Re: [HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?
Hello, Je pense que tu parles de 802.1X ? Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone). Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur. Ton radius se base sur ce cert et sur la PKI interne pour valider les auth. Pour les iphones, tu enrolls dans un MDM et tu push un certificat. Ton tél aura le cert et pourras se connecter à ton wifi. Conseil : Prépare ton process et ton intérêt à avoir du poste carré pour éviter les problèmes. Bonne chance :) ++ On Tue, Mar 22, 2022 at 4:11 PM Olivier wrote: > Hello, > > J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès > d'utilisateurs : > - dont les connaissances informatiques varient du tout au tout (depuis > l'expert jusqu'au néophite), > - qui possèdent et gèrent leurs propres appareils (des smartphones > Android et PC sous Windows 10, en grande majorité, mais aussi quelques > Mac/iphone/machines Linux). > > Avec Android 11 a disparu la possibilité de se connecter à un réseau > WiFi WPA2 Entreprise sans validation des certificats. > Aussi j'imaginais utiliser un certificat auto-signé auprès des > utilisateurs avec le workflow suivant: > > - avant leur arrivée, les utilisateurs téléchargent le certificat > depuis le site web institutionnel, > - ils ajoutent ce certificat à leur trousseau en double-cliquant sur > ce certificat, > - une fois sur place, ils se connectent au réseau WiFi en désignant le > certificat préalablement téléchargé. > > En y réfléchissant de plus près: > > - je ne suis pas sûr que sur Windows/Android 10/11, il existe une > application "gérant les certificats" > - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera > rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce > qu'il faut pour se connecter au réseau cible (on se mord la queue), > - les appareils acceptent-ils tous des durées de validité des > certificats du même ordre de grandeur ? > > 1. Avez-vous de l'expérience à partager sur le sujet ? > 2. Connaissez-vous un certificat commercial miraculeux universel qui > évite le chargement préalable ? > 3. Conseils ? Suggestions ? > > Slts > >
Re: Debian 11 et Lenovo Legion 5 17ARH05H (82GN004DFR)
Bonjour, Je confirme le KO avec deux cartes graphiques. J’ai un XPS avec une 1650 mobile et un carte graphique externe 3070 via un external GPU. Impossible d’utiliser la première carte en même temps que la seconde. Baptiste. Le lun. 30 août 2021 à 19:55, Christophe_VANHOUTTE a écrit : > Bonsoir, > Le 30/08/2021 à 10:06, Belaïd a écrit : > > Bonjour, > > L'utilisation des deux cartes graphiques en même temps n'est pas possible. > L'utilisation de l'une désactive l'autre. Généralement avec les pilotes > "conventionnés", le passage de l'une à l'autre se fait de manière > transparente selon le besoin en puissance graphique > > Mince alors, > > Rien a faire donc ? > > Bien je ferai avec la carte NVIDIA Turing GeForce GTX 1660 Ti 6 Go GDDR6 > > en reardant si je ne peux pas désactiver la carte intégrée. > > Je n'ai pas une utilisation nomade. > > Merci pour cette information importante, qui me fonds revoir mon > paramètrage des moniteurs. > > Bien àvous > > Christophe > > > > > Le lun. 30 août 2021 à 00:29, Christophe_VANHOUTTE > a écrit : > >> Bonsoir, >> >> Je reviens sur Legion 5 17ARH05H (82GN004DFR) et l'installation de la >> Debian 11 et gestion des deux cartes graphiques, >> >> J'utiliserai XFCE 4 (Il semble que XFCE 4 ne supporte pas encore >> Wayland). (et peut-être MATE) , >> >> A savoir: >> >> NVIDIA Turing GeForce GTX 1660 Ti 6 Go GDDR6 dédiés, >> AMD Radeon Vega 7 intégrée au processeur et Optimus >> >> Sachant qu'il y aurait un USB-C 2.3 support DisplayPort) que je n'ai pas >> encore testé, car Debian n'est pas encore installée. >> >> La connectique donnée est: >> >> Lecteur de carte mémoire4 en 1 (carte SD, MultiMediaCard, carte >> SDHC, carte SDXC) >> InterfacesUSB 3.2 Gen 1 (Always On) >> 3 x USB 3.2 Gen 1 >> USB-C 3.2 Gen 1 (supports DisplayPort 1.2 Alt Mode) >> HDMI 2.0 >> LAN >> Prise combo casque/microphone >> >> Je me pose les questions suivantes: >> >> Peut-on utiliser les deux cartes graphique en mềme temps, sachant qu'il >> y a un supports DisplayPort 1.2 ? >> >> Quel paquet graphique installé, avec accélération graphique ou pas sur >> quelle carte vidéo ou les deux ? >> >> Voici donc pas mal de questions, je reste dans le flou complet, il faut >> dire que j'ai pas l'habitude d'avoir du matériel très recent. >> >> Merci pour votre aide et éclirage. >> >> >> Bien à vous. >> >> Christophe >> >> -- >> Debian Duster 10.8|Kernel 4.19.0-14-amd64|Xorg 1.20.4 & Xfce 4.12 >> http://www.debian.org #http://fr.wikipedia.org/wiki/Obsolescence >> https://soutien.laquadrature.net/ >> http://gnutux.free.fr # Il faut dire GNU/Linux :) #www.culte.org >> -- >> GNU/Linux : May the Force be with you ! >> >> > -- > Debian Duster 10.8|Kernel 4.19.0-14-amd64|Xorg 1.20.4 & Xfce > 4.12http://www.debian.org # > http://fr.wikipedia.org/wiki/Obsolescencehttps://soutien.laquadrature.net/http://gnutux.free.fr > # Il faut dire GNU/Linux :) # www.culte.org > > -- > GNU/Linux : May the Force be with you ! > > -- Baptiste Chappe 06 61 28 71 10
Re: Hébergement de nom de domaine (sondage ultra rapide)
Hello, Pour du ndd sans prétention, je vais au moins cher. Ovh/online/gandi avec un cron qui backup chaque zone chaque jour. Le seul truc à mon sens obligatoire c’est avoir une API de dispo côté Registar. Testé et approuvé pour 731 ndd :-) Baptiste Le mer. 7 avr. 2021 à 18:09, kaliderus a écrit : > Bonjour, > > Petit sondage ultra rapide (amusant) : > > J'ai 3 domaines à enregistrer (juste besoin d'enregistrer et de > configurer mes DNS), dans ma situation, vers quels registrars > iriez-vous ? > > Actuellement chez online, j'envisage de passer chez ikoula et vous ? > pourquoi ? > > > Bon amusement. > > -- Baptiste Chappe 06 61 28 71 10
Re: Conseils sur le routage de client à client avec OpenVPN
Hello, Première intervention sur la ML :) Je remote avec un VPS OVH 600 sites distants via du OpenVPN et du Mikrotik sur site. Des sites en chine (pas HK) via des protocoles exotiques pour ne pas être filtrer (voir stunnel). Les réseaux clients ne doivent pas avoir de même subnet. C'est un peu compliqué au départ mais en étant rigoureux, je fais du 1 touch provisionning sur mes clients OpenVPN Un exemple de configuration de ma "tete" vpn vers un client Mikro en Europe. port 443 proto tcp dev tun ca /etc/openvpn/CL001-XXX/ca.crt cert /etc/openvpn/CL001-XXX/server.crt key /etc/openvpn/CL001-XXX/server.key dh /etc/openvpn/CL001-XXX/dh2048.pem # IP DU SERVEUR server 172.30.1.0 255.255.255.0 client-config-dir /etc/openvpn/CL001-XXX/CSO ccd-exclusive # LE SERVEUR APPRENDS LES ROUTES - TAPER ROUTE route 192.168.1.0 255.255.255.0 route 192.168.68.0 255.255.255.0 route 192.168.5.0 255.255.255.0 keepalive 10 120 cipher aes256 auth sha1 log-append /var/log/openvpn.log status /var/log/openvpn-status.log verb 4 mute 20 Un exemple de configuration de ma "tete" vpn vers un client Mikro ### CSO ## #ifconfig-push 172.30.1.2 172.30.1.1 push "route 172.30.2.0 255.255.255.0" push "route 172.30.99.0 255.255.255.0" #push "route 192.168.5.0 255.255.255.0" iroute 192.168.1.0 255.255.255.0 Une trace depuis un autre VPS root@ > traceroute 192.168.1.251 traceroute to 192.168.1.251 (192.168.1.251), 30 hops max, 60 byte packets 1 VPN-OVH-MONITORING (172.30.2.1) 11.316 ms 22.360 ms 22.343 ms 2 MF-MONITORING (192.168.1.251) 33.140 ms 44.087 ms 44.108 ms root@ ~ > Bon courage, Baptiste Chappe Le mer. 23 janv. 2019 à 14:39, Olivier Bitsch a écrit : > Bonjour Olivier, > > 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par > le serveur. Du coup pas de filtrage possible si c'est option est activée. > > 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24), > je ne vois pas comment il sera possible de router les paquets d'un réseau > comme il faut. Donc je ne vois pas comment ça peut marcher. > > 3. Pour les étapes B et C, et sous réserve que chaque réseau aient leur > propre adressage, il faut utiliser la topologie subnet avec OpenVPN. Je > peux te donner des exemples si tu en as besoin. > > obitwo > > Le mar. 22 janv. 2019 à 16:48, Olivier a écrit : > >> Bonjour, >> >> J'ai plusieurs réseaux locaux distants dont le routeur est un serveur >> Debian sur lequel un client OpenVPN est installé. >> >> Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un >> client OpenVPN, atteindre les machines connectées des différents réseaux >> locaux distants qui par ailleurs, sont à peu près tous configurés de la >> même façon (tous en 192.168.1.0/24, par exemple). >> >> Pour fixer les choses, j'envisage d'opérer de la façon suivante: >> + sur mon PC: >> A. je lance mon client OpenVPN >> B. j'adapte ma configuration réseau en indiquant comment atteindre les >> machines d'un réseau distant >> + sur mon serveur OpenVPN >> C. j'adapte ma configuration réseau >> + sur un routeur Debian distant particulier: >> D. j'adapte la configuration réseau afin que les machines du réseau local >> puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la >> passerelle par défaut de ces machines). >> >> Le serveur OpenVPN est une machine sur le cloud. >> J'ai découvert que je pouvais utiliser l'option client-to-client >> d'OpenVPN pour permettre la communication directe entre deux clients >> OpenVPN. >> J'ai lu en [1], que cette communication s'opérait à "l'insu de la >> configuration réseau du serveur OpenVPN" : les flux passaient directement >> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du >> serveur OpenVPN définir des régles très précises comme celle de n'autoriser >> que la communication depuis ou vers un ou deux clients OpenVPN. >> >> Mes questions: >> 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ? >> >> 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec >> iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian): >> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70 >> Qu'en pensez-vous ? >> >> 3. Que faire pour les étapes B et C ? >> J'ai essayé sans trop de succès différentes commande "ip route add" sans >> succès pour l'instant. >> >> Slts >> >> >> >> >> >> >>
Re: Rescue OVH et Debian SID - Mes services sont coupés
Oui KVM sur les VPS et sur de l’OVH Payant sur so you start et kimsufi Pour l’iso, tu n’as pas la possibilité d’avoir un add cd. Cdt baptiste Le dim. 2 déc. 2018 à 14:10, G2PC a écrit : > > > Est-ce que OVH propose l'accès par KVM sur leurs serveurs ? > > > > Mode bien pratique permettant de tout faire à distance, > > arrêt ordinateur, démarrage, accès BIOS, > > accès à son système pour réparer Grub ou ssh... > > > > Bon dimanche. > > > > A. Valmer > Oui j'ai vu cette option également, je ne l'ai pas utilisée. > > -- Baptiste Chappe 06 61 28 71 10