Re: [FRnOG] [MISC] Pbm de site fishing complètement fou!

[Denis Fondras]

Le 29/08/2018 à 20:46, Michel Py a écrit :
> Le juste milieu entre la dictature et l'anarchie est difficile à trouver, et
> le fait que Google soit devenu le gendarme auto-proclamé de l'Internet à
> quelque chose de dérangeant, mais faut bien que quelqu'un le fasse. Ils
> indexent, quand çà a l'air louche ils bloquent, faut éviter d'avoir l'air
> louche.
>

"Quand ça a l'air louche", sait-on sur quels critères ils se basent ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Denis Fondras]

On Wed, Aug 29, 2018 at 09:55:17PM +, Michel Py wrote:
> > La promesse du SD-WAN, c'est pour l'utilisateur final de troquer une
> > dépendance à un opérateur pour une dépendance à un équipementier.
> 
> Ce qui est une idée foireuse dès le départ : comment tu veux qu'un clickodrome
> qui ne connait pas l'infra de l'opérateur puisse faire aussi bien que
> l'opérateur qui comprend un peu son réseau ?
> 

Exactement de la même façon que l'opérateur : avec des métriques.
Avec un peu de BigData/AI/whatever, dans 99% des cas, ça va faire le job et plus
rapidement/rigoureusement qu'un monkey-tech.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Toussaint OTTAVI]

Le 28/08/2018 à 08:23, Xavier Lemaire a écrit :

Quand je lis ce genre de sujet je me souviens à quel point Je suis
tranquille avec pfsense et en plus le coût est moindre.


Sans entrer dans le troll, pfSense aussi a ses défauts. Un qui est 
rédhibitoire pour moi est l'impossibilité de créer des groupes d'objets 
(on ne peut pas créer "Client1 = 10.0.0.1/24", "Client2 = 10.0.0.2/24" 
et "Clients=Client1, Client2"). Ou alors, j'ai raté un truc ;-)


Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et 
donc, le temps perdu en palabres avec le support niveau 1 et les 
marketeux peut être utilisé pour mettre les mains dans le code, et 
éventuellement corriger ce qui ne nous convient pas


Personnellement, c'est un dilemme que j'ai souvent : choisir un produit 
commercial où tout est déjà fait (en étant prêt à accepter ses défauts) 
ou un produit open-source virtuellement parfait et sans limites (mais où 
il faut prévoir de passer du temps, parfois même pour réinventer la 
roue). Si, intellectuellement, la seconde solution me convient mieux, 
les réalités m'orientent plus souvent vers la première ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Nomenclature nommage prises réseaux inter-étages

[Olivier Vailleau]

Hello,

Avec la méthode décrite, j'y trouve plusieurs inconvénients :
- longueur démesurée des étiquettes dans le panneau de brassage,
- Système ne supportant pas les déménagements internes, comme tu le décrit,
- Comment faire lorsqu'on doit rajouter une prise dans une pièce ? Coté
baie de brassage, le port sera forcément placé sur le prochain emplacement
dispo, et donc le repérage dans la baie ne sera pas contigu.. il faudra
"rechercher le port" derrière un spaghetti qu'on ose pas toucher à cause
des faux contacts.

Ta méthode me semble adaptée pour les petites infra genre mairie/école,
mais ne conviendra pas pour les sites plus gros...
J'ai géré des "gros" sites de 2000 pc, 15 000 prises, et là, ca bouge tout
le temps : chaque semaine, y'a des déménagements, des cloisons qui se
déplacent (et donc des prises qui se retrouvent dans un autre local), des
ajouts des prises, etc.. si les prises ne sont pas numérotées dans l'ordre,
c'est la pagaille dans la baie...
Ainsi, nous avions décidé que les prises étaient repérées par :
Le nom de la baie - numéro de bandeau - numéro de port
exemple : R7-3-25  ( = Baie 7, bandeau 3, Port 24)
Avec ce cas, quand on est devant une prise d'une pièce, on trouve
immédiatement où elle est brassée. L'autre sens n'est pas vrai en revanche
: depuis le local de brassage, on ne peut pas retrouver ou va la prise. Il
faut pour cela une doc... ou s'appuyer sur CDP de cisco (ou ses équivalents
hp, etc) qui te permettront de trouver l'IP/Mac/hostname/user quand tu
connais le port du switch.

Pour les rocades au sein du même site, comme elles sont (et resteront) peu
nombreuses, j'imagine qu'un nommage simple sans préciser Source/dest me
suffira. Si le besoin s'en fait sentir, on peu aussi laisser dans chaque
baie une mini doc/ une liste papier des rocades présentes.


enfin, je plussoie la proposition de préfixer avec sites/batiments sur les
rocades/liaisons inter-bâtiments ou inter-sites.

Mais il n'y aura pas de solution idéale. Il faut juste trouver le bon
compromis entre complexité de codification, la longueur des étiquettes,
etc, en fonction de la taille de l'infra, de son aspect dynamique ou
statique, des usages des locaux, du nbr de presta qui vont passer dedans,
etc..

(j'ai quand même vu une petite baie dans un tout petit site... les prises
portaient le nom de l'utilisateur !! le bandeau était étiqueté Xavier-
Michelle - Anna - etc.. !!!)


Olivier...

Le 30 août 2018 à 08:36, mlrx  a écrit :

> Le 30/08/2018 à 02:08, DUVERGIER Claude a écrit :
>
>> Merci pour ces réponses,
>>
>>> [...]
>>>
>>> ¹ c'est rigide, mais précision rime rarement avec souplesse non ?
>>>On la garde pour trolldi ? ;)
>>>
>>
>> Donc, avec cette nomenclature qui inclue la notion de "direction", le
>> même câble n'a pas le même nom à chaque extrémité ?
>>
>
> Oui, c'est ça.
> On peut ajouter une ref au câble lui même pour les gros faisceau.
> D'ailleurs, ça revient quasi à la logique du réseau routier :
> A7-Lyon-Km45
> Là, on sait pas d'où ça vient, raison de la double notation des
> prises murales.
>
> --
> benoist
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Xavier Lemaire]

je crois que tu as raté un truc car maintenant c'est possible de faire des
alias d'alias :)

Le jeu. 30 août 2018 à 09:49, Toussaint OTTAVI  a
écrit :

>
> Le 28/08/2018 à 08:23, Xavier Lemaire a écrit :
> > Quand je lis ce genre de sujet je me souviens à quel point Je suis
> > tranquille avec pfsense et en plus le coût est moindre.
>
> Sans entrer dans le troll, pfSense aussi a ses défauts. Un qui est
> rédhibitoire pour moi est l'impossibilité de créer des groupes d'objets
> (on ne peut pas créer "Client1 = 10.0.0.1/24", "Client2 = 10.0.0.2/24"
> et "Clients=Client1, Client2"). Ou alors, j'ai raté un truc ;-)
>
> Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et
> donc, le temps perdu en palabres avec le support niveau 1 et les
> marketeux peut être utilisé pour mettre les mains dans le code, et
> éventuellement corriger ce qui ne nous convient pas
>
> Personnellement, c'est un dilemme que j'ai souvent : choisir un produit
> commercial où tout est déjà fait (en étant prêt à accepter ses défauts)
> ou un produit open-source virtuellement parfait et sans limites (mais où
> il faut prévoir de passer du temps, parfois même pour réinventer la
> roue). Si, intellectuellement, la seconde solution me convient mieux,
> les réalités m'orientent plus souvent vers la première ;-)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 


FR 00 33 222 06 41 02
ES 00 34 951 820 240
ES 00 34 683 14 39 64

xav...@amassi-network.com

Ce message et ses pieces jointes peuvent contenir des informations
confidentielles ou privilegiees et ne doivent donc

pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu
ce message par erreur, veuillez le signaler

a l'expediteur et le detruire ainsi que les pieces jointes. Les messages
electroniques etant susceptibles d'alteration,

Amassi-network decline toute responsabilite si ce message a ete altere,
deforme ou falsifie. Merci.



This message and its attachments may contain confidential or privileged
information that may be protected by law;

they should not be distributed, used or copied without authorisation.

If you have received this email in error, please notify the sender and
delete this message and its attachments.

As emails may be altered, Amassi-network is not liable for messages that
have been modified, changed or falsified.

Thank you.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Xavier Lemaire]

Pfsense vs propriétaire

les deux derniers points sont réels ils expriment une problématique d'accès
à un certain niveau de compétence.
Soit acheter une compétence sous forme de contrat de maintenance / support
soit d'acheter (avoir) une compétence qui peut effectivement rentrer dans
un processus d'analyse et de s'organiser avec un consortium pour arriver à
ses fins.

J'ai un bel exemple ici : https://sourceforge.net/p/mpd/bugs/62/

C'est l'histoire d'un bug, d'un bug qui a traîné quelques années dans
quelques versions de pfsense. Vous pourrez lire qu'on y arrive.






Le jeu. 30 août 2018 à 09:49, Toussaint OTTAVI  a
écrit :

>
> Le 28/08/2018 à 08:23, Xavier Lemaire a écrit :
> > Quand je lis ce genre de sujet je me souviens à quel point Je suis
> > tranquille avec pfsense et en plus le coût est moindre.
>
> Sans entrer dans le troll, pfSense aussi a ses défauts. Un qui est
> rédhibitoire pour moi est l'impossibilité de créer des groupes d'objets
> (on ne peut pas créer "Client1 = 10.0.0.1/24", "Client2 = 10.0.0.2/24"
> et "Clients=Client1, Client2"). Ou alors, j'ai raté un truc ;-)
>
> Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et
> donc, le temps perdu en palabres avec le support niveau 1 et les
> marketeux peut être utilisé pour mettre les mains dans le code, et
> éventuellement corriger ce qui ne nous convient pas
>
> Personnellement, c'est un dilemme que j'ai souvent : choisir un produit
> commercial où tout est déjà fait (en étant prêt à accepter ses défauts)
> ou un produit open-source virtuellement parfait et sans limites (mais où
> il faut prévoir de passer du temps, parfois même pour réinventer la
> roue). Si, intellectuellement, la seconde solution me convient mieux,
> les réalités m'orientent plus souvent vers la première ;-)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 


FR 00 33 222 06 41 02
ES 00 34 951 820 240
ES 00 34 683 14 39 64

xav...@amassi-network.com

Ce message et ses pieces jointes peuvent contenir des informations
confidentielles ou privilegiees et ne doivent donc

pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu
ce message par erreur, veuillez le signaler

a l'expediteur et le detruire ainsi que les pieces jointes. Les messages
electroniques etant susceptibles d'alteration,

Amassi-network decline toute responsabilite si ce message a ete altere,
deforme ou falsifie. Merci.



This message and its attachments may contain confidential or privileged
information that may be protected by law;

they should not be distributed, used or copied without authorisation.

If you have received this email in error, please notify the sender and
delete this message and its attachments.

As emails may be altered, Amassi-network is not liable for messages that
have been modified, changed or falsified.

Thank you.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Jérôme Nicolle]

Denis,

Le 30/08/2018 à 09:32, Denis Fondras a écrit :
> Exactement de la même façon que l'opérateur : avec des métriques.
> Avec un peu de BigData/AI/whatever, dans 99% des cas, ça va faire le job et 
> plus
> rapidement/rigoureusement qu'un monkey-tech.

Avec une différence notable : le réalisme.

Un WAN "traditionnel", c'est un réseau privé dont les caractéristique
des liens sont connues et relativement stables. L'opérateur est supposé
savoir faire son capacity-planning et assurer les SLA avec du
traffic-engineering.

Un "SD-WAN automagique", ça tourne sur des liens de divers opérateurs,
dont les politiques de peering peuvent changer, dont les SLA sont
faibles voire nulles donc avec de la contention à tous les étages, et de
toute façon c'est de la cretinbox à 30 balles, donc si ça tombe en rade
tu poireaute gentiment comme tout le monde.

Alors dans le premier cas, t'as un "monkey-tech" qui n'a quasiment rien
à faire parce que c'est robuste et ça juste-marche©®™, de l'autre t'as
un AI-powered-BigData-fed-SuperAlgo qui doit jongler avec toutes les
inconsistances de tous les réseaux impliqués et qui peut magiquement
assurer des SLA en combinant des liens qui n'en proposent pas, un peu
comme un produit financier contenant un indice et une assurance, dont on
sait bien comment ça se fini.

De ces deux propositions, sur laquelle vas-tu faire reposer une
infrastructure vitale pour la productivité de ton organisation ?

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Xavier Beaudouin]

Hello,

> Pfsense vs propriétaire
> 
> les deux derniers points sont réels ils expriment une problématique d'accès
> à un certain niveau de compétence.
> Soit acheter une compétence sous forme de contrat de maintenance / support
> soit d'acheter (avoir) une compétence qui peut effectivement rentrer dans
> un processus d'analyse et de s'organiser avec un consortium pour arriver à
> ses fins.
> 
> J'ai un bel exemple ici : https://sourceforge.net/p/mpd/bugs/62/
> 
> C'est l'histoire d'un bug, d'un bug qui a traîné quelques années dans
> quelques versions de pfsense. Vous pourrez lire qu'on y arrive.


pfsense^H^H^H^H^H^H^HFreeBSD port de mpd. Pas pfsense. Vu que pfSense (branch 
2.4) se
base sur les ports de FreeBSD pour certains packages (et d'ailleurs ca fait du 
bien
qu'il se basent enfin sur les ports) ce bug était donc présent partout ou mpd 
était 
utilisé avec Orange (dans ton cas).

Ceci dit il y avais peut-être une raison historique que orange s'amuse a mettre 
une
mtu si faible avec une connection pppoe #legacy 

Merci pour le fix c'est une bonne chose pour tout le monde :)

Et encore une victoire de l'opensource :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michael Bazy]

> > Mon best practice pour ça est de choisir un bon presta pour t'accompagner. 

>Cà va me servir à quoi ? perdre mon temps à expliquer une nième fois le 
>problème, et payer 500 € de l'heure à un presta pour qu'il me facture le temps 
>qu'il perd avec le support, pour arriver au même résultat : rien, c'est la 
>faute à personne, démerdes toi le ciel t'aidera ?
Je pensais plutôt à un "lot" de tickets d'assistance qui te permettra d'avoir 
un guichet unique (en français!), avec un peu de suivi de temps en temps pour 
s'assurer que tout va bien, et savoir s'il y a des nouveautés intéressantes 
pour faire évoluer ton réseau/ta sécu, et permettre de faire gagner du temps à 
tes équipes (par exemple).
Quand j'étais chez le presta, on ne facturait pas le temps d'assistance, mais 
au ticket résolu (et la résolution, c'est quand le client est satisfait des 
réponses apportées, pas quand on a trouvé une excuse pour dire TGCM). C'est pas 
forcément un calcul gagnant à tous les coups, mais globalement ça l'est 
(fidélité client, bouche à oreille, etc...).

>C'est sans espoir; produit conçu par le marketing, codé par des devs qui 
>malheureusement n'ont aucune idée de ce que c'est un réseau de prod, et 
>supporté par des droides pousse-bouton qui ne sont pas là pour t'aider mais 
>pour fermer le ticket, n'ont jamais vu un réseau ni pondu une ligne de code, 
>ne parlent même pas anglais (je mentionne même pas le Français)...
Bah pour avoir suivi Forti depuis des années et l'avoir comparé avec d'autres 
éditeurs, je pense pouvoir t'affirmer que le produit n'a pas été conçu par le 
marketing (je peux t'en citer d'autres pour lesquelles c'est le cas!). Chez 
Forti, il y a notamment des électroniciens qui pensent les archis matérielles 
et conçoivent des puces, histoire d'avoir un bon rapport performance/prix sur 
les grosses archis (à ma connassance ils sont présents dans quasi toutes les 
grosses archis telco, c'est pas pour rien).

>Je donne mes ressources à l'open-source. Avec le fric que je gaspille chez 
>Fortidaube, je forme mon personnel ou fait quelque chose d'utile.
C'est beau. Mon côté idéaliste est complètement en phase avec toi. 
Et si tu n'as besoin que des fonctions de base (routage, firewall L4, un peu de 
logs avec juste l'ip et le port), en ayant le temps-homme et les compétences en 
interne de le maintenir en cas de souci/comportement chelou, c'est pas moi qui 
chercherais à te vendre du matos propriétaire. 
Soit dit en passant, pour moi, la communauté open-source se nourrit du monde 
propriétaire, et vice-versa. Faut arrêter d'opposer les 2 (la guéguerre 
Linux/Microsoft ne date pas d'aujourd'hui).

Pour en revenir un peu à l'objet de la discussion : si tu ne vois pas l'utilité 
de ton FortiGate, je pense surtout que tu sous-utilises le matos.

Michael

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Toussaint OTTAVI]

Le 30/08/2018 à 10:11, Xavier Lemaire a écrit :
je crois que tu as raté un truc car maintenant c'est possible de faire 
des alias d'alias :)


Ma dernière évaluation de pfSense date de Mai 2018. Donc, ce n'est pas 
vieux. Merci pour l'info, je vais regarder...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[David Ponzone]

https://forum.netgate.com/topic/52671/how-do-i-create-alias-of-aliases-nested-aliases-in-v2


> Le 30 août 2018 à 11:30, Toussaint OTTAVI  a écrit :
> 
> 
> Le 30/08/2018 à 10:11, Xavier Lemaire a écrit :
>> je crois que tu as raté un truc car maintenant c'est possible de faire des 
>> alias d'alias :)
> 
> Ma dernière évaluation de pfSense date de Mai 2018. Donc, ce n'est pas vieux. 
> Merci pour l'info, je vais regarder...
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Toussaint OTTAVI]

Le 30/08/2018 à 10:18, Xavier Lemaire a écrit :

Soit acheter une compétence sous forme de contrat de maintenance / support


Là, on touche à d'autres problèmes : A qui acheter le contrat en 
question pour être certain d'avoir une prestation à la hauteur de ce que 
l'on attend ? A l'éditeur directement, ou à un prestataire tiers (et si 
oui, comment en trouver un "bon") ? Et que fait-on alors que l'on a 
payé, et que l'on n'obtient pas le niveau de prestation attendu ? Il y a 
le bon vieux "It's not a bug, it's a feature", ou ses variantes plus 
modernes jouant sur la sémantique : "Le problème que vous soumettez 
n'est pas un problème relevant du support technique, il relève d'une 
analyse proactive qui n'est pas incluse dans le contrat que vous avez 
acheté, mais on va vous faire un devis..."


Donc, acheter un contrat de maintenance en "préventif", en pensant se 
mettre à l'abri en cas de problème sérieux, ou pour des besoins de 
"back-support", n'est pas toujours une solution satisfaisante. Sauf 
peut-être pour ceux qui sont prêts à aligner des sommes avec beaucoup de 
zéros... Ou pour les vendeurs de contrats :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Recherche poste Technicien Systèmes & Réseaux sur région de Bordeaux

[merwan zenati]

Bonjour à toutes et à tous,

Je viens d’obtenir mon BTS Systèmes Numériques, option Informatique & 
Réseaux, suite à une alternance de 2 ans en entreprise.


Je suis à présent à la recherche d’un emploi de Technicien Systèmes & 
Réseau sur la ville de Bordeaux ou alentours.


Si vous connaissez des gens susceptibles d’être intéressés par mon 
profil, merci de bien vouloir me contacter : je vous transmettrai mon CV 
et mes coordonnées.


Je vous remercie d’avance,

Bien à vous,

Merwan ZENATI

https://www.linkedin.com/in/merwan-zenati/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Manuel Guesdon]

On Thu, 30 Aug 2018 10:40:37 +0200
Jérôme Nicolle  wrote:
>| Le 30/08/2018 à 09:32, Denis Fondras a écrit :
>| > Exactement de la même façon que l'opérateur : avec des métriques.
>| > Avec un peu de BigData/AI/whatever, dans 99% des cas, ça va faire le job 
>et plus
>| > rapidement/rigoureusement qu'un monkey-tech.
>| 
>| Avec une différence notable : le réalisme.
>| 
>| Un WAN "traditionnel", c'est un réseau privé dont les caractéristique
>| des liens sont connues et relativement stables. L'opérateur est supposé
>| savoir faire son capacity-planning et assurer les SLA avec du
>| traffic-engineering.
>| 
>| Un "SD-WAN automagique", ça tourne sur des liens de divers opérateurs,
>| dont les politiques de peering peuvent changer, dont les SLA sont
>| faibles voire nulles donc avec de la contention à tous les étages, et de
>| toute façon c'est de la cretinbox à 30 balles, donc si ça tombe en rade
>| tu poireaute gentiment comme tout le monde.

Hum si on revient aux origines, d'après ce que j'en ai compris, on était pas
du tout la dessus.

L'idée était de séparer le controlplane du dataplane et d'avoir une
interface/API normalisée/standardisée (exemple OpenFlow) pour que le
controlplane pilote le dataplane.

Ca devait notamment permettre de dissocier le fournisseur du matériel du
fournisseur de logiciel.

Après avec ca tu devrais pouvoir faire la même chose qu'avant: i.e. acheter
un matos du constructeur truc avec le soft du même constructeur et la même
CLI que d'habitude pour gérer ton BGP/OSPF/IS-IS/MPS & co.

Mais ca ouvre aussi d'autre possibilités: tu achetes le matériel du
constructeur truc ou bidule et:
- tu mets dessus (ou sur un serveur/appliance à coté) la pile logiciel de
  machin (par exemple Cumulus)

- tu développes un controleur pour répondre à un besoin particulier

- tu assembles des briques de controleur pour ajouter des fonctionalités

etc...

Le(s) controlleur(s) pouvant piloter plusieurs dataplane.


Après que des gens s'en soient emparés pour le marketer et y fourrer tout
et n'importe quoi c'est autre chose.

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Jérôme Nicolle]

Manuel,

Le 30/08/2018 à 12:58, Manuel Guesdon a écrit :
> Hum si on revient aux origines, d'après ce que j'en ai compris, on était pas
> du tout la dessus.

'tention, le SD-WAN n'est pas du "SDN" ;-)

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Poste d'administrateur systèmes et réseaux.

[JOURDAIN David]

Bonjour à tous !

Nous recherchons plusieurs administrateur dan,s la région du Lot (46) et 
plus précisément sur le secteur de Figeac.

Voilà l'offre, me contacter en MP pour plus d'infos ;)

Dans le cadre de notre croissance, nous recrutons un administrateur 
systèmes et réseaux.


Vous serez intégré au sein d'une équipe jeune, dynamique et polyvalente.

Force de proposition et autonome, vous serez amener à devenir un 
collaborateur actif dans le développement de la startup Caelis.


A cet effet, vous serez en charge, des missions suivantes :

 *

   Gestion du réseau Cisco, Switching (configuration port : Access,
   802.1X, trunk)

 *

   Gestion des règles de filtrages, ASA, SOPHOS

 *

   Gestion générale d'un AD (Utilisateurs, Groupes, GPO etc..)

 *

   Gestion de l'antivirus

 *

   Gestion des sauvegardes (VEEAM)

 *

   Déploiement de VM dans un environnement VMWARE.

 *

   Assurer une astreinte 1 à 2 semaines par mois

 *

   Gestion de projets

 *

   Assurez le bon maintient du SI dans le respect de la norme ISO 27001
   et du RGPD.

Vous justifiez d'une expérience significative (entre 1 et 3 ans).

Niveau BAC +2 Minimum

Vous êtes une personne polyvalente et votre possédez des connaissances 
sur les systèmes Linux (Ubuntu principalement) et Windows (2008 R2 2012 
R2 et 2016) : 50% Windows / 50% Linux.


Vous avez de bonnes connaissances concernant Active Directory, GPO, la  
maintenance DNS / DHCP, Powershell, ainsi que l'environnement VMware .


Des connaissances sur Cisco Switch, VLAN, Trunk, 801.2x, Wifi Firewall 
Cisco ASA,VPN,VRF, le mapping et le zonning sont un plus.




--
David JOURDAIN
Administrateur système et réseaux
david.jourd...@mycaelis.fr
Tél: 05 65 34 31 92
Caelis DataCenter - www.caelisdatacenter.fr
19, Avenue Jean-Jaurès - 46100 FIGEAC


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Pbm de site fishing complètement fou!

[Michel Py]

>> Michel Py a écrit :
>> Le juste milieu entre la dictature et l'anarchie est difficile à trouver, et 
>> le fait que Google soit devenu
>> le gendarme auto-proclamé de l'Internet à quelque chose de dérangeant, mais 
>> faut bien que quelqu'un le fasse.
>> Ils indexent, quand çà a l'air louche ils bloquent, faut éviter d'avoir 
>> l'air louche.

> Denis Fondras
> "Quand ça a l'air louche", sait-on sur quels critères ils se basent ?

Généralement pas, ce qui est un problème. Je rapprocherai çà avec le 
fonctionnement d'un anti-spam : un bon système est un composite de plusieurs 
critères, et il faut donc s'attendre à des cas qui ne voient pas, ainsi qu'à 
des faux positifs.
Je comprends un peu pourquoi ils gardent le flou : d'abord çà change tout le 
temps, mais la vraie excuse c'est que si ils donnaient une analyse détaillée de 
"çà a l'air louche", les détails seraient immédiatement exploités par les 
malfaisants.

Les sécurités intégrées aux navigateurs sont un peu comme Spamhaus ou OpenDNS : 
c'est pas parfait, mais je m'en sers et pour de très bonne raisons. Sans çà on 
vivrait en enfer, le prix à payer est qu'il faut faire des efforts raisonnables 
pour ne pas "avoir l'air louche".

Spamhaus çà blackliste quand on a un relai SMTP ouvert, et je dis que c'est une 
bonne idée. Les critères de Google ou autres qui listent un site comme 
distributeur de malware possiblement du à la présence d'.exe soupçonneux je dis 
que c'est une bonne idée aussi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> Toussaint OTTAVI a écrit :
> Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et 
> donc, le temps
> perdu en palabres avec le support niveau 1 et les marketeux peut être utilisé 
> pour mettre
> les mains dans le code, et éventuellement corriger ce qui ne nous convient pas
> Personnellement, c'est un dilemme que j'ai souvent : choisir un produit 
> commercial où tout
> est déjà fait (en étant prêt à accepter ses défauts) ou un produit 
> open-source virtuellement
> parfait et sans limites (mais où il faut prévoir de passer du temps, parfois 
> même pour
> réinventer la roue). Si, intellectuellement, la seconde solution me convient 
> mieux,
> les réalités m'orientent plus souvent vers la première ;-)

Pareil ici, mais il y a un niveau de connerie (UN packet par seconde) que je 
peux pas accepter; je suis prêt à payer pour une solution qui marche, mais pas 
quand çà me prend plus de temps à déployer que faire ma propre solution.


>> Xavier Lemaire a écrit :
>> Soit acheter une compétence sous forme de contrat de maintenance / support
> Toussaint OTTAVI a écrit :
> Là, on touche à d'autres problèmes : A qui acheter le contrat en question 
> pour être certain 
> d'avoir une prestation à la hauteur de ce que l'on attend ? A l'éditeur 
> directement, ou à un
> prestataire tiers (et si oui, comment en trouver un "bon") ? Et que fait-on 
> alors que l'on a
> payé, et que l'on n'obtient pas le niveau de prestation attendu ? Il y a le 
> bon vieux "It's
> not a bug, it's a feature", ou ses variantes plus modernes jouant sur la 
> sémantique :
> "Le problème que vous soumettez n'est pas un problème relevant du support 
> technique, il relève
> d'une analyse proactive qui n'est pas incluse dans le contrat que vous avez 
> acheté,
> mais on va vous faire un devis..."

+1

En plus, dans le cas d'un firewall propriétaire, on n'a pas l'option de ne pas 
acheter le contrat de maintenance / support : pas de contrat, pas de mise à 
jour des signatures. On est obligé de l'acheter, et on obtient de la daube.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[David Ponzone]

Michel,

je te sens énervé :)

Tu as une trace dans une doc de ce rate-limit par défaut de FortiOS ?
Je trouve rien de mon côté.


> Le 30 août 2018 à 17:59, Michel Py  a 
> écrit :
> 
>> Toussaint OTTAVI a écrit :
>> Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et 
>> donc, le temps
>> perdu en palabres avec le support niveau 1 et les marketeux peut être 
>> utilisé pour mettre
>> les mains dans le code, et éventuellement corriger ce qui ne nous convient 
>> pas
>> Personnellement, c'est un dilemme que j'ai souvent : choisir un produit 
>> commercial où tout
>> est déjà fait (en étant prêt à accepter ses défauts) ou un produit 
>> open-source virtuellement
>> parfait et sans limites (mais où il faut prévoir de passer du temps, parfois 
>> même pour
>> réinventer la roue). Si, intellectuellement, la seconde solution me convient 
>> mieux,
>> les réalités m'orientent plus souvent vers la première ;-)
> 
> Pareil ici, mais il y a un niveau de connerie (UN packet par seconde) que je 
> peux pas accepter; je suis prêt à payer pour une solution qui marche, mais 
> pas quand çà me prend plus de temps à déployer que faire ma propre solution.
> 
> 
>>> Xavier Lemaire a écrit :
>>> Soit acheter une compétence sous forme de contrat de maintenance / support
>> Toussaint OTTAVI a écrit :
>> Là, on touche à d'autres problèmes : A qui acheter le contrat en question 
>> pour être certain 
>> d'avoir une prestation à la hauteur de ce que l'on attend ? A l'éditeur 
>> directement, ou à un
>> prestataire tiers (et si oui, comment en trouver un "bon") ? Et que fait-on 
>> alors que l'on a
>> payé, et que l'on n'obtient pas le niveau de prestation attendu ? Il y a le 
>> bon vieux "It's
>> not a bug, it's a feature", ou ses variantes plus modernes jouant sur la 
>> sémantique :
>> "Le problème que vous soumettez n'est pas un problème relevant du support 
>> technique, il relève
>> d'une analyse proactive qui n'est pas incluse dans le contrat que vous avez 
>> acheté,
>> mais on va vous faire un devis..."
> 
> +1
> 
> En plus, dans le cas d'un firewall propriétaire, on n'a pas l'option de ne 
> pas acheter le contrat de maintenance / support : pas de contrat, pas de mise 
> à jour des signatures. On est obligé de l'acheter, et on obtient de la daube.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Manuel Guesdon]

On Thu, 30 Aug 2018 13:29:51 +0200
Jérôme Nicolle  wrote:
>| Le 30/08/2018 à 12:58, Manuel Guesdon a écrit :
>| > Hum si on revient aux origines, d'après ce que j'en ai compris, on était 
>pas
>| > du tout la dessus.
>| 
>| 'tention, le SD-WAN n'est pas du "SDN" ;-)

Autant pour moi. Effectivement autant le SDN est plutot bien défini autant le
SD-WAN semble vendu comme une solution de clickodrome automagique :-(

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> David Ponzone a écrit :
> Michel, je te sens énervé :)

Tu me connais bien :) Y'à Fortinet qui a mis du poil à grater dans mon slip, çà 
me les grate.

> Tu as une trace dans une doc de ce rate-limit par défaut de FortiOS ? Je 
> trouve rien de mon côté.

C'était dans le fil plus tot : 
http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
En plus, c'est pas le problème que j'ai. C'est l'excuse dont leur support 
technique de nuls se sert pour me dire que c'est pas leur problème, a lors 
qu'il n'y a aucun rapport.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[David Ponzone]

Ok t’as un exemple pour illustrer la gravité de la chose ?
Parce qu’à part si tu passes ton temps à faire des traceroute simultanés….
Et encore, c’est juste le hop du Forti qui répond des *.
Ok, ça devrait être paramétrable, mais j’imagine qu’ils ont des tonnes de DDoS 
basé sur du TTL expiry ou autre ces dernières années, et que bon, ras le bol.

Mais sur le fond tu as raison, si t’as pas besoin des apps les plus évolués de 
Forti (app control, sandboxing, etc…), ni du SD-Wan (*TROLL*) ou des VDOM, go 
pfSense!




> Le 30 août 2018 à 18:28, Michel Py  a 
> écrit :
> 
>> David Ponzone a écrit :
>> Michel, je te sens énervé :)
> 
> Tu me connais bien :) Y'à Fortinet qui a mis du poil à grater dans mon slip, 
> çà me les grate.
> 
>> Tu as une trace dans une doc de ce rate-limit par défaut de FortiOS ? Je 
>> trouve rien de mon côté.
> 
> C'était dans le fil plus tot : 
> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
> En plus, c'est pas le problème que j'ai. C'est l'excuse dont leur support 
> technique de nuls se sert pour me dire que c'est pas leur problème, a lors 
> qu'il n'y a aucun rapport.
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Oliver varenne]

A mon avis, (Michel confirmera ou infirmera), le problème n'est pas tant la 
gravité de la chose, mais surement le fait qu'il a du passer plusieurs 
heures/jours à chercher pourquoi il avait des "*" comme tu dis, pour se rendre 
compte qu'il a perdu beaucoup de temps sur une connerie...
Et le pire dans ce genre de cas, c'est que quand la connerie est désactivable 
via une option, tu te dis "j'ai appris quelque chose", mais quand c'est imposé, 
tu te sens vraiment floué par des décisions qui semblent arbitraires.

Soyons honnêtes, dans ce genre de cas ça devrait être sous forme d'option: 
- limiter les paquets à 1 par seconde pour protéger blablablablabla : oui/non
Comme ça, tu protège ton produit ET tu t'adaptes au client.

C'est comme moi qui ai passé plusieures heures et memes jours sur un "bug" 
d'une de mes application, pour me rendre compte qu'en fait le constructeur d'un 
téléphone avait décidé que les URL de plus de X caractères, c'était interdit 
(mais que sur 1 modèle de poste, pour que ça soit plus marrant.). 
Je te jure que tu as les boules dans ce genre de cas.


Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de David
> Ponzone
> Envoyé : jeudi 30 août 2018 18:38
> À : Michel Py 
> Cc : Toussaint OTTAVI ; frnog@frnog.org
> Objet : Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
> 
> Ok t’as un exemple pour illustrer la gravité de la chose ?
> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés….
> Et encore, c’est juste le hop du Forti qui répond des *.
> Ok, ça devrait être paramétrable, mais j’imagine qu’ils ont des tonnes de
> DDoS basé sur du TTL expiry ou autre ces dernières années, et que bon, ras
> le bol.
> 
> Mais sur le fond tu as raison, si t’as pas besoin des apps les plus
> évolués de Forti (app control, sandboxing, etc…), ni du SD-Wan (*TROLL*)
> ou des VDOM, go pfSense!
> 
> 
> 
> 
> > Le 30 août 2018 à 18:28, Michel Py 
> a écrit :
> >
> >> David Ponzone a écrit :
> >> Michel, je te sens énervé :)
> >
> > Tu me connais bien :) Y'à Fortinet qui a mis du poil à grater dans mon
> slip, çà me les grate.
> >
> >> Tu as une trace dans une doc de ce rate-limit par défaut de FortiOS ?
> Je trouve rien de mon côté.
> >
> > C'était dans le fil plus tot :
> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
> > En plus, c'est pas le problème que j'ai. C'est l'excuse dont leur
> support technique de nuls se sert pour me dire que c'est pas leur
> problème, a lors qu'il n'y a aucun rapport.
> >
> > Michel.
> >
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> David Ponzone a écrit :
> Ok t’as un exemple pour illustrer la gravité de la chose ?

De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur sans 
que le Fortigate me bouffe entre la moitié et les deux-tiers des hops (voir 
plus bas).

> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...

Ce n'est pas le cas.

> Et encore, c’est juste le hop du Forti qui répond des *.

Non c'est plus de la moitié des hops au milieu.

- Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes pas 
ceux que tout le monde évite).
- Ca vient pas de tracert.exe, WinMTR fait la même chose.
- Quand on fait des pings des hops individuels on a 100%.
- On a enlevé antivirus et autres, mis des règles qui laissent tout entrer et 
tout sortir, pareil.

AMHA c'est un rate-limit à la con dans le style 1 PPS.

Pour l'histoire de fous, voir plus bas.

With Fortigate
|--|
| WinMTR statistics 
   |
| Host   - % | Sent | Recv | Best | Avrg | 
Wrst | Last |
||--|--|--|--|--|--|
| crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |0 |  
  8 |0 |
| crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |0 |  
 12 |0 |
| crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |2 |  
 74 |1 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  171 |  
182 |  170 |
| prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  147 |  
157 |  146 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| craftix.gasmi.net  - 0 |   55 |   55 |  152 |  153 |  
154 |  153 |
||__|__|__|__|__|__|


Without Fortigate or with another brand :
|--|
| WinMTR statistics 
   |
| Host   - % | Sent | Recv | Best | Avrg | 
Wrst | Last |
||--|--|--|--|--|--|
| crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |0 |  
 12 |1 |
| crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |0 |  
 13 |0 |
| crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |1 |  
 40 |1 |
| 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |1 |  
 13 |1 |
| 204.154.217.20 - 0 |   51 |   51 |2 |2 |  
 14 |2 |
| 204.154.217.245- 0 |   51 |   51 |2 |2 |  
 14 |2 |
| 204.154.217.196- 0 |   51 |   51 |2 |4 |  
 41 |2 |
| sjo-b21-link.telia.net - 0 |   51 |   51 |6 |9 |  
 16 |   11 |
| nyk-bb4-link.telia.net - 0 |   51 |   51 |   75 |   75 |  
 77 |   76 |
| prs-bb4-link.telia.net - 0 |   51 |   51 |  143 |  143 |  
158 |  143 |
| prs-b5-link.telia.net  - 0 |   51 |   51 |  146 |  146 |  
158 |  146 |
| lostoasis-ic-310624-prs-b5.c.telia.net - 0 |   51 |   51 |  147 |  147 |  
158 |  147 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| No response from host- 100 |   11 |0 |0 |0 |  
  0 |0 |
| sdv-plurimedia.customers-sfr-str.ielo.net  - 0 |   51 |   51 |  152 |  153 |  
158 |  153 |
| craftix.gasmi.net  - 0 |   51 |   51 |  152 |  152 |  
153 |  153 |
|_

Re: [FRnOG] [TECH] References sondes temperatures et humidite pour salle serveur

[jgourmel]

Bonjour,

Merci pour vos retours, je vais regarder..

Jeremy 

- Mail original -
De: jgour...@free.fr
À: frnog-t...@frnog.org
Envoyé: Mercredi 29 Août 2018 12:19:43
Objet: [FRnOG] [TECH] References sondes temperatures et humidite pour salle 
serveur

Bonjour,

Je suis a la recherche de références pour surveiller les conditions d’humidité 
et temperatures d'une petite salle serveur (containeurs 10 pieds). Auriez-vous 
des produits / marques a recommander?

Merci d'avance

Jeremy


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Guillaume Barrot]

> On Thu, 30 Aug 2018 13:29:51 +0200
> Jérôme Nicolle  wrote:
> >| 'tention, le SD-WAN n'est pas du "SDN" ;-)
>

Ah ben si, totalement même.
Après c'est pas de bol si tous les constructeurs Verso, Velocloud and co,
eux, ne l'ont pas compris et on fait juste une interface HTML5 pour
provisionner du PBR over DMVPN.

>L'idée était de séparer le controlplane du dataplane et d'avoir une
> interface/API normalisée/standardisée (exemple OpenFlow) pour que le
>controlplane pilote le dataplane.

Attention aux approximations grossières.
A part dans le niveau 2 ethernet (qui est merdique pour cette raison), le
control plane EST TOUJOURS séparé du dataplane (c'est une fonction
autonome, même s'il passe dans le Dataplane, mais comme n'importe quel
trafic en fait). On appelle même ça un protocole de routage. Et il pilote,
tant bien que mal, le dataplane.

Le "problème" c'est qu'il n'est pas centralisé (c'était le but ...) et
donc, d'un point de vue configuration "cétrocompliké".
Le vrai problème par contre c'est que la métrique est fixe, relativement
pauvre, absolument pas dynamique (tu peux pas changer la métrique OSPF d'un
lien en fonction du résultat d'une sonde IPSLA par exemple, à moins de
faire un script EEM pour faire ça ... ah merde, ça s'appelait "performance
routing" chez Cisco, avant que la BU ne soit renommée en "software defined
wan" ...) et surtout incohérente par nature, vu qu'elle est locale (tu peux
donc mettre "ospf cost 1000" d'un coté d'un lien et "ospf cost 10" de
l'autre coté, et ça fonctionne quand même).

Du coup, on a surtout voulu séparer le management plane du control plane,
mais aussi permettre de contredire ce que le control plane "routage" aurait
pu calculer.
Exemple type : "alors normalement, le chemin le plus court vers cette
destination, c'est par eth0, mais comme tu viens de xxx, et qu'en plus t'es
du flux de backup et qu'il est 14h30, alors passe plutot par eth1, c'est
plus long, mais je t'emmerde bien cordialement".

Et, oui, on est tous bien d'accord que 1) c'est de l'optim de WAN à la
marge vu les prix actuels des ports 100G, 2) on aurait probablement pu
faire des extensions à BGP pour faire ça en décentralisé et 3) un bon
ansible en central, et ton management plane est un sujet de l'année passée.

Reste donc l'agrégation de liens avec du MPTCP over DMVPN.
Or donc, Orange sortit ses offres FTTE, et franchement, plus personne ne
trouva un seul cas où on aurait à déployer un boitier d'extrémité avec
licences and co, et des concentrateurs en central à prix d'or, là où, le
100M symétrique tombe à quelques centaines d'€/mois (donc dans 3 ans, on
sera à 1000M/100€, et sujet clos).

Mais bon, si y en a que ça amuse d'agréger un LTE, 2 VDSL, et 1 SDSL au
rabais, et croire que "wouho j'ai niqué le gamme" en claquant plus que
150€ dans mes 4 connections, au lieu de 300€ chez Tartenpion Telecom pour
un débit garanti avec SLA, and co, et tout cela pour le prix modique de
location du boitier à 175€/mois  atta, reviens ?!"

Donc, pignolage^1000.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Guillaume Barrot]

Ouaip.
Michel, tu n'es pas sans savoir qu'un TTL expired during transit = 1
interrupt CPU, car il n'existe pas, à ma connaissance, d'ASIC capable de
répondre un code retour ICMP.
Or la CPU, des plus petits Fortinet, c'est un Raspi, mais à qui on aurait
coupé l'oxygene.
Or le FortiOS est le même sur toute la gamme. CQFD, si tu veux pas que la
CPU du Fortigate 30E parte en cahuete, tu rates limites, et ça s'appliquera
quand même sur un Fortigate 5000E qui lui aurait pu tenir 10 Millions de
PPS en TTL expired.

Bon après, cas vécu sur du 7200/7600 et 6500 Cisco y a quelques années, et
COPP Obligatoire en rate limite ICMP, justement parce que les traceroutes
te mettaient la CPU à 100% et que BGP flappait ...
Ceux qui ont eu des GSR en prod comprendront.

Donc si le bout de code en question date en plus de 10 ans 
T'auras plus vite fait de te pointer au HQ de Fortinet en faisant un
scandale :D

Le jeu. 30 août 2018 à 23:15, Michel Py 
a écrit :

> > David Ponzone a écrit :
> > Ok t’as un exemple pour illustrer la gravité de la chose ?
>
> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur
> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops
> (voir plus bas).
>
> > Parce qu’à part si tu passes ton temps à faire des traceroute
> simultanés...
>
> Ce n'est pas le cas.
>
> > Et encore, c’est juste le hop du Forti qui répond des *.
>
> Non c'est plus de la moitié des hops au milieu.
>
> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème,
> mêmes pas ceux que tout le monde évite).
> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
> - Quand on fait des pings des hops individuels on a 100%.
> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer
> et tout sortir, pareil.
>
> AMHA c'est un rate-limit à la con dans le style 1 PPS.
>
> Pour l'histoire de fous, voir plus bas.
>
> With Fortigate
>
> |--|
> | WinMTR statistics
> |
> | Host   - % | Sent | Recv | Best |
> Avrg | Wrst | Last |
>
> ||--|--|--|--|--|--|
> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |
>   0 |8 |0 |
> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |
>   0 |   12 |0 |
> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |
>   2 |   74 |1 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |
> 171 |  182 |  170 |
> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |
> 147 |  157 |  146 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | No response from host- 100 |   11 |0 |0 |
> 0 |0 |0 |
> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |
> 153 |  154 |  153 |
>
> ||__|__|__|__|__|__|
>
>
> Without Fortigate or with another brand :
>
> |--|
> | WinMTR statistics
> |
> | Host   - % | Sent | Recv | Best |
> Avrg | Wrst | Last |
>
> ||--|--|--|--|--|--|
> | crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |
>   0 |   12 |1 |
> | crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |
>   0 |   13 |0 |
> | crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |
>   1 |   40 |1 |
> | 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |
>   1 |   13 |1 |
> | 204.154.217.20 - 0 |   51 |   51 |2 |
> 2 |   14 |2 |
> | 204.154.217.245- 0 |   51 |   51 |2 |
> 2 |   14 |2 |
> | 204.154.217.196- 0 |   51 |   51 |2 |
> 4 |   41 |2 |
> 

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> Guillaume Barrot a écrit :
> Michel, tu n'es pas sans savoir qu'un TTL expired during transit = 1 
> interrupt CPU, car il
> n'existe pas, à ma connaissance, d'ASIC capable de répondre un code retour 
> ICMP. 

Ah bon, c'est pas çà que fait "Accelerated by FortiASIC" :P 
Pas taper, pas taper.

> Or la CPU, des plus petits Fortinet, c'est un Raspi, mais à qui on aurait 
> coupé l'oxygene.

N'insulte pas le Raspi, le modèle 3 çà pédale pas si pire.
 
> Or le FortiOS est le même sur toute la gamme. CQFD, si tu veux pas que la CPU 
> du
> Fortigate 30E parte en cahuete, tu rates limites, et ça s'appliquera quand 
> même
> sur un Fortigate 5000E qui lui aurait pu tenir 10 Millions de PPS en TTL 
> expired.

Ah ouai ouai farpaitement. Un moteur de Ferrari avec un embrayage de Solex.
Dans mon cas particulier : FG200D, CPU: Intel(R) Celeron(R) CPU G540 @ 2.50GHz 
Number of CPUs: 2

> Bon après, cas vécu sur du 7200/7600 et 6500 Cisco y a quelques années, et 
> COPP Obligatoire en
> rate limite ICMP, justement parce que les traceroutes te mettaient la CPU à 
> 100% et que BGP flappait ... 

C'était avec une SUP 1 çà... maintenant qu'on trouve des SUP32-10G ou des 
SUP720 pour une bouchée de pain sur eBay, c'est mieux.
[J'ai encore des 6500 en prod]

> Donc si le bout de code en question date en plus de 10 ans  

En fait non, car la "feature" en question a été introduite avec 5.2, 3 ans et 
quelque si je me rappelle bien.

> Dans le fil trollesque du SD-WAN :
> Donc, pignolage^1000.

+1000

Michel.


Le jeu. 30 août 2018 à 23:15, Michel Py  a 
écrit :
> David Ponzone a écrit :
> Ok t’as un exemple pour illustrer la gravité de la chose ?

De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur sans 
que le Fortigate me bouffe entre la moitié et les deux-tiers des hops (voir 
plus bas).

> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...

Ce n'est pas le cas.

> Et encore, c’est juste le hop du Forti qui répond des *.

Non c'est plus de la moitié des hops au milieu.

- Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes pas 
ceux que tout le monde évite).
- Ca vient pas de tracert.exe, WinMTR fait la même chose.
- Quand on fait des pings des hops individuels on a 100%.
- On a enlevé antivirus et autres, mis des règles qui laissent tout entrer et 
tout sortir, pareil.

AMHA c'est un rate-limit à la con dans le style 1 PPS.

Pour l'histoire de fous, voir plus bas.

With Fortigate
|--|
| WinMTR statistics                                                             
           |
| Host                                       - % | Sent | Recv | Best | Avrg | 
Wrst | Last |
||--|--|--|--|--|--|
| crc30r1.rv.am.necel.com                    - 0 |   54 |   54 |    0 |    0 |  
  8 |    0 |
| crt-edge1.rv.am.necel.com                  - 0 |   54 |   54 |    0 |    0 |  
 12 |    0 |
| crt-border1-v925.tsisemi.com               - 0 |   54 |   54 |    0 |    2 |  
 74 |    1 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| prs-bb4-link.telia.net                    - 14 |   37 |   32 |  170 |  171 |  
182 |  170 |
| prs-b5-link.telia.net                      - 0 |   55 |   55 |  146 |  147 |  
157 |  146 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| No response from host                    - 100 |   11 |    0 |    0 |    0 |  
  0 |    0 |
| craftix.gasmi.net                          - 0 |   55 |   55 |  152 |  153 |  
154 |  153 |
||__|__|__|__|__|__|


Without Fortigate or with another brand :
|--|
| WinMTR statistics                                                             
           |
| Host                                       - % | Sent | Recv | Best | Avrg | 
Wrst | Last |
||--|--|--|--|--|--|
| crc30-63.rv.am.necel.com        

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[David Ponzone]

Hmm je pige pas ta spécificité.
Je fais un tracert depuis un PC derrière un Forti, et il est nickel.

David Ponzone



Le 30 août 2018 à 23:14, Michel Py  a écrit 
:

>> David Ponzone a écrit :
>> Ok t’as un exemple pour illustrer la gravité de la chose ?
> 
> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur 
> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops 
> (voir plus bas).
> 
>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...
> 
> Ce n'est pas le cas.
> 
>> Et encore, c’est juste le hop du Forti qui répond des *.
> 
> Non c'est plus de la moitié des hops au milieu.
> 
> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes 
> pas ceux que tout le monde évite).
> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
> - Quand on fait des pings des hops individuels on a 100%.
> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer et 
> tout sortir, pareil.
> 
> AMHA c'est un rate-limit à la con dans le style 1 PPS.
> 
> Pour l'histoire de fous, voir plus bas.
> 
> With Fortigate
> |--|
> | WinMTR statistics   
>  |
> | Host   - % | Sent | Recv | Best | Avrg 
> | Wrst | Last |
> ||--|--|--|--|--|--|
> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |0 
> |8 |0 |
> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |0 
> |   12 |0 |
> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |2 
> |   74 |1 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  171 
> |  182 |  170 |
> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  147 
> |  157 |  146 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |  153 
> |  154 |  153 |
> ||__|__|__|__|__|__|
> 
> 
> Without Fortigate or with another brand :
> |--|
> | WinMTR statistics   
>  |
> | Host   - % | Sent | Recv | Best | Avrg 
> | Wrst | Last |
> ||--|--|--|--|--|--|
> | crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |0 
> |   12 |1 |
> | crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |0 
> |   13 |0 |
> | crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |1 
> |   40 |1 |
> | 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |1 
> |   13 |1 |
> | 204.154.217.20 - 0 |   51 |   51 |2 |2 
> |   14 |2 |
> | 204.154.217.245- 0 |   51 |   51 |2 |2 
> |   14 |2 |
> | 204.154.217.196- 0 |   51 |   51 |2 |4 
> |   41 |2 |
> | sjo-b21-link.telia.net - 0 |   51 |   51 |6 |9 
> |   16 |   11 |
> | nyk-bb4-link.telia.net - 0 |   51 |   51 |   75 |   75 
> |   77 |   76 |
> | prs-bb4-link.telia.net - 0 |   51 |   51 |  143 |  143 
> |  158 |  143 |
> | prs-b5-link.telia.net  - 0 |   51 |   51 |  146 |  146 
> |  158 |  146 |
> | lostoasis-ic-310624-prs-b5.c.telia.net - 0 |   51 |   51 |  147 |  147 
> |  158 |  147 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response f

Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement

[Manuel Guesdon]

On Fri, 31 Aug 2018 00:27:05 +0200
Guillaume Barrot  wrote:
>| > On Thu, 30 Aug 2018 13:29:51 +0200
>| > Jérôme Nicolle  wrote:
>| > >| 'tention, le SD-WAN n'est pas du "SDN" ;-)
>| >
>| 
>| Ah ben si, totalement même.
>| Après c'est pas de bol si tous les constructeurs Verso, Velocloud and co,
>| eux, ne l'ont pas compris et on fait juste une interface HTML5 pour
>| provisionner du PBR over DMVPN.
>| 
>| >L'idée était de séparer le controlplane du dataplane et d'avoir une
>| > interface/API normalisée/standardisée (exemple OpenFlow) pour que le
>| >controlplane pilote le dataplane.
>| 
>| Attention aux approximations grossières.
>| A part dans le niveau 2 ethernet (qui est merdique pour cette raison), le
>| control plane EST TOUJOURS séparé du dataplane (c'est une fonction
>| autonome, même s'il passe dans le Dataplane, mais comme n'importe quel
>| trafic en fait). 

Je veux dire séparé au niveau fournisseur/accessibilité, i.e dataplane de
constructeur x et controlplane de fourniseur y (y pouvant être soit même).
Depuis longtemps les équipements ont des chipset/asics plus ou moins bas
niveau configurés/gérés par des controlleurs; 
La différence est la standardisation de l'interface hardware/chipset <->
Software/controleur.


Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> David Ponzone a écrit :
> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un 
> Forti, et il est nickel.

C'est clair qu'il y en a une. Transparent mode ?

Michel.


Le 30 août 2018 à 23:14, Michel Py  a écrit 
:

>> David Ponzone a écrit :
>> Ok t’as un exemple pour illustrer la gravité de la chose ?
> 
> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur 
> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops 
> (voir plus bas).
> 
>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...
> 
> Ce n'est pas le cas.
> 
>> Et encore, c’est juste le hop du Forti qui répond des *.
> 
> Non c'est plus de la moitié des hops au milieu.
> 
> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes 
> pas ceux que tout le monde évite).
> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
> - Quand on fait des pings des hops individuels on a 100%.
> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer et 
> tout sortir, pareil.
> 
> AMHA c'est un rate-limit à la con dans le style 1 PPS.
> 
> Pour l'histoire de fous, voir plus bas.
> 
> With Fortigate
> |--|
> | WinMTR statistics   
>  |
> | Host   - % | Sent | Recv | Best | Avrg 
> | Wrst | Last |
> ||--|--|--|--|--|--|
> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |0 
> |8 |0 |
> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |0 
> |   12 |0 |
> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |2 
> |   74 |1 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  171 
> |  182 |  170 |
> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  147 
> |  157 |  146 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | No response from host- 100 |   11 |0 |0 |0 
> |0 |0 |
> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |  153 
> |  154 |  153 |
> ||__|__|__|__|__|__|
> 
> 
> Without Fortigate or with another brand :
> |--|
> | WinMTR statistics   
>  |
> | Host   - % | Sent | Recv | Best | Avrg 
> | Wrst | Last |
> ||--|--|--|--|--|--|
> | crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |0 
> |   12 |1 |
> | crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |0 
> |   13 |0 |
> | crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |1 
> |   40 |1 |
> | 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |1 
> |   13 |1 |
> | 204.154.217.20 - 0 |   51 |   51 |2 |2 
> |   14 |2 |
> | 204.154.217.245- 0 |   51 |   51 |2 |2 
> |   14 |2 |
> | 204.154.217.196- 0 |   51 |   51 |2 |4 
> |   41 |2 |
> | sjo-b21-link.telia.net - 0 |   51 |   51 |6 |9 
> |   16 |   11 |
> | nyk-bb4-link.telia.net - 0 |   51 |   51 |   75 |   75 
> |   77 |   76 |
> | prs-bb4-link.telia.net - 0 |   51 |   51 |  143 |  143 
> |  158 |  143 |
> | prs-b5-link.telia.net  - 0 |   51 |   51 |  146 |  146 
> |  158 |  146 |
> | lostoasis-ic-310624-prs-b5.c.telia.net - 0 |   51 |   51 |  147 |  147 
> |  158 |  147 |
> | No response from host

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[David Ponzone]

Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM qui 
a comme default route le VDOM root, sans NAT, juste un peu d’application 
control.
Je referai si je peux un essai depuis un PV derrière un Forti en conf plus 
classique.

David Ponzone



Le 31 août 2018 à 02:09, Michel Py  a écrit 
:

>> David Ponzone a écrit :
>> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un 
>> Forti, et il est nickel.
> 
> C'est clair qu'il y en a une. Transparent mode ?
> 
> Michel.
> 
> 
> Le 30 août 2018 à 23:14, Michel Py  a 
> écrit :
> 
>>> David Ponzone a écrit :
>>> Ok t’as un exemple pour illustrer la gravité de la chose ?
>> 
>> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur 
>> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops 
>> (voir plus bas).
>> 
>>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...
>> 
>> Ce n'est pas le cas.
>> 
>>> Et encore, c’est juste le hop du Forti qui répond des *.
>> 
>> Non c'est plus de la moitié des hops au milieu.
>> 
>> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes 
>> pas ceux que tout le monde évite).
>> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
>> - Quand on fait des pings des hops individuels on a 100%.
>> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer 
>> et tout sortir, pareil.
>> 
>> AMHA c'est un rate-limit à la con dans le style 1 PPS.
>> 
>> Pour l'histoire de fous, voir plus bas.
>> 
>> With Fortigate
>> |--|
>> | WinMTR statistics  
>>   |
>> | Host   - % | Sent | Recv | Best | Avrg 
>> | Wrst | Last |
>> ||--|--|--|--|--|--|
>> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |0 
>> |8 |0 |
>> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |0 
>> |   12 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |2 
>> |   74 |1 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  171 
>> |  182 |  170 |
>> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  147 
>> |  157 |  146 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |  153 
>> |  154 |  153 |
>> ||__|__|__|__|__|__|
>> 
>> 
>> Without Fortigate or with another brand :
>> |--|
>> | WinMTR statistics  
>>   |
>> | Host   - % | Sent | Recv | Best | Avrg 
>> | Wrst | Last |
>> ||--|--|--|--|--|--|
>> | crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |0 
>> |   12 |1 |
>> | crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |0 
>> |   13 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |1 
>> |   40 |1 |
>> | 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |1 
>> |   13 |1 |
>> | 204.154.217.20 - 0 |   51 |   51 |2 |2 
>> |   14 |2 |
>> | 204.154.217.245- 0 |   51 |   51 |2 |2 
>> |   14 |2 |
>> | 204.154.217.196- 0 |   51 |   51 |2 |4 
>> |   41 |2 |
>> | sjo-b21-link.telia.net - 0 |   51 |   51 |6 |9 
>> |   16 |   11 |
>> 

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

Est-ce que tu crois que c'est un rate-limit ? je vois pas d'autre explication.

Michel.

-Original Message-
From: David Ponzone [mailto:david.ponz...@gmail.com] 
Sent: Thursday, August 30, 2018 5:15 PM
To: Michel Py
Cc: Toussaint OTTAVI; frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM qui 
a comme default route le VDOM root, sans NAT, juste un peu d’application 
control.
Je referai si je peux un essai depuis un PV derrière un Forti en conf plus 
classique.

David Ponzone



Le 31 août 2018 à 02:09, Michel Py  a écrit 
:

>> David Ponzone a écrit :
>> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un 
>> Forti, et il est nickel.
> 
> C'est clair qu'il y en a une. Transparent mode ?
> 
> Michel.
> 
> 
> Le 30 août 2018 à 23:14, Michel Py  a 
> écrit :
> 
>>> David Ponzone a écrit :
>>> Ok t’as un exemple pour illustrer la gravité de la chose ?
>> 
>> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur 
>> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops 
>> (voir plus bas).
>> 
>>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...
>> 
>> Ce n'est pas le cas.
>> 
>>> Et encore, c’est juste le hop du Forti qui répond des *.
>> 
>> Non c'est plus de la moitié des hops au milieu.
>> 
>> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes 
>> pas ceux que tout le monde évite).
>> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
>> - Quand on fait des pings des hops individuels on a 100%.
>> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer 
>> et tout sortir, pareil.
>> 
>> AMHA c'est un rate-limit à la con dans le style 1 PPS.
>> 
>> Pour l'histoire de fous, voir plus bas.
>> 
>> With Fortigate
>> |--|
>> | WinMTR statistics  
>>   |
>> | Host   - % | Sent | Recv | Best | Avrg 
>> | Wrst | Last |
>> ||--|--|--|--|--|--|
>> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |0 
>> |8 |0 |
>> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |0 
>> |   12 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |2 
>> |   74 |1 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  171 
>> |  182 |  170 |
>> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  147 
>> |  157 |  146 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |  153 
>> |  154 |  153 |
>> ||__|__|__|__|__|__|
>> 
>> 
>> Without Fortigate or with another brand :
>> |--|
>> | WinMTR statistics  
>>   |
>> | Host   - % | Sent | Recv | Best | Avrg 
>> | Wrst | Last |
>> ||--|--|--|--|--|--|
>> | crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |0 
>> |   12 |1 |
>> | crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |0 
>> |   13 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |1 
>> |   40 |1 |
>> | 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |1 
>> |   13 |1 |
>> | 204.154.217.20 - 0 |   51 |   51 |2 |   

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Arnaud BRAND]

Bon il est tard, alors je vais peut-être raconter des c, mais bon, 
c'est trolldi alors c'est permis :-)


Je précise que je n'ai rien contre les forti.
Mais l'explication ne me convainc pas et donc ça me gratouille...


Le 2018-08-31 00:38, Guillaume Barrot a écrit :

Ouaip.
Michel, tu n'es pas sans savoir qu'un TTL expired during transit = 1
interrupt CPU, car il n'existe pas, à ma connaissance, d'ASIC capable 
de

répondre un code retour ICMP.


OK quand c'est le Forti qui expire le TTL.
Mais si j'ai bien compris le souci de Michel, c'est aussi le forwarding 
des TTL expired des hops suivants qui pêche.

Et dans ce cas c'est juste du forwarding de paquet ICMP, non ?
En quoi c'est différent du forwarding d'un paquet tcp ou udp, ct'affaire 
?
A cause d'une vérif stateful ( que le paquet ICMP repond bien à un 
paquet qui venait de chez nous ) ?
Pour moi cett vérife devrait aussi être faite sur le forwarding des 
autres paquets...
Donc ça me paraît un peu bizarre comme explication, sauf si évidemment 
la vérif 'normale' peut être faite en ASIC et pas la vérif ICMP parce 
que trop 'complexe' à matcher pour un ASIC.


En tous cas si c'est ça la vraie explication, je vois pas trop en quoi 
rate limiter va aider.

Il y aura toujours le TTL expiré, donc l'interrupt.
En plus ça rajoute des compteurs à maintenir, pour chaque host interne 
si on suit la KB Forti, donc conso de mémoire et gestion de 
tables/tableaux avec time out (ou juste FIFO et tant pis pour les trop 
vieux, on n'est plus à ça près à ce stade).
La seule chose qu'on gagne, c'est effectivement de ne pas générer le 
paquet ICMP.

Sauf si le rate limiting est fait en ASIC.
Mais je suppose que l'ASIC est quand même pas tout à fait le même entre 
le 30E et le 5000E.
Le cas échéant, n'auraient-ils pas pu profiter du fait de rajouter 
quelques millions/milliards de transistors sur la puce pour changer ce 
1PPS en une autre valeur (voire permettre de le paramétrer avec un 
registre ou une instruction quelconque) ?


Or la CPU, des plus petits Fortinet, c'est un Raspi, mais à qui on 
aurait

coupé l'oxygene.
Or le FortiOS est le même sur toute la gamme. CQFD, si tu veux pas que 
la
CPU du Fortigate 30E parte en cahuete, tu rates limites, et ça 
s'appliquera
quand même sur un Fortigate 5000E qui lui aurait pu tenir 10 Millions 
de

PPS en TTL expired.


Désolé, pour moi, le CDFQ ici, c'est un raccourci et il ne fonctionne 
pas.

Je pense que le code des FG s'adapte en fonction du modèle.
Ne serait-ce que pour le nombre de VDOMs autorisés par exemple.
A nouveau, en même temps que le code qui contrôle le nombre de VDOMs, 
pourquoi ne pas mettre une limite cohérente avec le hard et l'usage qui 
en sera vraisemblablement fait ?


Franchement, en plus cette tendance récurrente des supports (oui, tous 
dans le même sac) à rien comprendre, à d'abord valider que tu as les 
certifs 12000++ avant de commencer à regarder (des fois qu'ils 
pourraient éviter de répondre, hein) pour au final te répondre juste un 
truc qui ne correspond même pas à la description du problème, c'est 
effectivement très énervant...


Et au final, je ne suis même pas sûr que le problème de fond soit 
remonté aux ingés Forti par ledit support (peut être de peur que ces 
derniers ne leur collent une taloche bien méritée parce que le paramètre 
existe déjà et qu'ils n'ont juste pas lu leur doc :-))


Cela dit, peut-être lisent-ils FRNoG et qu'il y aura une nouvelle 
fonctionnalités dans le prochain update ?


Allez, bon trolldi à tous et à toutes, moi je pars en week-end !



Bon après, cas vécu sur du 7200/7600 et 6500 Cisco y a quelques années, 
et
COPP Obligatoire en rate limite ICMP, justement parce que les 
traceroutes

te mettaient la CPU à 100% et que BGP flappait ...
Ceux qui ont eu des GSR en prod comprendront.

Donc si le bout de code en question date en plus de 10 ans 
T'auras plus vite fait de te pointer au HQ de Fortinet en faisant un
scandale :D

Le jeu. 30 août 2018 à 23:15, Michel Py 


a écrit :


> David Ponzone a écrit :
> Ok t’as un exemple pour illustrer la gravité de la chose ?

De mon ordi (1 source) je peux même pas faire UN tracert vers 
l'extérieur
sans que le Fortigate me bouffe entre la moitié et les deux-tiers des 
hops

(voir plus bas).

> Parce qu’à part si tu passes ton temps à faire des traceroute
simultanés...

Ce n'est pas le cas.

> Et encore, c’est juste le hop du Forti qui répond des *.

Non c'est plus de la moitié des hops au milieu.

- Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème,
mêmes pas ceux que tout le monde évite).
- Ca vient pas de tracert.exe, WinMTR fait la même chose.
- Quand on fait des pings des hops individuels on a 100%.
- On a enlevé antivirus et autres, mis des règles qui laissent tout 
entrer

et tout sortir, pareil.

AMHA c'est un rate-limit à la con dans le style 1 PPS.

Pour l'histoire de fous, voir plus bas.

With Fortigate

|-

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> Arnaud BRAND a écrit :
> Mais si j'ai bien compris le souci de Michel, c'est aussi le forwarding des 
> TTL expired des hops suivants qui pêche.

Oui absolument. En plus, le fortigate est en mode transparent, et la manière 
dont je le traverse est un Wire-Pair, avec une Wire-Pair policy qui permet 
tout, pas d'app control pas d'antivirus, rien du tout, dans l'environnement de 
test c'est une passoire L2.

T'as pas d'avenir au support technique d'un grand fabricant, toi. Tu comprends 
la question :P


> Et dans ce cas c'est juste du forwarding de paquet ICMP, non ? En quoi
> c'est différent du forwarding d'un paquet tcp ou udp, ct'affaire

C'est pas. C'est le support de Fortinet qui m'a orienté vers ce machin en 
espérant noyer le poisson. Comme je l'ai écrit précédemment, aucun rapport avec 
mon problème si la logique était respectée. Ceci étant dit, c'est tellement 
similaire que je pense que c'est ou la même chose, ou son petit frère. Ca 
devrait pas regarder ce trafic, mais çà le regarde.


> Le cas échéant, n'auraient-ils pas pu profiter du fait de rajouter quelques
> millions/milliards de transistors sur la puce pour changer ce 1PPS en une 
> autre
> valeur (voire permettre de le paramétrer avec un registre ou une instruction 
> quelconque) ?

Oui mais çà c'est un raisonnement d'ingé réseau. Le marketing droid qui demande 
ces "features" aux développeurs ne pense pas comme toi et moi.


> Franchement, en plus cette tendance récurrente des supports (oui, tous dans 
> le même sac) à rien
> comprendre, à d'abord valider que tu as les certifs 12000++ avant de 
> commencer à regarder (des
> fois qu'ils pourraient éviter de répondre, hein) pour au final te répondre 
> juste un truc qui
> ne correspond même pas à la description du problème, c'est effectivement très 
> énervant...

Tous dans le même sac, non. Presque, mais pas tous. Faut encourager les rares 
et généralement jeunes et petites boites qui essaient encore de le faire bien. 
Et le logiciel libre.


> Et au final, je ne suis même pas sûr que le problème de fond soit remonté aux 
> ingés Forti par ledit support

Oh moi je suis sûr : le problème ne sera jamais remonté aux gens qui auraient 
pu le fixer. Pour çà, il faudrait que l'option qu'il y ait un bug soit 
possible, pas sûr que support L1 et L2 y aient accès.


> (peut être de peur que ces derniers ne leur collent une taloche bien méritée
> parce que le paramètre existe déjà et qu'ils n'ont juste pas lu leur doc :-))

Cà m'aurait suffit, désactiver la feature de merde. Mais non, c'est une feature 
pas un bug, et donc on peut pas la désactiver.


> Allez, bon trolldi à tous et à toutes, moi je pars en week-end !

Profites-en bien !

Michel.

 
> Bon après, cas vécu sur du 7200/7600 et 6500 Cisco y a quelques années, 
> et
> COPP Obligatoire en rate limite ICMP, justement parce que les 
> traceroutes
> te mettaient la CPU à 100% et que BGP flappait ...
> Ceux qui ont eu des GSR en prod comprendront.
> 
> Donc si le bout de code en question date en plus de 10 ans 
> T'auras plus vite fait de te pointer au HQ de Fortinet en faisant un
> scandale :D
> 
> Le jeu. 30 août 2018 à 23:15, Michel Py 
> 
> a écrit :
> 
>> > David Ponzone a écrit :
>> > Ok t’as un exemple pour illustrer la gravité de la chose ?
>> 
>> De mon ordi (1 source) je peux même pas faire UN tracert vers 
>> l'extérieur
>> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des 
>> hops
>> (voir plus bas).
>> 
>> > Parce qu’à part si tu passes ton temps à faire des traceroute
>> simultanés...
>> 
>> Ce n'est pas le cas.
>> 
>> > Et encore, c’est juste le hop du Forti qui répond des *.
>> 
>> Non c'est plus de la moitié des hops au milieu.
>> 
>> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème,
>> mêmes pas ceux que tout le monde évite).
>> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
>> - Quand on fait des pings des hops individuels on a 100%.
>> - On a enlevé antivirus et autres, mis des règles qui laissent tout 
>> entrer
>> et tout sortir, pareil.
>> 
>> AMHA c'est un rate-limit à la con dans le style 1 PPS.
>> 
>> Pour l'histoire de fous, voir plus bas.
>> 
>> With Fortigate
>> 
>> |--|
>> | WinMTR statistics
>> |
>> | Host   - % | Sent | Recv | Best 
>> |
>> Avrg | Wrst | Last |
>> 
>> ||--|--|--|--|--|--|
>> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 
>> |
>>   0 |8 |0 |
>> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 
>> |
>>   0 |   12 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 
>> |
>>   2 |   74 |1 |
>> | No response from host- 100 |   11 |0 |0 
>> |
>> 0 |0 |0 |
>> | No response from host- 100 |   11 |   

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

Tu factures Fortinet pour tes tests ?
Oublies pas mes 15%, hein.

-Original Message-
From: David Ponzone [mailto:david.ponz...@gmail.com] 
Sent: Thursday, August 30, 2018 5:15 PM
To: Michel Py
Cc: Toussaint OTTAVI; frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM qui 
a comme default route le VDOM root, sans NAT, juste un peu d’application 
control.
Je referai si je peux un essai depuis un PV derrière un Forti en conf plus 
classique.

David Ponzone



Le 31 août 2018 à 02:09, Michel Py  a écrit 
:

>> David Ponzone a écrit :
>> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un 
>> Forti, et il est nickel.
> 
> C'est clair qu'il y en a une. Transparent mode ?
> 
> Michel.
> 
> 
> Le 30 août 2018 à 23:14, Michel Py  a 
> écrit :
> 
>>> David Ponzone a écrit :
>>> Ok t’as un exemple pour illustrer la gravité de la chose ?
>> 
>> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur 
>> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops 
>> (voir plus bas).
>> 
>>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...
>> 
>> Ce n'est pas le cas.
>> 
>>> Et encore, c’est juste le hop du Forti qui répond des *.
>> 
>> Non c'est plus de la moitié des hops au milieu.
>> 
>> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes 
>> pas ceux que tout le monde évite).
>> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
>> - Quand on fait des pings des hops individuels on a 100%.
>> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer 
>> et tout sortir, pareil.
>> 
>> AMHA c'est un rate-limit à la con dans le style 1 PPS.
>> 
>> Pour l'histoire de fous, voir plus bas.
>> 
>> With Fortigate
>> |--|
>> | WinMTR statistics  
>>   |
>> | Host   - % | Sent | Recv | Best | Avrg 
>> | Wrst | Last |
>> ||--|--|--|--|--|--|
>> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |0 
>> |8 |0 |
>> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |0 
>> |   12 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |2 
>> |   74 |1 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  171 
>> |  182 |  170 |
>> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  147 
>> |  157 |  146 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | No response from host- 100 |   11 |0 |0 |0 
>> |0 |0 |
>> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |  153 
>> |  154 |  153 |
>> ||__|__|__|__|__|__|
>> 
>> 
>> Without Fortigate or with another brand :
>> |--|
>> | WinMTR statistics  
>>   |
>> | Host   - % | Sent | Recv | Best | Avrg 
>> | Wrst | Last |
>> ||--|--|--|--|--|--|
>> | crc30-63.rv.am.necel.com   - 0 |   51 |   51 |0 |0 
>> |   12 |1 |
>> | crt-edge1.rv.am.necel.com  - 0 |   51 |   51 |0 |0 
>> |   13 |0 |
>> | crt-border1-v925.tsisemi.com   - 0 |   51 |   51 |0 |1 
>> |   40 |1 |
>> | 241.dsl6660136.sub-29.surewest.net - 0 |   51 |   51 |1 |1 
>> |   13 |1 |
>> | 204.154.217.20 - 0 |   51 |   51 |2 |2 
>> |   14 |2 |

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[David Ponzone]

Haha si seulement!
Je serais déjà riche rien que grâce à MITEL, Cisco et quelques autres.
Merci Bill.
Tout ça est la raison principale à mon sens pour laquelle les gens 
(utilisateurs finaux) utilisent l’informatique mais la détestent.
La question philosophique pour ce vendredi double c’est: aurait-il pu en être 
autrement ?

David Ponzone



> Le 31 août 2018 à 07:37, Michel Py  a 
> écrit :
> 
> Tu factures Fortinet pour tes tests ?
> Oublies pas mes 15%, hein.
> 
> -Original Message-
> From: David Ponzone [mailto:david.ponz...@gmail.com] 
> Sent: Thursday, August 30, 2018 5:15 PM
> To: Michel Py
> Cc: Toussaint OTTAVI; frnog@frnog.org
> Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
> 
> Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM 
> qui a comme default route le VDOM root, sans NAT, juste un peu d’application 
> control.
> Je referai si je peux un essai depuis un PV derrière un Forti en conf plus 
> classique.
> 
> David Ponzone
> 
> 
> 
> Le 31 août 2018 à 02:09, Michel Py  a 
> écrit :
> 
>>> David Ponzone a écrit :
>>> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un 
>>> Forti, et il est nickel.
>> 
>> C'est clair qu'il y en a une. Transparent mode ?
>> 
>> Michel.
>> 
>> 
>> Le 30 août 2018 à 23:14, Michel Py  a 
>> écrit :
>> 
 David Ponzone a écrit :
 Ok t’as un exemple pour illustrer la gravité de la chose ?
>>> 
>>> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur 
>>> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops 
>>> (voir plus bas).
>>> 
 Parce qu’à part si tu passes ton temps à faire des traceroute simultanés...
>>> 
>>> Ce n'est pas le cas.
>>> 
 Et encore, c’est juste le hop du Forti qui répond des *.
>>> 
>>> Non c'est plus de la moitié des hops au milieu.
>>> 
>>> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes 
>>> pas ceux que tout le monde évite).
>>> - Ca vient pas de tracert.exe, WinMTR fait la même chose.
>>> - Quand on fait des pings des hops individuels on a 100%.
>>> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer 
>>> et tout sortir, pareil.
>>> 
>>> AMHA c'est un rate-limit à la con dans le style 1 PPS.
>>> 
>>> Pour l'histoire de fous, voir plus bas.
>>> 
>>> With Fortigate
>>> |--|
>>> | WinMTR statistics 
>>>|
>>> | Host   - % | Sent | Recv | Best | 
>>> Avrg | Wrst | Last |
>>> ||--|--|--|--|--|--|
>>> | crc30r1.rv.am.necel.com- 0 |   54 |   54 |0 |
>>> 0 |8 |0 |
>>> | crt-edge1.rv.am.necel.com  - 0 |   54 |   54 |0 |
>>> 0 |   12 |0 |
>>> | crt-border1-v925.tsisemi.com   - 0 |   54 |   54 |0 |
>>> 2 |   74 |1 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | prs-bb4-link.telia.net- 14 |   37 |   32 |  170 |  
>>> 171 |  182 |  170 |
>>> | prs-b5-link.telia.net  - 0 |   55 |   55 |  146 |  
>>> 147 |  157 |  146 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | No response from host- 100 |   11 |0 |0 |
>>> 0 |0 |0 |
>>> | craftix.gasmi.net  - 0 |   55 |   55 |  152 |  
>>> 153 |  154 |  153 |
>>> ||__|__|__|__|__|__|
>>> 
>>> 
>>> Without Fortigate or with another brand :
>>> |--|
>>> | WinMTR statistics 
>>>|
>>> | Host   - % | Sent | Recv | Best | 
>>> Avrg | Wrst | Last |
>>> ||--|--

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michel Py]

> David Ponzone a écrit :
> La question philosophique pour ce vendredi double c’est: aurait-il pu en être 
> autrement ?

Non, est c'est pourquoi je suis le troll de la liste du FRnOG et toi l'adjoint 
: quand on étais jeunes et cons, on croyait qu'on pouvait gagner. Maintenant 
qu'on est vieux et cons, on trolle la liste du FRnOG en se demandant ce qu'on 
aurait pu faire si on avaient été moins jeunes ou moins cons.

On a essayé. Viens boire un coup. Yàkàfokon encourager les jeunes cons qui y 
croient encore.


---
Liste de diffusion du FRnOG
http://www.frnog.org/