[FRnOG] [ALERT] Pb authentification FTTH Orange Pro

[Paul Birnbaum]

Bonjour à tous sur la liste,

Quelqu’un aurait-il des informations concernant la panne touchant environ 5000 
clients FTTH Orange Pro depuis le 6 octobre dernier ?

Les infos en ma possession sont les suivantes :
- Tous les clients touchés sont en FTTH sur l’infrastructure d’authentification 
utilisant le pppoe sur le VLAN 835
- En faisant une trace sur le routeur on voit bien les paquet PADI partir (qui 
est reçu par le BAS) mais des timeout se déclenche en attendant le PADO.


J’en suis au 15e appel et 2 technicien sur site, avec le support qui en sais 
relativement peu et ne donne aucune date de rétablissement, et aucune 
communication officiel.

Cordialement 

Paul

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Gros problème OVH ?

[Michel Py via frnog]

> David Ponzone a écrit :
> Exemple simple fictif: Des route-map pour router des /32 de force vers leur 
> anti-DDOS.
> Erreur sur la route-map, tous les subnets internes se retrouvent router vers 
> l’anti-DDoS.

Apparemment c'est ce qui est arrivé.


> Renaud Chaput a écrit :
> Après peut-être qu'il y a des moyens plus propres de changer une conf
> Cisco que de copier/coller une config ligne par ligne hein ;)

Ben pas vraiment, voir plus bas.

> David Ponzone a écrit :
> Le vrai problème, c’est:
> -pourquoi l’humain ne savait pas qu’il est opportun de coller ses commandes 
> dans un éditeur avec assez
> de colonnes pour être certain qu’il y a pas un \n qui se balade... mais 
> l’erreur est humaine, ok
> - pourquoi ils utilisent pas des outils type Ansible ou autre pour faire les 
> modifs de conf, avec éventuellement un contrôle
> de syntaxe, vu la taille du réseau. Ca doit se trouver un analyseur 
> syntaxique pour Cisco, au moins pour la base.

Les gros doigts, ça arrive quel que soit le système. Les trucs automagiques, 
c'est encore pire : quand du déploies un changement sur des dizaines ou des 
centaines de routeurs, et que ça va pas, là t'es vraiment dans la m... dont il 
va falloir plus qu'1/2 heure pour retomber sur ses pieds. Les trucs 
automagiques, il faut qu'il y ait une certaine échelle pour les utiliser; créer 
et surtout tester l'automatisation pour 1 ou 2 routeurs, ça prend beaucoup trop 
de temps. Ce qui te laisse avec la ligne de commande.

> -à la limite, pourquoi y avait pas un autre être humain pour vérifier le 
> copier/coller du premier, vu le risque

Justement, tout dépend de la perception du risque. Chaque fois que j'ai planté 
quelque chose, c'était avec un truc de routine prouvé être sans risque.
Quand ça sent pas bon, on est souvent deux; parfois, un est dans la cage, au 
cas-ou. Mais on ne fait pas ça quand le risque perçu est faible.

Bon clairement, le mec il aurait pu faire "reload in 5" avant de faire son 
copier/coller mais même ça, il y a un danger : le téléphone sonne, c'est 
important, et tu oublies de faire le "reload cancel" et ton truc reboote alors 
que la manip était bonne, c'est pas glop non plus.


> Et le mec qui a fait la boulette, il ne s'en est pas aperçu de suite pour 
> revenir en arrière ? Même moi,
> à mon petit niveau, j'ai plein de voyants "OVH" qui sont tous passés du vert 
> au rouge en même temps...

Je pense qu'il a du s'en apercevoir, mais que sa session a du se planter et que 
l'OOB a du se barrer en même temps.
Je ne lui trouve pas d'excuses car il n'y en a pas, mais je compatis. Il y a 
100 manières différentes de vautrer un réseau.

Quand tu travailles sur un routeur distant : "reload in 5". Ca va planter 
pareil, mais 5 minutes après ça va revenir.
Leçon apprise par le kilométrage en pleine nuit, il y a longtemps.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Spécialiste fibre soudure urgent

[MELCHIOR Sébastien]

Bonjour,Pas dans le secteur, mais à défaut d'avoir un reflecto pour une vrai qualif du segment, est-il possible de récupérer un VFL (stylo laser) ?L'idée est de vérifier la continuité du segment et jarretières...Peut être une merde sur ferrulle, corps de traversé, soudureCordialement, MSLe 14 oct. 2021 16:54, GroupWise  a écrit :Bonjour

Nous avons deux bâtiments vers saint Thibault les vignes 77  reliés par
deux fibres avec des connecteurs ST les fibres font environ 150m de long
Au bout des connecteurs fc nous avons des jarretières st vers LC pour
arriver sur nos switchs.
Il n y a jamais eu de tiroirs optique

Hier soucis les deux bâtiments sont isolés deplug fibre replug c est
réparti.
Aujourd'hui pareil deplug replug changement de gbic pas de lumière..

Nous souhaitons un test de signal au deux extrémités pour vérifier la
continuité des 150m.
Installation tiroir fibre avec connecteur lc aux deux extrémités y a du mou
sur les deux fibres actuelles si opérationnelle

Merci de me contacter par mail

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Spécialiste fibre soudure urgent

[GroupWise]

Bonjour

Nous avons deux bâtiments vers saint Thibault les vignes 77  reliés par
deux fibres avec des connecteurs ST les fibres font environ 150m de long
Au bout des connecteurs fc nous avons des jarretières st vers LC pour
arriver sur nos switchs.
Il n y a jamais eu de tiroirs optique

Hier soucis les deux bâtiments sont isolés deplug fibre replug c est
réparti.
Aujourd'hui pareil deplug replug changement de gbic pas de lumière..

Nous souhaitons un test de signal au deux extrémités pour vérifier la
continuité des 150m.
Installation tiroir fibre avec connecteur lc aux deux extrémités y a du mou
sur les deux fibres actuelles si opérationnelle

Merci de me contacter par mail

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Ingénieur•e DevOps junior/senior, 45-70k€, CDI, télétravail flexible

[Cyril Bouthors]

Bonjour,

Notre équipe s'agrandit, nous recrutons 2 Ingénieur•e•s DevOps,
junior/senior, 45-70k€ en fonction de l'expérience, CDI, télétravail
flexible.

https://talents.isvtec.com/postes-a-pourvoir/

*Notre mission*

Notre équipe optimise les infrastructures web e-commerce et SaaS de nos
clients tout au long de l’année pour que leurs sites passent aisément les
forts pics d’affluence et de transactions.

Nous guidons leurs plateformes et équipes de développement pour améliorer
les performances et la sécurité.

*Quelques chiffres*

Année de création 2003.
Plusieurs centaines de serveurs, instances, machines virtuelles et sites
webs infogérés.
Nos clients nous laissent exclusivement des avis 5 étoiles depuis 3 ans.

*Culture d'entreprise*

Management bienveillant et entreprise libérée.
Équipe d’experts motivés, pas de réunion, pas de powerpoint.
Télétravail flexible


*Ton fantastique bureau*

L’équipe travaille dans une ambiance détendue et studieuse avec une déco
chaleureuse.


*L'équipe*

Tu rejoindras notre petite équipe d’experts motivés et soutenus en direct
depuis 2003 par le fondateur passionné d’informatique : plus de 20 ans
d’expérience à la fois en tant que développeur et administrateur système
spécialisé dans les infrastructures web à fort trafic, Cyril Bouthors a
évolué vers l’entreprenariat avec la co-création de 3 sociétés en France et
à l’étranger.

*Horaires et congés flexibles*

Les horaires sont flexibles, le bureau ouvert 24/7, les demandes de congés
immédiatement validées.

*2 Ingénieur•e•s DevOps*

- CDI
- 45-70k€ en fonction de l'expérience
- 0-10 ans d’expérience,
- 80 % télétravail flexible / Paris 17ème
- H/F

Je reste à votre disposition pour tout renseignement.
-- 
Cyril Bouthors
Notre équipe s'agrandit, rejoignez-nous ! 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Arnaud Launay]

Le Thu, Oct 14, 2021 at 11:44:21AM +0200, David Ponzone a écrit:
> Chez Equinix, c’est 8h pour avoir un remote-hands.

Tu as de la chance. Je me rappelle d'une fois où on a une réponse une SEMAINE 
après
en nous demandant s'il fallait toujours le faire...

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Jérôme Marteaux]

Le 14/10/2021 à 11:07, Toussaint OTTAVI a écrit :
Erreur sur la route-map, tous les subnets internes se retrouvent 
router vers l’anti-DDoS.


Cà veut dire qu'un seul mec sur un seul routeur peut changer sur une 
seule instruction toutes les routes de la planète ? Bon, si j'ai bien 
compris, c'est pas de bol, un phénomène en cascade, et une accumulation 
de mauvaises routes qui a saturé tous les autres routeurs... Le truc 
assez imprévisible tant qu'il ne s'est pas produit au moins une fois...


Aucun protocole de routage n'a implémenté de protection contre les 
mauvaises annonces, ni les erreurs de configuration, ni les erreurs de 
conception.
Il n'y a pas non plus de moyen pour un routeur de connaître l'état de 
ces voisins (un truc comme "je suis momentanément surchargé, ne m'envoie 
plus de trafic pour le moment", comme SS7 sait faire), c'est sans doute 
plus facile à faire dans un réseau temporel et avec du routage statique 
(qui se souvient du partage de charge en SS7) qu'en mode paquet.


Le réseau auto-magique qui se configure et se gère tout seul n'existe 
pas (qui se souvient de la pub télé où cisco protège automatiquement des 
attaques informatique ?).




--
Et le mec qui a fait la boulette, il ne s'en est pas aperçu de suite 
pour revenir en arrière ? Même moi, à mon petit niveau, j'ai plein de 
voyants "OVH" qui sont tous passés du vert au rouge en même temps...


Ou bien, c'est comme FB, il a perdu la main et n'avait pas d'OOB ?


La difficulté dans la résolution de problème c'est déjà d'identifier le 
problème. Il y a tellement d'équipement, d'interdépendance d'éléments 
(par exemple: BGP qui dépend d'OSPF qui dépend de BFD) qu'il est parfois 
long d'identifier la root-cause. Là il y a sans doute des progrès à 
faire sur des softs qui aiderait les ingé à trouver la root-cause plus 
rapidement.




--
C'est pas encore Vendredi, mais entre çà, FB, les numéros d'urgence il y 
a quelques mois, je suis assez pessimiste sur l'avenir de cette 
civilisation hyper-connectée... Et encore, ce n'étaient que des 
pannes/erreurs... Qu'est-ce que çà serait si des "puissances ennemies" 
avaient la mauvaise idée de cyber-attaquer ???





Il y a bien d'autres cas où un évènement isolé se déclare, on pense que 
les conséquences seront limitées et kaboum:


- expérimentation BGP qui a mal tournée: 
https://labs.ripe.net/author/erik/ripe-ncc-and-duke-university-bgp-experiment/


- opération de maintenance classique sur une interco électrique: 
https://fr.wikipedia.org/wiki/Panne_de_courant_du_4_novembre_2006_en_Europe


- arc électrique sur une ligne HT: 
https://www.youtube.com/watch?v=-iSXF2lraR0=100s


Ca c'est pour les éléments documentés, mais je pense que ça existe aussi 
dans l'économie, avec comme exemple les subprime et la cascade de faillites.


Mais on sait faire des choses très robuste en limitant l'environnement, 
les interco et en augmentant la qualité (on fait la preuve mathématique 
du code, multiplication des ordinateurs avec chacun du code différent, 
processeur plus résistant à l'environnement ...):

- satellites;
- répéteurs des câbles sous-marins;
- les sondes (mars et ailleurs);
- centrales électriques, postes sources;
- ...

Globalement là où c'est économiquement plus pertinent d'avoir quelque 
chose qui marche tout le temps plutôt que de subir les inconvénients de 
subir un incident.


Faut-il en conclure que FB, OVH et tellement d'autre "peuvent se 
permettre" d'avoir des incidents car ça coûterait encore plus cher de ne 
pas les avoir ?


Pour conclure sur une note plus drôle, je ne pense pas que les pacemaker 
ont suivi le même chemin que les sextoy qui sont devenus connectés:

https://www.lemonde.fr/pixels/article/2018/12/30/pirater-des-sextoys-connectes-une-partie-de-plaisir_5403696_4408996.html

--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Gros problème OVH ?

[Christophe Grenier]

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de Renaud 
> Chaput
> Envoyé : jeudi 14 octobre 2021 11:15
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Gros problème OVH ?
>
> En gros la route-map était celle qui redistribuait BGP dans OSPF, et les
> 850k routes de l'internet se sont retrouvées dans leur OSPF, ce qui a fait
> exploser un peu tous les routeurs, et une grosse partie des routeurs se
> sont mis à prendre le routeur en question comme default route.


Pour se protéger de ces nombreuses routes, est-ce qu'un "maximum-prefix" 
n'aurait pas été efficace ?


-- 
Christophe GRENIER

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Mickael Monsieur]

> Le 14 oct. 2021 à 11:15, Renaud Chaput  a écrit :
> 
> Il y a eu un post-mortem et une timeline de publiée :
> http://travaux.ovh.net/?do=details=53798;
> 
> En gros la route-map était celle qui redistribuait BGP dans OSPF, et les
> 850k routes de l'internet se sont retrouvées dans leur OSPF, ce qui a fait
> exploser un peu tous les routeurs, et une grosse partie des routeurs se
> sont mis à prendre le routeur en question comme default route.
> 

Une seule zone OSPF pour un réseau de cette taille ? 

Pas de technicien sur site 24/24 pour un DC qui héberge des milliers de 
serveurs ?

Pas d’accès OOB avec des simples adsl d’un provider tiers sur des routers de 
bordure ?

Pas de gestion des déploiements avec un outil comme Ansible?

Et quoi encore ? On éteint un incendie de data center avec des extincteurs? Ah 
oui c’est le cas 

> Il n'y avait pas de staff OVH sur place, ils ont demandé au remote hands
> local d'intervenir, déjà en débranchant tous les uplinks du routeurs, puis
> au final en demandant à le débrancher électriquement. 10 minutes pour
> décider de faire ça, puis 30 minutes avant que le remote hands ne soit sur
> place, ça va encore.
> 
> Après peut-être qu'il y a des moyens plus propres de changer une conf Cisco
> que de copier/coller une config ligne par ligne hein ;)
> 
>> On Thu, Oct 14, 2021 at 11:07 AM Toussaint OTTAVI 
>> wrote:
>> 
>> 
>> 
>>> Le 14/10/2021 à 09:47, David Ponzone a écrit :
>>> C’est un peu facile à dire tant que tu gères pas un réseau de ce type.
>> 
>> Justement, je n'ai aucune idée de la façon dont on gère un réseau de ce
>> type ! Je cherche juste à augmenter ma culture générale, pour le jour où
>> mon réseau atteindra cette taille :D
>> 
>>> Erreur sur la route-map, tous les subnets internes se retrouvent router
>> vers l’anti-DDoS.
>> 
>> Cà veut dire qu'un seul mec sur un seul routeur peut changer sur une
>> seule instruction toutes les routes de la planète ? Bon, si j'ai bien
>> compris, c'est pas de bol, un phénomène en cascade, et une accumulation
>> de mauvaises routes qui a saturé tous les autres routeurs... Le truc
>> assez imprévisible tant qu'il ne s'est pas produit au moins une fois...
>> 
>> --
>> Et le mec qui a fait la boulette, il ne s'en est pas aperçu de suite
>> pour revenir en arrière ? Même moi, à mon petit niveau, j'ai plein de
>> voyants "OVH" qui sont tous passés du vert au rouge en même temps...
>> 
>> Ou bien, c'est comme FB, il a perdu la main et n'avait pas d'OOB ?
>> 
>> --
>> C'est pas encore Vendredi, mais entre çà, FB, les numéros d'urgence il y
>> a quelques mois, je suis assez pessimiste sur l'avenir de cette
>> civilisation hyper-connectée... Et encore, ce n'étaient que des
>> pannes/erreurs... Qu'est-ce que çà serait si des "puissances ennemies"
>> avaient la mauvaise idée de cyber-attaquer ???
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [ML] [FRnOG] [MISC] Gros problème OVH ?

[David Ponzone]

(OFFTOPIC)
Moi j’en peux plus de ces gens là.
Leur process à la con pour accéder au DC, les badges qui marchent pas parce que 
y a un truc qui a changé chez eux, je pourrais une liste de 2 pages des délires 
que j’ai eu, des aller-retour entre l’accueil et le DH.

La seule chose qui me retient chez eux, c’est l’absence d’alternative.

> Le 14 oct. 2021 à 11:59, Manuel Guesdon  a écrit :
> 
> On Thu, 14 Oct 2021 11:44:21 +0200
> David Ponzone  wrote:
> 
>> | C’est fabuleux comme temps 30 min.
>> | Chez Equinix, c’est 8h pour avoir un remote-hands.
> 
> Mauvaise langue :)
> 
> En remote hands pour incident, c'est a peu près du même ordre (mais faut
> remplir la bonne demande, pas le remote hands standard).
> 
> Après ca ne remplace de toute façon jamais un accès autonome aux PDUs...
> 
> Manuel
> --
> __
> Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [ML] Re: [FRnOG] [ALERT] Gros problème OVH ?

[Manuel Guesdon]

On Thu, 14 Oct 2021 11:44:21 +0200
David Ponzone  wrote:

>| C’est fabuleux comme temps 30 min.
>| Chez Equinix, c’est 8h pour avoir un remote-hands.

Mauvaise langue :)

En remote hands pour incident, c'est a peu près du même ordre (mais faut
remplir la bonne demande, pas le remote hands standard).

Après ca ne remplace de toute façon jamais un accès autonome aux PDUs...

Manuel
--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [ML] Re: [FRnOG] [ALERT] Gros problème OVH ?

[Manuel Guesdon]

On Thu, 14 Oct 2021 11:14:57 +0200
Renaud Chaput  wrote:
>| En gros la route-map était celle qui redistribuait BGP dans OSPF, et les
>| 850k routes de l'internet se sont retrouvées dans leur OSPF, ce qui a fait
>| exploser un peu tous les routeurs, et une grosse partie des routeurs se
>| sont mis à prendre le routeur en question comme default route.

Ca veut dire qu'au niveau design, on a un seul OSPF pour tout le réseau OVH ?

Avec de l'OSPF par site et des échanges inter-sites plutôt en BGP, avec donc
possibilité de filtrage à la fois en OUT sur un routeur et en IN sur le
routeur en face, ce genre de boulette n'aurait pas eu d'impact (global), non ?


>| Il n'y avait pas de staff OVH sur place, ils ont demandé au remote hands
>| local d'intervenir, déjà en débranchant tous les uplinks du routeurs, puis
>| au final en demandant à le débrancher électriquement. 10 minutes pour
>| décider de faire ça, puis 30 minutes avant que le remote hands ne soit sur
>| place, ça va encore.

D'où l’intérêt d'avoir un accès OOB complet  (serial over ssh + possibilité
de off/on/reboot à distance autonome via PDU).

Mais c'est clair que dans ce genre de situation les minutes passent très vite
(sauf celles ou on attend que l'intervenant arrive sur place, celles là sont
très très longues). Difficile de faire beaucoup beaucoup mieux en terme de
temps sur ce cycle décision-execution-convergence..

Manuel, qui retourne gérer son tout petit réseau :)

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[David Ponzone]

C’est fabuleux comme temps 30 min.
Chez Equinix, c’est 8h pour avoir un remote-hands.


> Le 14 oct. 2021 à 11:14, Renaud Chaput  a écrit :
> 
> Il y a eu un post-mortem et une timeline de publiée :
> http://travaux.ovh.net/?do=details=53798;
> 
> En gros la route-map était celle qui redistribuait BGP dans OSPF, et les
> 850k routes de l'internet se sont retrouvées dans leur OSPF, ce qui a fait
> exploser un peu tous les routeurs, et une grosse partie des routeurs se
> sont mis à prendre le routeur en question comme default route.
> 
> Il n'y avait pas de staff OVH sur place, ils ont demandé au remote hands
> local d'intervenir, déjà en débranchant tous les uplinks du routeurs, puis
> au final en demandant à le débrancher électriquement. 10 minutes pour
> décider de faire ça, puis 30 minutes avant que le remote hands ne soit sur
> place, ça va encore.
> 
> Après peut-être qu'il y a des moyens plus propres de changer une conf Cisco
> que de copier/coller une config ligne par ligne hein ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Renaud Chaput]

Il y a eu un post-mortem et une timeline de publiée :
http://travaux.ovh.net/?do=details=53798;

En gros la route-map était celle qui redistribuait BGP dans OSPF, et les
850k routes de l'internet se sont retrouvées dans leur OSPF, ce qui a fait
exploser un peu tous les routeurs, et une grosse partie des routeurs se
sont mis à prendre le routeur en question comme default route.

Il n'y avait pas de staff OVH sur place, ils ont demandé au remote hands
local d'intervenir, déjà en débranchant tous les uplinks du routeurs, puis
au final en demandant à le débrancher électriquement. 10 minutes pour
décider de faire ça, puis 30 minutes avant que le remote hands ne soit sur
place, ça va encore.

Après peut-être qu'il y a des moyens plus propres de changer une conf Cisco
que de copier/coller une config ligne par ligne hein ;)

On Thu, Oct 14, 2021 at 11:07 AM Toussaint OTTAVI 
wrote:

>
>
> Le 14/10/2021 à 09:47, David Ponzone a écrit :
> > C’est un peu facile à dire tant que tu gères pas un réseau de ce type.
>
> Justement, je n'ai aucune idée de la façon dont on gère un réseau de ce
> type ! Je cherche juste à augmenter ma culture générale, pour le jour où
> mon réseau atteindra cette taille :D
>
> > Erreur sur la route-map, tous les subnets internes se retrouvent router
> vers l’anti-DDoS.
>
> Cà veut dire qu'un seul mec sur un seul routeur peut changer sur une
> seule instruction toutes les routes de la planète ? Bon, si j'ai bien
> compris, c'est pas de bol, un phénomène en cascade, et une accumulation
> de mauvaises routes qui a saturé tous les autres routeurs... Le truc
> assez imprévisible tant qu'il ne s'est pas produit au moins une fois...
>
> --
> Et le mec qui a fait la boulette, il ne s'en est pas aperçu de suite
> pour revenir en arrière ? Même moi, à mon petit niveau, j'ai plein de
> voyants "OVH" qui sont tous passés du vert au rouge en même temps...
>
> Ou bien, c'est comme FB, il a perdu la main et n'avait pas d'OOB ?
>
> --
> C'est pas encore Vendredi, mais entre çà, FB, les numéros d'urgence il y
> a quelques mois, je suis assez pessimiste sur l'avenir de cette
> civilisation hyper-connectée... Et encore, ce n'étaient que des
> pannes/erreurs... Qu'est-ce que çà serait si des "puissances ennemies"
> avaient la mauvaise idée de cyber-attaquer ???
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Toussaint OTTAVI]

Le 14/10/2021 à 09:47, David Ponzone a écrit :

C’est un peu facile à dire tant que tu gères pas un réseau de ce type.


Justement, je n'ai aucune idée de la façon dont on gère un réseau de ce 
type ! Je cherche juste à augmenter ma culture générale, pour le jour où 
mon réseau atteindra cette taille :D



Erreur sur la route-map, tous les subnets internes se retrouvent router vers 
l’anti-DDoS.


Cà veut dire qu'un seul mec sur un seul routeur peut changer sur une 
seule instruction toutes les routes de la planète ? Bon, si j'ai bien 
compris, c'est pas de bol, un phénomène en cascade, et une accumulation 
de mauvaises routes qui a saturé tous les autres routeurs... Le truc 
assez imprévisible tant qu'il ne s'est pas produit au moins une fois...


--
Et le mec qui a fait la boulette, il ne s'en est pas aperçu de suite 
pour revenir en arrière ? Même moi, à mon petit niveau, j'ai plein de 
voyants "OVH" qui sont tous passés du vert au rouge en même temps...


Ou bien, c'est comme FB, il a perdu la main et n'avait pas d'OOB ?

--
C'est pas encore Vendredi, mais entre çà, FB, les numéros d'urgence il y 
a quelques mois, je suis assez pessimiste sur l'avenir de cette 
civilisation hyper-connectée... Et encore, ce n'étaient que des 
pannes/erreurs... Qu'est-ce que çà serait si des "puissances ennemies" 
avaient la mauvaise idée de cyber-attaquer ???




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Contact peering IELO-LIAZO

[Sébastien 65]

Merci pour les retours ! C'est maintenant OK j'ai le contact 

Sébastien

De : David Ponzone 
Envoyé : jeudi 14 octobre 2021 09:25
À : Sébastien 65 
Cc : Frnog misc 
Objet : Re: [FRnOG] [MISC] Contact peering IELO-LIAZO

https://www.peeringdb.com/asn/29075

Le 14 oct. 2021 à 08:56, Sébastien 65 
mailto:sebastien...@live.fr>> a écrit :

Bonjour à tous,

Est-ce que l'un ou l'une d'entre vous dispose d'un contact tél/mail afin de 
pouvoir toucher le NOC/PEERING ?

Je ne peux plus consulter 
http://www.as-ielo.net/
 ou 
http://as29075.net/
 car les deux sites ne sont plus fonctionnels !

J'ai passé un mail sur pe...@ielo.net il y a une 
semaine, aucune réponse...

Merci pour vos retours en PV.

Bonne journée !

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[David Ponzone]

C’est un peu facile à dire tant que tu gères pas un réseau de ce type.
Je vois mal comment un réseau pourrait être construit pour résister à n’importe 
quelle boulette interne.

Exemple simple fictif:
Des route-map pour router des /32 de force vers leur anti-DDOS.
Erreur sur la route-map, tous les subnets internes se retrouvent router vers 
l’anti-DDoS.

Le vrai problème, c’est:
-pourquoi l’humain ne savait pas qu’il est opportun de coller ses commandes 
dans un éditeur avec assez de colonnes pour être certain qu’il y a pas un \n 
qui se balade…mais l’erreur est humaine, ok
-à la limite, pourquoi y avait pas un autre être humain pour vérifier le 
copier/coller du premier, vu le risque
-pourquoi ils utilisent pas des outils type Ansible ou autre pour faire les 
modifs de conf, avec éventuellement un contrôle de syntaxe, vu la taille du 
réseau. Ca doit se trouver un analyseur syntaxique pour Cisco, au moins pour la 
base.


> Le 14 oct. 2021 à 09:31, Toussaint OTTAVI  a écrit :
> 
> 
> Le 13/10/2021 à 12:29, Pierre DOLIDON a écrit :
>> c'est plutôt la route-map "ipv" qui n'existait pas qui a fichu la brouille.
>> non ? 
> 
> Quelqu'un peut nous expliquer comment une seule ligne de commande incorrecte 
> sur un routeur à un endroit donné peut mettre au tapis tout un réseau 
> multi-site multi-redondant sur plusieurs continents ? N'y aurait-il pas un 
> problème de design à la base ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Erwan David]

Le 14/10/2021 à 09:34, Vincent Habchi a écrit :


D’après ce que j’ai compris, la mauvaise configuration a propagé des 
informations BGP erronées qui ont détourné tout le trafic OVH vers le routeur 
fautif.

Information SGDG, à prendre avec un nombre de pincettes suffisant.



Et surtout les routeurs internes, au lieu de recevoir une route par 
défaut vers les routeurs de bordure ont reçu les ~ 850 000 routes 
d'internet. Pas sûr qu'ils en aient eu la capacité.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Gros problème OVH ?

[Vincent Habchi]

D’après ce que j’ai compris, la mauvaise configuration a propagé des 
informations BGP erronées qui ont détourné tout le trafic OVH vers le routeur 
fautif.

Information SGDG, à prendre avec un nombre de pincettes suffisant.

Goditi la giurnata,

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Gros problème OVH ?

[Toussaint OTTAVI]

Le 13/10/2021 à 12:29, Pierre DOLIDON a écrit :
c'est plutôt la route-map "ipv" qui n'existait pas qui a fichu la 
brouille.
non ? 


Quelqu'un peut nous expliquer comment une seule ligne de commande 
incorrecte sur un routeur à un endroit donné peut mettre au tapis tout 
un réseau multi-site multi-redondant sur plusieurs continents ? N'y 
aurait-il pas un problème de design à la base ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Contact peering IELO-LIAZO

[David Ponzone]

https://www.peeringdb.com/asn/29075 

> Le 14 oct. 2021 à 08:56, Sébastien 65  a écrit :
> 
> Bonjour à tous,
> 
> Est-ce que l'un ou l'une d'entre vous dispose d'un contact tél/mail afin de 
> pouvoir toucher le NOC/PEERING ?
> 
> Je ne peux plus consulter http://www.as-ielo.net/ ou http://as29075.net/ car 
> les deux sites ne sont plus fonctionnels !
> 
> J'ai passé un mail sur pe...@ielo.net il y a une semaine, aucune réponse...
> 
> Merci pour vos retours en PV.
> 
> Bonne journée !
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Contact peering IELO-LIAZO

[Guillaume Tournat via frnog]

As-tu essayé n...@ielo.net ?


Le 14/10/2021 à 08:56, Sébastien 65 a écrit :

Bonjour à tous,

Est-ce que l'un ou l'une d'entre vous dispose d'un contact tél/mail afin de 
pouvoir toucher le NOC/PEERING ?

Je ne peux plus consulter http://www.as-ielo.net/ ou http://as29075.net/ car 
les deux sites ne sont plus fonctionnels !

J'ai passé un mail sur pe...@ielo.net il y a une semaine, aucune réponse...

Merci pour vos retours en PV.

Bonne journée !

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Contact peering IELO-LIAZO

[Sébastien 65]

Bonjour à tous,

Est-ce que l'un ou l'une d'entre vous dispose d'un contact tél/mail afin de 
pouvoir toucher le NOC/PEERING ?

Je ne peux plus consulter http://www.as-ielo.net/ ou http://as29075.net/ car 
les deux sites ne sont plus fonctionnels !

J'ai passé un mail sur pe...@ielo.net il y a une semaine, aucune réponse...

Merci pour vos retours en PV.

Bonne journée !

---
Liste de diffusion du FRnOG
http://www.frnog.org/