Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Wallace]

Oui il y a des avantages à utiliser ces mécanismes pour des objets, des
postes utilisateurs, des mobiles mais clairement pas sur des serveurs.
Les quelques prestataires que j'ai testé en qualité ipv6 tout ceux qui
ont des mécanismes automatiques d'attribution n'ont pas su apporter la
fiabilité sur la stack v6, perte du lease et dhcp qui répond plus, RA HS
du coup isolation réseau, 
Mettre des ip en static sur des serveurs ça n'a rien de choquant et au
contraire on s'assure que ça ne changera pas et que cette partie ne
tombera pas en cas de problème sur l'annonce ou la découverte de
l'environnement.


Le 16/11/2015 16:59, Kirth Gersen a écrit :
> en IPv6 il faut éviter de 'transposer' ce qu'on sait et fait en IPv4 mais
> plutôt repartir de zéro et utiliser les nouveautés qu'apporte IPv6.
>
> Entre autres: l'autoconf (stateless config) et les messages ICMPv6 RA et
> le DHCPv6 (qui est différent du v4).
>
> IPv6 est censé rendre plus simple la configuration des adresses et du
> routage.
> Y'a guerre que dans les routeurs qu'on est encore tenu de configurer des IP
> a la main et encore pas tout le temps car il y a le mécanisme de PD (prefix
> delegation).
>
> Dans l'exemple indiqué si la passerelle est bien configurée elle enverra
> des 'RA' (Router Advertisement) pour se signaler et signaler aussi le
> prefix réseau.
> Les machines sur le segment peuvent s'autoconfigurer avec ca. Les machines
> statiquement configurées peuvent apprendre la route de sortie.
>
> Ne pas oublier aussi que en principe les machines s'autoconfigurent aussi
> une IPv6 "link-local" (qui commence par fe80:) qui leur permet de
> communiquer en IPv6 sur un meme segment.
> Ces IP link-local peuvent aussi servir pour la route publique par défaut.
> Donc dans l'exemple ici on peut utiliser l'ip link-local comme passerelle
> par défaut si on veut vraiment faire une config manuelle (non recommandé)
> mais en principe cette info vient du RA.
>
> Apres comme quelqu'un a déjà dit , il faudrait avant toute chose faire un
> plan d’adressage et découper le /29.
>
>
> Le 16 novembre 2015 14:18, Julien Escario  a écrit :
>
>> Bonjour,
>> Nous sommes en train de déployer ipv6 sur notre backbone (no troll inside)
>> et
>> j'aurais une petite question qui va certainement vous paraître basique sur
>> la
>> façon de monter la gateway.
>>
>> On a obtenu une /29 du RIPE (c'est tout frais) : 2a06:ac00::/29
>> On va filer un /64 par VM (on verra ensuite pour les serveurs mais ça
>> risque
>> d'être du /56 ou /48).
>>
>> J'ai fait l'annonce BGP et collé l'ip 2a06:ac00::1/29 sur l'interface côté
>> LAN.
>> Ca pingue, on est contents.
>>
>> Maintenant, je voudrais filer l'IP 2a06:ac00:4201::1/64 à une VM. J'ai
>> fait :
>> # ifconfig eth0 inet6 add 2a06:ac00:4201::1/64
>>
>> Et c'est là que c'est plus chiant : cette VM va avoir besoin d'une gateway
>> par
>> défaut :
>> # route -A inet6 add default gw 2a06:ac00::1 dev eth0
>> SIOCADDRT: Aucun chemin d'accès pour atteindre l'hôte cible
>>
>> Ah ben ouais, ce n'est pas le même subnet ...
>>
>> Du coup, j'ai triché en rajoutant ça :
>> # route -A inet6 add 2a06:ac00::1 dev eth0
>>
>> Mais ça me paraît bien crado comme façon de faire.
>>
>> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
>> normal en ipv6 et il me manque encore quelques bases.
>>
>> Une idée sur la façon de faire ça ?
>>
>> Merci
>> Julien
>>
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

[FRnOG] [BIZ] Besoin prestation téléphonie Paris VIII

[Louis]

Bonjour,

je cherche une prestation en téléphonie pour un indépendant installé à
Paris VIII.

L'installation actuelle comprend :

   - Ligne analogique avec ADSL
   - Ligne RNIS 2 canaux B et un canal D
   - Plusieurs numéros géographiques contigus associés au RNIS
   - PABX relié au RNIS Siemens HiPath 3250
   - 1 x Téléphone Optiset E (auparavant il y en avait deux mais un est HS)
   - Tout en Orange

Le besoin est de :

   - installation d'un poste dans une pièce supplémentaire (câblage à faire
   en volant ou sans fil)
   - remplacer le poste HS
   - configurer PABX / éventuellement proposer une installation plus
   moderne à base de VoIP
   - 2 appels maxi en simultané
   - conserver transfert d'appel entre postes

merci de me contacter en MP.

cordialement,

Louis

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Kirth Gersen]

en IPv6 il faut éviter de 'transposer' ce qu'on sait et fait en IPv4 mais
plutôt repartir de zéro et utiliser les nouveautés qu'apporte IPv6.

Entre autres: l'autoconf (stateless config) et les messages ICMPv6 RA et
le DHCPv6 (qui est différent du v4).

IPv6 est censé rendre plus simple la configuration des adresses et du
routage.
Y'a guerre que dans les routeurs qu'on est encore tenu de configurer des IP
a la main et encore pas tout le temps car il y a le mécanisme de PD (prefix
delegation).

Dans l'exemple indiqué si la passerelle est bien configurée elle enverra
des 'RA' (Router Advertisement) pour se signaler et signaler aussi le
prefix réseau.
Les machines sur le segment peuvent s'autoconfigurer avec ca. Les machines
statiquement configurées peuvent apprendre la route de sortie.

Ne pas oublier aussi que en principe les machines s'autoconfigurent aussi
une IPv6 "link-local" (qui commence par fe80:) qui leur permet de
communiquer en IPv6 sur un meme segment.
Ces IP link-local peuvent aussi servir pour la route publique par défaut.
Donc dans l'exemple ici on peut utiliser l'ip link-local comme passerelle
par défaut si on veut vraiment faire une config manuelle (non recommandé)
mais en principe cette info vient du RA.

Apres comme quelqu'un a déjà dit , il faudrait avant toute chose faire un
plan d’adressage et découper le /29.


Le 16 novembre 2015 14:18, Julien Escario  a écrit :

> Bonjour,
> Nous sommes en train de déployer ipv6 sur notre backbone (no troll inside)
> et
> j'aurais une petite question qui va certainement vous paraître basique sur
> la
> façon de monter la gateway.
>
> On a obtenu une /29 du RIPE (c'est tout frais) : 2a06:ac00::/29
> On va filer un /64 par VM (on verra ensuite pour les serveurs mais ça
> risque
> d'être du /56 ou /48).
>
> J'ai fait l'annonce BGP et collé l'ip 2a06:ac00::1/29 sur l'interface côté
> LAN.
> Ca pingue, on est contents.
>
> Maintenant, je voudrais filer l'IP 2a06:ac00:4201::1/64 à une VM. J'ai
> fait :
> # ifconfig eth0 inet6 add 2a06:ac00:4201::1/64
>
> Et c'est là que c'est plus chiant : cette VM va avoir besoin d'une gateway
> par
> défaut :
> # route -A inet6 add default gw 2a06:ac00::1 dev eth0
> SIOCADDRT: Aucun chemin d'accès pour atteindre l'hôte cible
>
> Ah ben ouais, ce n'est pas le même subnet ...
>
> Du coup, j'ai triché en rajoutant ça :
> # route -A inet6 add 2a06:ac00::1 dev eth0
>
> Mais ça me paraît bien crado comme façon de faire.
>
> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
> normal en ipv6 et il me manque encore quelques bases.
>
> Une idée sur la façon de faire ça ?
>
> Merci
> Julien
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Wallace]

Justement oui et non, ils disent qu'il faut prévoir de l'espace entre
les allocations pour prévoir une augmentation d'allocation ou des
besoins futurs MAIS ils ont précisés en tout cas pendant la formation
que c'était plus à vocation pour le réseau.
A savoir quand tu délègues un subnet à un client si ce dernier a besoin
de plus gros tu peux lui donner sans devoir tout réadresser.
Pour le terminal final, une ip unique suffit modulo le risque de
blacklist de /64 entier.


Le 16/11/2015 15:01, Julien Escario a écrit :
> Le 16/11/2015 14:58, David Ponzone a écrit :
>> Tu peux pas juste dédier un /64 à ton hosting de VM, avec la .1 sur la 
>> gateway ?
>> Ca te laisse un peu de marge d’ici que tu utilises tout :)
> Si je peux mais c'est contraire aux recommandations du RIPE qui préconise un 
> /64
> par machine.
>
> Si il y a bien un truc que j'ai compris dans ipv6, c'est qu'il faut passer 
> d'un
> mode d'économie des IPs à un mode de gaspillage maximal. On refera le débat un
> autre jour sinon on part dans un fil de 200 mails minimum.
>
> Julien
>




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[fr...@leccia.fr]

Le 16/11/2015 15:01, Julien Escario a écrit :
> Le 16/11/2015 14:58, David Ponzone a écrit :
>> Tu peux pas juste dédier un /64 à ton hosting de VM, avec la .1 sur la 
>> gateway ?
>> Ca te laisse un peu de marge d’ici que tu utilises tout :)
> Si je peux mais c'est contraire aux recommandations du RIPE qui préconise un 
> /64
> par machine.
Pas un /64 par machine mais un /64 par subnet (RFC6177
).

/64 "devrait" toujours être la taille d'un subnet IPv6, celui qui est
configuré sur un équipement (pas celui d'une route qui agrège plusieurs
subnet).
(sauf exception possible genre interco ou loopback :
https://tools.ietf.org/html/rfc5375#appendix-B )
Pas plus grand (en nb d'IP) car aucun usage ne nécessite plus d'IP que
dans un /64 pour un même réseau.
Pas plus petit car sinon on n'est plus compatible avec les mécanismes de
stateless address autoconfiguration (EUI-64)

Pour t'aider à définir un plan, je te conseil :
http://www.ripe.net/lir-services/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf
 


> Si il y a bien un truc que j'ai compris dans ipv6, c'est qu'il faut passer 
> d'un
> mode d'économie des IPs à un mode de gaspillage maximal.
Dans ce sens, je te déconseille fortement de partir dès maintenant sur
ton /29.
Ton préfixe /29 représente tout ce que t'a alloué le RIPE en tant que
membre LIR mais en aucun cas ce que tu dois forcement utiliser dès le
début aux niveau de tes routes.
AMHA, commences peut être à travailler uniquement avec une portion
réduite de ce /29, car à moins qu'on ne parle d'une config Tiers1
international avec des 10n de milliers de subnet, des séparations
logiques entre multiple pays, régions, villes, ou clients à très grandes
échelles, utiliser de base un /29 ne serait pas vraiment justifié.

Un /32 est déjà énorme, par exemple, ça te fait 8 x /32 , 1 pour
maintenant et 7 autres pour plus tard, qui sait dans 10 ans... autre
usage, autre structure, nécessité de distinction des réseaux existants
Et puis, tu pourra toujours augmenter ce /32, si nécessaire en agrégeant
plus gros au niveau routage sans ré-adresser tes subnet existants...

La cigale ayant chanté tout l'été... tous ça tous ça.

D.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Julien Escario]

Le 16/11/2015 14:58, David Ponzone a écrit :
> Tu peux pas juste dédier un /64 à ton hosting de VM, avec la .1 sur la 
> gateway ?
> Ca te laisse un peu de marge d’ici que tu utilises tout :)

Si je peux mais c'est contraire aux recommandations du RIPE qui préconise un /64
par machine.

Si il y a bien un truc que j'ai compris dans ipv6, c'est qu'il faut passer d'un
mode d'économie des IPs à un mode de gaspillage maximal. On refera le débat un
autre jour sinon on part dans un fil de 200 mails minimum.

Julien



smime.p7s
Description: Signature cryptographique S/MIME

[FRnOG] [TECH] Question assez basique sur routage ipv6

[Julien Escario]

Bonjour,
Nous sommes en train de déployer ipv6 sur notre backbone (no troll inside) et
j'aurais une petite question qui va certainement vous paraître basique sur la
façon de monter la gateway.

On a obtenu une /29 du RIPE (c'est tout frais) : 2a06:ac00::/29
On va filer un /64 par VM (on verra ensuite pour les serveurs mais ça risque
d'être du /56 ou /48).

J'ai fait l'annonce BGP et collé l'ip 2a06:ac00::1/29 sur l'interface côté LAN.
Ca pingue, on est contents.

Maintenant, je voudrais filer l'IP 2a06:ac00:4201::1/64 à une VM. J'ai fait :
# ifconfig eth0 inet6 add 2a06:ac00:4201::1/64

Et c'est là que c'est plus chiant : cette VM va avoir besoin d'une gateway par
défaut :
# route -A inet6 add default gw 2a06:ac00::1 dev eth0
SIOCADDRT: Aucun chemin d'accès pour atteindre l'hôte cible

Ah ben ouais, ce n'est pas le même subnet ...

Du coup, j'ai triché en rajoutant ça :
# route -A inet6 add 2a06:ac00::1 dev eth0

Mais ça me paraît bien crado comme façon de faire.

J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
normal en ipv6 et il me manque encore quelques bases.

Une idée sur la façon de faire ça ?

Merci
Julien



smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[David Ponzone]

Tu peux pas juste dédier un /64 à ton hosting de VM, avec la .1 sur la gateway ?
Ca te laisse un peu de marge d’ici que tu utilises tout :)

> Le 16 nov. 2015 à 14:56, Julien Escario  a écrit :
> 
> Le 16/11/2015 14:33, Jonathan Leroy a écrit :
>> Le 16 novembre 2015 14:18, Julien Escario  a écrit :
>>> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
>>> normal en ipv6 et il me manque encore quelques bases.
>> 
>> Comme ta gateway est en dehors du /64, il te faut ajouter manuellement
>> la route après avoir configuré l'interface.
>> Par exemple, sous Debian (/etc/network/interfaces) :
>> 
>> iface eth0 inet6 static
>>address 2a06:ac00:4201::1
>>netmask 64
>>post-up /sbin/ip -f inet6 route add 2a06:ac00::1 dev eth0
>>post-up /sbin/ip -f inet6 route add default via 2a06:ac00::1
>>pre-down /sbin/ip -f inet6 route del default via 2a06:ac00::1
>>pre-down /sbin/ip -f inet6 route del 2a06:ac00::1 dev eth0
> 
> Donc ce ne choque pas de devoir rajouter une route statique pour joindre la
> gateway ?
> 
> L'autre solution serait de déclarer l'ip en tant que 2a06:ac00:4201::1/29 
> comme
> ça la gateway serait sur le même réseau.
> 
> Dernière option : utiliser la :1 de chaque /64 comme gateway a déclarer sur 
> mon
> routeur mais ça va m'en faire quelques milliers d'ips, ingérable ...
> 
> Vous faites comment vous ?
> 
> Julien
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Samuel Thibault]

Julien Escario, on Mon 16 Nov 2015 14:18:44 +0100, wrote:
> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
> normal en ipv6 et il me manque encore quelques bases.

Heu, non, il n'y a rien de nouveau là-dessus en v6: la passerelle doit
avoir une IP dans le /64 de ta VM, comme en v4 quoi...

> On va filer un /64 par VM (on verra ensuite pour les serveurs mais ça risque
> d'être du /56 ou /48).

Je ne comprends pas pourquoi tu dis "filer un /64 par VM": une VM n'a
besoin que d'une seule adresse IP, pas 16 milliard de milliard, non ?

> J'ai fait l'annonce BGP et collé l'ip 2a06:ac00::1/29 sur l'interface côté 
> LAN.

Si ton LAN est en /29, eh bien il faut que toutes les machines du LAN
utilisent /29. Comme en v4, vraiment rien de nouveau.

/29 c'est bien sûr gros, et tu voudras peut-être utiliser un /48 plutôt.
Mais toutes les machines seront dans le /48. Sinon, il faut faire des
sous-réseaux.

Mais vraiment, rien de spécifique à ipv6. C'est comme si tu disais que
ton routeur a 10.0.0.1/8, et que la VM qui a 10.2.0.1/24 n'arrive pas à
la joindre...

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Julien Escario]

Le 16/11/2015 14:33, Jonathan Leroy a écrit :
> Le 16 novembre 2015 14:18, Julien Escario  a écrit :
>> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
>> normal en ipv6 et il me manque encore quelques bases.
> 
> Comme ta gateway est en dehors du /64, il te faut ajouter manuellement
> la route après avoir configuré l'interface.
> Par exemple, sous Debian (/etc/network/interfaces) :
> 
> iface eth0 inet6 static
> address 2a06:ac00:4201::1
> netmask 64
> post-up /sbin/ip -f inet6 route add 2a06:ac00::1 dev eth0
> post-up /sbin/ip -f inet6 route add default via 2a06:ac00::1
> pre-down /sbin/ip -f inet6 route del default via 2a06:ac00::1
> pre-down /sbin/ip -f inet6 route del 2a06:ac00::1 dev eth0

Donc ce ne choque pas de devoir rajouter une route statique pour joindre la
gateway ?

L'autre solution serait de déclarer l'ip en tant que 2a06:ac00:4201::1/29 comme
ça la gateway serait sur le même réseau.

Dernière option : utiliser la :1 de chaque /64 comme gateway a déclarer sur mon
routeur mais ça va m'en faire quelques milliers d'ips, ingérable ...

Vous faites comment vous ?

Julien



smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Wallace]

Bonjour Julien,

Ne t'embête pas à attribuer un subnet par OS, c'est une ancienne
recommandation qu'on trouve sur les vieux bouquins ipv6, j'étais resté
coincé sur cette même idée aussi.
Vu et validé pendant une formation RIPE, une ip par OS suffit et tu
ajoutes autant d'ip en plus que tu as de besoins.
Du coup on a collé un subnet par client et on attribut les ip en
fonction des besoins dedans.

Comme cela pas de configuration tordue, ça juste marche et c'est plus
compréhensible pour tout le monde et même les clients au final.

Le 16/11/2015 14:18, Julien Escario a écrit :
> Bonjour,
> Nous sommes en train de déployer ipv6 sur notre backbone (no troll inside) et
> j'aurais une petite question qui va certainement vous paraître basique sur la
> façon de monter la gateway.
>
> On a obtenu une /29 du RIPE (c'est tout frais) : 2a06:ac00::/29
> On va filer un /64 par VM (on verra ensuite pour les serveurs mais ça risque
> d'être du /56 ou /48).
>
> J'ai fait l'annonce BGP et collé l'ip 2a06:ac00::1/29 sur l'interface côté 
> LAN.
> Ca pingue, on est contents.
>
> Maintenant, je voudrais filer l'IP 2a06:ac00:4201::1/64 à une VM. J'ai fait :
> # ifconfig eth0 inet6 add 2a06:ac00:4201::1/64
>
> Et c'est là que c'est plus chiant : cette VM va avoir besoin d'une gateway par
> défaut :
> # route -A inet6 add default gw 2a06:ac00::1 dev eth0
> SIOCADDRT: Aucun chemin d'accès pour atteindre l'hôte cible
>
> Ah ben ouais, ce n'est pas le même subnet ...
>
> Du coup, j'ai triché en rajoutant ça :
> # route -A inet6 add 2a06:ac00::1 dev eth0
>
> Mais ça me paraît bien crado comme façon de faire.
>
> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
> normal en ipv6 et il me manque encore quelques bases.
>
> Une idée sur la façon de faire ça ?
>
> Merci
> Julien
>




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Jonathan Leroy]

Le 16 novembre 2015 14:18, Julien Escario  a écrit :
> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors c'est
> normal en ipv6 et il me manque encore quelques bases.

Comme ta gateway est en dehors du /64, il te faut ajouter manuellement
la route après avoir configuré l'interface.
Par exemple, sous Debian (/etc/network/interfaces) :

iface eth0 inet6 static
address 2a06:ac00:4201::1
netmask 64
post-up /sbin/ip -f inet6 route add 2a06:ac00::1 dev eth0
post-up /sbin/ip -f inet6 route add default via 2a06:ac00::1
pre-down /sbin/ip -f inet6 route del default via 2a06:ac00::1
pre-down /sbin/ip -f inet6 route del 2a06:ac00::1 dev eth0


-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Samuel Thibault]

Julien Escario, on Mon 16 Nov 2015 15:01:18 +0100, wrote:
> Le 16/11/2015 14:58, David Ponzone a écrit :
> > Tu peux pas juste dédier un /64 à ton hosting de VM, avec la .1 sur la 
> > gateway ?
> > Ca te laisse un peu de marge d’ici que tu utilises tout :)
> 
> Si je peux mais c'est contraire aux recommandations du RIPE qui préconise un 
> /64
> par machine.

Aurais-tu une référence ?

Il y a du sens à séparer les IPs des machines d'un /64 entier, pour
éviter que le blacklist de l'une déborde sur une autre. Mais tu peux
tout de même les mettre dans un même /56 ou /48.

> Si il y a bien un truc que j'ai compris dans ipv6, c'est qu'il faut passer 
> d'un
> mode d'économie des IPs à un mode de gaspillage maximal.

Pas maximal, on t'aurait donné un /24 plutôt qu'un /29, si c'était
maximal :)

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VPN PPTP / L2TP

[David Ponzone]

Oui, TFTP est plus vraiment à la mode.
Ca fait le job, mais au niveau sécurité, c’est moyen.
D’ailleurs, Microsoft est passé à SSTP.

https://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/

L2TP/IPSec sera probablement le plus simple à utiliser sans avoir à installer 
de client lourd.
Ou alors tu changes le firewall pour un vrai firewall, qui propose un client 
IPSec gratuit propre et simple (comme Checkpoint par exemple).

> Le 16 nov. 2015 à 18:17, Vincent Duvernet  a 
> écrit :
> 
> Bonjour,
> 
> Suite à un léger bug sur mon PC en Windows 10 qui ne veut pas monter de VPN 
> L2TP avec un routeur Netgear SRX5308 (et pourtant le support Netgear s'est 
> bien penché sur le problème à coup de Wireshark, mise à jour de driver 
> Ethernet Realtek ou Intel bref rien n'y fait), du coup j'ai testé en PPTP 
> MSChap-V2 avec cryptage MPPE-128 / MPPE-stateful et ça fonctionne.
> (Il reste l'IPSEC mais cela nécessite d'installer un client lourd sur le PC 
> type ShrewSoft ou autre et je voulais éviter).
> 
> Par contre le support me dit que PPTP n'est plus trop utilisé de nos jours et 
> présente des faiblesses.
> 
> Quels sont les avis par ici ?
> 
> Merci,
> 
> Vincent
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [TECH] VPN PPTP / L2TP

[David Ponzone]

Michel,

>> du coup j'ai testé en PPTP MSChap-V2 avec cryptage MPPE-128 / MPPE-stateful 
>> et ça fonctionne.
> 
> Pourrais-tu poster un lien vers une photo d'écran des deux cotés ? Je n'avais 
> jamais entendu parler de MPPE-128, c'est disponible depuis quelle version de 
> Windows ?
> 

http://www.networksorcery.com/enp/protocol/mppe.htm

> 
>> Par contre le support me dit que PPTP n'est plus trop utilisé de nos jours 
>> et présente des faiblesses.
> 
> Le PPTP qui existe depuis la nuit des temps avait la réputation d'être facile 
> à cracker vu la faiblesse du chiffrement (40 bits sur certaines versions). 
> Une des autres raisons qu'il fait qu'il soit moins populaire ces jour-ci est 
> qu'il est parfois difficile de traverser NAT / pare-feu à cause des 2 
> protocoles nécessaires en même temps, TCP 1723 et GRE.

Oui. Le problème le plus courant est qu’un routeur GP ait la fonction PPTP 
Pass-Through qui laisse passer une connexion PPTP sortante, mais pas plusieurs.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [TECH] VPN PPTP / L2TP

[Michel Py]

> Vincent Duvernet a écrit :
> Suite à un léger bug sur mon PC en Windows 10

Il y a des bugs, dans windows 10 ? C'est pas croyable, çà :-)


> du coup j'ai testé en PPTP MSChap-V2 avec cryptage MPPE-128 / MPPE-stateful 
> et ça fonctionne.

Pourrais-tu poster un lien vers une photo d'écran des deux cotés ? Je n'avais 
jamais entendu parler de MPPE-128, c'est disponible depuis quelle version de 
Windows ?


> Par contre le support me dit que PPTP n'est plus trop utilisé de nos jours et 
> présente des faiblesses.

Le PPTP qui existe depuis la nuit des temps avait la réputation d'être facile à 
cracker vu la faiblesse du chiffrement (40 bits sur certaines versions). Une 
des autres raisons qu'il fait qu'il soit moins populaire ces jour-ci est qu'il 
est parfois difficile de traverser NAT / pare-feu à cause des 2 protocoles 
nécessaires en même temps, TCP 1723 et GRE.

Ca reste populaire sur le très grand nombre de sites qui font le VPN sur le 
serveur au lieu de le faire sur le routeur. Dans un domaine AD, utiliser les 
fonctions VPN du serveur est bien pratique. Microsoft est passé à SSTP (soit 
disant plus "secure") mais l'inconvénient est qu'il faut avoir un "vrai" 
certificat SSL sur le serveur (sans parler d'installer IIS) donc PPTP reste 
populaire dans les environnements Microsoft. Bien souvent, le serveur est 
configuré pour accepter PPTP et SSTP et L2TP.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] VPN PPTP / L2TP

[Vincent Duvernet]

Bonjour,

Suite à un léger bug sur mon PC en Windows 10 qui ne veut pas monter de VPN 
L2TP avec un routeur Netgear SRX5308 (et pourtant le support Netgear s'est bien 
penché sur le problème à coup de Wireshark, mise à jour de driver Ethernet 
Realtek ou Intel bref rien n'y fait), du coup j'ai testé en PPTP MSChap-V2 avec 
cryptage MPPE-128 / MPPE-stateful et ça fonctionne.
(Il reste l'IPSEC mais cela nécessite d'installer un client lourd sur le PC 
type ShrewSoft ou autre et je voulais éviter).

Par contre le support me dit que PPTP n'est plus trop utilisé de nos jours et 
présente des faiblesses.

Quels sont les avis par ici ?

Merci,

Vincent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question assez basique sur routage ipv6

[Kirth Gersen]

Oui c'est fréquent parce qu'ils n'ont pas fiabilisé cette partie, ou mal
réglé des lifetimes ou pas penser aux points de failure (spof).
Souvent la solution est de revenir en arrière et faire comme en IPv4, ce
qui se comprend et c'est très humain (moindre effort et domaine connu).
Il faudra du temps pour qu'on abandonne nos habitudes issue d'IPv4, surtout
tant qu'on fera du double stack.

Apres y'a serveurs et serveurs aussi. Tout le monde n'en a pas le même
nombre et ils n'ont pas tous la même criticité.
Il n'y a pas de recette unique et heureusement.

ps: il y a un MOOC en cours sur IPv6 ici:
https://www.france-universite-numerique-mooc.fr/courses/MinesTelecom/04012/session01/about


Le 16 novembre 2015 17:41, Wallace  a écrit :

> Oui il y a des avantages à utiliser ces mécanismes pour des objets, des
> postes utilisateurs, des mobiles mais clairement pas sur des serveurs.
> Les quelques prestataires que j'ai testé en qualité ipv6 tout ceux qui
> ont des mécanismes automatiques d'attribution n'ont pas su apporter la
> fiabilité sur la stack v6, perte du lease et dhcp qui répond plus, RA HS
> du coup isolation réseau, 
> Mettre des ip en static sur des serveurs ça n'a rien de choquant et au
> contraire on s'assure que ça ne changera pas et que cette partie ne
> tombera pas en cas de problème sur l'annonce ou la découverte de
> l'environnement.
>
>
> Le 16/11/2015 16:59, Kirth Gersen a écrit :
> > en IPv6 il faut éviter de 'transposer' ce qu'on sait et fait en IPv4 mais
> > plutôt repartir de zéro et utiliser les nouveautés qu'apporte IPv6.
> >
> > Entre autres: l'autoconf (stateless config) et les messages ICMPv6 RA
> et
> > le DHCPv6 (qui est différent du v4).
> >
> > IPv6 est censé rendre plus simple la configuration des adresses et du
> > routage.
> > Y'a guerre que dans les routeurs qu'on est encore tenu de configurer des
> IP
> > a la main et encore pas tout le temps car il y a le mécanisme de PD
> (prefix
> > delegation).
> >
> > Dans l'exemple indiqué si la passerelle est bien configurée elle enverra
> > des 'RA' (Router Advertisement) pour se signaler et signaler aussi le
> > prefix réseau.
> > Les machines sur le segment peuvent s'autoconfigurer avec ca. Les
> machines
> > statiquement configurées peuvent apprendre la route de sortie.
> >
> > Ne pas oublier aussi que en principe les machines s'autoconfigurent aussi
> > une IPv6 "link-local" (qui commence par fe80:) qui leur permet de
> > communiquer en IPv6 sur un meme segment.
> > Ces IP link-local peuvent aussi servir pour la route publique par défaut.
> > Donc dans l'exemple ici on peut utiliser l'ip link-local comme passerelle
> > par défaut si on veut vraiment faire une config manuelle (non recommandé)
> > mais en principe cette info vient du RA.
> >
> > Apres comme quelqu'un a déjà dit , il faudrait avant toute chose faire un
> > plan d’adressage et découper le /29.
> >
> >
> > Le 16 novembre 2015 14:18, Julien Escario  a écrit :
> >
> >> Bonjour,
> >> Nous sommes en train de déployer ipv6 sur notre backbone (no troll
> inside)
> >> et
> >> j'aurais une petite question qui va certainement vous paraître basique
> sur
> >> la
> >> façon de monter la gateway.
> >>
> >> On a obtenu une /29 du RIPE (c'est tout frais) : 2a06:ac00::/29
> >> On va filer un /64 par VM (on verra ensuite pour les serveurs mais ça
> >> risque
> >> d'être du /56 ou /48).
> >>
> >> J'ai fait l'annonce BGP et collé l'ip 2a06:ac00::1/29 sur l'interface
> côté
> >> LAN.
> >> Ca pingue, on est contents.
> >>
> >> Maintenant, je voudrais filer l'IP 2a06:ac00:4201::1/64 à une VM. J'ai
> >> fait :
> >> # ifconfig eth0 inet6 add 2a06:ac00:4201::1/64
> >>
> >> Et c'est là que c'est plus chiant : cette VM va avoir besoin d'une
> gateway
> >> par
> >> défaut :
> >> # route -A inet6 add default gw 2a06:ac00::1 dev eth0
> >> SIOCADDRT: Aucun chemin d'accès pour atteindre l'hôte cible
> >>
> >> Ah ben ouais, ce n'est pas le même subnet ...
> >>
> >> Du coup, j'ai triché en rajoutant ça :
> >> # route -A inet6 add 2a06:ac00::1 dev eth0
> >>
> >> Mais ça me paraît bien crado comme façon de faire.
> >>
> >> J'ai loupé un truc mais pas moyen de mettre le doigt dessus. Ou alors
> c'est
> >> normal en ipv6 et il me manque encore quelques bases.
> >>
> >> Une idée sur la façon de faire ça ?
> >>
> >> Merci
> >> Julien
> >>
> >>
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

[sbu123fr]

Hello,

Et bien pour avoir pratiqué pendant 2 mois assidument.

L’interface est un tableur ni plus ni moins, pas ergonomique lente,  upgrade 
laborieuse (comme check point). Tu créé des règles qui après arrêt relance de 
la webui ont changé de place, c’est flippant. Ou des commentaires qui se 
déplace.

On dirait FWbuilder au tout début.

Un seule truc bien le mode de simulation de trafic (en cli)  car en webui il 
fonctionne quand il a le temps….

Plantage sporadique du FW lorsqu’on active les log dans un certain mode, 
bascule incompréhensible en mode HA.

Oui je parle bien de Cisco c’est incompréhensible venant d’eux.

Une règle peut représenter 80 ACL effective…

Et pour connaitre pas mal de personnes « enchainé »  Cisco qui l’ont intégré en 
prod. Ils ont tous été forcé de migrer vers d’autres techno. Et je parle de 
très très grand groupes. Hormis un, mais qui ne connait rien d’autre 
malheureusement pour les exploitants….

(Et Je ne suis pas un anti Cisco)

SBU

 

 

 

 

De : Joe Yabuki [mailto:joeyabuki...@gmail.com] 
Envoyé : vendredi 13 novembre 2015 20:02
À : Sylvain sbu
Cc : Rodolphe VIENCO; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

 

Sylvain, tu peux approfondir la phrase " A part Cisco ASA qui est à mon sans 
une hérésie quelque soit la prod." ? D'un point de vu expérience je veux dire, 
j'entends souvent les gens critiquer ASA sans forcement argumenter...

Joe.

 

2015-11-13 18:41 GMT+01:00 Sylvain sbu :

Bonjour,
Je travaille aujourd'hui sur du PaloAlto, Stonesoft, Cisco ASA, check
point, Juniper SRX (Pas Fortinet).
En faite tout dépend de ce que tu a comme environnement, volumétrie (nombre
de FW a gérer) débit type de trafic, expérience des ressources humaine.
Chaque techno répond à un besoin très bien, et moins pour un autre. A part
Cisco ASA qui est à mon sans une hérésie quelque soit la prod.
Entre PaloAlto et Check point ce que je vois comme différence flagrante
c'est l'exploitabilité niveau 2 (Upgrade, restor from crash, installation)
bien plus simple avec Palo Alto.
Et les vus sur les stats, plus toufu sous PaloAlto, par contre le debug est
bien mieux sous Checkpoint. Chekpoint et plus véloce aussi à trafic
équivalent et "boite équivalentes"
La management lorsqu'on a un gros volume de FW à gérer est kif kif. Et a
mon avis les 2 seules exploitablent dans la vrai vie.
Je ne m’occupe plus des licence mais c'était un beau merdier chez Check
point a une époque, limite il fallait une certif gestion des licence et ça
changeait tout le temps de mode... C'est peut être toujours le cas.
SBU




Le 13 novembre 2015 16:44, Rodolphe VIENCO  a
écrit :


> Bonjour à vous tous,
>
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checpoint vs
> Palo Alto <
> https://www.mail-archive.com/search?l=frnog@frnog.org 
> 
>  
> =subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
> ),
> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup, pas
> mal de question se soulèvent.
>
> Après une matinée de recherche (J’ai bouffer de la doc a m’en faire vomir),
> Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou
> vendus.
>
> En faite, je recherche plutôt vos remarques personnelles, de façon
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
>
> 1. Pourquoi j’en suis là :
>
> Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè
> m’a demandé de faire des recherches pour trouver les points positifs et
> négatifs généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et ne me
> suis pas bloqué sur ces deux marques là uniquement afin d’en apprendre le
> plus possible sur tous.
>
> Et du coup, je references les avantages de toutes les grandes marques
> reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et
> Fortinet.
>
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
> aujourd’hui.
>
>
> 2. Ce que je peux dire d’après ce que j’ai lu :
>
> * Palo Alto et Checkpoint sont considérés par la masse comme les leaders
> du firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur
> les MAJ majeurs cependant.
> * Fortinet n’est pas mis en avant
> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est
> avant tout ce qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>
> 3. L’instant Questions :
>
> - La sécurité est elle la meilleur avec Checkpoint?
> - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> - Les prix pour chaque appliances de même catégorie sont ils correspondant?
> - Pourquoi 100% des "Fortune 100"