Re: [FRnOG] [BIZ] Recherche consultant expert Ubiquiti

2020-09-03 Par sujet Solarus

Bonjour.

Vous devriez vérifier vos paramètres de client ou de serveur, vos mails 
arrivent en spam aussi chez moi.


X-Spam: yes
X-Spam-Score: 10 / 999
X-Spam-Status: Yes, score=10.000 required=999.000
tests=[ARC_NA=0.000, ASN=0.000, BROKEN_HEADERS=10.000
DKIM_SIGNED=0.000, FROM_HAS_DN=0.000, MID_RHS_MATCH_FROM=0.000
MIME_TRACE=0.000, PREVIOUSLY_DELIVERED=0.000, RCPT_COUNT_ONE=0.000
RCVD_COUNT_ONE=0.000, RCVD_TLS_ALL=0.000, RCVD_VIA_SMTP_AUTH=0.000
TO_DN_EQ_ADDR_ALL=0.000]

Cordialement.

Le 02/09/2020 à 22:09, OBConseil via frnog a écrit :

Bonjour,

J'ai essayé de répondre en privé à ce message, malheureusement 
Microsoft ne souhaite pas que mon serveur de mail (pourtant 
correctement configuré et présent dans aucune RBL) ne puisse te 
communiquer ma réponse sur une adresse en @live.fr .
La seule solution serait que je créé un compte Microsoft et que je 
demande, via un formulaire, la mise en white-list de l'IP de mon 
serveur SMTP, et je refuse de cautionner ce genre de comportement 
d'éviction de la part des GAFAM.

(ce sujet a été évoqué il y a quelques semaines sur cette liste)

Je ne peux que t'inviter à me contacter à l'aide d'une adresse mail 
provenant d'un fournisseur plus respectueux de la netiquette et des 
autres opérateurs. A défaut, bah tant pis.

Dans tous les cas je te souhaite de trouver les réponses à tes questions.

A+

Julien





Le 02/09/2020 à 17:04, Sébastien 65 a écrit :

Bonjour la liste,

Je recherche un consultant expert UBIQUITI (AirMax/AirFiber).

Est-ce qu'il y a quelqu'un dans la liste ou une personne que vous conseilleriez 
?

Plus d'info sur le besoin en PV.

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Une tribune pour vous inviter à suivre un site intéressant…

2020-08-25 Par sujet Solarus

Le 2020-08-22 15:22, Jérôme Nicolle a écrit :

Plop,

Datacenter Magazine vient de publier une ébauche de retour d'expérience
que j'ai commencé à travailler en début d'été. Vous pouvez lire le 
texte

là :

https://datacenter-magazine.fr/tribune-la-cyber-bombe-a-retardement-pourrait-etre-pire-que-la-crise-sanitaire/

Je vous invites à parcourir le site, leurs publications passées, il y a
plein de choses intéressantes dedans.

@+


“Allo, Jérôme, on a un problème, on doit faire télétravailler 980 
personnes alors que ça fait 5 ans que le service “Rendre Heureux” leur 
explique que c’est impossible, est ce que tu as une idée ?”


Jérôme, comment oses-tu critiquer les méthodes fabuleuses du management 
moderne qui apportent du bonheur au travail ? :)
Sinon je partage à 200% ton vécu, tout a souffert de l'activation 
urgente du télétravail, les licences Endpoint VPN, les max-routes, les 
tuyaux, les points de congestion mal dimensionnés, etc ...
A l'heure ou tout le monde vante la scalabilité (sic) du Cloud et des 
conteneurs, personne n'a pensé à la scalabilité du réseau.


Ça aurait moins eu le mérite de débloquer les robinets et pérenniser le 
télétravail d'un point de vue technique, reste à faire changer les 
mentalités.


Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

2020-05-08 Par sujet Solarus



Le 08/05/2020 à 15:41, Christophe PLESSIS a écrit :

  Bonjour,
Avez vous reçu cette information pour augmenter le nombre d’ipv4 ? Quel est 
votre avis ?
A bon entendeur.
Christophe

J'en pense qu'un protocole pour augmenter le nombre d'adresses IP ça 
existe déjà et ça s'appelle IPv6.

Bref, cette proposition est une vaste blague.

Cordialement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] [POLITIQUE] Coupures câbles dans le sud de Paris

2020-05-06 Par sujet Solarus

Le 06/05/2020 à 16:45, Florian Judith a écrit :


Si vous voulez explorer un peu le sujet via la science-fiction, Alain
Damasio a fait un excellent boulot dans Les Furtifs. Il explore ici a quoi
pourrait ressembler notre société ultra connectée, ce suivi et cette
connexion permanente.


En tout cas si on chope ceux qui ont coupé les câbles, ça va être la 
Horde des Contrevenants.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Attaque SIP et SIPS

2020-04-11 Par sujet Solarus

Le 11/04/2020 à 15:17, Jacques Lavignotte a écrit :


Bombarder l'abuse automatiquement n'est-il pas un abus ?




Pas si on respecte la RFC 6650 :)
https://tools.ietf.org/html/rfc6650


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] VoIP, tests des numéros d'urgence

2019-11-28 Par sujet Solarus



Le 27/11/2019 à 00:37, fabien.seg...@widenetconsulting.fr a écrit :

J'ai déjà pratique ce genre de test pour des clients, ça dépend un peu sur qui 
tu tombes :)




Lors de mes tests, j'avais besoin de m'assurer que je tombais bien sur la 
caserne rattachée à la commune de mon client donc j'ai du aller un peu plus 
loin que le serveur vocal, mais en général l'interlocuteur coopère 2 fois sur 3 
si ton discours est bien rodé.


Je rejoins tout ce qui s'est dit précédemment, un test au 112 doit être 
fait de manière systématique à chaque installation de téléphonie 
virtuelle ou physique.


L'appel doit être le plus court possible mais avec un minimum de politesse.

"Bonjour, je suis technicien téléphonie à "Nom de la ville" pouvez vous 
me confirmer sur quel centre d'urgence j'arrive ? Merci bonne journée."


Ça m'est déjà arrivé de tomber sur le SDIS de Versailles en installant 
un IPBX à Bayonne, donc bon ça ne coûte pas grand chose de vérifier.


Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] IPv4 pool @RIPE NCC: Game over !

2019-11-28 Par sujet Solarus



Le 25/11/2019 à 23:44, Michel Py a écrit :

Daniel Huhardeaux a écrit :
Pour ma culture personnelle, pourquoi le monde s'acharne t'il sur l'IPv4 ?

Ce n'est pas de l'acharnement, c'est des économies. IPv6 çà ne sert à rien, 
pourquoi déployer ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/
La question qui va se poser c'est : Puisque Google et Facebook 
fonctionnent en IPv6, pourquoi se soucier du reste du Web ?


J'ai ma box, mon smartphone 4G, mes mails, Youtube et Netflix en IPv6.
Si IPv4 s'écroule, pas sûr que je m'en aperçoive rapidement.

Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

2019-11-28 Par sujet Solarus



Le 27/11/2019 à 09:58, Hugues Voiturier a écrit :

C’est une raison pour aller chez Free et pas chez un opérateur qui propose une 
offre Pro ? Je ne vends pas que des FTTO 10G, je vends aussi des ADSL/SDSL a 
des prix pas
bien plus élevés que chez Free...

Et je ne suis pas d’accord avec toi, ces boîtes ont quasiment toutes besoin de 
leur connexion, que ce soit pour les TPE, pour les mails, pour leur stock...

Et ces gens là tournent derrière des offres pas adaptées, et ne savent même pas 
quoi faire en cas de souci.


Je rejoins ce que dit Hugues et j'irais même plus loin.

Peu importe que l'offre soit "brandée" comme pro, ce qui importe c'est 
ce que vous signez dans le contrat.
Si vous prenez un contrat pour particuliers, vous n'avez aucune garantie 
et aucun droit de l'ouvrir. Point.


Si vous prenez un contrat pro sans GTR, c'est à peu près le même topo. 
Vous pourrez vous plaindre auprès du commercial lors du renouvellement, 
mais au quotidien vous n'avez aucune garantie.
Et ne me parlez pas de GTI (Garantie du Temps d'Intervention) parce que 
c'est juste une blague.


Si votre chiffre d'affaire dépend d'une manière ou d'une autre de votre 
connectivité (logiciel de caisse, TPE, téléphone) vous DEVEZ faire le 
nécessaire pour obtenir les garanties techniques et contractuelles qui 
vous permettent de sécuriser votre activité et/ou votre chiffre d'affaire.


La solution multi-opérateur peut-être séduisante mais elle présente deux 
inconvénients. Le premier c'est que les opérateurs se reposent parfois 
(souvent) sur les infrastructures des autres.
Ainsi il n'est pas rare de voir une liaison SDSL SFR tomber en même 
temps que celle d'Orange car sur le même DSLAM.
J'ai vu aussi la FTTH d'Orange tomber en panne sur un secteur où SFR est 
opérateur d'infrastructure.


L'autre inconvénient, comme je l'ai déjà évoqué, c'est la garantie 
contractuelle. Si vous prenez un accès chez deux FAI, vous n'avez aucune 
garantie contractuelle ni aucun dédommagement.
Alors qu'avec un double accès chez le même opérateur et une GTR adaptée 
vous aurez très peu de cas de pannes et de temps de coupure à gérer sur 
l'année.


Et si au final la GTR n'est pas respectée, vous pourrez toujours 
réclamer l’indemnisation liée au contrat.

Ceux qui ne la demandent pas sont sûrs de ne pas l'avoir.

Je ne dis pas que la moindre TPE doit passer à la caisse pour une fibre 
RS3 et un Incident Manager dédié, mais vérifier que les garanties 
techniques et financières du contrat sont adaptées au service attendu, 
c'est la base.


Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] changement hardware et choix Quagga/FRRouting

2019-11-18 Par sujet Solarus



Le 18/11/2019 à 00:07, Guillaume Barrot a écrit :

Sérieusement, des gens *aiment* la CLI de IOS ou IOS-XE ?

Sérieusement, y a encore des gens pour faire de la CLI en 2019 ???
API, JSON, tout ça, non ?
Ou meme juste du Ansible + Git, au moins

Qui a dit que c'était incompatible ?

J'ai un gestionnaire de confs qui fait du JunOS XML, ce qui ne m'empêche 
pas de faire de la CLI en cas d'urgence.
On peut au moins reconnaitre à Juniper qu'ils ont réussi à allier le 
meilleur des deux méthodes.


Et pour IOS, tout le monde connait la syntaxe Cisco et c'est pas trop 
compliqué à automatiser, donc je m'en contente bien.


Solarus



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Meraki... première et dernière...

2019-11-18 Par sujet Solarus



Le 17/11/2019 à 20:23, Jérôme Quintard a écrit :


Je suis le seul à avoir ce genre de soucis ?


Salut.

Non tu n'est pas le seul.
Je dois régulièrement installer des Meraki chez des clients et j'ai un 
souci régulier.


Le switch doit contacter le controlleur pour se configurer, hors si le 
port d'uplink du Meraki est taggé dans un VLAN, l'autoconf ne se fait pas.
Je suis obligé de passer le routeur en VLAN natif ou en VLAN 1 pour 
configurer les switchs et ensuite pouvoir repasser l'uplink en VLAN taggé.


J'ai également eu à faire appel une fois au TAC Cisco car le routeur et 
le Meraki ne se voyaient pas.
Ils m'ont dit d'ouvrir un ticket chez le constructeur du routeur, mais 
c'était un ISR4451 donc ils se débrouillés au sein de Cisco pour me 
trouver une solution.


En résumé, ça marche jamais du premier coup, le système de licence est 
pourri et y'a pas de CLI.

Quand j'ai à choisir, je les élimine direct des choix possibles.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Supprimer IPV4 RFC1918 dans un LAN ?

2019-10-28 Par sujet Solarus



Le 26/10/2019 à 20:45, Denis Fondras a écrit :


Regarde les présentations du déploiement chez T-Mobile. Apparemment ils ont
l'air satisfait.


Ca existe aussi chez Orange. Si vous avez une carte SIM Orange, passez le point 
d'accès Orange World en IPv6 et vous aurez une IPv6 publique et un accès IPv4 
avec un NAT64 uniquement.

Solarus.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] LI-Fi - Recherche Problématique à étudier

2019-07-29 Par sujet Solarus


Le 29/07/2019 à 13:28, Francois Demeyer a écrit :
> Le 29 juil. 2019 à 13:23, Stephane Bortzmeyer  a écrit :
>>
>> Le Li-Fi, c'est forcément de la lumière visible ? Ça ne peut pas être
>> du proche infrarouge ou du proche ultraviolet ?
> Le Li-Fi m’a toujours paru être une vague évolution de l’IrDA, toujours avec 
> le même pb de voie de retour…
> Donc en spot directif devant une toile au musée, why not ?

Le Lifi est la marque commerciale, la norme s'appelle à l'origine VLC
(Visible Light Communication) et utilise la lumière visible entre le 380
et le 700 nm, on est en limite de chaque coté avec l'infrarouge et l'UV,
mais l'idée c'est vraiment de n'utiliser que la lumière visible.

Je sais pas exactement ce qui a poussé ce choix, surement une question
de risque, les IR générant de la chaleur et les UV étant absorbés par la
peau.

Y'a cet article qui détaille pas mal les 2 premières couches du
protocole si vous êtes curieux.
http://visiblelightcomm.com/an-ieee-standard-for-visible-light-communications/

Amicalement,
Solarus



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RE: Switch PoE+

2019-07-28 Par sujet Solarus


Le 18/07/2019 à 18:45, Sébastien Lesimple a écrit :
> Ouias, 3750X ou 3650 c'est la meme machine inside donc pas de stress.
> Donc, l'un ou l'autre ca fera le boulot sans aucuns soucis.
> (Les jeunes, écoutez les vieux schnocks, ils se sont pris tous les plans
> merdiques avant vous...
> ...y'a de la sagesse chez les papis du réseau :)

Si Cisco pouvait éviter de nous refaire la blague du firmware 03.03.03
qui m'a planté un stack de 3650 lors de l'ajout d'une unité plus récente
dans la pile, ça me rassurerait pour continuer à bosser avec cette gamme.

Amicalement,
Solarus



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] LI-Fi - Recherche Problématique à étudier

2019-07-28 Par sujet Solarus

Le 28/07/2019 à 14:17, Richard Klein a écrit :
> Bonjour
>
>
> Le rapport signal bruit sur cette techno serait un vecteur à étudier ?
> Donc question de débutant qui n’a pas cherché sur Qwant (Qwant est encore
> plus ton ami)sur cette techno...
> Par exemple comment cela se comporte a l’exterieur en plein soleil ?
> Et en lumière artificielle?
> Les néons,les lampes led et leurs alimentations à découpages perturbent
> comment le LiFi
> Ou dans une salle de projection la roue chromatique d’un projecteur va
> t’elle générer des interférences ?

Plus simplement, on pourrait se demander comment regarder du porno du
streaming sous la couette pendant que sa compagne dort.

Amicalement,
Solarus.


signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Packetshaper

2019-04-20 Par sujet Solarus


Le 19/04/2019 à 22:39, Radu-Adrian Feurdean a écrit :
>
> Etant le vendredi, je tente :
> 1. Enlever le "boitier QoS" et mettre a la place - RIEN DU TOUT
> 2. Augmenter la taille du tuyau.
>
> En effet c'est un reponse pas seulement de vendredi.

J'en ai marre de lire ce troll de manière régulière comme si c'était une
vérité admise.

Dans un réseau d'entreprise, la QOS est plus importante que jamais,
surtout à l'heure où le HTTP se comporte comme un enfant gaté et où des
horreurs comme QUIC ont vu le jour.

Brider le trafic UDP sur les ports 80 et 8080, brider le QUIC, prioriser
la voix et la visio, certes ça ne désengorge pas un lien saturé, mais ça
permet d'obtenir des SLA corrects sur tes applications métiers critiques.

Sur un réseau d'entreprise ce qui doit marcher avant le reste c'est SAP,
le Cloud Microsoft, les téléconférences et la téléphonie IP. Si tu ne
mets pas en place de QOS, le magasinier qui mate Youtube entre deux
camions de livraisons, il va te bouffer toute la bande passante. Et plus
il y en a et plus il en bouffera.

Alors oui, la QOS ça n'est pas une magie obscure qui désengorge les
liens sous-dimensionnés, mais ça permet de garantir le trafic essentiel
par rapport au trafic poubelle.

Cordialement.
Solarus.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Packetshaper

2019-04-20 Par sujet Solarus


Le 19/04/2019 à 16:44, Roderick PAUL a écrit :
> A l’époque il y avait riverbed mais avec l’avenement du SD WAN, peut etre y
> a-t-il d’autres acteurs efficaces .

Pour ma part je suis en train de tester les fonctions SD-WAN sur Cisco
ISR/ASR (j’ai déjà ce matos ça fait des frais en moins).
Je m'intéresse surtout aux SLA, si c'est la QOS qui t'intéresse je crois
qu'il faut plutôt regarder les fonctions applicatives de Vipetela, mais
honnêtement je commence à peine à toucher à ça.

Cordialement
Solarus



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

2018-09-20 Par sujet Solarus

Le 2018-09-20 09:57, Julien Escario a écrit :


Ca sent de plus en plus le sapin pour les petits AS.


Je suis pas trop d’accord avec toi là dessus. Quand on voit le travail 
fait par certains petits AS qui font l’effort de prendre un ASN en 32 
bits, qui font l’effort de se dimensionner pour recevoir une vraie full 
table, qui font l’effort de peerer avec un maximum de monde en IPv4 et 
en IPv6, y’a de quoi applaudir.


Par contre le petit ou le gros AS qui fait encore de la traduction avec 
l’AS23456, qui fait du filtrage à /24 ou /23 parce que son frontal 
fonctionne encore au charbon, qui n’est disponible qu’au travers d’un 
seul transitaire et qui ne fait que de l’IPv4 et du X25 (je blague), ça 
m’étonne pas que celui là il fasse la tronche quand arrive RPKI.


La sécurité et la résilience d’Internet est un sujet où nous avons 
accumulé 10 ans de retard, il est temps de laisser les retardataires 
derrière et d’avancer avec les bonnes volontés.


Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] SIP vers T2 ?

2018-08-27 Par sujet Solarus

Le 2018-08-27 à 22:11, David Ponzone a écrit :
> Ah si t’as un plan pour brancher un PRI sur un MP112, je suis preneur :)
Avec une quinzaine de boitiers. :)

Solarus




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] SIP vers T2 ?

2018-08-27 Par sujet Solarus

Le 2018-08-27 à 11:54, David Ponzone a écrit :
> Patton sinon rien!
> D’autres vont te dire Audiocodes. Ca dépend dans quelle marmite tu es tombé 
> quand tu étais petit.

El famoso MP112 de chez Audiocode, sinon les One Access comme conseillés
par ailleurs.

Solarus




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

2018-06-26 Par sujet Solarus

Le 2018-06-26 11:55, Stephane Bortzmeyer a écrit :

Au fur et à mesure que le nouvel Android se déploie.



Il y a quelque chose à faire dans Bind et Unbound niveau conf ?
Et à partir de quelle version c'est pris en charge ?

Je ne trouve rien dans les documentations.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] IPv4, c'était bien tant que ça a duré

2018-04-17 Par sujet Solarus

Le 2018-04-17 11:05, Stephane Bortzmeyer a écrit :

On Tue, Apr 17, 2018 at 11:02:27AM +0200,
 Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> wrote
 a message of 40 lines which said:

Mais de moins bonne qualité : petits bouts pas agrégeables, adresses
récupérées et qui sont dans toutes les listes noires, etc.


Que les IP dispos soient blacklistées c'est logique et ça peut être une 
bonne chose vu que les spammeurs professionnels sont des spécialistes du 
turnover, ils vont devoir se calmer.


A moins que l'IANA décide d'ouvrir les affectations sur le 240.0.0.0/4 
:)

https://lafibre.info/ipv6/240-0-0-04/

Bon, retournons râler en IPv4 sur Twitter.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Solarus


Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
> Bonjour,
>
> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> utilisateurs et une obligation de conserver les logs pendant une
> certaine durée.
>
> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> impose ou implique vis à vis du RGPD ?
>
Salut Jérôme.

La RGPD s'applique aux acteurs privés dans les collectes à finalité
privée, pas aux obligations légales relatives à l'exercice de l'autorité
publique.
Dans le détail c'est un peu plus complexe, il y a toute un combat autour
de l'arrêt Télé 2 et de l'article 6 du RGPD.

En l'état rien ne remet en cause la collecte des éléments demandés par
loi, dans le délai imposé par la loi (et strictement ces éléments là).
Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
de la loi française sur le droit européen (conservation d'1 an au lieu
de 2) mais ça n'est pas encore fait.

Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] TCP vs. UDP : les chiffres

2018-02-08 Par sujet Solarus

Le 2018-02-08 11:56, Stephane Bortzmeyer a écrit :

Est-ce que quelqu'un a des chiffres *récents* sur la part de trafic
TCP vs. UDP, à divers endroits du réseau ? Je ne trouve que des vieux
chiffres comme
<http://www.caida.org/research/traffic-analysis/tcpudpratio/> qui ne
tiennent pas compte, par exemple, de WebRTC.

Salut à tous.

Ce serait super d'avoir ce genre de données. Ce serait également 
intéressant d'avoir le ratio au sein de TCP entre le trafic des ports 
80/443 et le reste.
Pour WebRTC il faudrait également regarder au niveau applicatif, le taux 
de repli sur TCP quand les ports UDP sont bloqués, ce serait également 
très instructif.


Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] relai smtp orange

2017-11-24 Par sujet Solarus

Le 2017-11-24 14:37, Nicolas Parpandet a écrit :

Hello la liste,

nous avons un client qui ne peut plus envoyer de mail depuis orange,

https://communaute.orange.fr/t5/mon-mail-Orange/Impossible-d-envoyer-des-mails/td-p/1435782

cher amis et anciens collègues orange !, les relais smtp ADSL
requièrent tantôt une authentification, tantôt non,
il faudrait vous décider une fois pour toute ;)

on aime beaucoup changer régulièrement la conf de nos clients pour que
cela "juste" marche !,
que devons nous faire au final ?, c'est la galère depuis ce matin. (ça 
bagotte)




Salut.

La meilleure solution est de faire du SMTP authentifié, comme ça peu 
importe ton IP d'origine ton client sera reconnu par les serveurs 
Orange.
Il faut aussi s'assurer que tu est bien en SSL/TLS et pas en clair ou en 
SMARTLS.


Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [BIZ] Recherche MC7304

2017-11-22 Par sujet Solarus

Bonjour à tous.

Je cherche à savoir si il y a des fournisseurs de cartes MC7304 en 
Europe, à prix correct.
Il n'y en a plus chez RS Component (155€) et j'en trouve sur Alibaba à 
moitié prix, mais je doute que ma comptable soit d'accord.


Si vous avez des infos, merci d'avance.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Buzz autour du SD-WAN

2017-08-14 Par sujet Solarus

Le 2017-08-14 09:48, Jérémy RIZZOLI a écrit :


Néanmoins, j'ai quand même du mal à voir à qui s'adresse en terme de
cible, ce type de technos.


Salut Jérémy.

Le principal intérêt que je vois au SD-WAN c’est de pouvoir envoyer chez 
les clients des boitiers moins «intelligents» et donc moins chers, 
l’intelligence étant gérée en cœur de réseau.
L’avantage c’est que le boitier n’a plus qu’à gérer le lien physique 
(ADSL, SDSL, FO), la couche IP étant gérée au niveau du backbone, ce qui 
limite le risque d’erreur de conf sur les routeurs distants.
Les configurations sont récupérées depuis le cœur de réseau, ce qui 
facilite les déploiements.


L’autre avantage c’est qu’on centralise l’intelligence réseau et la 
puissance nécessaire sur les contrôleurs SDN et les PE, ce qui facilite 
les upgrades puisqu’il y a moins de matériel à changer chez les clients.
Sinon oui, le principe c’est équivalent à celui de puppet ou ansible, il 
s’agit de tout «masteriser» à distance à partir d’un contrôleur.


De toute façon c’est le modèle poussé par Juniper et Cisco qui se font 
la guerre sur ce secteur donc on risque d’y passer bon gré,mal gré.


Cordialement.
Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

2016-11-19 Par sujet Solarus

Le 19/11/2016 à 12:17, Pierre Colombier a écrit :
>
>
> ce qui induit la question suivante :
>
> Comment font les services comme 8.8.8.8 pour ne pas relayer ce type
> d'attaques ?
>
> De façon générale, est-il possible d'être un free resolver sans pour
> autant constituer une nuisance pour le net ?
>
Salut.

La solution est de mettre du rate-limiting soit au niveau réseau sur
UDP, soit au niveau applicatif avec RRL.
https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html

Le rate-limiting UDP est utile partout, notamment sur le port 123 pour NTP.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Retours d'expériences sur l'expédition d'équipements aux Etats-unis

2016-10-28 Par sujet Solarus
Le 28/10/2016 à 08:22, Vincent Mercier a écrit :

> Avez des retours d'expériences sur l'expédition d'équipements aux états
> unis ? Notamment sur le passage de douane ?
>
Salut,

Je ne sais pas pour les serveurs mais pour les routeurs et les firewall
tu risques d’être embêté par la législation française.
En effet les fonctions cryptographiques (IPSec, etc…) sont considérés
comme à double usage (civil et militaire) et nécessitent une
autorisation préalable avant tout export hors de la métropole.

https://www.ssi.gouv.fr/entreprise/reglementation/controle-reglementaire-sur-la-cryptographie/

Le plus simple est effectivement d’acheter directement aux USA ou de
laisser ton fournisseur gérer directement la livraison.

Cordialement.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Orange et les adresses emails fournies

2016-10-05 Par sujet Solarus

Le 2016-10-05 14:15, Jonathan Leroy a écrit :

Le 5 octobre 2016 à 13:02, Solarus <sola...@ultrawaves.fr> a écrit :


Si l’alias est disponible il faut le recréer en orange.fr. Sachant que 
les

mails vers wanadoo.fr sont renvoyés vers orange.fr ça devrait marcher.


Non, pas pour les nouvelles adresses.
Seules les BAL wanadoo.fr ayant été migrées vers orange.fr ont un 
alias.


C’est peut-être le discours d’Orange mais dans les faits ça marche, je 
viens de créer une nouvelle boite Orange et envoyant le mail à 
u...@wanadoo.fr ça marche. C’est certainement pas pérenne mais pour 
l’instant ça marche encore.


Pour le reste, en appelant le commercial PME à la rescousse ça peut 
peut-être marcher, les commerciaux OBS arrivent parfois à démêler ce 
genre de cas, mais sur le marché Pro je sais pas.


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Orange et les adresses emails fournies

2016-10-05 Par sujet Solarus

Le 2016-10-05 10:47, Guillaume a écrit :



Sachant qu'un compte email n'est qu'une entrée dans une base de
données (sans parler du stockage), quelqu'un a-t-il déjà réussi à se
sauver de ce genre de situation avec eux ?



Si l’alias est disponible il faut le recréer en orange.fr. Sachant que 
les mails vers wanadoo.fr sont renvoyés vers orange.fr ça devrait 
marcher.

;; ANSWER SECTION:
wanadoo.fr. 248 IN  MX  10 smtp-in.orange.fr.

Normalement avec un compte Orange on peut recréer 10 alias, il faut 
tester depuis cette interface, et voir éventuellement le message 
d’erreur.
De plus j’ai déjà vu d’anciennes boites être réattribuées dans des cas 
d’homonymie (pour des M. Durand ou des M. Martin) donc normalement ça 
n’est pas bloquant.


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Grosse mise à jour Win10 ce matin ?

2016-10-04 Par sujet Solarus

Le 2016-10-04 10:58, David Ponzone a écrit :

Quand je parlais de deal,  je plaisantais bien sûr :)

Je crois qu’à court-terme, la seule solution-crade (en dehors des
solutions propres que tu as déjà proposées) est de passer le port
ethernet en metered connection, mais c’est chiant à faire sur
plusieurs PC.



Y’a plus simple non ?
Si ton firewall ou ton routeur le permet, tu peux essayer en amont de 
shapper la bande passante sur toutes les IP des serveurs de mise à jour.
Si le serveur de mise à jour adapte son débit, il devrait s’adapter à ce 
goulet d’étranglement.


J’ai un rate-limiting en place pour protéger le DNS et le NTP, je vais 
tester sur ces serveurs de mise à jour.


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Rapport ARCEP surproblèmeIPv6

2016-10-02 Par sujet Solarus


Le 02/10/2016 à 14:33, Jérôme Nicolle a écrit :
>
> $ host orange.fr
> orange.fr has address 193.252.148.140
> orange.fr has address 193.252.133.34
> orange.fr mail is handled by 10 smtp-in.orange.fr.
> $ host smtp-in.orange.fr
> smtp-in.orange.fr has address 193.252.22.65
> smtp-in.orange.fr has address 80.12.242.9
>
Je n’utilise pas mon adresse orange.fr sur cette ML il me semble.

;; ANSWER SECTION:
ultrawaves.fr.  10800   IN  MX  10 mail.ultrawaves.fr.
mail.ultrawaves.fr. 10800   IN  A   163.172.135.196
mail.ultrawaves.fr. 10800   IN  2001:bc8:4400:2100::f:11

Bisous.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

2016-10-01 Par sujet Solarus


Le 01/10/2016 à 23:51, Radu-Adrian Feurdean a écrit :
>
>> Voir même une incitation ou une prime pour ceux qui poussent leurs
>> clients PA à utiliser IPv6.
> Comment ?
>
Par exemple Gandi, qui propose IPv6 par défaut sur ses VM IaaS et fait
payer les IPv4 en option.

Le LIR qui file un /23 et un /32 IPv6 il peut aussi inciter son client à
déployer IPv6, ça lui évitera (un peu) de chialer pour réclamer des
nouvelles IPv4.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

2016-10-01 Par sujet Solarus


Le 01/10/2016 à 23:51, Radu-Adrian Feurdean a écrit :
> On Sat, Oct 1, 2016, at 09:56, Solarus wrote:
>> Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :)
>>
>> La seule solution est de taper là ou ça fait mal : sur les attributions
>> d’IPv4. Les RIR et notamment le RIPE développent des politiques
>> d’affectation IPv4 si l’AS prend également des préfixes IPv6.
>
> Comment ? Surtout quand tu as la partie operationelle d'une cote, l'IT
> interne (celui qui gere le PC du comptable et du RH, mais surtout le
> serveur exchange) d'une autre cote, et le marketing (qui a pouvoir de
> vie et de mort sur le site web) d'une encore autre cote. Mention
> speciale quand l'IT interne et le marketing n'utilisent pas les services
> de la partie operationelle et ont chacun ses propres prestataires
> (serveur mail et web sur des AS autres que celui de la societe
> elle-meme).
>
On est tout au courant des problèmes réels ou imaginaires qui bloquent
le déploiement d’IPv6, mais en quoi ce sont des excuses valables ?
C’est justement le boulot des gens comme nous, ingénieurs et technicien
réseaux de faire fonctionner ce qui doit fonctionner, et d’essayer de
foutre du plomb dans la cervelle des décideurs.
Ça fait depuis 1996 qu’on en parle, depuis 2006 qu’on en déploie
sérieusement, ça fait beaucoup de temps pour les pleurnicheries et les
reculades.

Moi clairement je m’en fous, c’est pas moi qui galère à trouver des IPv4
pour mes clients, je vais plutôt prendre un paquet de pop corn et
regarder une série sur Netflix en IPv6 pendant que des petites boites
d’hosting mettront la clé sous la porte au profit des gros qui auront
acheté des IPv4 au marché noir.

C’est là où le régulateur à foiré, et c’est très bien qu’il essaye de
rattraper son retard.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

2016-10-01 Par sujet Solarus


Le 01/10/2016 à 09:49, Alexandre Archambault a écrit :
> Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une
> entrée IPv6 serait un bon début.
Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :)

La seule solution est de taper là ou ça fait mal : sur les attributions
d’IPv4. Les RIR et notamment le RIPE développent des politiques
d’affectation IPv4 si l’AS prend également des préfixes IPv6.

Il faut renforcer ces politiques en exigeant que ces préfixes soient
effectivement annoncés et déployés a minima sur les services principaux
de l’entité qui gère l’AS.
Voir même une incitation ou une prime pour ceux qui poussent leurs
clients PA à utiliser IPv6.

C’est un peu extrême et ça risque de fâcher pas mal de monde, mais la
plaisanterie a assez duré.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Rapport ARCEP surproblèmeIPv6

2016-09-30 Par sujet Solarus


Le 30/09/2016 à 18:06, Pascal Rullier a écrit :
> Le 30/09/2016 à 16:55, Xavier Beaudouin a écrit :
>> Après ouais... mais bon meme les DNS sont pas IPv6 compliant, on vas
>> pas dire que faire un DNS IPv6 compliant ça soit d'une difficulté
>> insurmontable...
>>
>
>  !
>
> C'est vrai que c'est super dur depuis le temps...
>
> 1) entrées DNS 
> 2) implémentation sur les machines en dual stack, cependant
> il doit rester des appliances qui n'ont pas le support v6. bouh...

C’est marrant, à chaque fois que je demande pourquoi IPv6 n,est pas
disponible on me répond qu’il y a des incompatibilités avec les produits
en service, mais quand je vérifie les docs constructeurs bizarrement
c’est disponible.

J’en ai conclu deux choses :
-Soit les personnes en internes qui gèrent ces produits sont des nuls,
et c’est grave.
-Soit les intégrateurs en charge de ces produits sont des nuls ou des
escrocs et c’est encore plus grave.

Business as usual.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Le préfixe 2001:5::/32, les identificateurs de LISP

2016-09-23 Par sujet Solarus
Le 23/09/2016 à 09:08, Stephane Bortzmeyer a écrit :

> Si vous voyez passer des adresses 2001:5::/32 sur votre réseau, ce ne
> sont pas des adresses, ce sont les nouveaux identificateurs LISP :
>
Question de néophyte en LISP mais pourquoi avoir pris des adresses dans
l’espace unicast routable 2000::/3 plutôt que dans les F000::/3 ?
Ces préfixes sont générés aléatoirement ou sont ils affectés par une
autorité ?

Merci pour les éventuelles réponses.
Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] [vendredi] « qu'un policier en faction surveille efficacement le 137 boulevard Voltaire ? »

2016-09-16 Par sujet Solarus

Le 2016-09-16 16:32, Stephane Bortzmeyer a écrit :

« On peut d’ailleurs se poser la question de la vulnérabilité de ce
bâtiment [Telehouse 2], dans la mesure où même si un panneau interdit
le stationnement juste devant l’immeuble, il semble que rien n’empêche
vraiment un camion de se garer à 5 mètre [sic] de sa façade, comme le
montre cette photo disponible sur Google Maps [...] »



Si Vigipirate était vraiment appliqué dans les datacenters, ce serait le 
gros bordel, j’imagine mal un vigile ouvrir et fouiller 5 cartons de 
matos Juniper pour voir si un châssis n’a pas été remplacé par un engin 
artisanal.


La sécurité c’est une suite de compromis à trouver, propre à chaque 
situation. Vigipirate ce n’est pas un compromis, c’est du grand 
spectacle.


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Solarus

Le 2016-09-16 10:10, Kavé Salamatian a écrit :



Je ne pense pas que le RPKI soit une solution à tout les problèmes …


Bonjour Kavé.

RPKI n’est pas une solution à tous les problèmes, mais une solution aux 
usurpations de préfixe, nous le savons tous.


Ces DDOS sont inquiétants, mais je ne vois pas quelle finalité pourrait 
représenter une menace.


Pour moi la méthode de réflexion doit-être la suivante :
1°) Ces DDOS sont ils en mesure de saturer les Tier1 visés ?
2°) Ces DDOS peuvent ils amener des attaquants à exploiter des failles 
logicielles ou structurelles ?
3°) Ces failles ont elles un correctif logiciel ou structurel déployable 
(anti-botnet, failles Kaminski, DNSSEC, RPKI,…) ?


La réponse à la question 1 me semble évidente, c’est la question 2 qui 
nous intéresse.
Si et seulement si la réponse à la question 3 est non, il y aura de quoi 
paniquer.


En attendant, si il est vrai que quelqu’un ajuste sa technique pour 
saturer Internet, il est tout aussi vrai qu’une armée d’ingénieurs 
ajustent leurs technique pour continuer à faire fonctionner Internet. 
C’est comme ça depuis le début du Net, et nous sommes toujours là à a 
discuter sur cette ML. :)


Vous avez raison d’étudier ce phénomène, mais en l’état je ne vois pas 
de menace tangible.
Un peu comme avec les astéroïdes en fait, on garde un œil dessus au cas 
où, mais on continue à dormir sur nos deux oreilles.


Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-15 Par sujet Solarus

Le 2016-09-15 08:00, megagolgoth a écrit :

Bonjour,

C'est pas encore trolldi mais :
https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

Qu'en pensez-vous?


Avec tout le respect que je porte à Bruce Schneier, cette histoire me 
fait rire.
Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant 
que Internet va mourir à cause de [insérer ici une des 7 plaies 
d’Egypte].
Là, ce n’est même pas public, il faut acheter son livre pour savoir de 
quoi il retourne.


Et quand bien même cette menace serait réelle, il n’existe aucun 
problème que l’absence de solution ne finisse par résoudre.


On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling 
sont quand même bien avancées, à la grande joie des vendeurs de 
solutions.

On craint un détournement des DNS ? Continuons à déployer DNSSEC.
On craint un détournement de routes dans un AS BGP hostile 
? Intensifions le déploiement de RPKI.


À l’heure actuelle, la seule menace réelle pour Internet est la fin 
d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX.


Pour tout le reste, des solutions existent, et si nous refusons de les 
appliquer nous sommes coupables de laisser perdurer un Internet 
non-sécurisé et vulnérable.
Et si cet Internet vulnérable se casse un jour la figure, on ne pourra 
s’en prendre qu’à nous.


Alea jacta est.

Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Traitement des Abuse Reporting Format

2016-08-31 Par sujet Solarus

Le 2016-08-26 18:09, Jonathan Leroy a écrit :



La question est de savoir si il est utile pour moi de formaliser les 
ARF

ou de continuer à les gérer sous forme libre comme c'est le cas
actuellement.


Ça dépend du nombre de plaintes que tu reçois ?


Salut.

Merci pour ta réponse.
Non je ne gère pas d’abuse mais j’en envoie beaucoup comme je gère des 
serveurs, d’où mon questionnement sur l’intérêt de les automatiser et de 
les formaliser.

Je vais essayer et voir ce que ça donne.

Cordialement
Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Traitement des Abuse Reporting Format

2016-08-26 Par sujet Solarus
Salut à tous.

Si certains d'entre vous gèrent des boites abuses, ou envoient
régulièrement des demandes sur des boites abuse, je serais intéressé de
vos réponses sur les points suivants :

-Utilisez vous le format d'ARF défini par les RFC 5965 et 6650 ? En
recevez-vous formatés de cette manière ?
-Gérez vous les envois et réception d'abuse manuellement ou de manière
automatisée ? Le cas échéant, cette automatisation prend-elle en compte
le formatage des ARF ?

La question est de savoir si il est utile pour moi de formaliser les ARF
ou de continuer à les gérer sous forme libre comme c'est le cas
actuellement.
Si vous ne voulez pas répondre sur la liste, vous pouvez me répondre
directement.

Merci d'avance pour vos réponses.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel

2016-06-05 Par sujet Solarus


Le 05/06/2016 à 10:18, Guillaume Tournat a écrit :
> Le déchiffrement SSL permet d'analyser ce qui passe en chiffré. 
>
> Le but n'est pas forcément de bloquer les sites "loisirs" qui nuiraient à la 
> productivité (ca peut)
>
> Mais surtout de bloquer les malwares, les protocoles "suspects" (peer to 
> peer, tor), les botnets. 
>
> Voire de faire du shaping sur ce qui tue la bande passante (streaming), pour 
> permettre aux applications métiers d'être "responsive".
>
Si tu arrives à détectes une attaque en analysant le contenu d’une
session SSL tu m’appelles, parce que j’ai souvent entendu l’argument
mais je ne l’ai jamais vu à l’œuvre.
A fortiori du contenu vers un site authentique comme Google (des
légendes racontent que HTTPS sert aussi à authentifier les sites, mais
les vendeurs de MiTM m’ont assuré que c’était du folklore).

De manière générale je n’ai jamais vu une attaque qui ait été déjouée
par du MiTM et qui n’aurait pas pu l’être par une blacklist, un Firewall
ou un IDS.

Le seul argument valable pour le MiTM c’est que ça permet d’espionner
les employés pour éviter les fuites de données (whistleblower). Et
encore, je pense que le gars qui voudra faire fuiter des données ne
passera pas par le proxy de la boite.

Bref, sacrifier l’authentification des sites, et mettre ainsi mes
utilisateurs et ma boite sont un prix trop lourd à payer pour l’échanger
contre du MiTM.
Surveillez les sessions sur un bon vieux proxy CONNECT et vous serez
tranquille.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?

2016-04-26 Par sujet Solarus
Le 26/04/2016 à 16:43, Jérôme Nicolle a écrit :

>
> "Chef, on a plus de place dans 192.168.0.0/16 (dit 'classe C' parce
> qu'ils ne connaissent pas la notation CIDR)" "Bah prends le bloc suivant"
>
> Vu dans plein d'entreprises. Enfin parfois avec des variantes, je me bat
> contre un 11.0.0.0/8 chez un client là.
>
> Business as usual.
Ça s’est déjà vu quand OVH a récupéré des blocs dans le 5.0.0.0/8,
préfixe utilisé par Hamachi pour ses VPN.
Du coup, tous les utilisateurs d’Hamachi n’avaient plus accès à cette
partie du réseau OVH, et ça concernait pas mal de gros serveurs utilisés
par des clients.

Et le pire c’est qu’ils continuent à utiliser en IPv4 des préfixes
publics qui ne leur appartiennent pas comme le 25.0.0.0/8 (UK Ministry
of Defence).
Heureusement qu’en IPv6 ils utilisent le 2620:9B::/48 qui leur
appartient. (manquerait plus que ça :) )

Solarus.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Solarus Lumenor
 

Le 2016-04-13 12:01, Edouard Chamillard a écrit : 

> le sujet c'etait les proxy transparents. CONNECT était hors course au
> premier mail.

Une discussion ça dérive tu sais ? On parlait sécurité des réseaux
business en général.

Et puis la transparence c'est très subjectif.
Parler de transparence en voulant insérer des signatures X.509 forgées,
c'est un contre-sens, c'est plutôt l'opacité totale pour l'utilisateur.
Bref, CONNECT ça fonctionne. 

Solarus 
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Solarus Lumenor
 

Le 2016-04-13 10:56, Edouard Chamillard a écrit : 

> donc la plupart des boites serieuses ont un proxy en MITM, capable de
> lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton
> proxy fait aussi la résolution dns (ce que certains font)).
> effectivement ça méritait de parler de deux types d'équipement.

Pourquoi faire si compliqué ?

La RFC 2817 (qui date de 2000) prévoit que seul le CONNECT doit passer
en HTTP/1.1. Là le proxy peut accepter ou refuser la connexion en
fonction du domaine demandé dans le CONNECT.
En cas d'acceptation le client peut demander un upgrade (passage en
HTTPS) et établir un tunnel TLS directement avec le serveur distant,
tunnel qui n'est pas intercepté et qui permet de conserver
authentification X.509 légitime. 

https://tools.ietf.org/rfc/rfc2817 

5. Upgrade across Proxies

 As a hop-by-hop header, Upgrade is negotiated between each pair of
 HTTP counterparties. If a User Agent sends a request with an Upgrade
 header to a proxy, it is requesting a change to the protocol between
 itself and the proxy, not an end-to-end change.

 Since TLS, in particular, requires end-to-end connectivity to provide
 authentication and prevent man-in-the-middle attacks, this memo
 specifies the CONNECT method to establish a tunnel across proxies.

 Once a tunnel is established, any of the operations in Section 3 can
 be used to establish a TLS connection.

5.2 Requesting a Tunnel with CONNECT

 A CONNECT method requests that a proxy establish a tunnel connection
 on its behalf. The Request-URI portion of the Request-Line is always
 an 'authority' as defined by URI Generic Syntax [2], which is to say
 the host name and port number destination of the requested connection
 separated by a colon:

 CONNECT server.example.com:80 HTTP/1.1
 Host: server.example.com:80

 Other HTTP mechanisms can be used normally with the CONNECT method --
 except end-to-end protocol Upgrade requests, of course, since the
 tunnel must be established first.

 For example, proxy authentication might be used to establish the
 authority to create a tunnel:

 CONNECT server.example.com:80 HTTP/1.1
 Host: server.example.com:80
 Proxy-Authorization: basic aGVsbG86d29ybGQ=

 Like any other pipelined HTTP/1.1 request, data to be tunneled may be
 sent immediately after the blank line. The usual caveats also apply:
 data may be discarded if the eventual response is negative, and the
 connection may be reset with no response if more than one TCP segment
 is outstanding.

 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Solarus Lumenor
 

Le 2016-04-12 17:07, Edouard Chamillard a écrit : 

> sérieux compromettent carrément la session complète sur tout internet au
> lieu de la compromettre en interne sur un seul équipement, et pire,
> rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre
> de gens sérieux ? on est déja trolldi ?

Va falloir m'expliquer comment compromettre une «session complète sur
tout internet» avec simplement un proxy d'entreprise, parce que ça à
l'air intéressant comme faille.
Oui, la plupart des boites sérieuses ont un proxy avec un filtrage sur
les FQDN. 

-Demande de connexion HTTPS au site d'une banque : OK
-Demande de connexion HTTPS à Facebook : KO 

Si tu a le droit d'accéder au site, tu y accède, si le site n'a pas
d'intérêt professionnel ou présente un danger (webmail, fishing etc) ben
tu reçois un joli code HTTP 403 t'interdisant d'y accéder. 
C'est aussi simple que ça et ça permet de protéger le réseau
d'entreprise sans mettre en œuvre de solutions qui ELLES seraient
dangereuses pour la confiance que peuvent avoir les utilisateurs envers
le modèle X.509/TLS au niveau global. 

Au delà de l'aspect technique, je considère à titre personnel et éthique
que toute volonté d'interception (contrairement au blocage) n'a pour but
que d'espionner les salariés et les utilisateurs de manière
disproportionnée.
Et j'attends encore la preuve du contraire. 

Solarus 
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Solarus Lumenor
 

Le 2016-04-12 11:52, Edouard Chamillard a écrit : 

> "on doit jamais MITM une session ssl (web ou non)" c'est un beau
> principe mais ça va être dur a vendre aux entreprises.

Le HTTPS il ne faut pas l'intercepter mais on peut le bloquer à l'aide
d'un proxy ou d'un firewall, c'est ce que font déjà les gens sérieux.
Mais comme tout le monde est déjà équipé des ces deux équipements c'est
moins intéressant pour le chiffre d'affaire des vendeurs de solutions de
sécurité. 

Solarus 

 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Relais SMTP

2016-03-11 Par sujet Solarus Lumenor
 

Le 2016-03-11 10:42, Lacroix, Baptiste a écrit : 

> Je veux faire du propre, je fais du gris et je nettoie le gris foncé et 
> putain c'est laborieux, entre les demandes au produit pour faire évoluer et 
> les clients à qui il faut faire comprendre qu'on les à laissé prendre de 
> mauvaises habitudes...
> 
> Baptiste 
> http://www.frnog.org/ [1]

C'est pas idiot de rappeller que le client au travers du contenu est en
grande partie responsable de la réputation de tes serveurs.
On aura beau mettre du SPF, du DKIM et surveiller les RBL, si ton client
prospecte des emails récupérés n'importe comment ou qu'il n'offre pas
d'opt-out le plus basique, c'est même pas la peine d'aller plus loin. 

Sans parler des newsletters composées uniquement d'images distantes,
avec Spamassassin c'est un classement en spam quasi direct. 

Yes, score=5,019
HTML_IMAGE_ONLY_24=1.282 
HTML_MESSAGE=0.001 
HTML_MIME_NO_HTML_TAG=0.635 
MIME_HEADER_CTYPE_ONLY=1.996 
MIME_HTML_ONLY=1.105

Solarus

 

Links:
--
[1] http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] detection VPN SSL

2016-03-08 Par sujet Solarus Lumenor
 

Le 2016-03-08 09:44, Jocelyn Lagarenne a écrit : 

> Bonjour à tous,
> 
> je me retrouve face à un dilemme. On me demande de proposer une solution
> pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le
> traffic au travers d'un proxy est identique à un traffic https. il est donc
> impossible de le detecter non ? ou est ce que je fais fausse route ?
> Il est techniquement envisageable de casser le https sur les proxys mais ce
> n'est pas une recommandation que j'aime.
> la seul solution que je vois est de détecter les connexions SSL "longue" et
> de vérifier ce qu'elles sont (eliminer les faux positives comme par exemple
> gtalk), mais je ne suis meme pas sure que des logs proxy puissent me donner
> cette information.
> 
> Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas dans
> vos entreprises ?
> 
> d'avance merci de vos retours
> 
> Cordialement,

Les VPN ont un port par défaut qui diffère du port HTTPS, mais
effectivement ils utilisent souvent le TCP/443 pour traverser les proxys
ou pour éviter les QOS non-neutres.Effectivement, il est inconcevable de
casser du HTTPS ou de faire du man in the middle, pour autant il y a des
solutions. 

La première c'est la gestion de parc en interdisant les logiciels de
VPN, mais cela implique d'avoir la main sur tout le parc et sur tous les
équipements qui se connectent.

La seconde c'est de travailles avec un système de blacklist.
Elle consiste à relever les IP jointes en SSL sur le port 443 et à faire
2 vérifications simples.
D'abord un simple reverse de l'IP donne généralement de bonnes infos sur
l'usage de cette IP.
Ensuite avec un telnet sur le port 443 de l'IP en question, on peut voir
si c'est un serveur HTTP au bout ou autre chose. 

La difficulté reste de faire ça à grande échelle ou d'automatiser ça
mais ça me semble la bonne solution. 

Solarus 
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

2016-03-07 Par sujet Solarus
Le 07/03/2016 19:40, Michel Py a écrit :
> Plein de bande passante, et c'est seulement certaines pages qui sont lentes. 
> Je cherche un logiciel qui permettrait d'identifier quels sont les éléments 
> de la page en question qui ralentissent le chargement, combien de requêtes 
> sont envoyées, etc. Gratuit ou abordable de préférence
Ctrl+Maj+K sous Firefox, ça marche pas mal.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] "vous n'avez qu'à activer ipv6"

2016-02-27 Par sujet Solarus


Le 27/02/2016 21:59, christophe.casale...@digital-network.net a écrit :
>
> IPv6 était de la bouze il y a quinze ans, c'est encore de la bouze
> aujourd'hui, et ce sera toujours de la bouze demain... Les plus criminels
> ne sont pas ceux qui ont pondu (vomi ?) ce truc imbitable (rajouter des
> octets pour préserver les IPv4 actuels c'était trop cher..), mais ceux qui
> ont validé ça...
>

IPv4 ou IPv6, de toute façon on a fait le mauvais choix en passant en
TCP/IP, l'avenir du WAN c'est X.25.
http://www.01net.com/actualites/le-protocole-x-25-sest-impose-comme-le-standard-du-wan-103674.html

Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-26 Par sujet Solarus


Le 25/02/2016 12:39, David Ponzone a écrit :
> Personnellement, je ne me mêle pas du business des autres, et je n’ai pas 
> d’avis définitif sur la techno.
L'avis définitif sur la techno c'est que DNSSEC va signer les réponses
depuis la clé racine jusqu'au bout de l'arborescence.
Ainsi toute signature modifiée sera considérée comme invalide et le
résolveur ne te renverra rien.
Le but premier de DNSSEC est donc d'éviter que des requêtes DNS soient
modifiées, incluant notamment ce genre de pratiques.

Même pour un NXDOMAIN il faut que cette inexistence soit signée (ce qui
est prévu par la RFC 7129 - https://tools.ietf.org/html/rfc7129).
Ainsi donc, tout le business model des DNS menteurs se casse la figure
et c'est une bonne nouvelle pour la sécurité globale des Internets.

PS: Je finis toujours par tomber sur un article de M. Bortzmeyer qui
explique les RFC mieux que moi.
http://www.bortzmeyer.org/7129.html

Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [JOBS] recherche Ingénieur réseau / sécurité

2016-02-23 Par sujet Solarus
 

Le 2016-02-23 10:52, FanThomaS a écrit : 

> Et la rémunération, c'est en option ?
> Ah, de nos jours...

Elle est à négocier j'imagine. 

 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation

2016-02-21 Par sujet Solarus


Le 21/02/2016 11:52, David Ponzone a écrit :
> Concernant SFR et son IPv6, as-tu réussi à passer un équipement en IPv6 
> manuelle pour pouvoir l’atteindre de l’extérieur directement en SSH par 
> exemple ?
> J’ai l’impression qu’il y a encore des automatismes/protections cachés.
>
J'y travaille.
Le DHCPv6 et le SLAAC marchent bien mais en effet je n'ai pas encore
trouvé les paramètres pour de l'IPv6 static à l'intérieur du préfixe
(qui lui est bien statique, ouf).
Il y une option DMZ IPv6 pour définir un préfixe ouvert sans contrôle, à
mon avis c'est ça qu'il faut utiliser.
Pour l'instant j'ai réussi à ouvrir le port 25 sur le NAT IPv4 et à
faire retirer l'IP de toutes les blacklist et des PBL. Reste à activer
l'IPv6 sur mon serveur mail.

Solarus




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation

2016-02-21 Par sujet Solarus
Le 19/02/2016 17:46, Yann Pretot a écrit :
> Le fait que tu parles de CGNAT me donne une idée, plutôt que de couper 
> brutalement IPv4, on pourrait le passer en mode dégradé, c'est à dire sur des 
> liens largement sous-dimensionnés qui satureraient et forceraient les content 
> providers à passer à IPv6. 
>
>
A court terme l'idée serait de boycotter les services non disponibles en
IPv6 et surtout de le faire savoir.

Récemment j'ai changé d'accès Internet pour passer chez SFR car eux
proposaient de l'IPv6. Quand mon ancien FAI m'a appelé pour savoir
pourquoi je changeai, je lui ai dit que c'était parce qu'il ne proposait
pas d'IPv6. L’opérateur au téléphone a parfaitement compris de quoi je
parlais puisqu'il n'a pas cherché à me faire revenir chez eux.

Et maintenant que j'ai de l'IPv6 chez moi je peux embêter tous les sites
qui n'y sont pas disponibles, notamment en contactant leurs CM sur Twitter.
En parlant de Twitter, nous sommes beaucoup à être dessus et à
communiquer en IPv4. (sachant que Netflix fonctionne sur AWS en IPv6 ils
n'ont plus aucune excuse).
Et plus que les embêter on peut s'abstenir d'utiliser leur site et leur
faire savoir qu'un concurrent fait mieux.

Un boycott pur et simple des services en IPv4 ne laisse ne laisse
malheureusement que 2 alternatives :
1°) S'autohéberger et développer soi-même des services
2°) Favoriser temporairement les gros fournisseurs de contenu qui sont
accessibles en IPv6 (Google,Facebook, Netflix, etc...)
et je ne parle même pas de tous les services public (Impots, CAF,...)
qui deviennent complètement injoignables.

Il est paradoxal de devoir recentraliser le Net sur quelques gros
acteurs pour arriver à terme à le réouvrir à la diversité grâce à IPv6,
mais celà me semble inévitable.

Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation

2016-02-21 Par sujet Solarus


Le 19/02/2016 17:29, Frederic Dhieux a écrit :
>
>
> Je ne comprends toujours pas qu'en 10 ans qu'on prévoit la pénurie,
> aucun effort n'ait été fait pour préparer la possibilité d'utiliser
> 240.0.0.0/4 un jour. On se retrouve à réfléchir à des trucs compliqués
> alors qu'un bloc "RESERVED Future use" d'il y a 27 ans ne sera jamais
> exploité.
Bonne chance avec tes utilisateurs / client sous Windows.
https://ultrawaves.fr/blog/public/win10-240.png   (capture d'écran
réalisée sous Windows 10)

Solarus



signature.asc
Description: OpenPGP digital signature


Re: [MISC] Re: [FRnOG] Re: [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-21 Par sujet Solarus
 

Le 2015-12-21 09:50, Imad Soltani a écrit : 

> https://twitter.com/staatsgeheim/status/678849497351503872 [1]
> 
> baaah 

L'utilisation d'une ancienne version d'OpenSSL n'est pas forcément un
problème.
Lors de la faille Heartbleed, pas mal de serveurs BSD ou Debian étaient
épargnés car utilisant des versions pas encore touchés par la faille.

En réseau, tant que ça fonctionne, y'a aucune raison de changer un soft
(ou même un matos). 

Cordialement
Solarus 
 

Links:
--
[1] https://twitter.com/staatsgeheim/status/678849497351503872

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] changer un soft/matos qui fonctionne

2015-12-21 Par sujet Solarus
 

Le 2015-12-21 12:55, Sylvain Vallerot a écrit : 

> On 21/12/2015 11:51, Solarus wrote:
> 
>> En réseau, tant que ça fonctionne, y'a aucune raison de changer un soft (ou 
>> même un matos).
> 
> J'ai entendu beaucoup de gens dire ça mais ça me semble être un point de
> vue limité à l'exploitation de réseau quand tout va bien, en mode pèpère.

Je comprends ton point de vue, ça dépends beaucoup de la taille des
parcs à gérer.
Pour ma part tant que c'est un constructeur assez répandu (Cisco,
Juniper, Alcatel,HP,Netasq, etc...) ça ne pose aucun souci. 

Y'a que les Bintec que je mets à la poubelle, car ils sont ingérables
avec leur CLI de l'enfer.
De toute façon, la plupart des clients que je gère sont en leasing, ils
prennent leur parc chez celui qui leur fera le meilleur prix (car c'est
le DAF qui toujours le dernier mot) et ils s'embarquent pour 3 ou 5 ans
avec le même constructeur partout.

On a donc l'homogénéité pour un parc donné mais tous les 3 ans, tout le
boulot de conf est à refaire (avec le risque de panne lié à une
configuration neuve).
Je râle pas ça me donne du boulot, mais c'est pas ma façon de faire,
quand un matos est configuré et fonctionne, seule une augmentation des
besoins devrait justifier un changement de matériel.

Cordialement
Solarus 
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Besoin de quelques IPs suisse pour héberger un site

2015-08-26 Par sujet Solarus


Le 26/08/2015 16:16, Julien OHAYON a écrit :
 Bonjour,


 Un client a besoin d'héberger son site en France mais d'avoir au moins une IP 
 suisse pour le référencement !


 Vous avez une idée pour moi ? un CDN ?

Si ton but est d'avoir un petit frontal avec une IP Suisse, le mieux est
de prendre un VPS là-bas.
Voici une liste exhaustive de fournisseurs de VPS par pays :
https://www.exoticvps.com/

Cordialement
Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-29 Par sujet solarus
 

Le 2015-06-29 15:01, Wallace a écrit : 

 Il me reste des T et des bouchons BNC à la cave ça intéresse quelqu'un qui 
 serait resté dans les années 90?

Rigole, rigole, mais je continue à démonter du matos X.25 / XOT dans les
DAB pour les passer en Full IP. 

Solarus 
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-28 Par sujet Solarus

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
 
Le 25/06/2015 10:09, Stephane Bortzmeyer a écrit :

A décharge de l'auteur, ce genre de restriction codée en dur dans le
code est complètement stupide.

A charge de l'auteur, les plages non-annoncées pourraient être un jour
réaffectées et réutilisées, comme ça avait été le cas avec les adresses
en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN
Hamachi. (rappelez vous le gros bordel que c'était).
Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme.
Je connais quelques grosses boites qui sont en rade d'adresses privées,
mais elles se comptent sur les doigts d'une main.

Quand à IPv6, il arrive par la grande ou la petite porte mais il est
inévitable. On rediscutera de pénurie quand on aura plus assez
d'adresses IPv6 pour déployer Internet sur Pluton.

Solarus.
-BEGIN PGP SIGNATURE-
Version: GnuPG v2
 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=P7Rd
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-28 Par sujet Solarus

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
 
Le 25/06/2015 10:09, Stephane Bortzmeyer a écrit :
  The Future Use range
 (240.0.0.0/8 through 255.0.0.0/8) is a particularly good set of IP
 addresses you might use, because most routers won't route it; however,
 some OSes, such as Windows, won't use it.


A décharge de l'auteur, ce genre de restriction codée en dur dans le
code est complètement stupide.

A charge de l'auteur, les plages non-annoncées pourraient être un jour
réaffectées et réutilisées, comme ça avait été le cas avec les adresses
en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN
Hamachi. (rappelez vous le gros bordel que c'était).
Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme.
Je connais quelques grosses boites qui sont en rade d'adresses privées,
mais elles se comptent sur les doigts d'une main.

Quand à IPv6, il arrive par la grande ou la petite porte mais il est
inévitable. On rediscutera de pénurie quand on aura plus assez
d'adresses IPv6 pour déployer Internet sur Pluton.

Solarus.
-BEGIN PGP SIGNATURE-
Version: GnuPG v2
 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=raxk
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-28 Par sujet solarus
 

Le 2015-06-25 10:09, Stephane Bortzmeyer a écrit : 

 The Future Use range
 (240.0.0.0/8 through 255.0.0.0/8) is a particularly good set of IP
 addresses you might use, because most routers won't route it; however,
 some OSes, such as Windows, won't use it.

A décharge de l'auteur, ce genre de restriction codée en dur dans le
code est complètement stupide.

A charge de l'auteur, les plages non-annoncées pourraient être un jour
réaffectées et réutilisées, comme ça avait été le cas avec les adresses
en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN
Hamachi. (rappelez vous le gros bordel que c'était).
Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme.
Je connais quelques grosses boites qui sont en rade d'adresses privées,
mais elles se comptent sur les doigts d'une main.

Quand à IPv6, il arrive par la grande ou la petite porte mais il est
inévitable. On rediscutera de pénurie quand on aura plus assez
d'adresses IPv6 pour déployer Internet sur Pluton.

Solarus.

A décharge de l'auteur, ce genre de restriction codée en dur dans le
code est complètement stupide.

A charge de l'auteur, les plages non-annoncées pourraient être un jour
réaffectées et réutilisées, comme ça avait été le cas avec les adresses
en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN
Hamachi. (rappelez vous le gros bordel que c'était).
Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme.
Je connais quelques grosses boites qui sont en rade d'adresses privées,
mais elles se comptent sur les doigts d'une main.

Quand à IPv6, il arrive par la grande ou la petite porte mais il est
inévitable. On rediscutera de pénurie quand on aura plus assez
d'adresses IPv6 pour déployer Internet sur Pluton.

Solarus.
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] RE: Couverture total en FO prévue en 2022

2015-02-24 Par sujet Solarus

Le 23/02/2015 18:33, Radu-Adrian Feurdean a écrit :
 On Mon, Feb 23, 2015, at 17:50, Mathieu Husson wrote:
 Ce sera une architecture partagée pour le grand public PON ou RFoG (pour les 
 cablos).
 On parle de 10G PON, voire WDM PON pour augmenter les débits si nécessaires.
 Le P2P restera utilisé , mais pour du service entreprise.
 En 2022 on sera 100% fibres grace a quelques nouvelles technos comme
 FTTNRA (fiber to the noeud de raccordement abonne) et FTTDC (fiber to
 the datacenter).
 Bref, le meme chose qu'aujourd'hui. 

Tu oublies le FTTSMMINPF (Fiber to the street mais mon immeuble n'est
pas fibré).

Solarus




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015

2014-07-29 Par sujet Solarus

Le 2014-07-29 11:13, Jérémy PEREZ a écrit :


Bonjour,

N'y aurait-il pas un conflit d'intérêt dans cette proposition de loi 
http://www.assemblee-nationale.fr/14/dossiers/acceleration_passage_norme_IPv6.asp 
[1]

émise par Mme Laure DE LA RAUDIÈRE, qui , si on en croit sa déclaration
d'intérêts et d'activité cf
http://www.hatvp.fr/files/declarations/de-la-raudiere-laure-dia-depute-28.pdf 
[2]

, est gérante de la société Navigacom SAS Cabinet de conseil en
infrastructures Réseaux et Télécoms.


Vu que le site web de la-dite société n'est pas disponible en IPv6 je 
pense que non. ;)


Solarus

:~$ dig  www.navigacom.com @8.8.8.8

;  DiG 9.6-ESV-R4   www.navigacom.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 21628
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.navigacom.com. IN  

;; AUTHORITY SECTION:
navigacom.com.  1799IN  SOA a.dns.gandi.net. 
hostmaster.gandi.net. 1378899703 10800 3600 604800 10800


;; Query time: 121 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jul 29 11:18:21 2014
;; MSG SIZE  rcvd: 97



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] IPV6 sur cisco 881

2014-06-27 Par sujet Solarus

Le 2014-06-27 09:32, Antoine Durant a écrit :


Bonjour,

Est-ce que le Cisco 881 (CISCO881-SEC-K9) supporte une configuration 
IPV6, et est-ce qu'il y a une version de DHCP/RA pour annoncer le 
préfixe IPV6 sur les postes du lan ?




Les Cisco 87x ne supportaient pas IPv6 il me semble, mais les 88x le 
font sans problème.


Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [FRnOG] [TECH] RFC 7269: NAT64 Deployment Options and Experience

2014-06-22 Par sujet Solarus


Le 20/06/2014 19:15, Guillaume a écrit :

Sauf qu'un jour, il faudra bien y passer à IPv6. Et si personne ne se lance en disant 
aujourd'hui, ça ne me rapporte rien, on repousse toujours plus l'échéance. Et 
quand on n'aura plus une seule IPv4 disponible, même en allant les chercher chez les RIR 
voisins, on sera bien em***dés !


J'attends avec impatience ce moment.
Ce moment ou Microsoft/Google / Facebook seront tellement à court d'IPv4 
que leurs services passeront en IPv6 uniquement.

Là on verra tous les retardataire sauter dans l'Arche pour éviter le Déluge.

Ça va faire des dégâts et ce sera très drôle, une sorte de darwinisme 
technologique.


En attendant, la seule chose à faire est de boycotter les services IPv4 
only.


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] SPF et alias : quelle configuration?

2014-05-05 Par sujet Solarus

Le 02/05/2014 11:40, foss a écrit :
 Par contre, je vois que le champs SPF est le suivant :
 son-domaine.fr. 600 IN TXT v=spf1 include:mx.ovh.com ~all

 Mais, les mails ne proviennent pas de mx.ovh.com.
 Alors certes le ~all n'interdit pas cette situation, mais la déclaration
 est clairement fausse.
Tu as configuré Gmail en créant un simple alias ou alors en ajoutant le
compte chez OVH (avec ses IMAP et ses SMTP) ?
Dans le deuxième cas c'est normal, le mail est sorti par le SMTP d'OVH.

Sois il faut modifier le DNS de ton amie pour mettre les SPF de Google,
soit utiliser les SMTP de Gmail.

Cordialement
Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]

2014-05-05 Par sujet Solarus

Le 05/05/2014 14:39, Emmanuel Thierry a écrit :
 Si la maison mère aux US subit des pressions c'est pas avec tes
 doutes que tu vas lui barrer le passage, AMHA.
 A la différence que le salarié est pénalement responsable s'il effectue 
 certaines opérations strictement interdites par la loi comme, mettons, lire 
 ou transmettre des mails.


L'entreprise française aussi est responsable. Sur le territoire
française, le CPCE (Code des Postes et Communications Électroniques)
s'applique indépendamment du Patriot Act.

Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]

2014-05-05 Par sujet Solarus

Le 05/05/2014 15:58, technicien hahd a écrit :

 Et puis plus subtil, le coup du contrat qui n'est pas un CDI et qui n'est pas 
 renouvelé, ou plus simplement l'employé qui n'est pas juriste et qui ne se 
 pose pas la question de la légalité de ce qu'on lui demande.

Le droit du travail s'applique à tout salarié, y compris en contrat
précaire ou en période d'essai; et les prud'hommes sont là pour eux
aussi (bon faut juste avoir le courage d'attendre 6 mois pour
éventuellement passer en référé).
Quand à la deuxième remarque, Ignorantia iuris neminem excusat (Nul
n'est censé ignorer la loi).

Cordialement.
Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1

2014-04-28 Par sujet Solarus

Le 2014-04-27 10:06, Stephane Bortzmeyer a écrit :

http://www.bortzmeyer.org/7208.html



Auteur(s) du RFC: S. Kitterman (Kitterman Technical Services)

Chemin des normes

[Attention, méchanceté gratuite suit]
Tous les trolls qui avaient refusé de déployer SPF en arguant que le
RFC n'avait que le statut « expérimental » vont-ils changer d'avis et
le déployer, maintenant qu'il est officiellement norme ?

Je ne sais pas ce qui est le pire, ceux qui me déploient pas ou ceux qui 
ne déploient n'importe comment (Cf: la folie du DMARC chez Yahoo). Dans 
le deuxième cas ça met pas mal de monde dans la panade jusqu'au cou.


Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Chiffrement des collectes ethernet

2014-03-28 Par sujet Solarus

Le 2014-03-27 18:28, Jérôme Nicolle a écrit :

Le 27/03/2014 14:02, Solarus a écrit :

C'est certifié par l'ANSSI


Out.



Être certifié par l'ANSSI ne signifie pas avoir une backdoor implantée, 
ça signifie juste qu'ils répondent passivement à un cahier des charges 
établi par l'Agence.
Keepass et Truecypt sont certifiés par l'ANSSI pourtant aux dernières 
nouvelles ils sont absolument sûrs.


Pour en revenir au sujet, un tunnel IPSec ou SSL (OpenVPN) de bout en 
bout est la solution, quelque soit le tuyau au milieu.
Règle numéro 1, ne jamais faire confiance à un chemin que l'on ne 
maitrise pas, que ce soit une collecte Orange ou un wifi public.


Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Chiffrement des collectes ethernet

2014-03-27 Par sujet Solarus

Le 2014-03-27 11:51, Jérôme Nicolle a écrit :



Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée
entre les sites raccordés par l'intermédiaire de ces liens collectés),
on fait quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ?

Tu peux mettre en place des boitiers Mistral qui chiffrent à la volée à 
un bout et l'autre de la liaison. C'est certifié par l'ANSSI et ça 
supporte pas mal de PPS.

Mais Mistral c'est Thalès, faut avoir suffisamment confiance en eux. ;)

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Vendre du service et de la presta IT dans une ambassade

2014-03-20 Par sujet Solarus

Le 20/03/2014 19:22, Jean François Esperet a écrit :
 C'est un territoire français justement.
 JFE

Justement pas.

Contrairement aux idées reçues (et aux films américains) il n'y a pas de
principe d'extraterritorialité pour les ambassades.
En matière pénale comme en matière commercial c'est le droit du pays
hôte (droit local) qui s'applique.

La seule particularité est l'inviolabilité d'une ambassade qui interdit
aux forces de l'ordre du pays hôte d'entrer dans l'ambassade sans
l'accord du chef de mission diplomatique.

Cordialement
Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] HOPUS ?

2014-02-06 Par sujet Solarus

Le 2014-02-06 15:24, Romain DEGEZ a écrit :



SI je comprends bien c'est une sorte de manière de ressusciter le
concept de terminaison d'appel avec un prix régulé entre tous les 
membres.


Qu'en pensez-vous ?


J'en pense que la jurisprudence Orange vers Cogent a fait des petits, et 
que certains voient la dedans un business model juteux.


Plus factuellement, ce modèle fait payer les fournisseurs de contenus, 
notamment vidéo, au profit des FAI. J'aurais pu deviner la liste des 
premiers membres sans la consulter.
Bref, le rêve des ministres français est en train de devenir réalité 
dans e business model. Est-ce que c'est normal, inquiétant, whatever, je 
vous laisse juger.


Je pense que les petits AS n'ont aucun intérêt à s'y aventurer, que les 
fournisseurs de contenus fuiront comme la peste et que les FAI présents 
y resteront seuls, à se regarder dans le blanc des yeux.


Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] HOPUS ?

2014-02-06 Par sujet Solarus

Le 2014-02-06 15:24, Romain DEGEZ a écrit :

J'oublie un point important. BGP étant ce qu'il est, tout le monde va 
annoncer ses routes vers ce ... truc en espérant recevoir du trafic et 
la rémunération qui va avec, mais tout en s'arrangeant pour faire sortir 
son trafic par ailleurs, sur du peering ou du transit moins cher.


C'est comme espérer gagner au loto alors que personne ne joue. C'est ce 
qui fait que ce business model n'est pas viable.


Post scriptum :
 Access ISPs tend to receive more than they send. 

Thank you Captain Obvious, that's the point.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Le troll du vendredi par Michel

2014-02-04 Par sujet Solarus

Le 2014-01-24 15:24, Sylvain Vallerot a écrit :

La vie sur le net est devenue un enfer à cause de l'avidité 
commerciale,

le Web est quasi inutilisable sans filtres contre les pop-up, les pubs,


Le Web ≠ le Net.

En dehors des ports 80 et 443, le Net (IRC, XMPP, SMTP, IMAP) se porte 
plutôt bien.
Je sais que la mode des webmail et autres applis de contenus pour 
smartphone nous a fait oublier que le Net c'est bien plus que le Web, 
mais quand même. ;)


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Le troll du vendredi par Michel

2014-02-04 Par sujet Solarus

Le 2014-02-04 13:23, Nathan delhaye a écrit :

Être obligé de mettre en place des LB sur des IP sortantes sur le 25 
pour

qu'une newsletter soit envoyée parce que Mr Yahoo te filtre a partir de
quelques mail/secondes tout ça pour contrer les vendeurs de viagra...



Niveau protocole y'a rien à faire, le problème est dans les usages.

La newsletter est un usage ancien, qui n'a plus raison d'exister depuis 
la création de RSS.
Pourquoi pousser des milliers de messages d'un coup quand on peut 
laisser les abonnés le réclamer quand ils le souhaitent ?
Une boite mail ça sert à envoyer des messages uniques protégés par le 
secret de la correspondance à un destinaire bien précis, pas des 
prospectus.
Si le fournisseur de mails du client met un stop-pub , tu peux le 
respecter ou t'échiner à refiler ta came en contrebande.


De même pour le web, si on avait pas tué le P2P pour concentrer le 
trafic vidéo sur HTTP, on ne serait pas en train d'entendre pleurer les 
complices de la Hadopi sur l'engorgement de leurs capacités.
Et l'on pourrait également reparler de l'usage des mailing-list comme 
celle-ci alors qu'il existe les newsgroups)


Usage, tout n'est qu'usage c'est pour cela que le Web est effectivement 
plus important qu'IRC pour un opérateur réseau.


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Attaques par amplification NTP

2014-01-16 Par sujet Solarus

Le 2014-01-16 10:42, Jérémy Martin a écrit :


A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur
réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs
pour le port 123 UDP, vous rendrez service à plein de petits réseaux
(80% des AS).

Effectivement, comme pour DNS il faut restreindre l'accès aux serveurs 
NTP, soit par AS ou par préfixe, soit par shapping sur le port 123 si le 
serveur doit rester public.


Same old song.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] IPv6 chez Voo

2013-11-16 Par sujet Solarus
Le 16/11/2013 17:25, Yoann Gini a écrit :
 Depuis, le problème a été débloqué en permettant à la Freebox Revolution de 
 disposer de plusieurs sous-réseau v6. Chaque abonné dispose d’un /61 sur sa 
 ligne (c’est, je trouve, un gâchis d’adresse vu le nombre de gens qui ne se 
 serviront pas de ça).
En 6rd comme avant le 6to4, à chaque IPv4 publique distribuée aux
clients correspond un préfixe IPv6 compris entre /32 et 64.
Dès lors que l'on adopte ce système il ne faut pas avoir peur de
distribuer des plages suffisantes aux client pour rendre IPv6 utilisable
et attractif, plages qui de toute façon seront difficilement routables
vers d'autres clients.

Il y a assez d'IPv6 pour connecter la Terre et Mars. Peut-être que les
vénusiens seront embêtés.
Plus sérieusement, il y a assez d'IPv6 pour ne pas avoir peur d'en
gaspiller. L'important c'est de s'y mettre.

-- 
Solarus - sola...@ultrawaves.fr
Clé GPG - 0x02C29734
N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement 




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Soyez sympas, hébergez un Ancre RIPE Atlas

2013-11-16 Par sujet Solarus
Le 12/11/2013 11:01, Sébastien Lesimple a écrit :
 Je ne dis pas non mais...
 Je pas assez d'ipv4 pour nos clients, on est déjà en train de faire des 
 acrobaties et ca va empirer 
 Et d'autre part nous sommes en plein déploiement en région, donc c'est pas 
 vraiment dans les priorités.
 Alors oui mais pas tout de suite.
 Seb

A voir si l'on peut fournir des amers IPv6 only. ;)

-- 
Solarus - sola...@ultrawaves.fr
Clé GPG - 0x02C29734
N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement 




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Message à l'intention des utilisateurs d'outlook

2013-10-12 Par sujet Solarus
Le 05/10/2013 22:35, Jérémie Bouillon a écrit :
 On 04/10/2013 23:33, Jérôme Nicolle wrote:
 Après quelques investigations (10 minutes de recherche quoi), l'origine
 du problème est identifié : Microsoft Outlook (au moins les versions
 2007 à 2013) ne respectent plus les RFC portant sur la composition d'un
 e-mail, et n'utilisent plus les champs references et in-reply-to.

 Oh, et c'est une découverte pour toi ??

 Continue à enquêter alors, tu vas en trouver des vertes et des pas
 mûres. À commencer par cette habitude des neuneus de répondre avant le
 message cité.
Sans vouloir défendre l'indéfendable top-posting, cette habitude a
surtout été répandu par une poignée de clients et interfaces mails,
Gmail en tête. Les pauvres utilisateurs n'y sont pour pas grand chose,
souvent (pardonnez les) ils ne savent pas ce que font.

Le plus grand fournisseur de mails et connecté en IPv6 n'est pas capable
de respecter la netiquette. C'est triste.

-- 
Solarus - sola...@ultrawaves.fr
Clé GPG - 0x9C5AC79A
N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Le cloud à la française, reloaded

2013-09-26 Par sujet Solarus

Le 2013-09-26 10:42, Stephane Bortzmeyer a écrit :

http://www.leparisien.fr/high-tech/cloud-breton-charge-de-mission-sur-le-pour-la-france-et-l-ue-25-09-2013-3168793.php

« Thierry Breton, ancien ministre de l'Économie, co-pilote avec
OVH.com (hébergeur français) le plan industriel dédié au cloud à la
française »



Je me souviens encore des promesses originelles du cloud, la haute 
disponibilité et la réplication dans le monde entier, c'était des voeux 
pieux. Envolées les belles promesses.


Maintenant on nous sort du cloud à la française, quelle catastrophe.
Encore un label inutile accompagné de subventions justeuses.

Mais juste une question ? Le mec qui promeut le cloud à la française et 
qui utilise un CDN en amérique, c'est toujours du cloud à la française ? 
Parce que sinon bonjour les performances du bouzin à l'international.


Cocorico !
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Incident Réseau SFR

2013-09-13 Par sujet Solarus

Le 2013-09-13 10:42, David MARCIANO a écrit :

Bonjour,

Il y'a depuis 6h00 ce matin un incident sérieux sur le réseau XDSL et
Fibre de chez Sfr, quelqu'un en sait plus svp ?


Et un Vendredi 13 en plus, on va devenir superstitieux chez les telcos. 
;)


Solars


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME

2013-09-10 Par sujet Solarus
Le 10/09/2013 16:30, Florent Rivoire a écrit :
 Je confirme : une Alix 2D13 (attention au modèle pour bien avoir les 3
 ports réseau) avec un pfsense fonctionne bien pour tes critères.
 NB: je n'ai pas (ou presque pas) testé d'autres distribs, donc je pourrai
 pas dire si c'est mieux/moinsBien avec.

Ça à l'air intéressant tout ça.
J'aurais trois petites questions pour ceux qui utilisent pfsense.

Est-il possible de gérer des règles différentes suivantes les IP
publiques derrière le FW ?
Est-ce que ça fait du NAT/PAT avec gestion des ports entrants ?
Et enfin est-ce que ça supporte bien IPv6 ?

Étant donné que ça tourne sous FreeBSD, j'ai tendance à penser que oui,
mais si vous utilisez cette solution là j'aimerais votre avis.

Cordialement
Solarus.




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Chic, des AS privés sur 32 bits

2013-07-29 Par sujet Solarus

Le 2013-07-29 12:50, Stephane Bortzmeyer a écrit :

Je suis sûr que bien des gens ici souffraient de n'avoir que 1 023 AS
privés :-)


Là avec quasiment 95 millions d'AS qui se plaindrait ? ;)


À noter que l'idée même d'avoir des nombres pour usage privé (que ce
soient les numéros d'AS ou d'autres comme les adresses IP) défrise
toujours un certain nombre de gens à l'IETF et que cette minorité
s'était fait entendre dans le débat sur cet élargissement.


Sans entrer dans le débat, le fait de disposer d'AS privés en 32 bits, 
va faciliter les batteries de tests alors même que nous rencontrons 
encore beaucoup d'équipement incompatibles et/où à débugger.


Cordialement,
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Le Marais

2013-07-15 Par sujet Solarus
Le 15/07/2013 16:16, David Ramahefason a écrit :
 Quel second degré ?
 Il est ou ?
 Explique
Sûrement pourras t'il te l'expliquer en privé, hors-liste.

Solarus



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Re: [MISC] Statistiques data mobile et frequences

2013-07-08 Par sujet Solarus

Le 2013-07-08 09:20, Stephane Bortzmeyer a écrit :

On Sat, Jul 06, 2013 at 05:11:39PM +0200,
Laurent GUERBY laur...@guerby.net wrote
a message of 60 lines which said:

Le calcul : 35 000 TB / trimestre

Vu l'augmentation de débit dans les réseaux, il vaut mieux s'habituer
tout de suite aux nouvelles unités. Donc, 35 PB.

--
Le nazi de la métrologie


Un vrai nazi de la métrologie aurait utilisé les préfixes binaires 
normalisés par la CEE soit Tio (tébloctet) et des Pio (pébloctet) 
[troll/]


My 2 cents
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Statistiques data mobile et frequences

2013-07-08 Par sujet Solarus

Le 2013-07-08 18:33, Bertrand Yvain a écrit :

On Mon, Jul 08, 2013 at 06:26:23PM +0200, Solarus wrote:
Un vrai nazi de la métrologie aurait utilisé les préfixes binaires
normalisés par la CEE soit Tio (tébloctet) et des Pio (pébloctet)

Tebioctet et Pebioctet


J'ai eu un doute alors j'ai vérifié sur Wikipedia.
Ça s'écrit bien comme cela en anglais
http://en.wikipedia.org/wiki/Octet_%28computing%29
mais pas en français
http://fr.wikipedia.org/wiki/Octet

Je ne trouve aucune autre occurrence de cette notation francophone. 
Faudrait t'il corriger Wikipedia ?


Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Donner une adresse se terminant par .0 est-il sadique ?

2013-07-03 Par sujet Solarus
Le 03/07/2013 16:30, Stephane Bortzmeyer a écrit :
 Cela se traduit par quelques pertes de connectivité :

 https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal

Certaines versions de Windows, notamment NT4 étaient victime de cela,
Microsoft a reconnu que c'était un bug et a publié des correctifs.
http://support.microsoft.com/kb/241657/fr

Ça me rappelle que Windows interdit les adresses comprises dans 240.0.0.0/4.
Le jour où l'IANA décide qu'elles sont attribuables , il va falloir
encore patcher.

Solarus



smime.p7s
Description: Signature cryptographique S/MIME


Re: [FRnOG] [MISC] Auto hébergement

2013-07-01 Par sujet Solarus
On Mon, 01 Jul 2013 00:24:40 +0200, alarig ala...@swordarmor.fr
wrote:
 Le 30/06/2013 12:00, David CHANIAL a écrit :
 Si ce sont des choses qui ont étés clairement annoncés au préalable (type 
 CGV) je vois pas le problème ?
 Ouais enfin j'ai aussi vu des serveurs coupés parce qu'ils servaient de
 DNS et que des IPs roumaines venaient se connecter dessus. Mais quoi de
 plus normal pour un serveur de nom ?
 
Ben non ce n'est pas normal pour un serveur de nom,c'est un problème de
sécurité. Avoir des IP roumaines qui viennent se connecter sur un AS
d'un FAI français c'est une faille de sécurité.
Jamais de DNS ouvert, pour le bien de l'Internet fermez vos résolveurs.

Ça ne me gène pas plus que de voir un accès shutté pour cause de spam
sur le port 25 à cause d'un botnet.
La neutralité oui, mais laisser la porte ouverte au failles et aux
botnet, non.

Cordialement.
-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Auto hébergement

2013-07-01 Par sujet Solarus
On Mon, 1 Jul 2013 11:46:41 +0200, Stephane Bortzmeyer
bortzme...@nic.fr wrote:

 Bien d'accord mais, dans ce cas précis, le témoignage parlait juste de
 serveur DNS sans préciser si c'étaient des résolveurs ou des
 serveurs faisant autorité. Donc, on ne sait pas assez, avec les infos
 publiées sur FRnog, pour condamner ou pour absoudre.

Mea culpa, on peut effectivement penser aux serveurs d'autorité.
Mais j'ai quand même du mal à imager un SOA derrière une Freebox.

Cordialement.

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Adresses de support Proxad efficientes ?

2013-06-21 Par sujet solarus

Vincent LOUPIEN vincent.loup...@upmf-grenoble.fr a écrit :

Connaissez-vous d'autres adresses web ou de courriels du groupe  
Proxad qui nous permettraient de faire remonter plus efficacement  
cette plainte ?


Trolldi Envoyer une mise en demeure au service juridique pour  
tentative intrusion dans un système informatique (avec accusé de  
réception) /trolldi


Et sinon, techniquement ou administrativement, mise à part des  
filtrages IP, que nous conseilleriez-vous ?


Si l'attaquant oeuvre à partir d'une seule Freebox, on peut soupçonner  
un script kiddy ou un botnet. Le filtre sur l'IP semble alors suffisant.


Cordialement
Solarus




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] SFR passe la fibre à 300Mbps

2013-06-07 Par sujet Solarus
On Fri, 07 Jun 2013 10:38:03 +0200, Eric Masson e...@free.fr wrote:

 Il semble aussi que la connexion soit toujours du ppp, ce qui là encore
 est surprenant, surtout sur un media qui peut transporter des trames
 ethernet de façon native.
 

Tous les opérateurs ont un backbone Ethernet,mais il faut justement
éviter que ce soit le bordel.
Heureusement qu'il y a du PPP par client avec du DHCP, sinon les
backbones GE ressembleraient à des gros MAN avec une couche 2 commune à
tous le monde.

Remarque ça nous rappellerait les début de Numéricable quand tous les
voisins étaient sur la même couche 2 et pouvaient monter des LAN pour
jouer à Counter Strike. [/trolldi]

Cordialement.
-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] trafic shaping sur linux

2013-06-07 Par sujet Solarus

Le 07/06/2013 14:15, Xavier Beaudouin a écrit :
Après sur un Linux (bien tunné avec un bon noyau) tu peux arriver a 
faire du pps. 
Sur une machine Linux, le nombre de pps qu'est capable d'encaisser la 
machine dépend moins du processeur et de la RAM que de la carte réseau 
et son driver.


Sur un chipset pas trop mal documenté et des drivers bien implantés sur 
le noyau, on peut cracher pas mal de pps.
Avec du chipset fermé et du driver en binaires pré-compilés, forcément 
ça marche moins bien.


Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] trafic shaping sur linux

2013-06-07 Par sujet Solarus

Le 07/06/2013 19:42, Antoine Durant a écrit :
En parlant de PPS, comment determiner ou trouver le nombre de PPS sur 
une machine ?

Existe t'il un outil de bench pour sortir le nombre de PPS ??


Je crois que tcpstat peut faire ce genre de mesure.
http://www.frenchfries.net/paul/tcpstat/

Cordialement
Solarus

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] SFR passe la fibre à 300Mbps

2013-06-05 Par sujet Solarus

Le 06/06/2013 00:02, Eric ROLLAND a écrit :

Le 04/06/13 19:10, Solarus a écrit :

SFR fait de l'IPv6 non natif du L2TP sur les DSLAM Cisco pour l'ADSL.

Bonsoir,
C'est pas plutot du Huawei que pose SFR en bordure des NRA ?
A l'intérieur, y a plus de place, Free a tout pris ;-)
Cordialement,
Eric ROLLAND
RÉSEAUX ARTEWAN AS42929 - RE515-RIPE

Pardon j'ai dis DSLAM, mais je voulais dire PE(LNS).
Cisco vantent eux-mêmes la solution de tunnel L2TP sur des ASR1000
http://newsroom.cisco.com/press-release-content?type=webcontentarticleId=358080

Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] SFR passe la fibre à 300Mbps

2013-06-04 Par sujet Solarus

Le 04/06/2013 15:41, Clement Cavadore a écrit :

Le 04/06/2013 15:34, Jimmy Thrasibule a écrit :

Hello,
 (...)
Autre question, 50Mb/s en bande montante c'est déjà pas mal, 100Mb/s ça
serait mieux. Pourquoi les opérateurs rechigne t-il tant à laisser les
utilisateurs fournir leur propres services ?


... Et quid de l'IPv6 ?

SFR fait de l'IPv6 non natif du L2TP sur les DSLAM Cisco pour l'ADSL.
Qui dit fibre dit pas de DSLAM,et il semblerait que SFR ne s'aventure 
pas à router de l'IPv6 en natif sur Ethernet.


Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Sponsoring LIR

2013-05-29 Par sujet Solarus
On Wed, 29 May 2013 10:34:22 +0200, Youssef Ghorbal
youssef.ghor...@gmail.com wrote:

  RIPE NCC nous met la pression avec un ultimatum (remise du numero
 d'AS dans le pool public) et ils refusent meme de nous donner un delai
 supplementaire (ce que je trouve assez surprenant comme attitude de la
 part du RIPE, d'habitude ils sont plus conciliant)

On dirait que le RIPE s'efforce de mettre à jour ses bases, quitte à
employer la manière forte.
C'est peu étonnant qu'ils cherchent à mettre la pression sur les PI
Ipv4, c'est plus étonnant concernant le numéro d'AS.

A moins que l'on soit en pénurie d'AS 16 bits et qu'il faille
distribuer des AS 32 bits ;)

Il y a sur l
-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  1   2   >