Re: [HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?

2022-03-22 Par sujet Baptiste Chappe
Hello,

Je pense que tu parles de 802.1X ?
Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices
exotiques (iphone).

Pour windows, tu utilises une PKI qui émet un certificat
machine+utilisateur.
Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.

Pour les iphones, tu enrolls dans un MDM et tu push un certificat. Ton tél
aura le cert et pourras se connecter à ton wifi.
Conseil : Prépare ton process et ton intérêt à avoir du poste carré pour
éviter les problèmes. Bonne chance :)

++

On Tue, Mar 22, 2022 at 4:11 PM Olivier  wrote:

> Hello,
>
> J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
> d'utilisateurs :
> - dont les connaissances informatiques varient du tout au tout (depuis
> l'expert jusqu'au néophite),
> - qui possèdent et gèrent leurs propres appareils (des smartphones
> Android et PC sous Windows 10, en grande majorité, mais aussi quelques
> Mac/iphone/machines Linux).
>
> Avec Android 11 a disparu la possibilité de se connecter à un réseau
> WiFi WPA2 Entreprise sans validation des certificats.
> Aussi j'imaginais utiliser un certificat auto-signé auprès des
> utilisateurs avec le workflow suivant:
>
> - avant leur arrivée, les utilisateurs téléchargent le certificat
> depuis le site web institutionnel,
> - ils ajoutent ce certificat à leur trousseau en double-cliquant sur
> ce certificat,
> - une fois sur place, ils se connectent au réseau WiFi en désignant le
> certificat préalablement téléchargé.
>
> En y réfléchissant de plus près:
>
> - je ne suis pas sûr que sur Windows/Android 10/11, il existe une
> application "gérant les certificats"
> - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
> rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce
> qu'il faut pour se connecter au réseau cible (on se mord la queue),
> - les appareils acceptent-ils tous des durées de validité des
> certificats du même ordre de grandeur ?
>
> 1. Avez-vous de l'expérience à partager sur le sujet ?
> 2. Connaissez-vous un certificat commercial miraculeux universel qui
> évite le chargement préalable ?
> 3. Conseils ? Suggestions ?
>
> Slts
>
>


Re: Debian 11 et Lenovo Legion 5 17ARH05H (82GN004DFR)

2021-08-30 Par sujet Baptiste Chappe
Bonjour,

Je confirme le KO avec deux cartes graphiques.
J’ai un XPS avec une 1650 mobile et un carte graphique externe 3070 via un
external GPU. Impossible d’utiliser la première carte en même temps que la
seconde.

Baptiste.

Le lun. 30 août 2021 à 19:55, Christophe_VANHOUTTE 
a écrit :

> Bonsoir,
> Le 30/08/2021 à 10:06, Belaïd a écrit :
>
> Bonjour,
>
> L'utilisation des deux cartes graphiques en même temps n'est pas possible.
> L'utilisation de l'une désactive l'autre. Généralement avec les pilotes
> "conventionnés", le passage de l'une à l'autre se fait de manière
> transparente selon le besoin en puissance graphique
>
> Mince alors, 
>
> Rien a faire donc ?
>
> Bien je ferai avec la carte NVIDIA Turing GeForce GTX 1660 Ti 6 Go GDDR6
>
> en reardant si je ne peux pas désactiver la carte intégrée.
>
> Je n'ai pas une utilisation nomade.
>
> Merci pour cette information importante, qui me fonds revoir mon
> paramètrage des moniteurs.
>
> Bien àvous 
>
> Christophe
>
>
>
>
> Le lun. 30 août 2021 à 00:29, Christophe_VANHOUTTE 
> a écrit :
>
>> Bonsoir,
>>
>> Je reviens sur Legion 5 17ARH05H (82GN004DFR) et l'installation de la
>> Debian 11 et gestion des deux cartes graphiques,
>>
>> J'utiliserai XFCE 4 (Il semble que XFCE 4 ne supporte pas encore
>> Wayland). (et peut-être MATE) ,
>>
>> A savoir:
>>
>> NVIDIA Turing GeForce GTX 1660 Ti 6 Go GDDR6 dédiés,
>> AMD Radeon Vega 7 intégrée au processeur et Optimus
>>
>> Sachant qu'il y aurait un USB-C 2.3 support DisplayPort) que je n'ai pas
>> encore testé, car Debian n'est pas encore installée.
>>
>> La connectique donnée est:
>>
>> Lecteur de carte mémoire4 en 1 (carte SD, MultiMediaCard, carte
>> SDHC, carte SDXC)
>> InterfacesUSB 3.2 Gen 1 (Always On)
>> 3 x USB 3.2 Gen 1
>> USB-C 3.2 Gen 1 (supports DisplayPort 1.2 Alt Mode)
>> HDMI 2.0
>> LAN
>> Prise combo casque/microphone
>>
>> Je me pose les questions suivantes:
>>
>> Peut-on utiliser les deux cartes graphique en mềme temps, sachant qu'il
>> y a un supports DisplayPort 1.2 ?
>>
>> Quel paquet graphique installé, avec accélération graphique ou pas sur
>> quelle carte vidéo ou les deux ?
>>
>> Voici donc pas mal de questions, je reste dans le flou complet, il faut
>> dire que j'ai pas l'habitude d'avoir du matériel très recent.
>>
>> Merci pour votre aide et éclirage.
>>
>>
>> Bien à vous.
>>
>> Christophe
>>
>> --
>> Debian Duster 10.8|Kernel 4.19.0-14-amd64|Xorg 1.20.4 & Xfce 4.12
>> http://www.debian.org  #http://fr.wikipedia.org/wiki/Obsolescence
>> https://soutien.laquadrature.net/
>> http://gnutux.free.fr  # Il faut dire GNU/Linux :) #www.culte.org
>> --
>> GNU/Linux : May the Force be with you !
>>
>>
> --
> Debian Duster 10.8|Kernel 4.19.0-14-amd64|Xorg 1.20.4 & Xfce 
> 4.12http://www.debian.org # 
> http://fr.wikipedia.org/wiki/Obsolescencehttps://soutien.laquadrature.net/http://gnutux.free.fr
>  # Il faut dire GNU/Linux :) # www.culte.org
>
> --
> GNU/Linux : May the Force be with you !
>
> --
Baptiste Chappe
06 61 28 71 10


Re: Hébergement de nom de domaine (sondage ultra rapide)

2021-04-07 Par sujet Baptiste Chappe
Hello,

Pour du ndd sans prétention, je vais au moins cher. Ovh/online/gandi avec
un cron qui backup chaque zone chaque jour. Le seul truc à mon sens
obligatoire c’est avoir une API de dispo côté Registar.

Testé et approuvé pour 731 ndd :-)

Baptiste

Le mer. 7 avr. 2021 à 18:09, kaliderus  a écrit :

> Bonjour,
>
> Petit sondage ultra rapide (amusant) :
>
> J'ai 3 domaines à enregistrer (juste besoin d'enregistrer et de
> configurer mes DNS), dans ma situation, vers quels registrars
> iriez-vous ?
>
> Actuellement chez online, j'envisage de passer chez ikoula et vous ?
> pourquoi ?
>
>
> Bon amusement.
>
> --
Baptiste Chappe
06 61 28 71 10


Re: Conseils sur le routage de client à client avec OpenVPN

2019-01-23 Par sujet Baptiste Chappe
Hello,

Première intervention sur la ML :)

Je remote avec un VPS OVH 600 sites distants via du OpenVPN et du Mikrotik
sur site. Des sites en chine (pas HK) via des protocoles exotiques pour ne
pas être filtrer (voir stunnel).
Les réseaux clients ne doivent pas avoir de même subnet.
C'est un peu compliqué au départ mais en étant rigoureux, je fais du 1
touch provisionning  sur mes clients OpenVPN

Un exemple de configuration de ma "tete" vpn vers un client Mikro en Europe.

port 443
proto tcp
dev tun


ca /etc/openvpn/CL001-XXX/ca.crt
cert /etc/openvpn/CL001-XXX/server.crt
key /etc/openvpn/CL001-XXX/server.key
dh /etc/openvpn/CL001-XXX/dh2048.pem

# IP DU SERVEUR
server 172.30.1.0 255.255.255.0

client-config-dir /etc/openvpn/CL001-XXX/CSO
ccd-exclusive

# LE SERVEUR APPRENDS LES ROUTES - TAPER ROUTE

route 192.168.1.0 255.255.255.0
route 192.168.68.0 255.255.255.0
route 192.168.5.0 255.255.255.0

keepalive 10 120
cipher aes256
auth sha1

log-append /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 4
mute 20

Un exemple de configuration de ma "tete" vpn vers un client Mikro

### CSO ##

#ifconfig-push 172.30.1.2 172.30.1.1
push "route 172.30.2.0 255.255.255.0"
push "route 172.30.99.0 255.255.255.0"
#push "route 192.168.5.0 255.255.255.0"
iroute 192.168.1.0 255.255.255.0

Une trace depuis un autre VPS

root@ > traceroute 192.168.1.251
traceroute to 192.168.1.251 (192.168.1.251), 30 hops max, 60 byte packets
 1  VPN-OVH-MONITORING (172.30.2.1)  11.316 ms  22.360 ms  22.343 ms
 2  MF-MONITORING (192.168.1.251)  33.140 ms  44.087 ms  44.108 ms
root@ ~ >

Bon courage,

Baptiste Chappe



Le mer. 23 janv. 2019 à 14:39, Olivier Bitsch  a
écrit :

> Bonjour Olivier,
>
> 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par
> le serveur. Du coup pas de filtrage possible si c'est option est activée.
>
> 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24),
> je ne vois pas comment il sera possible de router les paquets d'un réseau
> comme il faut. Donc je ne vois pas comment ça peut marcher.
>
> 3. Pour les étapes B et C, et sous réserve que chaque réseau aient leur
> propre adressage, il faut utiliser la topologie subnet avec OpenVPN. Je
> peux te donner des exemples si tu en as besoin.
>
> obitwo
>
> Le mar. 22 janv. 2019 à 16:48, Olivier  a écrit :
>
>> Bonjour,
>>
>> J'ai plusieurs réseaux locaux distants dont le routeur est un serveur
>> Debian sur lequel un client OpenVPN  est installé.
>>
>> Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un
>> client OpenVPN, atteindre les machines connectées des différents réseaux
>> locaux distants qui par ailleurs, sont à peu près tous configurés de la
>> même façon (tous en 192.168.1.0/24, par exemple).
>>
>> Pour fixer les choses, j'envisage d'opérer de la façon suivante:
>> +  sur mon PC:
>> A. je lance mon client OpenVPN
>> B. j'adapte ma configuration réseau en indiquant comment atteindre les
>> machines d'un réseau distant
>> + sur mon serveur OpenVPN
>> C. j'adapte ma configuration réseau
>> + sur un routeur Debian distant particulier:
>> D. j'adapte la configuration réseau afin que les machines du réseau local
>> puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la
>> passerelle par défaut de ces machines).
>>
>> Le serveur OpenVPN est une machine sur le cloud.
>> J'ai découvert que je pouvais utiliser l'option client-to-client
>> d'OpenVPN pour permettre la communication directe entre deux clients
>> OpenVPN.
>> J'ai lu en [1], que cette communication s'opérait à "l'insu de la
>> configuration réseau du serveur OpenVPN" : les flux passaient directement
>> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du
>> serveur OpenVPN définir des régles très précises comme celle de n'autoriser
>> que la communication depuis ou vers un ou deux clients OpenVPN.
>>
>> Mes questions:
>> 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?
>>
>> 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
>> iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
>> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
>> Qu'en pensez-vous ?
>>
>> 3. Que faire pour les étapes B et C ?
>> J'ai essayé sans trop de succès différentes commande "ip route add" sans
>> succès pour l'instant.
>>
>> Slts
>>
>>
>>
>>
>>
>>
>>


Re: Rescue OVH et Debian SID - Mes services sont coupés

2018-12-02 Par sujet Baptiste Chappe
Oui KVM sur les VPS et sur de l’OVH
Payant sur so you start et kimsufi
Pour l’iso, tu n’as pas la possibilité d’avoir un add cd.

Cdt baptiste

Le dim. 2 déc. 2018 à 14:10, G2PC  a écrit :

>
> > Est-ce que OVH propose l'accès par KVM sur leurs serveurs ?
> >
> > Mode bien pratique permettant de tout faire à distance,
> > arrêt ordinateur, démarrage, accès BIOS,
> > accès à son système pour réparer Grub ou ssh...
> >
> > Bon dimanche.
> >
> > A. Valmer
> Oui j'ai vu cette option également, je ne l'ai pas utilisée.
>
> --
Baptiste Chappe
06 61 28 71 10