RE: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Michel Py via frnog]

> Vincent Bernat a écrit :
> Pour chaque préfixe, BGP n'annonce que le meilleur préfixe. Soit le looking 
> glass
> n'a accès qu'aux meilleurs préfixes pour chaque routeur, soit tous les 
> upstreams
> de chaque routeur ont tous choisi le même meilleur préfixe et ainsi de suite.

En effet; d'ailleurs, pour le même AS, en regardant les looking glass en Europe 
au lieu d'Amérique du Nord, on obtient parfois des résultats différents.

J'avoue que j'ai du mal à saisir les subtilités du peering entre Tier-1, 
surtout quand c'est sur plusieurs continents. Le Traffic Engineering, les 
localpref et tout ça, il y a des fois ou ça a l'air plus de discussions de 
marchand de tapis que de la logique du réseau ou même de la patate chaude. 
C'est pourtant bien connu, BGP est un protocole de niveau 9.

+---+--+
| 9 | Politics |  <=== BGP
| 8 | Money|
| 7 | Application  | 
| 6 | Presentation |
| 5 | Session  |
| 4 | Transport|
| 3 | Network  |
| 2 | Data Link|
| 1 | Physical |
+---+--+

Donc l'explication, c'est une politique de TE/localpref "régionalisée" ? Tous 
les routeurs qui sont dans la même "région" ont tous les mêmes "meilleurs" 
préfixes, et donc aucun ne montre le chemin alternatif ? Pas de route-map qui 
oublierait "magiquement" de recevoir certains préfixes ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Vincent Bernat]

 ❦  9 June 2021 23:15 GMT, Michel Py via frnog:

>> $ show ip bgp 80.77.225.0/24
>> [..]
>>  174 34536
>>Origin IGP, metric 43130, valid, external
>>Community: 174:21101 174:22008
>
> Comment expliquer que dans certains looking-glass (pas tous), on ne voit même 
> pas ce chemin ?
> Est-il possible que certains looking-glass n'afficheraient pas tous
> les chemins ?
>
> Il y a au moins 3 looking-glass qui ne montrent pas le chemin Cogent pour 
> 80.77.225.0/24 :
> https://lookingglass.sunet.se/lg.cgi
> https://lg.he.net/
> https://enterprise.verizon.com/why-verizon/looking-glass/
>
> HE à la limite ça ne serait pas surprenant, on sait qu'entre HE et
> Cogent c'est pas le grand amour, mais Sunet or Verizon ?

Pour chaque préfixe, BGP n'annonce que le meilleur préfixe. Soit le
looking glass n'a accès qu'aux meilleurs préfixes pour chaque routeur,
soit tous les upstreams de chaque routeur ont tous choisi le même
meilleur préfixe et ainsi de suite.
-- 
Zounds!  I was never so bethumped with words
since I first called my brother's father dad.
-- William Shakespeare, "Kind John"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Michel Py via frnog]

> Gregory CAUCHIE a écrit :
> Je ne partage pas cette analyse car le principe du subnet le plus spécifique 
> (préféré au moins
> spécifique) est toujours appliqué sur chaque routeur quoi qu’il arrive. Il 
> est donc vrai que
> l’AS-path comme le MED peuvent ne pas être pris en compte pour le routage BGP 
> chez des peers,
> mais la solution qu’a rappelé David (i.e. annoncer le /23 aux 2, et un /24 à 
> chacun, sans prepend)
> garanti de faire arriver les flux d’un /24 par un peer plutôt qu’un autre et 
> vice-versa.

Ceci étant dit, et même si j'ai plussoyé la suggestion de David, c'est quand 
même une solution à prendre avec des pincettes.
Dans le cas d'un client de Cogent qui veut parler au /24 qui n'est annoncé que 
chez SFR, ou du client SFR qui veut parler au /24 qui n'est annoncé que chez 
Cogent, et que le lien Cogent <--> SFR est saturé, ça va pas être le pied. 
C'est déjà arrivé et ça arrivera encore. Le prepend c'est très imparfait, mais 
couper les blocs IP en deux (ce que plein "d'optimiseurs BGP" font à tort et à 
travers) ça a des inconvénients aussi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [TECH] Re: [FRnOG] Re: Un CDN Down ?

[Michel Py via frnog]

> Xavier Claude a écrit :
> https://www.fastly.com/blog/summary-of-june-8-outage
> Je suis quand même étonné qu'une configuration client ait un impact sur tout 
> le
> réseau (en tout cas 85%) pour un truc aussi gros que fastly. Je m'imaginais 
> que
> les clients étaient un peu plus répartis que cela sur l'infrastructure.

Ce n'est pas la configuration client qui a causé le problème, c'est le bug. La 
configuration client n'était que le prétexte pour le bug pour se déclencher. Si 
le bug avait été ailleurs, ça aurait été pour une autre raison. C'est dans quel 
pourcentage de l'infrastructure que le bug a été déployé qui dicte à quel point 
ça fait mal.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Michel Py via frnog]

> Emmanuel DECAEN a écrit :
> Dans mon cas, les deux chemins passent par SFR (15557) pour une raison très 
> simple: Je
> privilégie le trafic de France-IX  Grenoble (local pref 130). Et comme SFR 
> est présent
> sur France-IX, alors que Cogent en est absent, le chemin via SFR se trouve 
> privilégié.

Classique. Mais, le chemin non-prépendé annoncé par AS174, tu le vois quand 
même, malgré que tu lui préfères un autre.

> $ show ip bgp 80.77.225.0/24
> [..]
>  174 34536
>Origin IGP, metric 43130, valid, external
>Community: 174:21101 174:22008

Comment expliquer que dans certains looking-glass (pas tous), on ne voit même 
pas ce chemin ?
Est-il possible que certains looking-glass n'afficheraient pas tous les chemins 
?

Il y a au moins 3 looking-glass qui ne montrent pas le chemin Cogent pour 
80.77.225.0/24 :
https://lookingglass.sunet.se/lg.cgi
https://lg.he.net/
https://enterprise.verizon.com/why-verizon/looking-glass/

HE à la limite ça ne serait pas surprenant, on sait qu'entre HE et Cogent c'est 
pas le grand amour, mais Sunet or Verizon ?

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Gregory CAUCHIE]

> Le 9 juin 2021 à 23:29, Radu-Adrian Feurdean  
> a écrit :
> 
> On Wed, Jun 9, 2021, at 18:32, Raphael Mazelier wrote:
>> influencer le trafic in 
> 
> De base, on ne peut *PAS* influencer le trafic in. 
> On peut juste exprimer des souhaits sur les chemins qu'on prefere, souhaits 
> que les reseaux qui envoient du trafic peuvent respecter ou non, selon leur 
> propre politique.
> Cette situation ne manque pas de se montrer quand on a des transitaires avec 
> des profils differents (ex. "tier-1" restrictif combine avec "tier-2" plus 
> ouvert sur l'interco).
> Faut toujours se rappeler que la "LocalPref" (et le "weight") sont 
> prioritaires dans la decision de routage par rapport a la taille de 
> l'AS-path. Et la LocalPref est generalement configure sur des criteres que tu 
> auras du mal a influencer.

Je ne partage pas cette analyse car le principe du subnet le plus spécifique 
(préféré au moins spécifique) est toujours appliqué sur chaque routeur quoi 
qu’il arrive. Il est donc vrai que l’AS-path comme le MED peuvent ne pas être 
pris en compte pour le routage BGP chez des peers, mais la solution qu’a 
rappelé David (i.e. annoncer le /23 aux 2, et un /24 à chacun, sans prepend) 
garanti de faire arriver les flux d’un /24 par un peer plutôt qu’un autre et 
vice-versa. 

Attention après à ne rien annoncer de plus spécifique qu’un /24 pour l’IPv4, 
certains peers les acceptent mais ne les redistribuent jamais. Donc utiliser 
des /25 peut se faire, si le peer est d’accord, uniquement pour répartir le 
trafic entre deux liens d’un même provider, et ce quelle que soit son 
ingénierie de sélection du best-path BGP.

--
Grégory

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou réalité ?

[Gregory CAUCHIE]

Bonsoir Michel,

serait-il possible de reformuler la nuance dans le terme « approche » ? désolé 
mais je n’ai pas bien saisi.

En tentative de réponse TL/DR, SASE de mon point de vue orthogonal à SD-WAN. 

SASE c’est une vision d’architecture orientée sécurité, la « spécificité » de 
SASE étant de gérer la politique de sécurité de manière cohérente (i.e. avec 
une gestion centralisée et une orchestration) sur tous des différents points de 
connectivité WAN, y compris les nomades. 
Les conférences de SD-WAN se sont mis à parler de SASE parce qu’à partir du 
moment où tu fais du local-breakout sur tes sites distants avec le SD-WAN, il 
te faut gérer la sécurité sur ces sites distants, non plus avec un simple FW 
pour n’autoriser que ton IPSec, mais comme tu le fais sur ton DC/GW Internet. À 
côté de cela, étaient offerts sur le marché les solution SD-Access/SD-LAN qui, 
sans parlé de marketing, mettaient en avant les notions sécurité dite « 
Zero-Trust » avec une gestion par orchestration dans les campus. De fil en 
aiguille, Gartner a créé en 2019 cette notion de SASE qui « package » tout 
cela, i.e. les  concepts de Zero-Trust, de sorties WAN sur chaque site et 
utilisateur en remote (‘distributed doors’), et d’orchestration.

À lire la définition du Gartner, il y a forcément du SD-WAN dans l’architecture 
SASE… qui au final ressemble à un méga silo (pour ne pas dire vendor-lock) de 
quasi toutes tes briques de sécurité, voire potentiellement aussi de routage. 
Les trafics couverts par l’architecture sont l’Est-Ouest ainsi que la partie 
flux sortante vers l’Internet des flux Nord-Sud (i.e. les WAF, DMZ et autres 
flux entrants Nord-Sud hors VPN ne sont pas concernés).

Après, l’histoire se répétant, des offres constructeurs créent des « sous-types 
» d'architecture SASE. SASE (prononcé « sassy » pour celles/ceux qui se 
demanderaient) signifie ’Secure Access Service Edge’, et comme pour le SDN par 
exemple, on peut proposer bon nombre d’architecture rentrant dans ce terme sans 
pour autant suivre la vision du Gartner. Bilan de ce qu’on a pu voir par 
exemple à la dernier « SASE conference 2021 » de mai, les vendors se basent au 
final sur leurs forces/stratégies pour décliner leurs offres de SASE avec ou 
non des version Cloud, sur site, incluant tel ou tel lot de fonctions de sécu 
(CASB, FWaaS, DLP, ZTNA, …) et du SD-WAN ou pas nécessairement. 

Bref, la « réalité » est en pleine construction, et comme d’hab le marché fera 
juge de paix… la suite donc au prochain épisode :)

--
Grégory

> Le 7 juin 2021 à 15:35, Michel Hostettler 
>  a écrit :
> 
> Bonjour Gregory,
> 
> Faites-vous une différence entre une approche SASE et une approche SD-WAN.
> 
> Je préfère utiliser le terme "approche" comme une façon d'aborder la réalité 
> (les connectivités), plutôt que "technologie".
> 
> Michel
> 
> - Mail original -
> De: "Gregory CAUCHIE" 
> À: "Michel Hostettler" 
> Cc: "Benjamin CALLAR" , "GUILLAUME Cyrille" 
> , "frnog" 
> Envoyé: Lundi 31 Mai 2021 17:12:24
> Objet: Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou 
> réalité ?
> 
>> Le 31 mai 2021 à 16:34, Michel Hostettler 
>>  a écrit :
>> 
>> Bonjour,
>> 
>> Je suis toujours à la recherche de définitions, qu'elles soient techniques, 
>> managériales ou philosophiques.
>> 
>> Pour SD-WAN, je me suis construit cette définition (au sens du QUOI, et non 
>> du COMMENT).
>> 
>> "L’approche SD-WAN permet de gérer en local des connectivités internet 
>> globales, à l’aide de fonctions génériques, banalisées. Un réseau virtuel 
>> est créé, qui masque les détails du réseau physique, plus complexe. 
>> L’approche met à profit une couche logicielle intelligente, permettant à 
>> l’utilisateur de s’abstraire des contraintes matérielles sous-jacentes".
> 
> Je te proposerais :
> « Le SD-WAN est une technologie de gestion de la connectivité Internet et 
> inter-sites d'une entreprise, basée sur un ensemble hétérogène d'offres 
> opérateurs. Cette connectivité dispose a minima d'une classification de flux 
> par application, d’une mesure de performance des liens de connectivité, et 
> d’un routage des flux par application et par niveau de performance des liens 
> » 
> 
>> Une définition n'élime pas les difficultés pour la mettre en œuvre.
> 
> +1
> 
>> 
>> Michel
> 
> --
> Grégory


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Radu-Adrian Feurdean]

On Wed, Jun 9, 2021, at 18:32, Raphael Mazelier wrote:
> influencer le trafic in 

De base, on ne peut *PAS* influencer le trafic in. 
On peut juste exprimer des souhaits sur les chemins qu'on prefere, souhaits que 
les reseaux qui envoient du trafic peuvent respecter ou non, selon leur propre 
politique.
Cette situation ne manque pas de se montrer quand on a des transitaires avec 
des profils differents (ex. "tier-1" restrictif combine avec "tier-2" plus 
ouvert sur l'interco).
Faut toujours se rappeler que la "LocalPref" (et le "weight") sont prioritaires 
dans la decision de routage par rapport a la taille de l'AS-path. Et la 
LocalPref est generalement configure sur des criteres que tu auras du mal a 
influencer.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Emmanuel DECAEN]

Bonsoir,

Le 09/06/2021 à 18:09, Mathieu KERN via frnog a écrit :

J'ai un problème avec notre AS34536 que j'ai du mal a comprendre, nous avons 
deux liens, avec cogent et SFR, et annonçons nos préfixes 80.77.225.0/24 et 
80.77.224.0/24 des deux cotés, en utilisant l'AS prepending pour ne faire 
rentrer que l'un des prefixes pour chaque lien quand ils sont fonctionnels. Le 
224 passe par SFR ( AS1557) et le 225 devrais passer par cogent, mais ce n'est 
pas le cas depuis plusieurs jours, alors que la configuration n'a pas changé 
depuis des semaines.

Hors en regardant plusieurs looking glass je ne vois pas de problème 
d'annonces. J'ai même demandé a cogent, qui me confirme que eux même reçoivent 
bien nos annonces BGP avec les bons chemins.



Voici un résumé de ce que je vois de mon côté:

$ show ip bgp 80.77.224.0/24
BGP routing table entry for 80.77.224.0/24
Paths: (3 available, best #1, table default)

  15557 34536
  Origin IGP, localpref 130, valid, internal, best (Local Pref)
  Community: 0:5410 0:15169 0:15557 0:21502 0:24940 0:57859 
43100:1010 43100:9992 43100:65002


  174 15557 34536
  Origin IGP, metric 37091, valid, external
  Community: 174:21101 174:22008

 3215 15557 34536
  Origin IGP, valid, external

$ show ip bgp 80.77.225.0/24
BGP routing table entry for 80.77.225.0/24
Paths: (3 available, best #1, table default)

  15557 34536 34536 34536 34536 34536 34536
  Origin IGP, localpref 130, valid, internal, best (Local Pref)
  Community: 0:5410 0:15169 0:15557 0:21502 0:24940 0:57859 
43100:1010 43100:9992 43100:65002


  174 34536
  Origin IGP, metric 43130, valid, external
  Community: 174:21101 174:22008

  3215 15557 34536 34536 34536 34536 34536 34536
  Origin IGP, valid, external


Dans mon cas, les deux chemins passent par SFR (15557) pour une raison 
très simple:

Je privilégie le trafic de France-IX  Grenoble (local pref 130).
Et comme SFR est présent sur France-IX, alors que Cogent en est absent, 
le chemin via SFR se trouve privilégié.


Bon courage.

--
*Emmanuel DECAEN*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Vincent Bernat]

 ❦  9 June 2021 18:41 +02, David Ponzone:

> Peut-être plus « fiable »  d’annoncer le /23 aux 2, et un /24 à
> chacun, sans prepend.

Tout à fait. Le prepend, surtout avec deux transitaires qui ne sont pas
de même niveau, ne permet pas de contrôler le trafic entrant. Par
exemple, ceux qui peerent avec SFR auront sans doute un local pref plus
élevé qui prendra le pas sur le prepend. À l'inverse, les clients Cogent
non multi-homés n'auront aussi que la route via Cogent. Tu peux tenter
de changer cela avec des communautés (chez Cogent, la route que tu
préfères ne pas avoir via Cogent peut être annoncée avec 174:70). Mais
la solution générique, c'est d'annoncer plus spécifique sur un seul
transitaire et de faire du backup en annonçant moins spécifique aux deux
transitaires. Tant que tu ne te connectes qu'avec des gens qui font de
la DFZ (pas sur un IX), tu es assuré que le trafic entre au bon endroit.
-- 
Make sure comments and code agree.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] [FRnOG] Re: Un CDN Down ?

[Raphael Mazelier]

On 09/06/2021 14:51, Renaud Chaput wrote:

a m'ammène à la question du multi-CDN, est ce que sa complexité
se justifie pour palier à des problemes comme celui rencontré hier
qui sont quand meme relativement trés rares ?


Cela dépend de ton buisness comme toujours.

Le multi CDN n'est pas nécessairement complexe et tu n'as pas besoin 
d'un intermédiaire pour le faire.


Cela dépend evidement de ce que tu caches mais cela ne me parait pas 
déconnant d'avoir une brique interne qui construit les URLs de ce que tu 
as à cacher/servir via ton CDN.


On le faisait dans un previous job et cela avait beaucoup d'avantage, 
redondance de CDN, controle des couts aussi. Et tout cela sans 
intervention/magie DNS.


Tu peux meme cacher le resultat avec un ttl assez court pour lisser les 
gros burst et protéger tes origines. Cela ne te protégera pas 
complétement mais cela limitera beaucoup la casse.


Sinon en beaucoup plus simple tu utilise un DNS type route53 et tu fais 
du weighted DNS sur les x domains de tes x CDNs. Alors évidement dans ce 
cas tu déportes le spof chez ton fournisseur de DNS.




Est ce que avoir une config de secours sur un autre CDN + un DNS
configurable
rapidement avec des TTL courrs ~1min a un sens ?
Voir ci dessus, perso je pense que cela peut valoir le coup, mais tout 
dépend de ton buisness.


Le gros problème du multi-CDN c’est la configuration du-dit CDN. Si tu ne
t’en sers que pour du cache simple de fichiers statiques, pourquoi pas,
mais si tu fais des choses plus complexes (réécriture de requêtes,
sécurité, optimisation d’images, routage dynamique, intelligence at the
edge) ça devient beaucoup plus compliqué.


J'ai un avis assez tranché sur le fait qu'on ne devrait pas mettre 
d'intelligence spécifique à un fournissseur CDN (ou autre d'ailleurs) 
pour des raisons de risque de couplage.


Sinon quand tu veux bouger pour x raisons (souvent financière) tu es un 
petit peu dans le mal.




Et vu que la grosse force de Fastly c’est de pouvoir faire un peu ce que tu
veux en terme de config, ça me parait vraiment complexe de le redonder. Et
ensuite, quelle est la probabilité que ta brique qui gère la redondance
cause à son tour une panne, est-ce plus ou moins élevé que la proba que
Fastly (ou autre) tombe ? Est-ce que tu n’introduis pas un SPOF via ton
outil de multi-CDN ?

Bref, sujet complexe et pas évident quand on commence à considérer tous les
aspects.


Assurément mais passionnant.

--

Raphael



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Re: Déboguage TCP (Was: [ALERT] github.com injoignable depuis Free ?

[Ludovic LACOSTE]

Bah Stéphane, ce doit être la bible, je suis même certain qu'il a du enseigner 
à Guy Pujolle à l'université Paris 6 et 7 , perso, s'il le dit, alors il a 
raison, on va va pas se battre ni relire nos vieux bouquins de nos vieux 
profs...

Téléchargez Outlook pour Android


From: Stephane Bortzmeyer 
Sent: Wednesday, June 9, 2021 7:19:36 PM
To: Ludovic LACOSTE 
Cc: frnog-t...@frnog.org 
Subject: Déboguage TCP (Was: [ALERT] github.com injoignable depuis Free ?

On Wed, Jun 09, 2021 at 01:43:17PM +,
 Ludovic LACOSTE  wrote
 a message of 26 lines which said:

> Pour avoir pas mal de fois les problèmes de chemins retours
> différents du chemins aller,

Ce qui n'a rien à voir avec ce dont je parlais (qui était le cas où le
routage dépendait du protocole de couche 4).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Michel Py via frnog]

>> Michel Py a écrit :
>> Je confirme SFR pour les deux (vu de Verizon). Vu que tu prepends 6 fois ton 
>> AS pour
>> le 225, il serait logique en effet que le chemin par Cogent soit préféré, 
>> mais non.
>> Par contre, en venant de Comcast, ça passe par Cogent.

> Raphael Mazelier a écrit :
> 6 fois carrement ? de souvenir au dela de 3 tout le monde normalise.

Oui c'est un peu overkill, mais bon pour tester ça va.

> Et encore une fois après ton transitaire il réanonce bien comme il veut.

Je me souviens plus d’où ça sort, mais en fait ton transitaire devrait 
respecter quand tu prepends to propre AS.

En plus, ce n'est pas le cas qui nous intéresse ici. Le problème n'est pas le 
prepend, le problème est que l'annonce non-prépendée que Cogent reçoit n'est 
pas propagée correctement, avec pour résultat que l'annonce prépendée 6 fois du 
coté SFR (qui elle est bien propagée) est celle qui est utilisée.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Robustesse DNS (Was: [ALERT] Un CDN Down ?

[Damien Wetzel]

Quand je dis deux fournisseurs DNS ca se materialise par plusieurs
champs NS chacun etant en general une adresse anycast.
Les fournisseurs sont du type NS1, cloudflare, akamai etc.. avec une grosse
repartition geographique



Stephane Bortzmeyer writes:
 > On Wed, Jun 09, 2021 at 03:49:57PM +0200,
 >  Damien Wetzel  wrote 
 >  a message of 29 lines which said:
 > 
 > > On peut toujours repondre avec deux fournisseurs DNS Autorité
 > > differents et synchronisés entre eux, le resolveur choisissant le
 > > plus rapide par l'utilisation du DNS SRTT
 > 
 > Euh, alors, on parlait de robustesse face aux pannes et surtout face
 > aux attaques dDoS. Alors, DEUX (2) serveurs, ce qui est le minimum
 > imposé par le RFC, c'est un peu léger.

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Déboguage TCP (Was: [ALERT] github.com injoignable depuis Free ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 01:43:17PM +,
 Ludovic LACOSTE  wrote 
 a message of 26 lines which said:

> Pour avoir pas mal de fois les problèmes de chemins retours
> différents du chemins aller,

Ce qui n'a rien à voir avec ce dont je parlais (qui était le cas où le
routage dépendait du protocole de couche 4).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Raphael Mazelier]

On 09/06/2021 18:51, Michel Py via frnog wrote:


Je confirme SFR pour les deux (vu de Verizon). Vu que tu prepends 6 fois ton AS 
pour le 225, il serait logique en effet que le chemin par Cogent soit préféré, 
mais non.
Par contre, en venant de Comcast, ça passe par Cogent.


6 fois carrement ? de souvenir au dela de 3 tout le monde normalise.

Et encore une fois après ton transitaire il réanonce bien comme il veut.

--

Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Robustesse DNS (Was: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 01:55:36PM +,
 Ludovic LACOSTE  wrote 
 a message of 38 lines which said:

> Sinon, le DNSSec, c'est pas mal non plus, et c'est RFC compliant ...

Attendez, on parlait de robustesse du DNS face aux pannes et aux
attaques dDoS. Qu'est-ce que DNSSEC vient faire là-dedans ? DNSSEC est
très bien mais ll n'améliore en rien la robustesse.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Robustesse DNS (Was: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 03:49:57PM +0200,
 Damien Wetzel  wrote 
 a message of 29 lines which said:

> On peut toujours repondre avec deux fournisseurs DNS Autorité
> differents et synchronisés entre eux, le resolveur choisissant le
> plus rapide par l'utilisation du DNS SRTT

Euh, alors, on parlait de robustesse face aux pannes et surtout face
aux attaques dDoS. Alors, DEUX (2) serveurs, ce qui est le minimum
imposé par le RFC, c'est un peu léger.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [BGP] Traffic arrivant sur un seul lien au lieu de deux

[Michel Py via frnog]

> David Ponzone a écrit :
> Peut-être plus « fiable »  d’annoncer le /23 aux 2, et un /24 à chacun, sans 
> prepend.

+1

> Mathieu KERN a écrit : 
> J'ai un problème avec notre AS34536 que j'ai du mal a comprendre, nous avons 
> deux liens, avec cogent
> et SFR, et annonçons nos préfixes 80.77.225.0/24 et 80.77.224.0/24 des deux 
> cotés, en utilisant l'AS
> prepending pour ne faire rentrer que l'un des prefixes pour chaque lien quand 
> ils sont fonctionnels.
> Le 224 passe par SFR ( AS1557) et le 225 devrais passer par cogent, mais ce 
> n'est pas le cas depuis
> plusieurs jours, alors que la configuration n'a pas changé depuis des 
> semaines.

Je confirme SFR pour les deux (vu de Verizon). Vu que tu prepends 6 fois ton AS 
pour le 225, il serait logique en effet que le chemin par Cogent soit préféré, 
mais non.
Par contre, en venant de Comcast, ça passe par Cogent.

Donc apparemment il y a un problème dans la manière dont Cogent annonce ton 225 
au reste du monde.


80.77.225.0/24 (2 entries, 1 announced)
*BGPPreference: 170/-101
Age: 1w1d 16:49:19  Metric: 0   Metric2: 3004 
Announcement bits (4): 0-KRT 3-Resolve tree 1 4-RT 
10-BGP_RT_Background 
AS path: 1273 15557 34536 34536 34536 34536 34536 34536 I  
(Originator)
Communities: 701   1273:12250 1273:31520 15557:800 15557:805 
Localpref: 100
 BGPPreference: 170/-101
Age: 1w1d 16:49:19  Metric: 0   Metric2: 3004 
AS path: 1273 15557 34536 34536 34536 34536 34536 34536 I  
(Originator)
Communities: 701   1273:12250 1273:31520 15557:800 15557:805 
Localpref: 100



80.77.224.0/24 (2 entries, 1 announced)
*BGPPreference: 170/-101
Age: 1w1d 16:50:26  Metric: 0   Metric2: 3004 
Announcement bits (4): 0-KRT 3-Resolve tree 1 4-RT 
10-BGP_RT_Background 
AS path: 1273 15557 34536 I  (Originator)
Communities: 701   1273:12250 1273:31520 15557:800 15557:805 
Localpref: 100
 BGPPreference: 170/-101
Age: 1w1d 16:50:26  Metric: 0   Metric2: 3004 
AS path: 1273 15557 34536 I  (Originator)
Communities: 701   1273:12250 1273:31520 15557:800 15557:805 
Localpref: 100

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Raphael Mazelier]

Oui ca ca doit marcher, parce si que tes upstreams changent tes annonces 
la c'est vraiment abusé.


On 09/06/2021 18:41, David Ponzone wrote:

Certes.

Peut-être plus « fiable »  d’annoncer le /23 aux 2, et un /24 à chacun, sans 
prepend.


Le 9 juin 2021 à 18:32, Raphael Mazelier  a écrit :

De toute manière on ne répettera jamais assez qu'influencer le trafic in n'est 
pas une science exacte, tes upstreams pouvant précisement faire ce qu'ils 
veulent.

On 09/06/2021 18:21, David Ponzone wrote:

J’ai pas encore regardé en détail, mais déjà avoir comme upstream:
-un Tier1 (même si certains considèrent que Cogent n’est pas un T1)
-un Tier2, qui comme toi a ce Tier1 comme upstream
c’est se mettre dans une situation un peu compliquée et que tu maitrises pas 
forcément.

Moi de mon côté, je vois:
80.77.224.0/24 par SFR seulement, sans prepend
80.77.225.0/24 par COGENT (sans prepend) et par SFR (avec prepend)

Donc c’est bon.

Qu’est-ce qui te fait penser qu’il y a un problème ?
Zero traffic sur le lien Cogent ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[David Ponzone]

Certes.

Peut-être plus « fiable »  d’annoncer le /23 aux 2, et un /24 à chacun, sans 
prepend.

> Le 9 juin 2021 à 18:32, Raphael Mazelier  a écrit :
> 
> De toute manière on ne répettera jamais assez qu'influencer le trafic in 
> n'est pas une science exacte, tes upstreams pouvant précisement faire ce 
> qu'ils veulent.
> 
> On 09/06/2021 18:21, David Ponzone wrote:
>> J’ai pas encore regardé en détail, mais déjà avoir comme upstream:
>> -un Tier1 (même si certains considèrent que Cogent n’est pas un T1)
>> -un Tier2, qui comme toi a ce Tier1 comme upstream
>> c’est se mettre dans une situation un peu compliquée et que tu maitrises pas 
>> forcément.
>> 
>> Moi de mon côté, je vois:
>> 80.77.224.0/24 par SFR seulement, sans prepend
>> 80.77.225.0/24 par COGENT (sans prepend) et par SFR (avec prepend)
>> 
>> Donc c’est bon.
>> 
>> Qu’est-ce qui te fait penser qu’il y a un problème ?
>> Zero traffic sur le lien Cogent ?
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Raphael Mazelier]

De toute manière on ne répettera jamais assez qu'influencer le trafic in 
n'est pas une science exacte, tes upstreams pouvant précisement faire ce 
qu'ils veulent.


On 09/06/2021 18:21, David Ponzone wrote:

J’ai pas encore regardé en détail, mais déjà avoir comme upstream:
-un Tier1 (même si certains considèrent que Cogent n’est pas un T1)
-un Tier2, qui comme toi a ce Tier1 comme upstream
c’est se mettre dans une situation un peu compliquée et que tu maitrises pas 
forcément.

Moi de mon côté, je vois:
80.77.224.0/24 par SFR seulement, sans prepend
80.77.225.0/24 par COGENT (sans prepend) et par SFR (avec prepend)

Donc c’est bon.

Qu’est-ce qui te fait penser qu’il y a un problème ?
Zero traffic sur le lien Cogent ?





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[David Ponzone]

J’ai pas encore regardé en détail, mais déjà avoir comme upstream:
-un Tier1 (même si certains considèrent que Cogent n’est pas un T1)
-un Tier2, qui comme toi a ce Tier1 comme upstream
c’est se mettre dans une situation un peu compliquée et que tu maitrises pas 
forcément.

Moi de mon côté, je vois:
80.77.224.0/24 par SFR seulement, sans prepend
80.77.225.0/24 par COGENT (sans prepend) et par SFR (avec prepend)

Donc c’est bon.

Qu’est-ce qui te fait penser qu’il y a un problème ?
Zero traffic sur le lien Cogent ?

> Le 9 juin 2021 à 18:09, Mathieu KERN via frnog  a écrit :
> 
> Bonjour a tous, 
> 
> J'ai un problème avec notre AS34536 que j'ai du mal a comprendre, nous avons 
> deux liens, avec cogent et SFR, et annonçons nos préfixes 80.77.225.0/24 et 
> 80.77.224.0/24 des deux cotés, en utilisant l'AS prepending pour ne faire 
> rentrer que l'un des prefixes pour chaque lien quand ils sont fonctionnels. 
> Le 224 passe par SFR ( AS1557) et le 225 devrais passer par cogent, mais ce 
> n'est pas le cas depuis plusieurs jours, alors que la configuration n'a pas 
> changé depuis des semaines.  
> 
> Hors en regardant plusieurs looking glass je ne vois pas de problème 
> d'annonces. J'ai même demandé a cogent, qui me confirme que eux même 
> reçoivent bien nos annonces BGP avec les bons chemins. 
> 
> Si quelqu' un peut m'orienter dans le bonne direction, je lui en serais 
> reconnaissant. 
> 
> 
> Dans tout les cas, bonne soirée. 
> 
> Bien Cordialement, 
> 
> 
> Mathieu KERN 
> Administrateur systèmes et réseaux 
> 
> NEWEL INFORMATIQUE 
> tél. : 03.89.32.96.96 
> fax : 03.89.32.96.97
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH][BGP] Traffic arrivant sur un seul lien au lieu de deux

[Mathieu KERN via frnog]

Bonjour a tous, 

J'ai un problème avec notre AS34536 que j'ai du mal a comprendre, nous avons 
deux liens, avec cogent et SFR, et annonçons nos préfixes 80.77.225.0/24 et 
80.77.224.0/24 des deux cotés, en utilisant l'AS prepending pour ne faire 
rentrer que l'un des prefixes pour chaque lien quand ils sont fonctionnels. Le 
224 passe par SFR ( AS1557) et le 225 devrais passer par cogent, mais ce n'est 
pas le cas depuis plusieurs jours, alors que la configuration n'a pas changé 
depuis des semaines.  

Hors en regardant plusieurs looking glass je ne vois pas de problème 
d'annonces. J'ai même demandé a cogent, qui me confirme que eux même reçoivent 
bien nos annonces BGP avec les bons chemins. 

Si quelqu' un peut m'orienter dans le bonne direction, je lui en serais 
reconnaissant. 


Dans tout les cas, bonne soirée. 

Bien Cordialement, 


Mathieu KERN 
Administrateur systèmes et réseaux 

NEWEL INFORMATIQUE 
tél. : 03.89.32.96.96 
fax : 03.89.32.96.97


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] BGP ko vers un subnet de G2S (91.223.125.0/24)

[David Ponzone]

Oui il semble que l’AS de Completel n’annonce plus ce /24 à l’AS de SFR.
Rien d’anormal.

> Le 9 juin 2021 à 17:11, jean luc labbee  a écrit :
> 
> L'accès vers un subnet de G2S (91.223.125.0/24) semble ko au niveau BGP
> depuis quelques heures.
> 
> Depuis un accès Freebox, j'ai ceci :
> 
> $ mtr -bzwe 91.223.125.1
> Start: 2021-06-09T17:04:18+0200
> HOST: qwerty  Loss%   Snt   Last   Avg  Best  Wrst
> StDev
>  1. AS???_gateway (192.168.0.1)   0.0%101.0   1.1   1.0   1.2
>  0.1
>  2. AS?????? 100.0100.0   0.0   0.0   0.0
>  0.0
> 
> C'est BGP qui est cassé ?
> 
> Jean-Luc
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] BGP ko vers un subnet de G2S (91.223.125.0/24)

[jean luc labbee]

L'accès vers un subnet de G2S (91.223.125.0/24) semble ko au niveau BGP
depuis quelques heures.

Depuis un accès Freebox, j'ai ceci :

$ mtr -bzwe 91.223.125.1
Start: 2021-06-09T17:04:18+0200
HOST: qwerty  Loss%   Snt   Last   Avg  Best  Wrst
StDev
  1. AS???_gateway (192.168.0.1)   0.0%101.0   1.1   1.0   1.2
  0.1
  2. AS?????? 100.0100.0   0.0   0.0   0.0
  0.0

C'est BGP qui est cassé ?

Jean-Luc

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Sinon, le DNSSec, c'est pas mal non plus, et c'est RFC compliant ...

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Damien 
Wetzel
Envoyé : mercredi 9 juin 2021 15:50
À : Stephane Bortzmeyer 
Cc : frnog-al...@frnog.org
Objet : [FRnOG] Re: [ALERT] Un CDN Down ?

On peut toujours repondre avec deux fournisseurs DNS Autorité differents et 
synchronisés entre eux, le resolveur choisissant le plus rapide par 
l'utilisation du DNS SRTT 

Stephane Bortzmeyer writes:
 > On Wed, Jun 09, 2021 at 12:10:50PM +0200,  >  Damien Wetzel 
 >  wrote  >  a message of 38 lines which said:
 >
 > > Je sous entends bien sur que le serveur DNS autorité est robuste  >  > Il 
 > > est en général imprudent d'affirmer qu'on est invulnérable.
 > 

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Ben voilà...

Téléchargez Outlook pour Android

From: Michel 'ic' Luczak 
Sent: Wednesday, June 9, 2021 3:49:22 PM
To: Ludovic LACOSTE 
Cc: dwet...@atanar.com ; Stephane Bortzmeyer 
; Kévin GUERY ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Un CDN Down ?



> On 9 Jun 2021, at 15:00, Ludovic LACOSTE  wrote:
>
> Rien n'est immuable, c'était qu'elle année ?
>

Mai 2017, attaque DDoS.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Un CDN Down ?

[Damien Wetzel]

On peut toujours repondre avec deux fournisseurs DNS Autorité differents et 
synchronisés
entre eux, le resolveur choisissant le plus rapide par l'utilisation du DNS 
SRTT 

Stephane Bortzmeyer writes:
 > On Wed, Jun 09, 2021 at 12:10:50PM +0200,
 >  Damien Wetzel  wrote 
 >  a message of 38 lines which said:
 > 
 > > Je sous entends bien sur que le serveur DNS autorité est robuste
 > 
 > Il est en général imprudent d'affirmer qu'on est invulnérable.
 > 

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Un CDN Down ?

[Michel 'ic' Luczak]

> On 9 Jun 2021, at 15:00, Ludovic LACOSTE  wrote:
> 
> Rien n'est immuable, c'était qu'elle année ?
> 

Mai 2017, attaque DDoS.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [ALERT] github.com injoignable depuis Free ?

[Ludovic LACOSTE]

Pour avoir pas mal de fois les problèmes de chemins retours différents du 
chemins aller, à la vieille époque ou je gérai un AS, j'entrevois de quoi tu 
parles, le man, je le lis au quotidien, mais je ne l'ai pas trouver sous 
Windows, tu voulais parler de la commande help sous powershell ?
Ben voilà TCPtraceroute, on est en phase, ceci dit, pour ceux qui font de 
l'expertise bout en bout et multi systèmes, le tcptraceroute, chez Madame Michu 
et son Windows 10 ou 11, ça s'appelle pathping.
My 2 cts


-Message d'origine-
De : Stephane Bortzmeyer  
Envoyé : mercredi 9 juin 2021 15:19
À : Ludovic LACOSTE 
Cc : Stephane Bortzmeyer ; Vincent Habchi 
; FRench Network Operators Group 
Objet : Re: [ALERT] github.com injoignable depuis Free ?

On Wed, Jun 09, 2021 at 01:13:30PM +,  Ludovic LACOSTE 
 wrote  a message of 95 lines which said:

> Tcpping, pathping et j'en passe, comme je suis fainéant, ça va plus 
> vite à taper,

Les vrais fainéants lisent le man, comme ça ils apprenent les alias et les 
scripts, ce qui leur évite de taper.

> Donc, un traceroute pour un problème TCP, ça sert à quoi ?

tcptraceroute est très utile (elle est très lointaine, l'époque où tous les 
paquets IP avec même adresse source et même destination empruntaient le même 
chemin).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Re: [ALERT] Un CDN Down ?

[Pierre Colombier via frnog]

à propos du fil, Il y a moyen de poursuivre la discussion en dehors du 
channel ALERT ?


On 09/06/2021 15:15, Stephane Bortzmeyer wrote:

On Wed, Jun 09, 2021 at 11:24:22AM +,
  Ludovic LACOSTE  wrote
  a message of 37 lines which said:


Et puis d’après l’analyse que j’ai pu lire, le problème est un problème de 
couche 7 (voir 8 , l’interface chaise/clavier, c’est terrible )
Erreur http 503, c’est un problème applicatif, pas réseau. Le DNS
là-dedans …

Personne (à part France Inter) n'a dit que la panne de Fastly était un
problème DNS. Relisez le fil pour voir pourquoi on parlait du DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 03:12:20PM +0200,
 Romain  wrote 
 a message of 42 lines which said:

> Je suis loin d'être spécialiste DNS mais c'était le seul parmis ceux que
> j'ai testé à retourner une IP sur cette plage :)

En demandant à cent sondes Atlas, j'en vois deux qui obtiennent une
adresse du 192.30.255.0/24


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[neo futur]

On Wed, Jun 9, 2021 at 3:15 PM Stephane Bortzmeyer  wrote:
>
> On Wed, Jun 09, 2021 at 10:32:46AM +,
>  Ludovic LACOSTE  wrote
>  a message of 36 lines which said:
>
> > Le ping, c'est toujours de l'ICMP ?
>
> Sinon, ce ne serait plus ping.
>
> > ça testes toujours pas le temps en TCP, comme un TCP pingues ?
>
> curl --silent --output /dev/null --write-out "DNS: %{time_namelookup}s\nTCP 
> connect: %{time_connect} s\nTLS connect: %{time_appconnect}s\nStart transfer: 
> %{time_starttransfer} s\nTotal: %{time_total} s\n" $URL
>
il existe aussi un tcpping :
 sudo wget -O /usr/bin/tcpping
https://lafibre.info/images/tcpping/tcpping ; sudo chmod +x
/usr/bin/tcpping ; sudo apt -y install bc tcptraceroute

>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 
Cordialement
   ---
 William Waisse
  http://waisse.org | http://neoskills.com | http://ww7.pe |
https://careers.stackoverflow.com/neofutur
"Computers are like air conditionners. They work better when you close windows."
"You have enemies? Good. That means you've stood up for something in your life."
"First they ignore you, then they laugh at you, then they fight you,
then you win"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 01:13:30PM +,
 Ludovic LACOSTE  wrote 
 a message of 95 lines which said:

> Tcpping, pathping et j'en passe, comme je suis fainéant, ça va plus
> vite à taper,

Les vrais fainéants lisent le man, comme ça ils apprenent les alias et
les scripts, ce qui leur évite de taper.

> Donc, un traceroute pour un problème TCP, ça sert à quoi ?

tcptraceroute est très utile (elle est très lointaine, l'époque où
tous les paquets IP avec même adresse source et même destination
empruntaient le même chemin).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 11:24:22AM +,
 Ludovic LACOSTE  wrote 
 a message of 37 lines which said:

> Et puis d’après l’analyse que j’ai pu lire, le problème est un problème de 
> couche 7 (voir 8 , l’interface chaise/clavier, c’est terrible )
> Erreur http 503, c’est un problème applicatif, pas réseau. Le DNS
> là-dedans …

Personne (à part France Inter) n'a dit que la panne de Fastly était un
problème DNS. Relisez le fil pour voir pourquoi on parlait du DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 11:16:21AM +,
 Ludovic LACOSTE  wrote 
 a message of 27 lines which said:

> Ça depends aussi des numéros de version des enregistrements,

Non, les résolveurs ne tiennent pas compte du numéro de série, il est
juste pour les serveurs faisant autorité.

> de comment fonctionne le client du eyeballs,

Il peut fonctionner comme il veut, le client, s'il n'a pas
l'information DNS, il ne pourra rien faire.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Ludovic LACOSTE]

Tcpping, pathping et j'en passe, comme je suis fainéant, ça va plus vite à 
taper,
Donc, un traceroute pour un problème TCP, ça sert à quoi ?

Téléchargez Outlook pour Android


From: Stephane Bortzmeyer 
Sent: Wednesday, June 9, 2021 3:11:06 PM
To: Ludovic LACOSTE 
Cc: Vincent Habchi ; FRench Network Operators Group 

Subject: Re: [ALERT] github.com injoignable depuis Free ?

On Wed, Jun 09, 2021 at 10:32:46AM +,
 Ludovic LACOSTE  wrote
 a message of 36 lines which said:

> Le ping, c'est toujours de l'ICMP ?

Sinon, ce ne serait plus ping.

> ça testes toujours pas le temps en TCP, comme un TCP pingues ?

curl --silent --output /dev/null --write-out "DNS: %{time_namelookup}s\nTCP 
connect: %{time_connect} s\nTLS connect: %{time_appconnect}s\nStart transfer: 
%{time_starttransfer} s\nTotal: %{time_total} s\n" $URL

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 12:10:50PM +0200,
 Damien Wetzel  wrote 
 a message of 38 lines which said:

> Je sous entends bien sur que le serveur DNS autorité est robuste

Il est en général imprudent d'affirmer qu'on est invulnérable.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Romain]

Je suis loin d'être spécialiste DNS mais c'était le seul parmis ceux que
j'ai testé à retourner une IP sur cette plage :)

Le mer. 9 juin 2021 à 15:09, Stephane Bortzmeyer  a
écrit :

> On Wed, Jun 09, 2021 at 11:23:05AM +0200,
>  Romain  wrote
>  a message of 22 lines which said:
>
> > 9.9.9.9 retourne 192.30.255.113
>
> Quoi d'étonnant à cela ?
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 10:32:46AM +,
 Ludovic LACOSTE  wrote 
 a message of 36 lines which said:

> Le ping, c'est toujours de l'ICMP ?

Sinon, ce ne serait plus ping.

> ça testes toujours pas le temps en TCP, comme un TCP pingues ?

curl --silent --output /dev/null --write-out "DNS: %{time_namelookup}s\nTCP 
connect: %{time_connect} s\nTLS connect: %{time_appconnect}s\nStart transfer: 
%{time_starttransfer} s\nTotal: %{time_total} s\n" $URL


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 11:23:05AM +0200,
 Romain  wrote 
 a message of 22 lines which said:

> 9.9.9.9 retourne 192.30.255.113

Quoi d'étonnant à cela ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] github.com injoignable depuis Free ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 11:35:09AM +0200,
 Erwan David  wrote 
 a message of 9 lines which said:

> > C'est reparti vers 11h10, juste après l'envoi de mon email initial.
> 
> Comme quoi il suffisait de le signaler ici pour que ça se répare tout seul

https://lafibre.info/free-espace-technique/quad9-inaccessible-depuis-reseau-free/msg873918/#msg873918


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Après, comme j'ai dis, il y a des RFCs qui date de 2003, my 2 cts...

Téléchargez Outlook pour Android


From: Ludovic LACOSTE 
Sent: Wednesday, June 9, 2021 3:00:23 PM
To: Michel 'ic' Luczak 
Cc: dwet...@atanar.com ; Stephane Bortzmeyer 
; Kévin GUERY ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Un CDN Down ?

Rien n'est immuable, c'était qu'elle année ?

Téléchargez Outlook pour Android


From: Michel 'ic' Luczak 
Sent: Wednesday, June 9, 2021 2:54:35 PM
To: Ludovic LACOSTE 
Cc: dwet...@atanar.com ; Stephane Bortzmeyer 
; Kévin GUERY ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Un CDN Down ?

Hello,

On 9 Jun 2021, at 12:05, Ludovic LACOSTE 
mailto:ludoviclaco...@hotmail.com>> wrote:

Il faudrait voir ce qu'ont donné les sites qui sont sous Cedexis, par exemple, 
parce que le "CDN de CDNs" c'est un concept ancien qui est déjà en place chez 
pas mal de monde avec des technos plus ou moins propriétaires/commerciales.

Sauf que pour cela il faudrait que Cedexis soit indestructible, et ayant vécu 
leur incident majeur il y a quelques années… pas vraiment envie d’y retourner !

Sinon il y a NS1 dans le genre, mais même remarque. Ca a autant de chances de 
casser qu’un gros CDN…

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Rien n'est immuable, c'était qu'elle année ?

Téléchargez Outlook pour Android


From: Michel 'ic' Luczak 
Sent: Wednesday, June 9, 2021 2:54:35 PM
To: Ludovic LACOSTE 
Cc: dwet...@atanar.com ; Stephane Bortzmeyer 
; Kévin GUERY ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Un CDN Down ?

Hello,

On 9 Jun 2021, at 12:05, Ludovic LACOSTE 
mailto:ludoviclaco...@hotmail.com>> wrote:

Il faudrait voir ce qu'ont donné les sites qui sont sous Cedexis, par exemple, 
parce que le "CDN de CDNs" c'est un concept ancien qui est déjà en place chez 
pas mal de monde avec des technos plus ou moins propriétaires/commerciales.

Sauf que pour cela il faudrait que Cedexis soit indestructible, et ayant vécu 
leur incident majeur il y a quelques années… pas vraiment envie d’y retourner !

Sinon il y a NS1 dans le genre, mais même remarque. Ca a autant de chances de 
casser qu’un gros CDN…

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Un CDN Down ?

[Michel 'ic' Luczak]

Hello,

> On 9 Jun 2021, at 12:05, Ludovic LACOSTE  wrote:
> 
> Il faudrait voir ce qu'ont donné les sites qui sont sous Cedexis, par 
> exemple, parce que le "CDN de CDNs" c'est un concept ancien qui est déjà en 
> place chez pas mal de monde avec des technos plus ou moins 
> propriétaires/commerciales.

Sauf que pour cela il faudrait que Cedexis soit indestructible, et ayant vécu 
leur incident majeur il y a quelques années… pas vraiment envie d’y retourner !

Sinon il y a NS1 dans le genre, mais même remarque. Ca a autant de chances de 
casser qu’un gros CDN…

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] [FRnOG] Re: Un CDN Down ?

[Renaud Chaput]

On 9 Jun 2021 at 11:59 +0200, Damien Wetzel , wrote:

a m'ammène à la question du multi-CDN, est ce que sa complexité
se justifie pour palier à des problemes comme celui rencontré hier
qui sont quand meme relativement trés rares ?

Est ce que avoir une config de secours sur un autre CDN + un DNS
configurable
rapidement avec des TTL courrs ~1min a un sens ?

Le gros problème du multi-CDN c’est la configuration du-dit CDN. Si tu ne
t’en sers que pour du cache simple de fichiers statiques, pourquoi pas,
mais si tu fais des choses plus complexes (réécriture de requêtes,
sécurité, optimisation d’images, routage dynamique, intelligence at the
edge) ça devient beaucoup plus compliqué.

Et vu que la grosse force de Fastly c’est de pouvoir faire un peu ce que tu
veux en terme de config, ça me parait vraiment complexe de le redonder. Et
ensuite, quelle est la probabilité que ta brique qui gère la redondance
cause à son tour une panne, est-ce plus ou moins élevé que la proba que
Fastly (ou autre) tombe ? Est-ce que tu n’introduis pas un SPOF via ton
outil de multi-CDN ?

Bref, sujet complexe et pas évident quand on commence à considérer tous les
aspects.

--
Renaud

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: Un CDN Down ?

[Xavier Claude]

On Wed, Jun 09, 2021 at 02:28:55PM +0200, Erwan David wrote:
> Le 09/06/2021 à 14:17, Xavier Claude a écrit :
> > On Wed, Jun 09, 2021 at 11:27:33AM +0200, Stephane Bortzmeyer wrote:
> > > On Tue, Jun 08, 2021 at 12:17:17PM +0200,
> > >   Kévin GUERY via frnog  wrote
> > >   a message of 14 lines which said:
> > > 
> > > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres
> > > > qui sembleraient liés à un problème sur CDN ?
> > > 
> > > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
> > > que ceux d'Orange.
> > > 
> > > https://www.fastly.com/blog/summary-of-june-8-outage
> > 
> > Je suis quand même étonné qu'une configuration client ait un impact sur 
> > tout le
> > réseau (en tout cas 85%) pour un truc aussi gros que fastly. Je m'imaginais 
> > que
> > les clients étaient un peu plus répartis que cela sur l'infrastructure.
> > 
> > (je retag en [tech])
> > 
> J'imagine très bien un système "si un serveur/cluster plante, alors on
> réparti les clients qui y étaient sur les autres" pour une meilleure
> résistance aux pannes hardware.

Effectivement, je n'ai pas pensé à l'effet domino. J'aurais dû réfléchir plus
de 10 secondes :) 

Xavier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: Un CDN Down ?

[Erwan David]

Le 09/06/2021 à 14:17, Xavier Claude a écrit :

On Wed, Jun 09, 2021 at 11:27:33AM +0200, Stephane Bortzmeyer wrote:

On Tue, Jun 08, 2021 at 12:17:17PM +0200,
  Kévin GUERY via frnog  wrote
  a message of 14 lines which said:


Apparemment de gros problèmes sur paypal, twitch, amazon et autres
qui sembleraient liés à un problème sur CDN ?


Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
que ceux d'Orange.

https://www.fastly.com/blog/summary-of-june-8-outage


Je suis quand même étonné qu'une configuration client ait un impact sur tout le
réseau (en tout cas 85%) pour un truc aussi gros que fastly. Je m'imaginais que
les clients étaient un peu plus répartis que cela sur l'infrastructure.

(je retag en [tech])

J'imagine très bien un système "si un serveur/cluster plante, alors on 
réparti les clients qui y étaient sur les autres" pour une meilleure 
résistance aux pannes hardware.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Damien DUJARDIN]

Bonjour à tous

N'y aurait-il pas une piste au travers du BGP anycast ?
Si chaque client autorise plusieurs fournisseurs de CDNs à annoncer son
même préfix unique, on se retrouverait avec de l'anycast multi fournisseurs.
Reste la contrainte d'être ultra réactif pour pouvoir arrêter les annonces
en cas de panne, via un health-check du service et des appels d'API

Mais pour moi cela n'est pas viable à l'échelle d'un seul client, on ne va
pas monopoliser un /24 par site web protégé.
Il faudrait des grappes de clients, utilisant les mêmes fournisseurs de CDN.

Est-ce que le jeu en vaut vraiment la chandelle pour une panne qui a duré
moins d'une heure ?
N'y a-t-il pas un risque d'introduire un nouveau risque de panne plus élevé
que la défaillance d'un fournisseur ?

J'en doute

Damien


Le mer. 9 juin 2021 à 13:38, Ludovic LACOSTE  a
écrit :

> De temps en temps, lire les RFCs, les respecter, et penser que nos pairs
> ont bossé dessus des heures sans réellement être rémunérés pour le bien de
> tous, ça fait du bien à l'internet (et l'égo aussi) 
> Merci @Pierre Colombier
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Pierre Colombier via frnog
> Envoyé : mercredi 9 juin 2021 13:27
> À : frnog@frnog.org
> Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ?
>
> Je pense que le DNS n'est pas la solution à cause du temps de propagation
> et des caches qui ne respectent pas les ttl courts.
>
> Pour ne pas avoir le problème des caches (y compris celui dans le browser
> du client) , Il faut que ton site soit capable de générer en quelques
> instants des url différentes pointant sur l'autre CDN.
>
>
> Mais je pense que c'est beaucoup d'efforts pour rien car déjà c'est un
> évènement très rare et qui quand il arrive dure généralement
> potentiellement moins que le temps de détecter le problème et de prendre
> les mesures.
>
> En plus, tu n'est pas à l'abris d'introduire des bugs dans ton propre
> système qui au final aggravera le problème.
>
> On 09/06/2021 11:56, Damien Wetzel wrote:
> > Bonjour,
> >
> > En tant que revendeur de la solution, on a un peu souffert hier ;)
> >
> > Cela m'ammène à la question du multi-CDN, est ce que sa complexité se
> > justifie pour palier à des problemes comme celui rencontré hier qui
> > sont quand meme relativement trés rares ?
> >
> > Est ce que avoir une config de secours sur un autre CDN + un DNS
> > configurable rapidement avec des TTL courrs ~1min a un sens ?
> >
> > Vos avis m'interressent.
> >
> > Cordialement,
> > Damien
> >
> >
> > Stephane Bortzmeyer writes:
> >   > On Tue, Jun 08, 2021 at 12:17:17PM +0200,
> >   >  Kévin GUERY via frnog  wrote
> >   >  a message of 14 lines which said:
> >   >
> >   > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres
> >   > > qui sembleraient liés à un problème sur CDN ?
> >   >
> >   > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais
> meilleur
> >   > que ceux d'Orange.
> >   >
> >   > https://www.fastly.com/blog/summary-of-june-8-outage
> >   >
> >   >
> >   > ---
> >   > Liste de diffusion du FRnOG
> >   > http://www.frnog.org/
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] Re: Un CDN Down ?

[Xavier Claude]

On Wed, Jun 09, 2021 at 11:27:33AM +0200, Stephane Bortzmeyer wrote:
> On Tue, Jun 08, 2021 at 12:17:17PM +0200,
>  Kévin GUERY via frnog  wrote 
>  a message of 14 lines which said:
> 
> > Apparemment de gros problèmes sur paypal, twitch, amazon et autres
> > qui sembleraient liés à un problème sur CDN ?
> 
> Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
> que ceux d'Orange.
> 
> https://www.fastly.com/blog/summary-of-june-8-outage

Je suis quand même étonné qu'une configuration client ait un impact sur tout le
réseau (en tout cas 85%) pour un truc aussi gros que fastly. Je m'imaginais que
les clients étaient un peu plus répartis que cela sur l'infrastructure.

(je retag en [tech])

Xavier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] github.com injoignable depuis Free ?

[DUVERGIER Claude]

  
  

Le 09/06/2021 à 11:29, Michel 'ic'
  Luczak a écrit :


  Hello,


Enormément de problèmes avec Quad9 dernièrement, et pas que depuis Free. Timeouts principalement sur certains (beaucoup) domaines alors qu’ils répondent sans problème via les autres resolvers publics…

++ ic



Merci pour le partage, je constatais aussi parfois certaines
  lenteurs (ouverture d'URL = "" blanche avec navigateur qui
  attends un truc... : un refresh et ça passe) et j'utilise Quad9.
J'essaie de trouver un bon résolveur gratuit supportant le DNSSEC
  : je vais donc repartir en chasse donc...

-- 
DUVERGIER Claude

  

RE: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

De temps en temps, lire les RFCs, les respecter, et penser que nos pairs ont 
bossé dessus des heures sans réellement être rémunérés pour le bien de tous, ça 
fait du bien à l'internet (et l'égo aussi) 
Merci @Pierre Colombier

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Pierre 
Colombier via frnog
Envoyé : mercredi 9 juin 2021 13:27
À : frnog@frnog.org
Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ?

Je pense que le DNS n'est pas la solution à cause du temps de propagation et 
des caches qui ne respectent pas les ttl courts.

Pour ne pas avoir le problème des caches (y compris celui dans le browser du 
client) , Il faut que ton site soit capable de générer en quelques instants des 
url différentes pointant sur l'autre CDN.


Mais je pense que c'est beaucoup d'efforts pour rien car déjà c'est un 
évènement très rare et qui quand il arrive dure généralement potentiellement 
moins que le temps de détecter le problème et de prendre les mesures.

En plus, tu n'est pas à l'abris d'introduire des bugs dans ton propre système 
qui au final aggravera le problème.

On 09/06/2021 11:56, Damien Wetzel wrote:
> Bonjour,
>
> En tant que revendeur de la solution, on a un peu souffert hier ;)
>
> Cela m'ammène à la question du multi-CDN, est ce que sa complexité se 
> justifie pour palier à des problemes comme celui rencontré hier qui 
> sont quand meme relativement trés rares ?
>
> Est ce que avoir une config de secours sur un autre CDN + un DNS 
> configurable rapidement avec des TTL courrs ~1min a un sens ?
>
> Vos avis m'interressent.
>
> Cordialement,
> Damien
>
>
> Stephane Bortzmeyer writes:
>   > On Tue, Jun 08, 2021 at 12:17:17PM +0200,
>   >  Kévin GUERY via frnog  wrote
>   >  a message of 14 lines which said:
>   >
>   > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres
>   > > qui sembleraient liés à un problème sur CDN ?
>   >
>   > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
>   > que ceux d'Orange.
>   >
>   > https://www.fastly.com/blog/summary-of-june-8-outage
>   >
>   >
>   > ---
>   > Liste de diffusion du FRnOG
>   > http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Pierre Colombier via frnog]

Je pense que le DNS n'est pas la solution à cause du temps de 
propagation et des caches qui ne respectent pas les ttl courts.


Pour ne pas avoir le problème des caches (y compris celui dans le 
browser du client) , Il faut que ton site soit capable de générer en 
quelques instants des url différentes pointant sur l'autre CDN.



Mais je pense que c'est beaucoup d'efforts pour rien car déjà c'est un 
évènement très rare et qui quand il arrive dure généralement 
potentiellement moins que le temps de détecter le problème et de prendre 
les mesures.


En plus, tu n'est pas à l'abris d'introduire des bugs dans ton propre 
système qui au final aggravera le problème.


On 09/06/2021 11:56, Damien Wetzel wrote:

Bonjour,

En tant que revendeur de la solution, on a un peu souffert hier ;)

Cela m'ammène à la question du multi-CDN, est ce que sa complexité
se justifie pour palier à des problemes comme celui rencontré hier
qui sont quand meme relativement trés rares ?

Est ce que avoir une config de secours sur un autre CDN + un DNS configurable
rapidement avec des TTL courrs ~1min a un sens ?

Vos avis m'interressent.

Cordialement,
Damien


Stephane Bortzmeyer writes:
  > On Tue, Jun 08, 2021 at 12:17:17PM +0200,
  >  Kévin GUERY via frnog  wrote
  >  a message of 14 lines which said:
  >
  > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres
  > > qui sembleraient liés à un problème sur CDN ?
  >
  > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
  > que ceux d'Orange.
  >
  > https://www.fastly.com/blog/summary-of-june-8-outage
  >
  >
  > ---
  > Liste de diffusion du FRnOG
  > http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Et puis d’après l’analyse que j’ai pu lire, le problème est un problème de 
couche 7 (voir 8 , l’interface chaise/clavier, c’est terrible )
Erreur http 503, c’est un problème applicatif, pas réseau. Le DNS là-dedans …

De : Ludovic LACOSTE 
Envoyé : mercredi 9 juin 2021 13:16
À : Samuel Thibault 
Cc : Damien Wetzel ; frnog-al...@frnog.org
Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ?

Ça depends aussi des numéros de version des enregistrements, de comment 
fonctionne le client du eyeballs, de la mise en place de Split dns (dans 
certains réseaux) etc etc etc
Téléchargez Outlook pour Android


From: Samuel Thibault 
mailto:samuel.thiba...@ens-lyon.org>>
Sent: Wednesday, June 9, 2021 1:12:27 PM
To: Ludovic LACOSTE 
mailto:ludoviclaco...@hotmail.com>>
Cc: Damien Wetzel mailto:dwet...@atanar.com>>; 
frnog-al...@frnog.org 
mailto:frnog-al...@frnog.org>>
Subject: Re: [FRnOG] Re: [ALERT] Un CDN Down ?

Ludovic LACOSTE, le mer. 09 juin 2021 11:08:53 +, a ecrit:
> Non, ça marche pas comme ça le caching de Dns, en fonction du TTL

Mais encore ? S'ils augmentent le TTL, c'est bien pour éviter des
requêtes. Et pour toutes ces requêtes évitées, c'est autant de clients
qui n'auront pas switché de CDN.

Samuel

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Charles Decoux]

On 6/9/21 12:27 PM, Vincent Habchi wrote:

Le 09/06/2021 à 12:05, Florent Guillot a écrit :

On me fait remarquer que Free <> Hetzner, ça marche pas non plus.


Je surfirme.

Air > ping6 hetzner.com
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=0 hlim=55 time=15.912 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=1 hlim=55 time=23.911 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=2 hlim=55 time=23.093 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=3 hlim=55 time=23.743 ms

Air > traceroute hetzner.com
traceroute to hetzner.com (88.198.255.177), 64 hops max, 52 byte packets
  1  192.168.0.254 (192.168.0.254)  8.878 ms  2.266 ms  2.147 ms
  2  * * 194.149.169.162 (194.149.169.162)  12.807 ms
  3  * * *
  4  * * *


Le problème semble être réglé ; j'arrive de nouveau à joindre Hetzner
depuis Free, et inversement, depuis 11 h 15 CEST.

--
Charles Decoux
char...@phowork.fr


OpenPGP_0x21250229447867E2.asc
Description: OpenPGP public key


OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Ça depends aussi des numéros de version des enregistrements, de comment 
fonctionne le client du eyeballs, de la mise en place de Split dns (dans 
certains réseaux) etc etc etc

Téléchargez Outlook pour Android


From: Samuel Thibault 
Sent: Wednesday, June 9, 2021 1:12:27 PM
To: Ludovic LACOSTE 
Cc: Damien Wetzel ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] Re: [ALERT] Un CDN Down ?

Ludovic LACOSTE, le mer. 09 juin 2021 11:08:53 +, a ecrit:
> Non, ça marche pas comme ça le caching de Dns, en fonction du TTL

Mais encore ? S'ils augmentent le TTL, c'est bien pour éviter des
requêtes. Et pour toutes ces requêtes évitées, c'est autant de clients
qui n'auront pas switché de CDN.

Samuel

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Samuel Thibault]

Ludovic LACOSTE, le mer. 09 juin 2021 11:08:53 +, a ecrit:
> Non, ça marche pas comme ça le caching de Dns, en fonction du TTL

Mais encore ? S'ils augmentent le TTL, c'est bien pour éviter des
requêtes. Et pour toutes ces requêtes évitées, c'est autant de clients
qui n'auront pas switché de CDN.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Non, ça marche pas comme ça le caching de Dns, en fonction du TTL

Téléchargez Outlook pour Android


From: frnog-requ...@frnog.org  on behalf of Samuel 
Thibault 
Sent: Wednesday, June 9, 2021 1:07:09 PM
To: Damien Wetzel 
Cc: frnog-al...@frnog.org 
Subject: Re: [FRnOG] Re: [ALERT] Un CDN Down ?

Damien Wetzel, le mer. 09 juin 2021 12:10:50 +0200, a ecrit:
> Je sous entends bien sur que le serveur DNS autorité est robuste
> Il faut que le TTL soit court pour que le switch de CDN se fasse rapidement
> meme si les resolveurs DNS peuvent mettre des valeurs minimum plus hautes

Si les résolveurs DNS augmentent le TTL, justement le switch de CDN ne
se fera pas avant ce TTL élevé...

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Un CDN Down ?

[Samuel Thibault]

Damien Wetzel, le mer. 09 juin 2021 12:10:50 +0200, a ecrit:
> Je sous entends bien sur que le serveur DNS autorité est robuste
> Il faut que le TTL soit court pour que le switch de CDN se fasse rapidement
> meme si les resolveurs DNS peuvent mettre des valeurs minimum plus hautes

Si les résolveurs DNS augmentent le TTL, justement le switch de CDN ne
se fera pas avant ce TTL élevé...

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Ludovic LACOSTE]

Le ping, c'est toujours de l'ICMP ? ça testes toujours pas le temps en TCP, 
comme un TCP pingues ?

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Vincent 
Habchi
Envoyé : mercredi 9 juin 2021 12:28
À : FRench Network Operators Group 
Objet : Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?


> On 9 Jun 2021, at 12:20, Daniel via frnog  wrote:
> 
> Je confirme
> 
> Le 09/06/2021 à 12:05, Florent Guillot a écrit :
>> On me fait remarquer que Free <> Hetzner, ça marche pas non plus.
>> Et en effet, les sondes atlas hébergées chez Free ont l'air du même avis:
>> 
>> https://atlas.ripe.net/measurements/30712759/#probes
>> 
>> Heureusement ça ne concerne que la version legacy d'IP (IPv4), donc 
>> ça ne devrait pas impacter grand monde !

Je surfirme.

Air > ping6 hetzner.com
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=0 hlim=55 time=15.912 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=1 hlim=55 time=23.911 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=2 hlim=55 time=23.093 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=3 hlim=55 time=23.743 ms

Air > traceroute hetzner.com
traceroute to hetzner.com (88.198.255.177), 64 hops max, 52 byte packets
 1  192.168.0.254 (192.168.0.254)  8.878 ms  2.266 ms  2.147 ms
 2  * * 194.149.169.162 (194.149.169.162)  12.807 ms
 3  * * *
 4  * * *
[…]

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Vincent Habchi]

> On 9 Jun 2021, at 12:20, Daniel via frnog  wrote:
> 
> Je confirme
> 
> Le 09/06/2021 à 12:05, Florent Guillot a écrit :
>> On me fait remarquer que Free <> Hetzner, ça marche pas non plus.
>> Et en effet, les sondes atlas hébergées chez Free ont l'air du même avis:
>> 
>> https://atlas.ripe.net/measurements/30712759/#probes
>> 
>> Heureusement ça ne concerne que la version legacy d'IP (IPv4), donc ça
>> ne devrait pas impacter grand monde !

Je surfirme.

Air > ping6 hetzner.com
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=0 hlim=55 time=15.912 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=1 hlim=55 time=23.911 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=2 hlim=55 time=23.093 ms
16 bytes from 2a01:4f8:0:5176::3, icmp_seq=3 hlim=55 time=23.743 ms

Air > traceroute hetzner.com
traceroute to hetzner.com (88.198.255.177), 64 hops max, 52 byte packets
 1  192.168.0.254 (192.168.0.254)  8.878 ms  2.266 ms  2.147 ms
 2  * * 194.149.169.162 (194.149.169.162)  12.807 ms
 3  * * *
 4  * * *
[…]

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Et, comme tu le soulignes Damien, les résolveurs DNS de la plupart des 
opérateurs des eyeballs "forcent" ce même TTL pour éviter des DoSDNS, par 
exemple ...

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Damien 
Wetzel
Envoyé : mercredi 9 juin 2021 12:11
À : frnog-al...@frnog.org
Objet : [FRnOG] Re: [ALERT] Un CDN Down ?

Je sous entends bien sur que le serveur DNS autorité est robuste Il faut que le 
TTL soit court pour que le switch de CDN se fasse rapidement meme si les 
resolveurs DNS peuvent mettre des valeurs minimum plus hautes

Stephane Bortzmeyer writes:
 > On Wed, Jun 09, 2021 at 11:56:43AM +0200,  >  Damien Wetzel 
 >  wrote  >  a message of 51 lines which said:
 >
 > > Est ce que avoir une config de secours sur un autre CDN + un DNS  > > 
 > > configurable rapidement avec des TTL courrs ~1min a un sens ?
 >
 > Je rappele qu'un TTL DNS court est un excellent moyen d'aggraver les  > 
 > conséquences d'une panne ou d'une attaque contre vos serveurs DNS  > faisant 
 > autorité. TTL de 10 minutes : vous devez être sûr que vos  > serveurs 
 > faisant autorité seront sauvés en moins de 10 minutes.
 >
 >
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Un CDN Down ?

[Damien Wetzel]

Je sous entends bien sur que le serveur DNS autorité est robuste
Il faut que le TTL soit court pour que le switch de CDN se fasse rapidement
meme si les resolveurs DNS peuvent mettre des valeurs minimum plus hautes

Stephane Bortzmeyer writes:
 > On Wed, Jun 09, 2021 at 11:56:43AM +0200,
 >  Damien Wetzel  wrote 
 >  a message of 51 lines which said:
 > 
 > > Est ce que avoir une config de secours sur un autre CDN + un DNS
 > > configurable rapidement avec des TTL courrs ~1min a un sens ?
 > 
 > Je rappele qu'un TTL DNS court est un excellent moyen d'aggraver les
 > conséquences d'une panne ou d'une attaque contre vos serveurs DNS
 > faisant autorité. TTL de 10 minutes : vous devez être sûr que vos
 > serveurs faisant autorité seront sauvés en moins de 10 minutes.
 > 
 > 
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Daniel via frnog]

Je confirme

Le 09/06/2021 à 12:05, Florent Guillot a écrit :

On me fait remarquer que Free <> Hetzner, ça marche pas non plus.
Et en effet, les sondes atlas hébergées chez Free ont l'air du même avis:

https://atlas.ripe.net/measurements/30712759/#probes

Heureusement ça ne concerne que la version legacy d'IP (IPv4), donc ça
ne devrait pas impacter grand monde !


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Un CDN Down ?

[Ludovic LACOSTE]

Il faudrait voir ce qu'ont donné les sites qui sont sous Cedexis, par exemple, 
parce que le "CDN de CDNs" c'est un concept ancien qui est déjà en place chez 
pas mal de monde avec des technos plus ou moins propriétaires/commerciales.
En 2003, j'avais participé à quelques discussions concernant la RFC 3466, ça 
aurait été un aboutissement du CDN, un autre moyen de faire du CDN de CDNs, 
mais bon ...


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Damien 
Wetzel
Envoyé : mercredi 9 juin 2021 11:57
À : Stephane Bortzmeyer 
Cc : Kévin GUERY ; frnog-al...@frnog.org
Objet : [FRnOG] Re: [ALERT] Un CDN Down ?

Bonjour,

En tant que revendeur de la solution, on a un peu souffert hier ;)

Cela m'ammène à la question du multi-CDN, est ce que sa complexité se justifie 
pour palier à des problemes comme celui rencontré hier qui sont quand meme 
relativement trés rares ?

Est ce que avoir une config de secours sur un autre CDN + un DNS configurable 
rapidement avec des TTL courrs ~1min a un sens ?

Vos avis m'interressent.

Cordialement,
Damien 


Stephane Bortzmeyer writes:
 > On Tue, Jun 08, 2021 at 12:17:17PM +0200,  >  Kévin GUERY via frnog 
 >  wrote  >  a message of 14 lines which said:
 >
 > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres  > > 
 > > qui sembleraient liés à un problème sur CDN ?
 >
 > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur  > 
 > que ceux d'Orange.
 >
 > https://www.fastly.com/blog/summary-of-june-8-outage
 >
 >
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Un CDN Down ?

[Damien Wetzel]

Bonjour,

En tant que revendeur de la solution, on a un peu souffert hier ;)

Cela m'ammène à la question du multi-CDN, est ce que sa complexité
se justifie pour palier à des problemes comme celui rencontré hier
qui sont quand meme relativement trés rares ?

Est ce que avoir une config de secours sur un autre CDN + un DNS configurable
rapidement avec des TTL courrs ~1min a un sens ?

Vos avis m'interressent.

Cordialement,
Damien 


Stephane Bortzmeyer writes:
 > On Tue, Jun 08, 2021 at 12:17:17PM +0200,
 >  Kévin GUERY via frnog  wrote 
 >  a message of 14 lines which said:
 > 
 > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres
 > > qui sembleraient liés à un problème sur CDN ?
 > 
 > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
 > que ceux d'Orange.
 > 
 > https://www.fastly.com/blog/summary-of-june-8-outage
 > 
 > 
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Florent Guillot]

On me fait remarquer que Free <> Hetzner, ça marche pas non plus.
Et en effet, les sondes atlas hébergées chez Free ont l'air du même avis:

https://atlas.ripe.net/measurements/30712759/#probes

Heureusement ça ne concerne que la version legacy d'IP (IPv4), donc ça
ne devrait pas impacter grand monde !

Bonne journée
Florent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Wed, Jun 09, 2021 at 11:56:43AM +0200,
 Damien Wetzel  wrote 
 a message of 51 lines which said:

> Est ce que avoir une config de secours sur un autre CDN + un DNS
> configurable rapidement avec des TTL courrs ~1min a un sens ?

Je rappele qu'un TTL DNS court est un excellent moyen d'aggraver les
conséquences d'une panne ou d'une attaque contre vos serveurs DNS
faisant autorité. TTL de 10 minutes : vous devez être sûr que vos
serveurs faisant autorité seront sauvés en moins de 10 minutes.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Question a Mr RFC et a ceux qui auraient un avis

[x.roca]

Hello,

 

IETF venant de ratifier la RFC 9000, il me vient une question.

Merci en tous cas pour le bel article écrit.

 

Est-il intéressant de faire passer sur QUIC le flux RTP par rapport à du
SRTP sur UDP qui permet, il me semble, a peu près le même chose.

On a bien vue déjà un Draft de RTP over QUIC.

On voit un seul intérêt pour l’instant, ce serait d’avoir le SIP et RTP sur
le même tuyau.

Mais il n’y aurait-il pas d’autres avantages que l’on n’aurait pas
identifiés car celui-ci est minime ?

 

Xavier

 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Erwan David]

Le 09/06/2021 à 11:18, Artur a écrit :

C'est reparti vers 11h10, juste après l'envoi de mon email initial.


Comme quoi il suffisait de le signaler ici pour que ça se répare tout seul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Michel 'ic' Luczak]

Hello,

> On 9 Jun 2021, at 11:12, Kevin Decherf  wrote:
> 
> Cela semble aussi impacter Quad9.

Enormément de problèmes avec Quad9 dernièrement, et pas que depuis Free. 
Timeouts principalement sur certains (beaucoup) domaines alors qu’ils répondent 
sans problème via les autres resolvers publics…

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Un CDN Down ?

[Stephane Bortzmeyer]

On Tue, Jun 08, 2021 at 12:17:17PM +0200,
 Kévin GUERY via frnog  wrote 
 a message of 14 lines which said:

> Apparemment de gros problèmes sur paypal, twitch, amazon et autres
> qui sembleraient liés à un problème sur CDN ?

Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur
que ceux d'Orange.

https://www.fastly.com/blog/summary-of-june-8-outage


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Romain]

9.9.9.9 retourne 192.30.255.113

Le mer. 9 juin 2021 à 11:14, Vincent Habchi  a écrit :

> Pas de souci ici depuis ma freebox :
>
> Air > ping github.com
> PING github.com (140.82.121.3): 56 data bytes
> 64 bytes from 140.82.121.3: icmp_seq=0 ttl=53 time=13.662 ms
> 64 bytes from 140.82.121.3: icmp_seq=1 ttl=53 time=18.792 ms
> 64 bytes from 140.82.121.3: icmp_seq=2 ttl=53 time=20.659 ms
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Vincent Habchi]

> On 9 Jun 2021, at 11:18, Artur  wrote:
> 
> C'est reparti vers 11h10, juste après l'envoi de mon email initial.

OK.
Bonne journée !
V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Artur]

C'est reparti vers 11h10, juste après l'envoi de mon email initial.

Le 09/06/2021 à 11:14, Vincent Habchi a écrit :
> Pas de souci ici depuis ma freebox :
> 
> Air > ping github.com
> PING github.com (140.82.121.3): 56 data bytes
> 64 bytes from 140.82.121.3: icmp_seq=0 ttl=53 time=13.662 ms
> 64 bytes from 140.82.121.3: icmp_seq=1 ttl=53 time=18.792 ms
> 64 bytes from 140.82.121.3: icmp_seq=2 ttl=53 time=20.659 ms
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


-- 
Cordialement,
Artur


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Vincent Habchi]

Pas de souci ici depuis ma freebox :

Air > ping github.com
PING github.com (140.82.121.3): 56 data bytes
64 bytes from 140.82.121.3: icmp_seq=0 ttl=53 time=13.662 ms
64 bytes from 140.82.121.3: icmp_seq=1 ttl=53 time=18.792 ms
64 bytes from 140.82.121.3: icmp_seq=2 ttl=53 time=20.659 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] github.com injoignable depuis Free ?

[Kevin Decherf]

Hello,

On Wed, Jun 9, 2021, at 11:09, Artur wrote:
> Hello !
> 
> Depuis un peu moins d'une heure impossible de joindre Github et ses
> services depuis Free.fr.
> Plusieurs personnes me l'ont signalé depuis des localisations
> différentes en France.
> Pas de souci depuis Sosh.
> 
> Constatez-vous la même perturbation ?

C'est constaté ici aussi par plusieurs personnes chez Free.
Cela semble aussi impacter Quad9.

-- 
Kevin Decherf - @Kdecherf
GPG 0x108ABD75A81E6E2F
https://kdecherf.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] github.com injoignable depuis Free ?

[Artur]

Hello !

Depuis un peu moins d'une heure impossible de joindre Github et ses
services depuis Free.fr.
Plusieurs personnes me l'ont signalé depuis des localisations
différentes en France.
Pas de souci depuis Sosh.

Constatez-vous la même perturbation ?

-- 
Cordialement,
Artur


---
Liste de diffusion du FRnOG
http://www.frnog.org/