Re: [FRnOG] Re: [TECH] Pour prolonger le début de vendredi

[Xavier Beaudouin]

Hello,

>> Sur un parc d'OS-esclaves y'a surement moyen d'automatiser le
>> paramétrage (outils de politique de sécurité, déploiement auto,
>> etc.),
> 
> Oui, si on est à ce niveau de kontroll, on déploie les postes à partir
> d'un master où on a mis la Policy de l'entreprise.

:D Tu sais que tout le monde ne peux se permettre de redeployer un master 
sur tous les postes de travail d'un coup. D'ou le temps de passages de 
Fenêtres 7 à la version 10 qui n'est pas encore finie dans beaucoup de
boites... qui adorent payer des petitslogiciels :) 
 
>> ( et perso, c'est le premier truc auquel j'ai pensé quand j'ai vu les
>> annonces du DoH par défaut dans les navigateurs : est ce qu'il y moyen
>> de lui indiquer dans une option DHCP )
> 
> Pas d'option normalisée (et, comme j'ai dit, je n'y vois guère
> d'intérêt).

+1 surtout que DHCP donne des resolveurs DNS. Alors une autre question
pourquoi justement ne pas utiliser ces resolveurs avec du DoT/DoH ?

(D'ailleurs une mention  pour dnsdist qui n'est PAS encore en release 
pour la version 1.4.0 qui aurait pu nous simplifier l'exitence pour mettre
en place du DoH sans la centrale nucléaire de yet another serveur web + du
bordel derrière).

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Michel Py]

> Julien Escario a écrit :
> [..]

Ton préfixe apparait, maintenant via Helio-liazo via Telia.

Qu'est-ce que tu as changé ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Conseils sur bilan de liaison F.O.

[Michel Py]

> David Oriot a écrit :
> Dans le cadre de l'estimation d'un taux de disponibilité d'une liaison à 
> fibre optique (ici
> du 100G CWDM4), quelle marge utilise-t-on communément pour le calcul du bilan 
> de liaison ?

AMHA, çà dépend de la fibre. Est-ce que tu peux mettre un réflectromètre dessus 
?
Quelle est la distance ? Est-ce que c'est en ville ?

> Perso, j'aurais une tendance à vouloir marger de 3dB en prenant tous les
> worst-cases de la chaine... Est-ce peut être un peu overkill (ou pas ?)

3dB c'est pas overkill. La manière don’t je regarde le bilan optique est ceci : 
ce n'est qu'une indication. Si tu est juste a la limite d'une optique (disons 
entre une 40km et une 80km) il n'y a qu'une seule chose qui va te dire si çà 
passe ou pas : essayer.
Avec "que" 3dB de rab', j'aurais tendance à mettre l'optique au-dessus.  

Tout le monde pourra te raconter une histoire de 25km ou sur le papier le bilan 
optique est dans les normes, mais dans la pratique t'est obligé de mettre une 
optique de 80 km parce que avec l'optique de 40 km çà ne passe pas.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] nOS gratos pour ONIE/Trident2+

[Emmanuel DECAEN]

Bonsoir,

Le 16/09/2019 à 17:47, Clément Gineste a écrit :
> Vous connaissez des network OS pour switch bare metal avec ONIE qui
> seraient gratos ? 

Par exemple openswitch (OPX) et SONiC:

OPX : https://github.com/open-switch/opx-docs/wiki
SONiC : https://github.com/Azure/SONiC/wiki

> Supportant un Trident II+ BCM56854
> Par exemple pour aller sur le FS N5850-48S6Q et éviter de claquer quelques
> k€ en licence cumulus. https://www.fs.com/fr/products/69226.html

C'est le point un peu délicat.

OPX est actuellement majoritairement pour du matériel Dell:
https://github.com/open-switch/opx-docs/wiki/hardware-support

SONiC a une liste déjà significative de matériel supporté:
https://github.com/Azure/SONiC/wiki/Supported-Devices-and-Platforms

Il faudrait demander à ton(ta) commercial(e) Fiberstore si sa société
soutien ou contribue à un ou plusieurs projet(s) de ce type.

Bon courage.
-- 
*Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] nOS gratos pour ONIE/Trident2+

[Alexandre GRIVEAUX]

Le 16/09/2019 à 17:47, Clément Gineste a écrit :
> Bonjour à tous,
>
> Vous connaissez des network OS pour switch bare metal avec ONIE qui
> seraient gratos ? Supportant un Trident II+ BCM56854
> Par exemple pour aller sur le FS N5850-48S6Q et éviter de claquer quelques
> k€ en licence cumulus. https://www.fs.com/fr/products/69226.html
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> Salut,


Si pas de problème a mettre les mains dans la pâte, peut-être une piste ici:

https://opennetlinux.org/hcl.html


@+Alex


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [ML] [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Manuel Guesdon]

Bonjour,

On Mon, 16 Sep 2019 17:09:49 +0200
Julien Escario  wrote:
>| Jeudi dernier, j'ai bravement commencé à annoncer mon nouveau préfixe.
>| 
>| Je m'attendais à ce que la propagation se fasse en quelques heures et, à
>| priori, ce n'est toujours fait :
>| https://stat.ripe.net/45.146.212.0%2F22#tabId=at-a-glance
>| 
>| 64% de visibilité, ce n'est pas terrible.
>| 
>| J'ai raté un truc ou ça prend vraiment autant de temps que ça que tout
>| le monde mette à jour ces bases de préfixes, bogons et autres joyeusetés ?
>| 
>| Note : je n'ai prévenu personne (juste un RPKI propre), justement pour
>| voir comment ça se passait. Mes transitaires ont pris direct et à
>| priori, les IX aussi.

Chez nous, on reçoit le reçoit bien de presque partout: Liazo, Cogent, Hopus,
FranceIX, EquinixIX; manque Sfinx et LyonIX.

Sur https://stat.ripe.net/45.146.212.0%2F22#tabId=routing "Visibility
Location Details of 45.146.212.0/22", "Show peer details" tu as la liste des
peers qui ne le voient pas.

Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Conseils sur bilan de liaison F.O.

[David Oriot]

 Bonjour les FRnOGiens,

J'ai une question (de newbie) à propos de la mise en œuvre de fibres
optiques dans le monde des télécoms :

Dans le cadre de l'estimation d'un taux de disponibilité d'une liaison à
fibre optique (ici du 100G CWDM4), quelle marge utilise-t-on communément
pour le calcul du bilan de liaison ?

Perso, j'aurais une tendance à vouloir marger de 3dB en prenant tous les
worst-cases de la chaine... Est-ce peut être un peu overkill (ou pas ?)

Étant plus habitué aux liaisons RF, j'ai peu être tendance à vouloir
prendre un peu trop de marge ^^

Auriez-vous un avis éclairé (sans jeu de mots) là dessus s'il vous plait ?


Merci pour vos conseils avisés

David

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Alarig Le Lay]

On 16/09/2019 17:47, David Ponzone wrote:
> Et si tu annonces un préfixe que tu as pas mis dans la RipeDB ? :)


~ % whois -h filtergen.level3.net "RADB::AS-HURRICANE"
~ % whois -h filtergen.level3.net "RADB::AS-HURRICANEv6"

Pour les autres, j’ai jamais vraiment cherché.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Jean-Daniel Pauget]

bonjour,

pour les maj de filtres basés sur IRR, la frequence chez LyonIX/Rezopole
est tout les jours.

maintenant il arrive (de plus en plus frequement) que radb ne reponde pas
ou decide qu'un quota a ete atteint. il faut que nous creusions ce point.

de fait, parfois la maj n'est prise en compte qu'au passage suivant (24h 
plus tard).

on a un bouton manuel au besoin, ceci-dit, on l'utilise le plus souvent sur 
appel
téléphonique (c'est rare).

-- 
Jean-Daniel Pauget http://rezopole.net/
Rezopole/LyonIX+33 (0)4 27 46 00 50


On Mon, Sep 16, 2019 at 05:41:09PM +0200, Julien Escario wrote:
> Le 16/09/2019 à 17:27, Michel Py a écrit :
> >> Julien Escario a écrit :
> >> 64% de visibilité, ce n'est pas terrible.
> > 
> > C'est carrément lamentable. Il y a quelque chose qui va pas dans ta config, 
> > au pire en quelques minutes çà aurait du être visible.
> > Je ne vois pas ton préfixe dans ma DFZ, je fais donc partie des 36% de 
> > l'Internet qui ne savent pas que tu existes.
> 
> Si si t'inquiètes pas, je te balance de l'IPmerde avec d'autres préfixes.
> 
> > Et comme j'ai route 0.0.0.0 0.0.0.0 null 0, çà tombe au premier hop.
> > 
> > A part RPKI, les trucs genre IRR sont à jour aussi ?
> 
> Ca semble ouais :
> https://www.radb.net/query?keywords=45.146.212.0%2F22
> 
> Je viens même de me taper la délégation reverse.
> 
> Julien
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] nOS gratos pour ONIE/Trident2+

[Clément Gineste]

Bonjour à tous,

Vous connaissez des network OS pour switch bare metal avec ONIE qui
seraient gratos ? Supportant un Trident II+ BCM56854
Par exemple pour aller sur le FS N5850-48S6Q et éviter de claquer quelques
k€ en licence cumulus. https://www.fs.com/fr/products/69226.html

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[David Ponzone]

Et si tu annonces un préfixe que tu as pas mis dans la RipeDB ? :)


> Le 16 sept. 2019 à 17:43, Alarig Le Lay  a écrit :
> 
> On 16/09/2019 17:37, Hugues Voiturier wrote:
>> Cogent fait de l’IRR ? C’est nouveau ? Pour moi, c’était justement le
>> seul des “gros” à ne pas être capable de le gérer convenablement… 
> 
> Sisi, mes ranges de LIR et ceux que j’ai délégués sont passés chez eux
> alors que je n’ai jamais écrit à leur NOC à ce propos.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Julien Escario]

Le 16/09/2019 à 17:27, Michel Py a écrit :
>> Julien Escario a écrit :
>> 64% de visibilité, ce n'est pas terrible.
> 
> C'est carrément lamentable. Il y a quelque chose qui va pas dans ta config, 
> au pire en quelques minutes çà aurait du être visible.
> Je ne vois pas ton préfixe dans ma DFZ, je fais donc partie des 36% de 
> l'Internet qui ne savent pas que tu existes.

Si si t'inquiètes pas, je te balance de l'IPmerde avec d'autres préfixes.

> Et comme j'ai route 0.0.0.0 0.0.0.0 null 0, çà tombe au premier hop.
> 
> A part RPKI, les trucs genre IRR sont à jour aussi ?

Ca semble ouais :
https://www.radb.net/query?keywords=45.146.212.0%2F22

Je viens même de me taper la délégation reverse.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Alarig Le Lay]

On 16/09/2019 17:37, Hugues Voiturier wrote:
> Cogent fait de l’IRR ? C’est nouveau ? Pour moi, c’était justement le
> seul des “gros” à ne pas être capable de le gérer convenablement… 

Sisi, mes ranges de LIR et ceux que j’ai délégués sont passés chez eux
alors que je n’ai jamais écrit à leur NOC à ce propos.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SONiC

[Emmanuel DECAEN]

Bonjour,

Suite à la présentation sympa de CRITEO à FRNOG vendredi, j'ai décidé de
mettre SONiC sur un switch S4048 (Dell/Force10) pour le tester.

Comme toujours avec ONIE, le changement d'OS est très simple et se fait
en quelques minutes.
Par contre, la plate-forme n'est pas dans la Hardware Compatibility
List, et donc aucun port "front" n'est visible.

Avez-vous eu vent d'un portage (même partiel) pour cet équipement ?
https://github.com/Azure/SONiC/wiki/Porting-Guide

Merci.
-- *
Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Hugues Voiturier]

Cogent fait de l’IRR ? C’est nouveau ? Pour moi, c’était justement le seul des 
“gros” à ne pas être capable de le gérer convenablement… 


Hugues
AS57199 - AS50628

> On 16 Sep 2019, at 17:35, Alarig Le Lay  wrote:
> 
> On 16/09/2019 17:28, David Ponzone wrote:
>> Donc tu espérais que Liazo et Lasotel laissent passer sans les prévenir ?
>> Tu essaies de savoir s’ils valent mieux que Verizon ou pas ?
> 
> Level3, Telia et Cogent font ça très bien si tu as IRR/RPKI à jour, et
> pas en mode Verizon.
> 
> -- 
> Alarig
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Alarig Le Lay]

On 16/09/2019 17:28, David Ponzone wrote:
> Donc tu espérais que Liazo et Lasotel laissent passer sans les prévenir ?
> Tu essaies de savoir s’ils valent mieux que Verizon ou pas ?

Level3, Telia et Cogent font ça très bien si tu as IRR/RPKI à jour, et
pas en mode Verizon.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Julien Escario]

Le 16/09/2019 à 17:28, David Ponzone a écrit :
> Donc tu espérais que Liazo et Lasotel laissent passer sans les prévenir ?
> Tu essaies de savoir s’ils valent mieux que Verizon ou pas ?

Non, j’espérais qu'en 2019, tout le monde aurait bien fait sa config
bgpq3 et que ça passerait crème.

Merci pour les retours, lesson learned.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[David Ponzone]

Donc tu espérais que Liazo et Lasotel laissent passer sans les prévenir ?
Tu essaies de savoir s’ils valent mieux que Verizon ou pas ?

> Le 16 sept. 2019 à 17:09, Julien Escario  a écrit :
> 
> Bonjour,
> Jeudi dernier, j'ai bravement commencé à annoncer mon nouveau préfixe.
> 
> Je m'attendais à ce que la propagation se fasse en quelques heures et, à
> priori, ce n'est toujours fait :
> https://stat.ripe.net/45.146.212.0%2F22#tabId=at-a-glance
> 
> 64% de visibilité, ce n'est pas terrible.
> 
> J'ai raté un truc ou ça prend vraiment autant de temps que ça que tout
> le monde mette à jour ces bases de préfixes, bogons et autres joyeusetés ?
> 
> Note : je n'ai prévenu personne (juste un RPKI propre), justement pour
> voir comment ça se passait. Mes transitaires ont pris direct et à
> priori, les IX aussi.
> 
> Julien
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Michel Py]

> Julien Escario a écrit :
> 64% de visibilité, ce n'est pas terrible.

C'est carrément lamentable. Il y a quelque chose qui va pas dans ta config, au 
pire en quelques minutes çà aurait du être visible.
Je ne vois pas ton préfixe dans ma DFZ, je fais donc partie des 36% de 
l'Internet qui ne savent pas que tu existes.
Et comme j'ai route 0.0.0.0 0.0.0.0 null 0, çà tombe au premier hop.

A part RPKI, les trucs genre IRR sont à jour aussi ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Alarig Le Lay]

Hello,

> Note : je n'ai prévenu personne (juste un RPKI propre), justement pour
> voir comment ça se passait. Mes transitaires ont pris direct et à
> priori, les IX aussi.

La route a l’air d’être uniquement sur les IX :
http://lg.ring.nlnog.net/prefix_bgpmap/lg01/ipv4?q=45.146.212.0/22

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pour prolonger le début de vendredi

[Stephane Bortzmeyer]

On Mon, Sep 16, 2019 at 01:39:17PM +0200,
 Dominique Rousseau  wrote 
 a message of 37 lines which said:

> Sur un parc d'OS-esclaves y'a surement moyen d'automatiser le
> paramétrage (outils de politique de sécurité, déploiement auto,
> etc.),

Oui, si on est à ce niveau de kontroll, on déploie les postes à partir
d'un master où on a mis la Policy de l'entreprise. 

> ( et perso, c'est le premier truc auquel j'ai pensé quand j'ai vu les
> annonces du DoH par défaut dans les navigateurs : est ce qu'il y moyen
> de lui indiquer dans une option DHCP )

Pas d'option normalisée (et, comme j'ai dit, je n'y vois guère
d'intérêt).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Hugues Voiturier]

Hello, 

À mon avis, même si tes transits Tier-2 l’ont pris direct, les transits de tes 
transits ne gèrent pas tous IRR et demanderont une LOA à Lasotel et Ielo pour 
accepter les préfixes.

@+

Hugues

Hugues
AS57199 - AS50628

> On 16 Sep 2019, at 17:09, Julien Escario  wrote:
> 
> Bonjour,
> Jeudi dernier, j'ai bravement commencé à annoncer mon nouveau préfixe.
> 
> Je m'attendais à ce que la propagation se fasse en quelques heures et, à
> priori, ce n'est toujours fait :
> https://stat.ripe.net/45.146.212.0%2F22#tabId=at-a-glance
> 
> 64% de visibilité, ce n'est pas terrible.
> 
> J'ai raté un truc ou ça prend vraiment autant de temps que ça que tout
> le monde mette à jour ces bases de préfixes, bogons et autres joyeusetés ?
> 
> Note : je n'ai prévenu personne (juste un RPKI propre), justement pour
> voir comment ça se passait. Mes transitaires ont pris direct et à
> priori, les IX aussi.
> 
> Julien
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Combien de temps pour atteindre 100% de visibilité sur un nouveau préfixe ?

[Julien Escario]

Bonjour,
Jeudi dernier, j'ai bravement commencé à annoncer mon nouveau préfixe.

Je m'attendais à ce que la propagation se fasse en quelques heures et, à
priori, ce n'est toujours fait :
https://stat.ripe.net/45.146.212.0%2F22#tabId=at-a-glance

64% de visibilité, ce n'est pas terrible.

J'ai raté un truc ou ça prend vraiment autant de temps que ça que tout
le monde mette à jour ces bases de préfixes, bogons et autres joyeusetés ?

Note : je n'ai prévenu personne (juste un RPKI propre), justement pour
voir comment ça se passait. Mes transitaires ont pris direct et à
priori, les IX aussi.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [SPAM] [FRnOG] Re: [TECH] Pour prolonger le début de vendredi

[Kevin CHAILLY | Service Technique]

>>> Parce qu'on peut en dire ce que l'on veut, actuellement, il n'existe 
>>> aucun moyen de prévenir un OS client qu'il dispose d'un serveur 
>>> DoH/DoT utilisable sur le réseau de l'opé/l'entreprise.
>> 
>> Heureusement, car cela ne servirait à rien (ou plutôt à pas 
>> grand'chose).

Split horizon DNS est-il une meilleure solution que le NAT Hairpinning ? Vous 
avez quatre heures.

>Une utilisation que je vois à l'instant : se protéger contre un hack du CPE 
>qui permettrait d'y rajouter un DNS menteur ?
>Mais on en revient à la problématique de split horizon qui va probablement 
>faire que personne ne s'amusera à ça.

>J'anticipe simplement sur le moment au les gars de systemd-resolved vont 
>annoncer qu'ils utilisent le DoH de Google par défaut si aucun autre n'est 
>défini.

En fait la problématique existe déjà : 
/etc/systemd/resolved.conf
[Resolve]
#DNS=
#FallbackDNS=

Vide sur deb', pour les copains qui utilisent Arch Linux ( pour ceux qui 
conaissent pas, Arch Linux, c'est comme courir dans la forêt amazonienne a 
poil, si tu survis, t'es un vrai, et t'auras des histoires-de-coin-du-feu sur 7 
générations ) on trouve les informations suivantes dans la doc : *Note: The 
fallback DNS are in this order: Cloudflare, Quad9 (without filtering and 
without DNSSEC) and Google; see the systemd PKGBUILD where the servers are 
defined.*

>>> Et pour ceux qui sont encore dans le brouillard, je propose un débat 
>>> sur le support des résolveurs DoH dans vos CPE préférés type krotik, 
>>> Cisco, Netgear, whatelse. Ca devrait nous occuper un moment.
>> 
>> Un client DoH dans le CPE (s'il fait résolveur DNS), je vois 
>> l'intérêt, mais un serveur ? Ce n'est pas sur le réseau local qu'est 
>> l'adversaire.

>Je pensais effectivement à la partie client DNS du CPE. Dans tous les cas, le 
>CPE ne pourrait pas avoir de certificat TLS valide (ou alors ce sera un 
>calvaire à gérer).
+1 sur le calvaire du DNS en local. DoH demande forcément un certificat SSL 
valide, compliquant les déploiements en local. Microsoft en profitera sûrement 
pour Clouder les gens qui ont du DNS local.

>Mais l'idée de faire confiance à son résolveur local (maîtrisable) qui est lui 
>même capable de résoudre avec DoH me paraît une chose intéressante à 
>atteindre, en particulier si DNSSEC décolle.
>Mais comment donner l'adresse du serveur à ton CPE ? Il faut bien qu'il ai 
>(aussi) la possibilité de le récupérer de manière un minimum dynamique non ?

Obligatoire pour les admins utilisant AD, DNS doit être le Contrôleur de 
Domaine. 

>> PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets 
>> qu'il n'y a pas de logs, puisque je n'ai pas compris comment les activer.

> Et je suis censé te faire confiance ? Davantage qu'à Cloudflare ? ;-)

Au niveau éthique, Bortzflare est sans équivalent. C'est que du bio en paquet 
IP, de la RFC en agriculture raisonnée, bref, du travail fait avec amour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches

[jgourmel]

Bonjour,

Merci a tous pour vos reponses! En fait on est souvent sur des liens 
etherchannel + trunk. 

Je vais creuse un peu tout cela,

Merci

JEremy 

- Mail original -
De: "Philippe Bourcier" 
À: frnog-t...@frnog.org
Envoyé: Jeudi 12 Septembre 2019 12:40:38
Objet: Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 
switches

Re,

> Mais on parle de trunk, pas d'etherchannel. Quand je fais du trunk, c'est 
> pour transporter
> plusieurs VLANs, un tuyau plus gros ne va pas changer çà.

Oops! Autant pour moi :)
J'ai assumé qu'on parlait d'un problème que j'avais eu et confondu les termes : 
il faut remplacer trunk par etherchannel dans tout ce que je disais (du coup 
rien à voir avec les ports en mode trunk) :)
En fait dont je me rappelais c'est que quand on faisait du FTTD, on avait le 
problème de ne pas pouvoir authentifier les liens en Etherchannel (2 x nG).
Mais par contre on n'a jamais eut le moindre problème sur les trunks (sur lien 
unique) en fait... a priori la négo 802.1x précède l'échange de paquets, qu'ils 
soient taggés ou non... donc pas de raisons que ca pose des problèmes (on était 
avec des 2960 vers 3750 (old :))).

Et du coup, Jérome, on peut faire du NDAC sur un Etherchannel ?


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Pour prolonger le début de vendredi

[Dominique Rousseau]

Le Mon, Sep 16, 2019 at 11:44:18AM +0200, Stephane Bortzmeyer 
[bortzme...@nic.fr] a écrit:
> On Mon, Sep 16, 2019 at 11:11:26AM +0200,
>  Julien Escario  wrote 
>  a message of 63 lines which said:
> 
> > Pour ceux qui ont décuité, je soumets la lecture d'un draft IETF visant
> > à définir la déclaration d'un serveur DoH dans les réponses DHCP/RA :
> > https://datatracker.ietf.org/doc/draft-peterson-doh-dhcp/
> 
> C'est vraiment une idée bizarre. Si on utilise DoH, c'est parce qu'on
> ne fait pas confiance au réseau d'accès, son résolveur DNS et son
> serveur DHCP. Faire du DoH avec le résolveur d'un FAI qui a un
> résolveur DNS menteur n'a que guère d'intérêt.

Un exemple : une entreprise veut que ses utilisateurs utilise un DoH
(parceque confiance limitée dans le réseau du FAI, etc.), ne veut pas
que ce soit l'éditeur qui choisisse quel serveur DoH utiliser
(les-copains-de-Mozilla ou Google).
Sur un parc d'OS-esclaves y'a surement moyen d'automatiser le
paramétrage (outils de politique de sécurité, déploiement auto, etc.),
le serveur DHCP ou les annonces du RA sont une autre façon simple de
diffuser le paramétrage.
( et perso, c'est le premier truc auquel j'ai pensé quand j'ai vu les
annonces du DoH par défaut dans les navigateurs : est ce qu'il y moyen
de lui indiquer dans une option DHCP )


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pour prolonger le débat de vendredi

[Stephane Bortzmeyer]

On Mon, Sep 16, 2019 at 12:20:44PM +0200,
 Julien Escario  wrote 
 a message of 134 lines which said:

> > [Note politique : la vraie motivation des FAI qui proposent cela
> > est de prétendre « on a du DoH ».]
> 
> Ou de mutualiser les requêtes d'un grand nombre de clients sur un
> seul (ou un pool de) resolver DoH de façon à 'noyer' le trafic pour
> qu'il soit inexploitable en terme de vie privée ?

Et quel intérêt a DoH, dans ce cas, par rapport à DoT ou le classique
DNS-sur-UDP ?

(Par ailleurs, cet argument perd toute pertinence si le résolveur DNS
en question fait de l'ECS .)

> > > Parce qu'on peut en dire ce que l'on veut, actuellement, il
> > > n'existe aucun moyen de prévenir un OS client qu'il dispose d'un
> > > serveur DoH/DoT utilisable sur le réseau de l'opé/l'entreprise.
> > 
> > Heureusement, car cela ne servirait à rien (ou plutôt à pas
> > grand'chose).
> 
> Une utilisation que je vois à l'instant : se protéger contre un hack du
> CPE qui permettrait d'y rajouter un DNS menteur ?

Comme c'est en général le CPE qui fait serveur DHCP, je ne vois pas le
gain.

> J'anticipe simplement sur le moment au les gars de systemd-resolved
> vont annoncer qu'ils utilisent le DoH de Google par défaut si aucun
> autre n'est défini.

Déjà fait 

> Mais l'idée de faire confiance à son résolveur local (maîtrisable)
> qui est lui même capable de résoudre avec DoH me paraît une chose
> intéressante à atteindre, en particulier si DNSSEC décolle.

Oui, et c'est justement le but de Stubby
.

> Mais comment donner l'adresse du serveur à ton CPE ? Il faut bien qu'il
> ai (aussi) la possibilité de le récupérer de manière un minimum
> dynamique non ?

Non, justement non. Tout ce qui touche à la sécurité doit être défini
de manière statique. Exemple DNSSEC : on ne va pas récupérer la clé de
la racine en DHCP. Exemple ROA : on ne va pas récupérer les clés des
dépôts RPKI dynamiquement.

> Tout ça pour dire que la peinture sur tout ça n'est vraiment pas
> sèche

Mais si.

> > PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets
> > qu'il n'y a pas de logs, puisque je n'ai pas compris comment les
> > activer.
> 
> Et je suis censé te faire confiance ?

Justement, c'est pour cela qu'il faut beaucoup de résolveurs
DoH. Chacun choisit celui à qui il fait confiance. (Si on ne fait
confiance à personne, autant aller vivre sur une ile déserte.)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pour prolonger le début de vendredi

[Julien Escario]

Le 16/09/2019 à 11:44, Stephane Bortzmeyer a écrit :
> On Mon, Sep 16, 2019 at 11:11:26AM +0200,
>  Julien Escario  wrote 
>  a message of 63 lines which said:
> 
>> Pour ceux qui ont décuité, je soumets la lecture d'un draft IETF visant
>> à définir la déclaration d'un serveur DoH dans les réponses DHCP/RA :
>> https://datatracker.ietf.org/doc/draft-peterson-doh-dhcp/
> 
> C'est vraiment une idée bizarre. Si on utilise DoH, c'est parce qu'on
> ne fait pas confiance au réseau d'accès, son résolveur DNS et son
> serveur DHCP. Faire du DoH avec le résolveur d'un FAI qui a un
> résolveur DNS menteur n'a que guère d'intérêt.
> 
> [Note politique : la vraie motivation des FAI qui proposent cela est de
> prétendre « on a du DoH ».]

Ou de mutualiser les requêtes d'un grand nombre de clients sur un seul
(ou un pool de) resolver DoH de façon à 'noyer' le trafic pour qu'il
soit inexploitable en terme de vie privée ? (si on fait confiance à son
FAI, pas forcément grozop)

>> Parce qu'on peut en dire ce que l'on veut, actuellement, il n'existe
>> aucun moyen de prévenir un OS client qu'il dispose d'un serveur DoH/DoT
>> utilisable sur le réseau de l'opé/l'entreprise.
> 
> Heureusement, car cela ne servirait à rien (ou plutôt à pas
> grand'chose).

Une utilisation que je vois à l'instant : se protéger contre un hack du
CPE qui permettrait d'y rajouter un DNS menteur ?
Mais on en revient à la problématique de split horizon qui va
probablement faire que personne ne s'amusera à ça.

J'anticipe simplement sur le moment au les gars de systemd-resolved vont
annoncer qu'ils utilisent le DoH de Google par défaut si aucun autre
n'est défini.

>> Et pour ceux qui sont encore dans le brouillard, je propose un débat
>> sur le support des résolveurs DoH dans vos CPE préférés type krotik,
>> Cisco, Netgear, whatelse. Ca devrait nous occuper un moment.
> 
> Un client DoH dans le CPE (s'il fait résolveur DNS), je vois
> l'intérêt, mais un serveur ? Ce n'est pas sur le réseau local qu'est 
> l'adversaire.

Je pensais effectivement à la partie client DNS du CPE. Dans tous les
cas, le CPE ne pourrait pas avoir de certificat TLS valide (ou alors ce
sera un calvaire à gérer).

Mais l'idée de faire confiance à son résolveur local (maîtrisable) qui
est lui même capable de résoudre avec DoH me paraît une chose
intéressante à atteindre, en particulier si DNSSEC décolle.
Mais comment donner l'adresse du serveur à ton CPE ? Il faut bien qu'il
ai (aussi) la possibilité de le récupérer de manière un minimum
dynamique non ?

>> Tout ça pour dire que si on veut faire barrière à des choix douteux de
>> browsers, il faut peut être se bouger pour proposer une alternative.
> 
> L'alternative, ce sont des serveurs DoH gérés par des associations,
> des syndicats, des ONG, des individus, etc.

Et sur le même modèle que les root servers, c'est has-been ? *Pick one*

Tout ça pour dire que la peinture sur tout ça n'est vraiment pas sèche
et qu'un peu de retenue de la part des browsers serait la bienvenue.

> PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets
> qu'il n'y a pas de logs, puisque je n'ai pas compris comment les activer.

Et je suis censé te faire confiance ? Davantage qu'à Cloudflare ? ;-)

Julien



signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [TECH] Pour prolonger le début de vendredi

[Stephane Bortzmeyer]

On Mon, Sep 16, 2019 at 11:11:26AM +0200,
 Julien Escario  wrote 
 a message of 63 lines which said:

> Pour ceux qui ont décuité, je soumets la lecture d'un draft IETF visant
> à définir la déclaration d'un serveur DoH dans les réponses DHCP/RA :
> https://datatracker.ietf.org/doc/draft-peterson-doh-dhcp/

C'est vraiment une idée bizarre. Si on utilise DoH, c'est parce qu'on
ne fait pas confiance au réseau d'accès, son résolveur DNS et son
serveur DHCP. Faire du DoH avec le résolveur d'un FAI qui a un
résolveur DNS menteur n'a que guère d'intérêt.

[Note politique : la vraie motivation des FAI qui proposent cela est de
prétendre « on a du DoH ».]
 
> Parce qu'on peut en dire ce que l'on veut, actuellement, il n'existe
> aucun moyen de prévenir un OS client qu'il dispose d'un serveur DoH/DoT
> utilisable sur le réseau de l'opé/l'entreprise.

Heureusement, car cela ne servirait à rien (ou plutôt à pas
grand'chose).

> Et pour ceux qui sont encore dans le brouillard, je propose un débat
> sur le support des résolveurs DoH dans vos CPE préférés type krotik,
> Cisco, Netgear, whatelse. Ca devrait nous occuper un moment.

Un client DoH dans le CPE (s'il fait résolveur DNS), je vois
l'intérêt, mais un serveur ? Ce n'est pas sur le réseau local qu'est 
l'adversaire.

> Tout ça pour dire que si on veut faire barrière à des choix douteux de
> browsers, il faut peut être se bouger pour proposer une alternative.

L'alternative, ce sont des serveurs DoH gérés par des associations,
des syndicats, des ONG, des individus, etc.

PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets
qu'il n'y a pas de logs, puisque je n'ai pas compris comment les activer.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Pour prolonger le début de vendredi

[Julien Escario]

Bonjour la liste,
Pour ceux qui ont décuité, je soumets la lecture d'un draft IETF visant
à définir la déclaration d'un serveur DoH dans les réponses DHCP/RA :
https://datatracker.ietf.org/doc/draft-peterson-doh-dhcp/

Parce qu'on peut en dire ce que l'on veut, actuellement, il n'existe
aucun moyen de prévenir un OS client qu'il dispose d'un serveur DoH/DoT
utilisable sur le réseau de l'opé/l'entreprise.

Et pour ceux qui sont encore dans le brouillard, je propose un débat sur
le support des résolveurs DoH dans vos CPE préférés type krotik, Cisco,
Netgear, whatelse. Ca devrait nous occuper un moment.

Tout ça pour dire que si on veut faire barrière à des choix douteux de
browsers, il faut peut être se bouger pour proposer une alternative.

Julien, qui part monter son résolveur DoT & DoH publique



signature.asc
Description: OpenPGP digital signature