[FRnOG] [MISC] Don de routeurs Brocade et switchs Extreme

[Benjamin Abadie via frnog]

Bonjour la liste,

On (Enix) déménage donc plutôt que de les transporter de stock à stock, 
on donne des switchs et routeurs donc on n'a plus l'utilité.


Il s'agit de :
- 6 routeurs Foundry/Brocade BigIron RX-4 avec chacun 2 cartes de 
management RX-BI-MR, et, en tout :

  - 9 linecards BI-4XG (4x10G XFP)
  - 5 linecards BI-24F (24x1G SFP)
- 2 switchs Extreme Networks Summit x480 24X.

Ils sont à venir chercher fin de semaine prochaine, dans Paris métro 
Réaumur-Sébastopol.


Si vous êtes intéressés, faites-moi un petit mail en expliquant vite 
fait à quoi vous les destinez. Je préfère les assos et PME plutôt que 
les ferrailleurs, mais il faut que ça parte.


Si vous me croisez (brun, barbu) cette aprem on peut aussi en discuter 
de vive voix.


Bonne journée,
--
Benjamin Abadie
Network Engineer - https://enix.io


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Wallace]

De notre côté :

- des personnes sous XP, quelques tablettes Android, iPhone pas si vieux 
que ça qui n'arrivent plus à se connecter à des services ...


- côté infra sur des serveurs figés par les clients (comprendre ils 
refusent les maj) en Debian 8 malgré la présence du nouveau certificat 
depuis longtemps, les applications présentent utilisent encore l'ancien 
certificat invalide, on l'a juste commenté dans la liste des CA du 
système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors 
que les deux CA root sont présents et activés


- un client ecommerce s'est vu refuser pas mal de paiement de commande 
par son prestataire monétique qui utilisait un certificat pas signé avec 
le nouveau CA, ils ont pu rétablir à 23h hier


Sinon RAS pour le reste

Le 30/09/2021 à 21:55, Adrien Rivas a écrit :

Bonjour,

Premier cas pratique : le web filtering de Fortinet qui refuse par défaut
la navigation sur les sites webs dont le certificat a expiré. Ça se
contourne en autorisant dans un profil de "certificate inspection" custom
les certificats expirés.

Le mer. 29 sept. 2021 à 17:33, Julien Escario  a
écrit :


Le 29/09/2021 à 17:22, Wallace a écrit :

On encourage les gens à garder leur matériel plus longtemps mais on leur
coupe un des usages si ce n'est le majeur de leurs appareils. Pas de web,
pas d'api pour les store, ...

A mon avis va y a voir des appels dans les hotlines des FAI, ça marche pas
j'arrive plus à aller sur Internet, moi j'ai rien changé ...

Meuh non, tout le monde sait que Internet = Facebook. Vu qu'ils
n'utilisent pas Let's Encrypt (sans vérifier, je l'ai bloqué niveau DNS
ici), ça va passer crème.

Qu'est-ce qu'on va rigoler vendredi ! Si *en plus* y'a d'la Chouffe, alors
là ...

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[David Ponzone]

> 
> - côté infra sur des serveurs figés par les clients (comprendre ils refusent 
> les maj) en Debian 8 malgré la présence du nouveau certificat depuis 
> longtemps, les applications présentent utilisent encore l'ancien certificat 
> invalide, on l'a juste commenté dans la liste des CA du système. Bizarrement 
> on a pas eu ce comportement sur Debian 9 à 11 alors que les deux CA root sont 
> présents et activés
> 

Je pense que c’est lié à ça, un comportement spécifique de OpenSSL 1.0.2:

https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/ 


Moi j’ai eu acme.sh qui ne marchait plus sur des Debian8, j’ai mis à jour 
openssl et ca-certificate, et c’est reparti.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Cherche acces OOB Colt Bessieres et Ulis

[Sébastien Lesimple]

Bonjour la liste!

J'ai besoin d'acces internet avec IP Statique pour mon admin OOB dans
les DC Colt de Bessieres et Ulis. Quelqu'un peut me faire un offre par
trop violente?
Je suis open sur le débit mais 10 ou 20 meg ca le fait (au cas ou les
ingés doivent envoyer quelques quick fix ou patchs).

J'ai bien un AS mais qui est administré par Colt et pas encore le temps
de remettre ca au propre donc je ne peux pas vous proposer de l'échange
de bons procédés pour le moment...

Envoyez sur slesim...@laposte.net, j'aurai plus de reactivité pour les
questions...

Merci!


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Wallace]

Bien vu c'était en 1.0.1g de mémoire sur Debian 8.

J'ai oublié de citer une Ubuntu 16.04 qui est pourtant encore supporté 
LTS qui a aussi eu le problème mais là on a du effectivement backporter 
openssl depuis la 18.04 pour que ça fonctionne.


Le 01/10/2021 à 10:55, David Ponzone a écrit :

- côté infra sur des serveurs figés par les clients (comprendre ils refusent 
les maj) en Debian 8 malgré la présence du nouveau certificat depuis longtemps, 
les applications présentent utilisent encore l'ancien certificat invalide, on 
l'a juste commenté dans la liste des CA du système. Bizarrement on a pas eu ce 
comportement sur Debian 9 à 11 alors que les deux CA root sont présents et 
activés


Je pense que c’est lié à ça, un comportement spécifique de OpenSSL 1.0.2:

https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/  


Moi j’ai eu acme.sh qui ne marchait plus sur des Debian8, j’ai mis à jour 
openssl et ca-certificate, et c’est reparti.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Erwan David]

Le 01/10/2021 à 10:31, Wallace a écrit :

De notre côté :

- des personnes sous XP, quelques tablettes Android, iPhone pas si vieux 
que ça qui n'arrivent plus à se connecter à des services ...


- côté infra sur des serveurs figés par les clients (comprendre ils 
refusent les maj) en Debian 8 malgré la présence du nouveau certificat 
depuis longtemps, les applications présentent utilisent encore l'ancien 
certificat invalide, on l'a juste commenté dans la liste des CA du 
système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors 
que les deux CA root sont présents et activés


- un client ecommerce s'est vu refuser pas mal de paiement de commande 
par son prestataire monétique qui utilisait un certificat pas signé avec 
le nouveau CA, ils ont pu rétablir à 23h hier


Sinon RAS pour le reste



Par contre des trucs récents avec pile TLS bugguée qui refusent le 
cross-signing si le premier certificat n'est plus valide : le DoT dans 
Android 11 :(



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'AP WIFI

[Arnaud Launay]

Le Thu, Sep 30, 2021 at 07:06:08PM +0200, David Ponzone a écrit:
> En plus, chez Ubi, j’ai encore jamais vu une borne ne plus être vue par le
> contrôleur. Y a plus de mises à jour, tu peux plus les configurer, mais tu 
> les vois
> sur le contrôleur.

Sisi, tu peux encore les configurer et les voir. Il faut juste conserver une 
ancienne
version du contrôleur sous le coude (typiquement, la dernière avant que les 
bornes ne
soient plus supportées). Tu colles ça dans une VM et ça suffit... Après, tu 
auras
deux contrôleurs, ce qui n'est pas le pied, mais au moins le matos peut 
continuer à
servir, ce n'est pas juste de la fonte cale-porte comme les Meraki.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'AP WIFI

[David Ponzone]

Oui bien sûr, tu peux faire ça, mais justement j’imaginais quelqu’un qui veut 
upgrader son contrôleur et ne pas en gérer 2 :)


> Le 1 oct. 2021 à 13:21, Arnaud Launay  a écrit :
> 
> Le Thu, Sep 30, 2021 at 07:06:08PM +0200, David Ponzone a écrit:
>> En plus, chez Ubi, j’ai encore jamais vu une borne ne plus être vue par le
>> contrôleur. Y a plus de mises à jour, tu peux plus les configurer, mais tu 
>> les vois
>> sur le contrôleur.
> 
> Sisi, tu peux encore les configurer et les voir. Il faut juste conserver une 
> ancienne
> version du contrôleur sous le coude (typiquement, la dernière avant que les 
> bornes ne
> soient plus supportées). Tu colles ça dans une VM et ça suffit... Après, tu 
> auras
> deux contrôleurs, ce qui n'est pas le pied, mais au moins le matos peut 
> continuer à
> servir, ce n'est pas juste de la fonte cale-porte comme les Meraki.
> 
>   Arnaud.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[N R]

Bonjour,

On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L .
Il ne validait plus les certificats let's encrypt, comportement
constaté en installant FRR depuis les dépôts.

Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root CA
X3" par un point d'exclamation et lancer un update-ca-certificates
pour corriger le problème.

Des bisous,
Nick

Le 01/10/2021, Erwan David a écrit :
> Le 01/10/2021 à 10:31, Wallace a écrit :
>> De notre côté :
>>
>> - des personnes sous XP, quelques tablettes Android, iPhone pas si vieux
>> que ça qui n'arrivent plus à se connecter à des services ...
>>
>> - côté infra sur des serveurs figés par les clients (comprendre ils
>> refusent les maj) en Debian 8 malgré la présence du nouveau certificat
>> depuis longtemps, les applications présentent utilisent encore l'ancien
>> certificat invalide, on l'a juste commenté dans la liste des CA du
>> système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors
>> que les deux CA root sont présents et activés
>>
>> - un client ecommerce s'est vu refuser pas mal de paiement de commande
>> par son prestataire monétique qui utilisait un certificat pas signé avec
>> le nouveau CA, ils ont pu rétablir à 23h hier
>>
>> Sinon RAS pour le reste
>>
>
> Par contre des trucs récents avec pile TLS bugguée qui refusent le
> cross-signing si le premier certificat n'est plus valide : le DoT dans
> Android 11 :(
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Choix d'AP WIFI

[Michel Py via frnog]

> Arnaud Launay a écrit :
> Sisi, tu peux encore les configurer et les voir. Il faut juste conserver une 
> ancienne version du
> contrôleur sous le coude (typiquement, la dernière avant que les bornes ne 
> soient plus supportées).
> Tu colles ça dans une VM et ça suffit... Après, tu auras deux contrôleurs, ce 
> qui n'est pas le pied,
> mais au moins le matos peut continuer à servir, ce n'est pas juste de la 
> fonte cale-porte comme les Meraki.

C'est pas franchement mieux, ceci dit.

Bon, en étant pragmatique, à tant qu'acheter du matos dont la date de mort est 
déjà décidée le jour ou ça sort, autant prendre le moins cher qui fait le 
boulot; ce qui jusqu'à présent veut encore dire ubnt. Ceci étant dit, j'ai été 
un supporter inconditionnel de Ubnt pendant des lustres, mais je retire mon 
support public. Avant, je recommandais; maintenant, ce n'est plus qu'une 
histoires de gros sous.

Tout le monde sait le grand mal que je pense de Merdaki. Malgré ça, j'ai écrit 
récemment que ça marchait et que ça ne m'emmerdait pas. Je ne suis pas à 
vendre, mais je constate : un de mes sous-traitants a déployé du ubnt 
récemmment et ils n'arrivent pas à obtenir le cloudkey nécessaire à leur 
déploiement. Ils ont perdu leur chemise à déployer un PC de daube pour servir 
de controlleur.
Merdaki, c'est de la merde chère, mais qui juste marche. Ubnt, c'est devenu de 
la merde pas chère qui ne marche pas, car quand on doit déployer un PC installé 
à la main pour remplacer le machin à 100 € qu'ils ne sont pas foutus de 
produire, ça coute des montagnes de pognon au lieu d'en rapporter.

Ubnt, ils ont perdu ma confiance. C'est con à écrire, mais vu la manière dont 
ils ont merdé avec le cloudkey, comment est-ce que je peux leur faire confiance 
avec AirFiber, ces jours-ci ?
J'ai du matos Ubnt neuf acheté il y à moins de 2 ans qui n'est plus supporté. 
Merdaki, ça dure 4 ans.

La fin d'une époque.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/