Re: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-02-24 Par sujet Xavier Beaudouin
Hello,

> La box zarb était une fritzbox 'pour les pros' dédiée à un FAI du
> Baden-Württemberg. Son degré de tuning était surprenant pour une box de FAI.

Ces box sont aussi livrée au Luxembourg... 
Franchement rien a redire... Fiable, etc... *sauf* pour les besoins de ma 
boite ou... y a pas snmp :( et la possibilité de faire un vpn dessus pour
maintenir les infra derrière 

Pour du Mme Michu, c'est largement mieux que toutes les bouzes machinbox
françaises soutraité par des grosses SSII en mousse made in france... 

Bref du bon matos.
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Starlink de Elon Musk arrive en France !

2021-02-23 Par sujet Xavier Beaudouin
Hello,

> Compte-tenu des filings à la FCC et à l'ITU, le terminal est annoncé tenir
> des porteuses 240msymb/s@64QAM (1440mbit/s brut avant codage) donc le gb
> devrait être possible sans trop trop de soucis en absence de contention et
> par ciel clair (sachant que les premier retour font état de debits
> insensible à la météo, donc la modulation pour le moment doit être assez
> robuste) la ou je serais très curieux c'est si le 10Gb c'est de la comm ou
> s'ils ont un terminal v2 ou encore mieux si le terminal existant est deja
> dimensionné pour faire du multi-porteuse pour monter en débit.

Yeah...

>> Aujourd’hui, en beta, ils ont en gros 100-120 Mb/s en download, 30-60 en
>> upload, et une latence assez faible (25-35 ms), parce que c’est des orbites
>> basses, c’est assez malin.
>>
>> Ils ont promis 1 Gb/s d’ici la fin de l’année, avec des plans pour monte à
>> 10 Gb/s, mais bon, promesse marketing…
>>
>> Les liens lasers entre satellites sont prévus mais pas encore
>> fonctionnels. Techniquement, ça doit être assez marrant de pointer vers ses
>> voisins qui bougent…
>>
>> On parle de $500 pour l’installation, et $100/mois. Très très raisonnable
>> vu que ça ira partout ou le cuivre ou la fibre n’iront probablement jamais.

Vu le prix et ce que paye actuellement pour avoir 14Mbps avec un backup 4G sur 
deux xDSL (pas loin de 98€...) je suis clairement un client potentiel avec les 6
personnes qui vivent sous mon toit...
Parce Losange fibre est sur le poteau devant chez moi, mais aucun ETA pour 
savoir
quand je pourrai enfin avoir du débit...

Parce que la FTTH quand elle arrive, elle prends son temps... TROP de temps...

(et le CELAN a 1k/mois pour un particulier = non...).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Re: SG250-08HP - Retour d'une expérience cauchemardesque.

2021-02-09 Par sujet Xavier Beaudouin
Hello Michel,

> Classique. Job[$-1] me manque; j'avais 2 techos, ils regardaient l'alim, en 3
> secondes ils te disaient lequel des condos était foutu.

L’électronique... mon premier amour :)
 
>> Vu le truc dans l'alim ce n'était pas démontable sans passer 5 heures a tout
>> dessouder.
> 
> Il y a des mecs qui se sont creusé la cervelle à comprendre comment te faire
> perdre 5 heures à changer un condensateur. Le machin qui est tellement chiant 
> à
> ouvrir que tu abandonnes.

Clairement je pense qu'ils avaient vissés les mosfet de puissance AVANT de les 
souder sur le circuit imprimé. Typique du design jetable... :( Ca fait chier
quand même.

>> Encore un alim en mode "low cost" qui n'as pas tenu le choc.
> 
> Les alims "high cost", elles sont mieux ? Tu veux dire celles que le vendeur 
> te
> vends 1000 balles alors qu'elle en vaut 50 ? Un peu comme les optiques, 1000
> balles l'optique vendeur, 50 balles chez fs.com.

Y a low cost et low cost. Parce un condo qui lâche juste a 2 ans avec même pas
50 ou 80W de puissance utilisée sur une alim a 150W... La...

Par exemple j'ai toujours en production chez moi un alimentation Astec provenant
d'un Goupil (je laisse les plus jeune rechercher sur google...) donc ça doit 
faire
plus de 26 ans qu'elle marche et me fait pas chier. Je pense même qu'elle 
tournera
encore facilement 10 ou 15 ans avant que je la range.

Pareil si on prends les alims des Cisco 2500 ou 3500 XL, c'est quasi 
indestructible.

Donc c'est juste une question de design et de tolérance des composants... 
Choisir 
trop juste fait que ça ne tiens longtemps.

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] SG250-08HP - Retour d'une expérience cauchemardesque.

2021-02-09 Par sujet Xavier Beaudouin
Hello,


> Les SG250-10P n'ont aucun soucis en lieu et place.
> 
> Problème surement électrique car milieu indus : Une mauvaise masse ?

>>> 8 d’entre eux mon claqué dans les doigts. Ils ne démarrent que
>>> lorsque qu’ils ne sont connecté à rien. Sympa pour un switch !

Je n'ai pas eu ce coup au démarrage mais au bout  de 2 ans sur un 
EdgeSwitch 16-150W de nos amis Ubiquiti... A priori en fouillant je n'était pas 
le seul...
Puis... j'ai démonté la bête (plus de garanties, OSEF...).

C'était pas ultra visible mais le condo chimique HT était gonflé.
Vu le truc dans l'alim ce n'était pas démontable sans passer 5 heures a tout 
dessouder.
J'ai racheté une alim 48V et le switch refonctionne.

Encore un alim en mode "low cost" qui n'as pas tenu le choc.

Bon s'il sont garantis : DOA, tu fais jouer la garantie et OSEF.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

2021-02-09 Par sujet Xavier Beaudouin
Hello,

> IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans 
> NAT)
> ça ne fait rien pour le PI du pauvre.

Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien... Et même quand j'essaye 
d'en faire avec des ESP12-F / ESP32, la dual stack v6 est quasi inexistante.
Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te 
tiens par les couilles dans un n-ieme cloud, clairement ils ont pas activé 
l'option sur leur IDE Arduino

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent

2021-02-07 Par sujet Xavier Beaudouin
[En résumé]
le nat c'est une chienlit, avoir une ip publique c'est mieux, mais "cay pas 
sécurisay"
[/En résumé]

> Je me demande si ton raisonnement n'est pas ici un poil naïf.
> 
> Tu pars du principe que dans un monde sans NAT, le pare-feu d'une box 
> resterait
> une passoire mais personne ne sait si ce serait vraiment le cas. A l'heure
> actuelle, vu que le NAT permet une sécurité basique, effectivement, les box
> opérateurs ont des pare-feu rudimentaires mais rien ne permets d'affirmer que
> ça aurait été le cas sans NAT en fait.
> 
> Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur
> client soit à poil sur le net auraient peut-être tenter plus des choses niveau
> sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais ton
> raisonnement me paraît un brin simplificateur.

Alors je ne sais pas si Michel ou toi est un poil naïf. 
Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement ce 
qui 
nécessaire d'exposer sur l'internet des méchants. (Je ne parle pas cette 
saloperie
d'UPNP qui a été ultra utilisé par les botnet et autres trucs pour justement 
bypasser 
cette "protection").

Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette 
saloperie de NAT,
et sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette 
entre 4
planches.

Sur les FAI grand public et mobiles on a souvent une IPv6 global unicast, 
mais... il y a
un équipement : la machin box ou un routeur core, qui fait JUSTEMENT la même 
chose que le
NAT : un firewall statefull.

L'un des grands avantages de ce genre de choses c'est que par exemple mon 
préfixe v6 qui 
m'as été donné par mon ISP ne change pas (coucou a certains ISP qui n'ont pas 
compris
que de changer de préfixe IPv6 tous les 24h fait que les gens DÉSACTIVENT 
l'IPv6 chez eux),
je peux donc donner UNE ipv6 correspondant à UNE machine chez moi pour accéder 
a un certain
service (moyennant que l'user ai mis une ipv6 fixe a sa machine).

Donc entre du NAT et un firewall statefull y a aucune différence à part la 
réécriture de source.

Donc non le NAT n'apporte pas de fonctionalités supplémentaire et n'importe que 
ARM avec 4Mo 
de RAM est capable de faire ce truc de base. Donc l'argument les FAI feraient 
autre chose
n'est pas valable.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

2021-01-10 Par sujet Xavier Beaudouin
Hello

>> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me
> convient
>>
>> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence
> planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent
> en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que
> çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel,
> ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné
> : ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec
> du PA, possiblement.
> 
> Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me
> semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le
> EoL, c'est court, et en même temps quand tu vois les progrès entre deux
> gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça
> semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est
> rarement remis en question, sauf niveau prix où là c'est clairement pas à
> portée de tout le monde.

Pour les ASA- (-X) de notre coté, on vas les dégager. Entre l'UI en java 
merdique qui bouffe tous les cores et leur idée géniale de faire 2 objets, un
en IPv4 et un IPv6... on vas s'en passer parce que 
- on doit passer 2G in /out de traffic
- la maintenance coute un bras
- il ne sert pas a un grand chose
- on a décidé de faire de l'open source et ... 2 xeon-d coutent moins cher 
  que un ASA pour faire ce qu'on a envie de faire (du pkt filter only).

> Et que tout le monde n'a pas le débit pour faire remonter l'accès internet
> en central, donc on met en place du split tunneling, parce qu'à 40 sur la
> ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec
> juste une box en déporté, parce que le firewall à 400 balles c'est trop
> cher pour un bureau avec une seule personne et "ça fait des économies",
> alors la même, pas de split tunneling, rien que de la navigation locale
> derrière une box opérateur pas sécure, faut bien apporter un minimum sur le
> poste de travail.

Autrement un poste de travail en "deporté" eg : citrix par exemple permet
justement de limiter l'effet de bord de poste de travail verolé ET ne pas 
avoir besoin d'un Tbps pour gérer le traffic.

> Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve
> plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au
> niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir
> ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de
> la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que
> tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est
> plus suffisante.

Ça c'est la rançon de la gloire d'avoir intercepté le traffic légitime des 
usager... C'est bien domage, car un proxy cache était assez pratique pour 
ne pas charger 1000 fois jquery et whatever... Bon Decentraleyes aide déjà
pas mal ... Mais c'est une question d'envie perso / politik de la boite.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] N3K-C3064PQ-10GX 40Gbps vPC

2021-01-10 Par sujet Xavier Beaudouin
Hello,

>> en 40 Gbps (hardware profile 48x10G+4x40G). Au bout d’un certain temps nous
>> remarquons que les deux
>> châssis ne remontent plus de variable environnement (power, fan etc..) et ne
>> répond plus en SNMP.
> 
> Jamais fait de vPC et pas tenté. A part çà c'est un switch populaire en broke,
> j'en ai plusieurs dans cette config 48x10G+4x40G avec du etherchannel 2x40G
> monochassis et aucun problème.

Il y a temps certain, sur du N7k en vPC et virtual chassis j'avais remarqué que 
le 
CPU en mousse n'arrivais pas a gérer les snmpbulk avec 1000 ports... Ou...  que 
la ram / temps cpu aloué au process snmpd sur le linux embarqué avais un peu des
problèmes...

Perso j'évite les vPC sauf si c'est ABSOLUMENT indispensable et les utiliser en 
switch
basic avec de l'etherchannel -> bullet proof. KISS est la règle.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Bretagne Telecom change de nom

2021-01-05 Par sujet Xavier Beaudouin
Le dossier ! le dossier ! :)

> On a eu des idées plus insolentes mais le service juridique a dit non 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Revendeur câble RJ45 au métre

2021-01-04 Par sujet Xavier Beaudouin
Il y a des connecteurs SC/UPC (ou même SC/APC) qui sont a visser qui font assez 
bien le travail.

Oui c'est moins chouppi qu'un beau connecteur bien fait, mais ça marche.

- Mail original -
> De: "Raphael Mazelier" 
> À: "frnog" 
> Envoyé: Lundi 4 Janvier 2021 12:20:43
> Objet: Re: [FRnOG] [BIZ] Revendeur câble RJ45 au métre

>> Sans pousser à la consommation (à la maison je reste au cuivre et au wifi), 
>> çà
>> devient plus que raisonnable :
>> Switch 8 ports GE plus 2 ports SFP+ 10G : cent balles
>> https://mikrotik.com/product/css610_8g_2s_in
>>
>> SFP+ 10G : 16 balles
>> https://www.fs.com/fr/products/74668.html?attribute=106
>>
>> Jarretière 10G fibre 2m : 4 balles
>> Plus long : 1 € le mètre
>> https://www.fs.com/fr/products/40220.html
>>
> Pas de problème coté équipement, SFP. C'est plus que je ne peux pas
> faire passer une jarretière dans mes fourreaux (encore que je pourrais
> essayer) et que je n'ai pas le matos pour faire les connecteurs.
> 
> --
> 
> Raphael Mazelier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DF reset

2020-12-16 Par sujet Xavier Beaudouin


>> 
>> Nous sommes dans l'ère de QUIC et des autres choses où l'on réimplémente
>> quasiment tout dans UDP avec comme exemple mosh (https://mosh.org/).
>> 
>> 
> 
> va expliquer ca a certains RSSI qui trouvent intelligent de bloquer UDP
> dans le firewall de bordure, because "reasons"

Idem avec la bêtise persistantes de RSSI qui ont les mêmes réflexes 
de bloquer ICMP parce que bon "cay dangereux".
Résultat on passes des heures a régler de problèmes de MTU alors pMTUd 
permettrait plus ou moins d'arrêter de nous les briser, et pire quand
on essaye de savoir ou ça bloque dans les 2 chaines de sous-traitance,
on peux dire juste "ça merde après nous mais pas chez nous".

Ca et le NAT et le proxy arp qu'on voit encore... 

Bref :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Brouilleur téléphones mobiles

2020-12-08 Par sujet Xavier Beaudouin



> On peut aussi demander aux gens de laisser leurs téléphones en dehors de la
> salle :)
> 
> #VeryLowTech

Le tout dans une boite en métal de gâteaux breton bien connus 
#veryverylowtech :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Téléphone Cisco CP-7821-K9 v04 avec Livebox Pro V4

2020-11-17 Par sujet Xavier Beaudouin
Hello Vincent,

> 1) Est-ce que quelqu'un saurait me dire si c'est possible ?

Non et encore moins avec Orange.

> 2) Si jamais ce n'était pas le cas, est ce qu'une autre solution est possible 
> ?

Heu... 
Un convertisseur RJ11 -> VOIP -> Asterisk sur un RPI -> Ton Cisco.


Orange, comme TOUS LES AUTRES (même celui qui avais tout compris), ne 
fournissent pas d'accès téléphonie VOIP. Ca serait quand même bien qu'un accès 
SIP soit possible au minimum depuis les IP publiques de leur box. Parce que 
bon, en 2020, ne pas fournir de service VOIP sur une offre internet triple-play 
(voire plus), ça commence a bien faire.
Surtout que bon passer par un câble analogique pour re-numériser du signal, 
c'est bien gentil, mais ça fait .
Pourquoi:
- yet another machin qui tourne pour faire ce travail
- ca fait baisser la qualité (pas extraordinaire) de la téléphonie
- le format RJ11 / analogique est standard, le proto SIP l'est aussi -> même 
service
- accessoirement trouver un fournisseur SIP correct et permettant les mêmes 
choses que celui de sa ligne "téléphonique" standard ne courre pas dans les 
rues avec "acheter mon SIP"

Bref ça ferais du bien.

Ok c'est un marché de niche mais c'est un plus indéniable.

Dernier: une dedicace "relou" a Orange qui a poussé des avocats a supprimer le 
code (github je crois?) d'une "methode proxy sip" sur leurs lignes... Pour des 
pretextes fallacieux comme d'hab. Et aussi une autre dedicace pour la 
disparition du service SIP chez un opérateur qui avais tout compris.


Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Localication d'adresses IP

2020-08-17 Par sujet Xavier Beaudouin
Hello,


> Nous avons récupérer des pools IPv4 l'année dernière.
> Ces pools étaient utilisé dans une autre pays avant nous.
> 
> Le problème est qu'aujourd'hui certaines bases semble toujours voir ces IP
> à l'étranger alors qu'elles sont bien déclarées sur le RIPE en France.
> D'autre bases, elles, voient bien mes IP en France.
> 
> Avez-vous déjà rencontré le cas?
> Merci à tous pour votre aide :)

Le mieux est de faire le tours des bases type geoip et de forcer la mise a jour.
Accessoirement contacter les services qui font  avec la geoloc d'ip 
de mettre leur base a jour...

Des fois les 2 sont utiles... 

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] problème de flash avec ubiquity ES16-XG

2020-07-24 Par sujet Xavier Beaudouin
Salut Michel :

https://labs.f-secure.com/publications/the-fake-cisco/

Bonne lecture (et on voit parfaitement que les gars qui l'ont contrefait sont 
allé très loin...).

> Un lien ? çà ne m'étonnerait pas venant de Cisco. Je n'ai jamais vu de Cisco
> contrefait, ceci dit. A part les optiques, et c'était que vaguement 
> contrefait,
> c'était des génériques genre fs.com codées Cisco sur lesquelles un petit malin
> a collé une étiquette ressemblant à du Cisco et un packaging ressemblant à du
> Cisco. Ils ont du se faire des c... en or s'ils les ont revendues au prix 
> Cisco
> distribution.
> 
> Michel.

https://labs.f-secure.com/publications/the-fake-cisco/

Bonne lecture (et on voit parfaitement que les gars qui l'ont contrefait sont 
allé très loin...).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] problème de flash avec ubiquity ES16-XG

2020-07-23 Par sujet Xavier Beaudouin
Récemment je suis tombé sur un article de reverse engineering de cisco 
contrefait...

Tellement bien fait... que c'est chaud.

Le symptôme : tu upgrade et le machin fait plonk... ca va pas le faire...

/xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Vente PDU Metered EATON

2020-07-22 Par sujet Xavier Beaudouin
Si Pierre Alexandre pourrais me contacter en privé, car à priori mon mail est 
considéré comme spam chez eux... 

Merci. 

> De: "support net" 
> À: "frnog-biz" 
> Envoyé: Mercredi 22 Juillet 2020 12:19:52
> Objet: [FRnOG] [BIZ] Vente PDU Metered EATON

> Bonjour à tous,

> Suite à une erreur de commande, nous revendons 2 PDU de la marque EATON
> référence EMIB03 (ePDU Metered 0U In: C14 10A 1P - Out: 16xC13)

> [
> http://powerquality.eaton.fr/ePDU-EMIB03.aspx?cx=80=645A93C5-636F-48B7-ACCC-01DED905AB17
> |
> http://powerquality.eaton.fr/ePDU-EMIB03.aspx?cx=80=645A93C5-636F-48B7-ACCC-01DED905AB17
> ]

> Si vous êtes intéressé, n’hésitez pas à me le faire savoir.

> Cordialement,

> --

> Pierre-Alexandre CAQUINEAU
> Support Réseaux, Télécom, Sécurité

> 9 Ter route de Saint Germain
> 78640 VILLIERS SAINT FREDERIC
> TɌ : +33 (0) 130 791 616 (choix 4)
> Fax : +33 (0) 130 819 286
> [ mailto:support@numlog.fr | support@numlog.fr ]
> [ http://www.numlog.fr/ | www.numlog.fr ]
> S écur isez vos éch anges de données et vos communications

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH]problème de flash avec ubiquity ES16-XG

2020-07-22 Par sujet Xavier Beaudouin
Hello,

> Pour l'histoire j'ai des US-24/48 POE chez des clients (dont certains
> depuis 2016) et rien à signaler.
> A contrario, j'ai 2 US-16-150 qui m'ont lâchés récemment coup sur coup en
> l'espace de 2 semaines (et installés tous les 2 en 2017). Un qui ne
> s'allume même plus et le second on entend les ventilos se mettre en route
> et le voyant U qui s'allume en blanc mais ça s'arrête là (pas de boot).
> 
> Faudrait que je prennes un peu de temps pour les désosser et voir si je
> trouve la même panne sur les 2.

D'après les forum les version 1, 2 et 3 des us-16 ont ce pb.
Les US24/48 n'auraient pas ce pb, alim plus puissantes ou de meilleur facteur.
Normalement remplacer par de Meanwell corrigent ce pb (il y a qu'à voir 
la différence de circuit entre la Meanwell et l'original... c'est flagrant).

:) Bref...
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH]problème de flash avec ubiquity ES16-XG

2020-07-22 Par sujet Xavier Beaudouin
Hello,

Dans le même genre et de la même marque les ES-16-150W, dont l'alim crame 
(condo electrolytique) juste après 2 ans...
Sauf si tu n'as pas trop utilisé de POE+ (eg les 56/57V) que sur quelques ports.

Obligé de commander une alim sur Ali Express car la version MeanWell n'est plus 
fabriquée...

Donc comme ma boite en acheté pas mal... on vas avoir dans quelques temps un 
certain nombre de morts.

Comme dirais un pote, "c'est pas cher mais on sait pourquoi" (il se 
reconnaitra). :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Charte informatique et sobriété énergétique

2020-07-09 Par sujet Xavier Beaudouin
Hello,

>> Si c'est écologique (sauver la planète), l'objectif final (et réel) est en
>> fait d'émettre moins de gaz à effet de serre (CO2, etc).
>> 
> 
> Ca me parait un peu court de vue.

On parle pour du court terme. A long terme : arrêter de dépenser de l'énergie
pour rien comme se déplacer pour aller au bureau, pour travailler a distance.
Ou balancer des objets qui ne marchent plus (eg prévu pour ne pas marcher ou 
dépendant d'une infra tier - coucou les clowds - qui s'est arrêtée parce que le
machin n'était pas rentable, exemple : Karotz...)...
Ou prendre 3 petits camions (permis "B") pour bypasser les limitation des 38T, 
chose très en vague dans l'est de la France avec des plaques "PL"... 
Je pourrais même dire la même chose des transports routier qui font Espagne - 
France 
- Belgique - Hollande alors qu'il existe des rails, plus efficace en terme
de CO2...
Mais bon l'idéal serait de plus consommer localement, sans passer par les 
distributeur, chose que s'est développée lors du Covid, en espérant que ça 
continue.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Choix de routeur en 2020

2020-07-07 Par sujet Xavier Beaudouin
Hello,

>> Le 7 juil. 2020 à 07:23, Xavier Beaudouin  a écrit :
>> 
>> Pour moi c'est vraiment un truc qui m'as arrêté sur les choix (ça et le
>> call-home,
>> nommé "smart licensing" qui est une bombe a retardement pour une infra).
>> 
> 
> Faut juste pas le mettre à jour en IOS 17, comme je l’ai dit tantôt :)

Tout a fait, mais bon un jour ils vont nous faire le coup de la mise a jour 
obligatoire
en IOS 17 genre avec un tout nouveau modèle de cartes qu'ils distribuent...

Exemple avec l'IOS-XR 64Bits obligatoire alors que le 32Bit sur un vrai OS RT 
(eg pas
un linux...) qui ne pouvais pas marcher sur certaines cartes.

Cisco est le spécialiste des coups bas sur ses équipements. Exemple j'ai un 
asr1001 (non -X)
dans ma cave ou a priori l'EFI/rommon est fracassée, il me faudrait le .bin du 
rommon pour
pouvoir le remettre en marche, mais ça ne se trouve pas.

Dommage, il pourris, le spare est impossible a trouver sans le reste du 
chassis. Ca fait chier.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Choix de routeur en 2020

2020-07-06 Par sujet Xavier Beaudouin
Hello,

> Je tape l'incruste en sous-fid. sur les ASR1000 (1001X & co ?), on peux
> s'attendre à quoi en capa de routage "réel" (pas le truc théorique ou
> licence hein...) si vous avez des retours. Pas en routeur de transit,
> mais plus de type aggravation (-louche sur C2E & co- du bon vieux
> MPLS/QinQ/shape/etc rien de trop exotique au pire un des ASR serait RS
> secondaire). Oui par chez nous ils regardent surtout que du Cisco sur
> des trucs du genre (bon d'un autre coté pas un mal...)

Là ou je bosse (Luxembourg), Cisco a des tarifs... hum... pas cool (je
ne vais pas détailler... mais bon), même refurb officiel cisco.
Chez des brokers c'est mieux mais il reste le coté épineux de laisser
la maintenance chez notre partenaire cisco après.

A un tel point que le MX204 deviens très vite très abordable...

Alors un ASR1001-X c'est bien pour un LNS (a mon avis) pour la capa de routage
même avec la license 20G, bah... voila... t'as 20G même avec 3 interfaces 10G...

Pour moi c'est vraiment un truc qui m'as arrêté sur les choix (ça et le 
call-home,
nommé "smart licensing" qui est une bombe a retardement pour une infra).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Bouygues Telecom 4GBox : mettre la SIM dans le CPE de mon choix ?

2020-07-03 Par sujet Xavier Beaudouin
Alors quand j'ai essayé La 4GBox de Bouygues :
- la SIM peux tourner sur un autre CPE (avec des résultats "variables" en bon 
ou en mauvais)
- le quota / fair use était de 200G (ils ne l'ont jamais dit clairement... 
visiblement le flou artistique est usuel)...
Après en user experience... moyen... tres moyen.
Une sim Free 4G est mieux de mon propre test.

- Mail original -
> De: "Toussaint OTTAVI" 
> À: "frnog" 
> Envoyé: Vendredi 3 Juillet 2020 21:22:37
> Objet: [FRnOG] [TECH] Bouygues Telecom 4GBox : mettre la SIM dans le CPE de 
> mon choix ?

> Bonsoir la liste,
> 
> - Quelqu'un sait-il  si on peut mettre la carte SIM d'une 4GBox Bouygues
> Telecom dans un CPE autre ?
> - Quid du quota ? Rien n'est précisé, est-ce "illimité" ? Y a t-il un
> "Fair Use" ?
> 
> Et en question subsidiaire :
> Pour de la data seulement, quelle est la différence entre un forfait
> "Clef 4G 60 Go" à 42.99 € et un forfait "B 100 Go" à 16.99 € ?
> J'essaye de faire une règle de trois, mais çà marche pas :-)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Choix de routeur en 2020

2020-07-03 Par sujet Xavier Beaudouin
Hello,


>>> Je ne sais pas quel est son état d'avancement dans FRR. Quelqu'un l'utilise
>>> aujourd'hui ?

>> Là dessus je me pose exactement la même question, parce bon OSPF ca marche 
>> (des
>> fois
>> mais IS-IS c'est bien sympa...).

> De mon côté, je n'ai pas eu de soucis avec OSPF en IPv4 sur FRR, c'est la 
> partie
> IPv6 qui pose problème.
> C'est dommage pour l'adoption de IPv6 et de FRR !

Bah tiens ça me rappelles mes coups de fatigues (pour rester correct) avec les
Edge Router pour les même raisons : ospfv3 = pas sec.

> En attendant voici la méthode pour "réparer" le problème quand il se produit 
> sur
> FRR:
> $ sudo pkill ospf6d

> => watchfrr le relance automatiquement. C'est un tantinet brutal, mais au 
> moins
> ça refonctionne.

Mouais... bah c'est quand même moyen d'avoir un IGP qui fasse des siennes et
qu'on se retrouve avec des blackholes temporaire dans un réseau dual stack. 
Sachant
que bon l'IPv6 même si majoritairement est décoratif, sert quand même un peu.

> Concernant IS-IS, je n'ai pas essayé car j'avoue être plus habitué à OSPF.
> Je m'étais dit que j'allais peut-être remplacer OSPF par IS-IS sur nos Nexus
> 9300, ce sera une bonne occasion pour regarder de plus près le protocole :-)

Pour l'IS-IS j'ai eu un excellent collègue qui m'as mis ça dans les pattes et
j'avoue que j'aime bien son fonctionnement *surtout* en dual stack car dans
ce cas on quelque chose d'homogène entre ipv4 et ipv6, qu'on a difficilement 
avec 
ospf et ospfv3 (même si ce dernier en théorie pourrait aussi s’occuper du 
v4...).
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Choix de routeur en 2020

2020-07-03 Par sujet Xavier Beaudouin
Hello,

> Quitte à proposer l'utilisation d'un autre protocole de routage autant
> conseiller IS-IS non ?

+1 (surtout qu'il est indépendant d'ipv6/ipv4) 

> Je ne sais pas quel est son état d'avancement dans FRR. Quelqu'un l'utilise
> aujourd'hui ?

Là dessus je me pose exactement la même question, parce bon OSPF ca marche (des 
fois
mais IS-IS c'est bien sympa...).

Si y des personnes qui ont des retour d'expérience la dessus...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Recherche (petit) switch PoE pour usage non pro

2020-06-15 Par sujet Xavier Beaudouin
Hello,

> Merci pour le conseil.
> Effectivement, l'aspect "extended operational temperature range" peut s'avérer
> intéressante.

> WS-8-150-AC semble matcher tes besoins (7 ports je pense, 4 camera, 2 PC
> et 1 uplink)

Intéressant, car j'ai aussi le même projet... Mais je ne vois pas sur le PDF du
site l'extended operational temperature range...

Car quand il fait 35~38°C dehors je suis pas sûr que dans les combles il ne 
fasse pas > 55°C...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Contact Free

2020-06-10 Par sujet Xavier Beaudouin
Hello,

> Chez Free, Orange, Bouygues, SFR, il y a une politique générale : "Si ce
> n'est pas notre fibre, on ne propose pas le service". C'est pour cela
> que les communautés de communes, métropoles et autres proposent la fibre
> via des opérateurs "alternatifs". Il faut vous renseigner sur qui pose
> la fibre.

Du coté de Nicolas, et vu que c'est le 54, c'est Losange Fibre... Donc le CG54.
Il faut être patient (je le suis : 2 abo xDSL + backup 4G, pour 7 personnes 
...),
mais je comprends LARGEMENT son impatience parce que vu où il est, à part le 
CELAN
de l'agrume ou les 4G box ... y a que dalle... Et quand on a plus que 8Mbps il 
faut
être content...

La lenteur du déploiement dû a la complexité du passage des fibres et de 
l'infra PM 
qui se met en place, fait que ... 2 ou 3 ans  c'est LOOONG. D'autant 
plus
que à coté, au Luxembourg, les débits < 30Mbps (pour de nouvelles lignes) sont
quasi inexistant, et plus rien n'est déployé en cuivre.

Donc vivement que Losange Fibre déploie, et que ça soit actif car on a besoin...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [FRnOG] [MISC] Fibre optique, antennes, pylônes... L’inquiétante hausse des actes de vandalisme

2020-05-23 Par sujet Xavier Beaudouin
Hello,

>> C'est une révolution...
>> Vais en parler à ma femme!
> 
> Dans une autre vie, j'interviens chez un client. Son PC est contre son
> lit. La box sur le PC au niveau de l'oreiller. J'arrive à le convaincre
> de mettre tout ce merdier dans une autre pièce. Le client me rappelle
> quelques jours plus tard en me disant qu'il a retrouvé le sommeil.
> 
> Alors ça pouvait être le rayonnement de l'alim à découpage de la box, le
> 2.4 à donf à 30 cm de la tronche (fameux ça), le rayonnement de tout le
> merdier via les boîtiers metalliques à cause d'une mauvaise terre, etc.

Hum... Je pense surtout que le bruit des ventilateurs (quels qu'ils soient 
"silencieux" ou pas) émets suffisamment de vibrations pour perturber le 
sommeil.
 
Après les émissions électromagnétiques ne sont pas négligeables non plus...

D'ailleurs, je suis tjrs O_o quand je vois les mini pc sans connection a la 
terre malgré le blindage plus ou moins bien réussit... (Spoiler, si le wifi 
n'as pas d'antenne extérieure, alors... le blindage est plus ou moins merdique).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] [Bricolage] Cherche gens qui ont un ASR1001 a benner.

2020-05-11 Par sujet Xavier Beaudouin
Hello,

J'ai dans ma cave un ASR1001-1U de récup... Qui fait bien le boucan au niveau 
des ventilateurs, mais... Qui as une erreur bien connue "Fpga load not 
complete".

Dans ce monde il y a deux type des gens, ceux qui s'en foutent et qui balancent 
le matériels, et ceux qui ont le temps de jouer.

A mon avis, c'est peut-être la Rommon qui est fracassée... Sauf qu'on la 
retrouve en .pkg (proprio cisco) et donc je peux pas la mettre sur l'USB pour 
tenter de booter dessus et la reflasher.

Après avoir démonté la bête il me semble que la carte 16-3613-01 "serait" 
peut-être cette bootrom / rommon. Evidement cette carte ne peux pas être 
revendue dans les canal officiels sans le reste du châssis, donc je cherche 
autrement :)
Si quelqu'un veux se débarrasser d'un ASR qui a flambé : chaleur / orage / 
inondation, je serait intéressé pour récup cette carte :)

N'hésitez pas à me faire un coucou :)
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE

2020-05-11 Par sujet Xavier Beaudouin
Hello Michel et la liste..

> Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute façon. 
> Il
> y a 20 ans, quand je croyais encore à IPv6, il y avait un vague consensus que
> faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en sommes
> aujourd'hui, écrit par Monsieur IPv6 lui-même :
> https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet
> Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types de NAT
> différents, dont aucun ne marche ?

Parce que reproduire le NAT c'est essayer de se rassurer des techniques 
largement
déployées partout et que les nouveau "ops" n'ont vu que ça.
Certains font partie des dinos, qui avaient en réseau interne et sans firewall 
dans
les années 90 leur réseau interne et a poil sur le net.
Ca fait science fiction ? bah oui les firewall n'existaient a peine, ssh était 
a 
ses début et les seules protections étaient ... les ACL sur un cisco 2500 (quand
on les mettais).

[...]

>> Pierre Emeriaud a écrit :
>> Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a plus 
>> de
>> nat, on va tous se faire pirater.
> 
> Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P
> 
> Ceci étant dit, et même si çà fait des lustres que çà ne fait plus 
> grand-chose,
> NAT continue à emmerder la vie de tout le monde, bien ou mal. Impossible de
> faire sans, et en fait le pare-feu "diode" que NAT procure à toutes ces
> merdasses IoT qui ont du code écrit avec les pieds, c'est pas si pire. La
> caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté IPv6
> directement accessible de l'extérieur, çà me fait carrément peur.

Ah ce putain de firewall diode... Heureusement qu'on ne charge pas le accu 
lithium
qu'avec une diode, sinon on en aurais des VE qui exploseraient a 250KVA de 
charge...

(Juste pour donner une idée de la betise du NAT).

> Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que la même
> merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé.

Idem, mon IOT est dans un vlan ipv4 only, avec pas de sortie autorisée sauf 
quelques
devices prévu avec des bonne ACL (par exemple j'ai un peu relouté netatmo pour 
avoir
la liste des ips de leur cloud).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [ALERT] RE: [FRnOG] Re: [ALERT] Coupures câbles dans le sud de Paris

2020-05-06 Par sujet Xavier Beaudouin
Hello,

> La liste des DC's étant facilement accessible et publique il est donc
> facile de voir les chambres aux alentours et de faire opérer la magie de la
> pince monseigneur.
> En france, de mon expérience, les chambres ne sont pas sécurisées et non
> monitorees et chacun fait un peu ce qu'il veut...

Là vu le type de coupure et la taille du câble ça sent la disqueuse li-ion.

Quand à la sécurisation des chambres, c'est effectivement un gros problème, 
n'importe qui est capable de soulever ces tampons en fonte (ou béton) si on
n'as pas le dos pété.
Sécuriser... wokay, bonne idée, mais si c'est aussi bien fait et entretenu
que nos pauvres PM avec une clef triangle on aura la même chose que ce qu'on
voit sur DPLR ...
Sans compter le coût de changer tout ces tampons.

On pouvais compter sur les gens et le leur étique au début, là on a tellement
d'intervenant que de la malveillance intentionnelle ou non (cas de câbles
squateurs / non réf dégagés) devient tellement courant que le réseau en bave.

Par contre chambre sécurisée ou non... une grosse malveillance comme celle
dont on parle sera toujours possible si on est très motivé.

Courage a nos confrères qui soudent et réparent ce gros bordel...
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - Il a Free, il a pas tout compris

2020-04-30 Par sujet Xavier Beaudouin
Hello,

> IPv6 n’est pas vraiment un sujet, il est aussi bloqué en entrée chez Orange et
> Bouygues en 4G…

On est pas sortit de l'ornière... DMVPN a encore de beaux jours devant lui 
donc...

:(
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] - Il a Free, il a pas tout compris

2020-04-30 Par sujet Xavier Beaudouin
Hello,

> Effectivement, il sera impossible de "taper" directement sur l'IP
> publique à cause du CG-NAT.

(...)
> Tailscale[1].

(...)
> Je sais que tout le monde n'est pas unanime sur WireGuard, mais


On est pas vendredi mais comme demain on est le 1er mai férié, alors
c'est tout comme.
J'ai regardé ces solutions pour passer a travers ces saloperies de
NAT... Et franchement je me suis quand même dit que bon... 
Qu'est-ce qu'on se fait  avec ces truc legacy Parce
les solutions d’André (Legacy), commencent a devenir lourd de 
merdiers, work around, tout ça pour réussir a faire fonctionner
ce qui est la base de l'IP : y a pas d’émetteur dédiés, y a pas 
de récepteur dédié.
Mais bon c'est pas non plus comme si un truc existais depuis 2000
qui s'appelle IPv6... Hein?



Plus sérieusement at work(tm) [ok en remote], on a passé en dual
stack 38 sites wifi avec "un peu de monde" en dual stack... 

Principalement des clients "grand public"... Le constat est clair
comme de l'eau de roche, nous avons donc actuellement : un peu moins de 
2/3 de notre traffic est passé en IPv6... Le reste est en IPv4 (sites
pas encore migrés, ou applications d'André (Legacy) qui sont restés
aux anciens protocoles parce que IPv6 ça fait peur.
Accessoirement bah... les 2/3 de traffic IPv6 ne passent plus à travers 
le NAT, donc ca fait baisser l'utilisation CPU pour des conneries ...

Donc a blague a part... migrez en IPv6... Même orange sur 4G l'as fait...

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Stack de logs / netflow

2020-04-28 Par sujet Xavier Beaudouin
Hello,

>> Sachant d'ES ne sais pas tirer partie de bécanes avec +64Go de RAM (JVM
>> heap toussa) t'es parti sur au moins 5/7 bécanes
>>
> 
> Les dernières versions d'ES sont capables d'utiliser plus de RAM: une
> grande partie des données ont été sortie du heap JVM pour passer sur du
> memory mapping. Ca permet entre autres de s'affranchir de la "limite" de la
> JVM liée à la compression de pointeurs qui fait qu'au delà de 32Go de heap
> on est souvent perdant en espace utile, les pointeurs n'étant plus
> compressés, ainsi que de limiter les problèmes de freezes liés au garbage
> collector.
> La contention sur ES est plus au niveau du CPU, dont l'utilisation est
> assez linéaire par rapport à la quantité de données indexées.


Je ne sais pas si je suis devenu un vieux con aigri ou rétrograde, mais quand
je vois des discussion ou on parle de 5/7 becannes avec +64Go de RAM pour 
stocker
de métriques qui seront rarement utilisées a plus d'un trimestre je suis assez 
dubitatif de la débauche de jus, de place en DC et de consommation de silicium
plutôt peu optimisées...
Surtout que entre ES / Cassandra et ses amis, ont quand même un language plus
que peu efficace en gestion de ram, gc(), et de concurrence CPU.

Okay rrdtool ne permet pas d'avoir des stats journalières précises a plus d'un 
mois mais donnent largement ce qu'il faut pour avoir des métriques d'utilisation
d'une plateforme.

Après il y a des trucs qui scalent plus que d'autres, mais un rrdcached sur du
zfs avec lz4 + un peu de ram (et sauvés a coup de zfs send/receive) suffisent
largement a mon goût et est TRÈS facilement scalable pour s'en prendre plein 
la tronche avec bcp moins de machines et de CPU.

Après je ne parles pas des navigateurs qui explosent quand on demande des stats
sur 50 machine d'un coup consolidées via Grafana 

Alors pourquoi utiliser un machin en java qui est un OS sur un autre OS alors 
qu'on pourrais utiliser des API normales d'un OS (oui la libc... / libthread).

Pour faire un parallèle : nginx vs apache voila ce que j'en pense (hormis
les problèmes de licences et de FUD liées au modele de dev).


/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] recherche IP

2020-04-19 Par sujet Xavier Beaudouin
Salut,

> Nous sommes à la recherche d'achat d' IP pour un /22 ou plus.
> 
> Si vous avez des contacts je suis preneur.

T'as essayé les broker sur le ripe ? 
https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/brokers 
?

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch 100 Gbits/s low latency.

2020-04-10 Par sujet Xavier Beaudouin
Salut Michel,

> Par curiosité, est-ce que tu pourrais nous décrire, dans des termes vagues 
> pour
> les idiots de la finance comme moi,
> - Le produit qui est acheté ou vendu.
> - Est-ce que le temps de réaction faible est nécessaire pour l'achat, la 
> vente,
> ou les deux ?
> - Est-ce que tu est dans une sorte de course a l'armement avec tes 
> concurrents,
> c-à-d que si tu mets un switch qui a 400ns et que tes concurents ont du 300ns,
> rien que pour jouer tu dois mettre du 300ns aussi ?

Quand j'ai bossé dans une boite de la finance, c'est effectivement le cas. Y a 
des
gens qui s'amusaient a fondre leur propres puces pour avoir l'algo le plus 
rapide
mais aussi des espace d’hébergement ou tu payes plus cher ton hébergement par 
rapport
à la longueur de fibre entre le "marché" et ... ta baie... (et pas le jus ou le 
nombre
de U).
 
> Pour en arriver au point de gratter la nanoseconde en mettant du DAC au lieu 
> de
> la fibre, faut que le processus de décision soit vachement optimisé.

Vu que c'est une question de pognon t'inquiète pas... ils en mettent sur la 
table 
pour gagner des nS...

A bientôt,
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Devis Observium

2020-04-09 Par sujet Xavier Beaudouin
Hello,

> Faut dire qu'il y a des techs qui devraient faire autre chose que de
> l'informatique ou du réseau, mais quand même je trouve que le support
> vendeur/éditeur, c'est très loin de ce que c'était autrefois, et que c'est
> principalement pour essayer de gagner plus sur le dos du client. Etre la vache
> à lait, çà commence à me courir sur le paletot; on livre du produit bogué
> jusqu'au trognon pour obliger le client à acheter le support.

Je suis assez d'accord avec toi... On a 2 routeurs de la marque avec des 
licensing a la con (ils
se reconnaitrons) qui nous sert de redirecteur massif pour des captive 
portal

Il sont en prod depuis... ~2016, et régulièrement ils se plantent :
- avant tous les mois,
- puis actuellement environ tous les 180 jours...

Avec quoi comme symptômes : l'input queue se remplie d'une interface mais 
n'arrive pas la vider...

Résulat... bah... c'est assez simple plus rien de marche... pourtant on paye un 
support, on les
as relouté pendant des mois... Las des ces emmerdes, on a une cron qui reboot 
l'équipement tous
les 2 mois... (raz le bol).

Ce qui est sûr, c'est que lorsqu'on voudra le changer, et bien on vas plutôt 
bosser sur comment
le faire avec de l'opensource que de se faire chier a 20k€ par équipement + les 
2k€/an de support
technique hardware et software ...

Il y a un moment, prendre les gens pour des vaches a lait, ca ne passe plus.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] L'étrange licensing des ASR1001X

2020-04-08 Par sujet Xavier Beaudouin
Salut,

Je n'ai pas "formellement" la réponse, mais il me semble... (encore que...) si 
license 20G alors tu peux utiliser les ports 10G...quand j'avais utilisé par 
mégarde ces ports, la license 20G s'était mise en test periode.
Mais comme nous aussi on veux passer au 10G (et bon mettre un 3eme port 10G 
pour ne faire que 20G en tout... bref...)... on s'est rencardé, et clairement 
la politique tarifaire de cisco avec leurs licenses a la noix commence a être 
soulant... parce que au prix ou il vendent leur machins, autant prendre un 
juniper mx204... au moins on nous casse pas les pieds avec des licenses pour 
utiliser un port...

Personnellement trop de marketing en mousse tue les produits, et si je veux 
bien payer pour du hardware, le coup de la license 20G qui coute le même prix 
que le matos bien remisé, ça me fait quelque peu vomir.

Xavier

- Mail original -
> De: "David Ponzone" 
> À: "frnog-misc" 
> Envoyé: Mercredi 8 Avril 2020 09:20:51
> Objet: [FRnOG] [MISC] L'étrange licensing des ASR1001X

> Des jours que j’essaie de trouver une réponse (officielle) à cette question:
> 
> Un ASR1001X avec la licence 20G a-t-il obligatoirement la licence pour les 2
> ports 10G built-in ?
> 
> Ce que je sais:
> -s’il est passé par un upgrade XGbps -> 20Gbps, la licence pour les 2 ports 
> 10G
> built-in vient avec
> 
> Ce que je sais pas:
> -il semble exister un bundle ASR1001X-20G-K9, et on me suggère que celui-ci
> n’inclut pas les 2 ports 10G
> 
> Effectivement, quand je regarde le doc:
> 
> https://www.andovercg.com/datasheets/cisco-asr-1000-series-aggregation-services-routers-guide-c07-731639.pdf
> 
> 
> Pour l'ASR1001X-20G-K9, je ne vois pas qu’il inclut les 2 ports 10G mais il
> semble ne pas inclure la licence 20G non plus (si on compare avec
> ASR1002X-20G-K9 un peu plus bas).
> D’ailleurs, les packs ASR1001X-20G-K9, ASR1001X-10G-K9, et ASR1001X-5G-K9
> semblent contenir la même chose, ces packs seraient donc bidons.
> 
> Si quelqu’un peut éclaircir ça, parce qu’il y a comme un truc sérieusement
> pourri au royaume de Cisco (faudrait peut-être arrêter de sous-traiter aussi 
> le
> marketing produit).
> 
> Merci
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] SLAAC / HSRPv2 / Cisco...

2020-04-07 Par sujet Xavier Beaudouin
Hello David,

> T’as vérifié la doc ? :)
> 
> https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp_fhrp/configuration/15-sy/fhp-15-sy-book/ip6-fhrp-hsrp.html#reference_205FD55A1B644AA3A8770FB7FA0989DB

J'avais RTFM, mais j'avais point vu celle-là :)

A priori c'est automagic :D

Merci pour le pointeur :) (bon je fais donc tester).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] SLAAC / HSRPv2 / Cisco...

2020-04-07 Par sujet Xavier Beaudouin
Hello la liste,

 
Comme parmi d'autres je suis confiné, je vide la queue des trucs en retad a
défaut de casser du réseau pour enlarge your bandwith :p
 
Dans ma TODO il y a : mettre des reseaux 801.1X en IPv6 ... (du wifi).

Or j'aimerais pas trop me fatiguer et faire du SLAAC avec option "coucou le dns
c'est là".

Si je suis capable de faire ça sur une interface dédiée sur un machin redondant
avec du HSRP V2 c'est une autre question.

rtr1
interface GigabitEthernet0/0/2.17
 description cust1
 encapsulation dot1Q 17
 ip address 192.0.2.253 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 standby version 2
 standby 1 ip 192.0.2.254
 standby 1 priority 110
 standby 1 preempt
 standby 2 ipv6 2001:db8:f00::/64
 standby 2 priority 90
 standby 2 preempt
 ntp disable
 ipv6 address 2001:db8:f00::FFFE/64
 no ipv6 redirects


rtr2
interface GigabitEthernet0/0/2.17
 description cust1
 encapsulation dot1Q 17
 ip address 192.0.2.252 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 standby version 2
 standby 1 ip 192.0.2.254
 standby 1 priority 90
 standby 1 preempt
 standby 2 ipv6 2001:db8:f00::/64
 standby 2 priority 110
 standby 2 preempt
 ntp disable
 ipv6 address 2001:db8:f00::FFFD/64
 no ipv6 redirects
 
Dans ce cas les 2 cisco blancent leur RA en même temps... Mais.. hum... est-ce
qu'il n'y pas moyen de faire que les RA soit dépendent du state de l'HSSRP ve
2?
 
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] bande passante mondiale à l'heure du Covid-19

2020-03-27 Par sujet Xavier Beaudouin
Salut David,

> Je crois qu’Orange flippe tellement ou ont tellement flippé, qu’ils ont 
> diffusé
> ça sur leur site:
> 
> https://bienvivreledigital.orange.fr/vie-perso/les-gestes-simples-pour-optimiser-sa-connexion-durant-le-confinement/
> 
> 
> Je me demande si Microsoft va avoir l’intelligence de ne pas sortir une mise à
> jour pendant la durée du confinement, ce qui pour eux serait une performance 
> :)

Y a Apple qui a sortit quelques mise a jour cette semaine... XCode / iOS / OS 
X... Bon y a pas bcp de pomme mais les mise a jour se comptent en Go :)

:)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Double connexion internet

2020-03-02 Par sujet Xavier Beaudouin
Salut,


Pour ma part je prends un cisco qui vas bien (897VA par exemple) et je fait des 
VRF lite + du routage via GRE sur un routeur (ou 2) dans un DC. Avec de l'OSPF 
(ou l'IS-IS) + un maximum path adéquat on obtiens bien :
- une vrai redondance de lien
- un vrai load balancing

Voila :)
/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Modem VDSL petit/qui marche ??

2020-02-28 Par sujet Xavier Beaudouin
Personnellement je conseille un Cisco 897VA en refurb (ca se trouve dans toutes 
les bonnes crêmeries de refurb) avec la cerise sur le gâteau y a un port GE / 
SFP en rab qui te permettra de faire FTTH si tu es un jour éligible... voire 
meme si tu es riche (tm) avoir une FTTH sur le port Gi8 et un backup xDSL sur 
le port xDSL. (pas chez le même opérateur bien évidement).

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [BIZ] Recherche maintenance software Cisco ?

2020-02-10 Par sujet Xavier Beaudouin
Hello,

La boite pour laquelle je bosse recherche des boites qui sont capable de faire 
de la maintenance LOGICIELLE pour Cisco (pas le hardware, on fait du gray 
market on a du stock).

Avez-vous de bon contacts a me donner.

Détail important (avant que les commerciaux se lâchent) : on est au Luxembourg 
(le pays pas le jardin)... 

Merci.
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Une loi va bientôt obliger les opérateurs à nous protéger du démarchage téléphonique... Ou pas

2020-02-09 Par sujet Xavier Beaudouin
Hello

(...)

> Je me demande en quoi cela va dissuader les sociétés étrangères de continuer à
> faire du démarchage téléphonique :-\


En rien du tout... 


Bon ceci dit, je cherche un truc pour faire carte sim -> SIP pour je puisse 
lancer un 
bot asterisk pour qu'il fasse un capcha téléphonique assez simple.

Comme ça les call center en mousse seront simplement redirigé vers /dev/null.

J'en suis arrivé là car franchement en un mois j'ai eu 10 appels a la con, tous 
signalés
bien évidement, mais j'en ai juste marre.

Limite mon numéro luxembourgeois, je n'ai AUCUN démarchage, là c'est la plaie.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] RE: [FRnOG ][TECH] Cisco comme server console

2020-01-28 Par sujet Xavier Beaudouin
Hello :)

J'ai très souvent (trop?) utilisé des AS2511RJ (j'en ai encore un dans ma 
cave)... Quasi indestructible... 

Bon par contre c'est du telnet io 20XX avec XX numero du port serie... C'est 
sale mais ça m'as souvent aidé :)

Xavier

- Mail original -
> De: "Sébastien 65" 
> À: "Michel Py" , "frnog" 
> Envoyé: Mardi 28 Janvier 2020 13:18:00
> Objet: [FRnOG] RE: [FRnOG ][TECH] Cisco comme server console

> Salut Michel,
> 
> Merci pour ton retour !
> 
> Le 2600 semble pas mal, ensuite est-ce qu'il y a une grosse différence entre 
> une
> HWIC et NM mis à part le format ?
> 
> Il existe aussi le 2511-RJ qui permet de s'affranchir des connecteurs
> ocatl-async mais l'inconvénient est qu'il ne dispose pas d'un port LAN RJ45...
> Il me semble qu'il existe des adaptateurs AUI>RJ45 mais cela reste pas top...
> 
> Sébastien
> 
> 
> De : frnog-requ...@frnog.org  de la part de Michel Py
> 
> Envoyé : dimanche 26 janvier 2020 13:22
> À : frnog@frnog.org 
> Objet : [FRnOG] [FRnOG ][TECH] Cisco comme server console
> 
>> Quelqu'un a écrit :
>> Salut Michel,
>> Je reviens vers toi car j'avais vu passer sur Frnog une discussion (je ne là
>> retrouve pas...)
>> concernant ton idée d'utiliser un CISCO en tant que serveur de port console.
>> Peux tu STP m'en dire un peu plus sur le modèle et utilisation/configuration 
>> ?
>> Je cherche une solution pas chère pour un OOB simple afin de connecter 4 
>> ports
>> console pour commencer.
> 
> Demande en privé mais je poste sur la liste car çà revient régulièrement.
> 
> Routeur : 2600 ou 2800, à condition qu'il y ait soit du WIC / HWIC et/ou du 
> NM.
> Si les RU sont pas cher, autant prendre un routeur 2U.
> 
> Ports série : il y a une pléthore d'options :
> NM-4A/S
> NM-8A/S
> NM-16A/S
> NM-16A
> NM-32A
> HWIC-8A
> HWIC-16A
> WIC-2A/S
> 
> Attention piège à con : il y a au moins 4 types de connecteurs différents. Ne
> pas oublier qu'il faut des câbles, aussi; certains des câbles valent la peau
> des fesses.
> Perso je fais du NM-16A ou du NM-32A avec CAB-OCTAL-ASYNC, meilleur rapport
> qualité/prix AMHA, mais étudier les autres option.
> HWIC-8A ou HWIC-16A avec CAB-HD8-ASYNC çà devrait marcher aussi.
> Ne pas hésiter à acheter les câbles Made in China, même si c'est de la merde 
> en
> boite, à 9600 baud çà passe.
> 
> Attention piège à con 2 : vérifier la compatibilité du WIC ou NM avec le 
> routeur
> choisi. Les HWIC çà rentre pas partout.
> 
> Switch Ethernet intégré au routeur (bien pratique pour avoir SNMP OOB sans 
> être
> sur le réseau de prod)
> Là aussi il y a une pléthore d'options :
> WIC-4ESW
> HWIC-4ESW
> HWIC-4ESW-POE
> HWIC-D-9ESW-POE
> NM-16ESW
> NMD36-ESW
> 
> Là aussi vérifier la compatibilité avec le routeur, les doubles WICs et les
> doubles NM çà rentre pas partout.
> 
> Re-post de ce que j'avais écrit plut tot dessous.
> 
> Michel.
> 
>> Thomas FAGART a écrit :
>> Quels sont vos conseils ?
> 
> - Résolution du nouvel an : se remuer le c. pour mettre en OOB ce qui ne l'est
> pas. Hélas c'est un de ces yàkàs qui ont souvent quelque chose de plus urgent 
> à
> faire.
> 
> - Comme tout le monde : réseau OOB _complètement_ séparé de la prod. 
> S'arranger
> avec un collègue pour se fournir l'accès OOB et vice-versa.
> 
> - Mieux que le switch basique dédié au management, mettre une double-WIC ou un
> NM qui sert de switch dans le termserver.
> 
> - Si le machin n'a pas de port management dédié, mettre l'OOB dans un VRF 
> dédié.
> 
> - Dans tous les cas, avoir un terminal server qui va sur les ports console.
> C'est bien pratique de pouvoir regarder le boot. Cà bouffe 1U, mais un vieux
> 2600 avec x ports série çà fait très bien l'affaire. En fait çà bouffe 0 U, 
> car
> on peut mettre le switch dedans.
> 
> - Changer l'escape-character pour autre chose que ctrl-^. On veut garder le
> ctrl-^ pour l'équipement connecté.
> 
> - Activer le break dans la session. C'est bien pratique de pouvoir envoyer un
> break pour aller en rommon changer le confreg.
> 
> - Documenter dans la config du termserver quel port est connecté sur quoi.
> 
> Michel.
> 
> banner motd ^C
>     2065 N3K-3064 SW2
> /  termserver   /|
> +++
>/  Cisco 265112.1(5)T8  /o/ | 2057 7206VXR   
> R10 | 2049
>|
>   /   / /  | 2058 
>   | 2050
>   |
>   // //  /o/   | 2059 
>   | 2051   |
> /// //  / /| 2060 
>   | 2052
> |
>/  // ///o/ | 2061 
>   | 2053
>|
>   /   ..::..::.   / /  | 2062 
>   | 2054
>   |
>

Re: [FRnOG] [TECH] CPE qui vas bien...

2020-01-10 Par sujet Xavier Beaudouin
Hello,

> C'est plus le père noël qu'il te faut, c'est directement le petit Jésus
> à ce stade ...

Ahah
 
> Plus sérieusement : tu as du Cisco qui passe ton cahier des charges
> actuellement ? Y compris la thune ?

Actuellement j'ai du Cisco 881 qui fait ça (sauf peut-être le PPPoE).

> Sinon, si tu enleves IS-IS, ca s'appelle Mikrotik avec RouterOS
> bugfix-only. Mais c'est de la pièce d'usure quoi.

Bon... Le pb c'est que ces machins sont EoL, je sais que c'est Cisco et
que c'est a peu près fiable, mais un jour ca va cramer et ca ne vas
pas passer les 100MBps. (Déjà si on arrive aux 50Mbps on sera assez 
content).

Je n'utilise pas de routage dynamique mais j'aimerais l'avoir, comme
ça sur mon nms : if session up -> no pb; else wtf call un ami. :p

Donc l'idée c'est de trouver un machin qui remplace cette bouze sans me 
casser les pieds (et oui pourquoi pas du cisco, mais c'est faisable
sans tuer un 38t de poulets ca serait mieux pour la planète).

Après j'ai essayé avec les Edgerouter, mais comme le vpls (ou equivalent
a été bien rangé dans /dev/null sur le version 2.x) sans compter les bugs.
Donc on vas donc oublier ça, et accessoirement ca m'as réfroidit avec 
les krotiks aussi...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] CPE qui vas bien...

2020-01-10 Par sujet Xavier Beaudouin
Hello la liste,

Bonne année toussa, mais comme je crois au père noel et que certains d'entre 
vous sont sympa, voici ce
que j'aimerais avoir sur mon bureau pour 2020 :)

Je cherche un CPE pas trop onéreux (eg < 1000€) qui sait faire :

- pppoe client (bah wai, avec des ONT, là où je suis j'en ai besoin)
- de l'ipv4 + ipv6
- du routage dynmique : ospf/ospfv3/is-is
- des vrf lite
- des tunnels GRE ou ipip... bref avec une vrf
- qui ne soit pas un goret en conso
- qui soit capable de se prendre 1Gbps de traffic avec tout ça d'activer SANS 
monter en CPU.
- qui soit fiable
- qui a snmp
- pas de machin avec du clowd dedans...

M'en fou un peu de la marque, mais j'ai besoin d'un machin que je pose et qui 
me fasse plus chier après,
c'est a dire :
- pas d'upgrade firmware qui fait perdre des routes / morceaux de conf (coucou 
Ubiquiti et ses ER)
- pas de CLI en mousse digne d'un base de registration windows 95

Bref, a force de chercher il ne reste presque plus que Cisco, ca me fait chier, 
mais là je commence
a me perdre dans la gamme a tiroir, dignes des options d'une BMW (cher et pas 
toujours correspondant
a ce que je veux).

Donc à part du DIY, je commence a sécher car a part du c2600 (mais je reste en 
fastethernet -> out)
je commence a désespérer dans le desert des emmerdes ...

Avez vos de bonne idées qui permet de répondre a cette question existentielle 
que me pourris la vie.

Merci :p
(et bonne année)
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] C'est moi ou Le troll du dredi est mal en point?

2019-12-22 Par sujet Xavier Beaudouin


> les véhicules autonomes devront se débrouiller tout seul dans l'espace public
> (comme maintenant). Et aussi collaborer directement entre eux, surtout avec 
> des
> futurs protocoles inter-véhicule en vue directe pour mieux anticiper.

Hum... "futurs protocoles inter-véhicules" ? /me retourne rire dans son coin...

Parce que quand même, il y a plus de 10 ans (20?) qu'on parle de machins qui 
permettrons
aux vehicules de causer ensemble et a part un poc il y a un temps plus que 
certain, rien 
de nouveau sous le soleil

(comprendre que tant que les fabriquants voudrons se sortir le doigt du c.l il 
n'y auras
jamais de ce type de science fiction en vrai).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Amendement parlementaire sur la mesure de l'empreinte carbone

2019-12-13 Par sujet Xavier Beaudouin
Hello Stéphane,


> http://www.assemblee-nationale.fr/dyn/15/amendements/2454/AN/2529
> 
> Cet amendement vise à informer les consommateurs de la quantité de données
> consommées dans le cadre de la fourniture d’accès au réseau, et l’équivalent 
> de
> leurs émissions de gaz à effet de serre correspondant, selon une méthodologie
> définie par l'ADEME, afin de mieux prendre en compte l'impact du numérique sur
> l'environnement.

Wookay, donc il vas falloir mettre de l'ip accounting sur des truc sans 
accounting
exemple FTTH / xDSL juste pour savoir quel est l'impact sur la production de CO2
avec une méthodologie yolo (parce que bon d'un instant a l'autre l’emission GeS 
pour 
la même destination n'est pas la même).
Sans compter que de joindre une ip localisée en Chine (coucou les call home des 
certains
truc chinois), ou en France n'as pas le même coût en Ges que de faire un coucou
sur un site hébergé chez OVH...

Bref, tout ça pour faire une usine a gaz qui va consommer encore plus que 
personne
ne lis ou presque (sérieux vous lisez les conso estimés en GES de vos trajets en
transports en commun ? moi non ... d'façon faut que j'aille vers la destination
en question... point barre.).


Par contre un truc important aurait été l'indication en GES des voyages des nos 
amis
les politiciens, et faire des stats sur une une année pour voir si ça augmente 
ou pas
avec des pénalités dans le cas où ça augmente... Ça c'est utile...


/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-11 Par sujet Xavier Beaudouin
Hello David,

J'y connais rien mikrotik mais...

> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse avec
> des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y
> comprends rien, et j’essaie pas de jouer avec.

Je pense que ça viens du fait que VxLAN peux être transmit en multicast et vu 
que 
certains trucs sont en train de l'implem par défaut, ca joue dans tous les sens.

Après quand on ne sais pas comment mcast joue on y touche pas (ou on demande a 
des personnes qui savent)...

Courage car bcp de device se font exploser le CPU avec du mcast (surtout le 
Dense Mode...aka je bourrine et je flode)...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RPKI / ROA maxLength

2019-12-11 Par sujet Xavier Beaudouin
Hello,

> Quelqu'un a un avis sur maxLength des ROA ? Je pense au cas ou tu aurais
> quand même un hijack quelque part et tu veux annoncer un more specific
> pour mitiger l'impact.
> 
> Vu que ROA = AS + Prefix + maxLength, est ce que si j'ai une /16 et que
> je mets maxLength à /24 c'est pas bien ?
> 
> Je vois partout dans la littérature que c'est mieux de faire l'exact
> match, mais vu que bon RPKI / ROA+ROV c'est pas demain pour tout le
> monde (malheureusement), je pose la question des annonces de more
> specific quand quelqu'un fait n'importe quoi et que ca t'impacte, et
> qu'il te reste plus que propager un more specific pour mitiger l'impact
> sur tes Tier 1 qui droppent pas les RPKI invalid :p
> 
> Un ou des avis éclairés ?

De mon avis et si jamais tu as un reseau assez complexe ET que en cas 
d'urgence tu penses a avoir a désagréger le maxlength a /24 est bien...
Car les tier 1 qui valident le font pas en live mais avec "un peu de 
délais" qui peux varier de... plusieurs heures a plusieurs jours.

Je sais désagréger c'est le mal mais des fois t'as pas le choix.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Ransom + DDoS

2019-12-10 Par sujet Xavier Beaudouin
Hello,

>>> Un client vient de recevoir une demande de rançon menaçant une attaque DDoS 
>>> le
>>> 11/12 à défaut de paiement d'une rançon en BTC + triplement chaque jour.
>> C'est du pipeau. Si c'était sérieux, il y aurait des références sérieuses ;-)
>> Il va malheureusement bien se trouver un abruti qui va payer :-(
> 
> J'ai déjà vu une vrai rançon. Ça n'a rien à voir.
> 
> Déjà, il envoi un coup de semence ( pour tester et être convaincant ).

Déjà eu des coup de semence avec une tentative de demande de rançon...

> Ensuite, il te montre clairement que c'est eux avec graph, timestamp
> précis, rapport de style uptimerobots etc...

Mais pas eu ces graph ni timestamps. Donc surement qqn qui a eu une 1h
de DDoS As A Service en cadeau mais pas le pognon pour faire qq chose de plus 
violent.

> Mais bon, même dans ce cas, payer la rançon n'est pas la chose à faire.

C'est effectivement pas une bonne idée de payer la rançon.

> Conseil : essaye de chiffrer la perte que peut engendrer une telle
> attaque, de faire un bon rapport sur les conséquences et autre et
> utilise le pour débloquer ou augmenter le budget sécurité réseau ou ton
> devis.

Oui ou prévoir un plan B. CDN pour les frontal webs par exemple, ou
du DDoS protection chez tes transitaires... BGP Flowspec ou des ACL 
permettant que la merde s'écrase sur tes ports EDGE avant que ca atteigne
le coeur... (exemple : rate limit icmp / ou autre traffic différent que
ton applicatif visé. Par exemple sur les ips de tes NS : qui les port 53
udp/tcp et icmp - rate limité - est utile en ingress).

> Cas concret : sur le blackmarket, un ddos de plusieurs 10 Gbs de 5
> minutes c'est 5 €. Quel perte cette attaque peut avoir comme effet sur
> le chiffre d'affaire, la réputation et le fonctionnement de
> l'entreprise. A faire aussi sur une heure ( ~ 30€ ) ou la journée.

:)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Meraki... première et dernière...

2019-11-19 Par sujet Xavier Beaudouin


>> Attention à ne pas confondre les produits Extreme d'origine, et les
>> produits Aerohive récemment achetés par Extreme dont parle Jérôme :)
>> Idem, on a de l'Aerohive pour plusieurs centaines de bornes dans quelques
>> dizaines de sites à l'international : quelques galères de gestion de parc
>> de temps à autre (mais moins qu'avec d'autres solutions je trouve) mais pas
>> de soucis radio à constater. Le prix est assez cher pour le coup, mais le
>> produit vaut le coup et l'interface d'admin est plutôt top !

Effectivement, ceci est peut-être la raison que les produits d'"origine" Extreme
soient un peu délaissés par eux... 
En espérant qu'on nous fasse pas le coup du EOL (aka démerdes toi) sur ces
produits.
 
> Et pas de frais de licence annuel pour accéder au cloud chez Aerohive non ?
> Et coté garantie, c’est combien de temps ?

Et sans le cloud ça marche aussi ? (/me n'aime pas les machins a cloud).

Xavoer


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Meraki... première et dernière...

2019-11-19 Par sujet Xavier Beaudouin
Hello Jérome,

> personne n'a parlé d'aerohive ou maintenant extreme network. Cela fait 8
> ans que l'on vit avec et pour nos besoins nous en sommes trés content (250
> Ap's sur +/- 80 000m2). Si besoin je peux être plus explicite sur demande.
> 
> https://www.extremenetworks.com/products/extremewireless/

Well nous aussi on vis avec ce genre de choses, depuis un temps certain ou 
ça appelais Enterasys ...

On a pas loin 450+ AP connectés sur 2 EWC en "cluster".

Globalement ça marche assez bien. A part des bugs assez mystiques et une 
interface
web datant de 10 ans en arrière un peu brain damaged.
Quelques bugs aux upgrade (hint : faire un tech dump complet AVANT et APRES 
l'upgrade
et après les corrections des bugs via l'interface pour envoyer des baffes au
support), des fonctions magique qui devraient marcher, mais en fait non 
(l'upgrade
de firmware via leur systeme de tunnel par exemple, dans ces cas de multiples 
SSID).

Des choses qui ont évolués, l'abandon du mdp par defaut du constructeur en SSH 


Des choses qui manque :
- 802.1X en dual stack -> bah non... les vns n'ont pas l'option pour y coller 
un ipv6...(wtf)
- une interface un peu moins conne

Des choses bien :
- le tunneling du traffic L2 vers le controleur, pratique en cas de multisites

Par rapport a WLC cisco :
- le prix... c'est moins cher ET on peux prendre des switch POE standard pour 
les antennes

Ceci dit, on commence aussi a déployer de l'Ubnt d'abord pour le prix, et 
SURTOUT parce
qu'on a pas à payer une license pour un controleur (license au nombre d'AP...), 
ce qui
quand même est assez (trop?) par rapport au support à géométrie variable qu'on 
trouve
(et qui n'est pas du même niveau que celui de Cisco).

Voila...
/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] options LibreNMS

2019-10-29 Par sujet Xavier Beaudouin
Hello,

>> Est-ce qu'on peut faire plus précis ? par modèle ?
>> Je n'ai pas encore regardé dans les détails mais je lis avec attention.
>>
> 
> Oui, on peut créer un "os" spécifique qui ne matchera que certains
> matériels, basé sur la présence ou la valeur d'un certain OID par exemple.
> Ci-dessous la config Observium que j'avais mise en place pour éviter le
> bulk sur certains modèles de switchs DLink avec un control plane en mousse :

Ou autrement par matériel en mousse çà se configure directement par l'UI...

Donc le DLINK asthmatique pourras être gentillement pollé, alors qui celui
sous stéroïdes pourra s'en prendre plein les narines...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] CPE simple supportant le NAT à 1 Gbps

2019-10-24 Par sujet Xavier Beaudouin
Hello,

> On déploie du erx sur du lien fibre avec pppoe et sa tien les 994mbit/s pour 
> le
> prix d’environ 40-50€ je voie pas mieux

J'ai pas dis que ça ne tiens pas... mais on me parlais de 1Gbps... Sachant que 
le
processeur Mediatek a un bus de 2 x 1Gbps vers le switch intégré, on peux donc
eth in 1Gbps -> eth out 1Gbps... le full duplex sera un peu plus compliqué.

A noter que les ERX sont actuellement des choses épineuses pour le hardware nat
car... (dans le releases notes du 2.0.8-beta1) :


* Offloading performance improved on ER-X, ER-X-SFP, ER-10X and EP-R6 after 
back-porting hwnat from v1.10.9 firmware.

 Version  CPU Load   Throughput 
 -- 
  v1.10.920%  979 Mbps
  v2.0.6 59%  821 Mbps
  v2.0.8-beta.1  23% 1030 Mbps   <- Improved after 
backporting hwnat from v1.10.x firmware

Un post intéressant étant : 

This post clarifies multiple networking failures reports that were posted in 
this thread. Networking failure reports were observed on ER-X/ER-X-SFP/ER-10X 
and EP-R6 models when offloading was enabled.

Preface:

Mediatek does not provide MT7621 SoC support for v4.14.x kernels that's why in 
EdgeOS firmware v2.0.1 we ported "hardware offload" functionality from OpenWRT. 
"Hardware offloading" for MT7621 from OpenWRT is in active developed by OpenWRT 
community and it works well in basic scenarios, however it does not support 
more advanced scenarios: `vlan tags`, `vlan-aware forward`, `ECMP`, 
`LoadBalancing`, `IPv6` and `IPSec`. Until v2.0.7 EdgeOS firmware we were 
gradually adding missing functionality to "hardware offloading", but 
unfortunately we were not able to make "hardware offloading" stable enough and 
different bugs were always popping out in different places.

Conclusion:

This is the reason why we decided to remove OpenWRT's "hardware offloading" 
from EdgeOS and backport original proprietary "hwnat offloading" that proved to 
be stable from v1.10.x firmware to v2.0.x.

EdgeOS with backported "hwnat" will be published in v2.0.8-beta firmware.

Effectivement a moins de 50 €uroubles y a pas mieux. Ceci dit, j'ai quand même 
expérimenté des trucs chelou en dual stack sur ces engins...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] options LibreNMS

2019-10-24 Par sujet Xavier Beaudouin
> Par switch ? le bulk j'aime bien en fait, c'est un peu relou mais çà me fait
> gagner du temps.

Switch En Mousse -> Edit -> SNMP -> Max OID = 1, (ou autres...).

Si tu vires le max OID alors tu passes en bulk.

> Ce que je n'aime pas c'est les bousins avec un control-plane en carton, donc 
> ce
> qu'il faudrait c'est pouvoir éviter le bulk mais seulement sur certains
> switchs.

+1... Et ceux qui merdoient aussi...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] CPE simple supportant le NAT à 1 Gbps

2019-10-24 Par sujet Xavier Beaudouin
Hello,

> On a aujourd'hui un gros parc de CPE full Cisco, sauf que les clients veulent 
> de
> plus en plus de SD-WAN et donc des accès Internet ultra-simplifiés "GP-like".
> Actuellement on met un Cisco  sur chaque lien (FTTH principalement) pour
> faire un simple NAT est c'est carrément over-kill (y'a même des features MPLS
> dedans...) mais on n'a pas trouvé moins cher pour que le CPU ne sature pas
> quand on NAT+PPPoE à 1 Gbps de trafic à travers.
> 
> Vous avez des idées de CPE simples (NAT, routes statiques, DHCP, PPPoE) pas 
> trop
> cher et qui tiennent 1 Gbps ?
> Avec bien sûr support de SSH et SNMP, et un peu de ZTP et/ou console pour
> pouvoir industrialiser leur déploiement.
> 
> J'ai déjà commencé une petite liste:
> - Ubiquiti ER-X ou ERLite-3 (Je crois que ceux là ont toujours SNMP pour
> l'instant ;) )

On déploie massivement du Ubiquiti ER-4 et ER-X... Attention sur les version 
ER-X,
la plateforme Mediatek est "compliquée" et le Gbps de traffic n'est pas sûr.

Par contre en PPPoE je suis tjrs en train de faire de flip tables avec dhcp-pd 
et
ipv6 avec mon opérateur luxembourgeois (bon on pourrait penser que l'IPv6 n'est 
pas
leur priorité comme chez Krotik).

Quand a l'ER-Lite le Gbps... bas non... oublie. Pas assez de CPU.

Aussi quelque soit l'ER chez ubnt : openvpn = software only... pas 
d'acceleration
nada. Donc si CPU low : openvpn aie ... 

Accessoirement je me demande vu le bullshit de certains fabriquants de Hardware 
et 
nos besoins s'il vas pas falloir qu'on fasse nous même le travail.

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch Ubnt et SNMP

2019-10-24 Par sujet Xavier Beaudouin


>>> Alarig a écrit :
>>> Des trucs comme LibreNMS ou Observium ça peut être un peu bourrin parfois.
> 
> Plus qu'un peu. J'ai plusieurs switchs dont le control-plane en carton se 
> plante
> quand je les mets dans LibreNMS.
> J'adore LibreNMS mais quand il fait un get-bulk c'est brutal.
> 
>> Pierre Colombier a écrit :
>> bah c'est comme tout, ça se règle ;)
> 
> Je prends les idées !

Y a des options dans la conf de librenms qui permet justement d'éviter le  
get-bulk. 
Accessoirement si le switch est toujours en mousse, remonter avec "pull" 
request 
sur le projet librenms n'est pas non plus un luxe.

Ceci dis sur des Enterasys aka Extreme network librenms faisait rebooter 
certains
switch sur un snmpwalk sur un OID particulier (truc remonté déjà sur frnog).

On a ouvert un bug, et après 6 mois le truc a été fixé... (dans la console 
clairement
on voyais qu'il y avais un overflow dans le bouzin).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch Ubnt et SNMP

2019-10-23 Par sujet Xavier Beaudouin
Hello David,


> Oui on est plusieurs à se rappeler avec émotion de la suppression du SNMP sur
> les routeurs Technicolor, parce qu’â priori pour les Telco Triple-Play, le
> monitoring c’est en TR-069 ou un truc du genre.

:)
 
> Ceci dit côté Ubiquiti, j'aime bien la philosophie « évitons le DOS volontaire
> ou pas à cause du SNMP de nos équipements, c’est à notre équipement d’envoyer
> de l’info au UNMS en push », et d’ailleurs, ça rejoint à mon avis ce qui se
> passe dans 99% des déploiements Ubiquiti.

Oui... Ceci dis j'ai des contrôleurs ou j'ai plus de 500 AP, des confrères 
trainnent
plus de 500AP dans les rue d'une ville sur 3 clusters de WLC cisco (oui parce 
avec cisco ça 
serait plus simple si on pouvais tout faire sur un controleur, mais comme y a 
des incompat...).

Et donc bah, quand le seul moyen de vérifier si l'AP vie est de faire un 
monitor ssh car ces controleurs 
font des fois ce qu'ils veulent, je suis content de la MIB Snmp v1 des ubnt... 
(et de librenms).

Virer le SNMP c'est clairement l'ouverture a des trucs a la con... :
- moi j'fais du xml
- moi j'fais du json
- moi j'fais du restfull
- moi j'fais du restfull + oauth
- moi j'joue avec du clowd
- moi j'fait du nms avec human api (eg gros t'as ton dashboard et vas voir 
ailleurs)

Bref, snmp c'est lourd, ca peux DDoS un CPU (après un armv7 actuel est plus 
puissant qu'un CPU d'un M7i
donc l'argument ça use le CPU = bullshit apprends a coder mon gars), mais bon 
je préfère un OID
partielle ou limitée a pas de SNMP

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Switch Ubnt et SNMP

2019-10-23 Par sujet Xavier Beaudouin
Hello Philippe,

> A surveiller, mais il faut y aller doucement. Je tourne la 2.0 beta sur un
> Edgeswitch, et SNMP est toujours bien là. Il s’agit a priori juste d’un modèle
> (pour le moment).

Oui je sais que c'est juste pour un modèle, mais vu qu'ils ont tendance a avoir
plus ou moins les même fonctionnalités a terme, ça peux-être un signe avant 
courreur.

Ceci dit, pour un switch "industriel" comme ils le marquent dans leur site,
virer des trucs standard, c'est assez étrange.

Si sur du truc "mme michu style", exemple aircube, ça peux passer car 80% des 
utilisateurs ne se poserons pas la question, sur un machin qui se racke et
qui est censé être industriel je trouve l'idée assez saugrenue quand même.

> En revanche, ils sont primitifs, sur la gamme Unifi, il n’y a que du SNMPv1 et
> sincèrement, c’est pas cool, V3 devrait être supporté.

Oui. Mais c'est mieux que les Extreme ou Cisco qui n'ont pas de stack snmp du 
tout.
Donc pas monitorable avec un outil "normal" (et quand on a plein d'AP à 
monitorer
tu es content d'avoir un machin qui fasse un check en plus du controleur...).

> Tout la gamme Unifi supporte officiellement SNMP, même leurs derniers modèles,
> je pense que c’est temporaire et spécifique à un modèle.

Bon c'est une version 2.0 Beta, peut-être que oui c'est du temporaire, MAIS il
faut rester vigilent... d'ou mon petit mail, car on ne sais jamais jusqu'où 
peux aller certains délires marketo-loufoques...

:)
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Switch Ubnt et SNMP

2019-10-23 Par sujet Xavier Beaudouin
Hello,

C'est presque une alerte mais ça ne vaux pas le coup de faire du bruit.

Dans la série constructeurs qui se tirent une balle dans le pied, il y Ubnt qui 
a décidé
de butter le support SNMP sur leur switch EdgeSwitch (peut-être que sur les 
Unifi Switch 
cette feature stupide devrait arriver) pour utiliser leur soft proprio UNMS.

Ça me rappelle le délirium d'un certain constructeur (coucou Alex :), avec leur 
bousin
en Java qui devais faire du REST qui n'as jamais été sortit.

A croire que trop de constructeurs font tout pour que le client soit captif... 
Sérieux, 
je ne veux pas d'un bordel de NMS : cisco / juniper / extreme / ubnt / whatever 
et passer 
des jours a faire communiquer le merdier pour avoir des alertes cohérentes... 
(déjà que je 
me fais assez emmerdé avec des fritzbox en mousse).

Bref, s'ils ne reviennent pas en arrière, pensez a ne PAS upgrader les 
EdgeSwitch en version 
2.0, sinon vos NMS SNMP only seront aveugles

Thread: 
https://community.ui.com/questions/Why-was-SNMP-removed-from-v2-0-0-EdgeSwitch-FW/d06ea655-5042-4263-8603-39e04c6bf98e

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Question routeur pour nano operateur ?

2019-10-11 Par sujet Xavier Beaudouin
Ça fait partie des mes idées si on n'arrive pas a faire mieux. Ceci dit, j'ai 
un IGP en IS-IS ... 

Donc a voir... 

> De: "BASSAGET Cédric" 
> À: "Xavier Beaudouin" 
> Cc: "frnog-tech" 
> Envoyé: Vendredi 11 Octobre 2019 14:20:27
> Objet: Re: [FRnOG] [TECH] Question routeur pour nano operateur ?

> et pourquoi pas du bird + pmacct ?

> Cédric

> Le ven. 11 oct. 2019 à 10:59, Xavier Beaudouin < [ mailto:k...@oav.net |
> k...@oav.net ] > a écrit :

>> Hello,

>> Ceux qui me connaissent savent que je me tappe du matériel mais là ça fait 2
>> semaines
>> que je lutte pour réussir a faire tourner ce  de netflow sur un
>> ASR-1001X
>> avec IOS-XE 16.09.04.

>> Normalement ce truc 'devrait' être existant avec la license IPbase que j'ai,
>> sachant
>> que j'ai adventreprise d'activé et que j'ai appris par le support que même la
>> license
>> advipservices n'as pas l'air d'avoir sur support d'intégré sur cette version 
>> de
>> IOS-XE.

>> Alors comme j'en ai marre de me faire  je suis en train de 
>> chercher un
>> remplacant
>> de cette bouze, avec un cahier des charges simples :
>> - tenir 2 a 3 full view ipv4/ipv6
>> - tenir un a 2 IX
>> - avoir cette saloperie de netflow
>> - accessoirement avec du 10G (oui je ne suis un nano opérateur dans un micro
>> pays je ne
>> consomme pas trop).

>> Voila :) à part un ASR-9001 (qui me plais...) qu'avez vous de bon a me
>> recommander... ?

>> Xavier

>> ---
>> Liste de diffusion du FRnOG
>> [ http://www.frnog.org/ | http://www.frnog.org/ ]

---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Question routeur pour nano operateur ?

2019-10-11 Par sujet Xavier Beaudouin
Hello,

Ceux qui me connaissent savent que je me tappe du matériel mais là ça fait 2 
semaines 
que je lutte pour réussir a faire tourner ce  de netflow sur un 
ASR-1001X 
avec IOS-XE 16.09.04.

Normalement ce truc 'devrait' être existant avec la license IPbase que j'ai, 
sachant
que j'ai adventreprise d'activé et que j'ai appris par le support que même la 
license
advipservices n'as pas l'air d'avoir sur support d'intégré sur cette version de 
IOS-XE.

Alors comme j'en ai marre de me faire  je suis en train de chercher 
un remplacant
de cette bouze, avec un cahier des charges simples :
- tenir 2 a 3 full view ipv4/ipv6
- tenir un a 2 IX
- avoir cette saloperie de netflow
- accessoirement avec du 10G (oui je ne suis un nano opérateur dans un micro 
pays je ne
  consomme pas trop).

Voila :) à part un ASR-9001 (qui me plais...) qu'avez vous de bon a me 
recommander... ?

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] LEVEL3 Amsterdam

2019-10-04 Par sujet Xavier Beaudouin
Hello,

C'est vendredi alors je réponds :)

> En tout état de cause, quand dans le même sujet il y a : Amsterdam et trace
> route, pas étonnant qu’il y ait des problèmes, et pas surprenant non plus que
> tout le monde ne les partage pas ;-)
> Ok, je sors...

Alors... Comment expliquer... 
Les traceroute passent par le control pane du routeur. Certains routeurs ont 
vraiment
autre chose a faire qu'as répondre aux traceroute et donc rate-limit la réponse 
en question.

Donc que tu ais un hop qui réponde a 50% de pkt: osef.

Par contre que ton host final lui perds ses 50% là c'est important.

Mtr peux te donner "une idée", surtout les pkt loss après le 50% reste 
identique là peut-être
qu'il y a congestion... 

Donc non ce n'est pas une alerte, ni pour ovh ni pour level3.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] RIPE IPv4 run-out

2019-10-03 Par sujet Xavier Beaudouin
Hello,

> En France on a de la
> chance (et nous sommes le seul pay au monde dans ce cas) d'avoir des
> territoires d'outre mer...

(...)

> Donc creer un etablissement secondaire d'une boite francaise et demander
> des ressources, c'est une idee.

Et autrement, arrêter d'utiliser des choses légacy et aller de l'avant ? C'est
pas aussi possible ? Car dans ce cas là revenons au X25 et au Frame-Relay...

Même si y a tjrs la question (compréhensible) du fait que l'utilisation de
système de numérotation legacy qui de toute façon allais arriver a extinction
est plus facile que de passer au nouveau système, y a un moment c'est de 
l'acharnement thérapeutique... et ça deviens lassant.

Passez de l'avant, deployez en dual stack, corrigez les bugs liés au nouveau
système et limitez l'usage des vieux trucs... c'est là ou il faut aller, pas
s'amuser a bidouiller en ouvrant des boites aux lettres comme ça se fait dans
les "paradis" fiscaux et qui commencent à être mal vu.
Dans le monde IPv4 vs IPv6, ce genre de chose commencent a être mal vu aussi.
Même si, d'expérience migrer le merdier qui a été hardcodé en IPv4 est un sacré
travail, faites comme les pays ou c'est devenu obligatoire ça serait bien pour
tout le monde...

Bon courage.
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Cherche switch 1000BaseTX "rugged"

2019-10-01 Par sujet Xavier Beaudouin
Hello,

> Si c'est juste pour faire switch, le R6 va bien. Si on veut un peu de
> routage ou de trucs bizarres, il faut envisager le R8. Si on veut plein
> de port, le S16 est en réalité très similaire au R6 (et sera une
> calamité en autre chose qu'un bête switch).

J'ai mis 2 S16 dans un camping au luxembourg qui se prends depuis 2 ans le temps
intéressant qu'il y a dans le coin :
- chaleur l'été avec des temperatures intéressantes en plein soleil, juste en 
dessous de la cabane a douches
- froid l'hiver avec des -10°C

Pour l'instant ça n'as pas bougé.

Mais je pense pour notre milieu hostile vu qu'on a besoin que du switch (et pas 
du POE) on vas mettre ça à la place du switch qui a fait plonk.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Cherche switch 1000BaseTX "rugged"

2019-09-26 Par sujet Xavier Beaudouin
 
>> Bonjour,
>> On a déjà une vague idée avec l'EdgePoint de chez Ubnt... mais si vous avez 
>> une
>> autre belle idée je prends...
> 
> Ben pourquoi tu mets pas juste un switch normal dans un boitier étanche ?

Parce qu'on a déjà essayé... Et il a cramé... (et ces boitiers étanche le sont 
pendant quelques années...) après : plouf.

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Cherche switch 1000BaseTX "rugged"

2019-09-26 Par sujet Xavier Beaudouin
Bonjour,

Chez l'un des client de ma boite on a un switch posé dans une baie sous un 
kiosque... Évidement ce n'est pas notre choix, mais des contraintes liées au 
cablage et surtout au genie civil qui veulent pas défoncer toute une place pour 
y passer des fibres.

Comme vous pouvez le deviner, le switch qu'on a posé a fait plonk, dû 
probablement à l'humidité qui as dû faire des ravages.

Je cherche donc a trouver une référence de switch qui soit capable de tenir de 
choc en milieu hostile sans aller quand même dans les switch "military grade". 
J'ai pas besoin de 2^20 ports, moins de 8 me suffisent très largement.

On a déjà une vague idée avec l'EdgePoint de chez Ubnt... mais si vous avez une 
autre belle idée je prends...

Merci :)
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

2019-09-23 Par sujet Xavier Beaudouin
Hello Florent et la liste

> Hello la liste,
> Je suis surpris que personne ne mentionne Wireguard (
> https://www.wireguard.com/) alors qu'il fonctionne très bien sur (testé
> personnellement) :
> - MacOS
> - iOS
> - Debian
> - CentOS
> - Android
> - Windows
> 

Wireguard comme Zerotier ont l'air bien sur le papier (et sont supportés un peu 
partout).
La grosse question que je me pose avec Wireguard et Zerotier c'est comment ces 
trucs font
de la magie avec les pkts. Est-ce que ca passe par un truc semi centralisé ? 

J'avoue que je n'ai pas eu le temps de fouiller mais ça me titille...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi

2019-09-20 Par sujet Xavier Beaudouin



> Il y a cependant un point qui penche en leur faveur: quand tu fais ton 
> filtrage
> aux petits oignons tout seul, tu rates « the big Picture ».

:)

> Ma question portait plus sur la pratique consistant à mettre de la BL entre 
> son
> MTA et les MUA de ses propres clients authentifiés.
> Je n’ai pas l’impression que ça soit courant.

Hum... C'est pas courant, mais comme on a pas la trace de la session SMTP 
parlant 
que l'authentification s'est bien effectuée (car il y a quand même pas mal de 
choses
entre le poste du MUA et le SMTP relay, et des possibilités assez épaisses pour 
qu'il 
y ait un machin entre les deux qui fasse chier...) on ne peux que supposer.

Je pense qu'il y a aussi un principe de précaution car il suffit qu'un client 
mail
soit infecté par je ne sais quel trojan pour qu'il envoie en masse du spam (ca 
m'est
déjà arrivé quand j'avais une belle plateforme de mail et que j'avais des 
utilisateurs
avec des ordis pas à jour qui cliquaient sur n'importe quel mail "vous avez une 
facture").

Ce qui m'as permis d'avoir certains smtp relays blacklistés et grace à un peu 
de chance
j'ai trouve quel était l'utilisateur qui s'était fait owné.

Dans ce cas, il est possible que le système de "policy" de Gandi se base sur un 
certain
nombre de choses, DONT les RBL avec un système de poids et bloque quand ca 
passe une
limite. Chose qui est également possible avec un anti spam en out qui peux 
sauver la vie
dans le cas que j'ai cité au dessus.

Je pense que aussi les grosses plateformes GAFAM font de même pour bloquer 
toute activités
suspicieuses de leur clients... car oui on est pas à l'abris  loin de là.

David, rappelles-toi du nombre de fois qu'une certaine plateforme de mail se 
faisait
blacklister a cause des bêtises de certains clients de nos clients... 

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi

2019-09-19 Par sujet Xavier Beaudouin


>> Le principe des RBL c'est de faire chier les spammeurs. Mais la boite
>> de pandore a été ouverte dans les années 2000 ou la SEULE RBL
>> correctement gérée est passée de "communautaire" à payante
> 
> Je ne suis pas d'accord, historiquement ça avait très mauvaise
> réputation et celles qui survivent aujourd'hui c'est parce qu'elles
> sont vendues avec un très gros effort de propagande.

Sais pas je fais partie de vieux qui ont gérés des gros serveurs de mail
dans les années 2000...

Bref.

>> Alors pourquoi Gandi a utilisé ces listes? parce que peut-être ils en
>> avais marre de charrier des truc pourris et que ca leur faisait
>> perdre leur temps.
> 
> Je ne pense pas, la raison c'est qu'il n'y a qu'une ligne dans le
> fichier de configuration à éditer. Et aussi parce qu'ils n'ont pas idée
> de ce qui se trame derrière.

"le fichier de conf", crois-tu vraiment que gandi ne sais pas ce qu'ils font.
 
>> Après, si tu veux avoir la paix, prends un dédié, mets ton zimbra et
>> gère le bazar avec les DKIM, SPF, etc... les relouteries de google /
>> o365...
> 
> Je ne vois pas le rapport avec les blacklists.

Bah, gères-le. Comme dis l'adage, si tu n'es pas content d'un service
change de fournisseurs. Gandi ne t'oblige pas à utiliser leur service, 
tu peux très bien utiliser un gmail / o365 ou gérer ton propre serveur,
mais dans ce cas tu es responsable de pas mal de choses et... les gros
que j'ai cité juste ici (et bien d'autres) font tout pour ne pas
de faciliter la vie... et a coté la rbl de gandi c'est juste une décoration
sur la porte d'entrée.

Tu fais ce que tu veux, mais tu peux aussi raler sur leur support... ou leur
envoyer un mail / irc / whatever... (je sais que certains de gandi lisent
cette ml - bisous a eux -).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi

2019-09-19 Par sujet Xavier Beaudouin
Hello,

>> Tu peux facilement savoir pourquoi tu es blacklisté, leur dé-blacklist
>> marche, et si tu es c’est pour une bonne raison.
> 
> C'est intéressant car j'ai observé complètement le contraire.
> Mais j'ai également observé qu'ils étaient très miticuleux sur le choix
> des cibles.
> 
> Non seulement il y a ça, mais le principe de blacklister des adresses
> IP et en plus de laisser un tier le faire à sa place, je me demande ce
> qui pourrait mal se passer...

Le principe des RBL c'est de faire chier les spammeurs. Mais la boite de 
pandore a été ouverte dans les années 2000 ou la SEULE RBL correctement
gérée est passée de "communautaire" à payante

Résultat c'est le bordel. Ceci dit, c'est aussi a ton ISP (voire toi +
ton ISP de ranger le merdier, car si ton IP est arrivée dans cette liste 
noire c'est que historiquement y a eu de la merde qui est passé par là
et que ton isp / presta n'as rien foutu... ca s'appelle la réputation d'IP).

Alors pourquoi Gandi a utilisé ces listes? parce que peut-être ils en avais
marre de charrier des truc pourris et que ca leur faisait perdre leur temps.

Parce que 5 mails gratos avec un domaine, et vu le nombre de domaines ça
fait une belle archi de mail a gérer (avec les emmerdes associées)...

Après, si tu veux avoir la paix, prends un dédié, mets ton zimbra et gère
le bazar avec les DKIM, SPF, etc... les relouteries de google / o365... 

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] Pour prolonger le début de vendredi

2019-09-16 Par sujet Xavier Beaudouin
Hello,

>> Sur un parc d'OS-esclaves y'a surement moyen d'automatiser le
>> paramétrage (outils de politique de sécurité, déploiement auto,
>> etc.),
> 
> Oui, si on est à ce niveau de kontroll, on déploie les postes à partir
> d'un master où on a mis la Policy de l'entreprise.

:D Tu sais que tout le monde ne peux se permettre de redeployer un master 
sur tous les postes de travail d'un coup. D'ou le temps de passages de 
Fenêtres 7 à la version 10 qui n'est pas encore finie dans beaucoup de
boites... qui adorent payer des petitslogiciels :) 
 
>> ( et perso, c'est le premier truc auquel j'ai pensé quand j'ai vu les
>> annonces du DoH par défaut dans les navigateurs : est ce qu'il y moyen
>> de lui indiquer dans une option DHCP )
> 
> Pas d'option normalisée (et, comme j'ai dit, je n'y vois guère
> d'intérêt).

+1 surtout que DHCP donne des resolveurs DNS. Alors une autre question
pourquoi justement ne pas utiliser ces resolveurs avec du DoT/DoH ?

(D'ailleurs une mention  pour dnsdist qui n'est PAS encore en release 
pour la version 1.4.0 qui aurait pu nous simplifier l'exitence pour mettre
en place du DoH sans la centrale nucléaire de yet another serveur web + du
bordel derrière).

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] KVM IP

2019-09-05 Par sujet Xavier Beaudouin
Salut,


> Salut,
> personnellement, ça fait longtemps que je n'en utilise plus et que pour le 
> même
> rôle j'exploite l'ipmi et ses équivalents.

Clairement les IPMI de certains constructeurs sont largement plus pratique que 
les
kvm over ip qui marchent selon les envies...

:)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] SMTP , envoi vers @laposte.net

2019-09-04 Par sujet Xavier Beaudouin
Hello,


> Nous avons des difficultés d'envoi vers des adresses @laposte.net (courrier
> légitime) depuis quelques jours.
> 
> Exemple :
> 
> Sep  4 09:14:56  postfix/***: 27A5A0: to=,
> relay=smtpz4.laposte.net[194.117.213.1]:25, (...) status=bounced (host
> smtpz4.laposte.net[194.117.213.1] said: 550 5.5.0 Service refuse. Veuillez
> essayer plus tard. service refused, please try later. LPN006_510 (in reply to
> end of DATA command))
> 
> Confirmez-vous ?
> 
> D'avance, MERCI pour vos réponses !

Ah laposte.net, toujours aussi bien connu pour sa fiabilité légendaire et le 
respect des RFC... Un 550 au lieu d'un 450... C'est tellement mieux...

Depuis combien de jours a tu ces pb? Dans mon modeste serveur de mail, le 
dernier mail envoyé chez eux date du 27 aout...

Un conseil que j'aurais vis a vis des ces gens : un mta dédie avec un queuing 
"délicat" pour ne pas envoyer plus d'un mail par seconde par IP source... (oui 
ils ont eu toujours du mal a faire du mail, comme la livraison des colis, mais 
on fait dans le monde internet les mêmes recettes que le monde réel aka #yolo).

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] whois, IPv6 et MTU

2019-09-02 Par sujet Xavier Beaudouin
Les MSS Clamping c'est le bien :) (et ca marche)

- Mail original -
> De: "Alarig Le Lay" 
> À: "frnog" 
> Envoyé: Lundi 2 Septembre 2019 10:57:46
> Objet: Re: [FRnOG] Re: [TECH] whois, IPv6 et MTU

> On lun.  2 sept. 10:54:23 2019, Julien Escario wrote:
>> C'est très probable. Je cherche la cause, rien de plus (je sais, on a
>> l’habitude de se balancer des saloperies à la gueule ici mais on peut
>> aussi juste chercher à parfaire son déploiement).
> 
> Pour ma part, ça fait un moment que j’ai arrêté de croire au PMTUd, je
> fais du MSS clamping dès que y’a du tunnel.
> 
> --
> Alarig
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Vlan ONT - Box pour ajout de switch

2019-09-01 Par sujet Xavier Beaudouin
Hello,


> Ça dispense pas de connaître les VLAN utilisés pour éviter d'utiliser les 
> mêmes


Ou du QinQ, même un pauvre 3550 de recup est capable de le faire. Comme ça le 
bidule est bien identifié.

Bon faut augmenter la MTU :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] RIPE "Assisted registery Check"

2019-08-22 Par sujet Xavier Beaudouin
Hello,


> Bizarre qu'ils passent par le téléphone, ils savent pourtant faire des
> vérifications ou des obligations de changements dans les déclarations par 
> mail.

+1

>> Je viens de m’apercevoir que le RIPE a envoyé aux détenteurs d'ASN un
>> mail d'info pour prise de RDV téléphonique et check des info de l'ASN.
>> Le hic, c'est que chez moi c'est arrivé dans les SPAMs.
>> Du coups, petit mot à tous histoire de ne pas passer à coté.

Bah étrange j'ai un AS mais rien recu du tout... p'tet que mon ami le LIR l'as 
reçu ? :p

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [TECH] Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet Xavier Beaudouin
Hello,

> IPv6 support :
> 
> the following are the main features that are unavailable for IPv6 traffic:
> * IPv6 address translation(NATv6)

C'est très bien. Arrêtez avec le NAT et IPv6... 
Le NAT ne protège pas un réseau, il rajoute juste une putain de couche 
de complexification relou, surtout en cas de merging de boites.

Le NAT est une des raison pourquoi on se faire  avec de l'IPv4
alors qu'on aurais dû mettre ce truc à la casse bien avant

Ne continions pas dans cette lancée avec le v6 et prennons de bonnes bases... 
(surtout
que avec un /48 au mini on peux quand même faire de belles choses).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Modèle CISCO adhoc

2019-08-02 Par sujet Xavier Beaudouin
Hello,


>>> Le problème est qu’ils sont chacun dans un VLAN distinct chez ce Client, et 
>>> que
>>> cela me fait 10 VLAN. Et que ce brave modèle de 887 me tilte sur une limite 
>>> à 8
>>>  VLAN dans sa « vlan database ».
> 
>> David Ponzone a écrit :
>> Euh virer Cisco ? :)
>> Ok je sors.
>> Et sinon virer Cisco ?
> 
> C'est à cause de limitations débiles comme çà que les gens changent de 
> crèmerie
> et achètent du Mikrotik ou autres.

(...)

> Sans garantie pour ne pas avoir essayé cette config particulière, un 1821 avec
> un HWIC-4ESW je pense que çà fait 16 VLANs.
> (sur un 2851 avec HWIC-D-9ESW j'ai bien 16 VLANs).

Que ça soit 8 ou 16 VLAN ça reste quand même une limitation débile... 
artificielle...

Comme celle qui m'as fait presque flip table : la license pour utiliser des 
ports
10G sur ASR-1001X (et la license de bandepassante a 20G O_o).

Ce qui est sûr c'est que lorsque j'aurais besoin de 10G, je prendrais autre 
chose car
au prix que coût ces cisco ça me fait mal a... de sortir du pognon en plus... 
même
si c'est pas celui de ma poche.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Stacker ou ne pas stacker was : Switch PoE+

2019-08-02 Par sujet Xavier Beaudouin
Hello,


>> - le coût par port fourni était trop élevé pour les chassis que je regardai
> 
> Un chassis vide c'est pratiquement gratuit. Les spares de 6509, je ne sais 
> plus
> ou les mettre.

Je pense qu'il parle du coût place et conso électrique par port.. Pas le prix 
de la
ferraille indestructible d'un 65xx...

:)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Stacker ou ne pas stacker was : Switch PoE+

2019-08-01 Par sujet Xavier Beaudouin
Hello,

> En termes de stabilité :
> - on a eu un crash d'un de nos 6500 en 15 ans : la réponse officielle du TAC

(...)

> Personnellement j'ai une grande préférence pour le stacking, essentiellement à
> cause du management simplifié.

Vas stacker du 6500 avec du VSS, tu vas voir si c'est simple (pas a manager, 
mais les
emmerdes qui vont avec...) :)

Moi les stack sauf si besoin sous contrainte de mort c'est non... :=)

/xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Conseil switchs 10G

2019-07-30 Par sujet Xavier Beaudouin



> Les Cisco, comme les DELL et beaucoup d'autres sont LifeTime warranty. Ça ne
> veux pas dire qu'ils seront réparé encore dans 10 ans :

Ca veux dire que s'il crame t'en auras un mieux dans 10 ans. Déjà eu ça avec les
switch HP... mais c'était il y a 10 ans :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] idiots du mail

2019-07-29 Par sujet Xavier Beaudouin
Hello,

> Personnellement, je considère qu'on peut s'attendre d'un professionnel
> du réseau qu'il utilise des systèmes et outils qui respectent les normes
> (RFC) communes qui lui permettent d'exercer son activité et de gagner sa
> croute.

+1

> Ne pas le faire serait mettre en péril son activité, donc son gagne
> pain, et au final un peu idiot, non ?
> 
> Quant à MIB, comme déjà signalé par d'autres, la moindre des choses
> c'est de connaître les bases de son business.
> De mon côté, je vends me journées de conseil, je ne fais pas de
> bénévolat, je peux leur lire les RFC, mais ce sera payant.
> 
> Enfin, les entêtes "Precedence" ne permettent pas à un spammeur de
> bypasser MIB, mais simplement d'éviter que MIB ne spamme les expéditeurs
> de mails qui passent par des listes de diffusion.

+1
 
> Personnellement, je n'ai pas tenté de rentrer en contact avec ces
> personnes, j'ai juste écrit à une liste.
> Et pourtant j'ai aussi reçu des demandes de confirmation pour pouvoir
> communiquer avec eux.
> Ce n'est pas normal.
> S'ils ne veulent pas les mails de la liste, ils n'ont qu'à ne pas s'y
> inscrire.
> Ou avec un mail dédié secret sans MIB dessus.

Je suis à deux doigts (sans le whisky) de coder un header_check ou un body_check
pour les bouncer ces mails a la con. Voire un access qui fasse "550 - respect 
the bloody rfcs"

J'en ai reçu 3 du même  qui persiste et signe avec sa solution
anti-spam (sic) bruyante et non RFC compliant.

Désolé d'être aussi extrême mais j'ai appris que les "solutions" de ce type
mérite de mourrir.  :)

/xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RE: Switch PoE+

2019-07-29 Par sujet Xavier Beaudouin
Hello,

>> Tu pourrais expliquer pourquoi ? Pour moi çà change absolument
>> rien. Et avec LibreNMS qui est un peu lourdaud sur le SNMP, je
>> préfère nettement avoir 4 control-planes en mousse qu'un seul qui essaie de
>> faire le stack complet.

+1 :)

> Dans  mon cas, et considérant que j'ai un réseau homogène (que du HPe,
> à la fois coeur, serveurs et utilisateurs), ça présente
> les avantages suivants :
> 
> -  4 (jusqu'à 8) switchs  se gèrent comme un seul, mais l'outil de monitoring
> est
> capable de détecter la défaillance d'un switch dans le stack
> -  Les trunks LACP se font entre deux switchs physiquement différents,
> ce qui permet d'avoir de la redondance matérielle et plus de perfs.
> -  Pas  de  besoin  de  spanning  tree,  vu  que  le réseau, même avec
> redondance  partout, reste entre stacks et donc il n'y a pas plusieurs
> chemins possibles. Il faut absolument activer le MAD par contre, sinon
> ça  risque  de devenir chiant quand on se retrouve avec un split brain
> du stack.

Il est probable que Alcatel se soit mieux demerdé la dessus que nos amis
américains.

Ceci dit, les seuls cas ou j'ai eu un stack de switch qui ne faisait pas chier
c'était 2 3750G ... max... (a part les mise a jour ou là c'était cable console 
et
bruler une poupée vooodooo car avais une chance sur 2 que ca merdoie).

Après ouais les LACP sur les 2 c'est bien, mais qu'une manière générale je
préfère :
- soit avoir 2 lien L3 avec ISIS ou OSPF(+v3)
- soit utiliser le LACP-less des vmware et ça me fous la paix
- soit utiliser autre chose du coté des OS libres.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RE: Switch PoE+

2019-07-28 Par sujet Xavier Beaudouin



>> (Selon les gens de là bas ça serait un pkt "mal formé" O_o, qui planterais la
>> queue...)...
>>
> T'aurais pas de l'IPv6 ? J'ai vu ça sur 6500 où certains paquets
> multicast n'étaient pas traités. La "solution" avait été de dropper ces
> paquets multicasts pas destinés au switch (attention quand même au ND,
> RA, RD qu'il ne faut pas dropper)

Tiens je l'avais pas pensée à ce truc...

Ceci dit, c'est des interfaces présentes sur des reseaux Wifi publics Mais 
entre les
deux y a un Cisco 6800 :)

Bref Et après quand on leur demande : la forme du packet : nh ayez 
confiance
c'est fixé... 

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RE: Switch PoE+

2019-07-28 Par sujet Xavier Beaudouin
> Si Cisco pouvait éviter de nous refaire la blague du firmware 03.03.03
> qui m'a planté un stack de 3650 lors de l'ajout d'une unité plus récente
> dans la pile, ça me rassurerait pour continuer à bosser avec cette gamme.

Michel te dira que tu es joueur aussi... Stack de switches...

Ceci dis, des bugs cisco j'en ai un qui dure depuis de 2ans, a chaque fois
on me dis qu'il est fixé, mais non... 
Bon remarque c'est mieux, car on arrive a uptime sans reboot de 180 jours (au 
lieu 
d'une semaine / mois). 
Mais quand sur un ASR-1002-X on arrive a avoir les INPUT QUEUE qui ne se vident 
pas
ça commence faire chier...

(Selon les gens de là bas ça serait un pkt "mal formé" O_o, qui planterais la 
queue...)...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Débit minable suite changement Livebox FTTH Orange

2019-07-16 Par sujet Xavier Beaudouin
Hello,

> C'est pas forcément cher, il y a plein de vendeurs qui font çà pour beaucoup
> moins que Cisco neuf.

:) (avec des fois des limitations dans le software, type bugs ou fib en mousse).

> Mais c'est clair que quand on prend du Cisco, soit un a du matos poussif, soit
> il faut payer au mégabit.

Sur les routeurs en effet, par contre si je râle sur les routeurs (sauf les 
ASR9000
qui sont des belles bêtes, même si j'ai une dent sur les linuxeries l'OS 64 bit 
de ces ASR), les switch n'ont pas souvent ces limitation (sauf certaines cartes 
en 
mousse sur certains châssis).

C'est d'ailleurs pour ça que certains constructeurs ont la quote (densité de 
ports,
coût, ...) tant qu'ils commencent pas a nous les briser avec des licenses soft 
à 
la noix pour "unlock" un port... (suivez mon regard)

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Transit et déni de service

2019-07-03 Par sujet Xavier Beaudouin
Hello

> Depuis quand tu fais confiance à un blog de CF ? La dernière fois, c'était la
> faute à Verizon.
> C'est malheureux à dire, mais à force de raconter des conneries essayant de
> blâmer quelqu'un d'autre, pourquoi les croire ?
> Demain, ils vont dire que c'est la faute au vendeur xyz.

Bah c'est leur communications, ceci dit, c'est pas le seul "clowd" qui fait
de la protection DDoS du marché. 
 
> Feedback des clients : CloudFlare, c'était censé me protéger contre les
> attaques. J'avais jamais été attaqué, et la seule interruption de service que
> j'ai jamais eu c'est CloudFlare qui a merdé.

Ça arrive que ça merde. Ceci vu la taille de la structure, on peux penser 
qu'il ont tout automatisé, là on voit aussi la limite de l'automatisation 
qui peux automatiser de la merde et foutre l'infra en vrac.

> Ca peut pas être la faute à Verizon ce coup-ci, c'est la faute à qui ?

Alors c'est comme les ISP en France, si on considère qu'ils sont pas fiable
on peux aller voir ailleurs. Que je saches, ils ne sont pas les seuls a 
proposer ce type de services ? Peux-être que le problème est que TROP de monde
passent pas eux et quand ils font de la merde (et ça arrivera encore non
seulement chez CF, mais AUSSI chez les autres) ça se voit...

Après CF, comme d'autres, vendent un service mutualisé anycast, si les gens
qui estiment que c'est important d'être 100% dispo sans downtime d'un tier, 
il peuvent toujours faire de l'anycast eux même, c'est pas sorcier mais ça 
coute du pognon, et l'adage on est jamais mieux servis que par soit même est
aussi applicable :)

My 0,02€.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Transit et déni de service

2019-06-27 Par sujet Xavier Beaudouin
Salut Emmanuel,

> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de
> transit BGP (quelques 10G).
> Cette année, j'ai le souhait de demander à chaque opérateur de transit
> de prendre la charge d'un éventuel DDoS directement au niveau de son
> backbone.
> 
> Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
> etc.) proposées par les opérateurs de transit et surtout leur efficacité
> en conditions réelles ?

Retours d'expérience: cher et autant le faire soit même avec les bonnes 
communautés BGP,
tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser 
la merde
sur les routers border avec soit des ACL soit du BGP Flowspec :)

En général le prix étant tellement plus élevé que prendre du tuyaux et négo des 
commits
que pour cette expérience le résultat a été celui là. 

Surtout que les IX commencent a donner les moyen de null router les ips cibles 
(ou mieux
shut la connection sur l'IX et attendre via flowspec / arbor / whatever que ca 
se calme).

> Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
> etc.) ?

Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains 
trucs un CDN
a été utilisé pour limiter l'impact de l'appeau a DDoS. :)

Après ça fait quelques temps et donc le paysage a peut-être changé...  (eg je 
sais pas si 
des transitaires sont BGP Flowspec compatibles par exemple).

Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as 
donc des IX a 
gérer, et bien les protection des transitaires peuvent être useless. Ah aussi 
tu leur donne
confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi de 
voir jusqu'où
vas ta confiance en eux :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Carrier-Grade NAT pour la 3G/4G et "handover" de l'adresse IP publique en cas de changement de cellule radio

2019-05-23 Par sujet Xavier Beaudouin
Hello,

> J'ai échangé en début de semaine avec un ingé SFR Business car nous
> installons également des routeurs 3G/4G chez nos clients avec des dessertes
> xDSL très limitées.
> Et effectivement, la contrainte du CGNAT nous pose régulièrement des soucis
> que j'ai donc évoqué avec cet ingé.
> 
> Il m'a indiqué que l'ip fixe était actuellement en test chez certains
> clients jusque fin mai, et si les tests sont concluants, commercialisation
> dès le mois de juin (pas de tarif évoqué toutefois).

Et au lieu se faire  avec de l'IPv4, dû principalement à la fin 
probable (bon ok des gens comme SFR doivent avoir du stock) des pool, pourquoi
se casser les pieds a faire du v4 alors qu'on peux faire du v6.

Surtout que pour vos clients vous pouvez tunneliser le traffic vers un ou deux
concentrateur en DC et avoir la paix.

Pour l'instant dans ma cambrouse, pas moyen d'avoir de 4G "fixe" (rien que cette
idée me fait vomir) avec des IP (v4/v6) fixes.

Si Free commence a butter le v4 et l'encapsuler dans du v6 ça veux peut-être 
bien
dire qu'il serait intelligent d'evoluer... Même si on doit garder ces trucs 
legacy
longtemps.

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [Tech] BGP préférence de lien

2019-05-20 Par sujet Xavier Beaudouin
> Question surement simple pour nombre d'entre vous, mais je coince un peu :
> 
> - J'ai deux transitaire
> 
> - J'ai favorisé l'un plus que l'autre en sortie car mes débits sont
> différents (et le coût aussi) avec la commande "weight"
> 
> Je n'arrive pas à faire la même chose en entrée : comme faire svp ?

Tu as plusieurs méthodes (qui peuvent être utilisées / additionnées) :
- as prepend
- jouer avec commauntés BGP de tes transitaires..
- mettre des med 

Attention y a aucune garantie que ça marche du 1er coup :)

Cordialement,


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] ARIN attrape un escroc et se ré-approprie plus d'un-demi million d'adresses

2019-05-16 Par sujet Xavier Beaudouin
Hello,

Et bien c'est une bonne nouvelle, et ça ajoute aussi des points supplémentaires 
pour 
éviter de garder cette techno obsolète qu'est ipv4..

Ceci dit, se débarrasser de trucs legacy... c'est compliqué :)

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Logiciel de supervision réseau

2019-05-08 Par sujet Xavier Beaudouin
Hello,

> A job[0], j'utilise LibreNMS.

J'ai testé les deux et suis resté sur LibreNMS.
 
> Un peu à la louche, mais çà marche pour moi.
> Le même problème qu'Observium : quand le SNMP-GET-BULK découvre le machin, le
> control-plane en carton va pas aimer.

Y a normalement y a une option blacklist pour certains équipements en mousse...

Peut-être qu'il faut remoter l'info a laf et ses collègues.

> A éviter : chassis avec 1000 ports et SUP avec un CPU de ZX80 avec 16 KO de 
> ram.
> Sans être méchant, il y a même des modèles 24-port de plusieurs fabricants
> réputés qui plantent.

Oui J'ai même triggeré un bug sur Extreme dans les switch "ex-enterasys" qui 
faisait
reboot lors d'un snmp get sur... une mib SNMP parlant d'ipv6... (non c'était pas
configuré avec IPv6...). 

Il ont mis... hum... 8 mois a corriger le bug (et donc releaser un nouvelle 
version du
firmware).

En ce qui concerne le monitoring, librenms PEUX utiliser les nagios tools. Donc 
on PEUX
faire un truc qui peux faire un monitoring un peu plus complet que chez 
Observium.

Ceci dit, comme tout outil de métro / monitoring : ça prends des cœurs et des 
cpu.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [MISC] RE: [FRnOG] [MISC] Forfait B 40 Go à 9.99 € : incompétence ET foutage de gueule !

2019-05-07 Par sujet Xavier Beaudouin
Hello,

> Le monsieur se plaint que le service commercial/support est injoignable et/ou
> inefficace
> Qu'il ait commandé pour du pro ou perso (j'ai cru comprendre que c'était 
> plutôt
> du perso la, mais je me trompe ?), il n'est pas normal qu'il ne puisse joindre
> personne !
> 
> Ok, il a commandé un truc a-pas-cher, mais ça n'empêche que si le service est
> dégueu derrière, il faut le dire et le faire savoir.
> Cette manie des opérateurs de toujours proposer moins de qualité à moins cher,
> moi ça m'énerve aussi.

Heu dans la série plus ou moins dégeux, on en parle des Mandat S€PA de certains
opérateur qui n'acceptent pas les comptes en dehors de France (coucou N26 par 
exemple)... ? Parce que "gens" dont on parle ne savent pas faire en 2018, donc
ca se termine par : bye. 

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Capteurs températures Ethernet low-cost (Arduino ?) pour salle/baie réseau

2019-04-30 Par sujet Xavier Beaudouin
Hello,

En version DIY, j'utilise :

- des DS18B20 dans un RJ45
- des Y RJ45
- des cables RJ45 standards
- un controleur USB 1-Wire DS9490R

Avec ce matériel et une pince RJ45 tu peux mettre tes sondes partout, tu n'as 
de pb a 
couper les cables, les souder etc...

Et tu peux en mettre partout dans ta salle.

Pour grapher, bah avec OWFS tu fais ce que tu veux, même une passerelle SNMP si 
tu veux...
Ou si tu es flemmard : domoticz sait très bien faire de jolis graphes comme par 
exemple : https://pix.toile-libre.org/?img=1556605080.png

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] IPV6 Name and Shame

2019-04-29 Par sujet Xavier Beaudouin
Hello,

>> > Petit hébergeur je suis dépendant d'un autre opérateur pour avoir
>> > mes IP. Une solution intéressante serait d'avoir un PI mais le coût
>> > d'entrée fait qu'à mon échelle ce n'est pas pertinent/rentable.
>>
>> Simplement curieux, tu aurais besoin d'un préfixe de quelle taille ?
> 
> J'utilise actuellement en v4 un /27, je pourrais en étant motivé
> augmenter vers un /26 en rapatriant mes équipements externalisés. Je
> ne sais pas comment je devrais le traduire en besoin ipv6 mais le
> besoin resterait tout aussi petit.

Tu as des besoins en IPv4 faibles. Tu fais partie des gens bien (tm).

Après un /24 dans le "market" (je n'aime pas ce mot) du RIPE n'est pas si
cher que ça et te permettrais au moins de ne pas avoir les c.s en 
otage de ton opérateur si jamais il décide de t'avoir.

Il y a probablement des PI ou des LEGACY (sorte de super PI), dans ce
market.

 
> J'avais regardé la solution tunnelbroker fournie par huricane.  Par
> défaut on peut avoir un ::/64 et on peut passer sans problème en
> ::/48. J'ai ouvert mon compte en août 2016, le routeur attend toujours
> d'être configuré.
> L'avantage c'est que je ne serais pas dépendant de mon opérateur
> physique mais je ne fais que décaler le problème.


Tu restes dépendant du bon vouloir de HE. S'ils décident de fermer ce
service, et bien tu es coincé... Sachant que filer de l'IPv4 via tunnel
coute de l'argent, un jour ils voudrons avoir un retour sur investissement.
 
> Enfin de mon coté j'ai pas insisté non plus pour regarder/demander aux
> amis LIR locaux qui auraient un petit bloc disponible pour un kopek.

Une PI IPv6 (/48) coûte 50Euros HT (coût LIR), y a de paperasse a faire,
mais c'est pas le nombre de Lir Sympa qu'il manque sur cette liste.

Si tu prends donc cette option alors tu as la garantie que tout le taf
que tu as fait pour migrer en IPv6 est pérenne, bcp plus que ce que tu 
ferais en avec un /48 chez HE.

Bonne journée,
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] IPV6 Name and Shame

2019-04-28 Par sujet Xavier Beaudouin
Hello,

Je vois des gens s'étriper sur l'IPv6 depuis que je le connais (2000, 6 bone 
toussa).

Bon alors je vais prendre une référence assez simple, sur un des serveurs DNS 
qui fait
autorité, en stats sur un mois : +60% de connections venant d'IPv6 (udp/tcp), 
le reste 40% 
est du legacy en IPv4/UDP (pas de TCP).

Et je vois que cette tendance est en train d'augmenter.

Alors vu que pas mal de resolveurs sont en dual stack, mettre déjà cette brique 
en dual stack
n'est pas si con que ça et vraiment pas d'une difficultés insurmontable.

Reste les frontaux web... Non plus un (ou des) nginx en reverse proxy c'est pas 
non plus 
impossible... Surtout que Apple avec iOS impose le dual stack (sinon l'appli 
n'est pas 
validée du tout, facile à by passer mais... la tendance est là).

Donc deux choses dont une largement utilisée et qui baisse la latence de 
resolution de nom
c'est pas si difficile...

Après chacun a ses pb, et on peux comprendre que des fois on ne comprends pas à 
quoi
ça sert... 

Bonne semaine :)
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  1   2   3   4   5   6   7   >