Py
> Jean-Charles Bisecco a écrit :
> Le risque avec le 169.254 c'est que sans configuration préalable et sans DHCP 
> elle s'affecte automatiquement
> sur une NIC. Prenons une VM avec une carte dans un réseau 169.254.x /24. Tu 
> ajoutes une carte à la VM et
> elle se met en lien local le temps que tu la configure si elle croit avoir du 
> lien "physique". Ta carte va
> prendre une 169.254/16 et du coup tout le traffic destiné à du 169.254 autre 
> que le /24 de la 1ere carte va
> finir blackholé sur la nouvelle NIC. Ça rend ce réseau exploitable uniquement 
> sur un ensemble orchestré où
> le système n'a aucune chance de tomber en autoconf.

+1
Si pour une raison quelconque tu perds DHCP sur n'importe quelle interface qui 
s'en sert, 169.254 devient un trou noir.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-02-23 Par sujet Michel Py
> Richard Klein a écrit :
> Tu as testé ou des retour pour faire de la VOIP ?

J'ai un confrère qui a essayé (à travers un VPN) et il parait que c'était 
impeccable. Mais à prendre avec des pincettes : on en est encore plus ou moins 
en béta, ça va faire la même chose que le câble et fibre : quand t'étais le 
premier abonné de ton quartier ça marchait du feu de dieu, mais quand les 
hordes de Claude Michu s'y mettent tu vas pas avoir du Gig à part à 3 heures du 
mat.

> Je me demande ce que cela donnerait avec une PicoCell 4G pour arroser une 
> zone blanche ?

Je n'y ferais que peu confiance : ils vont surement proposer un service voix, 
et comme tous les petits camarades, il vont retagger le DSCP de _tes_ paquets 
voix en bulk pour donner priorité à _leur_ service voix, aux heures de pointe 
il va pas falloir s'attendre à un miracle en matière de gigue. La neutralité du 
Net, ça n'existe pas ici.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-23 Par sujet Michel Py
> Vincent Bernat a écrit :
> Cisco ne compare pas les distances administratives entre iBGP et eBGP car ce 
> critère est inclus dans la
> sélection du meilleur chemin BGP. La distance ne sert que pour comparer BGP 
> avec un autre protocole.

C'est tout à fait correct, pourquoi donc est-ce que j'ai cette notion de 
distance administrative en tête ?

Quelque part la distance administrative iBGP de 200 va faire que les routes 
OSPF vont être préférées, mais c'est irrelevant avec seulement BGP.

Pourtant quelque part dans mon subconscient il y a une route interne qui vient 
prendre la priorité sur une route eBGP.
Ah oui, 3. Prefer the path that was locally originated via a network or 
aggregate BGP subcommand or through redistribution from an IGP.
https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html

En effet, ça n'a rien à voir avec la distance administrative mais avec le fait 
que la route redistribuée de l'IGP a priorité dans la sélection du meilleur 
chemin.
Merci pour la correction, j'avais pas bien lu la question.

Pour en revenir au problème d'origine :

> Kevin Thiou a écrit :
> j'ai deux routeurs connectés en iBGP, chacun connectés à un peer eBGP. Une 
> route externe apprise
> sur un routeur est annoncée sur l'autre routeur en iBGP. Chaque routeur prend 
> la route eBGP locale
> car  celle-ci prévaut par rapport à la route iBGP. J'ai un arista et un 
> brocade :)

Pourquoi est-ce que c'est un problème ? Distance administrative ou pas, c'est 
souvent la route eBGP qui a priorité sur la route iBGP, ce qui a du sens : le 
reste des critères étant les mêmes, on veut que le trafic aille vers le chemin 
qui a l'AS-PATH le plus court, la méthode éternelle de la patate chaude : se 
débarrasser du paquet le plus tot possible : le donner au pair ou au transit au 
lieu de le transporter en interne.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] BGP internal routes et external routes

2021-02-23 Par sujet Michel Py
> Kevin Thiou a écrit :
> j'ai deux routeurs connectés en iBGP, chacun connectés à un peer eBGP. Une 
> route externe apprise
> sur un routeur est annoncée sur l'autre routeur en iBGP. Chaque routeur prend 
> la route eBGP
> locale car celle-ci prévaut par rapport à la route iBGP. J'ai un arista et un 
> brocade :)

Pourquoi est-ce que c'est un problème ?

Sur Cisco, il y a la distance administrative :
https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/15986-admin-distance.html
eBGP a une AD de 20, donc prioritaire sur iBGP qui a une AD de 200.
Ce qu'il te faudrait donc, c'est de comprendre comment faire l'équivalent de AD 
sur arista et brocade.

>> Quel moyen y existe-t-il pour que chaque routeur accepte les deux routes 
>> dans sa table de routage ?

Les deux ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] blacklist by orange business (only)

2021-02-19 Par sujet Michel Py
> Simon Bressier a écrit :
> J'aurais dû m'en douter, que dans cette ML, beaucoup passaient via ipv6 ;) le 
> serveur
> web est setup pour accepter les accès ipv6, MAIS un champ IP dans ma db 
> n'était pas
> adapté à la taille des v6 et de fait rejetait l'insert de l'adresse mail 
> générée...

1 champ dans une db, c'est pas si pire. Essaies avec des milliers 
d'utilisateurs qui utilisent des centaines d'apps, dont certaines ont du code 
écrit avec les pieds il y a des années par quelqu'un dans un autre pays dont tu 
ne connais même pas le nom...

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Audit réseau (pat ou port mirroring)

2021-02-17 Par sujet Michel Py
>>> Hugo SIMANCAS a écrit :
>>> attention pour moi la donnée importante c'est le nombre de paquets à la 
>>> seconde, pas le débit. même si les deux sont liés

>> Michel Py a écrit :
>> Si c'est pas indiscret, tu pourrais nous expliquer pourquoi ? Est-ce que tu 
>> essaies de diagnostiquer un problème lié à PPS ?

> David Ponzone a écrit :
> Mitchel, T’es fatigué ? :)

Excuse moi, je viens de me réveiller de ma sieste.
J'ai loupé quelque chose ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Audit réseau (pat ou port mirroring)

2021-02-17 Par sujet Michel Py
> Hugo SIMANCAS a écrit :
> attention pour moi la donnée importante c'est le nombre de paquets
> à la seconde, pas le débit. même si les deux sont liés

Si c'est pas indiscret, tu pourrais nous expliquer pourquoi ? Est-ce que tu 
essaies de diagnostiquer un problème lié à PPS ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] RE: SG250-08HP - Retour d'une expérience cauchemardesque.

2021-02-10 Par sujet Michel Py
> Xavier Beaudouin a écrit :
> Par exemple j'ai toujours en production chez moi un alimentation Astec 
> provenant d'un Goupil (je
> laisse les plus jeune rechercher sur google...) donc ça doit faire plus de 26 
> ans qu'elle marche et
> me fait pas chier. Je pense même qu'elle tournera encore facilement 10 ou 15 
> ans avant que je la range.

Ça doit être un Goupil récent :P je me rappelle du Goupil 2, rouge, celui qui 
avait un modem avec coupleur acoustique. 40 ans en arrière, on avait ça au club 
Microtel. Ca pesait un âne mort, boitier métal comprenant le clavier. Il y 
avait des versions ou l'alim c'était à transfo, avant qu'ils ne mettent une 
alim à découpage. Les condos de l'époque, c'était de la taille d'une cannette 
de bière.

> Donc c'est juste une question de design et de tolérance des composants...
> Choisir trop juste fait que ça ne tiens longtemps.

C'est fait pour que ça pète juste après la garantie :-(

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] RE: SG250-08HP - Retour d'une expérience cauchemardesque.

2021-02-09 Par sujet Michel Py
> Xavier Beaudouin a écrit :
> C'était pas ultra visible mais le condo chimique HT était gonflé.

Classique. Job[$-1] me manque; j'avais 2 techos, ils regardaient l'alim, en 3 
secondes ils te disaient lequel des condos était foutu.

> Vu le truc dans l'alim ce n'était pas démontable sans passer 5 heures a tout 
> dessouder.

Il y a des mecs qui se sont creusé la cervelle à comprendre comment te faire 
perdre 5 heures à changer un condensateur. Le machin qui est tellement chiant à 
ouvrir que tu abandonnes.

> Encore un alim en mode "low cost" qui n'as pas tenu le choc.

Les alims "high cost", elles sont mieux ? Tu veux dire celles que le vendeur te 
vends 1000 balles alors qu'elle en vaut 50 ? Un peu comme les optiques, 1000 
balles l'optique vendeur, 50 balles chez fs.com.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

2021-02-09 Par sujet Michel Py
> BRUYELLES ALEXANDRE a écrit :
> Une des mis-conceptions communes, y compris sur cette liste, c'est qu'un
> ALG read-only dispose d'une complexité équivalente à un ALG read-write

L'ALG read-only c'est le même code que l'ALG read-write avec un drapeau. Qui 
c'est qui écrirait du code qui ne supporterait pas NAT et installerait 2 
versions différentes ?

> Dire qu'un nat n'est pas tellement pire qu'un pare-feu à état, donc, c'est 
> peu sérieux.

C'est exactement la même chose sauf que ça ne change pas l'adresse ou le port, 
le même code, dans le même pare-feu. L'analyse pour savoir quels ports 
supplémentaires il faut ouvrir ne change pas. Il n'y a pas que NAT et pare-feu 
qui fonctionnent comme ça, d'ailleurs : les load-balanceurs c'est souvent le 
même principe.

> Quant aux avantages du nat, on les cherche encore.

Il n'y en a pas, c'est surement pour ça que tout le monde s'en sert, hein.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

2021-02-09 Par sujet Michel Py
> Erwan David a écrit :
> Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui
> laisse adresse et port inchangés. Ça s'appelle un firewall stateful

D'ailleurs c'est la moitié de la raison pour laquelle NAT n'a pas disparu : 
qu'est-ce qu'on met à la place de NAT : un pare-feu a état.

Les deux ennuis majeurs avec NAT, c'est :
- La réécriture de l'adresse et du port.
- L'état.

L'état, c'est pernicieux. Non seulement c'est complexe, des fois il y a des 
fuites de mémoire, en plus de le maintenir il faut aussi le synchroniser quand 
on est en HA, et il y a les ALG. Une des mis-conceptions communes, y compris 
sur cette liste, c'est que si on ne réécrit pas l'adresse ou le port, il n'y a 
pas besoin d'ALG. C'est faux : même si le protocole ne met pas l'adresse IP 
_et_ dans l'entête _et_ à l'intérieur du paquet, il y a d'autres cas ou l'ALG 
est nécessaire pour ouvrir les trous dans le pare-feu, les classiques étant 
SIP, PPTP, FTP, etc : dès qu'il y a un état, tout ce qui utilise plus qu'un 
port ou plus d'un protocole nécessite un ALG. Les protocoles qui ont du mal à 
traverser NAT ont généralement les mêmes problèmes à traverser les pare-feu a 
état.

NAT ce n'est pas tellement pire qu'un pare-feu a état donc, à tant qu'en avoir 
presque tous les ennuis, autant en avoir aussi les avantages, ce qui explique 
son succès.

> et ça marche très bien.

Il y en aura pour te dire que ça marche très mal ;-)


> Xavier Beaudouin a écrit :
> Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien...

C'est pas demain la veille que dual-stack va disparaitre.

Il n'y a pas qu'IOT qui comporte des risques, même avec Windows c'est pas glop. 
Je reconnais que M$ a fait des progrès, mais il reste encore un problème énorme 
: quand le PC demande à Claude Michu si le réseau c'est "public", "maison" ou 
"bureau" (je devine la traduction), elle va de bonne foi répondre "maison", et 
là ça ouvre plein de trucs qui ne seraient pas ouverts si c'était "public". Au 
passage, c'est une des raisons pour lesquelles on désactive IPv6 : quand Claude 
Michu branche son portable à la maison avec Free comme FAI, elle ne se retrouve 
pas à poil sur l'Internet.


> Et même quand j'essaye d'en faire avec des ESP12-F / ESP32, la dual stack v6 
> est quasi inexistante.

C'est la partie "quasi" qui me fait peur : pire que "pas du tout" :-(

Raspberry Pi zero w? 10 balles pièce.
https://www.raspberrypi.org/products/raspberry-pi-zero-w/
J'ai pas encore essayé (la version zero), mais sur le papier c'est sympa. Vrai 
OS, vraie pile réseau.

> Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te 
> tiens par les
> couilles dans un n-ieme cloud, clairement ils ont pas activé l'option sur 
> leur IDE Arduino

Ni carotte, ni bâton.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

2021-02-08 Par sujet Michel Py
>> Michel Py a écrit :
>> Denis, si tu veux te débarrasser de NAT il faut que tu proposes un système 
>> qui apporte ses avantages
>> sans en avoir ses inconvénients. La sécurité même si elle n'est que basique, 
>> et surtout le fait que
>> NAT c'est le PI du pauvre. A part le marché résidentiel, dès que tu 
>> commences à taper dans la TPE ou
>> la PME, renuméroter c'est un emmerdement de taille; NAT ça te laisse garder 
>> ton réseau interne si tu
>> veux changer de FAI au lieu d'en être l'otage si tu utilises ses adresses. 
>> Et aussi ça te donne la
>> possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance. 
>> Quand tu es trop petit
>> pour avoir un AS et des PI, c'est bien pratique.

> Oliver varenne a écrit :
> Une solution acceptée de tous, c'est quelque chose qui peut être mis en place 
> rapidement,
> n'enlève pas des avantages des ancienne solutions, et peut être comprise 
> rapidement

Et que l'on cherche toujours.

> Au lieu de dire "on va faire disparaitre NAT"

Faire disparaitre NAT, en soi, c'est une idée louable. S'il y avait une 
solution valable, tout le monde l'aurait adoptée.


> dire "on va améliorer NAT avec IPV6" aurait sans doute été mieux je pense.

Sauf que dans la réalité c'est pire, il y a tellement de types de NATv6 
différents qu'on y perd la tête.

IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans 
NAT) ça ne fait rien pour le PI du pauvre.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  1   2   3   4   5   6   7   8   9   10   >