[FRnOG] [TECH] Interconnexion avec Completude Max de Completel
Bonjour à tous, J'ai une questions sur la façon de s'interconnecter avec un routeur Completel dans le cadre de l'offre Completude Max. Ce routeur connecté en fibre dispose de plusieurs prises ethernet côté lan, mais une seule est utilisable d'après Completel et les autres semblent désactivées. Or sur cette prise est configuré un subnet /29 vaec des adresses publiques et un routeur du client est déjà dessus en direct avec une adresse IP du subnet. Pour rajouter un deuxième équipement client sur ce subnet sans impacter Completel il me semblait le plus simple de rajouter un simple switch pour y connecter le routeur Completel et les deux routeurs clients. Or dans cette configuration quelque soit le switch non-manageable utilisé (fast ethernet et giga ethernet) les débits s’effondrent. D'après le technicien qui a fait l'installation cela serait dû au problèmes d'auto-négotiation au niveau des ports. A votre avis, le fait de rajouter un switch manageable et désactiver l'auto-négotiation sur les ports serait une solution à ce problème ? Completel aurait-il l'habitude (sur demande ?) d'activer plus d'un port sur son routeur pour permettre de connecter plusieurs routeurs client ? Je ne peux malheureusement pas interroger directement Complétel pour ce problème n'étant pas le client direct chez eux, je vous remercie donc par avance pour votre retour d'expérience. -- Cordialement, Artur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interconnexion avec Completude Max de Completel
Salut, Vire l auto neg et force en 100 meg full. Cela a augmenté significativement les debits chez un de nos clients. A+ Adrien Le 21 août 2012 12:27, Artur Pydo fr...@pydo.org a écrit : Bonjour à tous, J'ai une questions sur la façon de s'interconnecter avec un routeur Completel dans le cadre de l'offre Completude Max. Ce routeur connecté en fibre dispose de plusieurs prises ethernet côté lan, mais une seule est utilisable d'après Completel et les autres semblent désactivées. Or sur cette prise est configuré un subnet /29 vaec des adresses publiques et un routeur du client est déjà dessus en direct avec une adresse IP du subnet. Pour rajouter un deuxième équipement client sur ce subnet sans impacter Completel il me semblait le plus simple de rajouter un simple switch pour y connecter le routeur Completel et les deux routeurs clients. Or dans cette configuration quelque soit le switch non-manageable utilisé (fast ethernet et giga ethernet) les débits s’effondrent. D'après le technicien qui a fait l'installation cela serait dû au problèmes d'auto-négotiation au niveau des ports. A votre avis, le fait de rajouter un switch manageable et désactiver l'auto-négotiation sur les ports serait une solution à ce problème ? Completel aurait-il l'habitude (sur demande ?) d'activer plus d'un port sur son routeur pour permettre de connecter plusieurs routeurs client ? Je ne peux malheureusement pas interroger directement Complétel pour ce problème n'étant pas le client direct chez eux, je vous remercie donc par avance pour votre retour d'expérience. -- Cordialement, Artur. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interconnexion avec Completude Max de Completel
Bonjour Artur, En règle générale, Completel livre ses accès avec un seul port configuré en Auto Nego OFF, Full Duplex, en 10Meg si le service livré est inférieur à 10Meg ou 100Meg si le service est supérieur à 10Meg. ex: la livraison d'une collecte Ethernet est faite en Auto Nego OFF, Full Duplex 10Meg pour les feuilles cuivre et FO à 10Meg. En 100Meg pour les FO 10Meg. Les troncs sont livrés selon la demande sur FC-APC ou RJ45 en 1Gig Full Duplex AutoNego OFF. Ensuite, si tu dois faire ouvrir des ports supplémentaire sur le routeur, demandes à ton client d'ouvrir un ticket en appelant le 0800525252 ou 0800575757 et demandant la modification de configuration. Profites en pour demander la communication de la conf exact des ports. Avec un peu de chance le client sera rappelé par un tech. Bon courage... Cdt, Seb. Le 21/08/2012 12:27, Artur Pydo a écrit : Bonjour à tous, J'ai une questions sur la façon de s'interconnecter avec un routeur Completel dans le cadre de l'offre Completude Max. Ce routeur connecté en fibre dispose de plusieurs prises ethernet côté lan, mais une seule est utilisable d'après Completel et les autres semblent désactivées. Or sur cette prise est configuré un subnet /29 vaec des adresses publiques et un routeur du client est déjà dessus en direct avec une adresse IP du subnet. Pour rajouter un deuxième équipement client sur ce subnet sans impacter Completel il me semblait le plus simple de rajouter un simple switch pour y connecter le routeur Completel et les deux routeurs clients. Or dans cette configuration quelque soit le switch non-manageable utilisé (fast ethernet et giga ethernet) les débits s’effondrent. D'après le technicien qui a fait l'installation cela serait dû au problèmes d'auto-négotiation au niveau des ports. A votre avis, le fait de rajouter un switch manageable et désactiver l'auto-négotiation sur les ports serait une solution à ce problème ? Completel aurait-il l'habitude (sur demande ?) d'activer plus d'un port sur son routeur pour permettre de connecter plusieurs routeurs client ? Je ne peux malheureusement pas interroger directement Complétel pour ce problème n'étant pas le client direct chez eux, je vous remercie donc par avance pour votre retour d'expérience. attachment: s_lesimple.vcf signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Interconnexion avec Completude Max de Completel
Oups! j'ai oublié le principal... Si tu met un switch non manageable derrière le routeur ça ne va pas aller. Il faut que tu puisses forcer le port switch a communiquer de la même manière que le port du routeur. Les autres ports de ton switch peuvent rester en auto négo, c'est géré par ton switch et les autres équipements que tu vas brancher dessus. Seb. Le 21/08/2012 13:04, Sebastien Lesimple a écrit : Bonjour Artur, En règle générale, Completel livre ses accès avec un seul port configuré en Auto Nego OFF, Full Duplex, en 10Meg si le service livré est inférieur à 10Meg ou 100Meg si le service est supérieur à 10Meg. ex: la livraison d'une collecte Ethernet est faite en Auto Nego OFF, Full Duplex 10Meg pour les feuilles cuivre et FO à 10Meg. En 100Meg pour les FO 10Meg. Les troncs sont livrés selon la demande sur FC-APC ou RJ45 en 1Gig Full Duplex AutoNego OFF. Ensuite, si tu dois faire ouvrir des ports supplémentaire sur le routeur, demandes à ton client d'ouvrir un ticket en appelant le 0800525252 ou 0800575757 et demandant la modification de configuration. Profites en pour demander la communication de la conf exact des ports. Avec un peu de chance le client sera rappelé par un tech. Bon courage... Cdt, Seb. Le 21/08/2012 12:27, Artur Pydo a écrit : Bonjour à tous, J'ai une questions sur la façon de s'interconnecter avec un routeur Completel dans le cadre de l'offre Completude Max. Ce routeur connecté en fibre dispose de plusieurs prises ethernet côté lan, mais une seule est utilisable d'après Completel et les autres semblent désactivées. Or sur cette prise est configuré un subnet /29 vaec des adresses publiques et un routeur du client est déjà dessus en direct avec une adresse IP du subnet. Pour rajouter un deuxième équipement client sur ce subnet sans impacter Completel il me semblait le plus simple de rajouter un simple switch pour y connecter le routeur Completel et les deux routeurs clients. Or dans cette configuration quelque soit le switch non-manageable utilisé (fast ethernet et giga ethernet) les débits s’effondrent. D'après le technicien qui a fait l'installation cela serait dû au problèmes d'auto-négotiation au niveau des ports. A votre avis, le fait de rajouter un switch manageable et désactiver l'auto-négotiation sur les ports serait une solution à ce problème ? Completel aurait-il l'habitude (sur demande ?) d'activer plus d'un port sur son routeur pour permettre de connecter plusieurs routeurs client ? Je ne peux malheureusement pas interroger directement Complétel pour ce problème n'étant pas le client direct chez eux, je vous remercie donc par avance pour votre retour d'expérience. attachment: s_lesimple.vcf signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Interconnexion avec Completude Max de Completel
Le 21/08/2012 12:27, Artur Pydo a écrit : Bonjour à tous, J'ai une questions sur la façon de s'interconnecter avec un routeur Completel dans le cadre de l'offre Completude Max. Ce routeur connecté en fibre dispose de plusieurs prises ethernet côté lan, mais une seule est utilisable d'après Completel et les autres semblent désactivées. Or sur cette prise est configuré un subnet /29 vaec des adresses publiques et un routeur du client est déjà dessus en direct avec une adresse IP du subnet. Pour rajouter un deuxième équipement client sur ce subnet sans impacter Completel il me semblait le plus simple de rajouter un simple switch pour y connecter le routeur Completel et les deux routeurs clients. Or dans cette configuration quelque soit le switch non-manageable utilisé (fast ethernet et giga ethernet) les débits s’effondrent. D'après le technicien qui a fait l'installation cela serait dû au problèmes d'auto-négotiation au niveau des ports. A votre avis, le fait de rajouter un switch manageable et désactiver l'auto-négotiation sur les ports serait une solution à ce problème ? Completel aurait-il l'habitude (sur demande ?) d'activer plus d'un port sur son routeur pour permettre de connecter plusieurs routeurs client ? Je ne peux malheureusement pas interroger directement Complétel pour ce problème n'étant pas le client direct chez eux, je vous remercie donc par avance pour votre retour d'expérience. Bonjour, Il faudrait également se renseigner si l'offre a évoluée ou pas, car je dispose également de celle-ci, et je me trouve confronté à une limitation avec l'utilisation d'un serveur mail (je dispose d'un pool IP). Effectivement, Completel semble utiliser une configuration bizarre avec une seule adresse IP de sortie. Si la communication est initialisée depuis l'extérieur vers le firewall tu peux te servir de toutes les IP de ton pool, et le serveur va répondre avec la bonne adresse IP. Mais si la connexion est initialisée depuis ton réseau interne et via le Firewall (pour exemple envoyer un mail), cela va utiliser l'adresse IP de sortie globale, et non pas celle de ton serveur mail (ou autre), donc ton SPF et ta résolution DNS inverse ne sont plus corrects. Si tu arrives à trouver une solution, je suis preneur :) Completel n'en a pas à me proposer (d'un autre côté le service technique semble être d'un très haut niveau). Bonne chance. -- Séb --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Nouveau préfixe à filtrer : 0100::/64
RFC : A Discard Prefix for IPv6 http://www.bortzmeyer.org/.html Auteur(s) du RFC: N. Hilliard (INEX), D. Freedman (Claranet) Une technique couramment utilisée en cas d'attaque par déni de service est le *RTBH* : Remote Triggered Black Hole où la victime demande à son FAI, via un protocole, de jeter des paquets sur tel ou tel critère. On utilise pour cela les protocoles de routage standards comme BGP ou OSPF. Mëme chose lorsqu'un opérateur réseaux veut propager en interne, entre ses routeurs, la décision de jeter ou de rediriger tel ou tel type de paquets. Pour cela, il est bien pratique de disposer d'un préfixe IP spécial, qui désigne le trou noir (ou l'IDS, si on redirige le trafic vers un équipement d'analyse spécial). Il n'existait pas de tel préfixe pour IPv6, c'est désormais fait avec ce RFC, qui enregistre 0100::/64. Les RFC 5635 et RFC 3882 décrivent plus en détail cette idée de RTBH dans le cas d'une DoS. On sélectionne les paquets en fonction de leur adresse IP source ou destination et on les jette (trou noir) ou bien on les envoie (par exemple via un tunnel) vers un dispositif d'analyse. Pour configurer cela, il faut des adresses IP (plusieurs, car on peut avoir plusieurs traitements différents selon les attaques, donc une seule adresse IP ne suffit pas). Certains utilisent des adresses privées ou bien les adresses IP réservées pour la documentation (RFC 3849). Ce n'est pas très satisfaisant (et cela peut interférer avec les politiques de filtrage en interne, cf. section 2 du RFC) d'où le nouveau préfixe. Si on voit 0100::/64 dans la configuration d'un routeur, on sait désormais exactement ce que cela implique. Ce préfixe peut être propagé, à l'intérieur du réseau de l'opérateur, ou bien entre l'opérateur et ses clients, par les protocoles de routage dynamiques habituels comme OSPF. Il ne doit pas être transmis à l'extérieur et il est recommandé de le filtrer en entrée, sur les liens de peering ou de transit. Comme il sert pour gérer des attaques qui peuvent être de taille impressionnante, une fuite de ce préfixe vers un autre opérateur pourrait potentiellement entraîner un reroutage de l'attaque vers cet autre opérateur (sections 3 et 5 du RFC). Prudence, donc ! Ce préfixe 0100::/64 est désormais dans le registre des adresses IPv6 spéciales http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xml. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Nouveau prÃ(c)fixe à filtrer : 0100::/64
Une RFC dont le numero est , et qui parle de DOS et de RTBH ... j'aurai attendu le 21 decembre prochain pour la sortir celle la perso ! Le 21 août 2012 18:44, Stephane Bortzmeyer bortzme...@nic.fr a écrit : RFC : A Discard Prefix for IPv6 http://www.bortzmeyer.org/.html Auteur(s) du RFC: N. Hilliard (INEX), D. Freedman (Claranet) Une technique couramment utilisée en cas d'attaque par déni de service est le *RTBH* : Remote Triggered Black Hole où la victime demande à son FAI, via un protocole, de jeter des paquets sur tel ou tel critère. On utilise pour cela les protocoles de routage standards comme BGP ou OSPF. Mëme chose lorsqu'un opérateur réseaux veut propager en interne, entre ses routeurs, la décision de jeter ou de rediriger tel ou tel type de paquets. Pour cela, il est bien pratique de disposer d'un préfixe IP spécial, qui désigne le trou noir (ou l'IDS, si on redirige le trafic vers un équipement d'analyse spécial). Il n'existait pas de tel préfixe pour IPv6, c'est désormais fait avec ce RFC, qui enregistre 0100::/64. Les RFC 5635 et RFC 3882 décrivent plus en détail cette idée de RTBH dans le cas d'une DoS. On sélectionne les paquets en fonction de leur adresse IP source ou destination et on les jette (trou noir) ou bien on les envoie (par exemple via un tunnel) vers un dispositif d'analyse. Pour configurer cela, il faut des adresses IP (plusieurs, car on peut avoir plusieurs traitements différents selon les attaques, donc une seule adresse IP ne suffit pas). Certains utilisent des adresses privées ou bien les adresses IP réservées pour la documentation (RFC 3849). Ce n'est pas très satisfaisant (et cela peut interférer avec les politiques de filtrage en interne, cf. section 2 du RFC) d'où le nouveau préfixe. Si on voit 0100::/64 dans la configuration d'un routeur, on sait désormais exactement ce que cela implique. Ce préfixe peut être propagé, à l'intérieur du réseau de l'opérateur, ou bien entre l'opérateur et ses clients, par les protocoles de routage dynamiques habituels comme OSPF. Il ne doit pas être transmis à l'extérieur et il est recommandé de le filtrer en entrée, sur les liens de peering ou de transit. Comme il sert pour gérer des attaques qui peuvent être de taille impressionnante, une fuite de ce préfixe vers un autre opérateur pourrait potentiellement entraîner un reroutage de l'attaque vers cet autre opérateur (sections 3 et 5 du RFC). Prudence, donc ! Ce préfixe 0100::/64 est désormais dans le registre des adresses IPv6 spéciales http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xml . --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
