Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO

[Cédric Tabary]

Bonjour à tous,

On s'est effectivement pris du DDoS de plus de 50 Gbps, arrivant d'un peu 
partout, y compris les IX. Mais le problème c'est que le RTBH se déclenche en 
/32 sur l'IP d'interco BGP coté client, celle qui se prend le DDOS, ce qui lui 
coupe la session :/

Voila la solution retenue avec Firstheberg :

On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco 
BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des 
plus spécifiques (/23 ou /24) si on en a besoin.

Ca permet de ne pas en venir à des solutions du type interco en RFC1918, que je 
trouve vraiment sale.

Cédric Tabary


(PS: desole pour le doublon éventuel, avec le bon From ca passe mieux)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Cédric Tabary]

Je trouve la solution du RFC1918 assez sale dans le sens où ca ajoute des IP 
privées dans l'IGP de la table de routage globale, ce qui peut porter à 
confusion. D'autre part ca génère des paquets ICMP (au traceroute par exemple) 
en IP source RFC1918 qui passent par Internet donc potentiellement filtrés 
et/ou en conflit avec des réseaux locaux à destination.
Bref pas de ça chez moi :)

Cédric

- Le 15 Sep 15, à 13:28, Jeremy li...@freeheberg.com a écrit :

> Probablement plus simple, aucune idée. On m'a proposé cette solution, je
> l'accepte, c'est tout :)
> Tu sais quand tu est dos au mur, tu prends la première solution qui vient !
> 
> Jérémy
> 
> Le 15/09/2015 13:15, David Ponzone a écrit :
>> +1
>>
>>
>> Le 15 sept. 2015 à 13:13, David Touitou  a écrit :
>>
>>> 'jour,
>>>
 Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
 a trouvé une solution qui va fonctionner. La solution retenue sera
 finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
 du tout.
>>> Question certainement idiote : quelle différence par rapport à utiliser des
>>> RFC1918 ?
>>>
>>> David
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] HOPUS recherche un Business Developper ! ;-)

[Cédric Tabary]

Dans le cadre de ses fortes perspectives de développement HOPUS cherche 
une personnalité afin de prendre en main son développement et promouvoir 
son modèle en France et à l'international.


Profil attendu pour ce nouveau poste : forte expertise du marché et de 
ses acteurs ainsi que de l’environnement technique, capacité 
d'initiative, sens éthique, empathie, négociation, imagination et 
créativité.


Adressez vos candidatures à l'adresse j...@hopus.net


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] trunk layer 2 backup internet

[Cédric Tabary]

7600 ok, mais à voir quelles linecard supportent le l2tpv3... ES+ et
SIP400 je pense sinon ca passe en soft (ou pas) ?


Le 11 septembre 2013 10:55, Frédéric GANDER fgan...@corp.free.fr a écrit :
 7600 ya des chances

 - Mail original -
 De: Pierre Emeriaud petrus...@gmail.com
 À: Nicolas V nicovp...@gmail.com
 Cc: frnog-t...@frnog.org
 Envoyé: Mercredi 11 Septembre 2013 10:52:25
 Objet: Re: [FRnOG] [TECH] trunk layer 2  backup internet

 salut,

 Le 11 septembre 2013 10:39, Nicolas V nicovp...@gmail.com a écrit :
 
  Est ce que vous avez déjà mis en place ou auriez des idées de
  techno (moins
  couteuse qu'un second layer 2 - et si possible pas trop usine à
  gaz) qui
  permettraient de réaliser une encapsulation layer 2 ?
 
  J'ai à ma disposition :
  - du matériel cisco (type 4500 / 7600)
  - du matériel fortigate
  - peut être du matériel F5 bigip (des fonctionnalités de tunnels
  existent
  mais je ne sais pas ce qu'elles permettent/valent)


 xconnect l2tpv3 sur les cisco. a voir les limitations en fonction des
 plateformes/cartes/IOS/age du capitaine.


 ---
 pierre


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME

[Cédric Tabary]

A voir du côté de mikrotik peut être

Cédric

Le 10 septembre 2013 16:05, Kevin Poirier kevin.poirie...@gmail.com a écrit :
 Bonjour,

 Je suis actuellement à la recherche d'un routeur dual wan pour une pme afin
 de pouvoir améliorer la continuité de service et la qualité de notre
 connexion internet.

 Pour cela nous avons un connexion ADSL Bouygues et nous envisageons de
 prendre une seconde ligne avec du SDSL ovh.

 Nous voulons donc pouvoir à la fois du loadbalacing et du failover entre
 les deux connexion si possible. Le wifi n'est pas obligatoire car je pense
 y ajouter ensuite une borne wifi.

 Merci d'avance pour votre aide.
 --
 Cordialement,
 *--
 *
 *Poirier Kévin,*
 *Mail : kevin.poirie...@gmail.com*

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Proxad / Akamai eDNS] Performance de résolution DNS variable (Anycast)?

[Cédric Tabary]

La plupart du temps on se fiche de la performance de l'autoritaire,
car c'est le cache du FAI qui répond.
ak-imworld.afcdn.com.   33200 ...
Ca va juste lagger 300 ms toutes les 10 heures pour maj le cache...
acceptable de mon point de vue.
Le problème n'est peut être pas là ?

Cédric


Le 6 août 2013 12:19, Julien Bailhache jbailha...@smartadserver.com a écrit :
 Bonjour,

 Je ne m'explique pas un comportement changeant de la performance de la
 résolution DNS de nos domaines depuis une freebox. Les zones sont déployées
 sur des serveurs Anycast d'Akamai (nom commercial eDNS). Actuellement au
 nombre de 6 entrées NS, mon projet concerne la migration vers 3 nouveaux
 serveurs a priori mieux distribués géographiquement.

 Malheureusement, l'un des  trois serveurs de remplacement, ns2-67.akam.net,
 répond très lentement depuis ce matin, 8h30, au delà de 300ms.

 Requête dig
 ---
 C:\utilsdig ak-imworld.afcdn.com @ns2-67.akam.net

 ;  DiG 9.3.2  ak-imworld.afcdn.com @ns2-67.akam.net
 ; (1 server found)
 ;; global options:  printcmd
 ;; Got answer:
 ;; -HEADER- opcode: QUERY, status: NOERROR, id: 512
 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

 ;; QUESTION SECTION:
 ;ak-imworld.afcdn.com.  IN  A

 ;; ANSWER SECTION:
 ak-imworld.afcdn.com.   33200   IN  CNAME
 imworld.aufeminin.com.edgesuite.net.

 ;; Query time: 328 msec
 ;; SERVER: 2.22.230.67#53(2.22.230.67)
 ;; WHEN: Tue Aug 06 12:05:28 2013
 ;; MSG SIZE  rcvd: 87
 ---

 Tracert/tcp
 ---
tracert ns2-67.akam.net

 Détermination de l'itinéraire vers ns2-67.akam.net [2.22.230.67]
 avec un maximum de 30 sauts :

   11 ms1 ms1 ms  FREEBOX [192.168.98.254]
   223 ms22 ms21 ms  82.227.162.254
   337 ms42 ms34 ms  78.254.21.30
   424 ms23 ms22 ms  p16-6k-1.intf.nra.proxad.net [78.254.251.73]
   523 ms24 ms24 ms  
 th2-9k-1.intf.routers.proxad.net[78.254.249.93]
   622 ms23 ms22 ms
 th2-crs16-1-be1006.intf.routers.proxad.net[212.27.59.205]
   733 ms32 ms31 ms
 strasbourg-crs16-1-be2000.intf.routers.proxad.net [212.27.50.10]
   834 ms32 ms36 ms
 francfort-6k-1-po100.intf.routers.proxad.net[212.27.56.30]
   9 **   39 ms
 amsterdam-6k-1-po100.intf.routers.proxad.net[212.27.56.38]
  1036 ms37 ms37 ms  
 TenGE13-2.br02.ams01.pccwbtn.net[195.69.145.37]
  11   303 ms   306 ms   304 ms
 63-218-211-182.static.pccwglobal.net[63.218.211.182]
  12 *** Délai d'attente de la demande dépassé.
 ---

 Jusqu'à ce matin, 8h30, le dig répondait en 30ms depuis le même lieu de
 monitoring.
 Actuellement donc il semble que la résolution DNS soit faite via le POP
 anycast de HongKong.

 Les questions que je me pose sont les suivantes:
  - cette mesure est-elle représentative de la performance que mettra le DNS
 de free 212.27.40.240 pour résoudre mes domaines?
 - si oui, c'est assez problématique , et du coup dans quelle mesure peut-on
 mieux maîtriser la performance de cette résolution? Est-ce du à un filtrage
 BGP au niveau de l'opérateur ou à de mauvaises annonces depuis les Pops
 d'akamai?

 A noter que le support Akamai, interrogé sur le sujet, botte en touche car
 la performance de leur service eDNS ne fait pas partie des clauses SLA.

 Merci pour vos avis,
 --
 Julien

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Proxad / Akamai eDNS] Performance de résolution DNS variable (Anycast)?

[Cédric Tabary]

 Il faut donc refaire le test sur toute la suite des CNAME jusqu'au
 A/ et prier que ceux qui ont un TTL très bas aient une résolution
 rapide ou espérer que les utilisateurs utilisent un FAI dont les
 resolver utilisent min-cache-ttl (patch bind) ou cache-min-ttl (unbound)
 ou équivalent pour neutraliser ces TTLs ridicules du genre :
 a428.g.akamai.net.  20 IN A 158.255.97.74
 a428.g.akamai.net.  20 IN A 158.255.97.9

Je l'avais pas vu celui là, il y a 2 CNAME à suivre :-)
Cela dit les DNS de a428.g.akamai.net (qui a le ttl bas) répondent super vite.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] IPv6 Problèmes

[Cédric Tabary]

que donne show process cpu sorted au moment de la charge ?
cela aidera à savoir ce qui tue le cpu, si c'est le bgp, l'igp ou le
forwarding qui passe en soft

Le 18 juillet 2013 11:28, Olivier CALVANO o.calv...@gmail.com a écrit :
 Alors cela me le faisait sur des Cisco 7201, j'ai changé il y a 15 jours
 environs pour des Cisco 6500 avec
 des cartes sup720-3BXL mais cela continue



 Le 18 juillet 2013 10:17, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Thu, Jul 18, 2013 at 10:07:19AM +0200,
  Olivier CALVANO o.calv...@gmail.com wrote
  a message of 21 lines which said:

  J ai très souvent des problemes de saturation CPU sur mes routeurs
  qui ont la table IPv6 .. les routeurs passent de 10% de consommation
  CPU (avec full table IPv4 et IPv6)

 Désolé, pas de solution mais... c'est quel genre de routeurs ?

  Quelqu'un a déjà eu ce symptôme ? peut être qu'il me manque des
  filtres/protections en route map non ?

 Des études comme
 https://labs.ripe.net/Members/mkarir/ipv6-internet-pollution (la
 propagation de leur /12) semblent indiquer que beaucoup de gens ont
 *moins* de protections en IPv6 (par exemple, les annonces extra-larges
 http://www.bortzmeyer.org/annonces-bgp-larges.html vont plus loin en
 v6 qu'en v4).



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] IPv6 Problèmes

[Cédric Tabary]

un show version pourrait nous aider aussi :)

Le 18 juillet 2013 16:08, Cédric Tabary fr...@grumly.eu.org a écrit :
 que donne show process cpu sorted au moment de la charge ?
 cela aidera à savoir ce qui tue le cpu, si c'est le bgp, l'igp ou le
 forwarding qui passe en soft

 Le 18 juillet 2013 11:28, Olivier CALVANO o.calv...@gmail.com a écrit :
 Alors cela me le faisait sur des Cisco 7201, j'ai changé il y a 15 jours
 environs pour des Cisco 6500 avec
 des cartes sup720-3BXL mais cela continue



 Le 18 juillet 2013 10:17, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Thu, Jul 18, 2013 at 10:07:19AM +0200,
  Olivier CALVANO o.calv...@gmail.com wrote
  a message of 21 lines which said:

  J ai très souvent des problemes de saturation CPU sur mes routeurs
  qui ont la table IPv6 .. les routeurs passent de 10% de consommation
  CPU (avec full table IPv4 et IPv6)

 Désolé, pas de solution mais... c'est quel genre de routeurs ?

  Quelqu'un a déjà eu ce symptôme ? peut être qu'il me manque des
  filtres/protections en route map non ?

 Des études comme
 https://labs.ripe.net/Members/mkarir/ipv6-internet-pollution (la
 propagation de leur /12) semblent indiquer que beaucoup de gens ont
 *moins* de protections en IPv6 (par exemple, les annonces extra-larges
 http://www.bortzmeyer.org/annonces-bgp-larges.html vont plus loin en
 v6 qu'en v4).



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Mail to SMS Service from USA to France

[Cédric Tabary]

Il y a la solution Kannel + modem USB/Serie + carte sim
Kannel étant un logiciel libre de gateway sms.

(mon nagios en est très content)

Le 15 juillet 2013 17:19, Ccde Cissp ccdeci...@yahoo.fr a écrit :
 Bonjour la liste,

 Sauriez-vous, comment faire pour recevoir des SMS sur un téléphone mobile en 
 France avec la particularité que ces SMS sont envoyés depuis la source aux US 
 sous forme d'emails.
  Par, exemple en US, avec le service Wireless Verizon , des message SMS 
 peuvent être envoyés vers un téléphone mobile via email en utilisant (par 
 exemple) l'email: 4252751...@vtext.com.avec 4252751XYZ correspondant à un 
 numéro de téléphone portable d'un abonné Verizon aux US.
 Existe-il une sorte d'@ mail composée de la même façon, chez les opérateurs 
 français, exemple, quelque chose comme (01133)610164XYZ@opérateur.frqui 
 sera utilisé comme point de sortie des emails aux US et qui me permettra de 
 recevoir des SMS en France.

 What my colleague need is the method to send me SMS messages by email from 
 US.  For instance, in
 the US, with Verizon Wireless SMS messages can be sent to a cell phone by 
 email
 using 4252751...@vtext.com.


 Le service existe-il en France ou pas? Chez quel opérateur? le service client 
 SFR vient de me dire qu'ils n'ont pas ce service? Que pourriez vous me 
 conseiller, svp?

 Bien cordialement,
 Fethi
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Mail to SMS Service from USA to France

[Cédric Tabary]

 grand public). Il y a quelques années, avec un service de pager, il était
 explicitement interdit d'émettre des messages depuis un script (pour éviter
 le spam). Tu prends le risque de te faire couper ton système d'alerting si
 tu n'y prends gardes.

Ça soulève une question... le fournisseur n'ayant pas le droit de lire
les SMS, comment fait-il pour savoir qu'ils sont émis depuis un script
?

Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Cisco pour transit ?

[Cédric Tabary]

 L'ASR1001 est il de meme puissance qu'un Cisco 7201 mais en version routage
 hardware ?

l'asr est beaucoup beaucoup plus puissant en terme de CPU, et fait le
routage en hard, mais $$$

 J'apprecie aussi beaucoup la plateforme Cisco 6500, mais je croyais que la
 Sup720-3BXL n'etait pas trop prevu pour
 la full table (j'en ai en stock en plus ..) me serais je trompé ? vaudrait
 il mieux mettre une Sup720-3BXL qu'un Cisco 7201 ?

Ca me semble plus approprié, en cas d'attaque ddos ou gros pic de
trafic la sup720 fera le routage en hardware, le cisco 7201 tombera.
De nos jours, mettre un routeur soft en border, je trouve cela très joueur.

 Pour finir, cela me fait reflechir car j'ai trois transitaires full table
 IPv4/IPv6 qui sont tous raccordés a des cisco 7201 ;=)
 deux routeurs, un a deux transitaires, l'autre a un transitaire et quelques
 peering. Les remplacer par de la Sup720-3BXL
 apporterait plus de sécurité performance d’après vous ? La sup720-3BXL
 supporterait deux a trois transitaires full table +
 le renvoi vers les deux routes server ?

Ca passe mais le cpu de la sup720 (un vieux R7000 à 600 MHz)
commencera à souffrir sérieusement si tu as un point d'échange avec
pas mal de sessions bgp qui flap. Le problème c'est pas le forwarding,
c'est l'IGP, si le cpu passe son temps à calculer du bgp, et que le
l'IGP a besoin aussi de cpu, tout peut tomber et la c'est la boucle
infernale.

Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit

[Cédric Tabary]

Il me semble que l'ASR1000 fait ça en hardware, et tiendra le gigabit
sur le modèle d'entrée de gamme. A vérifier.

Cédric

Le 11 juin 2013 10:24, Rémi Laurent remi.laurent-fr...@conostix.com a écrit :
 Bonjour la liste,

 est-ce que certains d'entres vous ont des recommendations ou pistes à
 suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit
 intersite ?

 Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau
 d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de
 chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis
 livré au deux extrêmités en 1000BASE-LX 1310nm.

 J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin
 mais si je lis bien cela implique d'avoir un support end to end; dans ce
 cas cela rendrait trop compliquée la mise en oeuvre sur mon infra
 existante.

 Si vous avez des recommendations au niveau matériel qui supporte ce
 genre de chose, je suis également preneur.

 --
 Rémi Laurent

   GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601

 -BEGIN PGP SIGNATURE-
 Version: GnuPG v1.4.10 (GNU/Linux)

 iEYEARECAAYFAlG23sUACgkQPckIWg+gBgEK8QCfUAUQ71Sm5G9HKPq/k2DpzCot
 gu8AoIzuxo4ocWsGSXvlHVmytQ1kfO2X
 =X1+l
 -END PGP SIGNATURE-



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Sponsoring LIR

[Cédric Tabary]

C'est marrant j'avais le même discussion avec un ami (qui va se
reconnaitre) qui veut devenir LIR aussi.

C'est extrêmement simple :

- Réunir les documents demandés : en bref un kbis !
http://www.ripe.net/lir-services/member-support/become-a-member/application

- Remplir le formulaire online :
https://lirportal.ripe.net/newlir-external/index.htm?subscriptionType=LIR

- Signer les documents et les renvoyer

- Payer ! ça c'est le plus important :)

- Demander un AS pour ceux qui n'en ont pas, obligatoirement 32bits,
(ou 16 bits si tu peux justifier d'un routeur avec 1cm de poussière
dessus).

- Demander ta première ... et dernière allocation ipv4, un /22, et
l'annoncer sur les transit

- Échanger 42 mails avec un RIPE Hostmaster / IP analyst pour
justifier ip par ip, schema réseau à l'appui, l'assignment à toi même
d'un /pasgranchose dans ton nouveau /22 que tu pourra utiliser pour de
vrai

Et voila c'est fait :)

En bonus dans le prix de la cotisation il y a les Training Course
pour apprendre a être un mouton^wLIR responsable, gagner des mug IPv6
act now, faire bien ses record dans la base du RIPE, déjeuner aux
frais des autres cotisants...
https://lirportal.ripe.net/training/courses

voila voila

Cédric

Le 6 juin 2013 20:55, Inulogic - Free-H inulo...@gmail.com a écrit :
 Bonjour à tous,

 Je répond tardivement à ce message mais je cherche également une
 prestation pour passer LIR et m’affranchir de ma dépendance d'adresse
 IP auprès de mon transitaire qui ne veut plus m'en fournir.
 On dispose d'un AS et d'une PI, on vise un bloc ipv6 et une last /22.

 Bonne soirée, Gurvan.

 Le 30 mai 2013 12:47, Jérôme Nicolle jer...@ceriz.fr a écrit :
 Salut Youssef,

 Le 29/05/2013 10:34, Youssef Ghorbal a écrit :
 nous sommes
 amene a trouver un autre (LIR)

 Mieux encore : devenez LIR. C'est pas bien compliqué, ça peut être
 l'occasion de passer sur du PA et ça règle définitivement le problème de
 dépendance.

 @+

 --
 Jérôme Nicolle
 06 19 31 27 14


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau

[Cédric Tabary]

 Disposant actuellement d'un serveur dédié muni de l'hyperviseur VMWare
 ESXi 4.1, je souhaite depuis le début de l'année monter en compétence
 sur la technologie KVM/Qemu sous Debian.

Mon but n'est pas de te décourager, mais d'après mon expérience avec
des ESXi (4.x/5) et KVM (Debian5/6) bien chargés en IO disque et
réseau tu vas sérieusement perdre en performance et en fiabilité en
passant sur KVM. Maintenant je ne connais pas tes motivations, ton
infra et le type de trafic/ressources, peut être que cela a du sens
dans ton cas.

Cela dit ça m'intéresserai d'avoir un retour d'expérience sur Debian
7, le kernel 3.2 arrange peut être bien les choses ?

Cordialement


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau

[Cédric Tabary]

 De nos tests entre une machine hôte (live usb) et une machine virtuelle
 par dessus de la virtu, ESX 4/5 on perd 10% de performance disque, KVM
 12%, Xen 3% testé sur Debian 7 kernel branche 3.4 pour les tests Kvm et
 Xen. Ce sont des moyennes des pertes en débit, IO ou temps de traitement
 qu'on déroule dans les tests.

Je suis étonné des 3% de perte avec Xen, je suppose que tes tests sont
faits en paravirtualisation (kernel guest xen) ?

Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau

[Cédric Tabary]

Le 4 juin 2013 14:18, Pierre `Sn4kY` DOLIDON sn...@sn4ky.net a écrit :
 Certainement.
 Aucun intérêt de virtualiser des linux avec Xen si c'est pour utiliser
 qemu...

Tout dépend du pourquoi de la virtualisation.

Pour migrer une vieille slackware avec un kernel 2.4, une pelletée de
debian 5, et d'éventuels windows (le service comptable a toujours un
ou 2 windows sous le coude), esxi est presque parfait, et kvm une
catastrophe (au moins 80% de perte chez moi), Xen est probablement
entre les deux.

 [troll] Xen c'est tellement mieux ;) [/troll]

On est que mardi :)
mais dans le cas idéal où tu as des vm récentes avec le kernel qui va
bien pour la paravirtualisation on est d'accord.

Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Déconnexion hebdomadaire Orange

[Cédric Tabary]

 Je revalide seulement la config de la passerelle pour l’interface FTTH pour
 que ca reparte…

La route par défaut saute à 5h40 sur votre serveur ? Si oui ce n'est
pas forcément la faute d'orange.
Il faudrait regarder la table de routage après 5h40.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Occasion: linecards et sup cisco 6500/7600

[Cédric Tabary]

Bonjour,

Je souhaite revendre quelques cartes qui ne me sont plus utiles depuis pas
mal de temps.

2x  Sup2 / msfc2 avec 512M sur la msfc
http://s1.postimg.org/wq4nmi9e7/IMG_0538.jpg

2x X6516-GE-TX 16 ports 10/100/1000
http://s22.postimg.org/fluoturep/IMG_0536.jpg

1x X6516-GBIC, avec 6 GBIC SX et 2 GBIC LX
http://s24.postimg.org/h9iefoqc5/IMG_0537.jpg

Les sup sont plus que dépassées pour du bgp (pas de full view, cpu
poussif), mais pour de l'ipv4 privé ou du L2 c'est parfait.
Les linecard X6516 fonctionnent avec toutes les sup, celles-ci n'ont pas de
DFC (cef distribué).

A venir chercher sur Paris 18 (ou Paris 2), cartes simplement emballées
dans un sachet anti-statique.

Faites moi une offre en privé si ça vous intéresse.

Cédric

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Perf routing ospf cisco 3560G

[Cédric Tabary]

200 routes ca passe en hardware sans souci, ipv4 et ipv6, donc 38.7 Mpps.

Attention à deux choses :
- Si je ne dis pas de bêtises il y a un maximum d'interfaces routées en
hard et je ne sais pas si ça inclus les SVI.
- La bête a un CPU plutôt pourri, alors c'est mieux de faire du rate limit
sur les ICMP, qui remontent certainement en soft comme la plupart des
routeurs.

Sur un C3560G-48TS-S :

xxx#sh sdm prefer
 The current template is desktop IPv4 and IPv6 routing template.
 The selected template optimizes the resources in
 the switch to support this level of features for
 8 routed interfaces and 1024 VLANs.

  number of unicast mac addresses:  1.5K
  number of IPv4 IGMP groups + multicast routes:1K
  number of IPv4 unicast routes:2.75K
number of directly-connected IPv4 hosts:1.5K
number of indirect IPv4 routes: 1.25K
  number of IPv6 multicast groups:  1.125k
  number of directly-connected IPv6 addresses:  1.5K
  number of indirect IPv6 unicast routes:   1.25K
  number of IPv4 policy based routing aces: 0.25K
  number of IPv4/MAC qos aces:  0.5K
  number of IPv4/MAC security aces: 0.5K
  number of IPv6 policy based routing aces: 0.25K
  number of IPv6 qos aces:  0.5K
  number of IPv6 security aces: 0.5K




Le 3 avril 2013 17:49, Yann Beulque beulque.y...@gmail.com a écrit :

 Bonjour,

 Je cherche des info sur les perf routing ipv4 et ipv6 d'un cisco 3560G avec
 une table de routage d'environs 200 route par switch.
 J'ai peur que le switch tombe avec quelques dizaines de paquet par seconde.


 Merci pour vos retour !

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] multihome BGP avec annonces conditionnelles et statiques

[Cédric Tabary]

Je n'ai pas suivi tout le thread donc peut être que la finalité
m'échappe, mais pourquoi faire compliqué lorsqu'on peut faire simple
avec du prepend ?

rouer bgp monas
 network x.x.x.x

ip prefix-list penalise seq 10 permit x.x.x.x/n

route-map PROVIDER-OUT permit 10
 match ip address prefix-list penalise
 set as-path prepend monas monas
route-map PROVIDER-OUT deny 100

Naturellement le trafic viendra par l'as-path le plus court, si le
fai1 disparait, l'as-path existe déjà sur le fai2 donc ça converge
plus vite qu'une annonce conditionnelle.

Sinon ton approche est intéressante techniquement, même si cela me
parait loin des best practice.

Cédric

Le 29 mars 2013 14:29, jehan PRocaccia jehan.procac...@int-evry.fr a écrit :
 Bonjour,

 3 semaines plus tard ... j'en enfin eu l'occasion de tester cette
 configuration, qui permet d'annoncer en mode nominal quelques prefixes à
 l'ISP secondaire et de manière conditionnelles tous mes prefixes au
 secondaire quand l'ISP primaire est tombé,
 le tout sans oublier de conserver l'annonce des qq prefixes annoncés au
 secondaire (en mode nominal) dans ce mode dégradé (ISP primaire down)
 en terme IOS cela donne:

 router bgp ASNUM
   neighbor x.x.x.x advertise-map QQ-PREFIX exist-map LOOPBACK-ALLWAYS-TRUE

   neighbor x.x.x.x advertise-map MY-PREFIXES non-exist-map 1ST-ISP-UP
   neighbor x.x.x.x route-map MY-PREFIXES out

 et cela marche :-)

 quelques remarques cependant, car cela n'a pas marché du premier coup
 La formulation

 Router(config)# route-map 1ST-ISP-UP-OR-2ND-ISP-UP permit 10
 Router(config-route-map)# match ip address 1 2   ! là on a un OR entre ACL 1
 et ACL 2.

 a échouée, ACL 1 vérifié la présence d'une route ISP 1 et ACL 2 ISP2, quand
 ISP1 etait Down, je n'ai plus annoncé a ISP2 QQ-PREFIX :-(
 j'ai donc adopté la solution avec une route-map toujours vraie:

 show route-map LOOPBACK-ALLWAYS-TRUE
  Match clauses:
 ip address (access-lists): 7
 #show access-lists 7
 Standard IP access list 7
 10 permit x.x.x.x (93 matches)
 qui match l'adresse IP de mon interface loopback

 autre remarque, l'odre d'annonce des directives dans la config est
 importante !
 1. neighbor x.x.x.x advertise-map QQ-PREFIX exist-map LOOPBACK-ALLWAYS-TRUE
 2.  neighbor x.x.x.x advertise-map MY-PREFIXES non-exist-map 1ST-ISP-UP
 3. neighbor x.x.x.x route-map MY-PREFIXES out

 l'inversion 2 et 1 a un autre comportement .

 Merci pour vos conseils.

 PS: je n'ai pas testé l'alternative suggérée sur la liste avec les
 prefix-list via cisco EEM , mais je garde ça sous le coude au cas ou ...

 Le 05/03/2013 10:02, orf fethi a écrit :

 Bonjour,

 Je vous propose aussi de changer dans neighbor x.x.x.x advertise-map
 QQ-PREFIX exist-map 1ST-ISP-UP le map 1ST-ISP-UP par un nouveau map
 1ST-ISP-UP-OR-2ND-ISP-UP qui sera toujours VRAI.
 neighbor x.x.x.x advertise-map QQ-PREFIX exist-map
 1ST-ISP-UP-OR-2ND-ISP-UP
  2 Solutions:
   1. Router(config)# route-map 1ST-ISP-UP-OR-2ND-ISP-UP permit 10
   Router(config-route-map)# match ip address 1 2   ! là on a un OR
 entre ACL 1 et ACL 2. Par exemple ACL1 pointe vers une annonce de ISP1 et
 ACL2 vers une annonce d'ISP2.

   2. Définir une condition toujours vrai qui sera toujours matchée pour
 pouvoir toujours annoncerQQ-PREFIX

 Cdt,
 Fethi


 
 *De :* jehan procaccia INT jehan.procac...@int-evry.fr
 *À :* Ccde Cissp ccdeci...@yahoo.fr; frnog-t...@frnog.org
 frnog-t...@frnog.org
 *Cc :* touremoha...@gmail.com touremoha...@gmail.com
 *Envoyé le :* Lundi 4 mars 2013 13h46
 *Objet :* Re: [FRnOG] [TECH] multihome BGP avec annonces conditionnelles
 et statiques


 bonjour,

 la methode suivante fonctionne partiellement mieux:

 router bgp ASNUM
 neighbor x.x.x.x advertise-map QQ-PREFIX exist-map 1ST-ISP-UP
 neighbor x.x.x.x advertise-map MY-PREFIXES non-exist-map 1ST-ISP-UP
 neighbor x.x.x.x route-map MY-PREFIXES out

 en mode nominal (ISP primaire UP) j'annonce bien mes QQ-PREFIX à l'ISP
 secondaire
 en cas de perte de l'ISP primaire j'annonce bien dynamiquement tous mes
 prefixes MY-PREFIXES  à l'ISP secondaire
 mais malheureusement je n'annonce plus les prefix QQ-PREFIX dans cette
 situation, en effet exist-map 1ST-ISP-UP n'est plus vrai, donc je suppose
 qu'il élimine les prefix QQ-PREFIX qui sont inclus dans MY-PREFIXES et
 n'annonce que le reste des MY-PREFIXES .

 Bref c'est mieux, mais ce n'est pas encore satisfaisant pour assurer le
 trafic engineering attendu , en effet quand l'ISP primaire est tombé, les
 QQ-PREFIX qui profitaient d'un trafic engineering via les 2eme ISP se
 retrouvent coupé du monde car ils ne sont plus annoncés au secondaire, alors
 même que ce dernier (ISP 2) n'a subit aucune perte  !

 J'ai bien entendu les differentes suggestions concernant l'AS-Prepend,
 j'avais commencé par ça, mais malheureusement ce n'est pas déterministe, il
 y aura toujours qq-part sur le chemin un ISP qui se foutra de la longueur de
 l'AS-PATH et favorisera son 

Re: [FRnOG] [MISC] Liste de CIDR

[Cédric Tabary]

Mon expérience sur les listes de ce type, qui sont assez massivement
basées sur GeoIP :
- les pays sont plutôt bon pour les FAI grand public (adsl, cable
etc...), avec même une précision sur les villes, et quelques erreurs
assez sporadiques
- tout est relativement faux pour les plages d'IP d'hébergeurs,
entreprises, et le reste, ils mettent souvent le lieu du siège social
(objet organisation) et ne suivent pas toujours les bases des RIR, ni
le nouveau champ geoloc de la base du RIPE.

Donc si le but est d'utiliser ce genre de liste pour blacklister des
accès internet de pays à problème, c'est plutôt efficace.
Si c'est pour l'utiliser en whitelist de avec un deny général, c'est
du suicide, trop d'erreurs, ou alors il faudra gérer massivement à la
main des faux positifs.

Cédric

Le 28 mars 2013 21:55, Tony Chambon tony.cham...@univ-paris8.fr a écrit :
 Bonsoir,

 j'espère écrire sur la bonne liste.
 je cherche a savoir s'il y a d'autres sites qui maintienne des listes de
 plages d'adresse IP
 il y a des sites que vous conseiller pour avoir ce genre de résultats.

 https://www.countryipblocks.net/country_selection.php

 j'avais pour habitude de faire un drop de tout sauf la france.
 je me vois mal demander aux utilisateurs leur adresse IP sans arrêt j'ai du
 ouvrir pour l'allemagne et facebook.

 je me suis retrouvé avec un utilisateur en contact sur facebook mais le site
 répondait pas a cause du chemin.
 /var/log/apache2/access.log:69.171.224.113 - - [26/Mar/2013:22:06:07 +0100]
 GET /oc5/ HTTP/1.1 206 1494 - facebookexternalhit/1.1
 (+http://www.facebook.com/externalhit_uatext.php)
 /var/log/apache2/access.log:69.171.224.112 - - [26/Mar/2013:22:06:09 +0100]
 GET /oc5/core/img/logo.png HTTP/1.1 206 6202 - facebookexternalhit/1.1
 (+http://www.facebook.com/externalhit_uatext.php)
 /var/log/apache2/access.log:69.171.224.117 - - [26/Mar/2013:22:06:10 +0100]
 GET /oc5/core/img/logo.png HTTP/1.1 206 6202 - facebookexternalhit/1.1
 (+http://www.facebook.com/externalhit_uatext.php)

 donc, j'ai ouvert le 80 sur le web, et bingo en moins de 24h.
 1 tentative d'accès non autoriser depuis Taîwan.
 j'ai un fail2ban qui fait bien sont boulot mais j'aime pas trop ça que l'on
 fouille comme ça.

 je peux aussi faire des liste pour des drop.
 /usr/sbin/ipset -N taiwan nethash
 sh /home/celres/iptables/taiwan.sh
 /sbin/iptables -A INPUT -m set --match-set taiwan src -j DROP

 contenu de taiwan.sh
 #!/bin/bash
 ipset --add taiwan 1.34.0.0/15
 ipset --add taiwan 1.160.0.0/12
 ipset --add taiwan 1.200.0.0/16
 ipset --add taiwan 27.51.0.0/16
  (3573 lignes)

 ma question est simple peut on faire confiance aux listes CIDR ?
 http://pastebin.com/bN3yKJse
 du coup j'ai interdit taiwan et la chine.

 je n'ai pas accès aux différents switch sur le réseau.
 l'adresse IP est directement visible du net (NAT, PAT, autre acronyme je
 sais pas)
 ça me dérange pas du tout mais faut un iptables dérrière obligé au risque de
 ce faire attaquer a gogo en ssh.
 si vous avez un retour d'expérience et/ou autres solutions.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] multihome BGP avec annonces conditionnelles et statiques

[Cédric Tabary]

  Naturellement le trafic viendra par l'as-path le plus court, si le
  fai1 disparait, l'as-path existe déjà sur le fai2 donc ça converge
  plus vite qu'une annonce conditionnelle.

 ... sur le chemin le plus court a toute autre condition identique. Ce
 qui n'est pas forcement le cas dans tous les situations.
 N'oublions pas qu'en general un AS prefere en ordre (avec modification
 de weight ou localpref a la carte) : clients, peers, upstreams
 Pour des raisons specifiques, les tres grands preferent certaines peers
 aux autres (pareil, avec localpref en consequence).
 Dans des telles conditions tu peux faire prepend autant de fois que tu
 veux, ca n'aide pas.

Tout à fait, je parlais du cas général. D'ailleurs même avec du prepend
massif j'ai toujours vu un peu de trafic résiduel sur le transit de backup.

  Sinon ton approche est intéressante techniquement, même si cela me
  parait loin des best practice.

 Presente comme ca, c'est effectivement contre-nature, mais il peut y
 avoir d'autres applications: par exemple essayer de cacher a un certain
 peer potentiel la presence d'un de tes upstreams, tout en se gardant la
 possibilite d'utiliser l'upstream en question si les choses tournent
 vraiment mal (et meme dans ce cas-la, on est un peu contre-nature).

Après réflexion, il y a peut être aussi un intérêt aux annonces
conditionnelles sur du peering, la où pour sûr il y a un localpref en face,
pour forcer tel peer à envoyer le trafic par tel point d'échange en gardant
l'autre en backup.

Cédric

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Email du RIPE

[Cédric Tabary]

 Nous avons un bloc PI et nous n'avons jamais eu de relation avec le RIPE.

 le seul effet de ne pas se rattacher au RIPE ou un LIR est qu'il vous
 enleve de leur base.

le problème que je vois ici c'est que ton prefix n'étant pas dans une
base d'un RIR officiel, il finira par être
- alloué à quelqu'un d'autre (peut être)
- filtré chez les gros opérateurs qui utilisent les bases des RIR ou
RADB (plus probable)

troll
Il faut se faire à l'évidence, le temps où le protocole de filtrage
sur internet c'était SMTP est (presque) révolu.
/troll

 De nombreux groupes se retrouvent dans ce cas, et il a été décidé de
 créer un RIR communautaire qui ne reconnait pas l'autorité de l'icann etc...

Je suis tout à fait ouvert à l'idée d'avoir un RIR indépendant, la
n'est pas la question, mais n'est-ce pas un risque important de se
retrouver coupé du net comparé à payer quelques dizaines d'euros par
an par ressource chez un LIR ou un RIR officiel ?

Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] prix du marche du mega pour un acces internet

[Cédric Tabary]

 J'aimerai juste avoir une idee sur le prix du marche, je ne suis pas la 
 recherche du super deal, j'aimerai juste avoir une idee de ce qu'on pourrait 
 appeller une offre correcte a ce jour :-)

Ça dépend complètement du commit.

Tu peux regarder ce petit fournisseur hollandais, qui affiche ses
prix : http://jointtransit.nl/prices.html
Attention!! le but n'est pas de faire de la pub pour eux et de
troller, je colle juste le lien parce-qu’il affiche ses prix et que je
trouve que ce tableau est relativement proche de la réalité du marché.

Regarde bien tes contrats aussi, souvent c'est du renouvellement
tacite pour 1 an si tu n'a pas résilié N mois avant, mais rien
n’empêche de renégocier en cours.

Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] SFR sur AMS-IX

[Cédric Tabary]

 J'ai l'impression que l'AS15557 (SFR) a des problèmes sur l'AMS-IX.

 Vous voyez quelque chose de votre côté ?

Idem pour nous à l'AMS-IX, le technicien serait-il coincé dans les
grèves de transport pour se rendre aux Pays-Bas ?

195.69.145.171  4   15557  318625  295433000 06:29:38 Active

Cédric
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Datacenter au Luxembourg

[Cédric Tabary]

 Je cherche de l'espace en datacenter au Luxembourg, environ 10 racks ou
 40kVA au total. Après quelques recherches sur google je suis tombé sur
 datacenter.eu, et sur bce.lu, qu'en pensez-vous ? il y en a d'autres ? au
 niveau connectivité (transit ip bgp et wave vers paris/ams) c'est bien
 desservi ?


Merci à tous pour vos nombreuses réponses on-list et off-list.

Cédric Tabary

[FRnOG] Datacenter au Luxembourg

[Cédric Tabary]

Bonjour,

Je cherche de l'espace en datacenter au Luxembourg, environ 10 racks ou
40kVA au total. Après quelques recherches sur google je suis tombé sur
datacenter.eu, et sur bce.lu, qu'en pensez-vous ? il y en a d'autres ? au
niveau connectivité (transit ip bgp et wave vers paris/ams) c'est bien
desservi ?

Cordialement

Cédric Tabary