RE: [FRnOG] [TECH] SSTP et CA self-signed

[Michel Py via frnog]

>>> David Ponzone a écrit :
>>> T’as combien d’actions Cisco, exactement, en fait ? :)

>> Michel Py a écrit :
>> Exactement, zéro ! J'attends avec impatience mon nouveau routeur perso, 
>> Cisco ASR1002-F. 294€ sur eBay, double alim hot-swap, fibre redondante, ça 
>> marche pour moi :P

> Mickael Monsieur a écrit :
> Et sinon , pour un routeur qui fait pas de 10G, il mange combien de kWh? 
> C’est ça le pire avec ces choses là.

Le 1002 peut faire du 10G avec SPA-1X10G et SPE10; j'ai pris un 1002-F car ça 
suffit à mes besoins. Bon c'est sûr que c'est pas un Raspi, mais ça n'a pas 
l'air si pire. L'alim fait 470W, c'est pour quand il est chargé jusqu'aux 
oreilles avec un SPE de haut de gamme et 3x SPA; à poil ça devrait aller. Je 
mettrai le kill-a-watt dessus.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SSTP et CA self-signed

[Mickael Monsieur]

> Le 8 oct. 2021 à 21:02, Michel Py via frnog  a écrit :
> 
> 
>> 
>> David Ponzone a écrit :
>> Je traduis du langage Py vers un langage compréhensible par le majorité des 
>> humains:
>> Tu as donc pris un vrai certificat commercial, qui autorise d’avoir une IP 
>> dans le CN ?
> 
> Non, j'ai pris un certificat commercial avec le nom de domaine. 10 balles par 
> an, pas d'emmerdes.
> Si tu n'as pas confiance en DNS, tu peux toujours faire une entrée dans le 
> fichiers hosts :P
> Aie aie pas taper, pas taper !!
> 
> 
>> T’as combien d’actions Cisco, exactement, en fait ? :)
> 
> Exactement, zéro ! J'attends avec impatience mon nouveau routeur perso, Cisco 
> ASR1002-F. 294€ sur eBay, double alim hot-swap, fibre redondante, ça marche 
> pour moi :P

Et sinon , pour un routeur qui fait pas de 10G, il mange combien de kWh? C’est 
ça le pire avec ces choses là.

> 
> Michel.
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SSTP et CA self-signed

[Michel Py via frnog]

> David Ponzone a écrit :
> Je traduis du langage Py vers un langage compréhensible par le majorité des 
> humains:
> Tu as donc pris un vrai certificat commercial, qui autorise d’avoir une IP 
> dans le CN ?

Non, j'ai pris un certificat commercial avec le nom de domaine. 10 balles par 
an, pas d'emmerdes.
Si tu n'as pas confiance en DNS, tu peux toujours faire une entrée dans le 
fichiers hosts :P
Aie aie pas taper, pas taper !!


> T’as combien d’actions Cisco, exactement, en fait ? :)

Exactement, zéro ! J'attends avec impatience mon nouveau routeur perso, Cisco 
ASR1002-F. 294€ sur eBay, double alim hot-swap, fibre redondante, ça marche 
pour moi :P

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Facebook Whatsapp Instagram down

[Mickael Monsieur]

https://downdetector.fr/statut/facebook/

On dirait bien que Facebook a encore des petits problèmes ?

> Le 7 oct. 2021 à 13:33, Férasse Mathieu  a écrit :
> 
> un peu de lecture supplementaire sur ce sujet :
> https://www.thousandeyes.com/blog/facebook-outage-analysis
> 
> bonne journée à tous !!
> Mathieu
> 
>> On Wed, 6 Oct 2021 at 16:26, Nicolas Parpandet  wrote:
>> 
>> 
>> C'est assez étonnant qu'un seul point d'entrée soit capable de faire
>> tomber l'intégralité du réseau,
>> il m'arrive de ne pas mettre des switchs en stack, ou de ne pas mettre 2
>> serveurs en cluster,
>> en cas de bug logiciel, update moisie ou erreur humaine... (toute la stack
>> plantée, ou tout le cluster au tas, vécu quelques fois en 20 ans...)
>> au moins tu as encore la moitié qui tourne ...
>> 
>> pour le OOB, il y a quelques années on bossait avec Verizon, ils posaient
>> une RTC par équipement actif, un truc assez fou,
>> mais au moins ils pouvaient reprendre le contrôle quoi qu'il arrive, ça
>> devait leur couter un bras ;), en version 2021, j'ai déjà proposé un point
>> 4G en salle
>> quand il y a du réseau, mais jamais accepté pour l'instant ;)
>> 
>> A+
>> 
>> Nicolas
>> 
>> - Mail original -
>>> De: "David Ponzone" 
>>> À: "Aymeric" 
>>> Cc: "Pierre DOLIDON" , "frnog" 
>>> Envoyé: Mercredi 6 Octobre 2021 15:59:01
>>> Objet: Re: [FRnOG] [ALERT] Facebook Whatsapp Instagram down
>> 
>>> En filigrane, je pense qu’on peut deviner quelques trucs:
>>> 
>>> 1/ ils ont un réseau OOB pas du tout isolé du réseau principal donc
>> inutile en
>>> cas de crash, ça va gueuler….
>>> 
>>> 2/ ça semble confirmer que leurs DNS autoritaires sont anycastés, et
>> qu’ils
>>> annoncent eux-même le /24 dans lequel ils sont (aujourd’hui dans les
>> tables, on
>>> retrouve bien un /24 par DNS)
>>> 
>>> Ce qui est plus obscur, c’est la commande magique qui a tout viandé. Un
>> outil «
>>> SDN »  automagique qui reconfigure leur réseau pour virer le trafic d’un
>> lien
>>> qui va subir une maintenance, et un stagiaire fou envoyé par Tiktok qui
>> a accès
>>> à l’outil ?
>>> 
 Le 6 oct. 2021 à 15:38, Aymeric  a écrit :
 
 On 2021-10-05 10:32, David Ponzone wrote:
> On va attendre le rapport officiel, car une boite qui pèse 800MdsUSD
> et qui bosse comme une startup, ça pas plaire aux marchés (ils ont
> déjà perdu 5% hier).
 
 C’est là :
 
>> https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/
 
 Si vous voulez du vrai technique poilu faudra passer votre chemin..
 
>> Le 5 oct. 2021 à 10:13, Pierre DOLIDON  a écrit :
>> si je savais qu'on pouvait telnet route-server.he.net, j'aurai posé
>> moins de
>> questions bête ^_^
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Vincent Habchi]

> On 8 Oct 2021, at 19:48, ic  wrote:
> Sinon tu mets un minuteur castorama qui va rebooter la machine toutes les 
> deux heures au cas où.
> Ou alors tu mets un boîtier dont c’est le job de faire du VPN…

Lol.
Je ne vois pas l’intérêt d’acheter un boîtier en plus, à part dépenser du fric 
pour rien. Franchement, une machine Linux ou BSD qui plante, c’est devenu 
ultra-rare. 

C’est pas le cas de MacOS, ces derniers temps.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[David Ponzone]

T’as combien d’actions Cisco, exactement, en fait ? :)

Sinon, RouterOS en VM, 50$, et ça bouge pas.
Bon ok j’avoue, peut-être un reboot par an mais on peut facilement faire un 
watchdog depuis RouterOS lui-même.
D’ailleurs: Amen au language de scripting de RouterOS!
Il est pas des plus intuitifs, mais c’est une machine de guerre ce truc.


> Le 8 oct. 2021 à 19:55, Michel Py via frnog  a écrit :
> 
>> Pierre DOLIDON
>> Je suis à la recherche de routeur VPN IPSEC.
> 
> Combien d'IP publiques est-ce que tu as ?
> Moi je fais Cisco ISR ou ASR, ça ne plante jamais.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SSTP et CA self-signed

[David Ponzone]

Je traduis du langage Py vers un langage compréhensible par le majorité des 
humains:

Tu as donc pris un vrai certificat commercial, qui autorise d’avoir une IP dans 
le CN ?

> Le 8 oct. 2021 à 19:52, Michel Py  a 
> écrit :
> 
>> David Ponzone a écrit :
>> Est-ce que quelqu’un a réussi à connecter un client Windows en SSTP sur un 
>> serveur SSTP (Mikrotik en
>> l’occurence) avec des certificats self-signed (CA et serveur) ? Le CN est 
>> l’IP du serveur, j’ai bien
>> importé le CA dans les Autorités de Confiance de Windows, mais il continue 
>> de me dire que la chaine
>> de validation se termine par un certificat racine qui n’est pas approuvé. Si 
>> on me dit que c’est pas
>> possible (à cause de l’IP dans un CN, ou pour une autre raison), je perds 
>> pas plus de temps là-dessus :)
> 
> Ne perds pas plus de temps :P Je me sers de SSTP sur serveur Windows, j'ai 
> abandonné le self-signed et y arrivé par l'IP au lieu du nom depuis longtemps.
> 
>> Y a des jours, je regrette PPTP….
> 
> :P
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Michel Py via frnog]

> Pierre DOLIDON
> Je suis à la recherche de routeur VPN IPSEC.

Combien d'IP publiques est-ce que tu as ?
Moi je fais Cisco ISR ou ASR, ça ne plante jamais.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Toussaint OTTAVI]

Le 08/10/2021 à 19:48, ic a écrit :

Ou alors tu mets un boîtier dont c’est le job de faire du VPN…


Je crois que c'était l'objet de la demande initiale :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SSTP et CA self-signed

[Michel Py via frnog]

> David Ponzone a écrit :
> Est-ce que quelqu’un a réussi à connecter un client Windows en SSTP sur un 
> serveur SSTP (Mikrotik en
> l’occurence) avec des certificats self-signed (CA et serveur) ? Le CN est 
> l’IP du serveur, j’ai bien
> importé le CA dans les Autorités de Confiance de Windows, mais il continue de 
> me dire que la chaine
> de validation se termine par un certificat racine qui n’est pas approuvé. Si 
> on me dit que c’est pas
> possible (à cause de l’IP dans un CN, ou pour une autre raison), je perds pas 
> plus de temps là-dessus :)

Ne perds pas plus de temps :P Je me sers de SSTP sur serveur Windows, j'ai 
abandonné le self-signed et y arrivé par l'IP au lieu du nom depuis longtemps.

> Y a des jours, je regrette PPTP….

:P

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[ic]

> On 8 Oct 2021, at 18:44, Vincent Habchi  wrote:
> 
> Effectivement, si le VPN plante, tu perds l’iDRAC, mais tu peux toujours le 
> redémarrer en te connectant sur ton baremetal en SSH. Après, si le baremetal 
> plante, oui, là tu es mal. D’où l’intérêt du VNC.

Sinon tu mets un minuteur castorama qui va rebooter la machine toutes les deux 
heures au cas où.

Ou alors tu mets un boîtier dont c’est le job de faire du VPN…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[David Ponzone]

Oui je crois qu’on se mélange un peu les pédales :)

Mais donc: si le baremetal plante, tu peux toujours le rebooter localement 
grâce à un watchdog qui va rebooter par un ssh sur l’IDRAC (je le redis, au cas 
où je l’ai mal formulé toute à l’heure).

> Le 8 oct. 2021 à 18:44, Vincent Habchi  a écrit :
> 
>> On 8 Oct 2021, at 18:34, David Ponzone  wrote:
>> 
>> 
>> Je crois que j’ai du mal à comprendre quel cas de figure tu cherches à 
>> gérer, parce que je vois pas le rapport avec l’iDRAC.
>> Et aussi, je me demande pourquoi il se vianderait. J’ai des linux qui font 
>> bien plus que terminer des VPN, et qui ont plus de 5 ans d’uptime. S’il se 
>> viande, ça sera pour une raison qui ne se règlera pas avec un reboot, sauf 
>> si….à suivre
>> 
>> Mais si ton besoin est de redémarrer ton baremetal (il tourne sous Hyper-V, 
>> avoue!), tu peux monitorer ton VPN depuis Strongswan, et si ça tombe, il 
>> fait un ssh sur l’iDrac et tu lances le reboot.
>> 
> 
> Effectivement, à la réflexion ça me paraît curieux.
> 
> Je m’attendais à ce que le serveur baremetal serve le VPN (Strongswan) au 
> travers duquel tu accèdes à l’iDRAC comme si tu étais sur ton réseau privé. 
> Chez moi ça fonctionne comme ça. J’ai pas d’iDRAC, mais les clients accèdent 
> aux shares SAMBA par ce biais.
> 
> Effectivement, si le VPN plante, tu perds l’iDRAC, mais tu peux toujours le 
> redémarrer en te connectant sur ton baremetal en SSH. Après, si le baremetal 
> plante, oui, là tu es mal. D’où l’intérêt du VNC.
> 
> V.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Vincent Habchi]

> On 8 Oct 2021, at 18:34, David Ponzone  wrote:
> 
> 
> Je crois que j’ai du mal à comprendre quel cas de figure tu cherches à gérer, 
> parce que je vois pas le rapport avec l’iDRAC.
> Et aussi, je me demande pourquoi il se vianderait. J’ai des linux qui font 
> bien plus que terminer des VPN, et qui ont plus de 5 ans d’uptime. S’il se 
> viande, ça sera pour une raison qui ne se règlera pas avec un reboot, sauf 
> si….à suivre
> 
> Mais si ton besoin est de redémarrer ton baremetal (il tourne sous Hyper-V, 
> avoue!), tu peux monitorer ton VPN depuis Strongswan, et si ça tombe, il fait 
> un ssh sur l’iDrac et tu lances le reboot.
> 

Effectivement, à la réflexion ça me paraît curieux.

Je m’attendais à ce que le serveur baremetal serve le VPN (Strongswan) au 
travers duquel tu accèdes à l’iDRAC comme si tu étais sur ton réseau privé. 
Chez moi ça fonctionne comme ça. J’ai pas d’iDRAC, mais les clients accèdent 
aux shares SAMBA par ce biais.

Effectivement, si le VPN plante, tu perds l’iDRAC, mais tu peux toujours le 
redémarrer en te connectant sur ton baremetal en SSH. Après, si le baremetal 
plante, oui, là tu es mal. D’où l’intérêt du VNC.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[David Ponzone]

> Le 8 oct. 2021 à 18:12, Pierre DOLIDON  a écrit :
> 
> j'ai ça aussi actuellement.
> et c'est justement le problème, le serveur baremetal qui héberge le 
> strongswan à un réseau privé, un public, et une patte idrac (sur le réseau 
> privé, desservi par le VPN donc).
> Si il se viande, je perds l'idrac, et donc le VPN, et donc je suis comme un 
> con, car je peux plus redémarrer le serveur hébergeant le VPN. Je voulais 
> m'affranchir de ça.
> 

Je crois que j’ai du mal à comprendre quel cas de figure tu cherches à gérer, 
parce que je vois pas le rapport avec l’iDRAC.
Et aussi, je me demande pourquoi il se vianderait. J’ai des linux qui font bien 
plus que terminer des VPN, et qui ont plus de 5 ans d’uptime. S’il se viande, 
ça sera pour une raison qui ne se règlera pas avec un reboot, sauf si….à suivre

Mais si ton besoin est de redémarrer ton baremetal (il tourne sous Hyper-V, 
avoue!), tu peux monitorer ton VPN depuis Strongswan, et si ça tombe, il fait 
un ssh sur l’iDrac et tu lances le reboot.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Vincent Habchi]

> On 8 Oct 2021, at 18:12, Pierre DOLIDON  wrote:
> 
> j'ai ça aussi actuellement.
> et c'est justement le problème, le serveur baremetal qui héberge le 
> strongswan à un réseau privé, un public, et une patte idrac (sur le réseau 
> privé, desservi par le VPN donc).
> Si il se viande, je perds l'idrac, et donc le VPN, et donc je suis comme un 
> con, car je peux plus redémarrer le serveur hébergeant le VPN. Je voulais 
> m'affranchir de ça.

Ah. Tu n’as pas songé à équiper ton serveur d’un boîtier VNC ?

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Pierre DOLIDON]

Le 08/10/2021 à 18:15, Daniel via frnog a écrit :

Bonjour

Le 08/10/2021 à 17:49, Vincent Habchi a écrit :

Salut,

Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec 
derrière un NAT en v4 et v6 (pf).


Ça fonctionne merveilleusement bien pour un investissement nul, si tu 
as déjà une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas).


Question relative au VPN: je vois passer peu de discussions VPN dans 
lesquelles Wireguard est nommé ? Une raison ?

parcequ'il y a marqué IPSEC dans le titre ?


De mon côté j'ai remplacé OpenVPN par Wireguard sur les réseaux comme 
sur les clients (Android, MacOS, Chromebook, Linux et Windows) et suis 
très satisfait. D'où mon interrogation.


Bonne fin de semaine

--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Daniel via frnog]

Bonjour

Le 08/10/2021 à 17:49, Vincent Habchi a écrit :

Salut,

Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière 
un NAT en v4 et v6 (pf).

Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà 
une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas).


Question relative au VPN: je vois passer peu de discussions VPN dans 
lesquelles Wireguard est nommé ? Une raison ?


De mon côté j'ai remplacé OpenVPN par Wireguard sur les réseaux comme 
sur les clients (Android, MacOS, Chromebook, Linux et Windows) et suis 
très satisfait. D'où mon interrogation.


Bonne fin de semaine

--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Pierre DOLIDON]

j'ai ça aussi actuellement.
et c'est justement le problème, le serveur baremetal qui héberge le 
strongswan à un réseau privé, un public, et une patte idrac (sur le 
réseau privé, desservi par le VPN donc).
Si il se viande, je perds l'idrac, et donc le VPN, et donc je suis comme 
un con, car je peux plus redémarrer le serveur hébergeant le VPN. Je 
voulais m'affranchir de ça.


Le 08/10/2021 à 17:49, Vincent Habchi a écrit :

Salut,

Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière 
un NAT en v4 et v6 (pf).

Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà 
une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas).

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Vincent Habchi]

Salut,

Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière 
un NAT en v4 et v6 (pf).

Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà 
une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas).

Vincent



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Michel Py via frnog]

> Olivier Lange a écrit :
> Avec l'expérience, je ne vends plus que mon expertise. Gagner 50$ sur un 
> boîtier, qu'il peut
> trouver sur Amazon, et devoir se battre, à un moment, ça me fatigue. Du coup, 
> je vends au
> prix public, par contre je mets un taux horaire qui est justifié par 
> l'expérience.

Je plussoie, et en fait je facture mon temps pour l'acheter sur Amazon ou 
ailleurs. Il y a un très bon argument commercial à expliquer au client : tu 
n'es pas tenté de vendre de la daube à haute marge au lien de vendre le produit 
qui marche rien mais sur lequel du ne peux gagner que des clopinettes. Ce que 
je vends, c'est l'expertise technique, pas pousser du carton.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Fabien H]

On a perdu de temps en temps quelques CISCO RV132 / RV134 en vol (et bien
sur à 150 km de distance), la conf était perdue, il a fallu la réinjecter
sur site.

Depuis on a arrêté mais peut-être que les RV340 sont plus stables..



Le ven. 8 oct. 2021 à 14:58, Niffo  a écrit :

> Le vendredi 08 octobre 2021 à 12:31 +0200, Pierre DOLIDON a écrit :
>
> > Bonjour la liste.
> > Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire,
> > mais
> > je suis un peu perdu sur la quantité d'offre, et j'apprécierai vos
> > retours.
> > je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco
> > RV340)
>
> Justement, ici c'est Cisco RV340 (moins de 200€). Ca juste marche,
> interface user friendly et tu auras même du VPN en Gigabit.
>
>
> --
> Nicolas "Niffo" GRESSARD
> N.G.C.D.I - Infogérance et hébergement
> https://www.ngcdi.fr
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Stéphane Rivière]

> Non, il reste encore un truc pas bon sur ces instances en Debian 8:
> c’est justement qu’elles sont en Debian 8 et que donc elles ne sont plus
> mises à jour ;-P

:) oups, les amoureux d'antiquités sont repérés...

On ne gère que les versions paires, qu'on prolonge en LTS...

Ce qui nous reste de D8 ne verra pas 2022 (par économie + perf. qu'autre
chose, on en profite pour lâcher du serveur qui commence à dater)...

D'un autre coté, sur une instance de D8 bien verrouillée, avec comme
seuls ports ouverts du 80/443 avec un Nginx 1.21 encore tout chaud de la
compil, tu comprendras qu'on ne s'angoisse pas trop... ;)

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Niffo]

Le vendredi 08 octobre 2021 à 12:31 +0200, Pierre DOLIDON a écrit :

> Bonjour la liste.
> Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire,
> mais 
> je suis un peu perdu sur la quantité d'offre, et j'apprécierai vos
> retours.
> je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco
> RV340) 

Justement, ici c'est Cisco RV340 (moins de 200€). Ca juste marche,
interface user friendly et tu auras même du VPN en Gigabit.


-- 
Nicolas "Niffo" GRESSARD
N.G.C.D.I - Infogérance et hébergement
https://www.ngcdi.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Pierre DOLIDON]

Merci pour vos différends retours !

Le 08/10/2021 à 13:29, Olivier Lange a écrit :

Oui et non.

Avec l'expérience, je ne vends plus que mon expertise. Gagner 50$ sur un
boîtier, qu'il peut trouver sur Amazon, et devoir se battre, à un moment,
ça me fatigue. Du coup, je vends au prix public, par contre je mets un taux
horaire qui est justifié par l'expérience. Certains trouvent ça trop cher,
tant mieux, ça évitera d'avoir des ennuis après. Et du coup, tu peux même
lui proposer un second hAPac2 préconfiguré, à côté, "au cas ou ca lache".

Olivier

Le ven. 8 oct. 2021 à 07:09, David Ponzone  a
écrit :


Oui bien sûr mais ça dépend du cas d’usage et du profile du client final.
Si c’est du genre à aller voir le prix sur Google, qu’il volt 300$, et que
toi tu lui vends un service premium, il peut ne pas comprendre qu’il ne
paie pas pour le matériel mais pour le service fourni incluant le support :)
Avec un CCR à 1000€, ça évite les questions.



Le 8 oct. 2021 à 12:55, ic  a écrit :




On 8 Oct 2021, at 12:41, David Ponzone  wrote:

MikroTik hAPac2, 50€
Cherche même pas plus longtemps.

Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes

pour un fou (faut que je leur dise d’en sortir un dans un chassis 1U).

Donc tu peux toujours prendre un gros CCR rackable double  alim, pour

500 ou 1000€, et préserver ta crédibilité :)

RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur

alu, nouvelle tendance chez eux on dirait.

++ ic



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [TECH] ATS + UPS = cdhsjkezlkezllksq

[Paul Caranton]

Bonjour,

> je parlais bien des alim à découpage : leur étages d'entrée c'est dans
> l'ordre, filtre EMI, redressement, et lissage de la tension crête soit
> 325V pour du 230VAC
>
> (multiplication de la tension efficace par sqrt(2) )

Si je me souviens bien de mes cours d'électronique de puissance, si on
redresse du 230Veff en courant alternatif, on obtient du 230V en courant
continu (si on ne compte pas les pertes) :)

Justement, le 325V crête est une tension crête, donc elle n'est obtenue
que pendant un instant.

Si on lisse cette tension avec un condensateur, on obtient 230V (c'est à
dire la tension moyenne après un redressement double alternance)

Un petit schéma pour expliquer :

>
>>> et la plupart fonctionnenent avec a peu près n'importe quoi entre
>>> 130 et 350V.
>> C'est vrai, quoi que 350V c'est un peu pousser.
>
> Je n'ai pas été clair, je parlais de la tension crête après redressement
>
> et effectivement 350V on est vraiment dans le haut de la fourchette.
>
> Sinon, J'entends bien l'argument "poulet grillé" et c'est vrai que ça
> a quand même une petite importance 😰


350V en courant continu est donc vraiment élevé !

Bon vendredi,

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [TECH] ATS + UPS = cdhsjkezlkezllksq

[Pierre Colombier via frnog]

Hello michel, petite réponse à ces deux points


On 07/10/2021 20:40, Michel Py wrote:

Pierre Colombier a écrit :
L'étage d'entrée d'à peu près n'importe quel alim de serveur ou équipement
réseau, c'est basiquement un pont de diodes suivi de gros condensateurs.

Ca, c'était l'alim de grand-papa, le pont de diodes qui redresse et les condos 
qui lissent. Ca fait des lustres que ce n'est plus comme ça, toutes les alims 
modernes sont à découpage.
Je conseille les excellentes vidéos de Stéphane Marty (Deus Ex Silicium) et 
celle-ci en particulier sur le sujet :
https://www.youtube.com/watch?v=o0V5F9aLUM4



je parlais bien des alim à découpage : leur étages d'entrée c'est dans 
l'ordre, filtre EMI, redressement, et lissage de la tension crête soit 
325V pour du 230VAC


(multiplication de la tension efficace par sqrt(2) )

les modèles de base acceptent presque tous du continu, (a vérifier tout 
de même si ça fait pas chier les systèmes de PFC actifs)




et la plupart fonctionnenent avec a peu près n'importe quoi entre 130 et 350V.

C'est vrai, quoi que 350V c'est un peu pousser.


Je n'ai pas été clair, je parlais de la tension crête après redressement

et effectivement 350V on est vraiment dans le haut de la fourchette.



Sinon, J'entends bien l'argument "poulet grillé" et c'est vrai que ça a 
quand même une petite importance 😰








---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Olivier Lange]

Oui et non.

Avec l'expérience, je ne vends plus que mon expertise. Gagner 50$ sur un
boîtier, qu'il peut trouver sur Amazon, et devoir se battre, à un moment,
ça me fatigue. Du coup, je vends au prix public, par contre je mets un taux
horaire qui est justifié par l'expérience. Certains trouvent ça trop cher,
tant mieux, ça évitera d'avoir des ennuis après. Et du coup, tu peux même
lui proposer un second hAPac2 préconfiguré, à côté, "au cas ou ca lache".

Olivier

Le ven. 8 oct. 2021 à 07:09, David Ponzone  a
écrit :

> Oui bien sûr mais ça dépend du cas d’usage et du profile du client final.
> Si c’est du genre à aller voir le prix sur Google, qu’il volt 300$, et que
> toi tu lui vends un service premium, il peut ne pas comprendre qu’il ne
> paie pas pour le matériel mais pour le service fourni incluant le support :)
> Avec un CCR à 1000€, ça évite les questions.
>
>
> > Le 8 oct. 2021 à 12:55, ic  a écrit :
> >
> >
> >
> >> On 8 Oct 2021, at 12:41, David Ponzone  wrote:
> >>
> >> MikroTik hAPac2, 50€
> >> Cherche même pas plus longtemps.
> >>
> >> Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes
> pour un fou (faut que je leur dise d’en sortir un dans un chassis 1U).
> >> Donc tu peux toujours prendre un gros CCR rackable double  alim, pour
> 500 ou 1000€, et préserver ta crédibilité :)
> >
> > RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur
> alu, nouvelle tendance chez eux on dirait.
> >
> > ++ ic
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[David Ponzone]

Oui bien sûr mais ça dépend du cas d’usage et du profile du client final.
Si c’est du genre à aller voir le prix sur Google, qu’il volt 300$, et que toi 
tu lui vends un service premium, il peut ne pas comprendre qu’il ne paie pas 
pour le matériel mais pour le service fourni incluant le support :)
Avec un CCR à 1000€, ça évite les questions.


> Le 8 oct. 2021 à 12:55, ic  a écrit :
> 
> 
> 
>> On 8 Oct 2021, at 12:41, David Ponzone  wrote:
>> 
>> MikroTik hAPac2, 50€
>> Cherche même pas plus longtemps.
>> 
>> Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour 
>> un fou (faut que je leur dise d’en sortir un dans un chassis 1U).
>> Donc tu peux toujours prendre un gros CCR rackable double  alim, pour 500 ou 
>> 1000€, et préserver ta crédibilité :)
> 
> RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur alu, 
> nouvelle tendance chez eux on dirait.
> 
> ++ ic
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Mickael Monsieur]

> Le 8 oct. 2021 à 12:45, David Ponzone  a écrit :
> 
> MikroTik hAPac2, 50€
> Cherche même pas plus longtemps.
> 
> Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour 
> un fou (faut que je leur dise d’en sortir un dans un chassis 1U).
> Donc tu peux toujours prendre un gros CCR rackable double  alim, pour 500 ou 
> 1000€, et préserver ta crédibilité :)

Ou au milieu un rb3011 qui fera le même travail qu’un hapac2 mais en rack sans 
passer dans la gamme CCR

> 
>> Le 8 oct. 2021 à 12:31, Pierre DOLIDON  a écrit :
>> 
>> Bonjour la liste.
>> Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, mais je 
>> suis un peu perdu sur la quantité d'offre, et j'apprécierai vos retours.
>> je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco RV340) ou 
>> aux solutions software (pfsense, ou strongswan directement sur un machin 
>> bare metal - style intel NUC ou autre).
>> mon seul prérequis est que le machin sache gérer au moins 100Mbps en IPSEC.
>> 
>> Merci pour vos retours, suggestions, critiques, whatever :)
>> 
>> 
>> et bon vendredi
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[François Goudal via frnog]

> On 8 Oct 2021, at 11:46, Stéphane Rivière  wrote:
> 
>> sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf
>> update-ca-certificates
> 
> Merci Olivier...
> 
> Tout était bon sauf ça chez mes instances en Debian 8…
> 

Non, il reste encore un truc pas bon sur ces instances en Debian 8: c’est 
justement qu’elles sont en Debian 8 et que donc elles ne sont plus mises à jour 
;-P



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[ic]

> On 8 Oct 2021, at 12:41, David Ponzone  wrote:
> 
> MikroTik hAPac2, 50€
> Cherche même pas plus longtemps.
> 
> Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour 
> un fou (faut que je leur dise d’en sortir un dans un chassis 1U).
> Donc tu peux toujours prendre un gros CCR rackable double  alim, pour 500 ou 
> 1000€, et préserver ta crédibilité :)

RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur alu, 
nouvelle tendance chez eux on dirait.

++ ic



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[David Ponzone]

MikroTik hAPac2, 50€
Cherche même pas plus longtemps.

Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour un 
fou (faut que je leur dise d’en sortir un dans un chassis 1U).
Donc tu peux toujours prendre un gros CCR rackable double  alim, pour 500 ou 
1000€, et préserver ta crédibilité :)

> Le 8 oct. 2021 à 12:31, Pierre DOLIDON  a écrit :
> 
> Bonjour la liste.
> Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, mais je 
> suis un peu perdu sur la quantité d'offre, et j'apprécierai vos retours.
> je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco RV340) ou aux 
> solutions software (pfsense, ou strongswan directement sur un machin bare 
> metal - style intel NUC ou autre).
> mon seul prérequis est que le machin sache gérer au moins 100Mbps en IPSEC.
> 
> Merci pour vos retours, suggestions, critiques, whatever :)
> 
> 
> et bon vendredi
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Suggestions sur routeur VPN IPSEC

[Pierre DOLIDON]

Bonjour la liste.
Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, mais 
je suis un peu perdu sur la quantité d'offre, et j'apprécierai vos retours.
je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco RV340) 
ou aux solutions software (pfsense, ou strongswan directement sur un 
machin bare metal - style intel NUC ou autre).

mon seul prérequis est que le machin sache gérer au moins 100Mbps en IPSEC.

Merci pour vos retours, suggestions, critiques, whatever :)


et bon vendredi


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Obligations d'Orange et fourreaux

[David Ponzone]

Y a un spécialiste du GC/BLO pour me dire quelles sont les obligations 
contractuelles d’Orange au niveau délai de réparation d’un fourreau cassé ?

Merci


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Stéphane Rivière]

> sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf
> update-ca-certificates

Merci Olivier...

Tout était bon sauf ça chez mes instances en Debian 8...

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Mickael MONSIEUR]

Le ven. 8 oct. 2021 à 10:50, Oliver varenne  a écrit :
>
> De mon coté j'ai du faire ça sur du debian 8:
>
> sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf
> update-ca-certificates
>

Déjà fait :-)

Le problème ne venait pas du système mais de matomo (piwik) qui
embarque ses propres certificats dans composer :
vendor/composer/ca-bundle/res/cacert.pem
Après avoir supprimé DST Root CA X3, la mise à jour de matomo via
HTTPS fonctionne.

Et après la mise à jour, mon fichier cacert.pem modifié a été écrasé,
et les commentaires du nouveau cacert.pem sont on ne peut plus clairs
: (dernière ligne)

##
## Bundle of CA Root Certificates
##
## Certificate data from Mozilla as of: Mon Jul  5 21:35:54 2021 GMT
##
## This is a bundle of X.509 certificates of public Certificate Authorities
## (CA). These were automatically extracted from Mozilla's root certificates
## file (certdata.txt).  This file can be found in the mozilla source tree:
## 
https://hg.mozilla.org/releases/mozilla-release/raw-file/default/security/nss/lib/ckfw/builtins/certdata.txt
##
## It contains the certificates in PEM format and therefore
## can be directly used with curl / libcurl / php_curl, or with
## an Apache+mod_ssl webserver for SSL client authentication.
## Just configure this file as the SSLCACertificateFile.
##
## Conversion done with mk-ca-bundle.pl version 1.28.
## SHA256: c8f6733d1ff4e6a4769c182971a1234f95ae079247a9c439a13423fe8ba5c24f
##
## Modified to remove expiring DST Root CA X3: 2021-09-25.
##

C'était donc un bug dans Matomo on dirait bien...

>
>
> Cordialement,
>
>
>
> Olivier Varenne
> Co-gérant, Commercial & Développeur
> T +33 (0)4 27 04 40 00 | ipconnect.fr
>
> Suivez-nous !
>
>
>
> > -Message d'origine-
> > De : frnog-requ...@frnog.org  De la part de
> > Mickael MONSIEUR
> > Envoyé : vendredi 8 octobre 2021 10:36
> > À : Pierre DOLIDON 
> > Cc : FRench Network Operators Group 
> > Objet : Re: [FRnOG] [TECH] Black Thursday
> >
> > Le ven. 8 oct. 2021 à 10:25, Pierre DOLIDON  a
> > écrit :
> > >
> > > as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ?
> >
> > Tout à fait, le système est à jour:
> >
> > root@vps107:/usr/share/ca-certificates/mozilla# apt-get dist-upgrade
> > Lecture des listes de paquets... Fait Construction de l'arbre des
> > dépendances Lecture des informations d'état... Fait Calcul de la mise à
> > jour... Fait
> > 0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
> > root@vps107:/usr/share/ca-certificates/mozilla# cat
> > /etc/debian_version
> > 8.11
> >
> > J'ai même tenté de forcer l'installation de ISRG Root X1
> > (https://letsencrypt.org/certs/isrgrootx1.pem.txt) :
> >
> > root@vps107:/usr/share/ca-certificates/mozilla# update-ca-certificates
> > Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate
> > certificate isrgrootx1.pem
> > WARNING: Skipping duplicate certificate isrgrootx1.pem
> > 1 added, 0 removed; done.
> >
> > Et il me dit qu'il l'avait déjà donc ce n'est pas ça.
> >
> > >
> > > Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit :
> > > > Le ven. 1 oct. 2021 à 14:23, N R  a
> > écrit :
> > > >> Bonjour,
> > > >>
> > > >> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L .
> > > >> Il ne validait plus les certificats let's encrypt, comportement
> > > >> constaté en installant FRR depuis les dépôts.
> > > >>
> > > >> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root
> > > >> CA X3" par un point d'exclamation et lancer un
> > > >> update-ca-certificates pour corriger le problème.
> > > > De mon côté ça ne corrige pas le problème de curl dans php7.3:
> > > > curl_exec: SSL certificate problem: certificate has expired.
> > > > Hostname requested was: builds.matomo.org
> > > >
> > > > Pourtant l'update est bien passé:
> > > >
> > > > ~# update-ca-certificates
> > > > Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.
> > > >
> > > > Et php-fpm et apache2 ont bien été redémarrés...
> > > >
> > > > Je crois que le client va bien devoir se résoudre à upgrader sa VM
> > > > debian 8.11... 8-)
> > > >
> > > >> Des bisous,
> > > >> Nick
> > > >>
> > > >> Le 01/10/2021, Erwan David a écrit :
> > > >>> Le 01/10/2021 à 10:31, Wallace a écrit :
> > >  De notre côté :
> > > 
> > >  - des personnes sous XP, quelques tablettes Android, iPhone
> > pas
> > >  si vieux que ça qui n'arrivent plus à se connecter à des services
> > ...
> > > 
> > >  - côté infra sur des serveurs figés par les clients (comprendre
> > >  ils refusent les maj) en Debian 8 malgré la présence du
> > nouveau
> > >  certificat depuis longtemps, les applications présentent
> > >  utilisent encore l'ancien certificat invalide, on l'a juste
> > >  commenté dans la liste des CA du système. Bizarrement on a
> > pas eu
> > >  ce comportement sur Debian 9 à 11 alors que les deux CA root
> > sont
> > >  présents et activés
> > > 
> > >  - un client ecommerce s'est vu ref

Re: [FRnOG] [TECH] ATS + UPS = cdhsjkezlkezllksq

[Stéphane Rivière]

> - une panne des ventilos (c13 qui a un peu bougé suite à une manip), le
> lendemain matin la baie était brulante, les câbles des chewingums ...

Tu soulèves là le troll du siècle. Pourquoi, depuis 30 ans (voire plus)
et surtout depuis (au moins) 15 ans, on est pas passé à une prise :

- verrouillable

Et, tant qu'on y est :

- dont l'intensité max est clairement affichée (certains câbles c13 ont
des fils à cheveux sous la gaine noire).


-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Black Thursday

[Oliver varenne]

De mon coté j'ai du faire ça sur du debian 8: 

sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf
update-ca-certificates



Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 



> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Mickael MONSIEUR
> Envoyé : vendredi 8 octobre 2021 10:36
> À : Pierre DOLIDON 
> Cc : FRench Network Operators Group 
> Objet : Re: [FRnOG] [TECH] Black Thursday
> 
> Le ven. 8 oct. 2021 à 10:25, Pierre DOLIDON  a
> écrit :
> >
> > as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ?
> 
> Tout à fait, le système est à jour:
> 
> root@vps107:/usr/share/ca-certificates/mozilla# apt-get dist-upgrade
> Lecture des listes de paquets... Fait Construction de l'arbre des
> dépendances Lecture des informations d'état... Fait Calcul de la mise à
> jour... Fait
> 0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
> root@vps107:/usr/share/ca-certificates/mozilla# cat
> /etc/debian_version
> 8.11
> 
> J'ai même tenté de forcer l'installation de ISRG Root X1
> (https://letsencrypt.org/certs/isrgrootx1.pem.txt) :
> 
> root@vps107:/usr/share/ca-certificates/mozilla# update-ca-certificates
> Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate
> certificate isrgrootx1.pem
> WARNING: Skipping duplicate certificate isrgrootx1.pem
> 1 added, 0 removed; done.
> 
> Et il me dit qu'il l'avait déjà donc ce n'est pas ça.
> 
> >
> > Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit :
> > > Le ven. 1 oct. 2021 à 14:23, N R  a
> écrit :
> > >> Bonjour,
> > >>
> > >> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L .
> > >> Il ne validait plus les certificats let's encrypt, comportement
> > >> constaté en installant FRR depuis les dépôts.
> > >>
> > >> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root
> > >> CA X3" par un point d'exclamation et lancer un
> > >> update-ca-certificates pour corriger le problème.
> > > De mon côté ça ne corrige pas le problème de curl dans php7.3:
> > > curl_exec: SSL certificate problem: certificate has expired.
> > > Hostname requested was: builds.matomo.org
> > >
> > > Pourtant l'update est bien passé:
> > >
> > > ~# update-ca-certificates
> > > Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.
> > >
> > > Et php-fpm et apache2 ont bien été redémarrés...
> > >
> > > Je crois que le client va bien devoir se résoudre à upgrader sa VM
> > > debian 8.11... 8-)
> > >
> > >> Des bisous,
> > >> Nick
> > >>
> > >> Le 01/10/2021, Erwan David a écrit :
> > >>> Le 01/10/2021 à 10:31, Wallace a écrit :
> >  De notre côté :
> > 
> >  - des personnes sous XP, quelques tablettes Android, iPhone
> pas
> >  si vieux que ça qui n'arrivent plus à se connecter à des services
> ...
> > 
> >  - côté infra sur des serveurs figés par les clients (comprendre
> >  ils refusent les maj) en Debian 8 malgré la présence du
> nouveau
> >  certificat depuis longtemps, les applications présentent
> >  utilisent encore l'ancien certificat invalide, on l'a juste
> >  commenté dans la liste des CA du système. Bizarrement on a
> pas eu
> >  ce comportement sur Debian 9 à 11 alors que les deux CA root
> sont
> >  présents et activés
> > 
> >  - un client ecommerce s'est vu refuser pas mal de paiement de
> >  commande par son prestataire monétique qui utilisait un
> >  certificat pas signé avec le nouveau CA, ils ont pu rétablir à
> >  23h hier
> > 
> >  Sinon RAS pour le reste
> > 
> > >>> Par contre des trucs récents avec pile TLS bugguée qui refusent
> le
> > >>> cross-signing si le premier certificat n'est plus valide : le DoT
> > >>> dans Android 11 :(
> > >>>
> > >>>
> > >>> ---
> > >>> Liste de diffusion du FRnOG
> > >>> http://www.frnog.org/
> > >>>
> > >>
> > >> ---
> > >> Liste de diffusion du FRnOG
> > >> http://www.frnog.org/
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SSTP et CA self-signed

[David Ponzone]

Non, LE fait toujours pas de certificat avec une IP dans le CN.
Et je ne veux pas passer en FQDN, trop lourd.

> Le 8 oct. 2021 à 10:38, Rémy Duchet  a écrit :
> 
> Autre solution : avec du LE,  et un script pour mettre à jour auto, ça roule 
> tout seul.
> 
> 
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of David 
> Ponzone
> Sent: Friday, 8 October 2021 10:34
> To: frnog-tech 
> Subject: [FRnOG] [TECH] SSTP et CA self-signed
> 
> Ami(e)s qui aimaient vous prendre la tête,
> 
> Est-ce que quelqu’un a réussi à connecter un client Windows en SSTP sur un 
> serveur SSTP (Mikrotik en l’occurence) avec des certificats self-signed (CA 
> et serveur) ?
> Le CN est l’IP du serveur, j’ai bien importé le CA dans les Autorités de 
> Confiance de Windows, mais il continue de me dire que la chaine de validation 
> se termine par un certificat racine qui n’est pas approuvé.
> 
> Si on me dit que c’est pas possible (à cause de l’IP dans un CN, ou pour une 
> autre raison), je perds pas plus de temps là-dessus :)
> 
> Y a des jours, je regrette PPTP….
> 
> Merci
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SSTP et CA self-signed

[Rémy Duchet]

Autre solution : avec du LE,  et un script pour mettre à jour auto, ça roule 
tout seul.


-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of David 
Ponzone
Sent: Friday, 8 October 2021 10:34
To: frnog-tech 
Subject: [FRnOG] [TECH] SSTP et CA self-signed

Ami(e)s qui aimaient vous prendre la tête,

Est-ce que quelqu’un a réussi à connecter un client Windows en SSTP sur un 
serveur SSTP (Mikrotik en l’occurence) avec des certificats self-signed (CA et 
serveur) ?
Le CN est l’IP du serveur, j’ai bien importé le CA dans les Autorités de 
Confiance de Windows, mais il continue de me dire que la chaine de validation 
se termine par un certificat racine qui n’est pas approuvé.

Si on me dit que c’est pas possible (à cause de l’IP dans un CN, ou pour une 
autre raison), je perds pas plus de temps là-dessus :)

 Y a des jours, je regrette PPTP….

Merci


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [TECH] Black Thursday

[Mickael MONSIEUR]

Le ven. 8 oct. 2021 à 10:25, Pierre DOLIDON  a écrit :
>
> as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ?

Tout à fait, le système est à jour:

root@vps107:/usr/share/ca-certificates/mozilla# apt-get dist-upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
root@vps107:/usr/share/ca-certificates/mozilla# cat /etc/debian_version
8.11

J'ai même tenté de forcer l'installation de ISRG Root X1
(https://letsencrypt.org/certs/isrgrootx1.pem.txt) :

root@vps107:/usr/share/ca-certificates/mozilla# update-ca-certificates
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate
certificate isrgrootx1.pem
WARNING: Skipping duplicate certificate isrgrootx1.pem
1 added, 0 removed; done.

Et il me dit qu'il l'avait déjà donc ce n'est pas ça.

>
> Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit :
> > Le ven. 1 oct. 2021 à 14:23, N R  a écrit :
> >> Bonjour,
> >>
> >> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L .
> >> Il ne validait plus les certificats let's encrypt, comportement
> >> constaté en installant FRR depuis les dépôts.
> >>
> >> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root CA
> >> X3" par un point d'exclamation et lancer un update-ca-certificates
> >> pour corriger le problème.
> > De mon côté ça ne corrige pas le problème de curl dans php7.3:
> > curl_exec: SSL certificate problem: certificate has expired. Hostname
> > requested was: builds.matomo.org
> >
> > Pourtant l'update est bien passé:
> >
> > ~# update-ca-certificates
> > Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.
> >
> > Et php-fpm et apache2 ont bien été redémarrés...
> >
> > Je crois que le client va bien devoir se résoudre à upgrader sa VM
> > debian 8.11... 8-)
> >
> >> Des bisous,
> >> Nick
> >>
> >> Le 01/10/2021, Erwan David a écrit :
> >>> Le 01/10/2021 à 10:31, Wallace a écrit :
>  De notre côté :
> 
>  - des personnes sous XP, quelques tablettes Android, iPhone pas si vieux
>  que ça qui n'arrivent plus à se connecter à des services ...
> 
>  - côté infra sur des serveurs figés par les clients (comprendre ils
>  refusent les maj) en Debian 8 malgré la présence du nouveau certificat
>  depuis longtemps, les applications présentent utilisent encore l'ancien
>  certificat invalide, on l'a juste commenté dans la liste des CA du
>  système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors
>  que les deux CA root sont présents et activés
> 
>  - un client ecommerce s'est vu refuser pas mal de paiement de commande
>  par son prestataire monétique qui utilisait un certificat pas signé avec
>  le nouveau CA, ils ont pu rétablir à 23h hier
> 
>  Sinon RAS pour le reste
> 
> >>> Par contre des trucs récents avec pile TLS bugguée qui refusent le
> >>> cross-signing si le premier certificat n'est plus valide : le DoT dans
> >>> Android 11 :(
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SSTP et CA self-signed

[David Ponzone]

Ami(e)s qui aimaient vous prendre la tête,

Est-ce que quelqu’un a réussi à connecter un client Windows en SSTP sur un 
serveur SSTP (Mikrotik en l’occurence) avec des certificats self-signed (CA et 
serveur) ?
Le CN est l’IP du serveur, j’ai bien importé le CA dans les Autorités de 
Confiance de Windows, mais il continue de me dire que la chaine de validation 
se termine par un certificat racine qui n’est pas approuvé.

Si on me dit que c’est pas possible (à cause de l’IP dans un CN, ou pour une 
autre raison), je perds pas plus de temps là-dessus :)

 Y a des jours, je regrette PPTP….

Merci


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Pierre DOLIDON]

as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ?

Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit :

Le ven. 1 oct. 2021 à 14:23, N R  a écrit :

Bonjour,

On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L .
Il ne validait plus les certificats let's encrypt, comportement
constaté en installant FRR depuis les dépôts.

Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root CA
X3" par un point d'exclamation et lancer un update-ca-certificates
pour corriger le problème.

De mon côté ça ne corrige pas le problème de curl dans php7.3:
curl_exec: SSL certificate problem: certificate has expired. Hostname
requested was: builds.matomo.org

Pourtant l'update est bien passé:

~# update-ca-certificates
Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.

Et php-fpm et apache2 ont bien été redémarrés...

Je crois que le client va bien devoir se résoudre à upgrader sa VM
debian 8.11... 8-)


Des bisous,
Nick

Le 01/10/2021, Erwan David a écrit :

Le 01/10/2021 à 10:31, Wallace a écrit :

De notre côté :

- des personnes sous XP, quelques tablettes Android, iPhone pas si vieux
que ça qui n'arrivent plus à se connecter à des services ...

- côté infra sur des serveurs figés par les clients (comprendre ils
refusent les maj) en Debian 8 malgré la présence du nouveau certificat
depuis longtemps, les applications présentent utilisent encore l'ancien
certificat invalide, on l'a juste commenté dans la liste des CA du
système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors
que les deux CA root sont présents et activés

- un client ecommerce s'est vu refuser pas mal de paiement de commande
par son prestataire monétique qui utilisait un certificat pas signé avec
le nouveau CA, ils ont pu rétablir à 23h hier

Sinon RAS pour le reste


Par contre des trucs récents avec pile TLS bugguée qui refusent le
cross-signing si le premier certificat n'est plus valide : le DoT dans
Android 11 :(


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Black Thursday

[Mickael MONSIEUR]

Le ven. 1 oct. 2021 à 14:23, N R  a écrit :
>
> Bonjour,
>
> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L .
> Il ne validait plus les certificats let's encrypt, comportement
> constaté en installant FRR depuis les dépôts.
>
> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root CA
> X3" par un point d'exclamation et lancer un update-ca-certificates
> pour corriger le problème.

De mon côté ça ne corrige pas le problème de curl dans php7.3:
curl_exec: SSL certificate problem: certificate has expired. Hostname
requested was: builds.matomo.org

Pourtant l'update est bien passé:

~# update-ca-certificates
Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.

Et php-fpm et apache2 ont bien été redémarrés...

Je crois que le client va bien devoir se résoudre à upgrader sa VM
debian 8.11... 8-)

>
> Des bisous,
> Nick
>
> Le 01/10/2021, Erwan David a écrit :
> > Le 01/10/2021 à 10:31, Wallace a écrit :
> >> De notre côté :
> >>
> >> - des personnes sous XP, quelques tablettes Android, iPhone pas si vieux
> >> que ça qui n'arrivent plus à se connecter à des services ...
> >>
> >> - côté infra sur des serveurs figés par les clients (comprendre ils
> >> refusent les maj) en Debian 8 malgré la présence du nouveau certificat
> >> depuis longtemps, les applications présentent utilisent encore l'ancien
> >> certificat invalide, on l'a juste commenté dans la liste des CA du
> >> système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors
> >> que les deux CA root sont présents et activés
> >>
> >> - un client ecommerce s'est vu refuser pas mal de paiement de commande
> >> par son prestataire monétique qui utilisait un certificat pas signé avec
> >> le nouveau CA, ils ont pu rétablir à 23h hier
> >>
> >> Sinon RAS pour le reste
> >>
> >
> > Par contre des trucs récents avec pile TLS bugguée qui refusent le
> > cross-signing si le premier certificat n'est plus valide : le DoT dans
> > Android 11 :(
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/