Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
Le 31/08/2018 à 07:47, David Ponzone a écrit : Tout ça est la raison principale à mon sens pour laquelle les gens (utilisateurs finaux) utilisent l’informatique mais la détestent. Cà ne concerne pas que les utilisateurs finaux ;-) Je me considère comme un passionné, depuis plusieurs décennies. Et, régulièrement, dans mon métier, dans les tâches que j'accomplis tous les jours, il y a des choses que je déteste :-( Et çà ne s'arrange pas avec l'age ;-) J'ai le sentiment que c'est conçu avec les pieds, géré par des incompétents, et managé par des [bien que nous soyons Vendredi, un minimum d'auto-censure s'impose]. J'en arrive même, souvent, à avoir envie de prendre le bateau avec mes bouteilles de gaz pour aller faire un beau feu d'artifice dans les bureaux en verre d'un siège Parisien :-D Heureusement qu'il y a le Raspberry Pi, Linux, Python et quelques autres pour maintenir le cerveau en ordre de marche. Sinon, je pense que cela fait longtemps que je me serais acheté un troupeau de chèvres et que je me serais installé dans ma bergerie en montagne (avec le WiFi). La question philosophique pour ce vendredi double c’est: aurait-il pu en être autrement ? Ma question philosophique à moi est : "Dans quel autre domaine de la vie courante tolèrerait-on ce que les constructeurs/éditeurs informatiques nous imposent ?" Que penserions-nous si tous les constructeurs automobiles sur le marché, de Ferrari à Tata, proposaient uniquement deux motorisations : - Une où le capot ne s'ouvre pas (le coffre non plus d'ailleurs, car l'éditeur vend ses propres services de livraison de courses), et qui ne requiert qu'un numéro de carte bleue pour fonctionner ? - Une autre faite de bric et de broc sur une base open-source tellement mauvaise que chaque constructeur y va de ses propres rustines, et où il faut finalement aller fouiller sur les sites de hackers pour trouver des ROMs à peu près correctes ? Que penserions-nous si ces mêmes constructeurs automobiles changeaient l'emplacement des pédales d'accélérateur et de frein à chaque nouveau modèle, sans même nous demander notre avis, et sans nous laisser remettre ces éléments là où nous voulons qu'ils soient (alors que, justement, c'est un truc beaucoup plus facile à faire en informatique qu'en mécanique) ? Et que penserions-nous finalement si les constructeurs nous supprimaient carrément les voitures, au profit de leurs propres services de transport automatique dans les nuages ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
Tu oublies le principal: s’ils nous demandaient de payer 15% de la valeur de la voiture par an, pour avoir juste le droit de l’emmener au garage…. > Le 31 août 2018 à 09:35, Toussaint OTTAVI a écrit : > > > Le 31/08/2018 à 07:47, David Ponzone a écrit : >> Tout ça est la raison principale à mon sens pour laquelle les gens >> (utilisateurs finaux) utilisent l’informatique mais la détestent. > > Cà ne concerne pas que les utilisateurs finaux ;-) Je me considère comme un > passionné, depuis plusieurs décennies. Et, régulièrement, dans mon métier, > dans les tâches que j'accomplis tous les jours, il y a des choses que je > déteste :-( Et çà ne s'arrange pas avec l'age ;-) J'ai le sentiment que c'est > conçu avec les pieds, géré par des incompétents, et managé par des [bien > que nous soyons Vendredi, un minimum d'auto-censure s'impose]. J'en arrive > même, souvent, à avoir envie de prendre le bateau avec mes bouteilles de gaz > pour aller faire un beau feu d'artifice dans les bureaux en verre d'un siège > Parisien :-D > > Heureusement qu'il y a le Raspberry Pi, Linux, Python et quelques autres pour > maintenir le cerveau en ordre de marche. Sinon, je pense que cela fait > longtemps que je me serais acheté un troupeau de chèvres et que je me serais > installé dans ma bergerie en montagne (avec le WiFi). > >> La question philosophique pour ce vendredi double c’est: aurait-il pu en >> être autrement ? > > Ma question philosophique à moi est : "Dans quel autre domaine de la vie > courante tolèrerait-on ce que les constructeurs/éditeurs informatiques nous > imposent ?" > > Que penserions-nous si tous les constructeurs automobiles sur le marché, de > Ferrari à Tata, proposaient uniquement deux motorisations : > - Une où le capot ne s'ouvre pas (le coffre non plus d'ailleurs, car > l'éditeur vend ses propres services de livraison de courses), et qui ne > requiert qu'un numéro de carte bleue pour fonctionner ? > - Une autre faite de bric et de broc sur une base open-source tellement > mauvaise que chaque constructeur y va de ses propres rustines, et où il faut > finalement aller fouiller sur les sites de hackers pour trouver des ROMs à > peu près correctes ? > > Que penserions-nous si ces mêmes constructeurs automobiles changeaient > l'emplacement des pédales d'accélérateur et de frein à chaque nouveau modèle, > sans même nous demander notre avis, et sans nous laisser remettre ces > éléments là où nous voulons qu'ils soient (alors que, justement, c'est un > truc beaucoup plus facile à faire en informatique qu'en mécanique) ? > > Et que penserions-nous finalement si les constructeurs nous supprimaient > carrément les voitures, au profit de leurs propres services de transport > automatique dans les nuages ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SD-Wan opérateur ? Aide / Accompagnement
‐‐‐ Original Message ‐‐‐ On August 31, 2018 12:27 AM, Guillaume Barrot wrote: > Ah ben si, totalement même. > Après c'est pas de bol si tous les constructeurs Verso, Velocloud and co, > eux, ne l'ont pas compris et on fait juste une interface HTML5 pour > provisionner du PBR over DMVPN. Je travaille pas pour une enterprise qui code du HTML5 ou qui vend du SD-WAN, mais qu'est-ce que c'est réducteur quand même de dire que le SD-WAN c'est "juste ça". Ok, le SD-WAN c'est le nouveau buzz word dans le monde du networking, mais je pense que ça démontre le peu d'intérêt pour la technologie que de réduire le SD-WAN à faire du HTML5 sur du DMVPN avec 2-3 opti de derrière les fagots. > Du coup, on a surtout voulu séparer le management plane du control plane, > mais aussi permettre de contredire ce que le control plane "routage" aurait > pu calculer. > Exemple type : "alors normalement, le chemin le plus court vers cette > destination, c'est par eth0, mais comme tu viens de xxx, et qu'en plus t'es > du flux de backup et qu'il est 14h30, alors passe plutot par eth1, c'est > plus long, mais je t'emmerde bien cordialement". Faire de la décision basé sur latence, jitter, packet-loss et reconnaissance d'application au niveau L7 pour faire du TE, c'est certainement possible, mais je doute beaucoup que grand monde y arrive, avec des effectifs réduits. > Et, oui, on est tous bien d'accord que 1) c'est de l'optim de WAN à la > marge vu les prix actuels des ports 100G, 2) on aurait probablement pu > faire des extensions à BGP pour faire ça en décentralisé et 3) un bon > ansible en central, et ton management plane est un sujet de l'année passée. Malheureusement on connecte pas toujours Paris-Lyon ou Francfort-Marseille, parfois c'est très loin, dans des pays ou les opérateurs sont lents à exécuter et cher pour le peu de service. Il existe même des zones ou il n'est pas possible de commander du WAN (en Afrique par exemple). Certainement d'accord que c'est pas une solution magique, mais finalement ça fait déjà longtemps que des PME/TPE font de l'IPSec pour connecter des sites distants. Si en plus on peut prendre en compte des problèmes réels de réseau et influencer le sens du trafic, je pense que le produit à une valeur. Après remplacer des waves pas cher par du SD-WAN, c'est effectivement une idée peu recommendable... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
On Fri, Aug 31, 2018, at 01:10, Michel Py wrote: > Ah ouai ouai farpaitement. Un moteur de Ferrari avec un embrayage de > Solex. > Dans mon cas particulier : FG200D, CPU: Intel(R) Celeron(R) CPU G540 @ > 2.50GHz Number of CPUs: 2 De mon cote, derriere un FG200D (meme que chez toi), OS 5.4, machine Linux pour faire les tests, pas de pb de Traceroute, pas de pb de MTR. Faut monter jusqu'a "-q 7" pour commencer a avoir des * , et c'est uniquement au premier hop, pas apres. OK, j'ai une regle qui autorise explictement les ICMP, et quelques options exotiques (cli-only) actives (asym-routing + encore une pour ne pas couper les sessions en cas de changement de routage). AMHA, tu dois faire des choses "fancy" avec ton Forti. Deja l'article que tu cites, parle de ce que le Forti *REPONDS* lui-meme (non pas de ce qu'il route/filtre/accepte). Ca fait une seule ligne dans le traceroute. Et encore, le 1pps c'est *per* *source*. Il reste a valider aussi si c'est toujours le cas avec FortiOS 5.6 et 6.0. Et puisqu'on parle de pfSense, parlons d'authentification centralise : FortiOS - OK via LDAP ou RADIUS, pas necessaire de declarer les comptes en local, pfSense - KO , faut declarer les comptes - moche quand ca change tous les quelques mois et que tu as plusieurs dizaines d'unites. Et il y a d'autres, chacun avec ses avantages et avec ses problemes. Mais il faut reconnaitre, Fortinet ils sont. Conclusion, relaxe, prends un verre de stroh, et recommence lundi, ca va mieux se passer :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
On Fri, Aug 31, 2018, at 03:24, Michel Py wrote: > En plus, le fortigate est en mode transparent Ah ! Et tu fais confiance a ce genre de modes de fonctionnement (que ca soit chez Forti ou chez quelqu'un d'autre) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
re pfsense authentification pas KO Et du coup ça sert à quoi le fait de pouvoir rajouter un serveur Radius ou LDAP et de choisir avec quel authentification s'appuyer dans les setting de User Manager d'un pfsense ? https://www.netgate.com/docs/pfsense/usermanager/user-authentication-servers.html Le seul truc qui m'a manqué un jour c'est que le projet de console centralisé n'a jamais vu le jour Le ven. 31 août 2018 à 11:28, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Fri, Aug 31, 2018, at 01:10, Michel Py wrote: > > > Ah ouai ouai farpaitement. Un moteur de Ferrari avec un embrayage de > > Solex. > > Dans mon cas particulier : FG200D, CPU: Intel(R) Celeron(R) CPU G540 @ > > 2.50GHz Number of CPUs: 2 > > De mon cote, derriere un FG200D (meme que chez toi), OS 5.4, machine Linux > pour faire les tests, pas de pb de Traceroute, pas de pb de MTR. Faut > monter jusqu'a "-q 7" pour commencer a avoir des * , et c'est uniquement au > premier hop, pas apres. > > OK, j'ai une regle qui autorise explictement les ICMP, et quelques options > exotiques (cli-only) actives (asym-routing + encore une pour ne pas couper > les sessions en cas de changement de routage). > > AMHA, tu dois faire des choses "fancy" avec ton Forti. Deja l'article que > tu cites, parle de ce que le Forti *REPONDS* lui-meme (non pas de ce qu'il > route/filtre/accepte). Ca fait une seule ligne dans le traceroute. Et > encore, le 1pps c'est *per* *source*. Il reste a valider aussi si c'est > toujours le cas avec FortiOS 5.6 et 6.0. > > Et puisqu'on parle de pfSense, parlons d'authentification centralise : > FortiOS - OK via LDAP ou RADIUS, pas necessaire de declarer les comptes en > local, pfSense - KO , faut declarer les comptes - moche quand ca change > tous les quelques mois et que tu as plusieurs dizaines d'unites. Et il y a > d'autres, chacun avec ses avantages et avec ses problemes. Mais il faut > reconnaitre, Fortinet ils sont. > > Conclusion, relaxe, prends un verre de stroh, et recommence lundi, ca va > mieux se passer :) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- FR 00 33 222 06 41 02 ES 00 34 951 820 240 ES 00 34 683 14 39 64 xav...@amassi-network.com Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration, Amassi-network decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci. This message and its attachments may contain confidential or privileged information that may be protected by law; they should not be distributed, used or copied without authorisation. If you have received this email in error, please notify the sender and delete this message and its attachments. As emails may be altered, Amassi-network is not liable for messages that have been modified, changed or falsified. Thank you. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Destockage
Bonjour à tous, C'est la pause repas du vendredi aprem, j'en profite donc pour relancer au sujets des quelques produits qu'il me reste : ** *- Fortigate* FG100d *- **Baies informatiques *27U**(Decelet, emballées, neuves sur palettes) Si vous souhaitez avoir une belle baie informatique dans vos locaux à votre retour de week-end contactez moi vite ! Tristan Rannou* * 01 83 62 63 78* * * * ** ** ** ** --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
On Fri, Aug 31, 2018, at 11:46, Xavier Lemaire wrote: > pfsense authentification pas KO > > Et du coup ça sert à quoi le fait de pouvoir rajouter un serveur > Radius ou LDAP et de choisir avec quel authentification s'appuyer dans > les setting de User Manager d'un pfsense ? Dans mon contexte, a pas grand chose. Quand tu as *un* *seul* FW, soit, tu definis les utilisateurs avec leurs droits, et ils utilisent une authentification centralisee. Mais il faut les definir au prealable, avec authentification LDAP/RADIUS. Par contre quand tu dois gerer plusieurs dizaines de FWs (generalement pour des clients), le fait de devoir declarer les utilisateurs se transforme en NO-GO automatique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Destockage
Hello, On Fri, 31 Aug 2018 12:38:45 +0200 tristan rannou wrote: > C'est la pause repas du vendredi aprem, j'en profite donc pour relancer > au sujets des quelques produits qu'il me reste : > ** > > *- Fortigate* FG100d Garde-le pour Michel celui-la, je suis sur qu'il va etre ravi ;) Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Destockage
Comme on disait quand j’étais jeune: ROTFL. J’ai pas osé la faire, mais je savais qu’un vendredi, la relève serait là :) > Le 31 août 2018 à 16:10, Paul Rolland (ポール・ロラン) a écrit > : > > Hello, > > On Fri, 31 Aug 2018 12:38:45 +0200 > tristan rannou wrote: > >> C'est la pause repas du vendredi aprem, j'en profite donc pour relancer >> au sujets des quelques produits qu'il me reste : >> ** >> >> *- Fortigate* FG100d > > Garde-le pour Michel celui-la, je suis sur qu'il va etre ravi ;) > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Destockage
Hello, On Fri, 31 Aug 2018 16:14:19 +0200 David Ponzone wrote: > Comme on disait quand j’étais jeune: ROTFL. Pourquoi ? Ca se dit plus ? /mode "coup de vieux" :( > J’ai pas osé la faire, mais je savais qu’un vendredi, la relève serait > là :) Ouaip, j'ai meme pas reussi a tenir 2H avant de le dire... mais bon, avec une perche pareil, ca aurait ete dommage de laisser passer. Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Destockage
Salut Paul, Je n'ai pas osé faire la remarque mais j'y ai fortement pensé ;) Cela aurait peut être égayé son vendredi après midi ! Bon week-end. Tristan Le 31/08/2018 à 16:10, Paul Rolland (ポール・ロラン) a écrit : Hello, On Fri, 31 Aug 2018 12:38:45 +0200 tristan rannou wrote: C'est la pause repas du vendredi aprem, j'en profite donc pour relancer au sujets des quelques produits qu'il me reste : ** *- Fortigate* FG100d Garde-le pour Michel celui-la, je suis sur qu'il va etre ravi ;) Paul --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
La question philosophique pour ce vendredi double c’est: aurait-il pu en être autrement ? Non, est c'est pourquoi je suis le troll de la liste du FRnOG et toi l'adjoint : quand on étais jeunes et cons, on croyait qu'on pouvait gagner. Maintenant qu'on est vieux et cons, on trolle la liste du FRnOG en se demandant ce qu'on aurait pu faire si on avaient été moins jeunes ou moins cons. Il me semble que vous avez oublié les heures carrées à faire cohabiter 3 cartes ISA (irq + i/o mapping) et 9 résidents (dans le bon ordre + bon paramétrage) dans un bon PC institutionnel (genre Bull-Micral BM-35 MS-DOS 3.1 avec carte réseau 3com etherlink) qui met juste 3 plombes à rebooter sur son 10 Mo de compétition... (50 KF la chose de mémoire). Je dis ça, je dis rien, mais la seule chose qu'on avait à faire, c'était de ne pas commencer dans l'informatique :> Soyons positifs, les choses s'améliorent, le libre est partout (pour qui veux s'investir), le tel analogique va mourir et le fax a presque mouru, que demander de plus ? ;) -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Destockage
>> tristan rannou a écrit : >> *- Fortigate* FG100d > Paul Rolland a écrit : > Garde-le pour Michel celui-la, je suis sur qu'il va etre ravi ;) Je l'ai vu venir de loin, celui-là :-D Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] pfSense : creation des utilisateurs
> Radu-Adrian Feurdean a écrit : > Et puisqu'on parle de pfSense, parlons d'authentification centralise : > FortiOS - OK via LDAP ou > RADIUS, pas necessaire de declarer les comptes en local, pfSense - KO , faut > declarer les comptes Il y a pas moyen de synchroniser un groupe AD/LDAP avec pfSense ? j'en suis presque à ce point. Faut créer les utilisateurs ET dans AD ET dans pfsense ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] pfSense : creation des utilisateurs
On Fri, Aug 31, 2018, at 21:23, Michel Py wrote: > > Radu-Adrian Feurdean a écrit : > > Et puisqu'on parle de pfSense, parlons d'authentification centralise : > > FortiOS - OK via LDAP ou > > RADIUS, pas necessaire de declarer les comptes en local, pfSense - KO , > > faut declarer les comptes > > Il y a pas moyen de synchroniser un groupe AD/LDAP avec pfSense ? j'en > suis presque à ce point. Faut créer les utilisateurs ET dans AD ET dans > pfsense ? Il semblerait que oui. Le meilleur que j'ai pu avoir c'etait un login "OK" qui va vers une page vide. En effet, pour que ca marche il faut le declarer dans pfSense avec unthentification LDAP ou RADIUS. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Fortigate et traceroute : la honte
>> Michel Py a écrit : >> En plus, le fortigate est en mode transparent > Radu-Adrian Feurdean a écrit : > Ah ! Et tu fais confiance a ce genre de modes de fonctionnement (que ca soit > chez Forti ou chez quelqu'un d'autre) ? Ca marche très bien avec d'autres vendeurs. Il y a pas mal de situations ou tu as besoin de faire NAT ailleurs, j'ai un cas ou un VRF utilise l'adresse publique globale, ou alors NAT est dans le load-balancer. > AMHA, tu dois faire des choses "fancy" avec ton Forti. Non justement, config complètement de base, a part le mode transparent et la wire-pair. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
Tu peux faire le nat ailleurs mais garder le forti en routage. Transparent, ça veut dire bridge hein ? David Ponzone Le 31 août 2018 à 21:42, Michel Py a écrit : >>> Michel Py a écrit : >>> En plus, le fortigate est en mode transparent > >> Radu-Adrian Feurdean a écrit : >> Ah ! Et tu fais confiance a ce genre de modes de fonctionnement (que ca >> soit chez Forti ou chez quelqu'un d'autre) ? > > Ca marche très bien avec d'autres vendeurs. Il y a pas mal de situations ou > tu as besoin de faire NAT ailleurs, j'ai un cas ou un VRF utilise l'adresse > publique globale, ou alors NAT est dans le load-balancer. > >> AMHA, tu dois faire des choses "fancy" avec ton Forti. > > Non justement, config complètement de base, a part le mode transparent et la > wire-pair. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
Transparent, c’est du forwarding L2 > Le 31 août 2018 à 21:53, David Ponzone a écrit : > > Tu peux faire le nat ailleurs mais garder le forti en routage. Transparent, > ça veut dire bridge hein ? > > David Ponzone > > > > Le 31 août 2018 à 21:42, Michel Py a > écrit : > Michel Py a écrit : En plus, le fortigate est en mode transparent >> >>> Radu-Adrian Feurdean a écrit : >>> Ah ! Et tu fais confiance a ce genre de modes de fonctionnement (que ca >>> soit chez Forti ou chez quelqu'un d'autre) ? >> >> Ca marche très bien avec d'autres vendeurs. Il y a pas mal de situations ou >> tu as besoin de faire NAT ailleurs, j'ai un cas ou un VRF utilise l'adresse >> publique globale, ou alors NAT est dans le load-balancer. >> >>> AMHA, tu dois faire des choses "fancy" avec ton Forti. >> >> Non justement, config complètement de base, a part le mode transparent et la >> wire-pair. >> >> Michel. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
