subject:"\[FRnOG\] \[MISC\] Adoption de nouveaux protocoles"





Cà a l'air bien sympa, je visite la prochaine fois que je traverse la mare.


You're welcome :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-16 Par sujet Michel Py

>>> J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
>>> n'ai toujours pas compris ce qui était prévu pour ce cas de figure.

>> Problème est que la solution n'existait pas; les seuls qui pouvaient être 
>> multihomés étaient les FAI.

> J'en étais resté là : pas de PI et incapable de comprendre comment on
> pouvait faire sans avec un adressage hiérarchique.

On a tout essayé. Tout.
Des trucs politiquement impossibles comme çà :
http://arneill-py.sacramento.ca.us/ipv6mh/geov6.txt
(Aie aie je vais me faire taper dessus, rien pour la Corse ni pour l'Ile 
d'Oléron)
Des trucs qui ne pouvaient pas marcher, y compris les miens.
Des trucs qui ne pouvaient pas être adoptés, y compris ce qui était un standard 
proposé de l'IETF:
https://tools.ietf.org/html/rfc5533

Cette mentalité est typique d'IPv6 : trop ambitieux, promet des solutions qui 
n'existent pas.
Ce n'est pas parce que quelque chose est un standard IETF çà deviendra quelque 
chose.

Le marché a parlé. C'est crade, on remplit la TCAM, mais çà marche.


> Arnaud Launay a écrit :
> Et quand bien même. De mes souvenirs de la formation du RIPE, ils assignent 
> un /32, et font
> une espèce de réservation "virtuelle" du (des ?) blocs contigus, de telle 
> façon qui si tu as
> besoin d'un autre /32 un peu plus tard, tu auras un /31 agrégé proprement.

Mécanisme connu depuis la nuit des temps : https://www.ietf.org/rfc/rfc1219.txt
Version IPv6 : https://www.ietf.org/rfc/rfc3531.txt

> Stéphane Rivière a écrit :
> L'île d'Oléron, c'est aussi 3000 entreprises et artisans, bientôt le 5ème 
> port de pêche
> français, mais aussi l'ostréiculture et la mytiliculture, qui ont un impact 
> équivalent à
> une usine automobile (1000 et 2000 emplois directs et indirects), sans 
> compter l'économie
> touristique et toutes les infrastructures à l'année d'un territoire en pleine 
> expansion.
> https://www.youtube.com/watch?v=2yOxCN9hAmo
> https://www.youtube.com/watch?v=Ti7U8Pk4kFg

Cà a l'air bien sympa, je visite la prochaine fois que je traverse la mare.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-16 Par sujet Arnaud Launay

Le Fri, Mar 15, 2019 at 05:56:09PM +, Michel Py a écrit:
> Combat d'arrière garde; c'est naturel qu'il y ait moins de
> fragmentation dans la DFZ IPv6 : les allocations initiales ont
> souvent été faites bien plus généreusement que pour IPv4, donc
> l'org qui a besoin de s'étendre n'a pas besoin de demander
> après-coup un autre préfixe.

Et quand bien même. De mes souvenirs de la formation du RIPE, ils
assignent un /32, et font une espèce de réservation "virtuelle"
du (des ?) blocs contigus, de telle façon qui si tu as besoin
d'un autre /32 un peu plus tard, tu auras un /31 agrégé proprement.

Je me demande d'ailleurs si ce n'est pas tout le /29 qui est
réservé, d'ailleurs.

Evidemment, si un jour il y a pénurie, il est probable qu'ils
l'utilisent quand même pour le donner à quelqu'un, mais je
soupçonne que nous serons morts et enterrés depuis bien
longtemps si ça arrive.

Et il y a aussi le "on n'utilise que 2000::/3 pour l'instant,
donc si jamais on fait de la merde, on peut encore recommencer" :-D

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 16/03/2019 à 12:22, David Ponzone a écrit :

Et niveau espérance de vie de l’île, c’est comment ? :)
Pire ou mieux que les Maldives ?


Une âme charitable me précise que tu parlais de l'espérance de vie *de 
l'île*. Et je lui répondait ceci :


--
Je suis très loin de ces conneries bobocologistes...

Du temps de Louis XVI, l'île d'Oléron était quasiment coupée en deux par 
les eaux, Brouage était un port et la mer était bien dans les terres...


Que le niveau de la mer monte de 1 ou de 3 mm par an ces temps-ci ne 
démontre rien. J'ai lu dernièrement que l'eau monterait de 60m en un 
siècle. D'autres fois c'est 1m.


Personnellement le nucléaire civil me fait bien plus peur (j'ai bossé la 
dedans pendant 10 ans et je sais la merde que c'est 'inside'. Le plus 
étonnant c'est qu'on a pas encore eu notre accident majeur).

--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 16/03/2019 à 12:22, David Ponzone a écrit :

Et niveau espérance de vie de l’île, c’est comment ? :)


Mortalité logiquement inférieure à la moyenne nationale. On vit 
manifestement vieux. Un bon endroit pour les anciens.



Pire ou mieux que les Maldives ?


Nettement mieux si j'en crois un GETA qui donne 77,34 ans pour les 
Maldives (2016).


Tu hésites entre les deux pour ta retraite ?

Enfin... l'essentiel est ailleurs.

https://www.youtube.com/watch?v=2yOxCN9hAmo

Pour le coté touristique (dont les locaux se foutent), l'inévitable fort 
et la (toute petite) sœur de l'île d'Oléron...


https://www.youtube.com/watch?v=Ti7U8Pk4kFg

L'île d'Oléron, c'est aussi 3000 entreprises et artisans, bientôt le 
5ème port de pêche français, mais aussi l'ostréiculture et la 
mytiliculture, qui ont un impact équivalent à une usine automobile (1000 
et 2000 emplois directs et indirects), sans compter l'économie 
touristique et toutes les infrastructures à l'année d'un territoire en 
pleine expansion.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-16 Par sujet David Ponzone

Et niveau espérance de vie de l’île, c’est comment ? :)
Pire ou mieux que les Maldives ?

David Ponzone



> Le 16 mars 2019 à 10:54, Stéphane Rivière  a écrit :
> 
> 
>> (Là il va vraiment avoir envie de me buter, hein ?)
> 
> On va éviter ça, rester dans le pacifique (sic) et l'inviter à l'apéro sur 
> Oléron... plus grande île métropolitaine après la Corse (respect Toussaint), 
> aussi surnommée l'île lumineuse ou le petit maroc...
> 
> Mes panneaux solaires sont à fond, l'eau est bien plus chaude (merci le gulf 
> stream) et question planche et surf, supers spots sur nos 100 Km de côtes (et 
> 200km de pistes cyclables)...
> 
> Reste la neige. Il parait que c'est blanc et que ça tombe du ciel. On voit 
> pas trop le comment, mais c'est pas un fake, on l'a vu à la télé.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles





(Là il va vraiment avoir envie de me buter, hein ?)


On va éviter ça, rester dans le pacifique (sic) et l'inviter à l'apéro 
sur Oléron... plus grande île métropolitaine après la Corse (respect 
Toussaint), aussi surnommée l'île lumineuse ou le petit maroc...


Mes panneaux solaires sont à fond, l'eau est bien plus chaude (merci le 
gulf stream) et question planche et surf, supers spots sur nos 100 Km de 
côtes (et 200km de pistes cyclables)...


Reste la neige. Il parait que c'est blanc et que ça tombe du ciel. On 
voit pas trop le comment, mais c'est pas un fake, on l'a vu à la télé.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-16 Par sujet Alarig Le Lay

On ven. 15 mars 19:53:47 2019, Michel Py wrote:
> A prendre avec des pincettes. C'est pas parque que Google est à 25%
> d'IPv6 que çà représente 25% du trafic. Le lien que Google te donne, a
> part les GAFAM il est pas souvent en v6.

Je n’utilise presque pas les GAFAM et à ma maison je fais 65 % d’IPv4 et
35 % d’IPv6 en moyenne sur le mois :
https://metro.swordarmor.fr/munin/swordarmor.fr/drscott.swordarmor.fr/ipv6_percent.html

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-16 Par sujet Pascal PETIT

Bonjour Michel,

Le vendredi 15 mars 2019 (16:59), Michel Py écrivait :
> > Pascal PETIT a écrit :
> > J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
> > n'ai toujours pas compris ce qui était prévu pour ce cas de figure.
> 
> Le protocole de base n'avait pas la notion de PI. Tout était PA, ce qui en 
> théorie aurait conduit à une DFZ de très petite t'aille, l'agrégation des 
> préfixes étant faite au niveau des FAI.
>

> Problème est que la solution n'existait pas; les seuls qui pouvaient être 
> multihomés étaient les FAI.

J'en étais resté là : pas de PI et incapable de comprendre comment on
pouvait faire sans avec un adressage hiérarchique.

Ce qui est ci-dessous répond tout à fait à ma question.

> Il y a eu plusieurs propositions, aucune de techniquement viable.
> Reconnaissant l'échec à délivrer quelque chose qui pourrait marcher, les RIR 
> ont fait un enfant dans le dos à l'IETF, inventé la notion de PI v6, et 
> commencer à déléguer des adresses IPv6 (et un ASN) aux utilisateurs finaux 
> devaient multihomer.
> 
> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
> multihomer , un annonce un préfixe (de plus) dans la DFZ. Donc maintenant il 
> faut non seulement se taper 1 million (dans pas trop longtemps) de préfixes 
> dans la DFZ IPv4 plus la DFZ IPv6, dont les préfixes consomment 2 fois plus 
> de TCAM que les IPv4.
> 
> Quand j'écris que IPv4 et IPv6 sont en compétition pour les mêmes ressources, 
> voici un bon exemple : la TCAM. Les vendeurs s'en frottent les mains.
> 
> 

-- 
Pascal Petit,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

Pour en revenir au sujet initial, un exemple de ce qui a été adopté : les ASN 
32 bits, au lieu de 16.
Cà été long, il y a des trucs (extended communities, par exemple) qui on mis du 
temps à arriver, mais je suis sur de dire que la transition des ASN 16 bits 
vers 32 bits est un succès.

Cà a pas été facile, il y avait plein de "nay sayers" (on dit "anti" en 
Français je pense), çà a fait chier pas mal de monde, mais c'est adopté et en 
prod.
Aujourd'hui, il y a plein de lecteurs qui ont un AS 32 bits, je paire 
volontiers avec eux, tout ne baigne pas dans l'huile mais bon si j'ai besoin 
d'un upstream et (qu'hypothétiquement) il ne supporte pas mon ASN 32 bits, il 
n'a qu'à se faire empapaouter, je trouverai quelqu'un d'autre. La masse 
critique a été atteinte. Ce qui n'est pas le cas pour IPv6.


Et maintenant, pour le troll du trolldi late night, je revisite cette partie du 
fil avec Samuel :

> Michel Py a écrit :
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations
> à propos de l'adresse source qui rend nécessaire un ALG NAT qui réécrit 
> ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
> voit, donc
> qui a déjà été modifiée par NAT, çà marche avec double NAT sans problème.

 Samuel Thibault a écrit :
 Et pour le p2p ?

>>> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
>>> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
>>> 2 à
>>> 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
>>> veux.
>>> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
>>> Cà ne t'enlève pas samuel.dynip.com:2

>> Comment tu fais en sorte que le soft de p2p sache automatiquement
>> que ce sont ces ports-là sur cette IP-là qu'il faut utiliser ?

> Aujourd'hui tu fais pas. Çà ne me gène pas; j'imagine qu'on pourrait faire
> un truc genre read-only UPNP, mais j'ai jamais été un fanatique.

Ca devient académique. Tu ne veux pas de CGNAT / double NAT etc : tu achètes le 
service "premium" qui va couter $15 par mois pour avoir une IP fixe qui n'est 
pas derrière CGNAT.

Je paie çà pour avoir une IP statique, je me fais empapaouter car elle n'est 
pas statique du tout, c'est une réservation DHCP basée sur l'adresse MAC de mon 
routeur et pour $15 par mois ce que j'ai vraiment payé c'est 5 minutes 1 fois 
d'un tech L1 pour configurer mon IP et maintenant je suis la vache à lait. 
C'est pas parce qu'ils sont à court d'IP (qu'elle soit statique ou pas mon IP 
est up 24/7), c'est parce que si je demande une IP statique c'est forcément 
pour héberger un méga serveur Web sur les 3 Bbps upstream de mon aDSL. Les 
marketteux au travail. En fait sur ce coup-là çà marche, parce que je suis prêt 
a raquer $15 par mois pour une réservation, mais va pas falloir pousser trop 
fort.

Claude Michu qui veut faire du P2P, ptêt ben qui va falloir payer pour ne pas 
être derrière CGNAT. Quoique, je me demande si, même si je ne pouvais pas 
seeder les torrents de cul, çà m'empêcherait de les leecher (probablement pas à 
la même vitesse).


Je le dis depuis des années : il y a 2 choses qui font tourner le monde, et 
l'Internet : le cul, et le pognon.
Quand je ne trouverai plus de torrents de cul en IPv4, je me mettrai à IPv6.
Peut-être, car j'en ai téléchargé tellement que je ne sais plus ou les mettre; 
merci Mr. Western Digital Red Hélium 10 TB !
Je télécharge même plus en 1080P : pour ce genre de contenu, 720P c'est 
suffisant.
c'est un peu comme les IPv4, j'en ai déjà plus que ce qu'il me faut pour le 
reste de ma vie.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alexis

Oui. AS205215, on a déjà en prod nos IPv4. Pour le v6, on l'annonce en 
BGP mais on n'en fait absolument rien, aucun de nos serveurs n'a d'IPv6 
sur ses interfaces réseau (hors loopback, quoi).


Alexis

Le 15/03/2019 à 20:53, Michel Py a écrit :

Alexis a écrit :

Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Tu est LIR ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

> David Ponzone a écrit :
> tu vas nous faire aimer le XXIe siècle toi :)

Ecoute c'est pas moi qui ai inventé la merdasse dans laquelle on est 
maintenant; je fais avec ce que j'ai.
You give me lemons, I make lemonade.

> On peut pas imaginer se trimballer un port, c’est complètement dégueu.

Oui, mais est-ce que c'est plus dégueu ou pas que la combinaison immonde de 10 
protocoles de migration v4-v6, avec 6 types de NAT, tous différents, dont aucun 
ne marche dans tous les cas de figure ? Rappelles-toi le doc de Jordi mentionné 
récemment.


> Samuel Thibault a écrit :
> Comment tu fais en sorte que le soft de p2p sache automatiquement
> que ce sont ces ports-là sur cette IP-là qu'il faut utiliser ?

Aujourd'hui tu fais pas. Çà ne me gène pas; j'imagine qu'on pourrait faire un 
truc genre read-only UPNP, mais j'ai jamais été un fanatique.


> Philippe ASTIER a écrit :
> Ah la côte ouest est réveillée ! J’espère qu’il fait plus beau qu’ici.

Ciel bleu, 14 degrés (18 dans l'après-midi), vent 10 Km/h.
Pour les skieurs : neige entre 150% et 200% suivant les stations.
Pour les véliplanchistes : tous les réservoirs nettement au-dessus du 
navigable, eau à 11 degrés.
Pour les surfeurs : l'océan est à 11 degrés.
Quand je rentrerai à la maison, je boirai un pastis au bord de la piscine a ta 
santé.
(Là il va vraiment avoir envie de me buter, hein ?)

> +100 Bon, le souci est qu’aujourd’hui plein d’applications se masquent 
> derrière le 443..

Pour traverser les pares-feu et pour traverser NAT, rien de nouveau.

> Quelqu’un travaille sur quelque chose ? Donc rien de neuf avant … 20 ans.

Au pifomètre aiguisé, c'est çà. 10 ans avant que le travail sérieux commence, 
20 avant qu'on ait quelque chose. 

> C’est 75% du traffic, c’est vrai.

A prendre avec des pincettes. C'est pas parque que Google est à 25% d'IPv6 que 
çà représente 25% du trafic. Le lien que Google te donne, a part les GAFAM il 
est pas souvent en v6.

> Qui travaille sur les protocoles aujourd’hui ?

Les mêmes qu'il y a 20 ans, et on a vu ce que çà a produit.

> Je fais partie d’une commission 5G de l’IEEE… en 5 mois, on a réussi à se 
> mettre
> d’accord sur l’agenda des réunions, qui aurait le droit de voter et les 
> principes
> directeurs de la commission. Ca va prendre des années avant qu’on accouche 
> d’un
> truc qui sera dépassé avant même qu’on ait fini et que personne ne voudra 
> appliquer.

Pareil pour l'IETF, et pour les agences gouvernementales.

> Pour moi, il faut justement commencer par retirer tout ce qui
> est vérolé et plus maintenu… Novell, IPX, AppleTalk, DECnet, AFP,

Bah j'ai 1 serveur Novell (sous IP) en prod (il a un pied dans la tombe) et 
DECNET, pas trop inquiet de l'aspect sécurité : un 0-day DECNET, j'ai pas 
encore vu.

> Exchange (et zut mal parti ça !!) où je ne sais quoi encore (bon, je provoque 
> un peu là).

Faut pas pousser mémé dans les orties quand même.

> Toussaint OTTAVI a écrit :
> Mais que peut donc faire une TPE ? A part mettre un
> firewall UTM et lui vouer une totale confiance ? 

Rien, à part de conserver un anti-virus sur tous les postes, qui servira ou pas 
à quelque chose.

> Alexis a écrit :
> Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Tu est LIR ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Samuel Thibault

Michel Py, le ven. 15 mars 2019 17:56:09 +, a ecrit:
> >>> David Ponzone a écrit :
> >>> Tu verrais une autre solution ?
>  
> >> Michel Py a écrit :
> >> Oui, concevoir le protocole simplement. K.I.S.S.
> >> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> >> paquet des informations
> >> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit 
> >> ces infos.
> >> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
> >> voit, donc
> >> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.
> 
> > Samuel Thibault a écrit :
> > Et pour le p2p ?
> 
> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services que 
> tu veux.

Comment tu fais en sorte que le soft de p2p sache automatiquement que ce
sont ces ports-là sur cette IP-là qu'il faut utiliser ?

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alexis


Mmmm

Vous me faites peur, à parler de filtrer certaines IPv6 PA mais pas PI.

Lorsque nous avons commandé notre lot d'IPv6 à RIPE, on avait demandé 
une tranche IPv6 PI et on nous avait répondu "vous avez demandé un PI. 
Si vous prenez un PA ce sera exactement pareil mais vous aurez un /29 au 
lieu d'un /32. On est gentil donc on annule votre demande de PI, 
refaites une demande de PA svp.".


Je n'avais pas les compétences pour savoir ce que ça impliquait à 
l'époque, donc j'ai juste demandé le PA au lieu du PI (je n'ai toujours 
pas ces compétances :)). Et puis comme c'est RIPE qui me l'a dit, j'ai 
fait confiance.
J'étais parti du principe qu'au final, un PI et un PA sont identiques 
"techniquement", à partir du moment où on a son propre ASN et qu'on 
annonce son propre préfixe IPv6 pour son propre réseau d'entreprise.


Me serais-je trompé ?

(j'en profite pour saluer ce thread. Y'a beaucoup de bruit et de 
chamailleries, mais la quantité d'infos apportées reste fantastique. 
D'ailleurs, si un wiki voit le jour, je serai le premier à y lire tout 
le contenu. Pour l'instant, avec la quantité d'adresses qu'on a, j'ai 
déjà du mal à savoir comment je peux faire mon plan d'adressage v6 
efficacement sans me tirer une balle dans le pied et avoir à me trainer, 
dans 10 ans, un boulet pénible).


Alexis

Le 15/03/2019 à 19:14, Hugues Voiturier a écrit :

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.

D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le thread.

Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI en 
IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui m’annoncent 
une foulitude de /48 continus issus de PA (coucou AS174, on te voit tu sais).

Hugues
AS57199 - AS50628


On 15 Mar 2019, at 18:56, Michel Py  wrote:


Michel Py a écrit:
On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
multihomer , un
annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non seulement 
se taper 1
million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
IPv6, dont les
préfixes consomment 2 fois plus de TCAM que les IPv4.

Samuel Thibault a écrit :
Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
mesurer.

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.



David Ponzone a écrit :
Tu verrais une autre solution ?

Michel Py a écrit :
Oui, concevoir le protocole simplement. K.I.S.S.
Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du paquet 
des informations
à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit ces 
infos.
Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
donc
qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

Samuel Thibault a écrit :
Et pour le p2p ?

CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
2 à 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
veux.
100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
Cà ne t'enlève pas samuel.dynip.com:2

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles




Le 15/03/2019 à 18:44, Philippe ASTIER a écrit :

les menaces ont profondément changé...


Voilà qui mériterait sans doute un nouveau fil de discussion un peu 
moins trollesque...


Personnellement, bien que je déploie des "outils de sécurité", ou du 
moins des outils vendus comme tels, certains me paraissent parfois bien 
ridicules devant la surface d'exposition énorme des environnements 
actuels et la multiplicité des vecteurs. Je déploie ces machins sans 
doute pour me donner bonne conscience. Mais ma bonne vieille méthode du 
tout fermé / tout verrouillé a vécu, et honnêtement, je me sens bien 
impuissant, tant il me semble infiniment plus facile d'attaquer un 
système que de le défendre...


Les grandes boites ont sans doute les moyens de lutter efficacement, et 
encore... Sur mes quelques clients "corp", aucun n'a désactive le boot 
des PC sur clefs USB...


Mais que peut donc faire une TPE ? A part mettre un firewall UTM et lui 
vouer une totale confiance ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Oliver varenne

Depuis le début vous oubliez un truc: 
Les développeurs sont des branques en réseau
(et c'est un dev qui vous le dit)

Le fait est que la plupart des formations orientée "développement" s'arrêtent à 
des notions très simples de tout ce qui touche au réseau...
Demandez à un développeur comment fonctionne (en gros) du multicast, et vous 
verrez que les réponses vont être farfelues...

Donc parler de ports, de protocole, etc, très bien. 
Mais les problèmes ne seront résolus que lorsque le monde des dev parlera au 
monde du réseau, et vice versa, sans se regarder de haut, et sans se rejeter la 
faute...



Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : vendredi 15 mars 2019 19:02
> À : Michel Py 
> Cc : Samuel Thibault ; Thierry Chich
> ; frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles
> 
> Michel,
> 
> tu vas nous faire aimer le XXIe siècle toi :)
> 
> On peut pas imaginer se trimballer un port, c’est complètement dégueu.
> Ca serait comme dire aux gens qu’ils ont une adresse postale mais bon,
> c’est un Cedex alors faut pas oublier de le donner sinon ça arrivera pas.
> 
> Ou alors il faut rapidement mettre à jour HTTP (et d’ailleurs tous les
> protocoles pertinents) pour qu’il utilise DNS SRV, comme  SIP.
> Un utilisateur final ne devrait JAMAIS entendre parler d’un port.
> 
> >
> > CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> > Exemple on te donne 100.64.3.200, et automatiquement on forwarde les
> ports 2 à 20099 donc tu peux utiliser ces ports pour héberger les
> services que tu veux.
> > 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
> > Cà ne t'enlève pas samuel.dynip.com:2
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Hugues Voiturier

> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
> la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
> généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
> besoin de demander après-coup un autre préfixe.

D’ailleurs j’en profite pour hijacker, non pas des préfixes, mais le thread.

Amis NetOps, est-ce que vous filtrez au delà de /32 sur les blocs non PI en 
IPv6 ? Parce que j’ai une certaine quantité de gros sagouins qui m’annoncent 
une foulitude de /48 continus issus de PA (coucou AS174, on te voit tu sais).

Hugues
AS57199 - AS50628

> On 15 Mar 2019, at 18:56, Michel Py  
> wrote:
> 
>>> Michel Py a écrit:
>>> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
>>> multihomer , un
>>> annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non 
>>> seulement se taper 1
>>> million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
>>> IPv6, dont les
>>> préfixes consomment 2 fois plus de TCAM que les IPv4.
> 
>> Samuel Thibault a écrit :
>> Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
>> mesurer.
> 
> Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
> la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
> généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
> besoin de demander après-coup un autre préfixe.
> 
> 
 David Ponzone a écrit :
 Tu verrais une autre solution ?
> 
>>> Michel Py a écrit :
>>> Oui, concevoir le protocole simplement. K.I.S.S.
>>> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
>>> paquet des informations
>>> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit 
>>> ces infos.
>>> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il 
>>> voit, donc
>>> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.
> 
>> Samuel Thibault a écrit :
>> Et pour le p2p ?
> 
> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services que 
> tu veux.
> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
> Cà ne t'enlève pas samuel.dynip.com:2
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

Michel,

tu vas nous faire aimer le XXIe siècle toi :)

On peut pas imaginer se trimballer un port, c’est complètement dégueu.
Ca serait comme dire aux gens qu’ils ont une adresse postale mais bon, c’est un 
Cedex alors faut pas oublier de le donner sinon ça arrivera pas.

Ou alors il faut rapidement mettre à jour HTTP (et d’ailleurs tous les 
protocoles pertinents) pour qu’il utilise DNS SRV, comme  SIP.
Un utilisateur final ne devrait JAMAIS entendre parler d’un port.

> 
> CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
> Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
> 2 à 20099 donc tu peux utiliser ces ports pour héberger les services que 
> tu veux.
> 100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
> Cà ne t'enlève pas samuel.dynip.com:2
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

>> Michel Py a écrit:
>> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
>> multihomer , un
>> annonce un préfixe (de plus) dans la DFZ. Donc maintenant il faut non 
>> seulement se taper 1
>> million (dans pas trop longtemps) de préfixes dans la DFZ IPv4 plus la DFZ 
>> IPv6, dont les
>> préfixes consomment 2 fois plus de TCAM que les IPv4.

> Samuel Thibault a écrit :
> Mais ils sont moins fragmentés a priori. Dans quelle mesure, il faudrait 
> mesurer.

Combat d'arrière garde; c'est naturel qu'il y ait moins de fragmentation dans 
la DFZ IPv6 : les allocations initiales ont souvent été faites bien plus 
généreusement que pour IPv4, donc l'org qui a besoin de s'étendre n'a pas 
besoin de demander après-coup un autre préfixe.


>>> David Ponzone a écrit :
>>> Tu verrais une autre solution ?
 
>> Michel Py a écrit :
>> Oui, concevoir le protocole simplement. K.I.S.S.
>> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
>> paquet des informations
>> à propos de l'adresse source qui rend nécessaire un ALG NAT qui re-écrit ces 
>> infos.
>> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
>> donc
>> qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

> Samuel Thibault a écrit :
> Et pour le p2p ?

CGNAT / P2P bien conçu, on alloue certains ports à chaque client :
Exemple on te donne 100.64.3.200, et automatiquement on forwarde les ports 
2 à 20099 donc tu peux utiliser ces ports pour héberger les services que tu 
veux.
100.64.3.201 aura les ports 20100 à 20199, quelque chose comme çà.
Cà ne t'enlève pas samuel.dynip.com:2

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Philippe ASTIER

Ah la côte ouest est réveillée ! J’espère qu’il fait plus beau qu’ici.

> Le 15 mars 2019 à 17:59, Michel Py  a 
> écrit :
> 
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations à propos de l'adresse source qui rend nécessaire un 
> ALG NAT qui re-écrit ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
> donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

D’un point de vue sécu, FTP et Telnet sont bannis au profit d’SSH/SFTP, mais on 
s’est inspiré des deux, et il y a un port unique, et ça supporte bien le NAT.

>> Toussaint OTTAVI a écrit :
>> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste,
>> un port unique et fixe, c'est déjà plus que parfait :-)
> 
> +1

+100 Bon, le souci est qu’aujourd’hui plein d’applications se masquent derrière 
le 443..
.
>> Philippe ASTIER a écrit :
>> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
>> alternative,
> 
> Pas aujourd'hui.
> 
>> donc il n’y a juste pas le choix.
> 
> Pas encore.

Quelqu’un travaille sur quelque chose ? Donc rien de neuf avant … 20 ans.
Qu’on le veuille ou non, IPv6 sera déployé largement. Les GAFAM ont tous 
implanté IPv6 pour tous leurs services, c’est une masse considérable de traffic 
et de clients. Après, comme disait quelqu’un, il suffirait que le porno 
bascule, c’est le facteur déterminant.

> C'est bien là le problème : l'acharnement thérapeutique à déployer IPv6 
> conduit à faire quelque chose qui est 3 fois plus compliqué que l'usine à gaz 
> qu'on a déjà en IPv4.
> Les gens qui disent que l'acharnement thérapeutique c'est IPv4, ils devraient 
> regarder autour d'eux. IPv4 est de très loin LE protocole de l'Internet, et 
> il n'est pas en train de mourir.

C’est 75% du traffic, c’est vrai.

>> En fait, on n’a plus le choix. Et on devrait profiter de l’expérience
>> ceux qui ont participé à bâtir les protocoles précédents.
> 
> Le choix, c'est d'admettre que le déploiement d'IPv6 est un échec et de 
> repenser quelque chose de déployable. Et çà veut dire qu'on va continuer à 
> faire des bidouillages immondes pendant encore 20 ans.

Il y trop d’acteurs impliqués qui se font concurrence. Je suis pessimiste en la 
matière, les gens s’en foutent du moment qu’ils peuvent Twitter et liker…. 
C’est triste. Qui travaille sur les protocoles aujourd’hui ?
Je fais partie d’une commission 5G de l’IEEE… en 5 mois, on a réussi à se 
mettre d’accord sur l’agenda des réunions, qui aurait le droit de voter et les 
principes directeurs de la commission. Ca va prendre des années avant qu’on 
accouche d’un truc qui sera dépassé avant même qu’on ait fini et que personne 
ne voudra appliquer.

En fait, il faut qu’on réagisse et devienne plus réactif, sinon c’est les 
entreprises privées qui feront à leur sauce.

> 
>> Samuel Thibault a écrit :
>> J'avais vu une étude qui estimait qu'on a déjà dépensé du genre 2x plus de 
>> fric à bricoler
>> NAT etc. que ce qu'on aurait eu à dépenser pour juste mettre en œuvre IPv6.
> 
> Il y a de la vérité dans ceci, mais çà n'enlève rien au fait que IPv6 n'est 
> pas déployé.

25% du traffic internet, c’est pas négligeable. N’exagérons rien.



Le 15 mars 2019 à 17:42, thierry.ch...@ac-clermont.fr a écrit :

> C’est un exemple. Il y a aussi des applications très anciennes qu’on n’a pas 
> les moyens de refaire à neuf, des applications plus modernes mais qui ont 
> souffert d’une absence d’intégration de la question sécuritaire. Il y a aussi 
> les simples erreurs de conception.
> 
> Et au final, pour nombre d’entre elles, le firewall suffit à limiter le 
> risque.

Alors acceptons que Renault ferme ses usines pendant 3 jours consécutifs, que 
la SNCF ait des soucis une semaine,  ou que la sécu anglaise soit paralysée une 
semaine sous prétexte qu’on n’a pas les moyens.
On les fera évoluer quand il y aura des morts comme d’habitude.

Pour moi, le « firewall suffit « , c’est ça qui m’inquiète. Et il y a des 
univers où on ne peut pas se contenter de si peu.
Allez voir tout ce qui est ouvert sur Shodan, vous aurez froid dans le dos.


(PS: j’ai été en charges d’applications lourdes à faire évoluer, et je sais ce 
qu’une contrainte budgétaire veut dire.)

> Ça fait aussi 10 ans que j’entends dire que la sécurité perimetrique c’est 
> dépassé et ça fait 10 ans que quand j’investigue un peu sur les moyens de 
> gérer une sécurité au plus proche, je tombe sur des solutions au mieux mal 
> dimensionnées, au pire bouffones.
> 
> Moi aussi j’ai 75% dehors, mais il se trouve que les 75% dehors sont d’une 
> part moins vulnérables et d’autre part moins critiques.

Le périmétrique est nécessaire mais très très insuffisant. Wannacry a passé les 
firewall, et les PC ont infecté les infra de l’intérieur, comme un cheval de 
Troie. La messagerie est un vecteur monstrueux de menaces, et ça passe aussi 
les firewall.

Qu’entends-tu

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Samuel Thibault

Michel Py, le ven. 15 mars 2019 16:59:05 +, a ecrit:
> On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
> multihomer , un annonce un préfixe (de plus) dans la DFZ. Donc maintenant il 
> faut non seulement se taper 1 million (dans pas trop longtemps) de préfixes 
> dans la DFZ IPv4 plus la DFZ IPv6, dont les préfixes consomment 2 fois plus 
> de TCAM que les IPv4.

Mais ils sont moins fragmentés a priori. Dans quelle mesure, il
faudrait mesurer.

> > David Ponzone a écrit :
> > Tu verrais une autre solution ?
> 
> Oui, concevoir le protocole simplement. K.I.S.S.
> Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du 
> paquet des informations à propos de l'adresse source qui rend nécessaire un 
> ALG NAT qui re-écrit ces infos.
> Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
> donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

Et pour le p2p ?

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

> Pascal PETIT a écrit :
> J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
> n'ai toujours pas compris ce qui était prévu pour ce cas de figure.

Le protocole de base n'avait pas la notion de PI. Tout était PA, ce qui en 
théorie aurait conduit à une DFZ de très petite t'aille, l'agrégation des 
préfixes étant faite au niveau des FAI.
Problème est que la solution n'existait pas; les seuls qui pouvaient être 
multihomés étaient les FAI.
Il y a eu plusieurs propositions, aucune de techniquement viable.
Reconnaissant l'échec à délivrer quelque chose qui pourrait marcher, les RIR 
ont fait un enfant dans le dos à l'IETF, inventé la notion de PI v6, et 
commencer à déléguer des adresses IPv6 (et un ASN) aux utilisateurs finaux 
devaient multihomer.

On en est donc revenu à faire exactement la même chose que pour IPv4 : pour 
multihomer , un annonce un préfixe (de plus) dans la DFZ. Donc maintenant il 
faut non seulement se taper 1 million (dans pas trop longtemps) de préfixes 
dans la DFZ IPv4 plus la DFZ IPv6, dont les préfixes consomment 2 fois plus de 
TCAM que les IPv4.

Quand j'écris que IPv4 et IPv6 sont en compétition pour les mêmes ressources, 
voici un bon exemple : la TCAM. Les vendeurs s'en frottent les mains.


> Thierry Chich a écrit :
> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques
> avec des ports dynamiques de partout et  dans tous les sens.

+1. Les trucs genre portmapper qui demandent un ALG compliqué; a l'opposé, il y 
a des protocoles qui traversent NAT sans aucun problème.


> David Ponzone a écrit :
> Tu verrais une autre solution ?

Oui, concevoir le protocole simplement. K.I.S.S.
Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du paquet 
des informations à propos de l'adresse source qui rend nécessaire un ALG NAT 
qui re-écrit ces infos.
Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, 
donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme.

> Thierry Chich a écrit :
> Une autre solution que des protocoles où le client négocie avec le serveur le 
> numéro de port sur lequel
> le serveur va lui envoyer des données ? A la mode tftp ou rsh ? Ben, je pense 
> qu'il y a d'autres solutions
> envisageables. Même si je reconnais humblement ne pas connaître toutes les 
> problématiques spécifiques de
> la VoIP et de la ToIP, ça me parait effectivement inutilement compliqué. Et 
> surtout, pas pensé dans le
> monde IP actuel, mais plutôtpour un monde IP idéal dans lequel tout le monde 
> peut parler à tout le monde
> sans entrave. C'est beau, mais dans la réalité, on s'aperçoit que déléguer 
> toute la question de la
> sécurité à l'application, c'est tout simplement pas jouable.

+1


> Oliver varenne a écrit :
> Pour la VOIP, il y a bien IAX2 qui permet de ne pas avoir une m(o)ultitude de 
> ports ouverts...

+1

> Stéphane Rivière a écrit :
> Pour répondre à la question posée : peut-on faire autrement ? IAX (vs 
> SIP/RDP) en VOIP l'a démontré.
> La plupart des pb d'IAX étaient plus à voir du coté de l'implémentation que 
> du protocole. Les bénéfices
> d'IAX (efficacité, NAT traversal) étaient évidents. Mais SIP/RDP (bidule IETF 
> de mémoire, c'est vieux)
> a gagné. Les voies de Darwin sont parfois impénétrables (BETAMAX vs VHS)...

+1000


> Kevin CHAILLY a écrit :
> SIP a été le super-protocole-ouvert-qui-fait-le-café quand en face il y avait 
> SCCP, le méchiant proctocole de Cisco

C'est pour çà que je ne regrette pas IAX, la vie continue.


> Toussaint OTTAVI a écrit :
> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste,
> un port unique et fixe, c'est déjà plus que parfait :-)

+1

> Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête les 
> problématiques de NAT et de
> sécurisation que çà allait générer (certes, ailleurs que chez eux). On 
> retombe sur la discussion d'un
> protocole conçu par une catégorie d'utilisateurs pour répondre à ses besoins 
> propres, sans forcément
> tenir compte des difficultés que cela allait engendrer pour d'autres 
> catégories d'utilisateurs.

+1. Ou de gens qui connaissent peut-être très bien la téléphonie de MaBell, qui 
pensent en tant que circuit et pas paquet, et qui ne comprennent pas vraiment 
grand-chose au réseau.

> Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus que 
> SIP et IPv6 réunis :-D

T'as qu'à demander à tous ceux qui ont essayé de faire du SIP sous IPv6 ;-)


> Philippe ASTIER a écrit :
> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
> alternative,

Pas aujourd'hui.

> donc il n’y a juste pas le choix.

Pas encore.

> Ce qui est effrayant, c’est le nombre de protocoles bricolés qu’on a ajouté 
> entre les deux, qui
> ralentissent la mise en place d’un IPv6 propre, et complexifie encore plus 
> l’infrastructure.

C'est bien là le problème : l'acharnement thérapeutique à déployer IPv6 conduit 
à faire quelque chose qui est 3 fois plus

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet thierry . chich

Le 15 mars 2019 à 16:42 +0100, Philippe ASTIER , 
a écrit :
> >
> > Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens encore 
> > avec émotion d'un appareil de visioconf dont je n'ai jamais pu changer le 
> > mot de passe d'admin. Alors s'il avait été directement accessible sur 
> > internet sans sécurisation sur la couche 4 ou 3, j'imagine bien ce qui se 
> > serait passé.
>
> Il faut faire le tri dans les vendeurs, et fusiller ceux qui sont stupides.

C’est un exemple. Il y a aussi des applications très anciennes qu’on n’a pas 
les moyens de refaire à neuf, des applications plus modernes mais qui ont 
souffert d’une absence d’intégration de la question sécuritaire. Il y a aussi 
les simples erreurs de conception.

Et au final, pour nombre d’entre elles, le firewall suffit à limiter le risque.

>  Je me répète… mais j’estime que 75% des devices de mes clients sont en 
> permanence en dehors de la forteresse supposée de leur entreprise…
>
> Au passage, les grosses failles qui ont paralysées des usines en France ou la 
> sécu en Angleterre, genre Wannacry… c’était installé sur des appareils 
> internes.
>
> La sécurité périmétrique est morte et enterrée depuis 10 ans. Utile, mais 
> très insuffisante.
> Les attaques frontales directes, c’est bon pour les étudiants en première 
> année de Hacking High School, et ça sert à remplir les logs des firewalls et 
> rassurer les CFO sur leur niveau de dépense en sécurité…

Ça fait aussi 10 ans que j’entends dire que la sécurité perimetrique c’est 
dépassé et ça fait 10 ans que quand j’investigue un peu sur les moyens de gérer 
une sécurité au plus proche, je tombe sur des solutions au mieux mal 
dimensionnées, au pire bouffones.

Moi aussi j’ai 75% dehors, mais il se trouve que les 75% dehors sont d’une part 
moins vulnérables et d’autre part moins critiques.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet CORTES Bruno

On aurait donc le choix dans la date ;-)...

C'est dredi, et pour une fois que je peux participer à un thread...

Bruno




Pour la planète : échangez par courriel et n’imprimez que si nécessaire.


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Toussaint OTTAVI
Envoyé : vendredi 15 mars 2019 16:19
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 15/03/2019 à 15:13, Philippe ASTIER a écrit :
> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
> alternative

Voilà qui résume assez bien la situation. Sur ce point, je pense qu'on 
est tous d'accord ;-)

> donc il n’y a juste pas le choix.

Si, il y a un choix : maintenant, ou plus tard.

Chacun est libre de décider en fonction de ses contraintes propres, et 
de tous les arguments qui ont été énoncés ici. Pour moi, ce sera plus 
tard (et à la limite, cela n'intéresse personne).

--
Sur ce, on va peut-être commencer à réfléchir à un autre troll pour 
Vendredi prochain. Parce que, celui-là, il a quand même duré la semaine, 
et les gestionnaires de la liste ont, me semble t-il, fait preuve de 
bien plus de tolérance que nous :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Stéphane Rivière


H323 ?


:>>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet thierry . chich

Le 15 mars 2019 à 14:56 +0100, Toussaint OTTAVI , a écrit :
>
> Le 15/03/2019 à 14:35, David Ponzone a écrit :
> > Peut-être meilleur, mais parfait, j’en doute.
>
> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, un port
> unique et fixe, c'est déjà plus que parfait :-)
>
> Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête
> les problématiques de NAT et de sécurisation que çà allait générer
> (certes, ailleurs que chez eux). On retombe sur la discussion d'un
> protocole conçu par une catégorie d'utilisateurs pour répondre à ses
> besoins propres, sans forcément tenir compte des difficultés que cela
> allait engendrer pour d'autres catégories d'utilisateurs.
>
> Et, en l'occurrence, c'est moi qui suis emm*rdé pour faire fonctionner
> des solutions de téléphonie que je ne vends pas et que je ne connais
> pas. Et alors que le discours du téléphoniste se limite généralement à
> "oulala, vous avez un firewall, çà ne va jamais marcher", c'est moi qui
> suis obligé de jouer du requin à fils pour comprendre ce que son bouzin
> essaye de faire, et ensuite, de trouver une astuce pour le feinter...
>
> Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus
> que SIP et IPv6 réunis :-D
>
>
H323 ?
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Philippe ASTIER

>> donc il n’y a juste pas le choix.
> 
> Si, il y a un choix : maintenant, ou plus tard.

J’aime bien ! 

> 
> Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens encore 
> avec émotion d'un appareil de visioconf dont je n'ai jamais pu changer le mot 
> de passe d'admin. Alors s'il avait été directement accessible sur internet 
> sans sécurisation sur la couche 4 ou 3, j'imagine bien ce qui se serait passé.

Il faut faire le tri dans les vendeurs, et fusiller ceux qui sont stupides.

Je me répète… mais j’estime que 75% des devices de mes clients sont en 
permanence en dehors de la forteresse supposée de leur entreprise…

Au passage, les grosses failles qui ont paralysées des usines en France ou la 
sécu en Angleterre, genre Wannacry… c’était installé sur des appareils 
internes. 

La sécurité périmétrique est morte et enterrée depuis 10 ans. Utile, mais très 
insuffisante.
Les attaques frontales directes, c’est bon pour les étudiants en première année 
de Hacking High School, et ça sert à remplir les logs des firewalls et rassurer 
les CFO sur leur niveau de dépense en sécurité… 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Thierry Chich




Le 15/03/2019 à 09:58, Alexandre Bruyelles a écrit :

Quelle importance ?
La sécurisation du niveau applicatif en se basant sur la couche 4 (ou 3,
pour ce que ça vaut) est risible et déficiente


Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens 
encore avec émotion d'un appareil de visioconf dont je n'ai jamais pu 
changer le mot de passe d'admin. Alors s'il avait été directement 
accessible sur internet sans sécurisation sur la couche 4 ou 3, 
j'imagine bien ce qui se serait passé.



--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Xavier Beaudouin

Hello,

> Après, quand je lis, à maintes reprises, qu’un souci majeur est la sécurité, 
> je
> m’énerve. Ca n’a juste rien à voir.

Après c'est pas comme si on avais pas inventé les VRF qui permettent d'isoler 
correctement du
trafic sans rentrer dans des délires d'access list.

Mais on continue a dire ipv6 cay mal securisé... C'est surtout que les 
"équipes" sécurités
ne se sont jamais sortit le doigt du cul pour se former et faire de poc.

Ok IPv6 bouge, c'est normal, peu de personnes se sont réveillées a faire des 
reseaux v6 natif
sans ipv4... Et là on trouve des trucs qu'on avais oubliés. 

Mais en prennant le // avec l'IPv4 des débuts ou il n'y avais pas de BGP et 
tout ces protos,
c'est normal qu'on ai des fixes a faire.

Mais autant le faire quand on peux considérer que c'est pas trop de la prod 
avant que... le 
choix ne soit plus possible.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles




Le 15/03/2019 à 15:13, Philippe ASTIER a écrit :

Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme 
alternative


Voilà qui résume assez bien la situation. Sur ce point, je pense qu'on 
est tous d'accord ;-)



donc il n’y a juste pas le choix.


Si, il y a un choix : maintenant, ou plus tard.

Chacun est libre de décider en fonction de ses contraintes propres, et 
de tous les arguments qui ont été énoncés ici. Pour moi, ce sera plus 
tard (et à la limite, cela n'intéresse personne).


--
Sur ce, on va peut-être commencer à réfléchir à un autre troll pour 
Vendredi prochain. Parce que, celui-là, il a quand même duré la semaine, 
et les gestionnaires de la liste ont, me semble t-il, fait preuve de 
bien plus de tolérance que nous :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Samuel Thibault

Philippe ASTIER, le ven. 15 mars 2019 15:13:27 +0100, a ecrit:
> Ce qui est effrayant, c’est le nombre de protocoles bricolés qu’on a ajouté 
> entre les deux, qui ralentissent la mise en place d’un IPv6 propre, et 
> complexifie encore plus l’infrastructure. 

J'avais vu une étude qui estimait qu'on a déjà dépensé du genre 2x
plus de fric à bricoler NAT etc. que ce qu'on aurait eu à dépenser pour
juste mettre en œuvre IPv6.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Philippe ASTIER

Bon, c’est vendredi… :)

Tout d’abord, j’aimerai qu’on regarde l’histoire !

Quand IPv4 a été conçu, personne n’imaginerait sa pénétration dans le grand
public.
Même quand IPv6 a été conçu, je ne pense pas qu’on croyait que les frigos, les
montres seraient connectées, et l’internet mobile n’existait pas vraiment non
plus. Que ça vous plaise ou non, c’est la réalité.

Aujourd’hui, je pense que j’ai plus d’IP actives simultanément chez moi que sur
le campus où j’étais étudiant en 1992, vu qu’on était sur des VT100 pour la
plupart. Je crois qu’on était privilégiés avec un accès 10 Mb/s sur Renater…
Aujourd’hui j’ai plus sur mon téléphone dans le TGV à 320 km/h… j’ai 11 Gb/s à
la maison chez deux ISP… faut remettre les choses en perspective, Internet est
un miracle.

La planète va vers 10 milliards d’individus, et chacun, en moyenne va très vite
avoir une bonne dizaine de devices qui consomment des IPs. Faites le calcul,
avec les plages réservées, IPv4 est condamné. A quelle échéance ? Aucune idée,
je n’ai pas de boule de cristal. Comme le dit Michel, on en aura dans 15 ans
encore. J’ai bien croisé un Novell en prod dans une université il y a moins
d’un mois…

Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme
alternative, donc il n’y a juste pas le choix.

Ce qui est effrayant, c’est le nombre de protocoles bricolés qu’on a ajouté
entre les deux, qui ralentissent la mise en place d’un IPv6 propre, et
complexifie encore plus l’infrastructure.

Après, quand je lis, à maintes reprises, qu’un souci majeur est la sécurité, je
m’énerve. Ca n’a juste rien à voir.

Les appareils pro ou perso passent la plupart de leur temps côté WAN, en dehors
des infra « protégées ». Il faut repenser le paradigme de sécurité. Je ne dis
pas qu’il ne doit pas y en avoir en entrée d’entreprise, mais c’est une très
mauvaise excuse pour ne pas avancer vers IPv6, et ce d’autant que tous les
équipementiers routeurs ou firewall ou UTM dignes de ce nom fonctionnent très
bien en IPv6. Et au fait, vous faites comment avec le trafic SSL qui vous
échappe ?

On a ajouté tellement de merdes (désolé !) sur IPv4 et entre les deux que je ne
serai vraiment pas surpris qu’on découvre plein de failles dans la conception
même de ces protocoles. (Allo ? UPnP et variantes).

En fait, on n’a plus le choix. Et on devrait profiter de l’expérience ceux qui
ont participé à bâtir les protocoles précédents.

Bref. Avançons.

Cordialement,
Philippe

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphael Jacquot




On 3/15/19 2:53 PM, Toussaint OTTAVI wrote:
> 
> Le 15/03/2019 à 14:35, David Ponzone a écrit :
>> Peut-être meilleur, mais parfait, j’en doute.
> 
> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, un port
> unique et fixe, c'est déjà plus que parfait :-)
> 
> Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête
> les problématiques de NAT et de sécurisation que çà allait générer
> (certes, ailleurs que chez eux). On retombe sur la discussion d'un
> protocole conçu par une catégorie d'utilisateurs pour répondre à ses
> besoins propres, sans forcément tenir compte des difficultés que cela
> allait engendrer pour d'autres catégories d'utilisateurs.
> 
> Et, en l'occurrence, c'est moi qui suis emm*rdé pour faire fonctionner
> des solutions de téléphonie que je ne vends pas et que je ne connais
> pas. Et alors que le discours du téléphoniste se limite généralement à
> "oulala, vous avez un firewall, çà ne va jamais marcher", c'est moi qui
> suis obligé de jouer du requin à fils pour comprendre ce que son bouzin
> essaye de faire, et ensuite, de trouver une astuce pour le feinter...
> 
> Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus
> que SIP et IPv6 réunis :-D

bah c'est justement bien le probleme, internet et les protocoles qui
tournent dessus sont concus pour fonctionner dans un environnement ou la
communication est directe de bout en bout.
les trucs genre nat ne sont que des verrues ajoutées au cours du temps
par les bricoleurs qui n'avaient pas assez d'adresses IPv4, plutot que
de passer direct a IPv6, qui rappelons le, fonctionnait déja tres bien
il y a plus de 20 ans...
bref, outil plus adapté, changer outil...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

> Le 15 mars 2019 à 14:43, Kevin CHAILLY | Service Technique 
>  a écrit :
> SIP a été le super-protocole-ouvert-qui-fait-le-café quand en face il y avait 
> SCCP, le méchiant proctocole de Cisco  
> 

Et MGCP, qui était pourtant très bien (pas d’intelligence dans le endpoint, le 
contrôleur gère tout).

> ( Et séparer les canaux permet de piloter l'interco VIA un asterisk, mais de 
> connecter les canaux media d'un téléphone à l'autre, pensez FXP ) 

+1


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [MISC] Adoption de nouveaux protocoles




Le 15/03/2019 à 14:35, David Ponzone a écrit :

Peut-être meilleur, mais parfait, j’en doute.


Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, un port 
unique et fixe, c'est déjà plus que parfait :-)


Je ne pense pas que les gens qui ont conçu SIP et RTSP aient eu en tête 
les problématiques de NAT et de sécurisation que çà allait générer 
(certes, ailleurs que chez eux). On retombe sur la discussion d'un 
protocole conçu par une catégorie d'utilisateurs pour répondre à ses 
besoins propres, sans forcément tenir compte des difficultés que cela 
allait engendrer pour d'autres catégories d'utilisateurs.


Et, en l'occurrence, c'est moi qui suis emm*rdé pour faire fonctionner 
des solutions de téléphonie que je ne vends pas et que je ne connais 
pas. Et alors que le discours du téléphoniste se limite généralement à 
"oulala, vous avez un firewall, çà ne va jamais marcher", c'est moi qui 
suis obligé de jouer du requin à fils pour comprendre ce que son bouzin 
essaye de faire, et ensuite, de trouver une astuce pour le feinter...


Du coup, je me demande s'il existe un protocole qui m'exaspèrerait plus 
que SIP et IPv6 réunis :-D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Kevin CHAILLY | Service Technique

Ce qu'on oublie quand on voit un bébé moche, c'est qu'au moins une fois dans sa 
vie il a gagné une course ! o

SIP a été le super-protocole-ouvert-qui-fait-le-café quand en face il y avait 
SCCP, le méchiant proctocole de Cisco  

( Et séparer les canaux permet de piloter l'interco VIA un asterisk, mais de 
connecter les canaux media d'un téléphone à l'autre, pensez FXP ) 

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Toussaint 
OTTAVI
Envoyé : vendredi 15 mars 2019 14:28
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :
> C'est justement la le truc, ce sont des protocoles qui ne sont pas 
> centralisés, avec communication directe de bout en bout entre les 
> participants.

Le fait que les communications se fassent de bout en bout, et le fait qu'elles 
utilisent des ports dynamiques dans tous les sens, me semblent être deux choses 
relativement distinctes. Je ne fais pas de téléphonie, mais un jour, j'ai eu à 
choisir entre SIP et IAX2 pour un projet perso. 
Quand j'ai vu qu'IAX2 utilisait un port unique et fixe, mon choix a été vite 
fait. Je me demande encore pourquoi les téléphonistes continuent d'utiliser ces 
saletés de SIP et RTSP, avec leurs libertés d'implémentation plus ou moins 
farfelues suivant les constructeurs. Sans doute juste pour faire ch*er les 
informaticiens :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles




Le 15/03/2019 à 14:32, Raphael Jacquot a écrit :

un grand classique des constructeurs, pour n'etre compatibles qu'avec
eux memes. t'as le meme delire avec ipsec


Sauf qu'ipsec n'a généralement pas besoin de traverser mes firewalls : 
il se termine dessus :-D


Et puis, c'était peut-être vrai il y a 10 ans, mais aujourd'hui, j'ai 
très peu de problèmes d'interopérabilité. Même les Livebox arrivent à 
monter des tunnels ipsec qui tiennent au moins une journée :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

Hmmm c’est facile de parler de liberté d’implémentation de SIP, puisque IAX n’a 
grosso-modo jamais été supporté par autre chose qu’Asterisk.
Digium a poussé la RFC, personne n’a suivi, et pour cause SIP était déjà là, 
avec ses défauts, mais avec l’avantage de pouvoir servir à n’importe quoi, pas 
seulement à la téléphonie.
Il aurait été intéressant de voir le niveau d’implémentation/compatibilité 
d’IAX si plusieurs centaines/milliers de constructeurs/éditeurs l’avaient 
choisi.
Peut-être meilleur, mais parfait, j’en doute.



> Le 15 mars 2019 à 14:27, Toussaint OTTAVI  a écrit :
> 
> 
> Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :
>> C'est justement la le truc, ce sont des protocoles qui ne sont pas
>> centralisés, avec communication directe de bout en bout entre les
>> participants.
> 
> Le fait que les communications se fassent de bout en bout, et le fait 
> qu'elles utilisent des ports dynamiques dans tous les sens, me semblent être 
> deux choses relativement distinctes. Je ne fais pas de téléphonie, mais un 
> jour, j'ai eu à choisir entre SIP et IAX2 pour un projet perso. Quand j'ai vu 
> qu'IAX2 utilisait un port unique et fixe, mon choix a été vite fait. Je me 
> demande encore pourquoi les téléphonistes continuent d'utiliser ces saletés 
> de SIP et RTSP, avec leurs libertés d'implémentation plus ou moins farfelues 
> suivant les constructeurs. Sans doute juste pour faire ch*er les 
> informaticiens :-)
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphael Jacquot




On 3/15/19 2:27 PM, Toussaint OTTAVI wrote:
> 
> Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :
>> C'est justement la le truc, ce sont des protocoles qui ne sont pas
>> centralisés, avec communication directe de bout en bout entre les
>> participants.
> 
> Le fait que les communications se fassent de bout en bout, et le fait
> qu'elles utilisent des ports dynamiques dans tous les sens, me semblent
> être deux choses relativement distinctes. Je ne fais pas de téléphonie,
> mais un jour, j'ai eu à choisir entre SIP et IAX2 pour un projet perso.
> Quand j'ai vu qu'IAX2 utilisait un port unique et fixe, mon choix a été
> vite fait. Je me demande encore pourquoi les téléphonistes continuent
> d'utiliser ces saletés de SIP et RTSP, avec leurs libertés
> d'implémentation plus ou moins farfelues suivant les constructeurs. Sans
> doute juste pour faire ch*er les informaticiens :-)

un grand classique des constructeurs, pour n'etre compatibles qu'avec
eux memes. t'as le meme delire avec ipsec


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles




Le 15/03/2019 à 11:00, Raphael Jacquot a écrit :

C'est justement la le truc, ce sont des protocoles qui ne sont pas
centralisés, avec communication directe de bout en bout entre les
participants.


Le fait que les communications se fassent de bout en bout, et le fait 
qu'elles utilisent des ports dynamiques dans tous les sens, me semblent 
être deux choses relativement distinctes. Je ne fais pas de téléphonie, 
mais un jour, j'ai eu à choisir entre SIP et IAX2 pour un projet perso. 
Quand j'ai vu qu'IAX2 utilisait un port unique et fixe, mon choix a été 
vite fait. Je me demande encore pourquoi les téléphonistes continuent 
d'utiliser ces saletés de SIP et RTSP, avec leurs libertés 
d'implémentation plus ou moins farfelues suivant les constructeurs. Sans 
doute juste pour faire ch*er les informaticiens :-)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphael Jacquot

On 3/15/19 9:23 AM, Thierry Chich wrote:
> 

> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des
> ports dynamiques de partout et  dans tous les sens.

C'est justement la le truc, ce sont des protocoles qui ne sont pas
centralisés, avec communication directe de bout en bout entre les
participants. l'opposé du minitel que facebook & co cherchent a imposer.
Je sais bien que les concepts de base d'internet, c'est compliqué, mais
tu pourrais faire un effort ;-)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Stéphane Rivière

Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des 
ports dynamiques de partout et  dans tous les sens > Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.


Un protocole sur un port fixe en TCP pour l'établissement de la liaison 
et autant de paires de ports en UDP pour tx/rx alloués dynamiquement 
qu'il y a de communications. Un petit gout de FTP en mode passif.


Pour répondre à la question posée : peut-on faire autrement ?

IAX (vs SIP/RDP) en VOIP l'a démontré. La plupart des pb d'IAX étaient 
plus à voir du coté de l'implémentation que du protocole. Les bénéfices 
d'IAX (efficacité, NAT traversal) étaient évidents. Mais SIP/RDP (bidule 
IETF de mémoire, c'est vieux) a gagné. Les voies de Darwin sont parfois 
impénétrables (BETAMAX vs VHS)...












---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Xavier Beaudouin

Hello,

(thread remis dans l'ordre de lecture normale pour un français)

>> Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce
>> que pour les reverse-proxy.
(...)
>> Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.
>> 
(...)
> Quelle importance ?
> La sécurisation du niveau applicatif en se basant sur la couche 4 (ou 3,
> pour ce que ça vaut) est risible et déficiente

+1 et clairement c'est pas un reverse proxy qui te protégeras de ces 
problèmes. Il peux le limiter, mais si l'appli est codée avec des 
gens qui n'ont pas le postulat : don't trust anything, et bien cette
sécurisation est inexistante.

Et c'est pas le NAT qui vas sécuriser, enfin pas plus qu'un firewall
statefull.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Oliver varenne

Pour la VOIP, il y a bien IAX2 qui permet de ne pas avoir une m(o)ultitude de 
ports ouverts...




Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : vendredi 15 mars 2019 09:38
> À : Thierry Chich 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles
> 
> >
> > Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce
> que pour les reverse-proxy.
> >
> > Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec
> des ports dynamiques de partout et  dans tous les sens.
> >
> 
> Tu verrais une autre solution ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alexandre Bruyelles

Quelle importance ?
La sécurisation du niveau applicatif en se basant sur la couche 4 (ou 3,
pour ce que ça vaut) est risible et déficiente


On 03/15/2019 09:23 AM, Thierry Chich wrote:
> Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce
> que pour les reverse-proxy.
> 
> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des
> ports dynamiques de partout et  dans tous les sens.
> 
> Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.
> 
> Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Alarig Le Lay

On ven. 15 mars 08:41:37 2019, Pascal PETIT wrote:
> J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
> n'ai toujours pas compris ce qui était prévu pour ce cas de figure.
> 
> Je suis preneur d'éléments pour finir moins bête.

Ben tu fais comme en IPv4 :
1. Tu payes des bières
2. Tu branches des câbles
3. Tu recommences

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Thierry Chich




Le 15/03/2019 à 09:38, David Ponzone a écrit :

Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce que 
pour les reverse-proxy.

Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des ports 
dynamiques de partout et  dans tous les sens.


Tu verrais une autre solution ?

Une autre solution que des protocoles où le client négocie avec le 
serveur le numéro de port sur lequel le serveur va lui envoyer des 
données ? A la mode tftp ou rsh ? Ben, je pense qu'il y a d'autres 
solutions envisageables. Même si je reconnais humblement ne pas 
connaître toutes les problématiques spécifiques de la VoIP et de la 
ToIP, ça me parait effectivement inutilement compliqué. Et surtout, pas 
pensé dans le monde IP actuel, mais plutôtpour un monde IP idéal dans 
lequel tout le monde peut parler à tout le monde sans entrave. C'est 
beau, mais dans la réalité, on s'aperçoit que déléguer toute la question 
de la sécurité à l'application, c'est tout simplement pas jouable.


--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

> 
> Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce que 
> pour les reverse-proxy.
> 
> Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des 
> ports dynamiques de partout et  dans tous les sens.
> 

Tu verrais une autre solution ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Thierry Chich




Le 15/03/2019 à 09:12, Stéphane Rivière a écrit :
Sérieux, si on ne se faisait pas chier avec du v4, on aurais pas 
passé 1h (+ 3h de tests a la con
pour vérifier que les paramètres de NAT, changés un à un) pour qu'un 
truc qui mange 2 PC avec 16 cores
soit finement tunné  à cause de protocoles qui ont du mal a supporter 
du NAT?


On peut pas dire que ça soit faux... Qui ne hait pas le NAT dès qu'il 
s'agit de voix ou de vidéo  ?




Je ne suis pas fan du NAT, mais il restera de toute façon, ne serait-ce 
que pour les reverse-proxy.


Ce qui est vraiment haïssable, ce sont ces protocoles merdiques avec des 
ports dynamiques de partout et  dans tous les sens.


Et ça, IPv6 ou non, ça restera hyper-compliqué à sécuriser.

Thierry
--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Stéphane Rivière


Sérieux, si on ne se faisait pas chier avec du v4, on aurais pas passé 1h (+ 3h 
de tests a la con
pour vérifier que les paramètres de NAT, changés un à un) pour qu'un truc qui 
mange 2 PC avec 16 cores
soit finement tunné  à cause de protocoles qui ont du mal a supporter du NAT?


On peut pas dire que ça soit faux... Qui ne hait pas le NAT dès qu'il 
s'agit de voix ou de vidéo  ?


Mais hélas... ce constat et la persistance de ipv4 sont deux choses 
différentes...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Raphaël Jacquot





Le 15/03/2019 à 08:29, Xavier Beaudouin a écrit :


On a cru a des settings a la con sur l'UDP (oui, facetime utilise de l'UDP, 
c'est con...),


c'est pas idiot, les communications "temps réel" sont supposées utiliser 
UDP.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Pascal PETIT

Bonjour,

Le vendredi 15 mars 2019 (03:08), Michel Py écrivait :
> 
>  à part essayer de faire marcher le multihoming pour IPv6, j'ai
>

J'ai lu un peu tout et son contraire sur le multihoming IPV6 et je
n'ai toujours pas compris ce qui était prévu pour ce cas de figure.

Je suis preneur d'éléments pour finir moins bête.

cordialement
-- 
Pascal Petit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-15 Par sujet Xavier Beaudouin

Hello,

>>> Denis Fondras a écrit :
>>> Et je suis un extrémiste d'IPv6 donc ma proposition est
>>> radicale, IPv6 pour tout le monde. On coupe IPv4
> 
>> Michel Py a écrit :
>> Cà me fait bien rigoler, par Toutatis.
> 
> Bon je l'ai gardé pour trolldi, mais faudrait quand même avoir un peu de 
> sérieux
> même un trolldi.
> Denis, les champignons hallucinogènes, c'est bon ni pour ta crédibilité ni 
> pour
> ta carrière.
> 
> On ne coupe pas IPv4 pour au moins 15 ans, tu ne peux rien y faire si ce n'est
> de commettre un suicide politique. Arrêtes de me raconter les conneries que
> j'ai moi-même écrites il y a 20 ans.
> Penses à ton futur : dans 10, 15, 20 ans, quelqu'un va gouglér ce que tu écris
> aujourd'hui. Si tu continues à nous baver cette connerie qu'on va arrêter 
> IPv4,
> dans 10 ans le seul job que t'auras dans une infra de taille çà sera de
> nettoyer les chiottes. Etre extrémiste c'est bien, avoir raison c'est mieux.
> J'embauche des ingés qualifiés, pas des vendeurs de pompes usées.

Hihi :)

Tiens puisqu'on est trolldi, voici un exemple d'emmerdes qu'on a eu récemment à
cause de ce truc relou.

Symptôme: "la video conférence se coupe toute seule depuis 2 jours"

Donc vu qu'on avais rien fait sur le NAT depuis 2 semaines (migration de nat 
stateless cisco a
du statefull freebsd PF, pour éviter de se payer une license 10G sur cisco 
ios-xe...).

Donc on remonté le traffic client chez nous et on a essayé "au hasard" du 
facetime.

Bingo, ça coupe au bout d'une minute...

On a cru a des settings a la con sur l'UDP (oui, facetime utilise de l'UDP, 
c'est con...),
ou de la merde chez notre tier-1, mais non on a lutté.

Bref. La solution a été (partiellement) :



# VOIP et APPLE
SIP = "5060:5061"
RTP = "5004:5020"
APPLE   = "3478:3497"

set timeout { adaptive.start 364200, adaptive.end 728400 }

scrub out on $ExtIf inet proto udp from port $SIP set-tos 0x60
scrub out on $ExtIf inet proto udp from port $RTP set-tos 0xB8
scrub out on $ExtIf inet proto udp from port $APPLE set-tos 0x60

Sérieux, si on ne se faisait pas chier avec du v4, on aurais pas passé 1h (+ 3h 
de tests a la con
pour vérifier que les paramètres de NAT, changés un à un) pour qu'un truc qui 
mange 2 PC avec 16 cores
soit finement tunné  à cause de protocoles qui ont du mal a supporter du NAT? 

Bref. Ca fait plus de 15 ans qu'on fait des work arounds à cause du NAT, et que 
des dev
passent leur temps a faire du code pour qu'on soit NAT 4 compliant 
(coucou v0x), un 
moment le gâchis de ressources humaines, techniques et énergétiques ca suffit.

EOTROLLDI :D

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Michel Py

>> Denis Fondras a écrit :
>> Et je suis un extrémiste d'IPv6 donc ma proposition est
>> radicale, IPv6 pour tout le monde. On coupe IPv4

> Michel Py a écrit :
> Cà me fait bien rigoler, par Toutatis.

Bon je l'ai gardé pour trolldi, mais faudrait quand même avoir un peu de 
sérieux même un trolldi.
Denis, les champignons hallucinogènes, c'est bon ni pour ta crédibilité ni pour 
ta carrière.

On ne coupe pas IPv4 pour au moins 15 ans, tu ne peux rien y faire si ce n'est 
de commettre un suicide politique. Arrêtes de me raconter les conneries que 
j'ai moi-même écrites il y a 20 ans.
Penses à ton futur : dans 10, 15, 20 ans, quelqu'un va gouglér ce que tu écris 
aujourd'hui. Si tu continues à nous baver cette connerie qu'on va arrêter IPv4, 
dans 10 ans le seul job que t'auras dans une infra de taille çà sera de 
nettoyer les chiottes. Etre extrémiste c'est bien, avoir raison c'est mieux. 
J'embauche des ingés qualifiés, pas des vendeurs de pompes usées.

Oh tant que j'y suis, essaies de pas m'apprendre le peering non plus. Dans le 
bon vieux temps, à part essayer de faire marcher le multihoming pour IPv6, j'ai 
aussi contribué aux travaux de William B. Norton (The Internet Peering 
Playbook), un des co-fondeurs d'Equinix.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Michel Py

> David Ponzone a écrit :
> Encore un papier intéressant publié par la communauté RIPE:
> https://www.internetsociety.org/resources/deploy360/ipv6/security/ipv4-engineers

Cà sent un peu le "publish or perish", AMHA.

> Since the motivation for IPv6 deployment is its larger address space, it is 
> expected that the
> vast majority of IPv6 networks will not employ any kind of Network Address 
> Translation (NAT)

Ca me fait bien rigoler, par Toutatis !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Stéphane Rivière


Il te faut donc un serveur DHCP synchro avec le RADIUS. Ou alors un BNG ($$$) , 
qui reduit a presque zero le besoin de 802.1x


Me demande si un bidule libre genre https://coova.github.io pourrait 
faire l'affaire (j'utilisais ça avec freeradius pour mes installs de 
wifi portuaires et dans ce contexte, c'était très bien - délivrait une 
IP avec des caractéristiques personnalisées par compte - QOS montante, 
descendante, nb cnx simultanées, durée cnx, date de validité cnx, etc - 
en fonction de l'authent radius bien sûr).


Pas assez calé pour savoir si... Juste pour signaler le truc...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Denis Fondras

On Thu, Mar 14, 2019 at 09:54:13AM +0100, David Ponzone wrote:
> Ca stoppe rien, mais l’opérateur peut facilement sur son équipement d’accès 
> bloquer au niveau 2 tout ce qui n’est pas du PPP.
> C’est ce que font certains WISP d’ailleurs, pour pas se faire 
> pourrir/attaquer.
> 

Ok, c'est plus clair, merci :)

> > Le 14 mars 2019 à 09:49, Denis Fondras  a écrit :
> > 
> > On Thu, Mar 14, 2019 at 09:27:57AM +0100, David Ponzone wrote:
> >> Si, mais ça sera probablement un VLAN par zone de collecte.
> >> En L2, ça veut dire que tu te tapes potentiellement toute la merde qui 
> >> vient
> >> des X équipements des clients que tu as dans la zone.
> >> C’est peut-être pour ça que tout le monde reste sur PPPoE pour le moment :)
> >> 
> > 
> > Je ne te suis pas. En quoi PPPoE stoppe le caca en entrée du réseau ?
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Radu-Adrian Feurdean




On Thu, Mar 14, 2019, at 09:12, professor geek wrote:
> Aloha,
> 
> Et un Vlan en collecte ethernet ca pourrait pas remplacer un PPP en
> bitstream ? et derriere la mecanique 802.1x+DHCP.
> 
> 
> 
> On 14 March 2019 at 09:03:46, Xavier Beaudouin (k...@oav.net) wrote:
> 
> Hello,
> 
> > C’est plus un problème de méthode de collecte non ?
> 
> +1
> 
> > En collecte ethernet, ça doit le faire, mais pas un collecte IP.
> 
> +1, mais ça reste possible... pas simple...
> 
> > Faudrait aussi voir s’il y a une implémentation qui permet de centraliser
> dans
> > Radius l’autorisation d’accès (802.1x) et l’attribution de l’iP (DHCP).
> 
> Dans ce cas (je le fais pour du wifi public un peu partout avec des accord
> de roaming)...
> 
> L'auth se fait en 802.1x par le contrôleur (via radius), et l'ip est donnée
> *après* en DHCP.

Il te faut donc un serveur DHCP synchro avec le RADIUS. Ou alors un BNG ($$$) , 
qui reduit a presque zero le besoin de 802.1x

> Encore bon comme je dis, la problèmatique est pour le bitstream ou
> clairement le PPP(oE/whatever)
> est plus pratique même si c'est quand même une conso electrique en plus et
> un SPOF a
> gérer.

 La redondance inter-BRAS ca existe. Version chere avec reprise des sessions, 
version cheap avec 2 BRAS dont un implemente PADO delay. Ok, pour la cheap le 
failover prends quelques secondes, mais "ca marche" (c) (tm). 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Radu-Adrian Feurdean




On Thu, Mar 14, 2019, at 09:52, professor geek wrote:
> En plus de faire evoluer les LNS vers du 802.1AE pour le chiffrement…
> (j’avais oublier ca tiens)

s/LNS/BNG/
Le LNS mange deja du PPP (over L2TP over IP). 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Radu-Adrian Feurdean

Ca ne le stoppe pas, mais pour la plupart ca l'ignore/rejette magistralement. 
Sauf le kk PPPoE/PADI, plus rare. 

On Thu, Mar 14, 2019, at 09:50, Denis Fondras wrote:
> On Thu, Mar 14, 2019 at 09:27:57AM +0100, David Ponzone wrote:
> > Si, mais ça sera probablement un VLAN par zone de collecte.
> > En L2, ça veut dire que tu te tapes potentiellement toute la merde qui vient
> > des X équipements des clients que tu as dans la zone.
> > C’est peut-être pour ça que tout le monde reste sur PPPoE pour le moment :)
> >
> 
> Je ne te suis pas. En quoi PPPoE stoppe le caca en entrée du réseau ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

Ca stoppe rien, mais l’opérateur peut facilement sur son équipement d’accès 
bloquer au niveau 2 tout ce qui n’est pas du PPP.
C’est ce que font certains WISP d’ailleurs, pour pas se faire pourrir/attaquer.

> Le 14 mars 2019 à 09:49, Denis Fondras  a écrit :
> 
> On Thu, Mar 14, 2019 at 09:27:57AM +0100, David Ponzone wrote:
>> Si, mais ça sera probablement un VLAN par zone de collecte.
>> En L2, ça veut dire que tu te tapes potentiellement toute la merde qui vient
>> des X équipements des clients que tu as dans la zone.
>> C’est peut-être pour ça que tout le monde reste sur PPPoE pour le moment :)
>> 
> 
> Je ne te suis pas. En quoi PPPoE stoppe le caca en entrée du réseau ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Denis Fondras

On Thu, Mar 14, 2019 at 09:27:57AM +0100, David Ponzone wrote:
> Si, mais ça sera probablement un VLAN par zone de collecte.
> En L2, ça veut dire que tu te tapes potentiellement toute la merde qui vient
> des X équipements des clients que tu as dans la zone.
> C’est peut-être pour ça que tout le monde reste sur PPPoE pour le moment :)
>

Je ne te suis pas. En quoi PPPoE stoppe le caca en entrée du réseau ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet professor geek

En plus de faire evoluer les LNS vers du 802.1AE pour le chiffrement…
(j’avais oublier ca tiens)

On 14 March 2019 at 09:28:00, David Ponzone (david.ponz...@gmail.com) wrote:

Si, mais ça sera probablement un VLAN par zone de collecte.
En L2, ça veut dire que tu te tapes potentiellement toute la merde qui
vient des X équipements des clients que tu as dans la zone.
C’est peut-être pour ça que tout le monde reste sur PPPoE pour le moment :)

> Le 14 mars 2019 à 09:11, professor geek  a écrit :
>
> Aloha,
>
> Et un Vlan en collecte ethernet ca pourrait pas remplacer un PPP en
> bitstream ? et derriere la mecanique 802.1x+DHCP.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

Si, mais ça sera probablement un VLAN par zone de collecte.
En L2, ça veut dire que tu te tapes potentiellement toute la merde qui vient 
des X équipements des clients que tu as dans la zone.
C’est peut-être pour ça que tout le monde reste sur PPPoE pour le moment :)

> Le 14 mars 2019 à 09:11, professor geek  a écrit :
> 
> Aloha,
> 
> Et un Vlan en collecte ethernet ca pourrait pas remplacer un PPP en
> bitstream ? et derriere la mecanique 802.1x+DHCP.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet professor geek

Aloha,

Et un Vlan en collecte ethernet ca pourrait pas remplacer un PPP en
bitstream ? et derriere la mecanique 802.1x+DHCP.

On 14 March 2019 at 09:03:46, Xavier Beaudouin (k...@oav.net) wrote:

Hello,

> C’est plus un problème de méthode de collecte non ?

+1

> En collecte ethernet, ça doit le faire, mais pas un collecte IP.

+1, mais ça reste possible... pas simple...

> Faudrait aussi voir s’il y a une implémentation qui permet de centraliser
dans
> Radius l’autorisation d’accès (802.1x) et l’attribution de l’iP (DHCP).

Dans ce cas (je le fais pour du wifi public un peu partout avec des accord
de roaming)...

L'auth se fait en 802.1x par le contrôleur (via radius), et l'ip est donnée
*après* en DHCP.

Dans le cas de collecte ethernet, bah c'est le switch qui le fait via un
radius.

> Là, je suis ignare, mais intuitivement, 802.1x étant un job de switch, et
DHCP
> un job de routeur, il faudrait utiliser un switch L3.

Un ip helper-address suffit sur la GW L3. :)

Encore bon comme je dis, la problèmatique est pour le bitstream ou
clairement le PPP(oE/whatever)
est plus pratique même si c'est quand même une conso electrique en plus et
un SPOF a
gérer.

Là pareil, je suis pas trop au fait des collectes FTTH/O juste lurkeur la
dessus.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Xavier Beaudouin

Hello,

> C’est plus un problème de méthode de collecte non ?

+1

> En collecte ethernet, ça doit le faire, mais pas un collecte IP.

+1, mais ça reste possible... pas simple...

> Faudrait aussi voir s’il y a une implémentation qui permet de centraliser dans
> Radius l’autorisation d’accès (802.1x) et l’attribution de l’iP (DHCP).

Dans ce cas (je le fais pour du wifi public un peu partout avec des accord
de roaming)...

L'auth se fait en 802.1x par le contrôleur (via radius), et l'ip est donnée 
*après* en DHCP.

Dans le cas de collecte ethernet, bah c'est le switch qui le fait via un 
radius. 

> Là, je suis ignare, mais intuitivement, 802.1x étant un job de switch, et DHCP
> un job de routeur, il faudrait utiliser un switch L3.

Un ip helper-address suffit sur la GW L3. :)

Encore bon comme je dis, la problèmatique est pour le bitstream ou clairement 
le PPP(oE/whatever)
est plus pratique même si c'est quand même une conso electrique en plus et un 
SPOF a 
gérer.

Là pareil, je suis pas trop au fait des collectes FTTH/O juste lurkeur la 
dessus.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

C’est plus un problème de méthode de collecte non ?
En collecte ethernet, ça doit le faire, mais pas un collecte IP.

Faudrait aussi voir s’il y a une implémentation qui permet de centraliser dans 
Radius l’autorisation d’accès (802.1x) et l’attribution de l’iP (DHCP).
Là, je suis ignare, mais intuitivement, 802.1x étant un job de switch, et DHCP 
un job de routeur, il faudrait utiliser un switch L3.
J’espère que mon intuition est fausse et qu’il y a un autre moyen, mais bon, 
comme les collectes FTTH disponibles actuellement (Kosc, Bouygues) utilisent 
encore PPP, je pense qu’une évolution à ce niveau n’est pas pour tout de suite.

> Hum... 
> Autrement y a un autre protocole 802.1x, ca fait l'authentification, ca 
> permet 
> d'avoir pas mal de chose et accessoirement savoir si $COPAIN est toujours 
> là...
> 
> Mais pour du résidentiel, c'est probablement pas faisable facilement avec 
> le pb du bitstream toussa.
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

Encore un papier intéressant publié par la communauté RIPE:

https://www.internetsociety.org/resources/deploy360/ipv6/security/ipv4-engineers
 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-14 Par sujet Xavier Beaudouin

Hello,

>> On commence une autre histoire, mais ca reste par rapport aux protocoles :)
>> 
>> OUI ! PPPoE a encore un interet : re-introduire un "niveau 2" la ou 
>> l'existent
>> ne remplit plus son role. Et pas que.
>> 
>> Cas concret 1 : sur les portes de collecte (a.k.a. NNI) on se fait livrer en
>> ethernet, plusieurs clients, generalement un client par (S-)VLAN (ou tag
>> 802.1q, selon preference). Quand la boucle locale est coupee, pas moyen de 
>> voir
>> la coupure au niveau de la porte (on va se calmer avec les OAM & co...). Avec
>> PPPoE on re-introduit un L2 de bout en bout, qui peut signaler la coupure 
>> entre
>> les 2 bouts.
> 
> Oui oui oui et encore oui.
> Sérieusement qui a pondu ces OAM, et qui s’en sert, à part des telcos qui ont
> les moyens de financer RAD…
> Quand le progrès (passage en ethernet de bout en bout) est synonyme de perte 
> de
> fonctionnalités, c’est juste agaçant.
> Ok on en gagne aussi mais le monitoring c’est quand même important.
> Avoir une route qui disparait de l’IGP quand le lien est coupé, sans remplir 
> le
> routeur de IP SLA et sans avoir à faire de BGP avec le CPE, c’est quand même
> pratique.

Hum... 
Autrement y a un autre protocole 802.1x, ca fait l'authentification, ca permet 
d'avoir pas mal de chose et accessoirement savoir si $COPAIN est toujours là...

Mais pour du résidentiel, c'est probablement pas faisable facilement avec 
le pb du bitstream toussa.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-13 Par sujet Stéphane Rivière


Le 10-base2 (thin-net) c'était pas si pire à sertir, mais le 10-base5 
(thick-net) avec les vampires c'était pas glop.


C'était pratique les vampires, pour trouver l'admin réseau, il suffisait 
de trouver le mec qui portait toujours un escabeau (les vampires étaient 
dans les faux plafs). Et comme c'était pas très fiable...



Bon pour l'hospice de vieillards, c'est vrai qu'il faudrait y travailler. J'ai 
besoin d'au moins 3 racks pour mettre mon musée.


Un cercueil en forme de rack... Y'a un marché à exploiter.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-13 Par sujet David Ponzone

> On commence une autre histoire, mais ca reste par rapport aux protocoles :)
> 
> OUI ! PPPoE a encore un interet : re-introduire un "niveau 2" la ou 
> l'existent ne remplit plus son role. Et pas que.
> 
> Cas concret 1 : sur les portes de collecte (a.k.a. NNI) on se fait livrer en 
> ethernet, plusieurs clients, generalement un client par (S-)VLAN (ou tag 
> 802.1q, selon preference). Quand la boucle locale est coupee, pas moyen de 
> voir la coupure au niveau de la porte (on va se calmer avec les OAM & co...). 
> Avec PPPoE on re-introduit un L2 de bout en bout, qui peut signaler la 
> coupure entre les 2 bouts.

Oui oui oui et encore oui.
Sérieusement qui a pondu ces OAM, et qui s’en sert, à part des telcos qui ont 
les moyens de financer RAD…
Quand le progrès (passage en ethernet de bout en bout) est synonyme de perte de 
fonctionnalités, c’est juste agaçant.
Ok on en gagne aussi mais le monitoring c’est quand même important.
Avoir une route qui disparait de l’IGP quand le lien est coupé, sans remplir le 
routeur de IP SLA et sans avoir à faire de BGP avec le CPE, c’est quand même 
pratique.

> 
>> On note des problèmes avec IPv6, 
> 
> ???
> Lesquels ??? De mon cote je ne vois pas Ca marche nickel...

J’avais quand même lu qu’il y avait pas mal de déboires avec le PD, en 
environnement hétérogène.
Sauf si évidemment tu peux te permettre de remplacer tous tes CPE par le truc 
qui marche avec ton LNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-13 Par sujet Radu-Adrian Feurdean

On Tue, Mar 12, 2019, at 10:20, Kevin CHAILLY | Service Technique wrote:
> Question bête, 
> 
> Y-a-t-il un intérêt a garder PPPoE ? 

On commence une autre histoire, mais ca reste par rapport aux protocoles :)

OUI ! PPPoE a encore un interet : re-introduire un "niveau 2" la ou l'existent 
ne remplit plus son role. Et pas que.

Cas concret 1 : sur les portes de collecte (a.k.a. NNI) on se fait livrer en 
ethernet, plusieurs clients, generalement un client par (S-)VLAN (ou tag 
802.1q, selon preference). Quand la boucle locale est coupee, pas moyen de voir 
la coupure au niveau de la porte (on va se calmer avec les OAM & co...). Avec 
PPPoE on re-introduit un L2 de bout en bout, qui peut signaler la coupure entre 
les 2 bouts.

Cas 2 : En etant base sur du PPP (donc point-a-point), la partie 
subscriber-management est largement facilite pour certains cas, notamment sur 
les offres PRO. A partir d'un certain volume, configurer les liens 1 par 1, 
directement sur les PE n'est plus faisable.

Cas 3 : Comme on doit encore trainer de l'IPv4, alouer 1 seul IP par client 
c'est nettement mieux qu'allouer 2 (/31), voire pire - 4 (/30).

> Orange sur la FTTH GP a commencé a déployer du DHCP a la place du PPPoE, 

A $job (non, ce n'est pas Orange), j'ai la meme approche:
 - residentiel en IPoE direct
 - Pro/Entreprise en PPPoE (plus de 99% des cas), sauf connection via XCO en 
datacenter (moins de 1% des liens)

> On note des problèmes avec IPv6, 

???
Lesquels ??? De mon cote je ne vois pas Ca marche nickel...

> Ce monstre dévore nos enfants et 8 octets de MTU, 

Sur la plupart des portes "Pro/Entreprise", on a un MTU superieur a 1500 (les 
1508 - pour avoir un MTU IP a 1500 - ca rentre tranquilement).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

>> Michel Py a écrit :
>> Comme tu y vas. Le marketing, t'appelles çà "élite" ?

> Toussaint OTTAVI a écrit :
> Oui, car pour le prix d'un seul de leurs costumes, je m'habille jusqu'à la 
> fin de mes jours :-)
> Et si c'est le même tailleur que Jack LANG, je m'achète en plus une jolie 
> voiture :-)

L'habit ne fait pas le moine. Ne te plains pas, çà les rend plus facile a 
identifier.
Consensus sur la liste du FRnOG : les politiciens, faut qu'ils restent occupés. 
Les lobbyistes, les vendeurs de pompes usées : pareil.
Laisses-lez légiférer sur le spam, les libertés individuelles, l'avenir d'IPv6 
(50% du bullshit ici) etc.
https://www.youtube.com/watch?v=k1SvDqKA_UQ


> C'était, bien entendu, du second degré. Voire du troisième, car ce sont tout 
> de même ces individus
> qui prennent nos décisions. Et je n'ai pas mis de smiley, car cela ne me fait 
> que modérément sourire :-(

Pareil ici. Si jamais tu viens par ici, pour toi on sort le saucisson (pas 
celui des clients) et le pinard, avec lequel on va essayer de te faire parler 
pour révéler comment on fait la différence entre un cochon sauvage et un chef 
de clan corse (j'espère que je fais la traduction à l'envers correctement).


> Arnaud Launay a écrit :
> Enfin de toute façon, on ne va pas faire une interdiction, ce serait trop 
> visible. On va plutôt
> demander à l'ami Trompe de grogner sur touittaire, et de créer une taxe de 
> 1% sur ces produits.

Il ferait mieux de boire du pinard Français, celui-là. Au lieu de faire chier 
le reste du monde.

> Comme on est bien gentils, on va quand même te laisser le Morgon
> côte du Py, parce que, ben, on n'a pas trop le choix, c'est à toi...

Tien je ne connaissais pas !
Comme tout le monde le sait, les USA complotent pour envahir la France. Jusqu'à 
présent, je me serais contenté de la maire de la commune de Py (66) mais je 
vais aller parler au Donald et renégocier mon territoire : le Morgon côte du 
Py, c'est pour moi.

> Je me demande si on peut envisager un service de livraison de pinard en ipv6,
> tiens...  Vous pensez que la boutique est à jour ?
> https://www.youtube.com/watch?v=vjeh79A5l2M

Si c'est IPv6-only, çà serai con de perdre la clientèle de Michel, qui avait 
IPv6 il y a 20 ans mais ne l'a plus, et qui boit environ 30% du pinard Français 
importé aux USA.

Michel,
Baron du Morgon côte du Py.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

>> Michel Py a écrit :
>> Ah justement LocalTalk ce n'est PAS Ethernet : c'est du RS-422 à 230 Kbps. 
>> C'était avant Ethernet.

> Stéphane Rivière a écrit :
> My mistake. Je voulais dire Ethertalk (Appletalk sur Ethernet)

L'équivalent Apple de NetBEUI. Non routable.

> Bien connu Localtalk, c'était pathétique mais gratuit.

Pathétique c'est peu de le dire. Avec 2 Macs çà allait encore, mais dès qu'on 
en mettait plus çà pédalait dans la choucroute.
C'était a peine 2 fois mieux que LapLink série (vous rappelez-vous, le câble 
jaune ?) et la moitié du LapLink parallèle (LPT1 <--> LPT1, jaune aussi).


> À l'époque les gens chanceux et fortunés étaient déjà en 10 Mbps coaxial.

Le 10-base2 (thin-net) c'était pas si pire à sertir, mais le 10-base5 
(thick-net) avec les vampires c'était pas glop.
Voyons voir, j'ai fait de l'Arcnet et pas mal de Token-Ring aussi; j'ai encore 
un MAU 4Mbps qui traine quelque part.

Bon pour l'hospice de vieillards, c'est vrai qu'il faudrait y travailler. J'ai 
besoin d'au moins 3 racks pour mettre mon musée.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Le 12/03/2019 à 18:04, David Ponzone a écrit :

BITNET!


Je vote pour !

Et pour la version sans-fil l'AX25 (300 ou 1200 bps en standard et sans 
correction d'erreur, ce qui est très malin pour un protocole radio).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


Ah justement LocalTalk ce n'est PAS Ethernet : c'est du RS-422 à 230 Kbps. 
C'était avant Ethernet.


My mistake.

Je voulais dire Ethertalk (Appletalk sur Ethernet)

Bien connu Localtalk, c'était pathétique mais gratuit.

À l'époque les gens chanceux et fortunés étaient déjà en 10 Mbps coaxial.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-12 Par sujet David Ponzone

BITNET! 
What else!


> Le 12 mars 2019 à 17:54, Stéphane Rivière  a écrit :
> 
>> NetBEUI !
> 
> :)))
> 
> Trop moderne (revival encapsulé par M$ sur IPv4).
> 
> LocalTalk (Appletalk sur ethernet) ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

> Stéphane Rivière a écrit :
> LocalTalk (Appletalk sur ethernet) ?

Ah justement LocalTalk ce n'est PAS Ethernet : c'est du RS-422 à 230 Kbps. 
C'était avant Ethernet.

Michel.
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles


NetBEUI !


:)))

Trop moderne (revival encapsulé par M$ sur IPv4).

LocalTalk (Appletalk sur ethernet) ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-12 Par sujet Toussaint OTTAVI




Le 12/03/2019 à 17:11, Michel Py a écrit :

Comme tu y vas. Le marketing, t'appelles çà "élite" ?


Oui, car pour le prix d'un seul de leurs costumes, je m'habille jusqu'à 
la fin de mes jours :-) Et si c'est le même tailleur que Jack LANG, je 
m'achète en plus une jolie voiture :-)


C'était, bien entendu, du second degré. Voire du troisième, car ce sont 
tout de même ces individus qui prennent nos décisions. Et je n'ai pas 
mis de smiley, car cela ne me fait que modérément sourire :-(



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

> Toussaint OTTAVI a écrit :
> Cà a déjà été dit, mais l'informatique a tendance à inverser les problèmes : 
> au lieu
> de faire un produit attractif qui répond aux attentes et qui va naturellement 
> attirer
> les clients, on sort un produit conçu par des élites, très loin du terrain, 
> et ensuite,
> on accuse les gens qui n'en veulent pas d'être "réfractaires au changement"...

Comme tu y vas. Le marketing, t'appelles çà "élite" ?


> A ce propos, ne serait -il pas judicieux de commencer à investir dans un 
> EHPAD pour
> nos vieux jours ? Quel protocole va t-on choisir pour le réseau ? ;-)

NetBEUI !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-12 Par sujet Kevin CHAILLY | Service Technique

Voui, quand tu n'as pas le choix 

Pour ceux qui ont la main en L2, PPPoE Sailfutur, ou un autre set de protocoles 
est invité a la maison ? 

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Toussaint 
OTTAVI
Envoyé : mardi 12 mars 2019 10:48
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

Le 12/03/2019 à 10:25, David Ponzone a écrit :
>> Le 12 mars 2019 à 10:20, Kevin CHAILLY | Service 
>> Technique  a écrit :
>>
>> Y-a-t-il un intérêt a garder PPPoE ?
> Ben y a intérêt à le garder quand t’as pas le choix:)
>

Encore un truc pour lequel on nous a demandé notre avis avant de nous forcer à 
l'utiliser :-)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles

2019-03-12 Par sujet Toussaint OTTAVI


Le 12/03/2019 à 10:25, David Ponzone a écrit :

Le 12 mars 2019 à 10:20, Kevin CHAILLY | Service 
Technique  a écrit :

Y-a-t-il un intérêt a garder PPPoE ?

Ben y a intérêt à le garder quand t’as pas le choix:)



Encore un truc pour lequel on nous a demandé notre avis avant de nous 
forcer à l'utiliser :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Adoption de nouveaux protocoles