RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Bon je revisite ce fil après en avoir parlé en privé : En n'étant pas tier-1, filtrer les AS privés : oui. Accepter la route par défaut d'un des fournisseurs de transit : oui aussi, au cas-ou. Est-ce que çà a de l'allure ? [in English in the text : does it make sense ?] Michel.

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Christophe, Le 12/06/2018 à 13:16, Christophe LUCAS a écrit : Bah faut pas que tu sois transitaire pour un ASN sur 2 octets vu : add action=accept bgp-as-path=_23456_ chain=bogons-asn Mikrotik supporte bien les ASN32, cette ligne ne fait que filtrer une route dont l'ASN32 n'est pas

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Juin 2018 12:36:58 Objet: Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH -BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Bonjour, Pour en terminer avec ce sujet, j'ai repris l'exemple de conf pour IOS publié par Job, adapté à du Mikrotik. Les regex sont tellement complexes que je ne peux pa

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Bonjour, Pour en terminer avec ce sujet, j'ai repris l'exemple de conf pour IOS publié par Job, adapté à du Mikrotik. Les regex sont tellement complexes que je ne peux pas garantir que ça ne filtre pas plus que ça ne devrait. En tout cas, ça filtre

RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

> Youssef Bengelloun-Zahr a écrit : > Tout ce qui leak dans la DFZ avec un AS privé dans le path : > http://as2914.net/bogon_asns/configuration_examples.txt > My 2 cents. +1 Je me réponds à moi-même : j'ai enlevé le filtre ci-dessus, et il n'y avait aucun préfixe avec un AS privé. Mais je l'ai

RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

> Youssef Bengelloun-Zahr a écrit : > Tout ce qui leak dans la DFZ avec un AS privé dans le path : > http://as2914.net/bogon_asns/configuration_examples.txt > > My 2 cents. +1 Michel. --- Liste de diffusion du

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Tout ce qui leak dans la DFZ avec un AS privé dans le path : http://as2914.net/bogon_asns/configuration_examples.txt My 2 cents. Y. > Le 6 juin 2018 à 10:18, Julien Escario a écrit : > > -BEGIN PGP SIGNED MESSAGE- > Hash:

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Le 05/06/2018 à 20:45, Michel Py a écrit : >> Olivier Benghozi a écrit : Le supernet reste généralement annoncé, donc >> joignable. Et comme des très gros filtrent désormais (au moins NTT, GTT, >> AT), ceux qui annoncent de la merde seront

RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

> Olivier Benghozi a écrit : > Le supernet reste généralement annoncé, donc joignable. Et comme des très > gros filtrent désormais > (au moins NTT, GTT, AT), ceux qui annoncent de la merde seront > immédiatement impactés en cas > d'injoignabilité. Par conséquent tout le monde peut désormais

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

+1 Y. > Le 5 juin 2018 à 14:10, Olivier Benghozi a > écrit : > > >> Le 5 juin 2018 à 12:27, Frederic Dhieux a écrit : >> >> sauf que c'est arrivé parfois aussi à des gros >> FAI français par exemple qui découpent leur réseau par zones comme ça et >> oublient le remove-private-as > > Le

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

> Le 5 juin 2018 à 12:27, Frederic Dhieux a écrit : > > sauf que c'est arrivé parfois aussi à des gros > FAI français par exemple qui découpent leur réseau par zones comme ça et > oublient le remove-private-as Le supernet reste généralement annoncé, donc joignable. Et comme des très gros

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Le 04/06/2018 à 16:37, Clement Cavadore a écrit : > On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote: >> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est >> d'allonger artificiellement l'AS-PATH. Ceci dit, on est d'accords que >> ca ne devrait pas sortir d'un AS ce genre de

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

On 6/4/18 4:22 PM, Julien Escario wrote: Vous filtrez ça ? J'ai lu que sur Cisco, il y a une commande pour virer les private AS des AS-PATH mais je n'ai pas trouvé sur mes krotik. Si quelqu'un a le filtre magique, je prends. Bonjour, Sous OpenBSD (OpenBGPd): # filter bogon AS numbers #

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Hello, Par exemple, un AS-PATH appris de 8218 (oui, je suis encore sur 8218, plus pour longtemps) > Roooh, tu dis cela comme si c'était une fatalité, c'est blésant ;-) Personne ici n'ira dire que 8218 font les jambons hein ;-) > On n'est pas parfait non plus et on prend toute les feedbacks

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Hello, > Le 4 juin 2018 à 16:22, Julien Escario a écrit : > > Suite à la mise en place de sessions BGP avec Qrator Radar, ils me remontent > pas mal de routes en bogons à cause d'AS-PATH contentant des AS privés (donc > la tranche 64512-65534). > > Vous filtrez ça ? Tout à fait, tout comme

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Le 04/06/2018 à 17:16, David Ponzone a écrit : > Euh, si c’est < à 2^32 :) My bad, j'ai fait 2^31. Donc oui, ca tient, tout juste. Julien -BEGIN PGP SIGNATURE- iQIcBAEBCgAGBQJbFVg8AAoJEOWv2Do/MctuVrsP/16M4dHEsxLmKNXpbx9m0I0F

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Euh, si c’est < à 2^32 :) > Le 4 juin 2018 à 17:11, Julien Escario a écrit : > > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > > > Le 04/06/2018 à 16:37, Clement Cavadore a écrit : >> On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote: >>> A priori, ca n'a pas d'intérêt ni bon,

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Le 04/06/2018 à 16:37, Clement Cavadore a écrit : > On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote: >> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est d'allonger >> artificiellement l'AS-PATH. Ceci dit, on est d'accords que

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Ils ont surtout pas fait gaffe à mon avis. Jamais trop compris pourquoi RIPE/ARIN/etc… ne peuvent/veulent pas faire le gendarme là-dessus. > Le 4 juin 2018 à 17:02, Julien Escario a écrit : > > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > > Le 04/06/2018 à 16:58, David Ponzone a

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Le 04/06/2018 à 16:58, David Ponzone a écrit : > SI mes souvenirs sont bons, sur Cisco, le remove-private-AS ne concerne que > le outbound (on utilise des AS privés en interne, on veut s’assurer de ne > jamais les envoyer à ses peers eBGP). > > En

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

SI mes souvenirs sont bons, sur Cisco, le remove-private-AS ne concerne que le outbound (on utilise des AS privés en interne, on veut s’assurer de ne jamais les envoyer à ses peers eBGP). En fait, il faut que tu fasses un mail au NOC des AS qui t’envoient de la saloperie pour leur expliquer

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Le 04/06/2018 à 16:32, Jérôme Nicolle a écrit : > > > Le 04/06/2018 à 16:22, Julien Escario a écrit : >> Si quelqu'un a le filtre magique, je prends. > > set /routing bgp peer * remove-private-as=yes Ah oui, pardon, j'ai essayé mais :

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote: > A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est > d'allonger artificiellement l'AS-PATH. Ceci dit, on est d'accords que > ca ne devrait pas sortir d'un AS ce genre de truc ? > > Vous filtrez ça ? Oui, et je t'encourage à le

Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

Le 04/06/2018 à 16:22, Julien Escario a écrit : > Si quelqu'un a le filtre > magique, je prends. set /routing bgp peer * remove-private-as=yes -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature

[FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Bonjour, Suite à la mise en place de sessions BGP avec Qrator Radar, ils me remontent pas mal de routes en bogons à cause d'AS-PATH contentant des AS privés (donc la tranche 64512-65534). Vérification faite, j'apprends àa de pas mal de peers