Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Adrien Pujol]

j'ai déja un doute sur "on vends de la data a perte"
ils osent qand meme t'envoyer un SMS quand tu passes de Fr en Be indiquant
que la data c'est 5€ pour les 10 premiers Mo, puis 0,05€ les 10 Ko ensuite

Sauf qu'au jours d'aujourd'hui, en France, on trouve des forfaits de 
téléphonie mobile avec de la data en pagaille (notez, je n'ai pas dit 
"illimité"..) et ça permettrait donc d'apeller via des passerelles VOIP 
bien moins chères que notre trio national. D'ou un manque a gagner 
énorme pour eux.


Adrien.

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Raphaël Jacquot]

On 9 févr. 2011, at 06:12, Geoffroy Gramaize wrote:
> 
> 

base64 plutot ;-)---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Raphaël Jacquot]

On 9 févr. 2011, at 00:54, Julien Richer wrote:

> Le 9 février 2011 00:38, Raphaël Jacquot  a écrit :
>> 
>> On 8 févr. 2011, at 21:17, Yves-Alexis Perez wrote:
>> 
>>> On mar., 2011-02-08 at 18:37 +0100, Pascal Rullier wrote:
 Non, avec du NAT sur les mobiles, cela permet de controler via un proxy
 les flux qui circulent et d'interdire la VOIP
>>> 
>>> En l'occurrence je ne vois pas en quoi ça nécessite du NAT…
>> 
>> en l'occurence je ne vois pas en quoi il serait utile d'interdire la VoIP
>> 
> 
> Paceque :
> - quand on vend de la data à perte
> - en compensant par de la voix hors de prix
> - si le client devient intelligent et commence à faire passer sa voix
> sur la partie data, le business-plan n'est plus bon...

j'ai déja un doute sur "on vends de la data a perte"
ils osent qand meme t'envoyer un SMS quand tu passes de Fr en Be indiquant
que la data c'est 5€ pour les 10 premiers Mo, puis 0,05€ les 10 Ko ensuite


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Geoffroy Gramaize]

- "Pascal Rullier"  a écrit :
> Non, avec du NAT sur les mobiles, cela permet de controler via un
> proxy
> les flux qui circulent et d'interdire la VOIP par exemple car le
> FAI^H^H^HFTM
> (fournisseur de téléphonie mobile) préfère que le client utilise la
> téléphonie mobile
> (plus juteuse) que la VOIP...
> Voila l'"Internet" par O. S. B.
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

Bonjour,

Pas obligatoire: tu peux avoir un adressage public en interne avec un seul 
(ou peu de) point(s) de sortie sur l'Internet. Vu que le trafic mobile national
est à peu près négligeable comparé au trafic fixe, il est possible (à ce jour)
de centraliser ta collecte à un endroit et d'y intercaler ton ISG et/ou des DPI
pour le comptage/filtrage du trafic.

Le NATtage sur les réseaux mobiles, c'est plus pour des raisons d'économie 
d'IPs 
publiques. 

Un petit troll à ne pas lâcher avant vendredi, mais trop en lien avec ce sujet 
;)


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Cdlt.

-- 
Geoffroy GRAMAIZE
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Ré: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Michel Py]

>> Yannick Cadin a écrit :
>> Si cela est juste et que je sais compter, cela nous fera donc 3
>> opérateurs en France proposant des offres ADSL "tous publics" avec
>> possibilité de communiquer en IPv6 (ou qui tout au moins donne le change).

Donner le change, ça ne fait pas avancer le schmilblick. C'est la même histoire 
de vendeur de pompes usées que "mon réseau est plus rapide" ou "mon réseau est 
plus fiable". C'est un argument marketing pour les masses qui n'y comprennent 
rien.


> Spyou a écrit:
> Pas certain qu'une offre sans TV&téléphone puisse rentrer
> dans la case "tout publics"

Sans oublier le fait qu'une offre sans TV&téléphone a de plus en plus de 
problèmes à rentrer dans la case "rentable", ces temps ci.


> Radu-Adrian Feurdean a écrit:
> Genre les CONstructeurs et les editeurs qui hard-coded le /48 dans
> leurs produits. Tu as soit un /48 soit rien.. 

Il y a de bonnes raisons surtout quand un fabrique des routeurs avec les 
fonctions de routage gérées par le hardware. Router à wire-speed des préfixes 
jusqu'à /128, ça peut demander 2 fois plus de transistors dans la puce que 
router du /64.


> Loeffler Siegfried a écrit:
> Maintenant que le buzz dans les medias sur la fin du monde est passe...

Au passage, dans les médias américains il n'y a même pas eu de buzz.


> A votre avis, quand est ce qu'on va vraiment voir des problemes?

Ah, la question à 1 million d'Euros.
Pas cette année. Les RIRs ont encore des réserves.
Et n'oublie pas que les problèmes de certains sont la vache à lait d'autres. 
Tant que le troupeau reste cohérent, pas de problème.

> et vu que des abonnees qui passent du DSL a la fibre n'utilisent
> pas plus d'adresses IP...

Euhhh sauf que j'en connais beaucoup qui ont demandé des préfixes 
supplémentaires pour la nouvelle infra, en "oubliant" ce fait. On appelle ça 
"l'épicerie". Comme par hasard le préfixe alloué à l'infra modem va 
soudainement devenir bien utile.

> a quel vitesse est-ce que les ISPs Français vont saturer les pools
> d'adresses qu'ils ont obtenu? Y a t il des operationels sur cette
> liste qui peuvent donner leur point de vue?

Ca m'étonnerait que tu aies des réponses honnêtes à ce sujet. Pas en public.


> Pascal Rullier a écrit:
> Non, avec du NAT sur les mobiles, cela permet de controler via
> un proxy les flux qui circulent et d'interdire la VOIP par exemple
> car le FAI^H^H^HFTM (fournisseur de téléphonie mobile) préfère que
> le client utilise la téléphonie mobile (plus juteuse) que la VOIP...

+1


>> Raphaël Jacquot a écrit :
>> en l'occurence je ne vois pas en quoi il serait utile
>> d'interdire la VoIP

> Julien Richer a écrit:
> Paceque :
> - quand on vend de la data à perte
> - en compensant par de la voix hors de prix
> - si le client devient intelligent et commence à faire passer
> sa voix sur la partie data, le business-plan n'est plus bon...

+1

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Benoit Garcia]

Bonsoir,

2011/2/8 Rémi Bouhl 

> Bonsoir,
>
> Je ne comprends pas qu'on puisse fournir des IP NATées, du
> sous-Internet, sous prétexte que c'est destiné à des sous-ordinateurs
> et qu'il n'y a pas assez d'IP pour tout le monde, alors qu'IPv6 semble
> fait pour permettre à chaque terrien de se balader avec dix terminaux
> connectés à Internet.
>
Est-ce que ça ne serait pas en rapport avec le modèle économique actuel ou
le volume de données joue un rôle important sur le montant des bénéfices de
l'opérateur (comme il a été dit par Julien Richer en réduisant les marges
car vendu à perte)?

Même si une table de NAT reste piratable, on peut partir du principe que le
volume de données échangé par le client correspond bien au volume souhaité
et donc facturé. Au pire quelques personnes piratées râleront et pourront
toujours essayer de se faire rembourser.

Si on attribue une IP routable à chaque téléphone, on prend le risque de
recevoir du trafic entrant non désirable par le client (portscan, ICMP flood
ou autre) et donc plus difficilement facturable.

-- 
Cdlt,
Benoit.

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Julien Richer]

Le 9 février 2011 00:38, Raphaël Jacquot  a écrit :
>
> On 8 févr. 2011, at 21:17, Yves-Alexis Perez wrote:
>
> > On mar., 2011-02-08 at 18:37 +0100, Pascal Rullier wrote:
> >> Non, avec du NAT sur les mobiles, cela permet de controler via un proxy
> >> les flux qui circulent et d'interdire la VOIP
> >
> > En l'occurrence je ne vois pas en quoi ça nécessite du NAT…
>
> en l'occurence je ne vois pas en quoi il serait utile d'interdire la VoIP
>

Paceque :
- quand on vend de la data à perte
- en compensant par de la voix hors de prix
- si le client devient intelligent et commence à faire passer sa voix
sur la partie data, le business-plan n'est plus bon...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Raphaël Jacquot]

On 8 févr. 2011, at 21:17, Yves-Alexis Perez wrote:

> On mar., 2011-02-08 at 18:37 +0100, Pascal Rullier wrote:
>> Non, avec du NAT sur les mobiles, cela permet de controler via un proxy
>> les flux qui circulent et d'interdire la VOIP
> 
> En l'occurrence je ne vois pas en quoi ça nécessite du NAT…

en l'occurence je ne vois pas en quoi il serait utile d'interdire la VoIP

> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[Raphaël Jacquot]

On 7 févr. 2011, at 22:16, Thierry Del-Monte wrote:

> Bonjour,
> 
> Je suis à la recherche d'avis et retours d'expériences sur des firewalls avec 
> une gestion centralisée (en plus des fonctionnalités habituelles : OSPF, IPS, 
> VLAN, IPV6, 10GbE, haute dispo, etc etc).
> 
> Connaissant bien Cisco et Juniper, je me disais que d'autres seraient 
> peut-être envisageable, comme par exemple :
> 
> - Stone Soft
> - Paloalto
> - Vyatta
> - Netasq
> 
> 
> Si vous avez des idées sur d'autres marques/modèles, et surtout des retours 
> sur ces équipementiers pour une utilisation en datacenter avec une bande 
> passante de plusieurs Giga, je suis preneur !!
> 
> Je vous remercie d'avance
> 
> Thierry
> 
> 

une paire de machines un peu couillues (pour la haute dispo) avec une debian et 
firewall builder ca marche pas mal (ca a remplacé un arkoon y'a pas 
longtemps)---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Ré: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Mattieu Baptiste]

2011/2/8 Radu-Adrian Feurdean :
> En quoi chaque device a besoin de son propre *SUBNET* ?

Qui a dit ça ? Tu parles de /128 à un utilisateur final, ce qui est
une aberration.

> Sachant que chaque subnet est capable d'heberger
> 2^64=18446744073709551616 devices. Dans chaque subnet !

Oui... tout comme les 65536 subnets d'un /48, tout comme les 128 bits
d'une adresse, etc., etc. etc. C'est le SEUL avantage d'IPv6. Autant
en profiter non ?

Et puis avec un peu de chance d'ici pas trop longtemps, tout
l'espace IPv6 aura été bouffé et on pourra repartir sur des bases plus
saines.

> Le but etant lequel ? De remettre en place le classful ? De refaire les
> memes erreur que sur v4 mais avec un peu plus de marge de manoeuvre ?

1) Les erreurs avec IPv4 ont non seulement été reproduites depuis
longtemps, mais la barre a été placée encore plus haut.
2) Le classless avec IPv6. HAHAHAHAHA :)

> Comme j'ai deja commence a pester, faudra probablement continuer avec un
> autre chose assez important: les formations IPv6 chez RIPE ! Un autre
> bulldozeur ideologique, qui pousse tellement loin le concept de 1 /48
> par site que ca passe a cote des realites, comme par exemple le design
> reseau ou le fait que les deux routeurs au but du meme lien doivent
> (sauf salle bricole) etre dans le meme subnet. OK, pour faire deployer
> le v6 il faut un tel bulldozeur, mais faut quand-meme ne pas depasser
> certaines limites
>
> --
> Radu-Adrian Feurdean
>  raf (a) ftml ! net
>
>



-- 
Mattieu Baptiste
"/earth is 102% full ... please delete anyone you can."
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Radu-Adrian Feurdean]

On Tue, 08 Feb 2011 21:17:03 +0100, "Yves-Alexis Perez"
 said:

> En l'occurrence je ne vois pas en quoi ça nécessite du NAT…

Pose cette question a ceux qui le considerent comme l'outil ultime en
matiere de securite et controle..

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Spyou]

Le 07/02/2011 21:40, Yannick Cadin a écrit :
> Si cela est juste et que je sais compter, cela nous fera donc 3 opérateurs en 
> France
> proposant des offres ADSL "tous publics" avec possibilité de communiquer en 
> IPv6 (ou qui
> tout au moins donne le change).

Pas certain qu'une offre sans TV&téléphone puisse rentrer dans la case "tout 
publics"
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Yves-Alexis Perez]

On mar., 2011-02-08 at 18:37 +0100, Pascal Rullier wrote:
> Non, avec du NAT sur les mobiles, cela permet de controler via un proxy
> les flux qui circulent et d'interdire la VOIP

En l'occurrence je ne vois pas en quoi ça nécessite du NAT…
-- 
Yves-Alexis
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: DNS reverse, les meilleures pratiques

[Radu-Adrian Feurdean]

On Tue, 8 Feb 2011 19:11:58 +0100, "Stephane Sezer"  said:

> Boah, techniquement IPv6 ne supprime pas le concept des adresses
> privées. Elles sont juste nommées différemment.

Ca depend pour quel usage. Dans certains cas ca peut permettre
l'extermination des addresses "prives", tout en poussant vers des
meilleures pratiques.
Depuis presque un an j'ai tous les IP de DRAC en IPv6 publique. Derriere
des firewalls.

D'une autre cote, depuis qu'on parle de "penurie d'addresses IPv4" RIPE
ne demande plus si on peut utiliser des RFC1918, donc effectivement
l'IPv6 ne change pas grand chose.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Radu-Adrian Feurdean]

On Tue, 8 Feb 2011 17:59:59 +0100, "Bertrand Grelot"
 said:

> > À noter que ces connexions sont NATées de toute façon, il me semble.
> 
> Ça dépend des forfaits, certains plans entreprises offrent des @ip
> publiques au terminaux. Pour le reste c'est effectivement souvent de
> l'adressage privé.

Faut aussi esperer qu'a terme la realite economique frappera fort : ca
doit (au moins a mon avis) etre mois cher d'avoir juste un boitier qui
compte les octets pour X millions de devices que d'avoir des boitiers
pour gerer le NAT pour le meme nombre de devices. Il faut bien-sur un
premier acteur a lancer la "mode", pour que les autres suivent
animaliquement

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Ré: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Radu-Adrian Feurdean]

On Tue, 8 Feb 2011 17:38:45 +0100, "Mattieu Baptiste"
 said:
> 2011/2/8 Radu-Adrian Feurdean :
> >
> > J'epargne aussi le discours du "site" qui n'aura JAMAIS 65536 objects
> > dedans (les vis des bureaux et des ordis compris).
> > Enfin, /48 pour mme Michu c'est pas beaucoup mieux que le /128.
> 
> Parlerais-tu de la madame Michu des années 90 ? Il est vrai que le
> netbook, la boxTV, le smartphone, la tablette, la TV connectée, etc.
> ne sont absolument pas une réalité aujourd'hui. Tous ces gadgets sont
> exclusivement dédiés aux geeks dans leur cave...

En quoi chaque device a besoin de son propre *SUBNET* ?
Sachant que chaque subnet est capable d'heberger
2^64=18446744073709551616 devices. Dans chaque subnet !

> post me fait penser "que tu n'as pas vraiment compris le but de
> certains choix".

Le but etant lequel ? De remettre en place le classful ? De refaire les
memes erreur que sur v4 mais avec un peu plus de marge de manoeuvre ?

Comme j'ai deja commence a pester, faudra probablement continuer avec un
autre chose assez important: les formations IPv6 chez RIPE ! Un autre
bulldozeur ideologique, qui pousse tellement loin le concept de 1 /48
par site que ca passe a cote des realites, comme par exemple le design
reseau ou le fait que les deux routeurs au but du meme lien doivent
(sauf salle bricole) etre dans le meme subnet. OK, pour faire deployer
le v6 il faut un tel bulldozeur, mais faut quand-meme ne pas depasser
certaines limites

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: DNS reverse, les meilleures pratiques

[Stephane Sezer]

On Tue, 8 Feb 2011 13:54:03 +0100
Stephane Bortzmeyer  wrote:

> Non. Évidemment, il vaut mieux empêcher les adresses privées de
> sortir... (Ou, mieux, passer à IPv6 et abandonner cette histoire
> d'adresses privées.)

Boah, techniquement IPv6 ne supprime pas le concept des adresses
privées. Elles sont juste nommées différemment.

-- 
Stephane Sezer
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Pascal Rullier]

2011/2/8 Rémi Bouhl :
> Bonsoir,
>
> Le 08/02/11, Stephane JAUNE a écrit :
>>
>>       Je pense que ce sont plutôt les solutions mobiles (telephone, 
>> tablettes,
>> ...) qui consomment bcp d'IP en ce moment.
>>
>>
> Même pas, les accès mobiles sont NATés (voire doublement NATés).
>
> D'ailleurs, si les accès mobiles étaient du vrai Internet (avec une IP
> publique) ça voudrait rendre IPv6 "un peu" plus urgent vu le
> développement du marché des bidulephones.
>
> Je ne comprends pas qu'on puisse fournir des IP NATées, du
> sous-Internet, sous prétexte que c'est destiné à des sous-ordinateurs
> et qu'il n'y a pas assez d'IP pour tout le monde, alors qu'IPv6 semble
> fait pour permettre à chaque terrien de se balader avec dix terminaux
> connectés à Internet.
>

Non, avec du NAT sur les mobiles, cela permet de controler via un proxy
les flux qui circulent et d'interdire la VOIP par exemple car le FAI^H^H^HFTM
(fournisseur de téléphonie mobile) préfère que le client utilise la
téléphonie mobile
(plus juteuse) que la VOIP...
Voila l'"Internet" par O. S. B.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Rémi Bouhl]

Bonsoir,

Le 08/02/11, Stephane JAUNE a écrit :
>
>   Je pense que ce sont plutôt les solutions mobiles (telephone, tablettes,
> ...) qui consomment bcp d'IP en ce moment.
>
>
Même pas, les accès mobiles sont NATés (voire doublement NATés).

D'ailleurs, si les accès mobiles étaient du vrai Internet (avec une IP
publique) ça voudrait rendre IPv6 "un peu" plus urgent vu le
développement du marché des bidulephones.

Je ne comprends pas qu'on puisse fournir des IP NATées, du
sous-Internet, sous prétexte que c'est destiné à des sous-ordinateurs
et qu'il n'y a pas assez d'IP pour tout le monde, alors qu'IPv6 semble
fait pour permettre à chaque terrien de se balader avec dix terminaux
connectés à Internet.

Rémi.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Bertrand Grelot]

Le 8 février 2011 17:55, Yves-Alexis Perez  a écrit :
> On mar., 2011-02-08 at 16:25 +, Stephane JAUNE wrote:
>>         Je pense que ce sont plutôt les solutions mobiles (telephone,
>> tablettes, ...) qui consomment bcp d'IP en ce moment.
>
> À noter que ces connexions sont NATées de toute façon, il me semble.

Ça dépend des forfaits, certains plans entreprises offrent des @ip
publiques au terminaux. Pour le reste c'est effectivement souvent de
l'adressage privé.


-- 
Bertrand Grelot
bertrand.gre...@gmail.com
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Yves-Alexis Perez]

On mar., 2011-02-08 at 16:25 +, Stephane JAUNE wrote:
> Je pense que ce sont plutôt les solutions mobiles (telephone,
> tablettes, ...) qui consomment bcp d'IP en ce moment.

À noter que ces connexions sont NATées de toute façon, il me semble.

Cdt,
-- 
Yves-Alexis

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] RE: [FRnOG] Ré: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Mattieu Baptiste]

2011/2/8 Radu-Adrian Feurdean :
>
> On Mon, 7 Feb 2011 21:01:31 -0800, "Michel Py"
>  said:
>
>> Dans l'esprit original du protocole, 1 adresse IPv6
>> c'est 1 MAC-adresse dans un /64 (donc même pour un lien point-to-point ou
>> alloue un /64). Et ce qu'on donne à un site c'est un /48. Oui, même le
>> "site" de Mme Michou.
>
> Du classfull, quoi
>
> J'epargne aussi le discours du "site" qui n'aura JAMAIS 65536 objects
> dedans (les vis des bureaux et des ordis compris).
> Enfin, /48 pour mme Michu c'est pas beaucoup mieux que le /128.

Parlerais-tu de la madame Michu des années 90 ? Il est vrai que le
netbook, la boxTV, le smartphone, la tablette, la TV connectée, etc.
ne sont absolument pas une réalité aujourd'hui. Tous ces gadgets sont
exclusivement dédiés aux geeks dans leur cave...

Je vais me permettre de réutiliser une de tes pertinentes réponses
dans un sujet assez similaire sur IPv6 il y a quelques temps, car ton
post me fait penser "que tu n'as pas vraiment compris le but de
certains choix".


-- 
Mattieu Baptiste
"/earth is 102% full ... please delete anyone you can."
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Stephane JAUNE]

Je pense que ce sont plutôt les solutions mobiles (telephone, 
tablettes, ...) qui consomment bcp d'IP en ce moment.


-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de 
Loeffler Siegfried
Envoyé : Tuesday, February 08, 2011 5:22 PM
À : frnog@FRnOG.org
Objet : [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

Maintenant que le buzz dans les medias sur la fin du monde est passe... je 
serais interesse de comprendre la verite sur la situation IPv4/IPv6 sur le 
marche Francais.

A votre avis, quand est ce qu'on va vraiment voir des problemes?

Il me semble que ces derniers mois le nombre de "subscriber net adds" est reste 
relativement limite. 

Si je regarde par exemple les derniers chiffres de Iliad 
http://www.iliad.fr/finances/2010/CP_151110.pdf je vois que entre mars et 
septembre 2010 il n'y avait que 20K nouveaux abonnees, autrement dit que 10K 
par trimestre. Je n'ai pas verifie Orange et SFR, je suppose qu'ils doivent 
etre similaires. 

Le rapport de l'ARCEP 
http://www.arcep.fr/fileadmin/reprise/observatoire/3-2010/obs-marches-t3-2010.pdf
page 16 parle d'une croissance de 8.3% du marché du "haut debit" 2009/2010 - 
dans les 200K a 400K subscribers de plus par trimestre - donc un peu plus. Mais 
ca ne me parait plus une croissance "explosive". 

Donc... vu qu'il n'y a pour l'instant pas un besoin criant de solutions qui 
donnent a chaque equipement electrique a la maison une adresse IP publique... 
et vu que des abonnees qui passent du DSL a la fibre n'utilisent pas plus 
d'adresses IP... a quel vitesse est-ce que les ISPs Francais vont saturer les 
pools d'adresses qu'ils ont obtenu?

Y a t il des operationels sur cette liste qui peuvent donner leur point de vue?

-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Michel 
Py
Sent: Thursday, February 03, 2011 17:53
To: frnog@FRnOG.org
Subject: [FRnOG] IPv4 Exhaustion: RIPE NCC Update

> The IANA IPv4 free pool was exhausted today, 3 February 2011. Each
> of the Regional Internet Registries (RIRs) has now received one of
> the final five /8s. The RIPE NCC has been allocated 185/8.

La fin du monde tant attendue

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Loeffler Siegfried]

Maintenant que le buzz dans les medias sur la fin du monde est passe... je 
serais interesse de comprendre la verite sur la situation IPv4/IPv6 sur le 
marche Francais.

A votre avis, quand est ce qu'on va vraiment voir des problemes?

Il me semble que ces derniers mois le nombre de "subscriber net adds" est reste 
relativement limite. 

Si je regarde par exemple les derniers chiffres de Iliad 
http://www.iliad.fr/finances/2010/CP_151110.pdf je vois que entre mars et 
septembre 2010 il n'y avait que 20K nouveaux abonnees, autrement dit que 10K 
par trimestre. Je n'ai pas verifie Orange et SFR, je suppose qu'ils doivent 
etre similaires. 

Le rapport de l'ARCEP 
http://www.arcep.fr/fileadmin/reprise/observatoire/3-2010/obs-marches-t3-2010.pdf
page 16 parle d'une croissance de 8.3% du marché du "haut debit" 2009/2010 - 
dans les 200K a 400K subscribers de plus par trimestre - donc un peu plus. Mais 
ca ne me parait plus une croissance "explosive". 

Donc... vu qu'il n'y a pour l'instant pas un besoin criant de solutions qui 
donnent a chaque equipement electrique a la maison une adresse IP publique... 
et vu que des abonnees qui passent du DSL a la fibre n'utilisent pas plus 
d'adresses IP... a quel vitesse est-ce que les ISPs Francais vont saturer les 
pools d'adresses qu'ils ont obtenu?

Y a t il des operationels sur cette liste qui peuvent donner leur point de vue?

-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Michel 
Py
Sent: Thursday, February 03, 2011 17:53
To: frnog@FRnOG.org
Subject: [FRnOG] IPv4 Exhaustion: RIPE NCC Update

> The IANA IPv4 free pool was exhausted today, 3 February 2011. Each
> of the Regional Internet Registries (RIRs) has now received one of
> the final five /8s. The RIPE NCC has been allocated 185/8.

La fin du monde tant attendue

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[Radu-Adrian Feurdean]

On Tue, 08 Feb 2011 13:06 +, "BAILLET,Gilles"
 wrote:

> Nous sommes utilisateurs de Fortinet qui supporte les principaux
> protocoles de routage dynamique (OSPF, BGP, RIP) avec possibilité de

Ca donne quoi de nos jours quand le traffic bascule d'une interface a
l'autre, voire meme d'une unite a l'autre ou il devienne asymetrique
(aller et retour par des boitiers differents) ?

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[Thierry Del-Monte]

Pour Fortinet : carrément "BOF", l'interface web est plus que décevante 
et l'upgrade des firmwares est très spéciale.
Nous avons subit un effet de bord leur d'un upgrade qui nous à planté le 
cluster ...


En ce qui concerne Juniper, la gestion du NAT a été un peu déconcertante 
mais les performances ont été finalement au rendez-vous.


Sinon des avis sur l'utilisation de Cisco CSM ?

Merci pour vos avis à tous en tout cas, ainsi que vos propositions, cela 
m'aide beaucoup.


Thierry

Le 08/02/2011 13:04, Radu-Adrian Feurdean a écrit :

On Tue, 08 Feb 2011 12:44 +0100, "Cédric Polomack"
wrote:
   

Bonjour,
Voir Fortinet aussi dans le même ordre d'idée que Netasq ...
 

Ca donne quoi la HA sur Fortinet ?
Je me souviens de choses assez "BOF"  sur les histoires du double-alim
et routage dynamique.

   




smime.p7s
Description: S/MIME Cryptographic Signature

RE: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[BAILLET,Gilles]

Bonjour,

Nous sommes utilisateurs de Fortinet qui supporte les principaux protocoles de 
routage dynamique (OSPF, BGP, RIP) avec possibilité de redistribuer les routes 
OSPF dans BGP ou RIP.
Cela marche bien, il est possible d'avoir une Full View BGP mais en soft 
uniquement.
Ce sont là encore des appliances UTM (filtrage, vpn ssl, ipsec, routeur, 
firewall etc.) au même titre que les NetAsq.
Ils ont par contre l'avantage d'être administrable par le web. Et le 
FortiManager permet de gérer un parc de Fortinet de manière centralisée et 
assez sympa.
Et ils supportent l'IPv6 depuis la 4.0 MR1 Patch 3 (actuellement, ils sont en 
version 4.0 MR2 Patch 3)

Côté NetAsq cette fois, nous avons 2 NG5000A (cluster) de NetAsq. On est assez 
satisfait du produit, sur lequel on va activer les ports 10Gb la semaine 
prochaine.
NetAsq utilise le moteur de base de FreeBSD au niveau des protocoles de routage 
dynamique. Donc peu performant et le peu de routes qu'il supporte (5000 de 
mémoire) sont stockées en soft :-(
Et il y un mois en formation FCNSP, il n'était pas prévu qu'ils développent 
plus que ça leur module de routage. Il est même question qu'ils abandonnent le 
routage par interface dans la v9 ou la v9.1

Je déconseille fortement Arkoon (matériel peu fiable mais néanmoins français et 
donc approuvé par le HFD). Ils sont de toute façon en train d'abandonner leurs 
gammes Firewall/UTM aux dernières nouvelles.

A ta dispo pour en discuter en dehors de la liste si besoin.

Gilles



From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Cédric 
Polomack
Sent: Tuesday, February 08, 2011 12:44 PM
To: frnog@FRnOG.org
Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion 
centralisée

Bonjour,
Voir Fortinet aussi dans le même ordre d'idée que Netasq ...
Cédric

---
Cédric Polomack
www.secresys.fr

Le 08/02/2011 09:47, Jean-Yves Faye a écrit :

Le 7 février 2011 22:16, Thierry Del-Monte 
 a écrit :

Bonjour,



Je suis à la recherche d'avis et retours d'expériences sur des firewalls

avec une gestion centralisée (en plus des fonctionnalités habituelles :

OSPF, IPS, VLAN, IPV6, 10GbE, haute dispo, etc etc).



Connaissant bien Cisco et Juniper, je me disais que d'autres seraient

peut-être envisageable, comme par exemple :



 - Stone Soft

 - Paloalto

 - Vyatta

 - Netasq





NetASQ est plus une appliance de sécurité (Firewall/IDPS/etc) qu'un

routeur. La version 9.0 qui va venir courant de l'année a une

interface web d'admin à la place d'une appli lourde Windows, et fait

son boulot du coté de la sécu et du filtrage, mais pas d'OSPF, ni

d'IPV6 avant la version 9.1.

Pour le même type d'appliance que NetASQ, regarder Arkoon.



Jean-Yves

---

Liste de diffusion du FRnOG

http://www.frnog.org/

[FRnOG] Re: DNS reverse, les meilleures pratiques

[Stephane Bortzmeyer]

On Tue, Feb 08, 2011 at 01:36:45PM +0100,
 sitedulibre  wrote 
 a message of 37 lines which said:

> Concerne le reverse DNS, si je mets une adresse privée dessus.

Des tas de gens le font. Un bon document
.

> Est-ce que certains services risques de planter dans l'avenir ?
> (SSH.SMTP, etc...).

Non. Évidemment, il vaut mieux empêcher les adresses privées de
sortir... (Ou, mieux, passer à IPv6 et abandonner cette histoire
d'adresses privées.)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Ré: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Radu-Adrian Feurdean]

On Tue, 08 Feb 2011 11:10 +0100, "Rémy Sanchez"
 wrote:

> Et je suis d'accord avec Michel : le fait d'avoir un /48 par foyer
> permet d'avoir un standard, pour tous les concepteurs d'équipements

Genre les CONstructeurs et les editeurs qui hard-coded le /48 dans leurs
produits. Tu as soit un /48 soit rien.. 

> ménager qui vont finir sur IP. Le jour où le frigo de Mme Michu
> communiquera en IPv6 avec l'ampoule de sa cuisine, il va falloir un
> réseau qui se configure tout seul, de manière algorithmique et non en

Et en quoi un /64 ne suffit pas ?
Sinon, les histoires avec le frigo over  je
les entend depuis deja 15 ans, et je ne vois pas du vrai progres.

> choisissant soigneusement un plan d'adressage à la main. C'est le genre
> de choses qui sera largement plus flexible sur 16 bits que sur 8 ou
> moins.

256 *SUBNETS* c'est pas suffisant ? Avec nombre quasi illimite de
devices sur chaque subnet ?
Mon dieu ! meme 16 subnets c'est largement sufissant pour la vaste
majorite de "sites" (SOHO) pour les prochains 30 ans. Et je doute qu'il
y a beaucoup de sites qui gardent le meme access pendant 30 ans

> Et simplement aujourd'hui, si Mme Michu veut un wifi invité séparé de
> son réseau privé, personne ne sera en mesure de lui installer si elle
> n'a qu'un /64.

Effectivement, d'un point de vue classfull...

> Mon petit doigt me dit que cette histoire va encore finir en "on vous
> avait prévenu"...

Ca fait autant de /48 dans un /32 que des /64 dans un /48. Avec des
telles mentalites on risque de finir d'allouer les 2000::/4 avant
qu'AfriNIC finisse son stock de v4.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] DNS reverse, les meilleures pratiques

[sitedulibre]

Bonjour a tous

Je viens vers vous, puisque j'essaye péniblement de me faire un nouveau
petit réseau... . Mon 2960 ne veut pas configurer, il m'indique conflit
d'IP. ,alors que ce ne sont pas les mêmes. D'où mon incompréhension
accrue.

Mais, ma question principale. Concerne le reverse DNS, si je mets une
adresse privée dessus. Est-ce que certains services risques de planter dans
l'avenir ? (SSH.SMTP, etc...).

Cordialement

Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[Radu-Adrian Feurdean]

On Tue, 08 Feb 2011 12:44 +0100, "Cédric Polomack" 
wrote:
> Bonjour,
> Voir Fortinet aussi dans le même ordre d'idée que Netasq ...

Ca donne quoi la HA sur Fortinet ?
Je me souviens de choses assez "BOF"  sur les histoires du double-alim
et routage dynamique.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[Cédric Polomack]

Bonjour,
Voir Fortinet aussi dans le même ordre d'idée que Netasq ...
Cédric

---
Cédric Polomack
www.secresys.fr

Le 08/02/2011 09:47, Jean-Yves Faye a écrit :

Le 7 février 2011 22:16, Thierry Del-Monte  a écrit :

Bonjour,

Je suis à la recherche d'avis et retours d'expériences sur des firewalls
avec une gestion centralisée (en plus des fonctionnalités habituelles :
OSPF, IPS, VLAN, IPV6, 10GbE, haute dispo, etc etc).

Connaissant bien Cisco et Juniper, je me disais que d'autres seraient
peut-être envisageable, comme par exemple :

  - Stone Soft
  - Paloalto
  - Vyatta
  - Netasq


NetASQ est plus une appliance de sécurité (Firewall/IDPS/etc) qu'un
routeur. La version 9.0 qui va venir courant de l'année a une
interface web d'admin à la place d'une appli lourde Windows, et fait
son boulot du coté de la sécu et du filtrage, mais pas d'OSPF, ni
d'IPV6 avant la version 9.1.
Pour le même type d'appliance que NetASQ, regarder Arkoon.

Jean-Yves
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Ré: [FRnOG] À l'heure où l'on ne parle plus (ou presque) que d'IPv6

[Rémy Sanchez]

On 02/08/2011 08:58 AM, Michel Py wrote:
> Il y des mecs qui te feraient une statue en marbre ou en bronze si tu avais 
> un /48 déployé chez Mme Michu aujourd'hui.

/me attrape son annuaire et lance he.com

Ahem.

Et je suis d'accord avec Michel : le fait d'avoir un /48 par foyer
permet d'avoir un standard, pour tous les concepteurs d'équipements
ménager qui vont finir sur IP. Le jour où le frigo de Mme Michu
communiquera en IPv6 avec l'ampoule de sa cuisine, il va falloir un
réseau qui se configure tout seul, de manière algorithmique et non en
choisissant soigneusement un plan d'adressage à la main. C'est le genre
de choses qui sera largement plus flexible sur 16 bits que sur 8 ou moins.

Et simplement aujourd'hui, si Mme Michu veut un wifi invité séparé de
son réseau privé, personne ne sera en mesure de lui installer si elle
n'a qu'un /64.

Mon petit doigt me dit que cette histoire va encore finir en "on vous
avait prévenu"...

-- 
Rémy Sanchez



signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée

[Jean-Yves Faye]

Le 7 février 2011 22:16, Thierry Del-Monte  a écrit :
> Bonjour,
>
> Je suis à la recherche d'avis et retours d'expériences sur des firewalls
> avec une gestion centralisée (en plus des fonctionnalités habituelles :
> OSPF, IPS, VLAN, IPV6, 10GbE, haute dispo, etc etc).
>
> Connaissant bien Cisco et Juniper, je me disais que d'autres seraient
> peut-être envisageable, comme par exemple :
>
>  - Stone Soft
>  - Paloalto
>  - Vyatta
>  - Netasq
>

NetASQ est plus une appliance de sécurité (Firewall/IDPS/etc) qu'un
routeur. La version 9.0 qui va venir courant de l'année a une
interface web d'admin à la place d'une appli lourde Windows, et fait
son boulot du coté de la sécu et du filtrage, mais pas d'OSPF, ni
d'IPV6 avant la version 9.1.
Pour le même type d'appliance que NetASQ, regarder Arkoon.

Jean-Yves
---
Liste de diffusion du FRnOG
http://www.frnog.org/