[FRnOG] [MISC] DoD pourrait être forcé de vendre 13x /8

[Michel Py]

Joyeux trolldi !

Une proposition de loi (qui a échoué) aurait pu forcer DoD de vendre (!) 13 de 
leurs Class A legacy.

> IPv6 strategy made it into NDAA 2020, requiring DOD to sell 13 x /8s   (1) IN 
> GENERAL.
> -Not later than 10 years after the date of the enactment of this Act, the 
> Secretary of
> Defense shall sell all of the IPv4 addresses described in subsection (b) at 
> fair market value."

> Disposal of IPv4 addresses
> The House amendment contained a provision (sec. 1088) that would require the 
> Department of Defense
> to sell several blocks of internet protocol version 4 addresses over a period 
> of ten years.
> The Senate bill contained no similar provision. The House recedes.

Je sais pas qui c'est qui a imaginé ce truc, mais çà ne plait à personne :
Ni aux bigotes d'IPv6 qui y voient encore un autre obstacle à l'adoption,
Ni aux bigotes d'IPv4 qui se trouvent très bien dans le status-quo,
Ni aux opérateurs qui ont squatté sans vergogne les préfixes non-annoncés du 
DoD,
Ni aux brokers qui verraient le marcher s'effondrer.

Comme vous pouvez le constater, la connerie des politiciens est une constante 
universelle, en France comme ici. Incommensurable.

> puts pi ;
3.14159265359

> puts connerie ;
%ERROR:out of range

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Problème MTU sur Nexus 3064Pq

[Michel Py]

> Jérôme BERTHIER a écrit :
> Certains supportent un MTU par port et la majorité nécessite une 
> application Network QOS (et ne change pas le MTU renvoyé par l'interface)

Le MTU renvoyé par l'interface, il est applicable dans quel cas ?
Est-ce que çà ne serait pas plus glop de le supprimer au lieu de la confusion ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Alarig Le Lay]

On jeu. 19 déc. 20:27:49 2019, Michel Py wrote:
> > Fabien H a écrit :
> > announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
> 
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)

Ni l’un ni l’autre, la commu standard pour le BH c’est 65535:666

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

C'est OK pour la communauté et le no-export addditive.

Oui du coup, j'ai enlevé le set ip next-hop pour que réellement le next hop
soit celui envoyé par exaBGP 10.10.2.41

Et ensuite je rajoute sur le CISCO une route statique 10.10.2.41/32 vers
Null0 (qui est plus spécifique que le réseau directly connected 10.10.2.0/24
)

Merci encore




Le jeu. 19 déc. 2019 à 22:05, Michel Py 
a écrit :

> > Fabien H
> > exaBGP
> > announce route A.B.C.D/32 next-hop 10.10.2.41
>
> Mets une communauté 65000:666
>
> > route-map ANTIDDOS_IN permit 10
> >  no set ip next-hop 192.0.2.1
>
> "no" ?
>
> match community 65000:666
> SET COMMUNITY NO-EXPORT ADDITIVE
>
> Tant que tu n'es pas près à annoncer ce préfixe à tes transitaires avec la
> bonne communauté, il faut qu'il soit en no-export.
> Les fuitages de BGP, çà commence toujours avec quelqu'un qui a oublié
> no-export
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

> Fabien H
> exaBGP
> announce route A.B.C.D/32 next-hop 10.10.2.41

Mets une communauté 65000:666

> route-map ANTIDDOS_IN permit 10
>  no set ip next-hop 192.0.2.1

"no" ?

match community 65000:666
SET COMMUNITY NO-EXPORT ADDITIVE

Tant que tu n'es pas près à annoncer ce préfixe à tes transitaires avec la 
bonne communauté, il faut qu'il soit en no-export.
Les fuitages de BGP, çà commence toujours avec quelqu'un qui a oublié no-export


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

#show ip route 192.0.2.1
Routing entry for 192.0.2.1/32
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp ASN
  Routing Descriptor Blocks:
  * directly connected, via Null0
  Route metric is 0, traffic share count is 1



Bon finalement je pense que cette fois c'est bon !

exaBGP

announce route A.B.C.D/32 next-hop 10.10.2.41

CISCO

ip route 10.10.2.41 255.255.255.255 Null0 name ANTIDDOS_BLACKHOLE

route-map ANTIDDOS_IN permit 10
 no set ip next-hop 192.0.2.1


Ce qui donne :

show ip route A.B.C.D/32

Routing entry for A.B.C.D/32
  Known via "bgp ASN", distance 20, metric 0
  Tag 65000, type external
  Last update from 10.10.2.41 00:03:15 ago
  Routing Descriptor Blocks:
  * 10.10.2.41, from 10.10.2.40, 00:03:15 ago
  Route metric is 0, traffic share count is 1
  AS Hops 1
  Route tag 65000

show ip route 10.10.2.41

Routing entry for 10.10.2.41/32
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp ASN
  Routing Descriptor Blocks:
  * directly connected, via Null0
  Route metric is 0, traffic share count is 1


Merci beaucoup pour ton aide et celles des autres juste avant !

Bonne fin de journée / soirée

Fabien

Le jeu. 19 déc. 2019 à 21:45, Michel Py 
a écrit :

> > A noter que j'ai encore un problème : La route BGP ci-dessous
> > ne s'installe pas car 192.0.2.1 est inaccessible à priori
>
> sh ip route 192.0.2.1 ?
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

> A noter que j'ai encore un problème : La route BGP ci-dessous
> ne s'installe pas car 192.0.2.1 est inaccessible à priori

sh ip route 192.0.2.1 ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

C'est noté merci pour les conseils.

A noter que j'ai encore un problème : La route BGP ci-dessous ne s'installe
pas car 192.0.2.1 est inaccessible à priori

#show ip bgp A.B.C.D/32
BGP routing table entry for  A.B.C.D /32, version 0
Paths: (1 available, no best path)
  Not advertised to any peer
  65000
192.0.2.1 (inaccessible) from 10.10.2.40 (10.10.2.40)
  Origin IGP, localpref 100, valid, external
  Community: 65532:666 no-export

# show ip bgp A.B.C.D/32

n'affiche ni 192.0.2.1, ni Null 0  :-(



sh ip route 0.0.0.0 m'indique l'IP d'un de mes transitaires qui m'envoie la
route par défaut



Le jeu. 19 déc. 2019 à 21:27, Michel Py 
a écrit :

> > Fabien H a écrit :
> > announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)
>
> Ne pas oublier :
>
> interface null 0
>  no ip unreachables
>
> > Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
> > puis cherche la route 192.0.2.1 vers Null 0 ?
>
> Non, c'est la bonne manière.
>
> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>
> Prochaine étape : uRPF sur l'interface externe.
>
> Michel.
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

> Fabien H a écrit :
> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666

Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
A éviter aussi : 65332 (team Cymru)

Ne pas oublier :

interface null 0
 no ip unreachables

> Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
> puis cherche la route 192.0.2.1 vers Null 0 ?

Non, c'est la bonne manière.

Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?

Prochaine étape : uRPF sur l'interface externe.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

Ca y'est j'ai réussi :-)

J'ai juste annoncé avec un next hop qui est directly connected au routeur
CISCO mais pas sur le routeur CISCO et la route s'est bien installée :

exaBGP

announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666

CISCO

#show ip bgp A.B.C.D/32
BGP routing table entry for  A.B.C.D /32, version 0
Paths: (1 available, no best path)
  Not advertised to any peer
  65000
192.0.2.1 (inaccessible) from 10.10.2.40 (10.10.2.40)
  Origin IGP, localpref 100, valid, external
  Community: 65532:666 no-export

#show ip route 192.0.2.1
Routing entry for 192.0.2.1/32
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp 60718
  Routing Descriptor Blocks:
  * directly connected, via Null0
  Route metric is 0, traffic share count is 1


Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
puis cherche la route 192.0.2.1 vers Null 0 ?

Merci

Le jeu. 19 déc. 2019 à 21:10, Fabien H  a écrit :

> % Network not in table
>
> La route n'est pas installée..
>
>
>
> Le jeu. 19 déc. 2019 à 21:08, Michel Py <
> mic...@arneill-py.sacramento.ca.us> a écrit :
>
>> Si tu fais sh ip bgp x.x.x.x/32 (l'addresse que tu bloques) tu as quoi ?
>>
>>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

route-map ANTIDDOS_IN permit 10
 match ip address prefix-list ANTIDDOS_IN

Cà c'est pas glop : route-map et prefix-list avec le même nom.
Enlèves : match ip address prefix-list ANTIDDOS_IN

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

% Network not in table

La route n'est pas installée..



Le jeu. 19 déc. 2019 à 21:08, Michel Py 
a écrit :

> Si tu fais sh ip bgp x.x.x.x/32 (l'addresse que tu bloques) tu as quoi ?
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

Si tu fais sh ip bgp x.x.x.x/32 (l'addresse que tu bloques) tu as quoi ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

Cisco IOS Software, 7301 Software (C7301-ADVIPSERVICESK9-M), Version
12.4(24)T1, RELEASE SOFTWARE (fc3)

show ip bgp neighbors 10.10.2.40

10.10.2.40 = IP de la VM exaBGP

Le jeu. 19 déc. 2019 à 20:59, Michel Py 
a écrit :

> > Fabien H a écrit :
> > @Michel,
> > J'obtiens toujours l'erreur NEXT_HOP non-local  sur le neighbor sur le
> CISCO :-(
> >  OutboundInbound
> > Local Policy Denied Prefixes:---
> >   route-map:   797007  0
> >   NEXT_HOP non-local: n/a  1
> >   Total:   797007  1
>
> Quel routeur, quelle version d'IOS, quelle est la commande que tu tapes
> pour obtenir ce qui est au-dessus ?
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

> Fabien H a écrit :
> @Michel,
> J'obtiens toujours l'erreur NEXT_HOP non-local  sur le neighbor sur le CISCO 
> :-(
>  OutboundInbound
> Local Policy Denied Prefixes:---
>   route-map:   797007  0
>   NEXT_HOP non-local: n/a  1
>   Total:   797007  1

Quel routeur, quelle version d'IOS, quelle est la commande que tu tapes  pour 
obtenir ce qui est au-dessus ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Guillaume Genty (Waycom)]

Dans ce cas il faut mieux le faire comme une route:

ip route 192.0.2.1 255.255.255.255 Null0

Et ce que tu cherche à faire a un nom: le RTBH
("Remotely-Triggered Black Hole")

Et je te conseille ce super article sur le sujet:
https://packetlife.net/blog/2009/jul/6/remotely-triggered-black-hole-rtbh-routing/

Cdlt,

Guillaume

--
Guillaume Genty | WAYCOM
Directeur Innovation et Expertise
1 quai Marcel Dassault | 92150 Suresnes, FRANCE
T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22
gge...@waycom.net | www.waycom.net

Le 19/12/2019 à 19:37, Paul Rolland (ポール・ロラン) a écrit :

Hello,

On Thu, 19 Dec 2019 19:33:31 +0100
Fabien H  wrote:


@Paul : A mon avis, la condition c'est une route directly Connected

Truc a la con :
interface loopback 192021
   ip addr 192.0.2.1 255.255.255.255

Et tu routes vers cette adresse

Possible que ca ne charge pas trop le CPU sur un routeur recent...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

@Michel,

j'ai donc testé comme ceci comme dans CBBC :

...
 neighbor 10.10.2.40 route-map ANTIDDOS_IN in
...
...
route-map ANTIDDOS_IN permit 10
 match ip address prefix-list ANTIDDOS_IN
 set community no-export additive
 set ip next-hop 192.0.2.1
!
...
ip route 192.0.2.1 255.255.255.255 Null0 name ANTI_DDOS_BLACKHOLE

Malgré tout quand je pousse ma route depuis exaBGP :

announce route A.B.C.D/32 next-hop 192.0.2.1

J'obtiens toujours l'erreur NEXT_HOP non-local  sur le neighbor sur le
CISCO :-(


   OutboundInbound
  Local Policy Denied Prefixes:---
route-map:   797007  0
NEXT_HOP non-local: n/a  1
Total:   797007  1



Une idée ?
Merci


Le jeu. 19 déc. 2019 à 19:26, Michel Py 
a écrit :

> >> Fabien H a écrit :
> >> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> envoyer autorise
> >> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32
> next-hop 
>
> C'est tout a fait adapté, c'est ce que je fais.
>
> > David Ponzone a écrit :
> > Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur
> le Cisco vers Null0.
>
> Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1
>
> Fabien, regarde l'exemple ici :
> http://arneill-py.sacramento.ca.us/cbbc/
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

> Paul Rolland a écrit :
> Ou alors Cisco fait un cas particulier quand la resolution finale est un 
> Null0 ???

C'est le cas en effet.

> Truc a la con :
> interface loopback 192021
> ip addr 192.0.2.1 255.255.255.255
> Et tu routes vers cette adresse
> Possible que ca ne charge pas trop le CPU sur un routeur recent...

Avec Cisco vaut mieux installer une route vers null0, c'est traité par CEF/dCEF 
possiblement assisté hardware.

Fabien, tu devrais aussi implémenter uRPF; çà n'empêche pas le trafic d'arriver 
chez toi, mais çà le dégage dès l'interface entrante.

Après, il faut travailler avec ton upstream pour bloquer avant que çà arrive 
chez toi. La même route que tu injectes dans ton routeur, il faut essayer de la 
propager à ton transit avec la communauté qui va bien.

http://arneill-py.sacramento.ca.us/cbbc/
https://www.team-cymru.com/bgp-examples.html#cisco-full-v4trans

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Paul Rolland (ポール・ロラン)]

Hello,

On Thu, 19 Dec 2019 19:33:31 +0100
Fabien H  wrote:

> @Paul : A mon avis, la condition c'est une route directly Connected

Truc a la con :
interface loopback 192021
  ip addr 192.0.2.1 255.255.255.255

Et tu routes vers cette adresse

Possible que ca ne charge pas trop le CPU sur un routeur recent...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

Super
un grand merci à la communauté pour les réponses !!

@Michel : J'avais pas pensé au route-map qui change le next-hop je vais
tester rapidement..

@Paul : A mon avis, la condition c'est une route directly Connected

@Alexis : Même principe que Michel : route-map mais pour changer
l'interface, je vais tester aussi

Vous me sauvez ma soirée :-)

Le jeu. 19 déc. 2019 à 19:26, Michel Py 
a écrit :

> >> Fabien H a écrit :
> >> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> envoyer autorise
> >> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32
> next-hop 
>
> C'est tout a fait adapté, c'est ce que je fais.
>
> > David Ponzone a écrit :
> > Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur
> le Cisco vers Null0.
>
> Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1
>
> Fabien, regarde l'exemple ici :
> http://arneill-py.sacramento.ca.us/cbbc/
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Alexis Lameire]

Tu as 2 solutions pour moi,
Si tu as du matos récent, je pense que bgp flowspec est là voie à emprunter

Sinon, je passerais une route avec une communauté (genre 65000:666) et
faire une route map qui set l'interface a null0 en matchant la
communauté

Cordialement

Le jeu. 19 déc. 2019 à 19:26, Michel Py
 a écrit :
>
> >> Fabien H a écrit :
> >> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à 
> >> envoyer autorise
> >> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32 next-hop 
> >> 
>
> C'est tout a fait adapté, c'est ce que je fais.
>
> > David Ponzone a écrit :
> > Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le 
> > Cisco vers Null0.
>
> Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1
>
> Fabien, regarde l'exemple ici :
> http://arneill-py.sacramento.ca.us/cbbc/
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Paul Rolland (ポール・ロラン)]

Hello,

On Thu, 19 Dec 2019 19:20:55 +0100
Fabien H  wrote:

> Alors je n'avais pas essayé ça parce que ma route est refusée par le
> routeur CISCO si le next hop n'existe pas sur le routeur CISCO (erreur
> NEXT_HOP non-local)
> 
> J'ai essayé malgré tout de créer une route vers Null0 sur le CISCO pour le
> Next Hop mais pas mieux
> 
>  Local Policy Denied Prefixes:---
> route-map:   827333  0
> NEXT_HOP non-local: n/a  2

Bizarre, normalement, la contrainte, c'est que le next-hop doit etre
joignable, point. Comment ca se passe quand tu as des sessions iBGP avec un
next-hop qui est sur le voisin ? Tu un une route qui rend ca joignable... 

Ou alors Cisco fait un cas particulier quand la resolution finale est un
Null0 ???

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Michel Py]

>> Fabien H a écrit :
>> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à 
>> envoyer autorise
>> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32 next-hop 

C'est tout a fait adapté, c'est ce que je fais.

> David Ponzone a écrit :
> Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le 
> Cisco vers Null0.

Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1 

Fabien, regarde l'exemple ici :
http://arneill-py.sacramento.ca.us/cbbc/

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

 Bonsoir David,

comme d'habitude, réponse plus vite que l'éclair !

Alors je n'avais pas essayé ça parce que ma route est refusée par le
routeur CISCO si le next hop n'existe pas sur le routeur CISCO (erreur
NEXT_HOP non-local)

J'ai essayé malgré tout de créer une route vers Null0 sur le CISCO pour le
Next Hop mais pas mieux

 Local Policy Denied Prefixes:---
route-map:   827333  0
NEXT_HOP non-local: n/a  2


Merci

Le jeu. 19 déc. 2019 à 19:12, David Ponzone  a
écrit :

> Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le
> Cisco vers Null0.
>
> David Ponzone
>
>
>
> > Le 19 déc. 2019 à 19:09, Fabien H  a écrit :
> >
> > Bonsoir,
> >
> > Le titre résume ce que j'ai besoin de faire :
> >
> > Pendant une attaque DDOS vers une seule IP, selon l'intensité de
> l'attaque
> > il est parfois difficile d'attaquer un routeur de bordure en telnet pour
> y
> > insérer une route Null 0
> >
> > J'aimerai donc injecter via  une session BGP une route Null0 sur nos
> > routeurs de bordure.
> >
> > J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> > envoyer autorise uniquement un next-hop de type IP ! : announce route
> > X.Y.Z.A/32 next-hop 
> >
> > Bird, je ne trouve pas d'exemple parlant pour envoyer une route Null 0.
> > Avez-vous déjà fait ça avec un démon BGP sous Linux ?
> >
> > Merci,
> > Cordialement,
> >
> > Fabien
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[David Ponzone]

Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le 
Cisco vers Null0.

David Ponzone



> Le 19 déc. 2019 à 19:09, Fabien H  a écrit :
> 
> Bonsoir,
> 
> Le titre résume ce que j'ai besoin de faire :
> 
> Pendant une attaque DDOS vers une seule IP, selon l'intensité de l'attaque
> il est parfois difficile d'attaquer un routeur de bordure en telnet pour y
> insérer une route Null 0
> 
> J'aimerai donc injecter via  une session BGP une route Null0 sur nos
> routeurs de bordure.
> 
> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> envoyer autorise uniquement un next-hop de type IP ! : announce route
> X.Y.Z.A/32 next-hop 
> 
> Bird, je ne trouve pas d'exemple parlant pour envoyer une route Null 0.
> Avez-vous déjà fait ça avec un démon BGP sous Linux ?
> 
> Merci,
> Cordialement,
> 
> Fabien
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

[Fabien H]

Bonsoir,

Le titre résume ce que j'ai besoin de faire :

Pendant une attaque DDOS vers une seule IP, selon l'intensité de l'attaque
il est parfois difficile d'attaquer un routeur de bordure en telnet pour y
insérer une route Null 0

J'aimerai donc injecter via  une session BGP une route Null0 sur nos
routeurs de bordure.

J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
envoyer autorise uniquement un next-hop de type IP ! : announce route
X.Y.Z.A/32 next-hop 

Bird, je ne trouve pas d'exemple parlant pour envoyer une route Null 0.
Avez-vous déjà fait ça avec un démon BGP sous Linux ?

Merci,
Cordialement,

Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mini-Mini-DSLAM EFM

[professor geek]

Cisco LRE du type 2950ST-24-LRE ?
il en existe toujours sur des refurbs il me semble.
J’ai utilisé ca pour fournir du 15mb à des equipements sur des CAT3 de plus
de 100m.
Je me souviens plus des CPE utilisé a l'epoque

On 19 December 2019 at 18:16:54, Jérôme Nicolle (jer...@ceriz.fr) wrote:

Salut David,

Le 18/12/2019 à 12:32, David Ponzone a écrit :
> Sinon, j’ai bien trouvé un Patton et un CRX, mais ça va cogner en
> prix. Et chez Zyxel, y a rien de tout petit pour faire du G.SHDSL.

T'as besoin de quelle distance ? Quel débit ? Tu as la main sur les deux
extrémités ?

> Qqun connait un CPE qui peut se mettre en CO ? J’ai peur que ça soit
> la seule solution économiquement viable.

J'ai utilisé du Zyxel en G.SHDSL il y a plus de 10 ans, puis est sorti
le VDSL, et là un Planet VC-231 réglait déjà plein de problèmes d'un
coup. Voir https://planet.com.tw/en/product/vc-231

Sur un bâtiment où il n'y avait pas le budget pour tirer du Cat-5, j'ai
aussi utilisé un ptit switch 8 ports
(https://planet.com.tw/en/product/vc-820m), fort sympathique à l'usage.

Depuis il existe aussi des variantes G.Fast chez certains constructeurs,
mais plutôt sur des équipements industriels / outdoor pour du 1 à 8 ports.

@+

-- 
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mini-Mini-DSLAM EFM

[Jérôme Nicolle]

Salut David,

Le 18/12/2019 à 12:32, David Ponzone a écrit :
> Sinon, j’ai bien trouvé un Patton et un CRX, mais ça va cogner en
> prix. Et chez Zyxel, y a rien de tout petit pour faire du G.SHDSL.

T'as besoin de quelle distance ? Quel débit ? Tu as la main sur les deux
extrémités ?

> Qqun connait un CPE qui peut se mettre en CO ? J’ai peur que ça soit
> la seule solution économiquement viable.

J'ai utilisé du Zyxel en G.SHDSL il y a plus de 10 ans, puis est sorti
le VDSL, et là un Planet VC-231 réglait déjà plein de problèmes d'un
coup. Voir https://planet.com.tw/en/product/vc-231

Sur un bâtiment où il n'y avait pas le budget pour tirer du Cat-5, j'ai
aussi utilisé un ptit switch 8 ports
(https://planet.com.tw/en/product/vc-820m), fort sympathique à l'usage.

Depuis il existe aussi des variantes G.Fast chez certains constructeurs,
mais plutôt sur des équipements industriels / outdoor pour du 1 à 8 ports.

@+

-- 
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche testeur fibre > 10Go

[Benoît]

Bonjour Christian,

https://www.viavisolutions.com

Je peux vous mettre en relation avec les bonnes personnes si vous le 
souhaitez.



On Thu, Dec 19, 2019 at 04:15:24PM +0100, Christian Rolland wrote:

Bonjour,

Nous sommes à la recherche d'un mouton à cinq pattes, du style One 
Touch Netscout, qui puisse tester au delà du 10 G : 25G, 40G, 100G (et 
pourquoi pas 400G) mais qui ne soit pas un générateur de paquets.


L'idéal serait :

1) de pouvoir utiliser nos QSFP+/QSFP28

2) pouvoir monter dans les couches réseau

Le but : mettre le testeur à la place d'un device utilisateur sur 
notre infra.


Merci d'avance,

Christian ROLLAND
--
Christian ROLLANDESRF
Network AdministratorEuropean Synchrotron Radiation Facility
Phone : +33 (0)476 88 20 69  71 avenue des Martyrs
Email : roll...@esrf.eu  38000 GRENOBLE - FRANCE



---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Benoit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Recherche testeur fibre > 10Go

[Christian Rolland]

Bonjour,

Nous sommes à la recherche d'un mouton à cinq pattes, du style One Touch 
Netscout, qui puisse tester au delà du 10 G : 25G, 40G, 100G (et 
pourquoi pas 400G) mais qui ne soit pas un générateur de paquets.


L'idéal serait :

1) de pouvoir utiliser nos QSFP+/QSFP28

2) pouvoir monter dans les couches réseau

Le but : mettre le testeur à la place d'un device utilisateur sur notre 
infra.


Merci d'avance,

Christian ROLLAND
--
Christian ROLLANDESRF
Network AdministratorEuropean Synchrotron Radiation Facility
Phone : +33 (0)476 88 20 69  71 avenue des Martyrs
Email : roll...@esrf.eu  38000 GRENOBLE - FRANCE



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Datacenter sur Annecy ?

[Pierre-Loïc Carette - ALPESYS]

DRP74 est mort. Rip 😜
Les réseaux fibres ont été revendus à différents endroits où ils étaient liés.
Les DC sont maintenus et sont la propriétés d'investisseurs privés et 
entretenus par modulo, leur constructeur qui continue l'implantation.
Ces DC sont très bien sur rack ou 1/3 de rack, pratiques et locaux.

Nous proposons des liaisons inter DC sur tous ces sites sur les dép 73, 74 et 
38 + 2 petits DC privés en dur.
Longhaul aussi dispo vers Lyon, Grenoble et Genève via différents tracés.


Pierre-Loïc Carette




De : frnog-requ...@frnog.org  de la part de Guillaume 
Barrot 
Envoyé : jeudi 19 décembre 2019 à 09:48
À : Rod Beck
Cc : David Ponzone; Lucas Viallon; frnog-misc
Objet : Re: [FRnOG] [MISC] Datacenter sur Annecy ?

C'est surtout, 2 containeurs de 6 racks, donc 12 racks en tout, sur 70m².
Après y a clim, groupe électrogène, etc.

Par contre, attention, aucun lien avec DRP74, c'est une initiative privée.

Le jeu. 19 déc. 2019 à 07:37, Rod Beck  a
écrit :

> 70 mètres carrés environ? C'est un peu petit 
>
> Regards,
>
> Roderick.
>
> 
> From: frnog-requ...@frnog.org  on behalf of
> David Ponzone 
> Sent: Wednesday, December 18, 2019 12:21 PM
> To: Lucas Viallon 
> Cc: frnog-misc 
> Subject: Re: [FRnOG] [MISC] Datacenter sur Annecy ?
>
> Tu parles de ça ?
>
>
> https://groupe-ecomedia.com/numerique-un-centre-de-donnees-de-proximite-a-annecy-le-vieux/
>
> Leur site était drp74.org je crois, y a plus rien.
>
> La page Linkedin d’un des fondateurs dit clairement qu’il a quitté en
> Avril:
> https://www.linkedin.com/in/sergeneuman/?originalSubdomain=fr
>
> Donc je crois que c’est mort.
>
> > Le 18 déc. 2019 à 12:06, Lucas Viallon  a
> écrit :
> >
> > Bonjour,
> >
> > Quelqu'un connaîtrait un Datacenter sur Annecy/Annecy le vieux autre
> qu'une
> > salle de tutor/covage ?
> >
> > Il me semble qu'il y a une solution sous Modulo mais impossible de
> trouver
> > sur google, il est bien caché
> >
> > merci
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


--
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problème MTU sur Nexus 3064Pq

[Jérôme BERTHIER]

Le 13/12/2019 à 22:45, Jeremy a écrit :
Sur cette liaison, la MTU doit être à 9216 octets. J'ai pu l'appliquer 
sur tous les switchs sauf celui de Marly qui refuse toujours 
d'appliquer la Qos.


En conf, j'ai appliqué ces commandes :
policy-map type network-qos jumbo
  class type network-qos class-default
    mtu 9216
system qos
  service-policy type network-qos jumbo

Sans effet sur les ports.
J'ai donc appliqué une autre méthode glané sur le net, qui consiste à 
enlever le Trunk du port, passer un "no switchport", puis un "mtu 
9216" puis repasser le port en mode Trunk. Ca a fonctionné sur celui 
de Valenciennes qui était récalcitrant aussi. L'interface devrait me 
dire ça (sur le switch de Valenciennes) :


Bonjour,

En fait, ça dépend du modèle Nexus.

Certains supportent un MTU par port et la majorité nécessite une 
application Network QOS (et ne change pas le MTU renvoyé par l'interface) :


https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/118994-config-nexus-00.html#anc8

Je pense que ça explique pourquoi une partie de tes switchs affiche 
correctement le MTU modifié.


Pas de besoin de reload (heureusement).

Exemple sur un 5500 en prod sous NX-OS 7.3 :

sw1# sh int Eth1/1 | i MTU
  MTU 1500 bytes,  BW 1000 Kbit, DLY 10 usec

sw1# sh queuing int Eth1/1 | i MTU
    q-size: 469760, q-size-40g: 0, HW MTU: 9216 (9216 configured)

=> le MTU défini par Network QOS est bien appliqué

Bonne journée

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Mini-Mini-DSLAM EFM

[Kevin CHAILLY | Service Technique]

Bonjour David,

Technicolor TG670s est compatible CO,

Je peux chercher pour retrouver la methode si tu es interessé, 
Je peux aussi t'en fournir une certaine quantité.


Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de David 
Ponzone
Envoyé : mercredi 18 décembre 2019 12:33
À : frnog-tech 
Objet : [FRnOG] [TECH] Mini-Mini-DSLAM EFM

Bonjour,

Je cherche un équipement permettant de jouer le rôle d'un tout-petit (et pas 
cher) DSLAM G.SHDSLbis PTM sur 4 paires.
Une possibilité serait de mettre un CPE en mode CO (je crois me rappeler que 
c’était possible en ATM sur certains Cisco888 mais pas de trace de ça en PTM).
Sinon, j’ai bien trouvé un Patton et un CRX, mais ça va cogner en prix. Et chez 
Zyxel, y a rien de tout petit pour faire du G.SHDSL.

Qqun connait un CPE qui peut se mettre en CO ?
J’ai peur que ça soit la seule solution économiquement viable.

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Datacenter sur Annecy ?

[Rod Beck]

From: David Ponzone 
Sent: Thursday, December 19, 2019 7:54 AM
To: Rod Beck 
Cc: Lucas Viallon ; frnog-misc 
Subject: Re: [FRnOG] [MISC] Datacenter sur Annecy ?

Euh c’est très personnel comme point de vue, car il semble qu'à Annecy, cela 
soit beaucoup trop par rapport à la demande :)

Indubitablement ...

Gevrier/4644074


Le 19 déc. 2019 à 07:36, Rod Beck 
mailto:rod.b...@unitedcablecompany.com>> a 
écrit :

70 mètres carrés environ? C'est un peu petit 

Regards,

Roderick.


From: frnog-requ...@frnog.org 
mailto:frnog-requ...@frnog.org>> on behalf of David 
Ponzone mailto:david.ponz...@gmail.com>>
Sent: Wednesday, December 18, 2019 12:21 PM
To: Lucas Viallon mailto:lucas.vial...@gmail.com>>
Cc: frnog-misc mailto:frnog-m...@frnog.org>>
Subject: Re: [FRnOG] [MISC] Datacenter sur Annecy ?

Tu parles de ça ?

https://groupe-ecomedia.com/numerique-un-centre-de-donnees-de-proximite-a-annecy-le-vieux/

Leur site était drp74.org je crois, y a plus rien.

La page Linkedin d’un des fondateurs dit clairement qu’il a quitté en Avril:
https://www.linkedin.com/in/sergeneuman/?originalSubdomain=fr

Donc je crois que c’est mort.

> Le 18 déc. 2019 à 12:06, Lucas Viallon 
> mailto:lucas.vial...@gmail.com>> a écrit :
>
> Bonjour,
>
> Quelqu'un connaîtrait un Datacenter sur Annecy/Annecy le vieux autre qu'une
> salle de tutor/covage ?
>
> Il me semble qu'il y a une solution sous Modulo mais impossible de trouver
> sur google, il est bien caché
>
> merci
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Datacenter sur Annecy ?

[Guillaume Barrot]

C'est surtout, 2 containeurs de 6 racks, donc 12 racks en tout, sur 70m².
Après y a clim, groupe électrogène, etc.

Par contre, attention, aucun lien avec DRP74, c'est une initiative privée.

Le jeu. 19 déc. 2019 à 07:37, Rod Beck  a
écrit :

> 70 mètres carrés environ? C'est un peu petit 
>
> Regards,
>
> Roderick.
>
> 
> From: frnog-requ...@frnog.org  on behalf of
> David Ponzone 
> Sent: Wednesday, December 18, 2019 12:21 PM
> To: Lucas Viallon 
> Cc: frnog-misc 
> Subject: Re: [FRnOG] [MISC] Datacenter sur Annecy ?
>
> Tu parles de ça ?
>
>
> https://groupe-ecomedia.com/numerique-un-centre-de-donnees-de-proximite-a-annecy-le-vieux/
>
> Leur site était drp74.org je crois, y a plus rien.
>
> La page Linkedin d’un des fondateurs dit clairement qu’il a quitté en
> Avril:
> https://www.linkedin.com/in/sergeneuman/?originalSubdomain=fr
>
> Donc je crois que c’est mort.
>
> > Le 18 déc. 2019 à 12:06, Lucas Viallon  a
> écrit :
> >
> > Bonjour,
> >
> > Quelqu'un connaîtrait un Datacenter sur Annecy/Annecy le vieux autre
> qu'une
> > salle de tutor/covage ?
> >
> > Il me semble qu'il y a une solution sous Modulo mais impossible de
> trouver
> > sur google, il est bien caché
> >
> > merci
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Datacenter sur Annecy ?

[Guillaume Barrot]

Bah nous on a un DC en propre, mais plutot pour du POP.
10 racks, double clim, une arrivée 36kVA et un groupe électrogène 40, avec
des arrivées longhauls directes.

Si intéressé : sa...@d-lake.fr.

Le jeu. 19 déc. 2019 à 07:55, David Ponzone  a
écrit :

> Euh c’est très personnel comme point de vue, car il semble qu'à Annecy,
> cela soit beaucoup trop par rapport à la demande :)
>
> Le plus drôle c’est que j’ai vu passer un AOP de cet été concernant la
> création d’une salle serveur pour la mairie d’Annecy, qui semble vouloir
> internaliser plutôt que de confier ça à une initiative locale comme drp74
> (ou alors ils étaient déjà morts)….
>
>
> https://centraledesmarches.com/marches-publics/Ville-d-ANNECY-Creation-d-une-salle-serveur-DATA-CENTER-au-centre-technique-municipal-de-Cran-Gevrier/4644074
>
>
> > Le 19 déc. 2019 à 07:36, Rod Beck  a
> écrit :
> >
> > 70 mètres carrés environ? C'est un peu petit 
> >
> > Regards,
> >
> > Roderick.
> >
> > From: frnog-requ...@frnog.org  <
> frnog-requ...@frnog.org > on behalf of
> David Ponzone mailto:david.ponz...@gmail.com>>
> > Sent: Wednesday, December 18, 2019 12:21 PM
> > To: Lucas Viallon  lucas.vial...@gmail.com>>
> > Cc: frnog-misc mailto:frnog-m...@frnog.org>>
> > Subject: Re: [FRnOG] [MISC] Datacenter sur Annecy ?
> >
> > Tu parles de ça ?
> >
> >
> https://groupe-ecomedia.com/numerique-un-centre-de-donnees-de-proximite-a-annecy-le-vieux/
> <
> https://groupe-ecomedia.com/numerique-un-centre-de-donnees-de-proximite-a-annecy-le-vieux/
> >
> >
> > Leur site était drp74.org  je crois, y a plus rien.
> >
> > La page Linkedin d’un des fondateurs dit clairement qu’il a quitté en
> Avril:
> > https://www.linkedin.com/in/sergeneuman/?originalSubdomain=fr <
> https://www.linkedin.com/in/sergeneuman/?originalSubdomain=fr>
> >
> > Donc je crois que c’est mort.
> >
> > > Le 18 déc. 2019 à 12:06, Lucas Viallon  > a écrit :
> > >
> > > Bonjour,
> > >
> > > Quelqu'un connaîtrait un Datacenter sur Annecy/Annecy le vieux autre
> qu'une
> > > salle de tutor/covage ?
> > >
> > > Il me semble qu'il y a une solution sous Modulo mais impossible de
> trouver
> > > sur google, il est bien caché
> > >
> > > merci
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/ 
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/