RE: [FRnOG] [TECH] Blocage VPN SSL sur 4G

2022-05-05 Par sujet GUILLOT Florent 
On a le soucis aussi.
En solution propre, on s'est naïvement dit qu'il suffisait d'ajouter un  
sur notre domain vpn.corp.truc, et de faire du dual stack propre de bout en 
bout.
Effectivement, ça fonctionne. Le tunnel forti monte.
Mais quelques jours/heures plus tard, les plaintes d'utilisateurs arrivent.

Après des heures à debug, il s'avère que quand le tunnel est monté over IPv6, 
des paquets disparaissent. Soit au niveau fortigate, soit forticlient. 
Difficile à dire.
C'est particulièrement visible sur les sessions RDP. Et transfert de fichier 
samba.
Le bug a été reproduit par Forti.
On a un ticket ouvert depuis 11/2021 à ce sujet (5593529). Et Internal 
engineering ticket 0763611.
Mais ça n'avance pas malgré les relances régulières.

Florent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Alarig Le 
Lay
Envoyé : mercredi 4 mai 2022 23:36
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Blocage VPN SSL sur 4G

On Wed 04 May 2022 20:15:38 GMT, David Ponzone wrote:
> J'ai un cas de figure bizarre avec du VPN SSL Forti (je précise, sur
> un port non-standard, donc pas 443).
>
> Quand un client est en WIFI: aucun souci.
> Dès qu'il passe sur le partage 4G de son mobile (Bouygues à priori):
> ça passe plus (la connexion arrive à 98%, se fige puis échec, ce qui
> est un truc assez classique avec Forticlient, mais dont les causes
> sont multiples) Pour ma part, quand j'essaye avec mon partage 4G chez
> Orange: ça passe.
>
> Donc avant de passer un temps de dingue à chercher la petite bête côte
> Forti ou client, je me demandais si certains avaient déjà constaté un
> comportement bizarre de certains opérateurs mobiles avec le traffic
> VPN SSL, sur un port non-standard en plus ?
>
> UPDATE de moi-même: je crois que j'ai trouvé la solution, il faudrait
> désactiver IPv6 sur la connexion 4G du mobile.
>
> Dommage, Michel P est plus là pour nous faire une bonne tirade sur
> IPv6 et son merveilleux apport à Internet.
>
> David

J'ai eu le souci avec le VPN du taff, le traff ipv4 est encapsulé dans
ipv6 chez bytel et ils ont pas pensé au mtu... Passer par un domaine pour que 
le nat64 fasse son taff, ou baisser la mtu côté pc contourne le souci.

--
Alarig


---
Liste de diffusion du FRnOG
https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=05%7C01%7Cfguillot%40fltechno.scc.com%7C80401dd42ff74666f76f08da2e162f9f%7Cc69c7e2fa16841088187675b5c936b5a%7C0%7C0%7C637872970195329959%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7Csdata=xzJDVnYW0VHMeaMhkRj2XIFaJB4uCr1ajK5hx9quYH4%3Dreserved=0
__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Lambda sipartech down

2021-08-31 Par sujet GUILLOT Florent 
Bonjour,
Alphalink semble pas en forme depuis environ exactement la même heure...

Cdlt
Florent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Kevin Thiou
Envoyé : mardi 31 août 2021 10:04
À : frnog-alert 
Objet : [FRnOG] [ALERT] Lambda sipartech down

Bonjour,

j'ai un lambda down depuis 9h48 et quand j'appelle le 0800 695 695 toutes les 
lignes sont occupées.

Un gros problème chez eux ?

---
Liste de diffusion du FRnOG
https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=04%7C01%7Cfguillot%40fltechno.scc.com%7Cb90113d64d594e96732908d96c55f26a%7Cc69c7e2fa16841088187675b5c936b5a%7C0%7C0%7C637659938658845721%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000sdata=BAmlDKhiCYDyupvTi78kQzGPcktkRLSF%2F%2BI1Y2u4Gws%3Dreserved=0
__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Trafic anormal Equinix-IX ?

2019-11-05 Par sujet GUILLOT Florent 
Bonjour,
Rien d'anormal ici (PA2) non plus.
On a reçu ce matin (10h35) un avis de maintenance "Remedial Activate-Unknown 
unicast storm control-at-Paris IX-PA Metro Area Network Maintenance" pour le 
19/11.
Il y a peut-être un lien...

DATE: 19-NOV-2019 - 20-NOV-2019

ENVERGURE: 19-NOV-2019 - 20-NOV-2019

LOCAL: MARDI, 19 NOV 22:00 - MERCREDI, 20 NOV 01:00
UTC: MARDI, 19 NOV 21:00 - MERCREDI, 20 NOV 00:00

IBX(s): PA2,PA3,PA6,PA7,PAA

DESCRIPTION:Veuillez noter que les ingénieurs d’Equinix effectueront les 
travaux de configuration nécessaires sur nos commutateurs Arista. Nous ne 
prévoyons aucune interruption de notre service pour nos clients. Nous vous 
remercions de votre compréhension en la matière.

Produits:INTERNET EXCHANGE



-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Hugues 
Voiturier
Envoyé : mardi 5 novembre 2019 14:13
À : Alarig Le Lay 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] Trafic anormal Equinix-IX ?

Hello,

Rien à PA2 non plus.

Hugues
AS57199 - AS50628

> On 5 Nov 2019, at 14:09, Alarig Le Lay  wrote:
>
> A priori je ne vois rien d’anormal non plus (PA3 aussi).
>
> On 05/11/2019 13:52, David Ponzone wrote:
>> Non rien aujourd’hui. C’est un problème récurrent et changeant sur
>> EQIX-Paris. J’ai que du traffic très propre actuellement sur mon
>> port, ça fait plaisir. Je suis à PA3 ceci dit, c’est peut-être
>> spécifique à PA7 ?
>>
>> Ce qui est dommage, c’est qu’avec Equinix, tu auras beau signaler des
>> problèmes sur la liste, ça réagira pas.
>>
>>
>>> Le 5 nov. 2019 à 13:28, clement_fr...@guivy.fr a écrit :
>>>
>>> Bonjour, étant connecté sur Equinix-IX (à PA7), je constate depuis
>>> au moins hier que je reçois du trafic qui ne m'est pas destiné,
>>> source AS8075 et 8075 Microsoft, destination AS209678 SOCIETE
>>> FIDUCIAIRE INTERNATIONALE D AUDIT (range 193.221.117.0/24), en
>>> l'occurence du trafic de port source 443 et paquets de plus de 1000
>>> octets pour la plupart, donc ça ressemble à un flux retour qui s'est
>>> égaré. Plus de 160 MB/s en moyenne sur la journée d'hier, et ça
>>> continue aujourdhui.
>>>
>>> Quelqu'un d'autre remarque des anomalies sur son peering Equinix-IX
>>> ?
>>>
>>>
>>> --- Liste de diffusion du FRnOG
>>> https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww
>>> .frnog.org%2Fdata=02%7C01%7Cfguillot%40fltechno.scc.com%7C5bca3
>>> eccedf54f52f6ed08d761f2171b%7Cc69c7e2fa16841088187675b5c936b5a%7C1%7
>>> C0%7C637085564706923554sdata=tHYCyHJoHwwi4bn33BOslfQFzUkpEYyzIP
>>> oEb%2FRfH%2BQ%3Dreserved=0
>>
>>
>> --- Liste de diffusion du FRnOG
>> https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.
>> frnog.org%2Fdata=02%7C01%7Cfguillot%40fltechno.scc.com%7C5bca3ec
>> cedf54f52f6ed08d761f2171b%7Cc69c7e2fa16841088187675b5c936b5a%7C1%7C0%
>> 7C637085564706923554sdata=tHYCyHJoHwwi4bn33BOslfQFzUkpEYyzIPoEb%
>> 2FRfH%2BQ%3Dreserved=0
>>
>
>
> ---
> Liste de diffusion du FRnOG
> https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.f
> rnog.org%2Fdata=02%7C01%7Cfguillot%40fltechno.scc.com%7C5bca3ecce
> df54f52f6ed08d761f2171b%7Cc69c7e2fa16841088187675b5c936b5a%7C1%7C0%7C6
> 37085564706923554sdata=tHYCyHJoHwwi4bn33BOslfQFzUkpEYyzIPoEb%2FRf
> H%2BQ%3Dreserved=0


---
Liste de diffusion du FRnOG
https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7Cfguillot%40fltechno.scc.com%7C5bca3eccedf54f52f6ed08d761f2171b%7Cc69c7e2fa16841088187675b5c936b5a%7C1%7C0%7C637085564706923554sdata=tHYCyHJoHwwi4bn33BOslfQFzUkpEYyzIPoEb%2FRfH%2BQ%3Dreserved=0
__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Portes C2E/CELAN Orange Lyon KO

2019-08-06 Par sujet GUILLOT Florent 
Bonjour,
Pour info, nous avons perdu 2 portes Orange à Lyon à 12h57: une porte CELAN et 
une porte C2E (livré au Netcenter Vénissieux)

Cordialement
Florent


__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Perte collecte equinix

2019-01-19 Par sujet GUILLOT Florent 
Le 19/01/2019 à 02:42, Manuel Guesdon a écrit :
> Ca semble durer. Quelqu'un a des infos ?

On a aussi eu les mêmes copié/collé que ceux déjà cités.

Update à 10h56:
"Nos équipes travaillent actuellement tout le week end et 24H/24 pour résoudre 
l'incident. 90% des fibres seront rétablies lundi et 100% mercredi. Nous sommes 
actuellement en plan d'urgence et faisons le maximum pour réparer."

C'est pas très rassurant.
Florent

__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Perte collecte equinix

2019-01-18 Par sujet GUILLOT Florent 
Bonjour,
On a perdu une porte C2E a PA6. A 14h05, le lien du tronc est tombé.

Cordialement
Florent GUILLOT

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de BASSAGET 
Cédric
Envoyé : vendredi 18 janvier 2019 14:32
À : frnog-al...@frnog.org
Objet : [FRnOG] [ALERT] Perte collecte equinix

Bonjour,
petite alerte du trolldi, nous avons perdu notre collecte CELAN à pa3 à 
13:57:49.
une autre personne remonte la perte de sa collecte DSL et C2E au même moment.

Sommes-nous seuls ?
Cédric

---
Liste de diffusion du FRnOG
http://www.frnog.org/
__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Accès portail client Orange

2018-05-18 Par sujet GUILLOT Florent 
Pareil chez nous, mdp.orange.fr ne fonctionne pas via Level3.
Et ça ne ping même pas (alors que depuis 3215 ça répond bien au ping)
Le traceroute se perd juste après le premier saut Level3.
Les sondes atlas confirment: 
https://atlas.ripe.net/measurements/12770773/#!probes

L'Internet by Orange c'est compliqué...
Florent

-Message d'origine-
De : Laurent GUERBY [mailto:laur...@guerby.net]
Envoyé : vendredi 18 mai 2018 15:21
À : GUILLOT Florent <fguil...@fltechno.scc.com>; Hugues Voiturier 
<hugues-lis...@milkywan.fr>
Cc : felix.bouy...@setenforce.one; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Accès portail client Orange

On Thu, 2018-05-17 at 07:10 +0000, GUILLOT Florent wrote:
> Effectivement c’est corrigé !
>
> Bonne journée,
> Florent

Bonjour,

Un collegue via Renater AS2200 m'a signalé que https://mdp.orange.fr/ n'etait 
plus joignable et coté AS197422 ca ne marche que si on rebascule sur un chemin 
via AS3215, donc j'ai remis nos petites regles vers l'operateur qui sait 
(presque) faire du telephone qui marche.

Troll du vendredi ? :)

Laurent


> De : Hugues Voiturier [mailto:hugues-lis...@milkywan.fr]
> Envoyé : mercredi 16 mai 2018 15:17
> À : GUILLOT Florent <fguil...@fltechno.scc.com> Cc :
> felix.bouy...@setenforce.one; Laurent GUERBY <laur...@guerby.net
> >; frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Accès portail client Orange
>
> C’est corrigé visiblement, vous confirmez ?
>
> Hugues
> AS50628 - AS57199
>
>
> On 16 May 2018, at 14:10, GUILLOT Florent <fguil...@fltechno.scc.com<
> mailto:fguil...@fltechno.scc.com>> wrote:
>
> Donc si je comprends bien, Orange (3215) demande à OpenTransit (5511)
> de black holer ces IP, et garde dans son pool DNS
> (espaceclientv3.orange.fr<http://espaceclientv3.orange.fr/>) des IP
> qu'il black hole volontairement.
> Donc c'est "normal" que l'espace client d'Orange soit inaccessible
> depuis tout plein d'endroits...
> Merci pour ces infos.
> Florent
>
> -Message d'origine-
> De : felix.bouy...@setenforce.one<mailto:felix.bouy...@setenforce.one
> > [mailto:felix.bouy...@setenforce.one]
> Envoyé : mercredi 16 mai 2018 12:07
> À : Laurent GUERBY <laur...@guerby.net<mailto:laur...@guerby.net>>;
> GUILLOT Florent <fguil...@fltechno.scc.com<mailto:FGUILLOT@fltechno.s
> cc.com>>; frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] Accès portail client Orange
>
> J'avais eu une réponse d'Opentransit - AS5511 (par lequel on passe si
> on est chez Cogent ou NTT par exemple) le 4 mai :
>
> "Hello
>
> IP 193.252.122.175 is black holed by customer itself through Arbor
> tool for the security reason,  The BH will be running for at least one
> week.
>
> At our end  case - 1804Z90259 is open.
>
> Will share further update, once we have new info in this ."
>
> Pas eu d'info depuis, je suppose qu'ils sont toujours attaqués.
>
> Félix
>
> 14 mai 2018 11:32 "Laurent GUERBY" <laur...@guerby.net<mailto:laurent
> @guerby.net>> a écrit:
>
>
> On Mon, 2018-05-14 at 07:25 +, GUILLOT Florent wrote:
>
>
> Bonjour à tous,
>
> On a des soucis pour accéder à https://espaceclientv3.orange.fr  dep
> uis Level3.
>
> traceroute to espaceclient.orange.fr<http://espaceclient.orange.fr>
> (193.252.133.37), 30 hops max,
> 60 byte packets
> 1  gateway (10.0.2.2)  0.120 ms  0.048 ms  0.157 ms
> 2  10.158.70.1 (10.158.70.1)  2.815 ms  2.800 ms  2.964 ms
> 3  192.168.252.9 (192.168.252.9)  2.937 ms  2.904 ms  2.985 ms
> 4  192.168.254.254 (192.168.254.254)  4.535 ms  4.891 ms  4.876 ms
> 5  5.149.184.2 (5.149.184.2)  33.395 ms  33.562 ms  34.971 ms
> 6  172.31.31.6 (172.31.31.6)  7.157 ms  7.167 ms  7.136 ms
> 7  172.31.31.30 (172.31.31.30)  7.109 ms  3.528 ms  3.421 ms
> 8  ge-6-16.car1.lyon1.level3.net<http://ge-6-16.car1.lyon1.level3.net
> > (212.73.204.113)  3.381 ms  3.351 ms
> 4.618 ms
> 9  * * *
> 10  * * *
> 11  * * *
>
> Une petite mesure avec les sondes atlas montre bien qu’on est pas les
> seuls : https://atlas.ripe.net/measurements/12456082/#!probes
> En gros, tous ceux qui peer en direct avec AS3215 ont l’air d’être OK,
> mais pour les autres c’est KO.
>
> Le plus drôle c’est que ça fait bien 2/3 semaines que c’est comme ça !
> Y a quelqu’un par ici qui sait ce qui se passe (ou qui est en mesure
> de réparer) ? 
>
> Bonne journée
> Florent GUILLOT
>
> Bonjour,
>
> Pareil avec 24600 et 8891 injoignable via cogent mais ok via un peer
> qui passe par 3215, la liste des regles custom pour les petits AS
> orange grossit petit a petit chez nous :)
>
> #wanadoo portail
> if (bgp_path ~ [= * 3215 24

RE: [FRnOG] [TECH] Accès portail client Orange

2018-05-17 Par sujet GUILLOT Florent 
Effectivement c’est corrigé !

Bonne journée,
Florent

De : Hugues Voiturier [mailto:hugues-lis...@milkywan.fr]
Envoyé : mercredi 16 mai 2018 15:17
À : GUILLOT Florent <fguil...@fltechno.scc.com>
Cc : felix.bouy...@setenforce.one; Laurent GUERBY <laur...@guerby.net>; 
frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Accès portail client Orange

C’est corrigé visiblement, vous confirmez ?

Hugues
AS50628 - AS57199


On 16 May 2018, at 14:10, GUILLOT Florent 
<fguil...@fltechno.scc.com<mailto:fguil...@fltechno.scc.com>> wrote:

Donc si je comprends bien, Orange (3215) demande à OpenTransit (5511) de black 
holer ces IP, et garde dans son pool DNS 
(espaceclientv3.orange.fr<http://espaceclientv3.orange.fr/>) des IP qu'il black 
hole volontairement.
Donc c'est "normal" que l'espace client d'Orange soit inaccessible depuis tout 
plein d'endroits...
Merci pour ces infos.
Florent

-Message d'origine-
De : felix.bouy...@setenforce.one<mailto:felix.bouy...@setenforce.one> 
[mailto:felix.bouy...@setenforce.one]
Envoyé : mercredi 16 mai 2018 12:07
À : Laurent GUERBY <laur...@guerby.net<mailto:laur...@guerby.net>>; GUILLOT 
Florent <fguil...@fltechno.scc.com<mailto:fguil...@fltechno.scc.com>>; 
frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] Accès portail client Orange

J'avais eu une réponse d'Opentransit - AS5511 (par lequel on passe si on est 
chez Cogent ou NTT par exemple) le 4 mai :

"Hello

IP 193.252.122.175 is black holed by customer itself through Arbor tool for the 
security reason,  The BH will be running for at least one week.

At our end  case - 1804Z90259 is open.

Will share further update, once we have new info in this ."

Pas eu d'info depuis, je suppose qu'ils sont toujours attaqués.

Félix

14 mai 2018 11:32 "Laurent GUERBY" 
<laur...@guerby.net<mailto:laur...@guerby.net>> a écrit:


On Mon, 2018-05-14 at 07:25 +, GUILLOT Florent wrote:


Bonjour à tous,

On a des soucis pour accéder à https://espaceclientv3.orange.fr  dep
uis Level3.

traceroute to espaceclient.orange.fr<http://espaceclient.orange.fr> 
(193.252.133.37), 30 hops max,
60 byte packets
1  gateway (10.0.2.2)  0.120 ms  0.048 ms  0.157 ms
2  10.158.70.1 (10.158.70.1)  2.815 ms  2.800 ms  2.964 ms
3  192.168.252.9 (192.168.252.9)  2.937 ms  2.904 ms  2.985 ms
4  192.168.254.254 (192.168.254.254)  4.535 ms  4.891 ms  4.876 ms
5  5.149.184.2 (5.149.184.2)  33.395 ms  33.562 ms  34.971 ms
6  172.31.31.6 (172.31.31.6)  7.157 ms  7.167 ms  7.136 ms
7  172.31.31.30 (172.31.31.30)  7.109 ms  3.528 ms  3.421 ms
8  ge-6-16.car1.lyon1.level3.net<http://ge-6-16.car1.lyon1.level3.net> 
(212.73.204.113)  3.381 ms  3.351 ms
4.618 ms
9  * * *
10  * * *
11  * * *

Une petite mesure avec les sondes atlas montre bien qu’on est pas les
seuls : https://atlas.ripe.net/measurements/12456082/#!probes
En gros, tous ceux qui peer en direct avec AS3215 ont l’air d’être
OK, mais pour les autres c’est KO.

Le plus drôle c’est que ça fait bien 2/3 semaines que c’est comme ça
!
Y a quelqu’un par ici qui sait ce qui se passe (ou qui est en mesure
de réparer) ? 

Bonne journée
Florent GUILLOT

Bonjour,

Pareil avec 24600 et 8891 injoignable via cogent mais ok via un peer
qui passe par 3215, la liste des regles custom pour les petits AS
orange grossit petit a petit chez nous :)

#wanadoo portail
if (bgp_path ~ [= * 3215 24600 =]) then preference = 600; #orange
portail if (bgp_path ~ [= * 3215 8891 =]) then preference = 600;

Sincèrement,

Laurent
AS197422 http://tetaneutral.net


__
Ce message contient des informations dont le contenu est susceptible
d' etre confidentiel. Il est destine au(x) destinataire(s) indique(s)
exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou
que vous soyez habilite a recevoir le mail a leur place, il vous est
interdit de le copier, de l'utiliser ou de devoiler son contenu a un
tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et
ne refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient
contenir des virus qui pourraient endommager votre systeme
informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque
et decline toute responsabilite pour toute perte ou dommage resultant
directement ou indirectement de l'utilisation de cet email ou de son
contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant
d'ouvrir la ou les pieces jointes.
__

---
Liste de diffusion du FRnOG
http://www.frnog.org

---
Liste de diffusion du FRnOG
http://www.frnog.org
___

RE: [FRnOG] [TECH] Accès portail client Orange

2018-05-16 Par sujet GUILLOT Florent 
Donc si je comprends bien, Orange (3215) demande à OpenTransit (5511) de black 
holer ces IP, et garde dans son pool DNS (espaceclientv3.orange.fr) des IP 
qu'il black hole volontairement.
Donc c'est "normal" que l'espace client d'Orange soit inaccessible depuis tout 
plein d'endroits...
Merci pour ces infos.
Florent

-Message d'origine-
De : felix.bouy...@setenforce.one [mailto:felix.bouy...@setenforce.one]
Envoyé : mercredi 16 mai 2018 12:07
À : Laurent GUERBY <laur...@guerby.net>; GUILLOT Florent 
<fguil...@fltechno.scc.com>; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Accès portail client Orange

J'avais eu une réponse d'Opentransit - AS5511 (par lequel on passe si on est 
chez Cogent ou NTT par exemple) le 4 mai :

"Hello

IP 193.252.122.175 is black holed by customer itself through Arbor tool for the 
security reason,  The BH will be running for at least one week.

At our end  case - 1804Z90259 is open.

Will share further update, once we have new info in this ."

Pas eu d'info depuis, je suppose qu'ils sont toujours attaqués.

Félix

14 mai 2018 11:32 "Laurent GUERBY" <laur...@guerby.net> a écrit:

> On Mon, 2018-05-14 at 07:25 +, GUILLOT Florent wrote:
>
>> Bonjour à tous,
>>
>> On a des soucis pour accéder à https://espaceclientv3.orange.fr  dep
>> uis Level3.
>>
>> traceroute to espaceclient.orange.fr (193.252.133.37), 30 hops max,
>> 60 byte packets
>> 1  gateway (10.0.2.2)  0.120 ms  0.048 ms  0.157 ms
>> 2  10.158.70.1 (10.158.70.1)  2.815 ms  2.800 ms  2.964 ms
>> 3  192.168.252.9 (192.168.252.9)  2.937 ms  2.904 ms  2.985 ms
>> 4  192.168.254.254 (192.168.254.254)  4.535 ms  4.891 ms  4.876 ms
>> 5  5.149.184.2 (5.149.184.2)  33.395 ms  33.562 ms  34.971 ms
>> 6  172.31.31.6 (172.31.31.6)  7.157 ms  7.167 ms  7.136 ms
>> 7  172.31.31.30 (172.31.31.30)  7.109 ms  3.528 ms  3.421 ms
>> 8  ge-6-16.car1.lyon1.level3.net (212.73.204.113)  3.381 ms  3.351 ms
>> 4.618 ms
>> 9  * * *
>> 10  * * *
>> 11  * * *
>>
>> Une petite mesure avec les sondes atlas montre bien qu’on est pas les
>> seuls : https://atlas.ripe.net/measurements/12456082/#!probes
>> En gros, tous ceux qui peer en direct avec AS3215 ont l’air d’être
>> OK, mais pour les autres c’est KO.
>>
>> Le plus drôle c’est que ça fait bien 2/3 semaines que c’est comme ça
>> !
>> Y a quelqu’un par ici qui sait ce qui se passe (ou qui est en mesure
>> de réparer) ? 
>>
>> Bonne journée
>> Florent GUILLOT
>
> Bonjour,
>
> Pareil avec 24600 et 8891 injoignable via cogent mais ok via un peer
> qui passe par 3215, la liste des regles custom pour les petits AS
> orange grossit petit a petit chez nous :)
>
> #wanadoo portail
> if (bgp_path ~ [= * 3215 24600 =]) then preference = 600; #orange
> portail if (bgp_path ~ [= * 3215 8891 =]) then preference = 600;
>
> Sincèrement,
>
> Laurent
> AS197422 http://tetaneutral.net
>
>> __
>> Ce message contient des informations dont le contenu est susceptible
>> d' etre confidentiel. Il est destine au(x) destinataire(s) indique(s)
>> exclusivement.
>> A moins que vous ne fassiez partie de la liste des destinataires, ou
>> que vous soyez habilite a recevoir le mail a leur place, il vous est
>> interdit de le copier, de l'utiliser ou de devoiler son contenu a un
>> tiers.
>> Si vous avez recu cet email par erreur, merci de prendre contact avec
>> l'emetteur.
>> Les opinions exprimees dans cet e-mail sont celles de l'emetteur et
>> ne refletent pas necessairement celles de l'entreprise.
>> Ce e-mail peut contenir des pieces jointes dont certaines pourraient
>> contenir des virus qui pourraient endommager votre systeme
>> informatique.
>> La compagnie a pris toutes dispositions afin de minimiser ce risque
>> et decline toute responsabilite pour toute perte ou dommage resultant
>> directement ou indirectement de l'utilisation de cet email ou de son
>> contenu.
>> Il vous appartient d'effectuer vos propres controles anti-virus avant
>> d'ouvrir la ou les pieces jointes.
>> __
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org
__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des des

[FRnOG] [TECH] Accès portail client Orange

2018-05-14 Par sujet GUILLOT Florent 
Bonjour à tous,

On a des soucis pour accéder à https://espaceclientv3.orange.fr/  depuis Level3.

traceroute to espaceclient.orange.fr (193.252.133.37), 30 hops max, 60 byte 
packets
1  gateway (10.0.2.2)  0.120 ms  0.048 ms  0.157 ms
2  10.158.70.1 (10.158.70.1)  2.815 ms  2.800 ms  2.964 ms
3  192.168.252.9 (192.168.252.9)  2.937 ms  2.904 ms  2.985 ms
4  192.168.254.254 (192.168.254.254)  4.535 ms  4.891 ms  4.876 ms
5  5.149.184.2 (5.149.184.2)  33.395 ms  33.562 ms  34.971 ms
6  172.31.31.6 (172.31.31.6)  7.157 ms  7.167 ms  7.136 ms
7  172.31.31.30 (172.31.31.30)  7.109 ms  3.528 ms  3.421 ms
8  ge-6-16.car1.lyon1.level3.net (212.73.204.113)  3.381 ms  3.351 ms  4.618 ms
9  * * *
10  * * *
11  * * *


Une petite mesure avec les sondes atlas montre bien qu’on est pas les seuls : 
https://atlas.ripe.net/measurements/12456082/#!probes
En gros, tous ceux qui peer en direct avec AS3215 ont l’air d’être OK, mais 
pour les autres c’est KO.

Le plus drôle c’est que ça fait bien 2/3 semaines que c’est comme ça !
Y a quelqu’un par ici qui sait ce qui se passe (ou qui est en mesure de 
réparer) ? 

Bonne journée
Florent GUILLOT


__
Ce message contient des informations dont le contenu est susceptible d' etre 
confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement.
A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.
Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.
Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.
Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.
La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.
Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Incident porte ATM Orange Paris

2018-01-31 Par sujet GUILLOT Florent 
Bonjour,
Nous avons depuis 10h10 un incident sur une porte ATM Orange parisienne. Tous 
les liens KO.
Cordialement
F. Guillot




__
Ce message contient des informations dont le contenu est susceptible d'etre 
confidentiel.
Il est destine au(x) destinataire(s) indique(s) exclusivement.

A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.

Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.

Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.

Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.

La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.

Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX PA3

2018-01-15 Par sujet GUILLOT Florent 
Quelques exemples de paquets reçus à tord:
   IP-Src:Port-Src -> IP-Dst:Port-Dst
 46.193.16.50:47381 -> 162.125.67.8:443
 46.193.0.220:53774 -> 162.125.67.4:443
 46.193.1.211:58506 -> 162.125.67.3:443
 46.193.138.240:57721 -> 162.125.67.2:80
 62.193.39.202:37293 -> 162.125.67.3:443
 62.193.55.31:58364 -> 162.125.67.4:443
 10.188.247.117 -> 162.125.67.3:443
 10.192.2.47:50715 -> 162.125.67.3:443
 31.29.110.231 -> 162.125.67.3:443
 195.42.144.122:53185 -> 195.42.145.163:179
 95.141.97.183:8371 -> 162.125.67.8:443
 176.57.33.239:49682 -> 162.125.67:443

La quasi-totalité va chez Dropbox. Et en volume, au nez, ça vient beaucoup de 
chez Wifirst. 

Florent

-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com] 
Envoyé : lundi 15 janvier 2018 20:16
À : GUILLOT Florent <fguil...@fltechno.scc.com>
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX PA3

Tu pourrais vérifier une ou 2 IP destination de ce trafic, tu vérifies dans tes 
routes BGP quel est le next-hop sur le LAN Equinix-IX pour ces IP, histoire de 
voir si tu trouves les mêmes que moi.


Le 15 janv. 2018 à 20:00, GUILLOT Florent a écrit :

> Nous constatons également ce même soucis sur PA2.
> Aujourd'hui (15/01/18) vers 11h45 nous avons même eu un pic de quasi 
> 100Mbits/s de trafic complètement illégitime. 
> En temps normal, c'est 10-30 Mbps qui nous arrivent alors qu'ils ne nous sont 
> pas destinés...
> La dernière fois que l'on a regardé, il y avait pas mal de trafic dropbox...
> Florent
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
> part de David Ponzone Envoyé : lundi 15 janvier 2018 19:55 À : Michel 
> Py <mic...@arneill-py.sacramento.ca.us>
> Cc : Clément Cavadore <clem...@cavadore.net>; frnog-t...@frnog.org 
> Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX 
> PA3
> 
> Oui c'est ça.
> Et c'est clairement pas une expiration trop courte, genre 500ms :), car je 
> vois des paquet consécutifs avec même IP source/destination.
> Tout ça c'est untagged.
> Sur quelques secondes de sniffing, je vois pas de paquets dans un VLAN 
> tagged, donc c'est déjà rassurant pour ceux qui ont un VLAN privé :)
> 
> Quelques nexthop qui sont concernés:
> 
> nameshield.equinix-ix.fr
> e0-tonton.eqx-pa3.optilian.net
> axialys.equinix-ix.fr
> eqx-ix.net.believe.fr
> dis.equinix-ix.fr
> cnsi.equinix-ix.fr
> 
> C'est pas forcément exhaustif puisque fait à la main, mais j'ai l'impression 
> que c'est le plus gros du trafic.
> Ca va peut-être faire bouger les choses par ceux dont le trafic est 
> partiellement au moins espionnable.
> 
> Le 15 janv. 2018 à 19:08, Michel Py a écrit :
> 
>> On parle bien d'un problème du genre "unresolved unicast" ou le switch pour 
>> somme raison ne connait pas le port pour une ou plusieurs MAC adresses et 
>> floode le traffic sur tous les ports comme un broadcast géant ?
>> Tu vois du trafic qui est même pas pour le VLAN dans lequel le port est ?
>> 
>> Michel.
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> __
> Ce message contient des informations dont le contenu est susceptible d'etre 
> confidentiel.
> Il est destine au(x) destinataire(s) indique(s) exclusivement.
> 
> A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
> soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
> copier, de l'utiliser ou de devoiler son contenu a un tiers.
> 
> Si vous avez recu cet email par erreur, merci de prendre contact avec 
> l'emetteur.
> 
> Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
> refletent pas necessairement celles de l'entreprise.
> 
> Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
> des virus qui pourraient endommager votre systeme informatique.
> 
> La compagnie a pris toutes dispositions afin de minimiser ce risque et 
> decline toute responsabilite pour toute perte ou dommage resultant 
> directement ou indirectement de l'utilisation de cet email ou de son contenu.
> 
> Il vous appartient d'effectuer vos propres controles anti-virus avant 
> d'ouvrir la ou les pieces jointes.
> __
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

__
Ce message contient des informations dont le contenu est susceptible d'etre 
confidentiel.
Il est destine au(x) destinataire(

RE: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX PA3

2018-01-15 Par sujet GUILLOT Florent 
Nous constatons également ce même soucis sur PA2.
Aujourd'hui (15/01/18) vers 11h45 nous avons même eu un pic de quasi 100Mbits/s 
de trafic complètement illégitime. 
En temps normal, c'est 10-30 Mbps qui nous arrivent alors qu'ils ne nous sont 
pas destinés...
La dernière fois que l'on a regardé, il y avait pas mal de trafic dropbox...
Florent

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : lundi 15 janvier 2018 19:55
À : Michel Py 
Cc : Clément Cavadore ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX PA3

Oui c'est ça.
Et c'est clairement pas une expiration trop courte, genre 500ms :), car je vois 
des paquet consécutifs avec même IP source/destination.
Tout ça c'est untagged.
Sur quelques secondes de sniffing, je vois pas de paquets dans un VLAN tagged, 
donc c'est déjà rassurant pour ceux qui ont un VLAN privé :)

Quelques nexthop qui sont concernés:

nameshield.equinix-ix.fr
e0-tonton.eqx-pa3.optilian.net
axialys.equinix-ix.fr
eqx-ix.net.believe.fr
dis.equinix-ix.fr
cnsi.equinix-ix.fr

C'est pas forcément exhaustif puisque fait à la main, mais j'ai l'impression 
que c'est le plus gros du trafic.
Ca va peut-être faire bouger les choses par ceux dont le trafic est 
partiellement au moins espionnable.

Le 15 janv. 2018 à 19:08, Michel Py a écrit :

> On parle bien d'un problème du genre "unresolved unicast" ou le switch pour 
> somme raison ne connait pas le port pour une ou plusieurs MAC adresses et 
> floode le traffic sur tous les ports comme un broadcast géant ?
> Tu vois du trafic qui est même pas pour le VLAN dans lequel le port est ?
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

__
Ce message contient des informations dont le contenu est susceptible d'etre 
confidentiel.
Il est destine au(x) destinataire(s) indique(s) exclusivement.

A moins que vous ne fassiez partie de la liste des destinataires, ou que vous 
soyez habilite a recevoir le mail a leur place, il vous est interdit de le 
copier, de l'utiliser ou de devoiler son contenu a un tiers.

Si vous avez recu cet email par erreur, merci de prendre contact avec 
l'emetteur.

Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne 
refletent pas necessairement celles de l'entreprise.

Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir 
des virus qui pourraient endommager votre systeme informatique.

La compagnie a pris toutes dispositions afin de minimiser ce risque et decline 
toute responsabilite pour toute perte ou dommage resultant directement ou 
indirectement de l'utilisation de cet email ou de son contenu.

Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir 
la ou les pieces jointes.
__


---
Liste de diffusion du FRnOG
http://www.frnog.org/