Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

2021-01-05 Par sujet Pierre Emeriaud
Le mer. 6 janv. 2021 à 06:00, Michel Py
 a écrit :
>
> En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de 
> quelqu'un qui gagne en dollars ce que je gagne en cents, et qui va direct aux 
> conclusions :
>
> > Key Recommendations :
> > - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
> > Windows hosts if not in use.

C'est complètement con comme suggestion. C'est comme s'il y a 30 ans
on avait dit "disable ipv4" parce qu'ip et ethernet ne sont pas
fiables par rapport à osi. Au final c'est pas ce qui a été fait. On se
retrouve aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est
justement parce que les entreprises n'ont pas implémenté ipv6 qu'elles
se retrouvent dans la merde dès qu'un pentester a le droit de s'amuser
un peu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Revendeur câble RJ45 au métre

2021-01-04 Par sujet Pierre Emeriaud
Le lun. 4 janv. 2021 à 20:30, David Ponzone  a écrit :
>
> Ce genre là ?
>
> https://www.fs.com/fr/products/13224.html 
> 

ferrule pré-polie, juste besoin d'une cliveuse car gel à adaptation
d'indice à l'intérieur, alignement mécanique des fibres, ça ressemble
pas mal au principe des fibrlok de chez 3m, possiblement l'outil en
moins.

L'idée est pas mal, et en effet pour du domestique ça doit faire le job.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Mail In Black / CPRO

2020-11-20 Par sujet Pierre Emeriaud
Le ven. 20 nov. 2020 à 10:28, Philippe Bourcier  a écrit :
>
> Bonjour,
>
> > En ce qui me concerne, je vais foutre une règle dans mon Postfix qui
> > drop "mib.cpro.fr", mais je pense que Philippe devrait, en l'absence de
> > mesures de whitelist prises par les postmaster de @cpro.fr, et au vu du
>
> Ce sont des alias, j'ai rien en *cpro*.

tu as cherché en cpapro plutôt ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Quelqu'un d'Orange pour regarder la joignabilité de 193.251.169.0/24 ?

2020-08-14 Par sujet Pierre Emeriaud
Le jeu. 13 août 2020 à 15:25, Stephane Bortzmeyer  a écrit :
>
> Le 193.251.169.0/24 ne semble pas joignable depuis l'AS 3215 (mais il
> l'est depuis plusieurs autres AS). Cela ne semble pas un problème BGP,
> il est visible de tous les routeurs du RIS (mais un préfixe plus
> général est annoncé par OpenTransit).

36947 ne l'annonce pas à 5511, et 5511 ne va pas l'accepter de ses
peers vu que c'est du PA à eux.

ça, plus du rpf côté 5511, paf les chocapics, le retour vers 3215 ne
fonctionne pas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Choix de routeur en 2020

2020-06-30 Par sujet Pierre Emeriaud
Le mar. 30 juin 2020 à 19:03, Michel Py
 a écrit :
>
> Par exemple j'ai de la demande pour travailler sur du routeur de coeur Nokia, 
> je ne veux pas me lancer là-dedans, tu ne trouves personne qui en ait vu un.

Pour avoir travaillé sur un réseau de collecte de quelques 700 PE
nokialu 7750, je peux t'affirmer que ce sont de très bonne machines
qui sont très capables et dont le soft et la conf sont, bien
qu'étrange de prime abord, très bien bien foutus. La conception en
"service" vs "router" pour séparer de manière logique l'infra/backbone
des service est plutôt pas mal. Les commandes cli respectent bien la
hiérarchie de la configuration, donc si tu sais où c'est dans la conf,
tu connais la commande cli pour aller regarder ce que tu veux à cet
endroit, et inversement.

Alors oui ce n'est ni cisco-like ni Juniper-like, donc ça peut
dérouter au début, mais c'est au final très cohérent. Aujourd'hui je
tourne principalement sur du juniper pour les mêmes choses
(l2vpn/l2circuit/l3vpn/bng/...), et je trouve pas terrible du tout.
Impossible avec une commande show de voir dans quelle routing-instance
est une interface, il faut vérifier dans la conf impérativement (et si
quelqu'un a une solution - je prends !). Idem avec la conf tacacs par
exemple : "show tacacs" ils ne connaissent pas (plus - ça existait sur
les erx grâce à unisphere). Et en fonction des versions tu as 3 ou 4
commandes clear différentes pour la même chose mais qui ne
fonctionnent que si t'es dans la version X ou Y, et ça fail
silencieusement. Sans parler des traceoptions qui sont faites pour les
dev, pas pour les netops, ou des bugs qu'on rencontre très
régulièrement à vouloir leur faire faire ce dont ils sont censés être
capables...

Bon ok Juniper a tcpdump, mais le debug mirror de nokialu est
vraiment, vraiment pratique pour erspan-er un port/vlan/ip/whatever.

Pour un pur P/peering edge/machine a bgp, nokia est peut-être moins
approprié/compétitif, a voir. Ça fonctionne, mais la cli est (était?
-époque sros 10-14) pas si fournie en termes de commandes de
troubleshooting mpls/bgp, et globalement ça coûte cher si c'est juste
pour pousser du paquet.

Sinon c'est ansible-isable (cf
https://github.com/nokia/ansible-networking-collections), mais j'ai
jamais testé personnellement. Mais bon, ça reste le même genre de
cremerie que J ou C...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Trafic chiffré vers Chine continentale

2020-06-17 Par sujet Pierre Emeriaud
Le mer. 17 juin 2020 à 10:32, Sébastien Lesimple
 a écrit :
>
> Bonjour Tous!
>
> Existe-t-il quelque part un référentiel des trafic chiffrés
> bloqués/permis vers la chine continentale?

ça dépend du sens du vent, de l'actualité en cours et des technos à la mode.

> Je dois synchroniser des File Systemes entre plusieurs zone Geo et la
> Chine Continentale et je ne sais pas quelle est la méthode chiffrement
> la plus adpatée et communément acceptée par le GF.

utiliser le bon vieux sneakernet. C'est la méthode la plus fiable.
Sinon un pop à HK, et desservir à partir de là.

Le mer. 17 juin 2020 à 13:57, Pavel Polyakov  a écrit :
> On a plusieurs clients en Chine qui communiquent avec notre réseau à
> travers un tunnel tinc, ça fonctionne bien.

Tout dépend des versions du protocole tinc et de l'humeur du gfw. J'ai
constaté par moi-même que mon tunnel tinc depuis la chine continentale
pouvait être activement saboté, via des paquets forgés. Oui le vpn
s'établissait, oui il y avait des paquets qui passaient dedans, non
c'était pas top, du moins pas tous les jours.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

2020-05-10 Par sujet Pierre Emeriaud
Le dim. 10 mai 2020 à 06:34, Michel Py
 a écrit :
>
> > Pierre Emeriaud a écrit :
> > FUD.
>
> Pierre excuse moi, mais en termes de FUD le miracle IPv6 qu'on nous conte 
> depuis 20+ années bat tous les records.

Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a
plus de nat, on va tous se faire pirater.

> Bon, le IPv4+ d'Elad Cohen c'est à mourir de rire, changer le monde entier 
> pour passer de 32 bits à 32 bits-et-demi c'est du Elad Cohen pur porc (!) 
> mais en terme de FUD, IPv6 est le champion du monde toutes catégories.
> La stratégie de déploiement d'IPv6 est entièrement basée sur la FUD, et j'en 
> sais quelque chose : j'en ai écrit une partie, il y a longtemps.

> Le principal problème d'IPv6, c'est dual-stack pendant 35 ans ou 40 ans. 
> Dual-stack, c'est 2 fois le boulot et 3 fois les emmerdes, çà fait 20 ans que 
> tout le monde le sait, donc faudrait un peu arrêter de nous briser les 
> couilles avec la FUD qui a 20 ans d'âge. Pour la grande majorité des lecteurs 
> de cette liste, tout le monde a compris que dans 10 ans on va encore avoir 
> IPv4; toi et moi on a discuté de ce sujet plusieurs fois, je suis un peu 
> surpris par ta dernière contrib.

Je me trimbale encore du x25/XoT, du frame et de l'atm en plus de l'ip
et de l'ipv6. Et même du dlsw pour du sna chez certains clients. Le
dual^wmillefeuille de protocoles, je vois ce que ça peut donner. Et
quand je vois qu'on n'en n'a toujours pas fini avec ces vieux
protocoles, j'imagine très bien combien d'années encore il va falloir
se trimbaler ipv4.

De toute façon aujourd'hui, combien de réseau d'opérateurs pourraient
fonctionner sans ipv4 ? Accroche toi au cable, j'enlève ldp...

> IPv4 ne va pas mourir. Si je pouvais lire dans l'avenir, je dirais qu'il y a 
> encore 10% ou 20% de chances qu'une forme d'IPv4+ (certainement pas la merde 
> que nous propose Cohen) puisse voir le jour.

IPv4+ j'y crois pas. Aujourd'hui je suis obligé de me palucher des
vieux tromblons genre esr10k pour les vieux protocoles, c'est plus
supporté, c'est pas ça (ou les futures vieilleries) qui va me
permettre d'utiliser une variante incompatible d'ipv4.


> Moi, je ne suis pas pressé. En fait, je suis en train de regarder le marché 
> pour savoir si je devrais acheter un /24 pour la maison. Je suis con, j'en ai 
> eu plusieurs dans les mains de la mare que j'aurais pu garder.

J'ai rajouté ce mois-ci de l'ipv4 à mon as perso, parce que bon... hein.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

2020-05-09 Par sujet Pierre Emeriaud
Le sam. 9 mai 2020 à 16:52, Bruno LEAL DE SOUSA
 a écrit :
>
> Je pense que le passage de IPv4 à IPv6 est juste trop brutal et mal
> organisé aujourd'hui. Beaucoup vont se casser les dents en termes de
> sécurité dans les années à venir à cause de ce changement trop brutal.

FUD.
Les stacks ipv6 ont toutes eu des problèmes de jeunesse tels qu'ipv4 a
pu avoir dans le passé, mais aujourd'hui les problèmes de sécurité je
les constate tout autant en ipv4 qu'en ipv6. Et même plus en ipv4 pour
tout un pan d'attaques - ddos volumétriques, bruteforces etc.

IPv6 ne se firewall pas moins bien qu'ipv4. Même mieux j'aurais
tendance à dire, grâce aux subnets moins "gruyère suisse" ou "sous-sol
parisien" : de bonnes tranches d'ip qu'on a attribué selon
l'expérience du subnetting ipv4, pas de cruft à supporter, on fait
moins de bêtises, c'est plus propre dès le départ.

Avoir de l'ipv6 et une ip globalement routable n'est pas forcément
synonyme d'être exposé à tout internet, juste parce qu'il n'y a plus
de nat.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Orange / Digital Ocean

2020-05-05 Par sujet Pierre Emeriaud
Le mar. 5 mai 2020 à 11:23, jean luc labbee  a écrit :
>
> @David & @Hugues : je faisais référence au mtr IPv4 (et dans le cas de IPv4 
> je ne vois pas de 5511)
>
> pour ma part depuis une connexion fibre Orange :
>
> $ mtr -bzwe pkgs.tailscale.com
> Start: 2020-05-05T10:31:07+0200
> HOST: ocean   
>Loss%   Snt   Last   Avg  Best  Wrst StDev
>   1. AS???lan.home (192.168.1.1)  
> 0.0%103.0   3.1   2.9   3.4   0.1
>   2. AS???x.x.x.x 
> 0.0%105.0   4.5   3.9   5.1   0.5
>   3. AS???x.x.x.francetelecom.net (x.x.x.x)   
> 0.0%103.8   4.3   3.8   4.9   0.3
>   4. AS???ae44-0.nimar102.Marseille3eArrondissement.francetelecom.net 
> (193.252.101.162)   0.0%10   15.3  15.1  14.5  15.8   0.4
>   5. AS???193.252.137.54  
> 0.0%10   24.1  28.0  24.0  57.7  10.5
>   6. AS1299   prs-b5-link.telia.net (62.115.171.226)  
> 0.0%10   31.3  31.3  30.6  31.8   0.4
>   7. AS?????? 
>100.0100.0   0.0   0.0   0.0   0.0
>   8. AS1299   rest-bb1-link.telia.net (62.115.122.159)
>10.0%10  102.5 102.2 101.7 102.8   0.3
>[MPLS: Lbl 25778 TC 0 S u TTL 1]
>   9. AS1299   las-b24-link.telia.net (62.115.114.86)  
> 0.0%10  162.5 162.4 161.1 166.3   1.6
>[MPLS: Lbl 6176 TC 0 S u TTL 1]
>  10. AS1299   palo-b22-link.telia.net (62.115.119.90) 
> 0.0%10  175.2 172.3 170.2 177.6   2.3
>  11. AS1299   digitalocean-ic-336107-palo-b22.c.telia.net (213.248.99.163)
>20.0%10  187.5 187.0 186.2 187.5   0.5
>  12. AS?????? 
>100.0100.0   0.0   0.0   0.0   0.0
>  13. AS?????? 
>100.0100.0   0.0   0.0   0.0   0.0
>  14. AS14061  165.227.17.164  
> 0.0%10  177.5 178.0 176.1 182.8   2.4
>
>
> Juste avant le 1er hop chez Telia : AS1299   prs-b5-link.telia.net 
> (62.115.171.226), on a 193.252.137.54
>
> Et 193.252.137.54 n'est pas à mes yeux chez OTI mais chez 3215 (RBCI):
>
> $ whois 193.252.137.54 |grep netname
> netname:RBCI

Jean-luc, quand même... B-A-BA du traceroute.

https://archive.nanog.org/meetings/nanog45/presentations/Sunday/RAS_traceroute_N45.pdf
(slide 21).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Orange / Digital Ocean

2020-05-05 Par sujet Pierre Emeriaud
Le mar. 5 mai 2020 à 10:58, jean luc labbee  a écrit :
>
> Les voix de BGP sont vraiment pour ma part, impénétrables :-)
>
> D'après http://bgpmap.sdv.fr/index.php?dst=165.227.17.164 pour aller de
> 3215 vers 14061 (DIGITALOCEAN), on doit passer par :
> - 5511 (OTI)
> - puis 6453 (TATA) ou 2914 (NTT)
>
> mais pas par 1299 (Telia) alors que c'est le chemin qui apparaît dans les
> différents mtr

telia c'est en ipv6.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[MISC] Re: [FRnOG] [ALERT] Latence peering OBS/Free

2020-04-29 Par sujet Pierre Emeriaud
Le mer. 29 avr. 2020 à 10:48, F F  a écrit :
>
> Bonjour,
>
> Voici une IP : 46.30.200.25

Merci. Mais je ne vois pas ce qu'OBS vient faire dans la choucroute.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[MISC] Re: [FRnOG] [ALERT] Latence peering OBS/Free

2020-04-29 Par sujet Pierre Emeriaud
Le mer. 29 avr. 2020 à 10:19, Fio Fio  a écrit :
>
> Bonjour,
>
> Depuis fin de semaine dernière, nous constatons des latences lorsque nos
> utilisateurs sont chez Free et qu'ils tentent de joindre des équipements
> hébergés sur notre réseau (liaison OBS).
>
> Ci-dessous un traceroute depuis une liaison Orange :
>
> Tracing route to *IP* over a maximum of 30 hops
>
>   1 1 ms 1 ms 1 ms  livebox.home [192.168.1.1]
>
>   2 5 ms 3 ms 4 ms  80.10.236.93
>
>   3 4 ms 4 ms 4 ms
> ae117-0.ncidf104.paris15earrondissement.francetelecom.net [193.253.80.26]
>
>   4 9 ms 6 ms 3 ms
> ae51-0.nridf102.aubervilliers.francetelecom.net [193.252.98.98]
>
>   5 3 ms 4 ms 3 ms
> ae41-0.noidf002.aubervilliers.francetelecom.net [193.252.98.106]
>
>   6 4 ms 4 ms 4 ms  193.253.13.250
>
>   7 5 ms 4 ms 5 ms  *IP*

- pas d'ip pas de chocolat.
- C'est pas de l'Orange Business cette interco.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Fournisseur mat télécom

2020-04-27 Par sujet Pierre Emeriaud
Le lun. 27 avr. 2020 à 08:26, Sébastien 65  a écrit :
>
> Bonjour à tous,
>
> Je suis à la recherche d'un fournisseur de mat tubulaire télécom en morceau 
> de 1,2 et 3M pouvant être assemblé en tube de diamètre 42 ou 48mm.

Mat tubulaire je ne sais pas, mais en treillis il y a CTA qui est bien
connu des radio-amateurs depuis longtemps : www.cta-pylones.com.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Attaqué par wanadoo :-)

2020-04-21 Par sujet Pierre Emeriaud
Le mar. 21 avr. 2020 à 09:12, Laurent Barme <5...@barme.fr> a écrit :
>
> Bonjour,
>
> Depuis 2 jours l'un de mes serveurs reçoit depuis 90.118.130.145 des milliers 
> de
> requêtes https qui tombent en time-out (408).
>
> Ce serait une connexion fibre Orange d'après ce que je peux trouver comme
> information à son sujet.
>
> Combien de temps une adresse IP de ce type reste-t-elle potentiellement
> attribuée au même utilisateur ?

90.118.130.145 = lfbn-nic-1-515-145.w90-118.abo.wanadoo.fr => ^Lfbn ~=
adresse "stable" en collecte dhcp contrairement aux ^A qu'il y a
en collecte ppp et où l'ip change à chaque déco/reco.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch 100 Gbits/s low latency.

2020-04-10 Par sujet Pierre Emeriaud
Le ven. 10 avr. 2020 à 23:10, Michel Py
 a écrit :
>
> > Archange a écrit :
> > Dans le même genre, toujours dans le monde du HFT, je me souviens avoir lu 
> > d’excellents articles sur ce blog :
> > https://sniperinmahwah.wordpress.com/.
>
> S'ils pouvaient mettre des bateaux relais pour traverser l'Atlantique, ils le 
> feraient. Et le jour ou la fibre à coeur vide marchera sur de la longue 
> distance, il y en a qui vont se faire du beurre avec.

Hormis la vitesse de propagation pure dans le milieu qui est en faveur
des ondes par rapport à la fibre, même avec ta fibre à coeur vide tu
n'arriveras pas à tirer en ligne droite comme ils savent le faire avec
des FH.

Regarde sur https://carte-fh.lafibre.info dans "Autres" tu n'actives
que "Station étrangère". Londres - Zurich en fibre en suivant le
relief, tu le fais en combien de km de plus ?

On ne vois pas les Londres - Francfort qui passent en Belgique sur cet
outil, mais c'est similaire, de même que Chicago - New York par chez
toi. Et certains traversent l'atlantique en HF il semblerait même :
https://sniperinmahwah.wordpress.com/2018/05/07/shortwave-trading-part-i-the-west-chicago-tower-mystery/

--
pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] IOS-XR - syslog des low/alarm level

2020-03-04 Par sujet Pierre Emeriaud
Le mer. 4 mars 2020 à 16:20, Fabien VINCENT FrNOG via frnog
 a écrit :
>
> Tiens c'est drole, sur QSFP-28/CPAK, ca loggue bien le port :

quelle platforme / carte / version ?

Chez moi c'est a9k / mod400 / 6.0.2 ou 6.5.3 à vérifier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] IOS-XR - syslog des low/alarm level

2020-03-04 Par sujet Pierre Emeriaud
Le mer. 4 mars 2020 à 12:22, Fabien VINCENT FrNOG via frnog
 a écrit :
>
> Le 04-03-2020 11:52, Cécile Martron via frnog a écrit :
> > Bonjour la liste,
> >
> >   Avez vous une idée de comment logger en syslog dans les ASR9k
> > (IOS-XR) les low warning/alarm signal level des sfp ?
> > Impossible de trouver la bonne config logging et sortir le PM pour ça
> > c'est imbuvable...
> > En vous remerciant sincèrement,
> >
> Normalement, ca marche tout seul ...
>
> Pour ma part, j'ai juste une règle sur le logging pour un remote syslog
> server pour les severity info et sur le remote server j'ai bien des logs
> du genre :
>
>   LC/0/16/CPU0:Mar  4 05:45:15.295 UTC: pfm_node_lc[294]:
> %PLATFORM-SFP-2-LOW_RX_POWER_ALARM :
> Clear|envmon_lc[168025]|0x102900b|TenGigE0/16/0/11

idem de mon coté, ça log également par lane sur les 100g, mais sans
préciser le port directement, pas pratique pour | i

LC/0/0/CPU0:Feb 25 22:57:56.036 UTC: pfm_node_lc[295]:
%PLATFORM-CFP-2-LANE_3_LOW_RX_POWER_ALARM :
Clear|envmon_lc[168022]|0x102b015|Port_21

quelle severity tu as mis ? (info ici).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] [Cisco] Refroidissement de chassis Catalyst

2020-02-10 Par sujet Pierre Emeriaud
Le mar. 11 févr. 2020 à 04:55, Michel Py
 a écrit :
>
> Cà fait un bruit de Boeing, mais çà a fait baisser la température des ASIC de 
> 15°C, c'est bon pour la durée de vie.

tant que c'est pas celui d'un 737max en atterrissage forcé, ça va.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [JOBS] ça recrute (encore!) chez orange

2020-01-17 Par sujet Pierre Emeriaud
Hello la communauté.

Un poste d'admin réseau confirmé est ouvert dans mon équipe de 20
personnes chez Orange, à Cesson-Sévigné à coté de Rennes, pour
remplacer un départ.

Il s'agit d'exploiter le réseau backbone français d'Orange Business
Services, réseau entreprise orienté services, avec de forts
engagements sur la QS et la sécurité.

L'offre est ici : https://orange.jobs/jobs/offer.do?joid=88908=FR

N'hésitez pas à me pinger si vous avez des questions, si je peux y
répondre ça sera avec plaisir. Pour postuler c'est en bas de
l'annonce.

As usual, NON y'a pas le salaire. J'y peux rien, si vous avez quelque
chose à y redire, postulez et venez le dire aux RH de visu.

Pas de full remote possible, mais télétravail occasionnel sans soucis.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Un TTL qui varie sans raison

2020-01-03 Par sujet Pierre Emeriaud
Le ven. 3 janv. 2020 à 22:16, Michel Py
 a écrit :
>
> > Stephane Bortzmeyer a écrit :
> > 1) Avez-vous déjà vu ça ?
>
> Oui, mais jamais avec des variations pareilles. 1 ou 2 de variance dans le 
> TTL maxi, mais pas çà.

+1. Jusqu'à 4-5 de différence, ça peut s'expliquer. Là c'est un peu
n'importe quoi.

> > 2) Quel équipement ferait ça, et pourquoi ?
>
> Ceci, aucune idée. Dans ce que j'ai vu, c'est du load balancing par paquet 
> qui répartit sur des chemins inégaux et disparates; généralement il y a une 
> différence dans la latence, alors que dans ce cas elle est relativement 
> stable, ce qui confirmerait que le chemin est le même.

Dans mon réseau à $work nous avons de l'ecmp, et un réseau assez
maillé. On a déjà eu le cas où un paquet passait par un chemin nord
(genre par Paris Lyon Marseille entre Rennes & Montpellier) et un
autre par un chemin sud (via poitiers toulouse). C'était à cause d'un
mauvais algo de hashing sur des paquets vpls dont les adresses mac
commençaient par 4 ou 6. Le résultat était un désequencement des
trames, mais en IP ça donnerait un ttl qui varie.

Est-ce que certaines options de ping rentrent dans l'algo de hash de
certains routeurs ? Possible... mais ça n'expliquerait pas les
différences constatés dans le ttl.

> > 3) Est-ce que je me pose trop de questions ?
>
> Non. La seule question con, c'est celle que tu ne (te) poses pas.

+1. C'est une curiosité, et je serais intéressé de connaitre la raison
de ce comportement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] programme de chat avec client Android.

2019-12-29 Par sujet Pierre Emeriaud
Le sam. 28 déc. 2019 à 02:12, Michel Py
 a écrit :
>
> J'utilise présentement Rocket Chat, et je cherche une alternative. Récemment, 
> les développeurs ont décidé d'enlever l'option pour les administrateurs de 
> changer le mot de passe des utilisateurs, pour moi c'est un no-no donc je 
> change de crèmerie. Je n'aime pas être pris en otage pendant 2 semaines alors 
> que des quantités d'autres administrateurs ont demandé que çà soit ré-intégré.
>
> Vous utilisez quoi ? Client Android, s'il y avait un client iPhone je m'en 
> plaindrais pas, logiciel libre et gratuit bien entendu.

unrealircd, weechat+screen/tmux + glowing bear + weechat android, et
bridge dynamique vers matrix pour les gens avec riot.im si besoin sur
les smartphones, genre #freenode_#somechan:matrix.org pour rejoindre
un chan. Il est bien sûr possible d'héberger le bridge chez soi.

C'est décentralisé, sécurisé, lightweight (à la fois en termes de
besoins serveurs & sur le réseau), et ouvert sur tous les aspects. Il
n'y a pas de fédération, mais est-ce bien nécessaire...

C'est pas pour rien qu'irc existe toujours 30 ans après. Bon nombre de
clients, réseaux et protocoles de chat sont nés après, peu sont encore
là.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Mini-Mini-DSLAM EFM

2019-12-18 Par sujet Pierre Emeriaud
> Je cherche un équipement permettant de jouer le rôle d'un tout-petit (et pas 
> cher) DSLAM G.SHDSLbis PTM sur 4 paires.
> Une possibilité serait de mettre un CPE en mode CO (je crois me rappeler que 
> c’était possible en ATM sur certains Cisco888 mais pas de trace de ça en PTM).

PTM ou EFM ? je suis pas sûr que ça soit identique.

Quoi qu'il en soit y'a la doc sur
https://www.cisco.com/c/en/us/support/docs/wan/point-to-point-protocol-ppp/200636-EHWIC-4SHDSL-EA-Back-to-Back-SHDSL-Con.html
:

controller SHDSL 0/3/0
 termination co
 mode efm
 dsl-group 0 pairs  0, 1, 2, 3 efm-bond

et de l'autre coté pas besoin de "termination co".


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Incident interco OTI / Cogent Paris ?

2019-12-12 Par sujet Pierre Emeriaud
Le jeu. 12 déc. 2019 à 17:28, Quentin Leconte
 a écrit :
>
> Bonsoir la liste,
>
> Depuis quelques jours, nous avons des clients sur des opérateurs transitant 
> par OTI/AS5511 qui rencontre des lenteurs et des pertes pour nous joindre au 
> travers de notre transit Cogent.

> Il semblerait que l'échange entre OTI et Cogent ne se fasse plus sur Paris 
> mais sur FRA3. Et visiblement, de Toulouse à Francfort, les packets semblent 
> aimer faire un détour par le soleil.
> Certaines personnes auraient des infos ou ont pu observer des saturations sur 
> cet interco ?


trop aimable de fourni les ip sources et dest. Le diagnostic en sera
facilité ! /s

Y'a au moins 5 intercos en europe entre 5511 et 174. vu que j'ai qu'un
looking glass (telnet route-server.opentransit.net) et pas une boule
de cristal, on va attendre avant de regarder plus que ça hein.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

2019-11-28 Par sujet Pierre Emeriaud
Le jeu. 28 nov. 2019 à 13:12,  a écrit :
>
> La différence c'est qu'en GP le fai en grand prince à remboursé un mois
> complet à 30€ tandis que sur l'offre pro fibre 8MBps à 1600€ mensuel on a été
> remboursé de quelque chose comme 17€ sous forme de réduction sur la facture
> suivante.

La différence entre GP et GTR c'est que si c'est pété, en GP on peut
te dire "ben ça sera rétabli, oui, mais plus tard. On va pas
intervenir maintenant parceque ".

Avec une GTR ils vont au moins essayer d'intervenir rapidement. Du
moins, plus. Techniciens d'astreinte etc.

Ca, et le fait que la gtr est là pour assurer le cul du mec qui a
signé le contrat avec le fai. Si c'était pété et que le fai dit "ça
sera rétabli on sait pas quand, no etr", le gars qui a signé ça il
peut être mal si l'accès réseau est nécessaire. Si c'est un choix
assumé, ben ok, pas de soucis.

Les contreparties financières sur les gtr non respectés, hormis
contrat grand compte très spécifique, c'est pas assez pour une perte
de CA, ça rembourse tout juste l'abo.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Discussion technique

2019-11-09 Par sujet Pierre Emeriaud
Le sam. 9 nov. 2019 à 01:35, Guillaume Barrot
 a écrit :
>
> ah bon ?
>
> https://www.cisco.com/c/en/us/td/docs/routers/asr9000/software/asr9k_r6-0/bng/configuration/guide/b-bng-cg60xasr9k/b-bng-cg60xasr9k_chapter_010.html

ok ça date, mais j'avais ça :
https://community.cisco.com/t5/service-providers-documents/asr9000-xr-bng-deployment-guide/ta-p/3110436#L2TP

j'aurais dû s/l2tp/lns peut-être.

et tant mieux si ça a changé, il n’empêche que c'est pas le marché
ciblé par la bu 9k, donc t'es pas à l'abri d'un coup de tromblon en
mode "ah ouais ça, ben non désolé c'est plus supporté car pas
compatible avec la nouvelle archi" (même si sur un 9001 il ne doit
plus y avoir tellement d'updates et de changement d'archi - je suis
même pas sur qu'eXR passe dessus).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Routeur BGP matériel ou logiciel

2019-11-09 Par sujet Pierre Emeriaud
Le sam. 9 nov. 2019 à 08:11, Michel Py
 a écrit :
>
> On peut faire un control-plane de qualité avec un raspi. Les veaux qui 
> écrivent un control-plane en Java, leur machin va merder.

Je ne sais pas. Des control-plane en java j'en connais qu'un, et a
priori il n'est pas si pire.

http://freerouter.nop.hu/screen.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Discussion technique

2019-11-07 Par sujet Pierre Emeriaud
Le jeu. 7 nov. 2019 à 23:19, loutre Mini  a écrit :
>
> Fonctionnellement un asr1001 sait faire tout ce que fait un 9001 ?

Dans ce sens je ne sais pas. Mais un 9001 ne sait faire ni l2tp ni
ipsec par exemple.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Filtrage ICMP > 96 bytes sur 8.8.8.8/8.8.4.4

2019-10-19 Par sujet Pierre Emeriaud
Le sam. 19 oct. 2019 à 06:09, Théophile Helleboid  a écrit :
>
> > J’ai pas trop pigé le truc là…
> Hypothèse :
> 1. Ils sont en train de déployer ça progressivement
> 2. Leur load-balancer redirige vers un backend particulier en fonction
> (notamment) de l'IP source (ou d'un hash quelconque de l'IP)

vu que quad8 est massivement anycasté, c'est clair qu'en fonction de
ton ip source tu iras vers un cluster différent.

Après dans le cas d'alarig, c'est parce que ping et mtr ne calculent
pas la size de la même façon. Payload vs taille complete.

Ping -s 100 :
11:50:50.986951 IP (tos 0x0, ttl 64, id 36645, offset 0, flags [DF],
proto ICMP (1), length 128)
172.22.151.3 > 8.8.8.8: ICMP echo request, id 27348, seq 1, length 108
11:50:51.008386 IP (tos 0x0, ttl 55, id 0, offset 0, flags [none],
proto ICMP (1), length 96)
8.8.8.8 > 172.22.151.3: ICMP echo reply, id 27348, seq 1, length 76

mtr -s100 :
11:51:52.003147 IP (tos 0x0, ttl 10, id 40747, offset 0, flags [none],
proto ICMP (1), length 100)
172.22.151.3 > 8.8.8.8: ICMP echo request, id 27486, seq 33009, length 80
11:51:52.024060 IP (tos 0x0, ttl 55, id 0, offset 0, flags [none],
proto ICMP (1), length 96)
8.8.8.8 > 172.22.151.3: ICMP echo reply, id 27486, seq 33009, length 76


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Filtrage ICMP > 96 bytes sur 8.8.8.8/8.8.4.4

2019-10-18 Par sujet Pierre Emeriaud
Le ven. 18 oct. 2019 à 11:15, Laurent-Charles Fabre
 a écrit :
>
> Hola,
>
> je pingue avec la taille que je veux et ça répond toujours tronqué à 96 octets
>
> Je dirais que c’est la contribution de Google au Green IT :-)

ouais, ou a éviter que google / quad8 se transforme en réflecteur à DoS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [FRnOG] [MISC] Pylône de téléphonie mobile et élagage d'arbres gênants ?

2019-09-13 Par sujet Pierre Emeriaud
Le ven. 13 sept. 2019 à 19:33, Stéphane Rivière  a écrit :
>
> Par contre, en vraie montagne, l'UHF, c'est cool car ça rebondit sur les
> flancs...

un peu OT mais matez cette vidéo d'un contact (qso) entre deux radio
amateurs en hyperfréquence (10Ghz) en utilisant le mont blanc comme
miroir passif :
https://www.youtube.com/watch?v=zlk3a41eRxk

C'est cool quand même ce qu'on peut faire avec des moyens d'amateur :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Pylône de téléphonie mobile et élagage d'arbres gênants ?

2019-09-11 Par sujet Pierre Emeriaud
Le mer. 11 sept. 2019 à 13:48, Toussaint OTTAVI  a écrit :
>
> Je cherche plutôt des solutions permettant d'élaguer sans le
> consentement du propriétaire, par exemple pour des motifs d'intérêt
> public.

Je suis plutôt pour avoir du bon réseau wireless partout, ayant
actuellement une femto sur un adsl anémique je comprends ta douleur.

Cependant si quelqu'un élague un arbre m'appartenant sans mon
consentement ça me ferait vraiment, vraiment chier. Il va m'entendre
parler. Je vais élaguer les aériens qui me dérange aussi tiens !
(surtout si le pylone est camouflé en arbre !).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Accès OOB 4G

2019-08-28 Par sujet Pierre Emeriaud
Le mer. 28 août 2019 à 17:40, Hervé BRY  a écrit :
>
> Je réfléchis à la mise en place d'un accès OOB à mon infra en 4G. Et je me
> questionne sur la solution la plus simple à un tarif raisonnable :
>  - En terme de hardware (Un Raspberry Pi + clé 4G ? Un petit AP 4G ? Un
> Mikrotik ou équivalent avec carte PCIe LTE ?)

Je suis assez fan d'opengear, mais neuf c'est pas donné. En refurb y'a
moyen de trouver des tarifs sympas.

>  - En terme d'opérateur (besoin dans l'idéal d'une IP fixe, sinon DynDNS ou
> tunnel vers une autre partie de l'infra ?)

Quelle idée de vouloir mettre un oob le cul sur internet. Surtout
qu'avec une ip publique, tu reçois du bruit de fond, et sur des abos
qui ont un quota de traffic, c'est pas la meilleure idée qui soit.

Un bon VPN, tout en faisant attention à la dépendance dudit vpn envers
l'infra qu'il sécurise, et zou.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [MISC] RE: [FRnOG] [MISC] RE: Liaison point à point 5Ghz (question perso)

2019-08-27 Par sujet Pierre Emeriaud
Le mar. 27 août 2019 à 19:26, Oliver varenne  a écrit :
>
> Ce qui m’etonne, c’est que je capte un réseau que je devrais pas capter :
>
> J’habite à dans le 34
>
> Et je capte les réseaux nommés « Vic la gardiole » :

Tu captes aussi "corsica" :)

Plus sérieusement, je ne sais pas si c'est techniquement possible sur
des fréquences aussi élevée, mais c'est peut-être un (deux même) echo,
renvoyé par un miroir passif fortuit, ou bien le lobe arrière de
bornes situés sur la colline ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] linux route cache

2019-08-22 Par sujet Pierre Emeriaud
Le jeu. 22 août 2019 à 12:27, Pierre Colombier  a écrit :
>
> Je voudrais afficher le cache de routes pour savoir celles qui sont
> issues de icmp_redirect et également celles pour lesquelles PMTUd a
> renseigné une valeur spéciale.

> Est-ce que je me trompe de cache ?
>
> est-ce ça a changé récemment ?

le cache a été supprimé en 3.6  :
cf 
https://git.kernel.org/pub/scm/linux/kernel/git/davem/net-next.git/commit/?id=89aef8921bfbac22f00e04f8450f6e447db13e42
et http://vger.kernel.org/~davem/columbia2012.pdf, ainsi que
https://vincent.bernat.ch/fr/blog/2017-ipv4-table-routage-linux pour
un article un peu plus à jour que ce qu'on trouve généralement sur le
net.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

2019-06-27 Par sujet Pierre Emeriaud
Le jeu. 27 juin 2019 à 12:11, David Ponzone  a écrit :
>
> Le plus drôle c’est que le site de Noction t’explique que leur produit 
> automatise tout, évite les interventions manuelles.
> Apparement, ils ont pas voulu forcer le respect des bonnes pratiques.
> Ou DQE l’a désactivé.

https://twitter.com/noction/status/1143177562191011840
"We do have no export community support and have done for many years.
The use of more specifics is ALSO optional. Neither replaces the need
for filters."

https://www.noction.com/blog/do_route_optimizers_cause_fake_routes
"In order to further reduce the likelihood of these problems occurring
in the future, we will be adding a feature within Noction IRP to give
an option to tag all the more specific prefixes that it generates with
the BGP NO_EXPORT community. THIS WILL NOT BE ENABLE BY DEFAULT"

Noction a sa part de responsabilité dans le merdier en n'activant pas
NO_EXPORT par défaut. Les gens qui utilisent une boite magique comme
ça c'est qu'ils ne maitrisent pas leur ingénierie bgp, sinon ils n'en
auraient pas besoin. Et donc il faut les prendre par la main en
activant NO_EXPORT, ils ne le feront pas d'eux-même.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] switch openspace

2019-06-25 Par sujet Pierre Emeriaud
Le mar. 25 juin 2019 à 22:52, MERCKEL Aurélien
 a écrit :
>
> Que pensez-vous du fait d'appliquer les technologies GPON opérateur FTTH à 
> une problématique de câblage immeuble / grand bureau / grande usine par 
> exemple afin d'avoir le LAN totalement en lien optique ?
> Selon vous, est-ce viable ?

J'ai vu du gpon utilisé dans un centerpark pour raccorder les chalets.
J'ai trouvé que c'était une idée intéressante : le setup est fixé à la
construction, on peut optimiser ainsi la construction des arbres et
leur remplissage, le gpon permet la multidiffusion des canaux tv, et
également de la téléphonie via un ont "cpe" avec un port fxs. Et puis
forcément de l'internet avec un débit très correct et identique dans
tous les chalets, ce qui vu l'emprise du domaine est pas mal pour une
société dont ce n'est pas le métier (et on sait tous comment les
résidences hôtelières sont nulles pour fournir de l'internet de
qualité).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] le désastre Cloudflare / DQE / Verizon et les optimiseurs BGP

2019-06-25 Par sujet Pierre Emeriaud
Le mar. 25 juin 2019 à 03:46, Michel Py
 a écrit :
>
> Est-ce que çà à touché la France ?
> https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/

Pas regardé dans le détail de mon coté. Pas eu de bruit concernant un
afflux de tickets toutefois.

> J'espère qu'il n'y a aucun lecteur qui utilise un optimiseur BGP et est assez 
> con pour annoncer les routes plus spécifiques sans no-export.

Et pourtant. Sur le site même de Noction dans les success story il y a
des abonnés d'ici... Dont on a déjà parlé, ainsi que sur bgpmon.net (à
ce propos - si vous avez des success-story a partager sur des
alternatives comme rislive ou bgpalerter - feel free).

NOCTION. MAKE NO_EXPORT DEFAULT KTHXBYE.

"In order to further reduce the likelihood of these problems occurring
in the future, we will be adding a feature within Noction IRP to give
an option to tag all the more specific prefixes that it generates with
the BGP NO_EXPORT community. This will not be enabled by default" cf
https://www.noction.com/blog/do_route_optimizers_cause_fake_routes et
https://twitter.com/noction/status/1143177562191011840


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Changement routeur ftth Orange

2019-06-17 Par sujet Pierre Emeriaud
Le lun. 17 juin 2019 à 12:46, anto  a écrit :
>
> Pour le vlan832 en mode dhcp je n'arrive pas trop bien à comprendre... 
> Faut-il que j'ajoute des options dans la demande DHCP ?

Oui.

> Quelqu'un a t'il un exemple de la conf par exemple pour le cisco ?

Sur un cisco en dhcp tu vas t'amuser. Les options à fournir au client
dhcp ne sont pas usuelles, pour trouver un ios qui les a  toutes...
peut-être sur un train 15 récent...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Problème CISCO / FTTH Orange

2019-06-04 Par sujet Pierre Emeriaud
Le mar. 4 juin 2019 à 17:02, DONNET, Sylvain  a écrit :
>
> Merci,
>
> Je vais modifier en ce sens.
> Ce que dit Erwan est vrai ? Ils sont passés DHCP au lieu de PPP, sur le 
> Vlan832 ? ou les deux modes cohabitent ?

Les deux cohabitent.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Collecte lien Martinique

2019-05-13 Par sujet Pierre Emeriaud
Le lun. 13 mai 2019 à 15:34, Olivier Divel  a écrit :
>
> Bonjour,
>
> Dans le cadre d'un projet en Martinique, est ce que quelqu'un saurait nous
> fournir de la connectivité vers un client en Martinique ?

OWF en celan, OBS en Business ethernet sans soucis.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] SFP GPON sur FTTH

2019-04-27 Par sujet Pierre Emeriaud
Le ven. 26 avr. 2019 à 22:26, Pierre Colombier  a écrit :
>
> Le sujet ressort régulièrement mais je me demandais si il y avait des
> news pour peut-être enfin se passer de l'ONU orange (ou autre FAI) avec
> des SFP évolués supportant le "PLOAM Password".

Je suis le premier à bidouiller un device dès qu'il me tombe entre les
mains. Mais la question que je me pose à chaque fois que quelqu'un
veut utiliser son ont sfp (dont l'interop avec la version hw+sw de
l'olt aura bien sûr été vérifiée), c'est "pourquoi ?", surtout
maintenant qu'Orange fourni ces sfp gpon validées.

Si vous avez des arguments, je prends.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Traceroute Orange "Pro" bizarre

2019-04-23 Par sujet Pierre Emeriaud
Le mar. 23 avr. 2019 à 11:34, Philippe ASTIER
 a écrit :
>
> Oui, oui, la 160.1, c’est bien l’IP de l’interface WAN2 de mon Forti qui est 
> connecté à la LiveBox Pro v4.
> En revanche, l’IP publique, portée par la LB Pro, en 90.63.XX.XX n’est pas 
> vue dans le traceroute.
>
> Curieux non ?

Non. Tout est normal. On ne voit jamais l'ip de sortie sur un traceroute.

Voir 
https://www.nanog.org/meetings/nanog47/presentations/Sunday/RAS_Traceroute_N47_Sun.pdf.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Latence Transatlantique

2019-04-18 Par sujet Pierre Emeriaud
Le jeu. 18 avr. 2019 à 13:30, David Ponzone  a écrit :
>
> Non pas vide, avec de l’air à la place du verre:

Quitte à transmettre dans l'air, autant pas se faire chier avec une
fibre qui doit respecter des contraintes physiques... autant
transmettre en radio directement.

https://sniperinmahwah.wordpress.com/2018/05/07/shortwave-trading-part-i-the-west-chicago-tower-mystery/

Et là, on gagne en rtd. Ligne droite à la vitesse de la lumière. Bon
ok, pour quelques kb/s à tout casser.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Incident Orange

2019-04-15 Par sujet Pierre Emeriaud
Le lun. 15 avr. 2019 à 12:32, Pierre DOLIDON  a écrit :
>
> Incident Orange, qui concerne au moins OBS (Fibre) et Orange Pro
> (secours). Pour ma part, les 2 connexions flappent/joignent
> difficilement les USA.

incident majeur en cours coté 5511. ils sont dessus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Asso pour WISP

2019-03-30 Par sujet Pierre Emeriaud
> Est-ce que quelqu'un connait une association/groupe/structure Française 
> dédiée WISP, dans la même philosophie que l'AOTA ?

Je vois deux groupes potentiels :
- la mailing list ran .
De moins en moins d'activité, mais avec des gens qui ont (avaient?)
des compétences en wireless, orienté couverture commerciale des zones
blanches (en perte de vitesse depuis la MeD).
- la Fédération FDN, et les quelques mailing lists associées, genre
diy-isp . Pas dédié au
wireless, mais avec de la connaissance également, orienté internet
neutre et militant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Juniper et reboot violent

2019-03-12 Par sujet Pierre Emeriaud
Le mar. 12 mars 2019 à 12:33, Arnaud Launay  a écrit :
>
> watchdog: scheduling fairness gone. Too much high-priority workload!
> watchdog: scheduling fairness gone for 20 seconds now.
>
> et ça continue jusqu'à atteindre 3600 secondes, où il reboot (enfin).
>
> J'ai demandé à nos amis du JTAC s'il y avait moyen de baisser
> cette durée pour quelque chose d'autre, mais ils ne comprennent
> visiblement pas la question.

je ne sais pas s'il s'agit du même watchdog,  mais dans la cli il y a :

moi@router# set system processes watchdog timeout ?
Possible completions:
  Watchdog timer value (1..3600 seconds)

moi@router# set system processes watchdog enable
moi@router# set system processes watchdog timeout 300

ça passe le commit check sur un mx960/re1800x4/17.4R2, mais j'ai pas
planté volontairement pour voir si ça fonctionnait bien.

il y avait 'set system debugger-on-break' sinon qui pouvait aider,
mais il fallait pouvoir envoyer rapidement un break sur la console (ça
drop dans ddb). pour du lab c'est pratique. et de toute façon ça
disparait dans les junos récents.

Et pour le problème sous-jacent, regarde PR108.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [JOBS] Ça recrute chez Orange

2019-03-03 Par sujet Pierre Emeriaud
Hello Jonathan

> Le poste est-il ouvert au télétravail ?
> Par exemple 2 jours sur 5, est-ce une possibilité ?

Une fois monté en compétence sur le domaine (ie autonomie atteinte),
c'est une possibilité.

Évidemment pas de remote les semaines d'astreinte, par contre les
opérations hno en solo pas de soucis (quand on est 2 ou 3 c'est quand
même mieux d'être dans la même pièce).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [JOBS] Ça recrute chez Orange

2019-02-23 Par sujet Pierre Emeriaud
Hello

Un poste[0] d'admin réseau confirmé est ouvert dans mon équipe de 20
personnes chez Orange, à Cesson-Sévigné à coté de Rennes, pour
remplacer un départ.

Il s'agit d'exploiter le réseau backbone français d'Orange Business
Services, réseau entreprise orienté services, avec de forts
engagements sur la QS et la sécurité.

Au niveau techno, forcément le combo classique mpls/isis/ldp/bgp pour
fournir du l2 et l3vpn, avec un peu de rsvp pour le TE en attendant
SR, du PCE, de l'ORR et du vRR, le tout principalement sur du Junos
MX, avec du XR et de l'ios pour faire tenir le tout. Des gw options A,
B et C, je crois qu'il n'y a que D que nous n'avons pas, rajouter
quelques centaines de lns, du cgn et un bon paquet de catalyst pour
aggréger tout ça, on a de quoi s'amuser.

Il y a du legacy (atm, frame, xot) , comme on peut s'imaginer dans une
boite comme Orange, mais il ne sera pas demandé aux nouveaux arrivants
de monter en compétence sur ces technos, il y a déjà suffisamment à
faire sur l'actuel, sans parler du futur proche. Le poste est en
évolution constante, la preuve en est qu'un certain nombre de
collègues sont là depuis pas mal d'années (10+) vu qu'on ne s'ennuie
pas.

L'astreinte, une fois monté en compétence, tourne toutes les 7
semaines environ, avec deux personnes d'astreinte en //. Les deux
astreintes ont leur domaine de spécialité (backbone, service, etc),
mais peuvent se backuper mutuellement.

Sinon, NON y'a pas le salaire. J'y peux rien, si vous avez quelque
chose à y redire, postulez et venez le dire aux RH de visu. Si ça
troll sur le sujet, Philippe usera du banhammer (ou Juniper repair
tool - au choix).

Il n'est pas obligatoire d'avoir des RFC à son nom pour postuler, mais
si le coeur vous en dit, le poste le permet (genre [1] - Stéphane est
un ancien de mon équipe). Donc oui c'est de l'exploitation, mais on
est très proche de l'ingénierie, et il est clairement possible
d'influer sur le futur de votre job :)

Pas de full remote possible, mais télétravail occasionnel sans soucis.

N'hésitez pas à revenir vers moi si vous avez des questions, et pour
postuler, c'est en ligne en bas de l'annonce.


[0] https://orange.jobs/jobs/offer.do?joid=79281
[1] https://www.arkko.com/tools/allstats/stephanelitkowski.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Tarifs smartnet Cisco

2019-01-30 Par sujet Pierre Emeriaud
Le mer. 30 janv. 2019 à 16:21, Alexis  a écrit :
>
> Bonjour tout le monde,
>
> J'ai un petit "soucis" avec des routeurs Cisco, deux petits ASR-1001-X.
>
> Je soupçonne un petit bug sur les BDI dans la version qu'on à (16.6.1 -
> ED) et souhaitais mettre à jour IOS vers la 16.6.5 (MD) "au cas ou".
>
> Premier problème, il faut un contrat Smartnet pour télécharger les
> versions d'IOS-XE. Le fait de devoir payer pour avoir accès aux bugfix
> me fait déjà bien tiquer.

Tu as de la "chance" : la 16.6.1 est concernée par un certain nombre
de vulnérabilités (vérifiable avec [0]), dont notamment
cisco-sa-20180328-xesc[1] (CSCve76719 et CSCve89880) qui est corrigée
en 16.6.5.

Tu peux demander au tac cisco, gratuitement et sans avoir besoin de
contrat, une version qui corrige ces vulnérabilités. Voir la section
"Customers Without Service Contracts" dans la page sur la
vulnérabilité.

Dans le cas de cette vuln, il y a un workaround, donc peut-être que ça
ne fonctionnera pas, mais il y en a un certain nombre d'autres qui
n'ont pas de WA. Ça peut valoir le coup d'essayer.

[0] https://tools.cisco.com/security/center/softwarechecker.x
[1] 
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] différences entre un réseau MPLS et LAN 2 LAN

2019-01-29 Par sujet Pierre Emeriaud
Le mar. 29 janv. 2019 à 21:33, Michel Py
 a écrit :
> Et j'ai encore du DecNet phase IV en prod (tout a fait sérieux).

Les cisco avaient jusqu'à des versions d'ios pas si vieilles le decnet
mop d'activé sur les interfaces... "no mop enabled" nécessaire pour
éviter de baver partout. J'ai été surpris la première fois que j'ai vu
du decnet sur mon lan perso.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] différences entre un réseau MPLS et LAN 2 LAN

2019-01-29 Par sujet Pierre Emeriaud
Le mar. 29 janv. 2019 à 12:47,  a écrit :
>
> Quant au montage des tunnels pour contourner la problématique des VLAN, n'y a 
> t'il pas de moyen plus standard pour effectuer le transport des vlans ?
> Si je m'adresse à un opérateur historique de type Orange ou SFR qui a priori 
> font du transport de vlan sur les offres MPLS, comment font-il techniquement 
> ? Meme chose ils montent un tunnel par VLAN ?

Sur un vpn mpls, tu as deux possibilités L3 pour transporter de
multiples lan (genre voix + data) :
- tu les mélanges. Les routeurs ainsi que les PE ont toutes les
routes, voix ou data. C'est simple et éprouvé. Si tu as besoin
d'isolation entre les subnets tu peux toujours filtrer sur les CE
et/ou limiter les routes connues par les équipements (pas de default
uniquement une route vers les subnets concernés).
- tu utilises du vrf-lite. Tes routeurs d'agence deviennent multi-vrf,
donc tu as une translation L3 de ton isolement L2. Les tables de
routages sont différentes entre le vpn voix et le vpn data. ça demande
plus de setup, c'est un plus compliqué à troubleshooter pour le
prestataire, mais c'est plus étanche. ça coute peut-être plus cher
aussi.

bonus avec le vrf lite où tu peux avoir une topologie différente par
vpn : lan voix en hub (les agences ne peuvent communiquer
qu'avec le site central où il y a les CS) et vrf data en multipoint
(toutes les agences peuvent communiquer ensemble) par exemple.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Monter un lab perso

2019-01-29 Par sujet Pierre Emeriaud
Le mar. 29 janv. 2019 à 10:07, Alexandre LEJEUNE
 a écrit :
>
> Bonjour,
>
> Il y a un outil : "Cisco Packet Tracer" qui te permet de monter des labs

Non non et re-non. Packet tracer est une abomination qui n'a pas sa
place ici sur frnog. Il n'émule pas, il simule, et mal.

Il vaut mieux encore bruler du charbon sur dynamips qu'utiliser PT.

Sinon, gns3 est très chouette pour la partie frontend. backend
dynamips, iou, kvm, local ou déporté. Il y a un "marketplace"
(https://github.com/gns3/gns3-registry) où il y a les templates à  de
nombreuses appliances. eve-ng est pas mal aussi.

En potentiellement moins cher en fonction de tes relations et de ton
but (ie maquette lan, dc ou wan/SP, wireless), ça peut être
intéressant un lab physique. C'est toujours bien de maniper sur du
vrai hardware et on rencontre des trucs qu'on ne verra jamais en
virtualisé (comme envoyer un os en xmodem parce qu'on s'est gauffré,
ou du genre).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] FRR / BGP / IPv6 NLRI

2019-01-28 Par sujet Pierre Emeriaud
> Extrait de logs de FRR :
>
>
>
> 2019/01/28 15:21:06 BGP: u903:s941 add peer :::XX
> 2019/01/28 15:21:06 BGP: :::XX: Interface not set appropriately to 
> handle this some attributes
erreur à regarder peut-être ?

> 2019/01/28 15:21:06 BGP: :::XX: Attribute MP_REACH_NLRI, parse error 
> - treating as withdrawal
> 2019/01/28 15:21:06 BGP: :::XX rcvd UPDATE with errors in attr(s)!! 
> Withdrawing route.
> 2019/01/28 15:21:06 BGP: :::XX [Error] Update packet error (wrong 
> prefix length 64 for afi 1)

afi 1 ça risque de poser problème ici... lié à la première erreur peut-être ?
(pour mémoire les address families sont définies ici :
https://www.iana.org/assignments/address-family-numbers/address-family-numbers.xhtml)

> 2019/01/28 15:21:06 BGP: :::XX [Error] Error parsing NLRI
> 2019/01/28 15:21:06 BGP: bgp_process_packet: BGP UPDATE receipt failed for 
> peer: :::XX
> 2019/01/28 15:21:06 BGP: :::XX remove from all update group
> 2019/01/28 15:21:06 BGP: delete subgroup u903:s941
> 2019/01/28 15:21:06 BGP: delete update group 903
> 2019/01/28 15:21:21 BGP: bind to interface route-server failed, errno=1

le "bind to interface route-server failed" est sans doute à regarder.

Pour débugguer un problème sinon c'est toujours mieux d'avoir des
adresses qui veulent dire quelque chose. XXX c'est pas très parlant,
surtout quand c'est des deux cotés de la conf. Un petit sed 's//2001:db8/', et c'est plus clair déjà.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Perte collecte equinix

2019-01-18 Par sujet Pierre Emeriaud
> petite alerte du trolldi, nous avons perdu notre collecte CELAN à pa3 à 
> 13:57:49.
> une autre personne remonte la perte de sa collecte DSL et C2E au même moment.

> On a perdu une porte C2E a PA6. A 14h05, le lien du tronc est tombé.

oui ça sent la coupure fibre, j'ai perdu 17 liens en idf au même
moment, sur notre (orange) trans, autour d'aubervilliers.

ça sent la coupure fibre. pas plus d'infos pour l'instant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Brainstorming VSAT - Economies de bande passante

2019-01-17 Par sujet Pierre Emeriaud
Le jeu. 17 janv. 2019 à 14:14, Thierry Chich
 a écrit :
>
> Nous avions, il fut un temps, des collèges derrière des lignes
> satellitaires, et ça a toujours été assez misérable à cause de la
> latence que ne peut totalement compenser le débit. Cerains appareils qui
> modifient le comportement de TCP font des tas de promesses dont je ne
> sais pas vraiment jusqu'à quel point elles sont honnêtes...

C'est dégueulasse (ack forgés par le modem et window modifiée iirc)
mais ça accélère de façon notable le surf. Pour le bulk c'est moins
remarquable, et ça induit parfois des effets de bord.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Statut des /24

2019-01-14 Par sujet Pierre Emeriaud
Le lun. 14 janv. 2019 à 16:08, David Ponzone  a écrit :
>
> J’ai des raisons de penser qu’il y a pas mal d’acteurs en France, gros ou 
> pas, qui n’acceptent plus les /24.

Des /24 peut-être pas, mais des préfixes non présents dans un IRR,
c'est possible...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Diagramme en oeil

2019-01-12 Par sujet Pierre Emeriaud
Le sam. 12 janv. 2019 à 21:02, Michel Hostettler
 a écrit :
>
> Avez-vous eu recours à l'analyse d'un signal transmis sur fibre optique à 
> l'aide du diagramme en œil ?

Personnellement je n'ai pas eu à le faire depuis mes études (R), car
je ne travaille que sur les couches supérieures, mais mes collègues
qui travaillent sur les systèmes de transmission wdm le font
régulièrement, en lab mais parfois sur le terrain.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Câble N to N - "Grand Froid"

2018-12-28 Par sujet Pierre Emeriaud
Le ven. 28 déc. 2018 à 09:52, Arthur Pellissier
 a écrit :

> J’ai besoin pour un client de trouver des câbles type « grand froid » de 10m 
> (pour déporter des antennes wifi à l’intérieur de ses grandes chambres 
> froides), en N male to female…

> L’un d’entre vous a déjà eu ce genre de projet? Vous avez un fournisseur ou 
> une référence de câble à me recommander ?

Pour du cable je ne sais pas, mais pour avoir déjà été confronté au pb
avec les antennes : attention à la condensation et au sens
d'installation.

J'ai eu par le passé plusieurs chambres froides où les antennes ont
été fixés au plafond et l'eau s'accumulait à l'intérieur, bloquant
progressivement les ondes... Donc attention à la position des trous de
drainage.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Quelqu'un as-t'il des soucis a joindre l'AS702 à partir de AS3215?

2018-12-13 Par sujet Pierre Emeriaud
Le mer. 12 déc. 2018 à 21:08, Pierre Emeriaud  a écrit :
>
> J'ai galéré pour trouver un host qui soit significatif, pas merci,
> mais j'ai trouvé www.agf.fr (194.98.39.155, 701 702) par exemple. Il
> n'y a pas de route sur le lg (telnet://route-server.opentransit.net)
> 5511 :
> OAKRS1#show ip ro 194.98.39.155
> % Network not in table

Il semblerait que ça refonctionne depuis ~1h du matin environ :

OAKRS1#sh ip ro 194.98.39.155
Routing entry for 194.98.0.0/16, supernet
  Known via "bgp 5511", distance 200, metric 100
  Tag 702, type internal
  Last update from 193.251.245.7 07:58:22 ago
  Routing Descriptor Blocks:
  * 193.251.245.7, from 193.251.245.7, 07:58:22 ago

$ mtr -rwc10 194.98.39.155
Start: 2018-12-13T09:15:34+0100
HOST: alpha   Loss%   Snt   Last   Avg
 Best  Wrst StDev
  1.|-- 172.22.151.2520.0%100.2
0.3   0.2   0.3   0.0
  2.|-- 80.10.237.1210.0%10   19.0
19.4  18.9  19.8   0.3
  3.|-- 193.253.150.130  0.0%10   19.5
19.5  19.1  19.9   0.3
  4.|-- 193.252.159.158  0.0%10   24.3
25.1  23.7  28.0   1.5
  5.|-- 193.252.103.38   0.0%10   24.5
24.2  23.8  24.8   0.3
  6.|-- 193.252.137.78   0.0%10   24.2
25.8  24.2  35.7   3.5
  7.|-- 100ge1-1-0.pascr7.paris.opentransit.net  0.0%10   25.1
25.3  24.5  28.0   1.0
  8.|-- xe-11-0-0.BR2.STK2.alter.net 0.0%10   24.5
24.4  24.0  25.0   0.3
  9.|-- ??? 100.0100.0
0.0   0.0   0.0   0.0
 10.|-- ufr201413.fr.customer.alter.net  0.0%10   26.3
26.1  25.4  26.8   0.4
 11.|-- 194.98.39.2500.0%10   27.7
28.0  27.2  28.7   0.5
 12.|-- ??? 100.0100.0
0.0   0.0   0.0   0.0

Je le constate également sur des stats de charge vers 702, ou bien un
curl vers www.agf.fr.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Quelqu'un as-t'il des soucis a joindre l'AS702 à partir de AS3215?

2018-12-12 Par sujet Pierre Emeriaud
Le mer. 12 déc. 2018 à 19:10, Sébastien Lesimple
 a écrit :
>
> Hello,
>
> Depuis une bonne grosse heure j'ai des anciens clients qui m'appellent
> pour me dire que leurs service chez Verizon sont down.
> Quelques petits test vite fait et l'AS702 n'est pas joignable à partir
> de l'AS3215.

J'ai galéré pour trouver un host qui soit significatif, pas merci,
mais j'ai trouvé www.agf.fr (194.98.39.155, 701 702) par exemple. Il
n'y a pas de route sur le lg (telnet://route-server.opentransit.net)
5511 :
OAKRS1#show ip ro 194.98.39.155
% Network not in table

Idem sur le web (https://looking-glass.opentransit.net/) même dans
3215. Un traceroute s'arrete assez rapidement, laissant penser qu'il
n'y a pas de route dans 3215 passé la default du pop :
$ mtr -rwc10 194.98.39.155
Start: 2018-12-12T20:59:44+0100
HOST: alpha   Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 172.22.151.2520.0%100.3   0.3   0.2   0.3   0.0
  2.|-- 80.10.237.1210.0%10   19.3  19.4  19.2  20.0   0.3
  3.|-- 193.253.150.130  0.0%10   19.7  19.5  19.0  20.0   0.3
  4.|-- ??? 100.0100.0   0.0   0.0   0.0   0.0

Timeout sur le port 80 également, alors que ça répond depuis ailleurs.

Il ne semble plus y avoir de routes annoncées par 702 du tout à 5511 :
OAKRS1#show ip bgp regexp _702$
OAKRS1#
(idem en parsant l'output de show bgp)

Pas de soucis pour 701 a priori.

Il semble que 5511 peer avec 702, après je ne sais pas si 5511 voyait
194.98.0.0/16 par 702 avant l'incident.

Contacter Verizon semble la bonne piste ici, surtout s'ils sont clients.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] L2tp Tunnel Switch

2018-12-05 Par sujet Pierre Emeriaud
Le mer. 5 déc. 2018 à 18:34, Pierre Colombier  a écrit :
>
> Bonsoir David,
>
> Je fait peut-être erreur mais il me semble que le LAC ne fasse ça que
> sur un LNS particulier.
>
> Or, là il me faut choisir le LNS en fonction des infos renvoyées par le
> radius. D'où le rôle du Tunnel Switch.

C'est toujours le principe d'un lac depuis que le l2tp existe. en rtc
on faisait déjà comme ça.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] FO SFR vers un pylône

2018-12-04 Par sujet Pierre Emeriaud
Le mar. 4 déc. 2018 à 18:55, Nicolas CORBEL  a écrit :
>
> Bonjour,
>
> On Tue 4 Dec 2018 at 18:52, Pierre-Loïc Carette - ALPESYS <
> plcare...@alpesys.fr> wrote:
>
> > Je pense pas que ça soit dispo mais tu peux demander à ton commercial
> > wholesale.
> > A mon avis ce sont des déploiements spécifiques.
> > On a eu le cas récemment par chez nous avec orange...
>
>
> Ce ne serait pas lié à l’existence de l’offre Aircom (enfin CEM 2 si je
> suis à jour) ?

CEM2[0] et CEM3 sont des offres de collecte activées qui sont
disponibles via OWF, très semblables à C2E sur le principe. Plusieurs
feuilles, collectées sur un ou deux tronc en ethernet, avec des accès
optique, et un rad en EAS. La différence entre CEM2 et CEM3 est que
sur CEM3 les eas sont directement raccordés en FO à un PE, alors qu'en
CEM2 c'est sur un dslam.

Si je dis pas de bêtises, AIRCOM[1] était le nom de l'offre CEM1 en
transport tdm/atm.

[0] 
http://wholesalefrance.orange.fr/fr/Nos-offres/Solutions-Infrastructures-de-Reseau/Offres-Solutions-Infrastructures-de-Reseau/Core-Ethernet-Mobile-2-CEM-2
[1] 
http://wholesalefrance.orange.fr/fr/Nos-reseaux/Reseau-Mobile/Offre-Mobile/Acces-Integres-Reseaux-Capillaires-Operateurs-Mobiles-AIRCOM


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Ordinateur refroidi au Stroh

2018-11-18 Par sujet Pierre Emeriaud
Le dim. 18 nov. 2018 à 05:07, Jérôme Nicolle  a écrit :
>
> Sur l'échangeur, le mythe veut qu'on recycle des radiateurs d'Opel
> Corsa, mais c'est clairement pas le plus pratique. Je préfère mettre
> plusieurs petits radiateurs commerciaux d'overclocker en parallèle
> (genre du 120x120 à 120x360), ils sont globalement mieux finis et ça pue
> pas l'huile cramée.

pfff, truc de petits joueurs ça. Balance ta chaleur dans ta dalle de
béton, c'est plus efficace :
https://forums.overclockers.com.au/threads/concrete-slab-water-cooler-loop-hooked-up.800958/

Sinon y'a toujours la solution géothermie :
https://mcuoneclipse.com/2013/07/13/hacking-the-heating-system-for-cooling-geothermal-drilling-with-extra-benefits/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-13 Par sujet Pierre Emeriaud
Le mar. 13 nov. 2018 à 11:11, Jérôme Nicolle  a écrit :
>
> Plop,
>
> Le 13/11/2018 à 10:19, Pierre Emeriaud a écrit :
> > Pour ma culture, si on n'utilise pas la LP (et si Gert dit que c'est
> > pas bien, il doit avoir ses raisons), vous faites comment pour diriger
> > un poil le traffic ? best path naturel en fonction de l'as-path (le
> > traffic engineering du fainéant ;) )? autre chose ?
>
> Pfiou, bonne question.
>
> Quand j'étais bébé netop, on m'a dit de mettre 100 pour les transits,
> 200 pour les peers et 300 pour les clients, et de jouer à +/-10 quand il
> faut faire des trucs bizarres. J'ai jamais trouvé de bonne raison de
> faire autrement.

Tu me rassures dans un sens, c'est ce que je fait, et c'était pour moi
"la bonne façon(tm)" de faire. Et oui, en filtrant, c'est évident, on
est en 2018...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-13 Par sujet Pierre Emeriaud
> -- Forwarded message --
> From: Gert Doering 
>
> Did I mention that changing local-preference on peerings and uplinks
> usually is a bad idea?  "This is a good example why"...


Le mar. 13 nov. 2018 à 09:29, Stephane Bortzmeyer  a écrit :
>> Votre avis sur local preference ?

Oui en effet, c'est un soucis dans un cas comme ça. LP ici, preference
du protocole sous bird dans d'autres cas, etc. Mais LP ou pas, le fait
de ne pas avoir filtré, il est surtout là le soucis de conf. Oui ok,
avec google c'est un peu difficile. Mais c'est pas un transitaire,
c'est faisable.

Pour ma culture, si on n'utilise pas la LP (et si Gert dit que c'est
pas bien, il doit avoir ses raisons), vous faites comment pour diriger
un poil le traffic ? best path naturel en fonction de l'as-path (le
traffic engineering du fainéant ;) )? autre chose ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Pierre Emeriaud
Le ven. 9 nov. 2018 à 09:37, Stephane Bortzmeyer  a écrit :
>
> L'article n'est pas mal, comme souvent chez Ars :
>
> https://arstechnica.com/information-technology/2018/11/strange-snafu-misroutes-domestic-us-internet-traffic-through-china-telecom/
>
> Mais la conclusion complotiste me laisse sceptique. Tout le monde peut
> voir les annonces BGP. Impossible de nier ou de dissimuler. Ça
> convient pour des attaques type « take money and run » comme l'attaque
> contre MyEtherWallet en avril 2018 mais pour une attaque d'État ?

J'ai lu l'article d'origine également, et je suis sceptique tout comme
toi. Cela ressemble beaucoup à ce qui peut arriver par erreur quand un
grand réseau comme CT gère un peu mal ses annonces. Oui, ça peut être
malveillant. Mais ça peut aussi être de l'incompétence.

Ensuite, il n'y a pas forcément non plus des masses d'interconnexions
à travers le pacifique. Dire que de l'australie ce n'est pas normal de
passer par la chine pour aller au UK, mouais.

L'article d'Ars fait suite à
https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050=mca,
que je trouve encore moins précis : "la route la plus courte entre le
canada et la korée c'est la ligne directe, mais le routage internet
passe par la chine" (cf page 8 dudit document) : c'est du flan. On
sait tous ici que le routage bgp est politique et non technique, mais
en ces périodes de cyber-guerre froide c'est bien de parler de
l'insécurité de l'internet.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] ASN USA

2018-11-07 Par sujet Pierre Emeriaud
Le mer. 7 nov. 2018 à 18:50, Hugues Voiturier
 a écrit :
>
> J’ai du mal à voir en quoi ça pose un souci d’utiliser le même AS partout 
> dans le monde. Pour moi c’est même une bonne pratique, m’enfin.

oui bonne pratique _si_ tu as un backbone contigu. Allow-as-in c'est
juste s'exposer à de potentiels ennuis.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] ASN USA

2018-11-07 Par sujet Pierre Emeriaud
> On 7 Nov 2018, at 17:00, Mathieu DTN  wrote:
>
> J'ai fait une demande d'ASN, mais ils me demande d'avoir une entité légale 
> dans la région gérée...
>
> Est ce que vous connaissez un moyen pour avoir un ASN sans une entité locale ?

Qu'est-ce qui t'empeche d'utiliser un AS ripe ?


Le mer. 7 nov. 2018 à 17:03, Hugues Voiturier
 a écrit :
>
> Pourquoi vouloir un AS spécifique pour une zone géographique ? Tu peux dédier 
> des préfixes et ne les annoncer qu’aux US, avec un allowas-in si tu ne veux 
> pas avoir de transatlantique, mais tu n’as pas vraiment besoin d’un AS dédié.

Parce que c'est moins gruik ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Cartes Gigabit Ethernet Fibre

2018-10-24 Par sujet Pierre Emeriaud
Le mer. 24 oct. 2018 à 18:49, David Ponzone  a écrit :
>
> Peut-être un changement de fournisseurs ? :)
>
> Sans rire, c’est archi-classique, et ça se trouve sans mal.

en multimode avec optique intégrée, surement. En cage sfp je pense que
ce n'est pas si courant, et en effet aujourd'hui autant partir sur du
10G pas cher qui fera aussi 1G avantageusement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[MISC] Re: [FRnOG] [ALERT] Incident Orange plaque Dijon

2018-10-02 Par sujet Pierre Emeriaud
Le mar. 2 oct. 2018 à 21:18, Julien OHAYON  a écrit :
>
> C’est vraiment fous Pierre-Loic car ça fait 2 fois que tu as le problème et 
> que moi je ne suis pas impacté. On est dans le même DC donc j’imagine même 
> câble de pénétration vers le même routeur (qui est à quelques mètres de 
> celui-ci)
>
> Seule différence nous c’est du C2E (bon au pire on a la sécu ;) )

Je n'ai plus les stas exactes en tête, mais au moins par le passé le
celan n'était pas redondable au niveau porte de collecte,
contrairement à c2e (vpls) ou dslce (pw redundancy). Il est possible
que ça ait changé pour les ingénieries plus récentes.

Ça explique sans doute le fait que Julien tu ne sois pas impacté.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] : [TECH] [RADIO 10Gbps] : Retour d'exp & Contact opérateur

2018-09-20 Par sujet Pierre Emeriaud
Le jeu. 20 sept. 2018 à 18:03, David Neto  a écrit :
>
> Hello la liste,
>
> Je cherche à raccorder 2 sites via radio afin d'atteindre 10Gbps en
> capacité.

> Mes contraintes sont que le site est entouré par 2 autoroutes et 1 voie de
> chemin de fer et que le site distant à joindre peut être à moins de 5km.

5km ça fait peut-être un peu loin pour ça, mais as-tu considéré les
liaisons optiques ? Je sais que MRV FreeSpaceOptics a(vait) un
produit, le TereScope TS-10GE, capable d'atteindre un tel débit. Je
crois qu'au niveau portée c'était malheureusement bien inférieur, mais
peut-être que des produits plus récents ont une meilleure portée.

Apparement MRV a été racheté par Adva, et le domaine mrvfso.com ne
résout même plus, donc peut-être que c'est même plus disponible, mais
ça peut être une piste à envisager. Les liaisons optiques ont fait de
gros progrès ces dernières années sur les lasers et les modulations,
il est possible que tu trouves des choses intéressantes.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] FAI et routeurs OneAccess

2018-09-04 Par sujet Pierre Emeriaud
Le mar. 4 sept. 2018 à 12:04, Olivier MORFIN
 a écrit :
>
> Bonjour messieurs,
> Je boss pour un FAI alternatif régional (collectes de liens FO, xDSL, et
> essentiellement en ethernet).
> Aujourd'hui, nous travaillons avec CISCO en Broke pour nos CPE clients,
> mais j'aimerai trouver autre chose. Je me suis intéressé à OneAccess mais
> le circuit de distribution a l'air très fermé ! et encore plus en Broke.
> Et ce que parmi vous, quelqu'un travail avec ces équipements ? Où vous
> fournissez-vous ?

Je ne suis plus en contact direct avec les oneaccess, donc mon xp date
un peu, mais ce que je pourrais en dire :

- ça doit être pas cher. Du moins j'espère.
- cli cisco-like. Alors, c'est cool, c'est cisco-like. Mais non, en
fait, ça ne l'est pas. Y'a plein de trucs qui ne sont pas pareil, et
en fait, c'est pas un avantage amha de connaitre cisco.
- au niveau hardware il y a pas mal d'options. C'est pas modulaire (à
ma connaissance, mais y'a des nouveaux modèles que je ne connais pas),
mais il y a plein d'interfaces possibles, à la fois coté wan et lan,
et pas que ethernet.
- c'était (c'est ?) très buggué. Et pas le bug du style "pas supporté
- pas implémenté", plutôt "implémenté à moitié", ou mal. Pas plus tard
que ce matin on vient de découvrir que le bfd est émis avec un port
src=1133. RFC5881 dit "MUST be in the range 49152 through 65535".
C'est le genre de libertés qu'ils prennent.
- au niveau features a priori ça s'est pas mal amélioré ces dernières
années. On fait du vrf-lite maintenant, bgp, ospf, bfd, dual stack,
3G/4G, et surement d'autres choses que je ne sais même pas. Mais
attention, c'est pas parce que c'est sur la datasheet que ça
fonctionne (as usual).

mes deux sesterces
pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Quagga ou FRRouting ?

2018-08-16 Par sujet Pierre Emeriaud
Pour l'isis il y a une stack opensource dans freerouter (
http://freerouter.nop.hu). C'est du java et ça m'a toujours rebuté, donc
j'ai jamais testé, mais ça peut en intéresser certains.


---
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] OpenBSD, BGPd et RPSL

2018-08-10 Par sujet Pierre Emeriaud
Le 10 août 2018 à 11:36, Denis Fondras  a écrit :
> On Fri, Aug 10, 2018 at 10:34:08AM +0200, Stéphane wrote:
>> En bossant sur la génération de filtre automatique pour un routeur de
>> peering OpenBSD, je suis tombé sur une option étonnante de la commande
>> bgpctrl qui permet de gérer des filtres basés sur les déclarations RPSL de
>> votre AS, c'est bgpctrl irrfilter .
>>
>
> bgpctl irrfilter c'est tellement en jachère que je ne pense pas que quiconque
> l'utilise réellement.

Rigolo, j'utilise openbgpd au quotidien et je n'avais jamais remarqué
cette option...

Deux choses donc :
- utiliser bgpq3 / arouteserver pour générer tes confs
- remonter à openbsd / job@ et claudio@ qu'il faut nuker irrfilter, ou
le reprendre completement. Est-ce le role de bgpctl de faire ça...
Denis tu t'en charges ? ;)


PSA: si vous utilisez openbsd, openbgpd, ou encore openssh (ne mentez
pas on vous voit) et que vous avez envie d'aider - donnez des sioux à
l'arc^wla fondation : https://www.openbsdfoundation.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] exatechno.com

2018-07-31 Par sujet Pierre Emeriaud
Le 31 juillet 2018 à 00:40, Michel Py
 a écrit :
> C'est que Lundi mais allo, est-ce que quelqu'un pourrait expliquer à Jérémy 
> GRONDIN et Philippe CARPENTIER que c'est un peu broutant de recevoir un 
> message qu'ils sont absents chaque fois que je poste sur la liste du FRnOG ? 
> On vas quand même pas se payer çà tout le mois d'Aout.

En plus c'est clairement pas la première fois. Exatechno ce sont des
multirécidivistes :

https://www.mail-archive.com/frnog@frnog.org/msg41589.html
https://www.mail-archive.com/frnog@frnog.org/msg30828.html

et j'ai encore d'autres exemples dans ma boite, de Philippe _et_
Patricia Carpentier, et Jérémy. Marre les gens, votre mailer est en
carton.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Quagga ou FRRouting ?

2018-07-31 Par sujet Pierre Emeriaud
Le 31 juillet 2018 à 00:28, Michel Py
 a écrit :

> J'ai bientôt besoin de monter un serveur de routes, et o suprême insulte la 
> syntaxe proche de Cisco est une nécessité donc pas de BIRD (dommage, j'aime 
> bien leur looking glass).
> Quagga ou FRRouting ? j'ai mon avis mais j'aimerais bien savoir ce que la 
> liste en pense.

Si tu peux faire tourner un openbsd, openbgpd est très bien aussi. La
syntaxe de la conf n'est pas cisco-like mais la cli est plus "show ip
bgp summary" que "show protocol all", et le looking glass fourni dans
base fonctionne out-of-the-box avec httpd et letsencrypt sans efforts.
Voir https://lg.as7012.net pour ce que ça donne par exemple. Et c'est
utilisable en cli aussi, ssh://rviews:rvi...@lg.as7012.net. Voir
bgplg(8) et bgplgsh(8).

OpenBGPD est l'autre daemon supporté par arouteserver, et a une très
bonne intégration avec le système comme par exemple avec pf ('match
from group internal community $as:666 set pftable ').

Les problèmes de performance rencontrés par le passé par OpenBGPD sont
normalement réglés, mais entre temps bird est passé par là, et bgpd
n'est plus autant utilisé qu'avant. (mais au moins il y a de la
diversité !).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] La FO et le réchauffement climatique

2018-07-27 Par sujet Pierre Emeriaud
Le 27 juillet 2018 à 20:42, Nicolas CORBEL  a écrit :
>
> Les "underwater welder" ça me fait penser aux artistes que j'ai parfois,
> quand tu vois l'atténuation tu te demandes si ils ont pas fait la soudure au
> briquet...

L'avantage du poste à souder miller sur le fujikura : tu peux souder
directement cable sur cable, plus besoin de s'embeter à dénuder :D


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] La FO et le réchauffement climatique

2018-07-27 Par sujet Pierre Emeriaud
Le 27 juillet 2018 à 15:25, David Ponzone  a écrit :
> Va falloir former des plongeurs/soudeurs en plus par contre.

ça tombe bien, c'est apparemment très commun. "underwater welder"
retourne plein plein de résultats.

Allez Galak, on sort les palmes :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Incident Covage à Marseille hier, +30 ms sur les pings Corse-Continent aujourd'hui

2018-07-20 Par sujet Pierre Emeriaud
Alert, alert, tout de suite... c'est remonté, c'est misc@ maintenant ;)

Le 20 juillet 2018 à 10:32, Toussaint OTTAVI  a écrit :
> Bonjour,
>
> Il y a eu une coupure totale hier entre 11h et 16h sur la fibre optique
> Corse-Continent en DSP, opérée par Covage. L'incident était apparemment
> localisé à Marseille.

ras sur nos liens qui passent sur CC4 et CC5. Je ne sais pas s'il
existe d'autres cables.


> Depuis le rétablissement hier en fin d'après-midi, les liaisons
> Corse-Continent via ce lien, qui n'étaient déjà pas folichonnes (35ms), ont
> pris 30 ms supplémentaires (soit 65 ms). Pour comparaison, un FTTH grand
> public, c'est 15 ms.

15ms de où à où ? ça veut rien dire.

mais bref sinon, non rien de constaté :
bst-mar (via cc4)
round-trip min = 6.28ms, avg = 6.30ms, max = 6.32ms, stddev = 0.016ms

ajc-mar (via cc5)
round-trip min = 4.78ms, avg = 4.93ms, max = 5.08ms, stddev = 0.098ms

bst-nic (via cc4)
round-trip min/avg/max/stddev = 4.811/4.973/5.325/0.181 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Serveur DNS secondaire gratuit...

2018-07-15 Par sujet Pierre Emeriaud
Le 15 juillet 2018 à 04:38, Michel Py
 a écrit :
>
> Le nec-plus-ultra de DNS, c'est anycast, qui est carrément pas compatible 
> avec gratuit.

Pas gratuit peut-être, mais pour pas cher non plus : regarde les
presentations qu'il y avait eu "anycast on a shoestring". Et encore,
même pas besoin d'anycast pour setup quelques cheapo slaves placés ça
et là.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Nom d'algorithme d'optimisation en ADSL

2018-07-12 Par sujet Pierre Emeriaud
Le 12 juillet 2018 à 20:28, Michel Py
 a écrit :
>> Thierry Chich a écrit :
>> Ce qui me surprend dans ce DLM, c'est son coté ultra bourrin: je te décrois 
>> ton débit
>> jusqu'au minimum et je n'en bouge plus. Si tu continues à avoir des 
>> désynchros, je te
>> laisse là comme un misérable, avec tes désynchros ET ton débit diminué.
>
> En effet, c'est bien l'algorithme utilisé :-) j'ai testé pour vous, aux 
> iouéssè çà marche pareil.

C'est pas vraiment un algorithme, le DLM est une fonctionnalité du
5530NA (Network Analyzer) de feu Alcatel-Lucent. Cf
http://pdfstream.manualsonline.com/d/de15b4dd-b511-4ba4-8539-819b59e9b558.pdf
par exemple.

Après,  chaque opérateur peut le configurer comme il veut, seuils de
déclanchement, débit plancher avant perte de synchro, ce genre de
choses. Il se déclanche en effet quand il y a des erreurs qui mènent à
des pertes de synchro. Les coupures électriques de la box sont
normalement exclues (grace au dying gasp - 'power status bit', section
7.1.2.5.3 de G991.2, page 25/33 de
https://www.itu.int/rec/dologin_pub.asp?lang=e=T-REC-G.991.2-200312-I!!PDF-E=items).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Benchmark Cisco 892 et 3925E

2018-07-02 Par sujet Pierre Emeriaud
Le 2 juillet 2018 à 11:26, Dylan BROCHET  a écrit :
> Bonjour à tous,
>
> Je suis en train de réaliser des "benchmark" sur un Cisco 892 et un 3925E.
> L'objectif est de savoir jusqu'à quels débits ces routeurs peuvent monter
> et
> comment se comporte le CPU en fonction des paramètres suivants :
> - Avec seulement de la QoS
> - Avec seulement du PPPoE
> - Avec PPPoE et QoS
> - Sans rien
>
> *J'aurai voulu savoir si ça vous est arrivé d'en faire et quels outils vous
> utilisez ?*

Ixia, Spirent. Très bien, mais $$$. Voir coté Ostinato, Mausezahn,
TRex aussi. https://wiki.wireshark.org/Tools#Traffic_generators pour
une liste sympa.


> J'ai une autre question concernant des resultats cette fois-ci, sur le
> cisco 3925E. J'obtiens ces résultats :
>
> *UDP*
> *Sans IP CEF : 99% du CPU / 157Mbits par secondes reçus*
> *Avec IP CEF : 37% du CPU / 963Mbits par secondes reçus avant un drop de la
> sessions PPPoE au bout de 1 Minutes*
>
> *TCP*
> *Sans IP CEF : 99% du CPU / 121Mbits par secondes reçus*
> *Avec IP CEF : 37% du CPU / 963Mbits par secondes reçus avant un drop de la
> sessions PPPoE au bout de 40 secondes*
>
> *Je ne comprends pas pourquoi la session PPPoE tombe avec IP CEF alors que
> le CPU du routeur n'est qu'a 37% d'utilisation, auriez-vous des suggestions
> ?*

a tout hasard, tu satures ton lien, tu perds des paquets, des lcp
keepalive, les sessions tombent ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Augmentation de la latence entre la Chine et la France depuis le 19/06

2018-06-28 Par sujet Pierre Emeriaud
Le 28 juin 2018 à 12:10, Pablo BADIA  a écrit :
> Bonjour la liste,
>
> Le 19 juin, la latence moyenne entre Paris et Shanghai a pris plus de 100ms 
> et les valeurs max plafonnent à plus de 600ms contre 350 avant (source 
> :https://wondernetwork.com/pings/Paris/Shanghai)

Je n'ai pas constaté ça. Je sais qu'il y a eu des coupures sur l'AAE-1
dans ces eaux là, c'est peut-être lié.

> A la même date, le VPN IPSec de ma boite est devenu tellement instable 
> qu'inutilisable (Headquarter et applicatifs métiers hébergés en France donc 
> production à l'arrêt)
>
> Bien que travaillant sur des solutions alternatives (enregistrement ICP fait, 
> déploiement d'un POC SDWAN en juillet) pour stabiliser notre lien, je suis 
> curieux de savoir si quelqu'un a des infos à ce sujet / des retours 
> d'expériences.

Sur le réseau sur lequel je bosse nous nous avons un target rtd à
220ms entre Paris et Shanghai. Voici ce que je constate actuellement :

Success rate is 100 percent (10/10), round-trip min/avg/max = 204/204/204 ms

Alors oui, forcément, ce n'est pas de l'internet. Ca ne coute pas
30e/mois. Mais combien coute une journée de production en moins ? Une
semaine de retard ?

Utiliser le réseau, c'est bien, en dépendre, il faut faire attention.
Les pannes ça existe, il faut en tenir compte. Se reposer sur la
disponibilité d'internet à grande échelle, surtout avec la chine, de
cette manière pour faire tourner un business je trouve ça osé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] VPN maillé ou hub

2018-06-07 Par sujet Pierre Emeriaud
Le 7 juin 2018 à 17:58, Jérôme Quintard  a écrit :
> Salut,
>
> J'en ai définitivement ras le bol des relations avec Orange. Je souhaite 
> gérer en interne nos VPN.
>
> Je me pose donc la question de la topologie : maillé ou hub
>
> Le maillé est plus intéressant mais je pourrai plutôt déporter le hub dans un 
> datacenter... ça revient à faire comme Orange mais sans Orange.
>
> Orange me fournirait uniquement des L2 MPLS pour relier l'ensemble.
>
> Y en t'il parmi vous qui le font ?

Je l'ai fait dans une vie antérieure, pour un backbone mpls
international. Liens p2p uniquement, pour des raisons notamment
d'architecture, mais également de contraintes vu que toutes les
liaisons n'étaient pas forcément fournies par les mêmes opérateurs.
Aucun sens d'avoir un h ou a2a quand on s'étend sur plusieurs
continents... C'était plutôt fiable, simple à administrer, très
classique comme design.

Sinon j'ai des clients qui le font actuellement, certains sur du point
à point, d'autres en multipoint. Le hub peut "suffire" s'il n'y
a pas beaucoup de traffic inter-spoke ou bien que tu veux maitriser
ces flux en un point central. Le any to any peut être intéressant s'il
y a pas mal de traffic inter-spoke ou que la latence est un facteur
important, avec par exemple les PE du site central en RR, afin de
profiter de la capillarité de l'opérateur qui te fournit le nuage mpls
et ne pas remonter tout le traffic au hub.

Attention à la redondance des liens lors du design toutefois. Utiliser
des p2p permet d'avoir une diversité de chemins, afin de ne pas avoir
des impacts sur les deux parités lors de coupures & reconvergence dans
le réseau de l'opérateur de transport. Je ne sais pas dans quelle
mesure c'est gérable avec du multipoint. Peut-être avec deux vpls h,
un par parité, permettrait d'avoir un résultat similaire, avec le
bonus de pouvoir avoir deux opérateurs de transport différents.

Dans tous les cas, c'était designé et administré par des gens
compétents. Le vpls n'est pas une solution magique à utiliser en lan
étendu juste en bridgeant les sites. Limiter le nombre de mac, router
entre les sites, limiter le bum au maximum.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] VPN Orange... comment fonctionne leur offre.

2018-06-07 Par sujet Pierre Emeriaud
Le 7 juin 2018 à 08:18, Xavier Beaudouin  a écrit :
>>
>> OpenVPN ne peut pas se terminer sur un routeur classique. Il faut un
>> serveur. Flexible Computing est une offre d'OBS utilisée à la fois par
>> les clients et les besoins internes.
>
> #define routeur classique ?
> Parce que les routeurs qui font de l'openvpn OU de firewalls, il y en as 
> plein, aller
> quelques références que je connais histoire de mettre a jour les listes :
> - Ubiquity Edgerouter (tous...)
> - pfSense
> - OPENsense
> - Sophos
> - FreeBox Revolution

On est sur frnog là. Pas homenet@ietf.

> Après sachant que TOUS les nouveaux routeurs du marché sont sur Linux

Ah bon. C'est rigolo car au moins 2 des 5 que tu as cité sont
bsd-based. On peut en rajouter un certain nombre (Junos, SEOS, feu
nokia/CP IPSO, ...), même si en effet les couches basses tendent à
devenir des hosts kvm. Mais c'est pas pour autant que tu peux faire ce
que tu veux dessus. Et quand bien même, c'est pas avec un xeon ou deux
que tu vas router linerate.

bref /offtopic.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] VPN Orange... comment fonctionne leur offre.

2018-06-06 Par sujet Pierre Emeriaud
Le 27 mai 2018 à 21:37, Jérôme Quintard  a écrit :
> Salut à tous,
>
> Je viens de récupérer plusieurs sites géographiques liés par un VPN Orange.

Business vpn ? une autre offre ?


>   *   Le profil openVPN des itinérants est effectué via une offre de Cloud 
> computing (nommée flexing computing). Normal ?

OpenVPN ne peut pas se terminer sur un routeur classique. Il faut un
serveur. Flexible Computing est une offre d'OBS utilisée à la fois par
les clients et les besoins internes.

>   *   Chaque site dispose d'une offre Internet, Intranet (le VPN) et Internet 
> sur Intranet. L'IP publique est commune à l'ensemble des sites... En l'état 
> impossible d'effectuer des règles entrantes par site.

ça ressemble à une "passerelle internet sécurisée", aka "PIS" sur
bvpn. Ce sont des routeurs en coeur de réseau qui réalisent le cgnat
vpn <-> ip publique(s).

>   *   Impossible de se connecter sur certains ports distants. Orange fait de 
> l'egress filtering ?

Il y a si je ne dis pas de conneries du filtrage par défaut sur PIS,
mais surtout entrant (un peu logique vu le nat). En sortie il faut que
vérifie. Quels ports ? c'est bien dans le sens vpn -> internet
l'egress ?

>   *   Plus bizarre, impossible de me connecter en SSH sur une machine locale, 
> idem point précédent mais en local, il passe par où le transit ???

ça n'est pas logique avec une offre bvpn + pis si le ssh est bien
censé passer uniquement par le vpn (mpls).

>   *   Au delà de ces éléments, est-il possible d'obtenir d'Orange, les 
> paramètres pour monter une session depuis mes ASA (le temps de gérer ces VPN 
> de A à Z).

J'ai pas bien compris où tu veux mettre l'asa et pour quoi faire.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Cherche opérateur collecte optique L2 Maghreb

2018-05-29 Par sujet Pierre Emeriaud
Le 28 mai 2018 à 16:48, Gauthier DOUCHET  a écrit :
> Hello la liste,
>
> Nous sommes à la recherche d'un opérateur qui saurait nous remonter en
> France des liens optiques en L2 idéalement venant du Maghreb (Maroc
> principalement), quelqu'un aurait des pistes?



OBS sait faire ça. Offre "International Ethernet Link". p2p, h ou
a2a en multipoint. De mémoire nous avons des PoPs au maroc, en algérie
et peut-ête en tunisie (à confirmer). OBS se débrouille pour la partie
boucle locale avec les opérateurs présents pour aller jusqu'au site
client.



Merci de ne pas demander les prix ou un nom de commercial, j'en n'ai
foutrement aucune idée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] BGP Battleships

2018-05-25 Par sujet Pierre Emeriaud
Le 24 mai 2018 à 22:24, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit :
>> Pierre Emeriaud a écrit :
>> Je suis assez fan des détournements de bgp (hack, pas hijack hein !),
>> a la CBBC, bgp-spamd (http://bgp-spamd.net),


> Pour compléter ta liste, l'irremplaçable fullbogons de Team Cymru que le CBBC 
> ne redistribue pas.
> http://www.team-cymru.com/bogon-reference.html

Oui

>> ou mon bgp2fail2ban (https://paste.swordarmor.fr/rDUR pour les curieux).
>
> Je le prendrais bien ton feed pour compléter le mien, tu veux pairer ?

Oui, mais pas pour l'instant. Je vais monter un serveur de routes pour
faire que ça. Je te ferais signe.


>> A propos du CBBC Michel, tu utilises de l'urpf strick ou juste blackhole au 
>> retour ?
>
> uRPF.
> interface GigabitEthernet0/1
>  ip verify unicast source reachable-via rx allow-default
>
> C'est un peu futile aussi, car çà n'empêche pas le trafic indésirable 
> d'arriver; la différence étant qu'avec uRPF le paquet est perdu dès 
> réception, alors que si on se contente du blackhole il est routé vers null0. 
> Cà date de l'époque ou j'ai lu BCP38, probablement; je suis même pas sur que 
> çà marche, parce que à part çà :

> Je vois pas comment controler que le mécanisme fonctionne. "show ip verify 
> statistics" çà n'existe pas sur mon routeur, si quelqu'un a un remplacement 
> je prends.

C'est étrange car à lire ça on pourrait se dire que le allow-default
va rendre ça inutile. Mais la doc semble dire que non :

"Addresses that should never appear on a network can be dropped by
entering a route to a null interface. The following command will cause
all traffic received from the 10.0.0.0/8 network to be dropped even if
Unicast RPF is enabled in loose mode with the allow-default option: ip
route 10.0.0.0 255.0.0.0 Null0"
(https://www.cisco.com/c/en/us/about/security-center/unicast-reverse-path-forwarding.html)

Pour vérifier les effets, tu rajoutes une ip a toi dans tes filtres et
tu tcpdump pour vérifier que tout fonctionne bien ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] BGP Battleships

2018-05-24 Par sujet Pierre Emeriaud
Le 24 mai 2018 à 19:27, Michel Py  a écrit :
> Vu récemment sur NANOG :
>
> https://blog.benjojo.co.uk/post/bgp-battleships
>
> Un exercice de futilité, mais j'ai trouvé l'article intéressant. On 
> connaissait IP transporté avec des pigeons voyageurs, la bataille navale sous 
> BGP c'est intéressant aussi !

Dans le même genre d'exercice futile il y avait le nyan cat de Job
Snijders 
(https://stat.ripe.net/widget/routing-history#w.resource=as15562=2017-01-15T00%3A00%3A00=2017-06-23T00%3A00%3A00=Maxmized).

Je suis assez fan des détournements de bgp (hack, pas hijack hein !),
a la CBBC, bgp-spamd (http://bgp-spamd.net), ou mon bgp2fail2ban
(https://paste.swordarmor.fr/rDUR pour les curieux).

A propos du CBBC Michel, tu utilises de l'urpf strick ou juste
blackhole au retour ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Taille min des annonces IPv6 sur BGP

2018-04-20 Par sujet Pierre Emeriaud
Le 20 avril 2018 à 16:00, Hugues Voiturier  a écrit :
> Je parle bien des PA que ton LIR peut t’allouer, pas des PI !
>
> À ma connaissance, un PA peut parfaitement être annoncé par un autre AS, et 
> en toute indépendance vis a vis du LIR. Suis-je dans l’erreur ?

J'aurais tendance à dire oui : le A dans PA veut bien dire agrégé.
Après, en v4 le PA désagrégé / pas annoncé par le lir ça existe du
fait de la pénurie de PI, en v6 a n'a pas trop de raisons d'exister
amha.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Taille min des annonces IPv6 sur BGP

2018-04-20 Par sujet Pierre Emeriaud
Le 20 avril 2018 à 15:05, Hugues Voiturier  a écrit :
> Je vois déjà un souci avec la stricte :
>
> Si ton LIR t’alloue un /48 (par exemple), ce qui est quand le même le 
> principe d’un LIR à la base, tu te retrouveras filtré avec une règle de ce 
> type :
>
>> ipv6 prefix-list ipv6-ebgp-strict permit 2a00::/12 ge 19 le 32
>
> Du coup, c’est pas idéal, non ?

En ce qui me concerne mon /48 PI n'est pas dans cette plage, mais dans
ipv6 prefix-list ipv6-ebgp-strict permit 2001:0678::/29 le 48

donc pas de soucis. Et je pense donc que 2a00::/12 est pour du PA, pas
du PI, et donc il doit y avoir un agrégat annoncé qui contient ton
/48, et tu te démerdes pour router jusqu'à ton LIR qui annonce cet
agrégat.

(en théorie...)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [tech] Avis office 365 premium business

2018-03-07 Par sujet Pierre Emeriaud
Le 7 mars 2018 à 13:27,   a écrit :
>
> Nous nous penchons sur la question du déploiement d'o365, onedrive, skype
> et sharepoint excahnge dans un second temps temps de migrer nos app.
> maison sous Lotus 8.5.3
> Avez vous des points d'attention à me faire par style bande passante

Le fait que sur internet il n'y a ni QoS, ni SLA de jitter, loss, rtd.

Et qu'une panne de réseau peut durer plusieurs jours si mal conçu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RTBH AS3215

2018-03-06 Par sujet Pierre Emeriaud
Le 6 mars 2018 à 17:43, Michel Py  a écrit :
>
>>> Jugurta Yennek a écrit :
>>> Je pense,, qu'il faudrait déjà définir le sens du terme " Opérateur de 
>>> transit "
>
>> Hugues VOITURIER a écrit :
>> Je dirais : "Un ASN qui annonce les routes d’un autre ASN" (modulo les 
>> siblings, genre Free/Free Mobile et OVH/OVH Telecom)
>
> Relativement d'accord, j'ajouterais "ou un ASN qui annonce les préfixes PI 
> d'une autre org" (sous-entendu, avec son propre ASN), ce qui va demander plus 
> qu'une expression régulière à compter.
>
> Le comptage d'Alarig inclut ce que tu décris, mais pas le cas des clients qui 
> ont leur préfixe et pas leur ASN, ou qui ne veulent pas se compliquer la vie 
> avec un full-mesh pour annoncer un /24 quelque part ailleurs.

Pour parler de ma crèmerie :

AS3215 (au niveau bgp) a plusieurs types de clients :
- les eyeballs Orange France, grand public & pro (merci captain obvious).
- les clients d'Orange Wholesale, opérateurs, sur les offres IPCI
ex-c3215(e) ex-gigatransit.
- les clients d'OBS, entreprises, sur des offres type Business
Internet (Classic, Voix, Etendu, Ambition et j'en oublie surement).

Les clients GP sont sur du PA Orange, 1 IP / client. dynamique en
ppp gp, stable en dhcp gp, et fixe en ppp pro.

Les clients OWF ont a ma connaissance tous leur AS et utilisent leurs
préfixes (PA client ou PI).

Les clients OBS, y'a un peu de tout. Du PA Orange, du PA client
(83.137.245.0/24 par ex), du PI client (91.207.176.0/24 par ex), en
statique ou bgp privé. Il y a également du PA client, Orange ou PI en
bgp publique/global, mais dans ce cas l'origin est l'as du client et
non 3215.

Après, quels sont les cas qui définissent la notion de transitaire ?
Le PA Orange uniquement s'il est en bgp ? annoncé ailleurs ? le PI
client routé en statique ? C'est compliqué à déterminer.

Pour en revenir à la question initiale, à savoir le RTBH sur 3215,
c'est compliqué aussi. Pour les clients OWF, pas de rtbh, mais du
scrubbing Arbor est possible pour l'offre IPCI4. Je ne connais pas les
procédures pour l'activation (manuel via support ou déclenché par le
client). Pour les clients OBS, le rtbh est possible sous conditions,
et il y a du scrubbing Arbor, en mitigation automatique ou a la
demande placée par les équipes CyberSOC, sur sollicitation ou alerte.
Pour l'instant pas sur annonces flowspec du client.


--
pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Retour d'expérience BGP sur vm

2018-03-02 Par sujet Pierre Emeriaud
Le 2 mars 2018 à 08:43, Guillaume LAPOUGE  a écrit :

> Nous avons actuellement des routeurs ASR 1002 en cluster, et je voudrais 
> avoir des retours d'expérience sur la mise en place de vm en HA pour gérer 
> des annonces BGP.

Don't.

BGP est un protocole qui gère déjà suffisamment bien la redondance.
Pas besoin de rajouter de la complexité avec des vm qui peuvent
basculer, ou pire, un split brain. Au lieu d'avoir une vm active qui
peut se déplacer d'un hv vers un autre, utilise deux vm actives
'master'.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Modem 4G/LTE multi sim

2018-02-16 Par sujet Pierre Emeriaud
> Tu peux utiliser un EHWIC-4G-LTE-GB compatible Cisco 1800.

ehwic + ISR G1 ? j'aimerais bien voir ça...

sur un g1 tu seras limité a la HWIC-3G-HSPA.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Modem 4G/LTE multi sim

2018-02-16 Par sujet Pierre Emeriaud
Le 16 février 2018 à 10:59, Fabien H  a écrit :
> Bonjour,
>
> nous sommes à la recherche d'un modem 3G/4G de type professionnel, avec
> port Ethernet, si possible multi-sim. Bien entendu, il faut qu'il soit
> stable au niveau connexion 3G/4G.
>
> L'idée est de brancher ce modem à notre routeur client de type CISCO 18XX.

Nx EHWIC-4G-LTE ? ça passe pas dans un isr g1, mais c'est pro,
multisim et stable.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] CELAN Fibre

2018-02-01 Par sujet Pierre Emeriaud
Le 31 janvier 2018 à 21:19, David Ponzone  a écrit :
>
> Pierre,
>
> Excuse-moi mais comment tu vois l’état du lien sans EAS depuis la porte de 
> collecte ?
> Il faut utiliser les fonctions OAM entre le LNS et le CPE ? Ce que tu 
> pourrais faire même si l’EAS est présent non ?

Je voulais bien sûr parler depuis le coté feuille, pas tronc. Sinon
oui, eas ou pas, des oam c'est bien pratique.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] CELAN Fibre

2018-01-31 Par sujet Pierre Emeriaud
Sans EAS l'avantage c'est que tu peux voir l'état du lien directement.
Si y'a une coupure fibre entre le nra et ton équipement tu le vois
tout de suite.

L'inconvénient, c'est que ça peut être plus long ou "conflictuel" pour
orange de troubleshooter quand c'est cassé.

Au moins avec un EAS s'il n'est pas joignable ou que le port client
est down, c'est facile de savoir qui est responsable.

Après, ça fait un équipement actif de plus, et potentiellement une
source de panne supplémentaire...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Point d'accès Wifi ouvert au public et législation

2018-01-29 Par sujet Pierre Emeriaud
Le 29 janvier 2018 à 18:30, Vincent JARDIN  a écrit :
> Je n'ai aucun avis sur ce qui est autorisé ou pas. Mais technologiquement,
> le CGNAT[0] est à conseiller pour ce type de solutions car ça permet
> d'historiser les attributions des adresses IP privées + ports de
> translations sans impacter les performances du NAT.

L'effet kiss-cool du CGN (voire même du nat, mais si c'est pas une ip
à toi c'est peut-être moins justifiable) c'est que si la requiz /
demande d'identification / whatever ne continent pas un timestamp
précis ainsi que le numéro de port source, ben poubelle direct ou
presque. "ça correspond à N utilisateurs, vous voulez la liste ?"


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Orange ADSL (pppoe) et ipv6

2018-01-04 Par sujet Pierre Emeriaud
> Du coup, comme on a tendance à virer les Livebox pour mettre nos routeurs
> (souvent du krotik), je me demande si quelqu'un a déjà réussi à se faire 
> servir
> un préfixe sur une session pppoe sans la box.

En pppoe ça risque pas.

> J'ai tenté un DHCPv6 mais je n'ai rien reçu pour le moment (que ce soit en
> préfixe ou juste une adresse).

il faut quelques paramètres supplémentaires dans le request. Et ça ne
fonctionne que si tu es en collecte ethernet et sans l'option ip fixe,
pour l'instant toujours en ppp.

> Si quelqu'un a déjà réussi (hors fibre parce la mécanique semble différente),
> pourrait-il partager les 2/3 paramètres qu'il a collé dans sa babasse ? Même
> hors krotik, je me démerde pour faire la conversion.

https://lafibre.info/remplacer-livebox/ y'a tout ce qu'il faut.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  1   2   3   >