[FRnOG] [TECH] Problème routage sur Fortigate 3140B
Bonjour à tous, Depuis plusieurs semaines nous rencontrons de manière sporadique des problèmes de routage avec nos Fortigate 3140B (Sur différents sites, mais sur le même backbone) *Le firewall drop des paquets pour cause de Spoofing, or la source arrive bien par la bonne interface et la route retour est OK également.* Quand le problème se produit on constate les erreurs suivantes : FW received a packet(proto=6, 10.104.105.8:53077->10.123.44.98:49) from HUB." 2015-03-05 15:26:40 id=13 trace_id=1757 func=init_ip_session_common line=4430 msg="allocate a new session-3efa8a11" 2015-03-05 15:26:40 id=13 trace_id=1757 func=ip_route_input_slow line=1279 msg="reverse path check fail, drop" Pour résoudre l'incident, on relance le process de routage sur le Fortigate. Est-ce que quelqu'un a déjà rencontrez ce type de problème ? Nous avons environs 4000 routes BGP sur ce couple... PS : Fortinet est sur le coup... mais .. Yann, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Collecte Orange
C'est drôle, car j'ai travaillé chez Orange (Obiane) pendant 3 ans, et les projets WAN avait très rarement du retard ! Tout est question du chef de projet qui s'occupe de vous... On peut également parler de cogent, sanef Telecom, tronc de collecte locaux etc... Qui de la même manière prennent du retard, et peuvent se tromper de configuration... Bref. C'est la vie. De plus faire un communiqué national... Euh euh... Je crois que tu t'enflammes. C'est pas parce que Juniper ou autre ont un support, qui ne sait que dire "veuillez upgrader" qu'il faut un communiqué sur ça ... Keep Cool et harcèle le commercial. Yann, > Le 8 févr. 2014 à 09:46, Sébastien Lesimple a écrit : > > Bonjour David, > > Non je ne te suivrais pas dans cette approche désole. > > Pas plus que dans ton idee de te faire notre porte parole, auprès de la > Divop, au printemps dernier pour régler tes soucis de conf. de modems EFM. > > Je trouve cela contre productif. > Travailler avec eux pour essayer d'améliorer les processus, repérer les > dérapages potentiels, essayer de les prévenir, oui, aller leur tordre le bras > parcequ'ils ont des soucis d'appro, ne servira strictement a rien. > > De plus, ils n'auront jamais l'autorisation de la DG d'Orange pour le faire. > > Sébastien Lesimple. > >> Le 8 févr. 2014 à 06:10, "David Frnog" a écrit : >> >> Sauf que les pénalités sont tellement light qu'ils s'en foutent. >> >> Un truc qui ne veulent pas faire et qui les dérangent vraiment, c'est de >> faire un communiqué National qui rend officiel la chose. >> >> Si on s'y met à plusieurs, on peut forcer à demander ce communiquer déjà >> pour le faire valoir auprès de nos clients, et ensuite pour faire bouger les >> choses plus haut ! >> >> Qu'en pensez vous ? >> >> -Message d'origine- >> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de >> Sebastien Lesimple >> Envoyé : vendredi 7 février 2014 17:09 >> À : Ducassou Laurent; frnog@frnog.org >> Objet : Re: [FRnOG] [MISC] Collecte Orange >> >> Salut Laurent, >> >> Tu fais pas tes commandes avec livraison sans EAS? >> C'est ballot de se retrouver planter à cause de ca, ils peuvent pas modifier >> la commande pour te remettre d’aplomb? >> AP nous a fais ca à la hussarde pour décoincer un raccordement, ils doivent >> pouvoir faire pareil sur un site client. >> >> Sinon y'a la méthode qui fâche... Sur le cuivre, j'ai fais activer les >> pénalités prévues au contrat. >> Tout a coups les choses vont nettement mieux! >> >> Reste les désaturations qui sont franchement pénibles mais là rien à faire >> pour l'instant. >> >> Seb. >> >> Le 07/02/2014 17:00, Ducassou Laurent a écrit : >>> Hello, >>> >>> Nous on a un lien 200M (upgrade 100=>200) en attente depuis près de >>> deux mois pour cause de problème de réappro d'un SFP-30 pour le RAD >> final... >>> Un simple SFP GigaEthernet... >>> >>> Je ne parle même pas de certains lien cuivre qui ont mit un temps >>> déraisonnable (> 2 mois) >>> >>> Laurent >>> >>> Le 07/02/2014 16:40, David Frnog a écrit : Bonjour La liste, Depuis plus de deux mois, Orange a d'énormes retards dans les livraisons des liens SDSL, C2E et CELAN. Au début ils nous ont dit, c'est général, il y'a plusieurs centaines de liens en souffrance au niveau national, et quand on a demandé un communiqué, ils nous ont dit que cela ne concernait que quelques liens et que c'était rétabli donc pas de communiqué. D'autres opérateurs sont ils dans le même cas? Voila, juste pour savoir sans porter préjudice à personne. Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Législation française sur les accès public à internet
"- Commscope (Andrew) HPX8-58W (8 pieds (2,4m) de diamètre, 40 à 42 dBi de gain suivant la fréquence) le faisceau fait 1,3°. C'est une vraie chiotte à aligner, surtout quand la petite soeur est à 40 km de distance et que tu la voies pas (atmosphère pas assez claire). Pour aligner, c'est toléré de prendre des libertés avec la PIRE. "l'antenne Y émet à 200 mètres max" ça ne veut strictement rien dire. Avec l'antenne d'Arecibo (305 m de diamètre, dans les 70dBi de gain dépendant de la fréquence) le faisceau fait 0.028° et on capte des signaux venant de distances mesurées en millions d'années-lumière." Ok merci pour ces explications, donc avec une antenne wifi directionnel, avec une bonne amplification réception, et un angle très fermé : on peut capter le réseau wifi tout pourri de Mac do à 10 km ? Et l'utiliser correctement ? (Car c'est cette affirmation que je n'arrive pas à comprendre) Yann, Le 21 déc. 2013 à 11:13, "Michel Py" a écrit : >> Yann Vercucque a écrit: >> Soit l'antenne amplifie dans les 2 sens, mais si l'antenne X arrive à capter >> un >> réseau wifi à 2km ou plus, mais que l'antenne Y émet à 200 mètres max, >> l'antenne >> Y va émettre à + de 200 mètres, dans le bruit. Donc même si l'antenne >> réceptrice >> dispo d'un gros gain en réception, elle va amplifier du bruit non ? >> Je cherche à comprendre... :) > > Toutes les antennes à gros gain sont directionnelles. Faut les pointer dans > la bonne direction, et c'est vachement précis. Il y a un faisceau d'un > certain angle et l'antenne amplifie ce qui est dans cet angle et non pas > bruit ambiant en dehors. > > Exemples: > > - Rocketdish RD-5G-34 (1 m de diamètre, 34bBi de gain) le faisceau fait 3°. > > - Commscope (Andrew) HPX8-58W (8 pieds (2,4m) de diamètre, 40 à 42 dBi de > gain suivant la fréquence) le faisceau fait 1,3°. C'est une vraie chiotte à > aligner, surtout quand la petite soeur est à 40 km de distance et que tu la > voies pas (atmosphère pas assez claire). Pour aligner, c'est toléré de > prendre des libertés avec la PIRE. > > "l'antenne Y émet à 200 mètres max" ça ne veut strictement rien dire. Avec > l'antenne d'Arecibo (305 m de diamètre, dans les 70dBi de gain dépendant de > la fréquence) le faisceau fait 0.028° et on capte des signaux venant de > distances mesurées en millions d'années-lumière. > > Vu qu'on est vendredi, faites-vous plaisir et regardez "James Bond Goldeneye" > avec Pierce Brosnan (1995) ou "Contact" avec Jodie Foster (1997). Quelqu'un > traduit les titres en Français? Dans les 2 cas des scènes sympa filmées sur > site. Bavez les mecs, bavez. 70 dBi de gain; avec celle-là tu sais qui dans > l'univers a bouffé de la soupe aux choux (1981). > > Ceci étant dit, il y a malheureusement des antennes qui amplifient la merde; > vu hier soir a Fry's une omni de 15 cm qui prétend 12 dBi de gain, le mec qui > a mesuré le gain il avait fumé un tarpé de chez tarpé; un bout de fil > marchera tout aussi bien. > > >> Kavé Salamatian a écrit: >> On apprend à la fac que la formule de budget d’un lien est la suivante : >> PRX = PTX + PTX + GTX + GRX - LFS > > Oui. Dans la pratique, il est de bon ton d'avoir au moins 3dB de rab' pour la > magie noire. > >> Donc résultat des courses si tu as une antenne d’émission en omni >> pourrie et que tu as une antenne de réception avec un gain important >> en directionnel et que ton récepteur à une marge de bruit (noise >> margin) faible et qu’il est sensible tu peux récupérer quelque chose. > > Encore oui, mais faut pas oublier nombre de facteurs importants: > > - La courbure de la terre et la zone de Fresnel. Il y a des bonnes raisons > pour lesquelles on installe les antennes sur des tours. A lire, par exemple: > http://www.afar.net/fresnel-zone-calculator > > - D'autres facteurs qui pourtant n'ont pourtant pas l'air importants, du > genre la longueur moyenne des épines de pin dans les arbres au mauvais > endroits: 3,1 cm c'est lambda/4 dans la bande 2.5 GHz. Il a des gens qui > disent que rien que çà peut te rajouter 1dB de bruit. > > - Les lois parfois complètement débiles sur la PIRE, qui varient en fonction > des pays et de la bande. Ici, la bande ISM 5.8 Ghz est très populaire parce > que les régulations sur la PIRE encouragent les antennes à gros gain: > au-dessus de 6dBi, pour chaque 3dBi de gain d'antenne il ne faut enlever que > 1dB de puissance. > > - Et que finalement c'est pas le gain qui com
Re: [FRnOG] Re: [MISC] Législation française sur les accès public à internet
Désolé mais je n'arrive pas à comprendre... Soit l'antenne amplifie dans les 2 sens, mais si l'antenne X arrive à capter un réseau wifi à 2km ou plus, mais que l'antenne Y émet à 200 mètres max, l'antenne Y va émettre à + de 200 mètres, dans le bruit. Donc même si l'antenne réceptrice dispo d'un gros gain en réception, elle va amplifier du bruit non ? Je cherche à comprendre... :) Yann, > Le 18 déc. 2013 à 16:50, clem...@guivy.fr a écrit : > > Le 2013-12-18 07:17, Yann Vercucque a écrit : >> Pour ce qui est des antennes directionnelles, et de vos 10km de >> portée... C'est côté client... Mais côté borne faut une portée >> équivalente... Sinon comment est-il possible qu'elle réponde ? :) > > Une antenne amplifie le signal dans les deux sens (émission et réception). > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Législation française sur les accès public à internet
"Combien de terroristes les autorités Françaises ont arrêtés avec çà? Zéro." Hum. Source ?! Pour ce qui est des antennes directionnelles, et de vos 10km de portée... C'est côté client... Mais côté borne faut une portée équivalente... Sinon comment est-il possible qu'elle réponde ? :) Yann, Le 18 déc. 2013 à 05:53, "Michel Py" a écrit : >> Par exemple, séjourner dans un McDo et tester leur Wifi et >> regarder ce qu'ils demandant pour fournir cet accès. > > Je sais qu'on n'est pas vendredi, mais vu que c'est moi qui ai crée ce troll > (lire les archives de la liste ;-) ça continue de me démanger quand je le > lis. La loi de l'emmerdement maximum. Combien de terroristes les autorités > Françaises ont arrêtés avec çà? Zéro. C'est faire chier le peuple juste parce > qu'on le peut. Sans vouloir être méchant, il y a plein de gens sur cette > liste qui devraient bénir MacDo, dans le genre "MacDo le fait, pourquoi pas > moi". > > >> Raphael Jacquot a écrit: >> il suffit d’une bonne parabole genre nanobridge et >> tu chopes le wifi de ronald a 1km de distance ;) > > Andrews de 8 pieds, 42 dB. > Inconvénient: faut une remorque. C'est à vendre, mais prix prohibitif, si tu > n'es pas celui qui la démonte pour la remplacer par une plus petite. > Avantage: Si t'as LOS, tu chopes le wifi de ronald a 10km de distance, facile > (sauf les jours ou il neige). > Non, ça ne marche pas avec un "mirroir" métallique. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
La majorité des équipements rendant possible l'utilisation de l'interception SSL, permettent d'appliquer du deep inspection sur des flux précis (de Hotspot vers internet, par exemple) de même il possible de définir que ce n'est uniquement les flux à destination du port 443 qui seront deep inspecté. Yann, > Le 9 déc. 2013 à 16:00, "Radu-Adrian Feurdean" > a écrit : > >> On Mon, Dec 9, 2013, at 15:50, Yann Vercucque wrote: >> Il faut arrêter d'aller dans tout les sens... >> >> Une interception SSL peut ce faire sur certain flux, pas sur une page >> d'authentification VPN, par exemple (techniquement faisable mais sans >> intérêt) > > Generalement tu interceptes avant de savoir ce que tu as intercepte. > Les autorisations "fine-grained" vers internet NE MARCHENT PAS !!! Meme > si la technologie existe, la gestion c'est un echec a plus de 99% des > cas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Il faut arrêter d'aller dans tout les sens... Une interception SSL peut ce faire sur certain flux, pas sur une page d'authentification VPN, par exemple (techniquement faisable mais sans intérêt) Pour les textes de lois concernant les accès internet public : Premièrement, la loi LCEN du 21 juin 2004 impose aux personnes qui fournissent un accès à internet de garder confidentielles les données personnelles de leurs clients (article 6 III 2 de la loi). Mais en même temps, cette loi leur impose aussi la conservation des données « de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elle est prestataire » (article 6 II). Certains y ont vu un paradoxe, mais il n'est qu'apparent. Le FAI doit seulement pouvoir déconfidentialiser les données si l'autorité judiciaire lui en fait la demande. Il reste tenu au secret professionnel. L'article L.34-1 du CPCE reprend cette exigence. Conformément à la LCEN, le code rappelle donc que l'OCE doit conserver les données permettant l'identification des personnes utilisatrices des services fournis par les opérateurs. En outre, l'article R.10-13 du CPCE issu du décret du 24 mars 2006 décrit les catégories de données à conserver. Il s'agit des données permettant l'identification de la personne qui s'est connectée, les données de connexion dont la date et l'heure, les données relatives aux équipements utilisés et même les données permettant d'identifier les destinataires de toute communication effectuée. Le décret du 24 mars 2006 fixe la durée de conservation des données à un an, durée au-delà de laquelle elles devront être anonymisées. La loi « Informatique & Libertés » du 6 janvier 1978 intervient également, puisque le FAI doit absolument respecter les obligations d'information des personnes quant à leurs droits d'accès, de rectification, d'opposition et de suppression. En outre, conformément à la décision de ARCEP du 26 avril 2007 (mettant fin à la phase initiale d'expérimentation des réseaux WLAN), les opérateurs wifi sont dorénavant soumis au respect de l'ensemble des dispositions du CPCE Yann, > Le 9 déc. 2013 à 15:35, "Radu-Adrian Feurdean" > a écrit : > >> On Mon, Dec 9, 2013, at 10:05, MM wrote: >> >> Décortiquer le SSL pour s’assurer qu’il n’est pas utilisé à des fins de >> VPN, ou pour protéger les échanges de virus vers des centres de contrôle > > En occurence comment expliques-tu a un de tes partennaires que son flux > VPN vers son entreprise, fait avec son identifiant est intercepte ? En > clair/decrypte ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un hotspot invité. De ce faite, il est nécessaire de faire de l'interception SSL, afin loguer les flux HTTPS. Comme cela a déjà été dit, le problème n'est pas l'interception SSL. Mais l'interception SSL par un certificat signé par une autorité connu. Au passage les équipements comme Fortigate, permettent de choisir de ne pas intercepter les banques, les sites médicaux et les réseaux sociaux. Yann, > Le 8 déc. 2013 à 21:06, Raphaël Stehli a écrit > : > > Juridiquement parlant, rien n'empêche à un employeur (public ou privé) : > - de déchiffrer le contenu des flux chiffrés pour les analyser de manière > automatique, > - de déchiffrer le contenu des flux chiffrés pour interception manuelle, à la > demande d'une autorité administration ou juridictionnelle, voir même à des > fins internes, sous réserve de ne pas consulter les informations ayant un > caractère personnel sans que le salarié ait été appelé. Le juge prudhommal > vérifiera. > > Il existerait un risque théorique de réutiliser le résultats de > l'interception pour pirater une banque. Néanmoins, le risque est faible : > - les banques sérieuses utilise du forward secrecy, qui devrait limiter les > problèmes de l'interception SSL, > - les entreprises ne laisse pas trainer leurs clés privées n'importent où (ou > elles se retourneront à leur tour contre le responsable informatique), > - les salariés ou agents doivent être au courant de l'interception SSL via la > charte informatique et la déclaration CNIL donc en utilisant le système > informatique de l'entreprise / administration, ils étaient au courant et ils > ont fait le choix de se connecter à leur banque avec le système, > - les banques sérieuses utilisent un autre système complémentaire (SMS, code > à usage unique, etc.) > > Donc, même en cas de vol de la clé, l'entreprise devrait voir sa > responsabilité fortement minorée. > > Le problème ici est que ce problème, lié a du gmail a fait bondir Google : > son modèle économique est uniquement basé sur la confiance des utilisateurs. > Le modèle des ACR est basé sur la confiance des acteurs du secteurs. > La réaction de Google était donc prévisible. > > Pour la restriction à *.gouv.fr, ce n'est pas forcément possible : il existe > des administrations qui n'utilisent pas le .gouv.fr : je pense aux > assemblées, aux juridictions et aux autres agences administratives > indépendantes. > > Je ne sais pas si quelqu'un peut maintenant prévoir la suite des évènements, > mais il faut espérer que les modifications de protocoles de l'ANSSI > arriveront à convaincre Google, Microsoft et Mozilla de ne pas bloquer les > certificats racine de l'IGC/A. > > Il faudrait également savoir comment les responsables de l'AC intermédiaire > ont pu signer un certificat de pour google ou gmail. > > > Cordialement, > Raphaël > > > Le 08/12/2013 20:33, Jean-Yves Faye a écrit : >> Bonsoir, >> >> NetASQ a cette fonctionnalité, et de plus est un produit bien Français. >> Purement techniquement parlant, cette technique peut être pratique pour >> garder l'aspect SSL des communications, tout en soumettant à l'analyse >> antivirus/IDS les flux entrants, chose courante avec les appliances type >> NetASQ justement. >> >> Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et >> publique (par transitivité). Normalement on fait ça avec une AC interne et >> les certificats spécifiques sont déployés sur les postes. >> >> Après cela remet encore une fois sur le tapis la question de la liste à >> rallonge des autorités "de confiance" qui peuvent donner des certificats >> pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, >> une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de >> l'administration aurait été pertinente. >> >> Un nettoyage des magasins de certificats des navigateurs est la seule >> solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à >> implémenter les protocoles déjà proposés pour réduire la voilure niveau >> portes d'entrée dans le système des IGC (moins problable) >> >> Cordialement, >> >> Jean-Yves Faye >> >> >> Le 8 décembre 2013 20:08, Fabien Delmotte a écrit : >>> Bonsoir, >>> >>> Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un >>> problème de configuration qu’autre chose. >>> >>> Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur >>> le sujet avec le comment faire et son contraire), mais cela fonctionne sans >>> problème Technique dans les autres pays. >>> J’ai personnellement installé plusieurs configuration en dehors de la >>> France sans problèmes techniques. >>> >>> Cordialement >>> >>> Fabien >>> >>> Le 8 déc. 2013 à 19:48, Surya ARBY a écrit : >>> >>> > C'est pourtant le principe de fonctionnement des firewalls palo alt
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Désolé mais c'est complètement faux... La charte informatique que les salariés doivent signer pour utiliser des Pc de la société, doit indiquer clairement que le surf à titre personnel est toléré (ou non) et que le service informatique ce réserve le droit d'en contrôler l'accès. Un salarié pourrait très bien aller sur des sites illégaux (pédophilie, nacisme ou autre) en https. Si les forces de l'ordre s'en aperçoivent, il faut être capable de les renseigner... Cela rejoint, à mon sens, la réglementation sur les hotspots wifi qui doivent absolument tout logguer. Concernant le choix des firewall, Palo Alto ont également des rapports bien fournis. Yann, > Le 24 sept. 2013 à 11:15, Raphaël Jacquot a écrit : > >> On 24.09.2013 11:06, Jean-Henri Antunes wrote: >> lol, pas mis en place ce truc là, mais justement ca m'interresse >> dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit >> trojan utiliser des sessions ssl... >> par exemple si le certificat ssl ne match pas xxx et que yyy appliquer >> déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. >> Par contre sur l'aspect "illégal" c'est étonnant... c'est du >> déchiffrement (man in the midle) juste pour assurer la sûreté du >> flux / la conformité avec la politique de l'usage internet... dans le >> cas où les utilisateurs sont informés... pour moi celà s'apparente >> à l'analyse d'une pièce jointe par l'AV > > la communication chiffrée est assimilée a de la correspondance privée, a > l'opposé > de l'email qui transite en clair dans le serveur de l'entreprise. > > l'utilisation de produits de MITM est donc une intrusion illégale dans un > systeme > de traitement de l'information, au sens de la réglementation. > si, par exemple, l'utilisateur se connecte a son gmail en https, le fait > d'utiliser > un outil de MITM est une intrusion dans les serveurs de Google > >> Le 24 septembre 2013 10:55, Raphaël Jacquot a >> écrit : >>> On 24.09.2013 10:52, Jean-Henri Antunes wrote: (...) dechiffrement (...) >>> c'est moche le MITM... c'est même illégal (intrusion dans une >>> correspondance privée) >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ [1] >> Links: >> -- >> [1] http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question BGP suite coupure TH2
En admettant que la session BGP ne tombe pas, je pencherai sur la mise en place de Track IP (IP SLA) sur une ip de Neo Telecom. Ce lien répondra à votre question : http://blog.ipspace.net/2011/09/shut-down-bgp-session-based-on-tracked.html, il faudrait changer le "tracking interface" en "tracking ip". J'ai n'ai pas testé mais la solution est viable je pense. Yann V. Le 19 sept. 2013 à 21:31, Antoine Durant a écrit : > Bonsoir, > > Une question au pro du BGP concernant l'incident électrique qui est arrivé > aujourd'hui à TH2 impactant Neo telecom. > > Peut être ma demande va vous paraître HS, mais, j'aime bien comprendre ! > > Admettons que mon fournisseur de transit soit interconnecté avec Neo telecom > et que pour X raisons mon transitaire ne coupe pas la liaison BGP défectueuse > de Néo. > > Que puis-je faire de mon coté niveau BGP afin d'éviter de faire > rentrer/sortir du traffic vers l'AS de Néo ? > Existe t'il une régle que je peux mettre en place afin de prioritiser > n'importe quelle route pour vue qu'elle ne passe pas par l'AS défecteux ? > > Quel est la solution enviseageable de mon coté ?? > > Merci à ceux qui prendront la peine de me réponse. > > Bonne soirée. > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FrnOG][TECH] Solution pour analyser les performances réseaux[FrnOG][TECH]
Bonjour, Les solutions Riverbed Cascade sont très intéressantes pour réaliser un audit. Riverbed permet d'avoir des graphs de performance réseau (Jusqu'au niveau 7) avec latence, retransmission tcp etc... et il y a également la possibilité d'installer un Riverbed Cascade sur un ESX permettant de voir les interactions process / réseau. L'implémentation est simple, soit par la remonté de Netflow, soit par un port-mirroring. Je l'ai mis en place chez un client, et nous avions découvert que les lenteurs, remontent par les utilisateurs, étaient dû à une application. Yann, Le 14 août 2013 à 12:36, Pierre-Edouard Budan a écrit : > Dans le cas où vous souhaiteriez tester le réseau en fonctionnement, sur > quelle durée souhaiteriez faire ça ? > > Dans l'autre cas où vous souhaiteriez faire des tests sur un réseau à vide, > le test Y.1564 implémenté sur des compteuses Ethernet peut être pas mal car > permet de tester plusieurs flux en parallèle en testant ainsi la QoS (ici > les VLAN si il y en a). Le principe est d'avoir un générateur de trafic > (UniPRO MGig1 chez IDEAL INDUSTRIES, MU909060A chez Anritsu, FTB200 chez > EXFO...) et un ou des boucleurs en face qui permettent de mesurer les > performances d'un réseaux jusqu'à la couche Transport (très utile pour > tester des liens LAN 2 LAN). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Et que pensez vous de Lastpass ? Et de son association possible avec une Yubikey ? Yann, Le 5 août 2013 à 17:17, Romain a écrit : > Il existe aussi "Dashlane", qui m'a surpris. C'est français. > Très bien fait, base cryptée en locale et synchronisée entre plusieurs > devices, etc. > Y'a 30 jours d'essais par défaut, ceux qui veulent tester je peux les > parrainer pour avoir 6 mois gratuits (à faire avant l'inscription gratuite > sinon c'est cuit). > > > Le 5 août 2013 16:48, Olivier MARECHAL a écrit : > >> +1 pour Keepass pour toutes les raisons évoquées ci-dessus. On l'utilise >> "lourdement" depuis quelques années et beaucoup de nos clients aussi. >> >> >> Le 5 août 2013 16:39, Arnaud M a écrit : >> >>> +1 pour keepass qui est multiplateforme (pensez à synchroniser le fichier >>> de data qui fait seulement quelques Ko avec Dropbox ou mieux sur votre >>> Owncloud ;-)) >>> >>> J'aime assez bien l'idée de Etienne de générer un pwd à partir du nom de >>> domaine et d'un master password ce qui permet de ne rien stocker >> finalement >>> (mais quid des mots de passe systèmes/logiciels/etc ?) >>> >>> C'est pour ça que j'aime bien keepass, on peut tout mettre dedans, il >> fait >>> une chose et l'a fait bien. >>> >>> >>> Le 29 juillet 2013 14:52, Etienne Folio a >> écrit >>> : >>> Hello, Moi j'ai développé une petite extension Firefox qui crée un hash en fonction du nom de domaine du site visité, salé puis tronqué. L'adresse : http://masterpass.ornthalas.net Open source, tout en local dans le navigateur, au clic droit… Je >>> l'utilise avec mes amis depuis des années, et ça fonctionne toujours aussi bien… Je me suis attaché à cette méthode et au moins je sais exactement >> comment elle fonctionne ! Reste à faire l'extension pour Chrome, dès que je débloque un peu de >>> temps :) D'ailleurs, si vous avez des suggestions, je suis open (hors liste). -- Etienne Folio Tel : +33 (0)6 27 58 39 14 • Fax : +33 (0)1 46 64 69 97 L.systems • http://lsystems.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le Marais
Désolé je m'adapte au niveau On peut peut-être reparler réseau ? Yann, Le 15 juil. 2013 à 17:48, Julien Gormotte a écrit : > s'est > > Le Mon, 15 Jul 2013 17:44:16 +0200, > Yann Vercucque a écrit : > >> J'ai saigné des yeux Ma prof de français c'est d'ailleurs >> éventrée ! >> >> Bref Bonne journée ! >> >> Yann, >> >> Le 15 juil. 2013 à 15:25, J34n K3v1n a écrit : >> >>> Bjr >>> >>> Dsl si je répon a coter, ms je conpren pas le raport ac le marai, >>> pke le marai c pr les homo, non??? Alor cé koi le raport ac le >>> résaeu?? Mdrr TT facons la loi est passé, alor les homo sont plu >>> interdi, alor pk vs en parlait?? Mn pére aréte pas de geuler sur >>> eux, il dit ke les homo c kom les musulman, c tous des arabes. >>> MTR il fé pa la diférence, sa a rien a voir lol!! >>> >>> Lol,vs aussi vs étes en vacance pr postait au temps?? >>> >>> >>> Le 15 juillet 2013 14:29, Alain Richard >>> a écrit : >>> >>>> Mouais ! >>>> >>>> >>>> Avec très peu de recherche : >>>> >>>> http://www.placenet.fr/peering >>>> https://www.peeringdb.com/private/participant_view.php?id=2738 >>>> >>>> et si ses enregistrements en peeringdb sont à jour, les ressources >>>> qu'il veut conserver sont : >>>> >>>> AS39117 >>>> 194.79.48.0/22 >>>> 2001:67c:1200::/46 >>>> >>>> Il semblerait que ni AS39117, ni 194.79.48.0/22 ne soient déclarés >>>> dans la base RIPE. 194.79.48.0/22 tombe dans une plage du RIPE >>>> pour les attributions PI, mais aucune réservation n'est faite. >>>> >>>> >>>> Il est tout à fait possible de souscrire un cadre contractuel avec >>>> un LIR Français pour le maintient de ces ressources pour un budget >>>> très raisonnable (~200-300€/an), si le RIPE veut bien encore >>>> accepter d'attribuer ces ressources à placenet. >>>> >>>> Quelques remarques : >>>> >>>> - cet acteur est en conflit avec le RIPE probablement pour des >>>> raisons idéologiques et non commercial (le cout de "je parle pas >>>> anglais", ou "ils veulent me taxer des milliers d'euros", n'est >>>> que de la poudre aux yeux, car comme indiqué ci-dessus, il est >>>> très simple de contractualiser avec un LIR Français et cela ne >>>> coûte que quelque centaines d'euros). >>>> - je suppose que de toute façon ces ressources ne valent pas grand >>>> chose aux yeux de cet acteur car sinon il ne prendrait pas autant >>>> de risque de les perdre pour une somme si faible. >>>> - le lancement de cette discussion, en cachant les données réelle >>>> et le sujet réel, est donc une simple volonté de troll. >>>> >>>> Et si cet un acteur veut repartir vers la vraie liberté, ou tout >>>> est gratuit (concept plutôt utopique, car la gratuité n'existe >>>> pas), il peut tout à fait le faire en créant un Internet bis (il >>>> pourra alors gérer toutes les adresses IPv4 et IPv6 qu'il veut, et >>>> même devenir ARIN et RIPE pour ses petits copains qui voudrons >>>> faire de même). >>>> >>>> Internet aujourd'hui est une économie de plusieurs centaines de >>>> milliard d'euros. C'est un fait. >>>> >>>> >>>> Donc sur le fond, si vous souhaitez taper sur la tête du RIPE, >>>> annoncez le franchement, et avec le cas échéant des arguments et >>>> propositions constructives. >>>> >>>> Si vous souhaitez conserver des ressources dévolues au RIPE, >>>> entrez dans la cadre contractuel nécessaire. >>>> >>>> Si vous n'êtes pas d'accord avec la régulation existant, >>>> participez à sa réforme ... ou faites la révolution ! >>>> >>>> A+ >>>> >>>> >>>> >>>> Le 11 juil. 2013 à 22:38, frederic a >>>> écrit : >>>> >>>>> Le 11/07/2013 21:23, Tristan Mahé a écrit : >>>>>> Cela aurait été intéressant d'avoir la classe d'IP en question >>>>>> pour savoir d’où elles proviennent et pouvoir te répondre. >>>>>> >>>>>> En me basant sur celle de ton site inter
Re: [FRnOG] [MISC] Le Marais
J'ai saigné des yeux Ma prof de français c'est d'ailleurs éventrée ! Bref Bonne journée ! Yann, Le 15 juil. 2013 à 15:25, J34n K3v1n a écrit : > Bjr > > Dsl si je répon a coter, ms je conpren pas le raport ac le marai, pke le > marai c pr les homo, non??? Alor cé koi le raport ac le résaeu?? Mdrr > TT facons la loi est passé, alor les homo sont plu interdi, alor pk vs en > parlait?? Mn pére aréte pas de geuler sur eux, il dit ke les homo c kom les > musulman, c tous des arabes. MTR il fé pa la diférence, sa a rien a > voir lol!! > > Lol,vs aussi vs étes en vacance pr postait au temps?? > > > Le 15 juillet 2013 14:29, Alain Richard a écrit > : > >> Mouais ! >> >> >> Avec très peu de recherche : >> >> http://www.placenet.fr/peering >> https://www.peeringdb.com/private/participant_view.php?id=2738 >> >> et si ses enregistrements en peeringdb sont à jour, les ressources qu'il >> veut conserver sont : >> >> AS39117 >> 194.79.48.0/22 >> 2001:67c:1200::/46 >> >> Il semblerait que ni AS39117, ni 194.79.48.0/22 ne soient déclarés dans >> la base RIPE. 194.79.48.0/22 tombe dans une plage du RIPE pour les >> attributions PI, mais aucune réservation n'est faite. >> >> >> Il est tout à fait possible de souscrire un cadre contractuel avec un LIR >> Français pour le maintient de ces ressources pour un budget très >> raisonnable (~200-300€/an), si le RIPE veut bien encore accepter >> d'attribuer ces ressources à placenet. >> >> Quelques remarques : >> >> - cet acteur est en conflit avec le RIPE probablement pour des raisons >> idéologiques et non commercial (le cout de "je parle pas anglais", ou "ils >> veulent me taxer des milliers d'euros", n'est que de la poudre aux yeux, >> car comme indiqué ci-dessus, il est très simple de contractualiser avec un >> LIR Français et cela ne coûte que quelque centaines d'euros). >> - je suppose que de toute façon ces ressources ne valent pas grand chose >> aux yeux de cet acteur car sinon il ne prendrait pas autant de risque de >> les perdre pour une somme si faible. >> - le lancement de cette discussion, en cachant les données réelle et le >> sujet réel, est donc une simple volonté de troll. >> >> Et si cet un acteur veut repartir vers la vraie liberté, ou tout est >> gratuit (concept plutôt utopique, car la gratuité n'existe pas), il peut >> tout à fait le faire en créant un Internet bis (il pourra alors gérer >> toutes les adresses IPv4 et IPv6 qu'il veut, et même devenir ARIN et RIPE >> pour ses petits copains qui voudrons faire de même). >> >> Internet aujourd'hui est une économie de plusieurs centaines de milliard >> d'euros. C'est un fait. >> >> >> Donc sur le fond, si vous souhaitez taper sur la tête du RIPE, annoncez le >> franchement, et avec le cas échéant des arguments et propositions >> constructives. >> >> Si vous souhaitez conserver des ressources dévolues au RIPE, entrez dans >> la cadre contractuel nécessaire. >> >> Si vous n'êtes pas d'accord avec la régulation existant, participez à sa >> réforme ... ou faites la révolution ! >> >> A+ >> >> >> >> Le 11 juil. 2013 à 22:38, frederic a écrit : >> >>> Le 11/07/2013 21:23, Tristan Mahé a écrit : Cela aurait été intéressant d'avoir la classe d'IP en question pour savoir d’où elles proviennent et pouvoir te répondre. En me basant sur celle de ton site internet et de ton MX, je tombe sur des ips attribuées à OVH. Sinon, relis bien le mail de Radu, qui t'as bien expliqué qu'un EndUser ( toi ), n'as pas à devenir LIR mais bel et bien souscrire un contrat avec un LIR pour la gestion de ses IPs... ( tu souscrit un contrat avec LIR qui lui as son contrat avec le RIPE pour tes allocations de ressources ). Ce qui as bien du se passer lorsque tu as reçu ton allocation IP/AS il y a des années... >>> Il y a une époque , il n'y avait aucun contrat avec le LIR, le LIR avait >>> un statuts pour distribuer des Ips et elles n'étaient soumises à aucune >>> contrainte contractuelle, surtout les P.I. >>> >>> le seul qui était lié au RIPE etait le LIR. L' apparition du contrat >>> pour les adresses Ips est récente et il y a mainteant des mentions >>> obligatoires minimum à mettre en place pour LIR envers le Enduser qui >>> n'existaient pas avant. >>> >>> la chaine contractuelle avant: >>> >>> RIPE --> LIR. >>> maintenant : >>> RIPE -> LIR -> EU. la version RIPE -> EU a été présente quelques >>> temps mais a été supprimé très rapidement. >>> >>> RIPE -> LIR -> EU. ce contrat juridique n'est qu'au profit de L'ICANN et >>> uniquement celui-ci. >>> >>> Quand tu es EU et tu n'as et avait aucun contrat (quelques soient la >>> cause de bonne foi), et que tu sais que les contrats ne sont pas dans >>> ton intérêt et que tu n'as pas ton mot à dire la dessus sauf celui de >>> banquer. Ton seul intérêt est de refuser de signer le contrat qu'on te >>> présente pour combler la lacune d' avant de la seule et unique >>> responsabilité du
