Re: [FRnOG] [MISC] Netflix in France

[Xavier Beaudouin]

Le 27 juil. 2014 à 18:39, Jérôme Nicolle  a écrit :

> 
> 
> Le 26/07/2014 05:04, Ludovic LACOSTE a écrit :
>> Mouais donc le terabit/s c'est du fake ?
> 
> 100 appliances virtuelles sur des hôtes en 10Gb/s "inzecloud", c'est pas
> du fake. Les teuyos sont à la charge des hébergeurs de ces machines là.

D'un autre coté, certains FAI peuvent coller ces noeuds la ou il y a de conso 
de masse, et pas nécessairement à Paris (genre on oublie la 
centralisation, local peering toussa).

Enfin comme dirais qqn que je connais bien : "toute façon j'suis informaticien, 
j'y connais rien en informatique" :D

Xavier



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [JOBS] Recrutement et télétravail

[Xavier Beaudouin]

Hello,

Le 27 juil. 2014 à 21:22, m3g4g0lG0t|-|  a écrit :

> Le 25/07/2014 11:09, Xavier Beaudouin a écrit :
>> Le coté positif pour la boite :
>> 
>> - pas de locaux a payer pour ses télétravailleurs
>> - pas de pb de transport (surtout valable en IdF ou les transports sont de 
>> plus en plus lamentable, a part l'adresse ca sert a quoi d'avoir des locaux 
>> a paris, super cher, avec une électricité qui pete tous les week-end ?).
>> - toujours à l'heure
> 
> 
> Il faudrait aussi essayer de voir les cotés négatifs, ce qui est perçu comme 
> négatif par le(s )chef(s). C'est sûrement dans ces points que l'on pourra 
> voir ce qui freine les entreprises françaises dans l'adoption du télétravail.

Effectivement c'est un "coté négatif".

> Du coté du chef je pense qu'il y a une perte de pouvoir, le truc qui est 
> l'essence même du chef. Les employés sont physiquement loin du chef, il ne 
> peut pas exercer son pouvoir de la même manière. Je repense au chef qui avait 
> fait placer les bureaux et les écrans de tel manière a ce qu'il puisse voir 
> ce qu'on avait d'affiché à l'écran quand il voulait, mais que l'on ne pouvait 
> pas facilement savoir s'il regardait ... ou pas! Ben en télétravail, c'est 
> plus possible.

J'ai eu le cas d'un taf, ou j'avais un "chef" qui adorais surveiller ce qu'on 
faisait. Je trouve ce genre de comportement puéril et rétrograde.

> Il y a donc moins de surveillance aisé possible.
> 
> Du point de vue de la boite, il y a une prise de risque, par la perte(pas 
> totale mais importante) de contrôle de l'employé.

Tous les jobs ne peuvent pas être fait en Télétravail, mais un sysadmin en 
général accède a des équipements distants, pourquoi se faire chier a prendre 
des transports couteux en énergie et en temps (sans compter le coût pour 
l'entreprise de la carte de transport) alors qu'un ssh peux remplacer ca?

> J'ai fait un peu de télétravail il y a quelques années, quand j'ai passé ma 
> licence en "distanciel". J'ai remarqué que le matin, quand on est motivé 
> comme une larve, se lever à 8h pour aller bosser à 9h, certes dans la pièce 
> d'à coté, n'est pas si évident, surtout quand on est seul dans le logement.

Ca dépends des gens, je suis dans le coté contraire, je suis déjà levé depuis 
longtemps quand je monte mon openvpn pour "aller" travailler.

Le coté positif est que ma pause repas est < 1h donc, en gros je dépasse 
largement le quota horaire de la boite.

> Cela demande une rigueur que tout le monde n'a pas. Ne pas pouvoir adopter ce 
> modèle en tant que standard pour tous, mais à jauger suivant les personnes, 
> est sûrement un blocage (car une complication) au niveau des RH.

Oui effectivement, il y a aussi des methodes pour "surveiller" les gens. Pour 
ma part, les 6 premiers mois étaient gérés avec des projets, des milestones, 
des dates de livraison probables et des réu hebdo afin de savoir ou est la 
progressions.
Le resultat c'est que en 6 mois de télétravail, j'ai fait (pas totalement) des 
avancées > a 4 ans de travail.

> Après au niveau coûts, ce pourrait être un argument, mais à faire valoir à 
> ceux tout en haut de la pyramide. Le modèle "on va bosser au bureau" est 
> facilement applicable à tout le monde.

Oui pour l'instant, le jour ou le pétrole sera cher, et que les couts de 
déplacements seront élevés, alors on en reparleras peut-être dans une autre 
sens.
Ceci dit pour une boite qui a déjà plusieurs points de présence sur le 
territoire, et dans le monde, le télétravail est comme si je bossais dans un 
autre bureau... Même méthodes de travail, même méthodes de communication, mêmes 
méthodes de reporting.

Ceci dit, je comprends la réticence des boites françaises pour le télétravail, 
certaines organisations dans le monde de l'internet ont compris dès le début 
que de dématérialiser le "bureau" est un gain de temps (surtout si toutes les 
équipes sont dans les 3 zones de la planète : follow the sun, sans payer des 
heures de nuit...).

> Note: Il est tout à fait possible dans l'administration (fonctionnaire, 
> toussa) de bosser en télétravail, mais culturellement, ça ne colle pas du 
> tout! Et il faudra sûrement un moment pour que ça apparaisse.

Pas tous hein... :) Il en faut bien pour faire un ou deux papiers tant que 
c'est la référence de notre administration :D

> mode troll : les fonctionnaires vont encore plus glander en télétravail.

Joker :D

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [JOBS] Recrutement et télétravail

[Xavier Beaudouin]

Hello,

Le 25 juil. 2014 à 09:53, neo futur  a écrit :

> 2014-07-25 3:12 GMT-04:00 David H. :
>> Pour ma part, le télétravail dans ma boite, c'est :
>> - obligatoirement chez soi
>> - on conserve exactement les mêmes horaires que sur site (cad qu'il faut 
>> être joignable)
>> - deux jours minimum à faire sur le site de l'agence (ces jours peuvent être 
>> modifiés mais il faut prévenir 2 semaines à l'avance)
>> 
>> Peut-on réellement parler de "télétravail" dans ce cas ? :)
> 
> oui, c est deja pas mal, un bon debut, et peu d entreprises ont cette
> souplesse, meme si je pense que plus de souplesse pourrait etre
> benefique tant pour l employe que pour l entreprise.

C'est déjà pas mal. Les deux jour c'est "par semaine" ou "par mois" ?

Moi de mon coté j'ai pu négo du télétravail, ceci dit, on a quand même besoin 
de moi sur place, surtout quand mon collègue est en vacances.

Ceci dit un argument type : on a réussit a réparer une sonde sur mars depuis la 
terre, pourquoi ne pas arriver a mettre a jour ou reinstaller un OS depuis 20km 
overs xDSL.

La difficulté pour l'employeur c'est surtout : est-ce qu'il bosse.

Pour un sys/net admin y a plein d'outils :

- le ticketing (forcer tout le monde a l'utiliser)
- la supervision (si tout est rouge tout le temps, alors )
- les mails.
- le IM

... accessoirement le téléphone (mais c'est une plaie le téléphone, car ca 
monopolise le gars).

Le coté positif pour la boite :

- pas de locaux a payer pour ses télétravailleurs
- pas de pb de transport (surtout valable en IdF ou les transports sont de plus 
en plus lamentable, a part l'adresse ca sert a quoi d'avoir des locaux a paris, 
super cher, avec une électricité qui pete tous les week-end ?).
- toujours à l'heure 


... My 0,02€

Xavier



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Statut adresses IPv4 .0

[Xavier Beaudouin]

Emmanuel,

Pour du "pro" aussi j'ai eu ce genre de surprise ou j'avais des gens étonnés 
qu'ile ne pouvaient pas voir leur joli site web sur un certain nombre de box

Ok router un /32 sur un load balancer ça peux paraître étrange, mais certains 
FAI (et pas que orange car NC, SFR, et bien d'autre sont touchés la dessus) et 
l'article de Stéphane le montre bien.

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] 8emes assises du très haut débit

[Xavier Beaudouin]

Le 9 juil. 2014 à 17:30, Gaïa  a écrit :

> Le 09/07/2014 17:16, Manu a écrit :
>> 
>> Le 09/07/2014 17:13, David Ponzone a écrit :
>>> Mais il est effectivement possible que ce choix soit au niveau des
>>> collectivités (villes/régions) et que trop souvent, elle fasse le
>>> mauvais choix.
>> 
>> Mais y a t il des régions où ça fonctionne ? Ou d'autres pays ? (qui
>> font les bons choix)
>> 
> 
> Dans le sud de la Chine, c'est très aérien.
> Du coups, certains installent des fibres eux-même, entre leurs
> différents bureaux ou commerces. Comme il y en a plein, personne n'y
> touche.
> Les câbles sont généralement accrochés aux murs des bâtiments, et
> parfois à porté de main pour les plus grands.
> 

Comme quoi le DIY est une bonne méthode : faut pas compter sur les politiques 
pour faire quelque chose qui marche...

Sinon on serait encore en X25 hein...

Xavier



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] 8emes assises du très haut débit

[Xavier Beaudouin]

Hello,
Le 9 juil. 2014 à 16:53, Radu-Adrian Feurdean  
a écrit :

> On Wed, Jul 9, 2014, at 15:24, David Ponzone wrote:
>> Vous êtes quand même durs quoi, on a eu le Minitel, merde!
>> On sait de quoi on parle dans ce pays, ça nous connait l’innovation.
> 
> Oui, mais la reglementation lourde et inutile on connait encore mieux en
> France.
> (au pif : enterrer la fibre coute que coute, licences non-utilises pour
> du spectre radio, "il y a X qui a deploye sa fibre ici - au revoir",
> sans oublier le prix du "o debi" qui doit etre le meme a La Defense ou a
> Nullepart-en-Campagne).

Sans compter des fibres qui ne servent a rien car si jamais on les éclairent 
"ça dénaturerait l'objet du contrat de concession" (coucou Yvelines Connect / 
Eiffage)...

Bref jeter du pognon par la fenêtre...

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [ALERT] L'affaire noip.com VS Microsoft

[Xavier Beaudouin]

Hello,

Le 3 juil. 2014 à 18:12, Renaud Chaput  a écrit :

> Le Thu, 3 Jul 2014 12:09:18 -0400,
> Fried Wil  a écrit :
> 
>> La décision est totalement logique vu l'historique
>> de no-ip ...
> 
> Tu as des faits pour étayer ça ? Ce n'est pas leur discours officiel
> (normal je suppose), et j'ai au contraire vu des témoignages de gens
> bossant dans la sécu qui disaient qu'ils étaient très coopératifs et
> réactifs pour lutter contre les utilisations frauduleuses de leurs
> services.

Aucune idée la dessus, mais je pense que M$ a tapé fort chez l'organisme qui 
gère les domaines de no-ip pour ce genre de chose.

Juste pour rappeler aux incrédules ... les .com sont soumis aux lois US. Donc 
votre domaine en .com n'est exempt de ce genre de choses...

Voila my 0,02€

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [FrnOG] [TECH] Alphalink

[Xavier Beaudouin]

Hello,

Le 16/06/2014 13:18, fr...@thibault-delahaye.fr a écrit :

Il y a apparemment un problème chez Cogent à La Garenne Colombes (92)
depuis 9h15.
Je connais un opérateur qui est hébergé là-bas, qui dépend
complètement du transit Cogent et dont l'AS est HS depuis 9h15...
(même le Looking Glass de Cogent à Paris est HS :
http://cogentco.com/fr/network/looking-glass)

Et comme environ 11% des préfixes annoncés par Alphalink passe par
Cogent, ceci explique cela non ?


Encore un excellent exemple de chose bizare... Avoir un AS et des Prefix 
et ne les annoncer sur un transitaire... pour des choses sensibles... 
Joker...


Xavier
--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Si y'a du monde de chez Orange Buisness sur la liste ...

[Xavier Beaudouin]

Salut Clément,

Le 13 juin 2014 à 15:44, Clement Cavadore  a écrit :

> Bonjour,
> 
> On Fri, 2014-06-13 at 15:34 +0200, Guillaume Hilt wrote:
>> Ok, c'est lié à la fibre Completel HS.
> (...)
> 
> Je trouve tout de même incroyable qu'une simple rupture de fibre puisse
> avoir autant d'impact visible (que ce soit dans ce cas là, ou l'autre
> cité plus tôt dans la journée). 
> 
> C'est pourtant pas "compliqué" de faire des réseaux résilients (que ce
> soit CPTL eux même, ou les clients utilisant leur infra), surtout en IDF
> où il y a de la fibre partout, dans tous les sens... 
> 

Tu demandes trop a la poste... Déjà avoir une interface web qui fonctionne pour 
les colis a été un travail long et difficile, alors qu'elle soit résiliente... 
t'en as au moins pour 10 ans... (après on parlera d'interface visible en 
ipv6... donc 10 ans de plus : on se revoit en 2034 donc ?)

Xaiver



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Re: Voip

[Xavier Beaudouin]

Salut David & Lucas,

Le 12 juin 2014 à 10:57, David Ponzone  a écrit :

> Ok mais il ne faut pas croire que:
> 
> "grand constructeur" = $ = qualité de service

+1

> En plus, pour un « grand constructeur » , tu seras un « tout petit ».

+1

> Ne pas oublier que de plus en plus, les routeurs deviennent des serveurs.

Exemple nexus5000 : c'est un PéCé avec un Linux dedans, plus quelques 
extensions hardware, mais grosso modo t'as un Linux...

Idem avec des juniper c'est pas un linux mais un freebsd avec plein 
d'extensions bien fermées... 

> La plupart des solutions SIP de « grand constructeur » sont basés sur des 
> serveurs Linux (certains ne s’en vantent pas).
> Je gère quelques serveurs Dell sur lesquels je n’ai pas eu le moindre 
> problème en 8 ans, donc peut-être que c’est du côté du serveur que tu devrais 
> regarder (grand constructeur ou assembleur genre Supermicro, au choix).

Idem, un grand construteur type Dell peut aussi avoir des grosses emmerdes... 
Quand tu choisi du hardware, il faut le faire correctement. Genre : prendre des 
disques fiables, avec des cartes raid fiable, alim, avoir du hot spare sur 
place.
Ne crois pas que si tu achete du Cisco ou whatever ton alim vas pas crâmer ! 
(testé et approuvé de mon coté).

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] Le néo-colonialisme, une nouvelle opportinuté ?

[Xavier Beaudouin]

Salut Julien,

Je suis assez surpris du manque de réaction au cynisme répugnant de ce 
mail.

En dehors de la réalité technique et des magouilles en vogue depuis des
années sur lesquelles je n'ai rien à dire présentement, je trouve 
vraiment le

ton de ce mail inacceptable.

Alors, d'aucuns vont me traiter de père la morale ou que-sais-je mais 
ce

n'est pas la première fois que je constate ce genre de réflexions de
dominants autour d'frnog (que ce soit la liste ou le chan IRC).

Ça donne une image de la liste et de la "communauté" du réseau français
vraiment déplorable.


Je te comprends, je suis laissé volontairement neutre lors de ma 
réponse.


Il est clair que les sociétés qui font vraiment du travail avec 
l'Afrique peuvent faire ce qu'il est dit. Ceci dit, le pillage de 
ressources est quelque chose de courant même si ça m’écœure au plus haut 
point (genre les suremballages qui sont jeté direct en plastique = on 
jette du pétrole directement vu qu'on est pas capable de recycler ce 
PVC...).


Pour revenir au problème, il est clair que l'Afrinic devrait être "un 
peu plus strict" en connaissance de cause... mais je pense que la 
politique de l'autruche, connue sous le nom : "du moment qu'ils payent" 
est le fait de cette méthode en vogue.


Tout ça parce qu'on essaye de ne pas migrer en IPv6... Sortez vous les 
doigts...
(D'façon on arrive au 500k routes... les 6500 vont aider a un peu 
bouger les choses non ? )


Xavier

Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le néo-colonialisme, une nouvelle opportinuté ?

[Xavier Beaudouin]

Salut,

> Foin de l'or, pétrole, "ressources humaines" ou coton, je m'attarderai sur 
> cette ressources rare, précieuse et inexistante : les adresses IP, que l'on 
> trouve à poignées dans les plaines africaines (l'Afrinic ne consomme que 30% 
> de son potentiel).
> 
> Bref, tout ça pour dire que je projette de récupérer cette manne quasi-divine 
> de la manière suivante :
> - création d'une personne morale dans une contrée lointaine
> - adhésion à l'Afrinic
> - récupération d'un subnet (un /13 me semble raisonnable pour débuter)
> - annonce de ce subnet via mon ASN européen
> 
> Bon, s'il faut, j'accepte de me sacrifier économiquement en payant un 
> autochtone, pour un salaire de misère (si j'en crois le grand journal de TF1, 
> c'est la norme)
> 
> Qu'en pensez-vous ?
> J'aimerais vos avis, en particulier sur les points législatifs et techniques. 
> Est-ce une bonne pratique, et si non, pourquoi et quels sont les risques ?

Ca existe déjà, voir rapport de l'ODRIF.

> Tant que j'y suis, et si ce premier projet tombe à l'eau, j'ai trouvé une 
> autre piste pour assouvir ma soif de numéro (autre que le loto) : le ninja de 
> prefix.
> Il semble que ce soit un sport communément répandu, si j'en crois Hurricane 
> Electric : http://bgp.he.net/report/bogons#_bogonsv4asn
> Ou alors, il ment ?

Sur ce point tu n'as aucune garantie que ton prefix bogon ne soit pas filtre 
quelque part...

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2

[Xavier Beaudouin]

Salut,

Le 8 avr. 2014 à 00:06, technicien hahd  a écrit :

> On Monday 07 April 2014 23:40:53 Radu-Adrian Feurdean wrote:
>> On Mon, Apr 7, 2014, at 21:06, Sylvain Busson wrote:
>>> Pas besoin d'aller si loin, à Telehouse Londres(Docklands)  ils fouillent
>>> dans ta valise, ils te font sortir tes pesli pour peu que tu y soit pour
>>> plusieurs jours, si t'es pas d'accord tu rentres pas.
>> 
>> Ca a probablement change depuis, mais il y a meme pas 2 ans (mai 2012),
>> c'etait certainement pas ca. Valise dans une main, boite assez grande
>> pour contenir un CER dans l'autre, on m'a pas pose des questions.
>> 
> 
> C'est assez marrant que tout le monde focalise sur l'entrée parce que houlala 
> il pourrait y avoir des explosifs et la sécurité tout ça. Par contre à la 
> sortie le gars qui sort avec ton serveur dans son sac, on lui demande rien.
> 

Quand Telecity CBV s'appelais Redbus, le fait de sortir un serveur c'était du 
sport.
Sortir un HD passais mieux, surtout quand on a un mac book pro :)

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS

[Xavier Beaudouin]

Hello,
Le 4 avr. 2014 à 08:35, Philippe Bourcier  a écrit :

> 
> Bonjour,
> 
> On fait et faisait un truc basique sur les serveurs IRC (depuis les années 
> 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou 
> Pascal Gloor et Nicolas Strina)...
> 
> On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une 
> seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et 
> "hop, le DDoSseur DDoSsé". En effet, une fois la route disparue du net, c'est 
> le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce 
> qui permet à l'admin du réseau en question de se rendre compte qu'il y a un 
> soucis chez lui.
> 
> Bien sure ce n'est valable que pour un service "perdable", mais ça a sauvé 
> des business et c'est totalement KISS.
> Depuis les transits permettent des systèmes un peu plus sophistiqués, mais 
> pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et 
> puis l'IPv4 n'était pas bien chère et rare à l'époque :)).
> 

C'est la technique que j'avais utilisé pour un service de DNS gratis qui se 
faisais souvent DDoS.

Principe un PI/24.

Un serveur ayant 10Mbps (ca suffit largement pour du traffic DNS "normal"). 

Du BGP Dampening... réglé a 45 minutes... :D

Et hop :)

En cas de DDoS ca saute, puis ca re-saute, et puis le dampening se met en 
branle et donc l'annonce disparait... 

Ok ca fait le service qui n'est pas dispo, mais ca protège et ca laisse les 
relou s'énerver tout seul.

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] raconte moi tronc de collecte

[Xavier Beaudouin]

Salut Laurent,

J'ai bossé dans une petite boite qui faisait de la collecte SFR, mais aussi 
plein d'autres choses...

A cette époque on avais pas mal de collecte SFR, mais la comptable pétais un 
plomb avec la facturation délirante de SFR. A un tel point, que chaque mois on 
passais elle et moi à une vérification complète que quelle ligne a été acheté 
avec quel debit, comment etc...

A la fin on en a eu marre, on passé L33.1 et on a pris une collecte FT/Orange.

Zen, fiable, pas d'emmerdes (parce que les truc qui marchent a moitié mais 
quand même facturé, SFR aime bien...).

Evidement il y avais la menace de "ouais vous faites pas assez de CA, et on 
étais de l'ordre de 20K€ par mois chez eux" joker donc.

En tous cas, je souhaite plein de bon plaisir a Numéricable ou Bouygues pour 
absorber le Mammouth, car le bordel ambiant qui reste depuis 
LDCOM/Gaoland/Worldnet est toujours planqué sous le faux plancher...

Je sais pas comment cette boite arrive a tenir, mais je suis toujours étonné... 

Entre le datacenter de Courbevoie ou on a l'impression de rentrer dans une 
fortification mais qui laisse rentrer des gens inconnus dans des suites privées 
a bidouiller des cables pour y coller des étiquettes, des groupes électrogènes 
mobiles qui arrivent des fois... Des portes prévues pour rentrer les mains dans 
les poches mais si jamais tu arrives avec un machin qui fait 4U la tu en 
chies...

Bref... :)

Le problème de SFR : penser qu'ils sont indispensables et donc ne rien changer 
a leur politique... Alors que Orange a commencé a bouger... pour un prix des 
fois plus avantageux (quand on mets en compte les emmerdes générées par 
SFR).

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] Conservation des données pour réseau public

[Xavier Beaudouin]

Hello,

> Il y a quelques jours j'ai mis une paire de pneus neufs sur ma bagnole chez 
> un vendeur connu (http://lesschwab.com), il y a du WiFi pour passer le temps 
> pendant qu'ils changent tes pneus au même titre qu'il y a du café (gratuit). 
> Mon vendeur de pneus n'est pas un FAI, il essaie de rendre mon attente plus 
> facile. J'ai donné la clé de la voiture, je me suis servi un caoua, je me 
> suis assis, j'ai sorti mon portable et j'ai fait quelque chose.

Même expérience en Corée du Sud avec un iPhone 4S sans carte SIM Coréenne : y a 
du wifi partout, sans mdp ni truc de menaces comme en France. Comme ça tu peux 
prendre ton portable et bosser là ou tu veux et être sur d'avoir du réseau.

Idem avec le cable réseau qui traine derrière la TV dans les hotels en corée...

> Ce qui est lamentable avec la loi Française c'est que les gros qui ont les 
> moyens ne l'appliquent pas, laissant les petits sans connaissance technique 
> avec des obligations et l'épée de Damoclès au-dessus de leur tête. C'est trop 
> compliqué, çà ne sert a rien si ce n'est à faire chier le petit peuple.

C'est l'effet pervers des "élites"(sic) qui n'ont rien compris à la choucroute.

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Recherche DSLAM low-cost pour pédagogie

[Xavier Beaudouin]

D'ailleurs en passant j'ai quelques cisco 828 en stock... 

Qui n'en veux ? :)

(me contacter en privé)

> En sdsl tu peux utiliser deux modems back to back. Les wics dans les
> routeurs cisco font ça très bien. Si vous avez déjà les routeurs
> l'investissement peut être très faible, une wic-1shdsl ça coute
> vraiment pas cher.
> 
> Coté réseau il faut utiliser la commande "dsl equipment-type co" pour
> le faire opérer en "dslam" :
> 
> http://www.cisco.com/c/en/us/td/docs/ios/12_2/12_2x/12_2xl/feature/guide/ft_gdsl4.html#wp1087537
> 
> 
> --
> pierre
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Gamme Juniper ?

[Xavier Beaudouin]

Hello,

> Il y a quand meme des désavantages à monter x centaines de sessions :
> hormis le CPU que ça bouffe et donc convergence à tout remonter en cas de
> pépin, c'est de la configuration à maintenir, à monitorer etc).

La effectivement quand on a des processeurs en mousse sur les RE.. c'est relou.

Du coup Juniper n'assure pas un cachou... Dommage :(

(...)

> Bah on est d'accord, le trafic ne fait pas tout (voir plus haut et même
> voir mon mail initial).
> S'il y a des besoins spécifiques autres que le trafic une session directe
> peut toujours être montée.
> 
> Après ne pas monter des sessions ne veut pas dire ne pas s'échanger des
> routes. Les routes serveurs sont là pour ça du coup je ne comprend pas
> l'objet de ton paragraphe.

Les route serveurs sont la, et que les open policy jouent bien le jeu, c'est à 
dire annoncent bien toutes les routes qu'il ont sur leur AS sur les routes 
server, j'appelle jouer le jeu.

Par contre ça fait spof un route server, et des fois des routes fantômes (j'ai 
déjà eu le coup sur un des IX francais qui en avais un, je sais plus lequel...).

> Monter une session directe ou passer par un route serveur ça revient dans
> 95% des cas au même. Dans un des deux cas tu fais confiance a un tiers pour
> recevoir les routes mais dans ta RIB et dans ta FIB le next-hop est le
> même. Juste tu soulages ton CPU.

Tu as bien dis 95%, je pense que dans le cas présent, il se trouve dans les 5% 
restant.

> Quant à ton commentaire sur le modèle économique sur envoyer du Gbps et se
> foutre de la latence je ne comprends pas non plus, en tout cas ce modèle
> n'est pas le mien.

Bah tu parlais de traffic vs est-ce que ca vaux le coup de peerer ? (Sans que 
tu n'ai parlé des route serveurs).

> Et surtout je ne vois pas le rapport avec le fait de ne pas monter de
> sessions directes.

Oui je te suis, uniquement si tout le monde joue le jeu avec les routes 
servers Si et Seulement Si...

Les "open policy" qui ne peerent pas sur les routes servers -> joker.

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Gamme Juniper ?

[Xavier Beaudouin]

Salut Pierre-Yves,

Le 5 mars 2014 à 14:24, Pierre-Yves Maunier  a écrit 
:

> 800 sessions BGP pour 150 Mbits/sec de traf ?

Et donc ? il fait ce qu'il veux avec ses équipements non ?

> Après peu importe le CPU être un peering slut ça a des désavantages.

Oui et non ca dépends des services qu'on propose.

Si on propose un service critique (hint cherches dans peeringdb), et bien c'est 
pas du peering pour de la DB mais du peering pour de la résilience d'un service 
assez critique pour pas mal de monde...

> Mon précédent employeur et mon actuel sont open peering policy c'est pas
> pour autant que je peere avec tout le monde.
> 
> Si le niveau de trafic est représentatif, je monte une session, sinon la
> personne peut toujours avoir mes routes via les route serveurs. Ils sont
> aussi là pour faire plaisir à ton CPU.

Des fois le traffic n'est pas tout. Tu as des machins qui sont utilisés par mr 
et mme michu qui s'en rendent pas comptent quand il vont sur youtube/porn / 
google/ dailymotion etc... qui sont à la base de ce que tu mets dans ton 
brouteur en haut...

Si ces gens font qu'un peering avec juste un gars qui fait du traffic (par 
ex...) et bien suffit que ce gars se banane pour 90% des requêtes prennent trop 
de temps... et terminent en timeout.

Tout le monde ici n'as pas le même modèle économique c'est a dire envoyer de 
Gbps et se foutre de la latence.

/Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Routeurs cisco

[Xavier Beaudouin]

Le 24/02/2014 18:15, Frederic Dhieux a écrit :

Le 2/24/14 6:07 PM, Michel Py a écrit :

Jeremy a écrit:
depuis qu'on a démarré 1500 routes statiques sur chaque équipements
(2), on a de gros bagots à chaque fois qu'on rajoute une route.
J'aimerais bien savoir comment tu en arrives à autant de routes. 
Combien de serveurs tu héberges ?


Michel.



Hello,

Je me posais la même question, est-ce qu'une refonte et une 
optimisation

du design ne serait pas plus efficace que la recherche d'un équipement
gérant mieux 1500 routes statiques ?



enfin 1500 routes c'est pas beaucoup, en mettant un sdm prefer on peux 
aller a 8000 routes...


M'enfin... bon faut reloader aussi.

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'Internet européen

[Xavier Beaudouin]

Hello,

> Comme le disait Benjamin, la fiscalité et la fâcheuse tendance des boîtes 
> étrangères et américaines à optimiser leurs impôts et taxes (merci 
> l'Irlande...) contraint les gouvernements, en crise, à repenser le système.
> 
> Factuellement, tout cela montre que nous sommes en retard :
> - sur l'appréciation des revenus engendrés par l'économie numérique (on 
> réfléchit quand Google dégage 13 milliards$ par an)
> - sur nos compétences, tout le monde gueule, certes, mais pour l'instant les 
> américains lead et de loin (droppez vos Android/iPhone, router Cisco/Juniper, 
> votre Cogent qu'il y a naturellement partout mais faut pas le dire...)
> 
> La volonté de l'Europe est louable mais c'est comme la frenchtech, c'est en 
> retard et dépassé.
> Il va falloir qu'on s'entende et qu'on rattrape les choses de façon vertueuse 
> et non protectionniste, en passant par motiver nos talents voir même les 
> découvrir...

Enfin, je suis d'accord, mais il faut aussi voir clairement les problèmes 
actuels. On a fait l'€uro, c'est bien, mais on a rien harmonisé en dehors de la 
monnaie. Donc évidement y a des vases communicant : l'Irelande, le Luxembourg, 
etc...

Donc "il vas falloir qu'on s'entende (...)" deviens assez urgent pour les 
optimisations fiscales décriées soient peut-être moins facile en europe que 
maintenant... Mais je rêve sûrement...

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [MISC] [FRnOG] Re: Firewalls, routeurs et pulls marins (was [MISC] L'Internet européen)

[Xavier Beaudouin]

> 
> Quant aux routeurs (et switchs) Alcatel, les as-tu testé? Dans quel contexte? 
> Pour quel besoin? Quel est ton retour?
> 

Quand je bossais chez CW, j'ai essayé en vain de tester ces produits :

Moi > bonjour alcatel
Alcatel> ou ?
Moi > je voudrais tester vos switchs ethernet
A> des Pabx.. ?

(...) 

Bref, au bout de 10 essais avec ces dialogue de sourd -> insert into 
vendors_boulet

J'ai eu une petite expérience en personnel dessus, j'ai pas très apprécié, la 
doc est difficile a trouver, les bonnes pratiques moins, des limitations 
étranges, bref je sens bien le produit techniquement bon, mais avec des 
limitations étranges.

De plus quel est le gain en techno d'un alcatel par rapport a un juniper / 
cisco / huawai : a part une eventuelle backdoor ? j'vois pas.

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] Re: Firewalls, routeurs et pulls marins (was [MISC] L'Internet européen)

[Xavier Beaudouin]

Hello,

Le 18/02/2014 2:08, stephane.martin a écrit :

Acheter des produits de sécurité qualifiés par l'ANSSI est une
obligation pour les opérateurs français d'importance vitale depuis le
18 décembre 2013. Pour les firewalls, seuls trois (deux ?)
constructeurs ont des produits qualifiés : Arkoon, Netasq, Stonesoft.


Donc les soft opensource sont pas qualifiés? Marrant netasq est 
basé sur du freebsd... alors que pfsense aussi



Dans les autres joyeusetés du 18/12, on trouve aussi la révision de la
liste des articles relevant du 226-3 du code pénal. Je ne serais pas
surpris qu'in fine cela vienne à signifier : achetez des routeurs
Alcatel.


Rien que penser avoir des routeurs Alcatel, ca fait mal à la tête...

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'Internet européen

[Xavier Beaudouin]

Le 17/02/2014 10:51, Laurent Seror a écrit :
Au niveau de la latence ça ne serait en effet pas top. Par contre en 
cas de
problème réseau chez un (ou plusieurs opérateurs comme lors d'une perte 
de

POP), on peut se retrouver à passer temporairement par les US.


Et c'est déjà arrivé, voir épisode "loft story 1" dans ISDnet vs 3215.

A l'époque suite a un  tout le traffic a destination de 3215 
s'est retrouvé a peerer.... a NY...


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Consultation Ftt-WTF de l'ARCEP

[Xavier Beaudouin]

Salut,

Le 11/02/2014 8:10, m3g4g0lG0t|-| a écrit :

Le 10/02/2014 18:46, Jérôme Nicolle a écrit :

ça risque aussi de conforter les offres PRM
(subvention illégale d'Orange par les collectivités comme en concluent
certaines analyses).


Les offres d'Orange ne disparaîtront pas avec ça... Ca ne fera même
rien de ce coté. Les élus locaux préfèrent Orange, car ça coûte moins
cher(subvention), et le truc change de nom (de FT à Orange) mais ça
reste le même système qu'avant (pas de changement, ce qui intéressant
en politique).


Il y a aussi que Orange quand une communauté de commune leur demande un 
machin, ils répondent. Pour avoir eu la CCBS au téléphone, il n'y avais 
que Orange et éventuellement SFR qui ont répondu a leur demande pour y 
coller de FTTH, ce qui les as "un peu" chagrinés : juste 2 réponses, 
c'est moyen quand même (et n'allez pas dire que c'est la steppe, c'est 
dans les Yvelines nord).


Après vous vous étonnez qu'il n'y a que 2 "pseudo" concurrents dans 
certaines zones, n'allez pas pleurer. Répondez aux appels d'offres, 
c'est déjà un truc qui permet de faire de sorte que Orange et SFR soit 
pas les deux seules offres sur le territoire français.


Après le contenu de l'offre, joker, mais c'est un exemple parmi 
d'autres...


Xavier


--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Peering / net / web ...

[Xavier Beaudouin]

Hello,

Le 04/02/2014 17:06, Simon Morvan a écrit :


Les logiciels libres ne sont pas gratuits.


On confond souvent libre (free en anglais) et gratuits.

Il sont libres car on peux les utiliser sans passer au tiroir caisse, 
mais pas gratuits car il faut des gens qui les connaissent pour les 
utiliser.


D'une manière générale le logiciel libre permet de mieux contrôler un SI 
que pleins de briques proprio dans lesquelles tu peux rien adapter / 
changer.


A noter que l'Internet ne serait pas non plus ce qu'il est actuellement 
si les logiciels libres n'étaient pas là (exemple JunOS basé sur 
FreeBSD, ou NXOS basé sur Linux).


Néanmoins on a besoin de choses ouvertes (RFC / pas de firewall à la con 
/ le moins de QoS possible globalement sauf cas particuliers) pour des 
futurs développements apparaissent et changent notre façon de vivre.


Si l'Internet dans les années 90-2000 était ce qu'il est actuellement 
(et ce qui a été évoqué içi) certaines boites qui sont des références 
actuellement n'existeraient pas. Il faut quand même se souvenir d'où on 
vient et ou on vas (ou pas actuellement).


Le peering existe de fait que si on as un AS et des IPS, si on peere pas 
avec au moins une personne ça sert à rien, revenons a l'AS3215 et du 
temps de transpac dans ce cas là (avec son support qui sort que des 
requins ont mangés une fibre [j'ai eu ce coup la en 1988]).


D'autre part, quand on parle de résilence, le peering aide au fait qu'on 
ai un internet solide et qui ne part pas en couille quand un datacenter 
fait plouf (eg le busrouge, le citédetele, ...) car trop d'équipement 
sensibles des quelques gros transitaires ont fait plouf avec l'onduleur 
qui ondure ton core ...


Après que le peering soit payant quand on as des gros gorets en bp... je 
comprends, qu'il soit "non toi je ne te cause pas car tu n'envoie pas 
assez de gros packet même si tu as un /20" la je ne trouve pas fair 
play.


My 0,02

Xavier
--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le troll du vendredi par Michel

[Xavier Beaudouin]

Hello,

>> Pourquoi se fatiguer à le faire à la main, il suffit de leur donner
>> adblockplus.
> http://adblockplus.org
> 
> ça fait bien longtemps que c'est fini ça, maintenant adblock plus laisse 
> passer 
> certaines pubs "non intrusive" mais surtout de ceux qui les payent pour être 
> whitelisté, comme par exemple google: 
> http://www.neowin.net/news/report-google-paying-adblock-plus-to-not-block-google039s-ads
> 
> C'est pour ça qu'il existe un fork adblock edge qui lui n'est pas au service 
> des publicitaires qui nous pourrissent l'internet et en font un outil de 
> surveillance.

Ou Ghostery... :)

Xavier


signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Xavier Beaudouin]

Hello,

Le 23 janv. 2014 à 15:54, Nathan delhaye  a écrit :

>> - La biométrie est inutile et contre-productive
>> 
>> 
> Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
> rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès
> sont rapides et simples au passage), le scanner de la main marche très
> bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
> poser vraiment la main dessus :-)

Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque fois 
je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas d'accès 
permanent).

C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a 
trouver mon ACL, il faut aussi qu'on attendent l'enrôlement... 

Encore je parle pas des machins a emprunte digitale qui sont une putain de 
plaie.

Le seul truc "potable" (a part l'interface d'enrôlement pourrie en java) c'est 
les machins "biovein".

/Xavier



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Xavier Beaudouin]

Le 21/01/2014 17:40, Inulogic - Free-H a écrit :
Le 21 janvier 2014 13:29, Clement Cavadore  a 
écrit :



Si encore on ne faisait qu'imaginer... j'ai quelques anecdotes assez
edifiantes (mais je vais les taire sur une liste publique :-))


On se demande pourquoi tu as commencé alors :).
On souhaite la suite du coup.


Dans la série "anecdotes édifiantes" j'ai eu le coup mec qui trifouille 
les câbles pour y coller des étiquettes à la con dans une suite chez SFR 
Courbevoie en Septembre/Octobre 2012 suite aux pb électriques connus qui 
se sont passé la bas.


Évidement coup de fil au PC Sécu : "on sait pas, les clef sont pas 
données, c'est pas normal"...


Comment ça été découvert ? Les serveurs qui disparaissent d'un coup de 
la supervision (les pris C13/C14 étant un peu sensibles au touché) et 
une camera dans la suite


Alors que pour rentrer la dedans c'est ultra relou, même si on a badges 
ET listes d'accès.


Comme quoi la sécurité ne fait chier que ceux qui sont dans la white 
liste. A noter qu'à ce jour SFR ne sais toujours pas qui est venu (ou ne 
veux pas savoir...).


Je suis quasiment sûr que Clément a d'autres anecdotes bien grasses.

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Xavier Beaudouin]

Hello,


Le 20/01/2014 11:35, Clement Cavadore a écrit :

On Mon, 2014-01-20 at 10:53 +0100, Romain GUICHARD wrote:

Mais en soit si je dois perdre en moyenne 10min à chaque fois pour
assurer la sécurité du DC, so be it.


Il y a une différence entre perdre 10 minutes en moyenne, et entre 1/2h
et 1h (pour au final te rendre compte que tu avais TOUT fait dans les
règles, et que c'est juste le droide qui a décidé ne pas bosser, ou de
te faire chier)


Oui ou si tu es en sous-sous-sous location, la c'est un peu normal.

L'expérience du bus rouge qui n'étais pas payé par un presta, qui 

bref.

Mes expériences:

- bus rouge : quand tu as ton accès et que tu n'es pas sous loc : RAZ, 
en dehors... aie

- Th2 : quelque soit le truc: trop de papier et d'attente
- Equinix : Ca va, des fois relou de pas faire des demande dans 
l'urgence quand tu n'as pas de badge (eg demande le jour pour... dans 1h 
:=> DTC).
- SFR a CBV: alors... avant = moulin... Now : "laissez moi sortir de la 
forteresse", on a la la palme de la bêtise et de la lourdeur. J'ai dû 
peter un plomb pour avoir un badge (valable 6 mois a renouveler), 
surtout quand t'a une @~#@~#\@~ de porte qui ne s'ouvre pas par 
incompétence de la personne à l’accueil qui n'est pas un droit, mais 
pire... une personne type "SFR Bonjour?". Une fois qu'on a ce badge 
: "LA PAIX", a part quand tu dois livrer un truc lourd ou faut négocier 
a fond avec le PC sécu pour eviter de faire option déménageur dans la 
rue.

- Autrement la biométrie c'est bien, en abuser ça crain :)

Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch supermicro

[Xavier Beaudouin]

Hello,


Pour parler de bug, je te renvois à ton infra Brocade.


Les bugs France-IX étaient liés  plusieurs éléments :
- Soucis d'os
- Pb matériel
- Soucis de configuration
- Règles d'ingénierie trop permissive

Le soucis de Brocade, c'est justement que c'est complique d'avoir  un
contact qui est la pour t'aider ou te dire autre chose que : la carte
est cassé, merci de la renvoyer, on va vous balancer une nouvelle (
alors que c'est un bug logiciel ).

Si Brocade continue de rien faire et de faire des softs radioactifs,
et te répondre par des remises commerciales ( ton infra est par terre
tu t'en fiches des remises à ce moment la ) , je ne crois pas qu'ils
serviront encore longtemps chez certains ixp ...


J'ai déjà déployé des Foundry Networks (quand ça s'appellais Foundry 
hein, en 2000), dans une boite qui s'appellais ISDnet.


A l'époque, avant les jetcore, on avais un matériel correct qui 
fonctionne avec _certaines_ limitation des fois, je l'accorde, un peu 
débile, par rapport à Cisco.


Après ils se sont lancés a la course à l'armement : mon 10G est plus 
gros que ton 10G et les bugs en série se sont déclarés les problèmes 
maladifs sont devenus de plus en plus courants.


Mais on avais 2 personnes la bas en France, très compétant, qui pouvais 
faire avancer les choses dont une qui est partie, car... 
vraisemblablement ne rentrais pas dans la case où on l'avais mise.


Ces deux personnes sont parties, reste plus que du vaporware (aka 
commercial et remises à la con), et le fait que brocade (qui n'y connais 
RIEN en L3 cette fois-ci) ai mangé Foundry, on se retrouve dans un 
mic-mac de machins qui tombent en marche quand elles veulent, et on crie 
a l'aide quand on a des merdes.


Je suis d'accord avec Raphael, les remises commerciales ne suffisent pas 
a faire avancer les problèmes technologiques surtout sur un IXP ou ce 
que demandent les membres c'est un truc fiable, mais un "pimp my 
ride"...


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] IGC/A et google

[Xavier Beaudouin]

Bonjour,

Le 08/12/2013 20:33, Jean-Yves Faye a écrit :

Bonsoir,

NetASQ a cette fonctionnalité, et de plus est un produit bien Français.
Purement techniquement parlant, cette technique peut être pratique pour
garder l'aspect SSL des communications, tout en soumettant à l'analyse
antivirus/IDS les flux entrants, chose courante avec les appliances 
type

NetASQ justement.

Comme déjà dit, le danger vient plutôt de le faire avec une AC 
certifiée et
publique (par transitivité). Normalement on fait ça avec une AC interne 
et

les certificats spécifiques sont déployés sur les postes.

Après cela remet encore une fois sur le tapis la question de la liste à
rallonge des autorités "de confiance" qui peuvent donner des 
certificats
pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas 
précis,

une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de
l'administration aurait été pertinente.

Un nettoyage des magasins de certificats des navigateurs est la seule
solution à court terme, ça ou alors les éditeurs de navigateurs se 
mettent
à implémenter les protocoles déjà proposés pour réduire la voilure 
niveau

portes d'entrée dans le système des IGC (moins problable)


La solution a déployer serait plutôt un DANE vraiment intégré dans les 
navigateurs, seul bémol, ça dépends de DNSSEC et DNSSEC c'est bien mais 
c'est pas "effortless" a intégrer... Hélas :(


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Collocation Orange

[Xavier Beaudouin]

Le 5 déc. 2013 à 13:04, Bruno CAVROS / SKIWEBCENTER  a 
écrit :

> Dites voir, déjà plus de 40% de loss vers free dés 13H, la saturation prends
> de l'avance ? en générale c'est 15/20% max entre 13h30 à 00h30
> 
> Y'a un soucis supplémentaire en plus des transitaires saturés ?


Non, peut être juste un effet de bord de l'annonce de mardi dernier ? :)


/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?

[Xavier Beaudouin]

Hello,


Le 21 nov. 2013 à 23:39, Fabien V.  a écrit :

> Le 2013-11-21 11:52, Cedric T. a écrit :
>>> Je suis en train de monter un transit pour multihommer un client, et
>>> son autre transitaire m'a donné un /31 en 172.17 sans y voir le
>>> moindre problème.
>> Sans avoir lu tout le thread j'y vois deux problèmes majeurs :
>> - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour
>>  autoriser une machine externe au réseau en cas de problème majeur (IGP
>>  pété...);
>>  L'out-of-band du pauvre certains diront ;)
>> - je monitore le bon fonctionnement de mes transit avec un nagios sur
>>  une machine externe, alors comment faire si l'IP n'est meme pas
>>  routable ?
> 
> La même.
> 
> En plus, on vient de nous le proposer ce jour, comme pour Jérôme ... On a 
> refusé ce fonctionnement, ne serait que parce que l'iBGP ou l'OSPF pourrait 
> avoir à utiliser ce genre d'adresses  Y a pas un SHOULDNOT quelque part 
> dans les RFC de BGP ? Stéphane, tu peux nous le remplacer par un MUSTNOT ? ;)

Enfin, moi j'dis ça, mais si vous avez un opérateur qui propose ça, je crois 
qu'il est temps d'aller voir ailleurs.

D'ailleurs ça serait bien d'avoir des noms... Histoire que ces "gens" soient vu 
du monde FrNOG comme faisant des pratiques douteuses.

My 0,02€

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free

[Xavier Beaudouin]

Hello,

Le 20/11/2013 12:27, Alexandre a écrit :

Bonjour à tous,

Voici le contexte en quelques mots. Suite à l'inscription d'un client
sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas
de problème jusqu'ici, mais depuis ce matin, les mx de free nous
rejettent avec un "550 5.2.2 user quota exceeded (in reply to RCPT TO
command))".

Avez-vous le même problème ?


Non.


Si cela est un problème isolé, comment puis-je le corriger ?


Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement 
des boites mails oubliés.


J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon 
infra qui essaye d'envoyer a un mail perso chez free => pas de pb.


Donc je pense que tu as 2 possiblités :
o les adresses mails sont fausses, oubliés, ou ultra spammées
o ton serveur de mail fais partie des serveurs de mails qui envoient 
trop de mail chez free et tu es dans une liste grise chez eux (voir 
threads de il y a quelques mois : comment être sympa avec les mx de free 
/ hotmail / yahoo?).


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 sur le réseau privé

[Xavier Beaudouin]

Salut,

Le 18 nov. 2013 à 19:09, Gilles Mocellin  a 
écrit :

> Le 18/11/2013 11:31, Laurent GUERBY a écrit :
>> On Sun, 2013-11-17 at 23:47 +0100, m3g4g0lG0t|-| wrote:
>>> Pour un réseau privé interne d'une entreprise, ou d'un particulier, y
>>> a-t-il une vrai nécessitée de passer à l'IPv6? De mon point de vue, je
>>> ne vois pas... Des idées?
>> Pour une entreprise demander un /48 PI IPv6 et tout numéroter
>> proprement en IPv6 sur son LAN avec. Lors d'une fusion pas de
>> renumerotation, un seul lien, deux routes et tout marche.
>> 
>> En IPv4 ca ne se passe pas comme ça :).
>> 
> 
> Question rapide en passant :
> Est-ce-possible de se réserver une plage IPv6 global, et de la conserver 
> quelque soit l'opérateur ?

Ca s'appelle des PI IPv6 (comme il y avais en IPv4).

> J'image qu'avec des FAI grand public, c'est pas la peine, mais avec les 
> opérateurs pros ?

Ca dépends des opérateur Pro (ou pas).

> Sinon, y a la solution tunnel vers un broker IPv6, mais c'est bien dommage.
> Évidement, je pense que pour ceux qui ont leur AS, ça doit être plus simple.

Après si tu une PI, rien ne t'empêche d'y coller un AS...

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 sur le réseau privé

[Xavier Beaudouin]

Le 18/11/2013 0:13, Gaël a écrit :
Pour un réseau privé interne d'une entreprise, ou d'un particulier, y 
a-t-il
une vrai nécessitée de passer à l'IPv6? De mon point de vue, je ne 
vois

pas... Des idées?


Pouvoir utiliser n'importe quel logiciel qui a besoin d'une ip
publique ? (voix sur IP, transfert direct IRC, etc.)


S'habituer aux outils et spécificités de l'IPv6 ? et prévenir toute
potentielle "obsolescence" de l'IPv4 ...


+1 L'autre avantage : plus de pb : l'ip 192.168.0.1 c'est qui ? :)

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv6 chez Voo

[Xavier Beaudouin]

Hello,

Le 17 nov. 2013 à 10:50, Raphael Jacquot  a écrit :

> 
> On 17 Nov 2013, at 01:13, alarig  wrote:
> 
>> Le 17/11/2013 00:40, Yoann Gini a écrit :
>>> Mais je te rejoint tout à fait sur le fait de dire que vu comme IPv6
>>> est conçu, oui, il est obligatoire d’appliquer ce principe et d’en
>>> distribuer plus que nécessaire pour favoriser son émergence.
>> 
>> Je ne pense pas que distribuer plus d’adresses que nécessaire aidera à
>> sa diffusion. Le simple fait que l’on puisse avoir une adresse par
>> machine et ne plus avoir à faire du passage de NAT est déjà un argument
>> convaincant.
> 
> certains vont t’affirmer au contraire que c’est super mal, parce que 
> justement 
> le fait de natter “protege” leurs machines contre les attaques ;-)

Parce que ces personnes ne savent pas ce qu'est un firewall stateful... Bon 
joker.
Disons que ces mêmes "personnes" vont bloquer l'icmp (totalement) et après 
s'etonnent que le pmtu marche pas...

Avec l'IPv6 on aura la paix : pas d'icmp6 = pas de réseau :p

Le coté positif que mettre le NAT dans la poubelle, c'est que les nat4 
qu'on voit dans le "milieu" professionnel non "internet" risque de 
disparaitre... (exemple dans la finance) Encore faut-il que les dev de 
logiciels de finance sortent de l'ipv4 (et ça c'est loin d'être gagné...), et 
arrêtent d'utiliser des litterals codés en dur dans leur soft...


Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Zayo : adoptanecrow ?

[Xavier Beaudouin]

Bonjour,

J'essaye depuis Mars 2012 de réussir a communiquer avec les relous de chez Zayo 
qui envoient les factures quand ils veulent, et perdent les AR quand on veux 
résilier.

Régulièrement (en général, une fois par an) je reçois un mail "paiement en 
retards"... 

Dois-je commencer a prendre un avocat pour leur clouer le bec ou utiliser 
twitter pour leur faire comprendre que ces bandes de  commencent a me 
pomper l'air.

Personnellement, je suis arrivé a un point que je ne recommanderais jamais Zayo 
non pas pour leur QoS mais pour leur facturation qui est aussi délirante que le 
societe francaise au carré rouge quand j'ai eu affaire a eux.

Un contact qui a de l'appuis chez eux serait bien car, je passe trop de temps a 
communiquer des pièces qui ne vont que dans un sens...

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Consultant openbsd

[Xavier Beaudouin]

Hello,

Le 30 oct. 2013 à 11:41, Frederic Dhieux  a écrit :

> Le 10/30/13 11:24 AM, Raphael Mazelier a écrit :
>> Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit :
>>> Avis de barbu rase :
>>> Pas de BGP + statefull.
>>> 
>>> 
>> Avis de mal rasé :
>> - bgp si tu veux, mais pas de statefull sur un routeur.
>> 
>> 
> 
> +1
> 
> J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de
> mélanger les rôles entre routeurs eBGP et "firewalling".

On l'as dit souvent : on protège le backplane mais on s'amuse pas a faire de 
statefull sur un routeur BGP...

Mais il y en as qui persistent et signent... et qu'un simple synflood partent 
en timeout en BGP... :p

Voila on a dit :

- routeur BGP en stateless avec protection du backplane
- firewall DERRIERE le routeur BGP en statefull...
- avant les firewalls : les revolvers DNS et hidden master (ca évite des 
nombreuses emmerdes avec les packets > 512 en tcp sur les dns)...

Mais bon... on aime bien se faire fouetter des fois :p

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

[Xavier Beaudouin]

Hello,

(...)


Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas
le cas. D'où mon biais peut-être académique, de ne jamais donner
d'avis absolu. Non par défaut la solution commerciale n'est pas
toujours la bonne, et non plus par défaut la solution non commerciale
n'est pas toujours la bonne. Je garde mes oreilles et mes méninges
bien ouvertes et j'écoute les retours d'expérience et je prend une
décision en fonction de mes contraintes. Parfois, je met le paquet et
j'achète la solution commerciale. Parfois, je met le paquet sur mes
ressources internes et je déploie la solution opensource. Parfois je
réussi et j'apprends. Parfois je me plante, et j'apprends encore plus.
Tu me diras, et les clients  ! ils sont un élément de l'équation avec
un gros coefficient de weighting :-). Et puis il y'a les commerciaux
qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-)
ce que tout les technique savent que c'est pas possible partout, tout
le temps ….


Un exemple parmi d'autres : le monitoring. Les solutions commerciales ou 
pas ont toutes une approche différentes et des fois, selon ce qu'on 
veux, on prends une version commerciale ou pas... :)


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

[Xavier Beaudouin]

Hello Raphael,

(...)


On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle
d'Internet ( Jeremy parlait de sa solution supportant 30gig )


Oui mais il y a aussi des petits opérateurs içi :)

Tous aimeraient se payer des solution jolies et efficaces, après, il 
s'agit, comme tous de commencer petit et après arriver a se payer de 
beaux jouets.


L'aspect des pères (ceux, comme toi qui ont de la chance de jouer avec 
des 100G de traffic), qui peuvent conseiller aux débutants des erreurs a 
ne pas faire est toujours intéressant, je pense que là est le débat... à 
mon avis.


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] adresse MAC 00:00:00:00:00:00

[Xavier Beaudouin]

Hello,

Le 3 oct. 2013 à 12:23, jubonnau  a 
écrit :

> Bonjour à tous,
> 
> Quelqu'un a t'il déjà vu ce genre de paquet une un routeur Brocade MLX ?
> 
> .. -> 0012.f2f3.0d60 [Type:0x8847]
> **
> [xpp10ge_cpu_transmit_data]: Transmit LP CPU packet
> Time stamp : 86 day(s) 19h 43m 19s:,
> **
> 00: 0001 0243 0090 0ff4-ffc0 022e 0100   FID = 0x0001
> 10: 748e f876 e900 -  8847 0048  Offset  = 0x10
> 20: c0ff f008 81ff d4be-d98d 5ec4 0015 60ee  VLAN= 4084(0x0ff4)
> 30: 2000 0800 4500 00e3-f1f1 4000 3406 c5df  CAM = 0x00117
> 40: 5fd3 4c2e ac14 362e-0050 c2e3 142a 1bda  SFLOW   = 0
> 50: 3fd4 2502 5011 0073-adf7  4854 5450  DBL TAG = 0
> 60: 2f31 2e30 2034 3030-2042 6164 2072 6571
> 70: 7565 7374 0d0a 4361-6368 652d 436f 6e74
> Pri CPU MON SRC   PType US BRD DAV SAV DPV SV ER TXA SAS Tag MVID
> 0   0   0   CPU   3 0  0   0   0   0   0  0  0   1   0   0
> 
> l'adress mac .. n'est pas présente dans ma table de adresse MAC 
> du vlan 4084 ou même globale.
> Je ne sais pas si c'est la cause, mais j'ai une charge CPU anormalement 
> depuis que je reçois des paquets de ce genre ...

Bah c'est normal les proco des cartes ne connaissent pas ce packet, il le passe 
au RE pour lui demande quoi faire.

Aller au hasard, t'as du multicast sur ton réseau ? :p

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

[Xavier Beaudouin]

Hello,

Par contre sur l'aspect "illégal" c'est étonnant... c'est du 
déchiffrement

(man in the midle) juste pour assurer la sûreté du flux / la conformité
avec la politique de l'usage internet... dans le cas où les 
utilisateurs
sont informés... pour moi celà s'apparente à l'analyse d'une pièce 
jointe

par l'AV


Ce MITM nécessite que tu dépose une CA sur tous les postes clients de 
ton réseau.


Dans le cas d'un réseau que tu maitrise (M$ ou pas) c'est facile, dans 
le cas d'un réseau BYOD c'est autre chose.


Après je parle pas de DANE et ses amis...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

[Xavier Beaudouin]

Le 24/09/2013 10:55, Raphaël Jacquot a écrit :

On 24.09.2013 10:52, Jean-Henri Antunes wrote:


(...) dechiffrement (...)


c'est moche le MITM... c'est même illégal (intrusion dans une
correspondance privée)



A noter que Squid 3.3 le fait aussi...

My 0,02€




--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

[Xavier Beaudouin]

Hello,

Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS  a écrit :

> #include reply.h
> 
> Je vais pas aller dans les détails, je parle pour moi et c'était le sujet 
> (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense 
> est un bon produit base BSD donc stable mais faut pas trop cumuler les 
> services d'une part, d'autre part les packages c'est confus, les migrations 
> et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des 
> phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, 
> du Snort qui boit beaucoup.

Comme tout logiciels opensource, ceci dépends très sérieusement de ton 
matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à l'eau 
bénite (ou en mousse, au choix), comme des realtek ou autres chipset a la con 
(broadcom...), là tu es sûr d'avoir des emmerdes.

Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau 
intel, j'ai jamais eu le moindre problème.

Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc comme 
juniper (pour info une série J chez JunOS c'est un pauvre CPU - P4 je crois - 
et des cartes réseaux intel, sur une base FreeBSD avec quelques modules low 
level) ou Netapp (idem c'est du FreeBSD 7... + logiciels proprios dans des 
modules). 

Si FreeBSD tenais pas le pavé, je pense que ces 2 marques "auraient" des soucis.

> Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va 
> super bien oui.

Evidement si tu mets 20 règles de firewall c'est que tu as un problème de 
fond : est-ce que tu utilises bien ton firewall...

Perso je préfère avoir 3 firewalls successifs que un seul avec 90 interfaces / 
vlan.

Xavier

> Le 20/09/2013 11:04, Xavier Beaudouin a écrit :
>> Hello,
>> 
>> Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS  a écrit :
>> 
>>> Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et 
>>> complet en terme de fonctionnalités. C'est plus corporate que pfSense, je 
>>> dirais que c'est du Netasq/Fortinet like.
>> Heu j'utilise pfsense pour pas mal de choses là où je bosse...
>> 
>> #define "corporate" pour un firewall...
>> 
>> Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen 
>> out the box... (pas taper on est vendredi).
>> 
>> Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est 
>> un *bien* infini avec le wizard qui fait le binaire autoconf pour les 
>> windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir "la 
>> paix romaine" avec les gens qui se baladent un peu partout (y compris dans 
>> les UE ou les VPN IPsec sont souvent "mouillés" on vas dire).
>> 
>> Xavier
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

[Xavier Beaudouin]

Hello,

Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS  a écrit :

> Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et 
> complet en terme de fonctionnalités. C'est plus corporate que pfSense, je 
> dirais que c'est du Netasq/Fortinet like.

Heu j'utilise pfsense pour pas mal de choses là où je bosse...

#define "corporate" pour un firewall...

Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen 
out the box... (pas taper on est vendredi).

Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un 
*bien* infini avec le wizard qui fait le binaire autoconf pour les windows box 
ou le fichier de conf pour Viscosity ca m'as permis d'avoir "la paix romaine" 
avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN 
IPsec sont souvent "mouillés" on vas dire).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Double alimentation

[Xavier Beaudouin]

Hello,

Le 17 sept. 2013 à 08:53, Julien Escario  a écrit :

(...)

>> Si jamais tu as la possibilité de prendre des serveurs avec deux
>> alimentations, je pense que c’’est plus simple. Tu auras également deux
>> arrivée et tu seras en plus protégé de la panne de l’’une des deux
>> alimentations ; le basculement de l’une à l’’autre est directement géré
>> au niveau hardware dans le serveur. Après ça sans doute être plus cher.
> 
> Pour avoir longuement pesé le pour et le contre, nous avons fait le choix de 
> serveur mono alim avec un STS en frontal + PDU.
> Au final, nous n'avons JAMAIS eu de panne sur une alim (que du Supermicro 
> chez nous) et cela nous revient nettement moins cher d'acheter un STS + 
> modules d'alim de spare que de mettre de la double alim sur chaque machine.
> Une exception : les serveurs de fichiers (filer), le reste peut tomber sans 
> réelle incidence.

Je fais les mêmes exceptions que toi, avec celle en plus : les gros serveurs de 
virtu (ceux qui ont 30 ou 40 vm)

> Sans compter la place que l'on gagne sur les PDU : la plupart des DC 
> fournissent de l'APC avec 21 prises C13 ce qui limite le contenu de la baie à 
> 21 serveurs avec de la double alim (un PDU par voie). En 2U, ça marche mais 
> dès qu'on met une machine 1U, il y aura du vide dans la baie (à moins de 
> rajouter de la multiprise).

L'autre avantage, aussi c'est que du double alim dans un serveur c'est pas loin 
de 20% de consommation de plus... Donc ça se paye aussi largement sur le prix 
de la baie...

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] CIsco IOS/Linux

[Xavier Beaudouin]

Hello,

Le 12 sept. 2013 à 18:37, Raphael Mazelier  a écrit :

> Le 11/09/2013 22:58, Radu-Adrian Feurdean a écrit :
>>> Disons que le Linux a plein de drivers prorio... Donc plus tellement libre.
>>> 
>>> Mais c'est pareil avec :
>>> - F5
>>> - Extreme Network
>>> - Barracuda
>>> - F10 (?)
>> - Arista
>> - Brocade (VDX)
>> - Fortinet
>> 
>> 
> Force10 a une base Netbsd, de meme que Ericson/Redback.

Quand j'ai écris F10, je voulais dire A10.

> Juniper a une base FreeBSD.
> F5 avait commencé avec FreeBSD et est passé sur du Linux (bon avec du runit, 
> ça passe).

Non c'étais un BDSi :) J'ai encore un F5 version 4.2 qui trainne et le CD 
d'install du 4.5 qui sont tous des kernel BSDi 

> Cela me semble d'ailleurs plus logique pour un constructeur d'utiliser une 
> base système avec une license BSD, de sorte qu'il peuve garder closed le code 
> produit.

+1

> Le choix de Cisco me semble donc surprenant du point vue légal.

Je pense qu'ils ont pris ceux qui se trouve partout avec juste un binaire bien 
proprio au dessus. Mais je suis aussi d'accord avec toi .

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME

[Xavier Beaudouin]

La dernière fois que j'ai utilisé un watchguard, ce "con" savais mettre 
des IPv6 sur les interfaces, mais pour effectuer :

- le routage
- les filtres

La c'était walou... (en gros DTCP), donc on a mis... un monowall 
(free/pascher/et ca juste marche pour un firewall qui fait juste un 
filtre).


Ah oui... c'étais en mai 2013.. (donc récent hein). Je trouve quand même 
ça gros pour un machin vendu en 2013 avec le support de ne pas avoir 
d'IPv6...


Xavier
Le 12/09/2013 6:50, Christophe Lucas a écrit :

Sinon, voir du côté de watchguard.

Bonne journée a tous.
--
Christophe

Envoyé de mon téléphone, veuillez excuser ma brièveté.

Le 12 sept. 2013 à 00:11, michel besnard  a écrit :

si tu veux vraiment avoir un boitier "pas chiant à maintenir" (sans 
avoir

de l'opensource à gérer)
un fortigate (FG 60C-ADSL-A ou FGW 60C si besoin de wifi par exemple) 
donc
un firewall à la base te permettra de faire plus de chose qu'un 
routeur
classique certes il y a un coût de maintenance annuelle (optionnel) si 
tu

as besoins des mises à jour mais tu bénéficieras de nombreux autres
services :
- proxy http
- anti-virus (central)
- filtrage email
- ssl et ipsec vpn si tu utilises du wifi
- bornes wifi intégré ou non (controleur intégré)
- routage dynamique
- load balancing de liens
- nat
- gestion de qos
- géolocalistion d'adresse ip
...

http://www.fortinet.com/products/fortigate/60C.html

cf la product matrix pour bien sélectionner ton équipement selon tes 
besoins

http://www.fortinet.com/sites/default/files/basicfiles/ProductMatrix.pdf

regarde si tu dois faire de l'IPv6 donc passer à un boitier plus 
récent à

base de SOC2

Cdt
michel



Le 10 septembre 2013 16:05, Kevin Poirier  
a

écrit :


Bonjour,

Je suis actuellement à la recherche d'un routeur dual wan pour une 
pme afin

de pouvoir améliorer la continuité de service et la qualité de notre
connexion internet.

Pour cela nous avons un connexion ADSL Bouygues et nous envisageons 
de

prendre une seconde ligne avec du SDSL ovh.

Nous voulons donc pouvoir à la fois du loadbalacing et du failover 
entre
les deux connexion si possible. Le wifi n'est pas obligatoire car je 
pense

y ajouter ensuite une borne wifi.

Merci d'avance pour votre aide.
--
Cordialement,
*--
*
*Poirier Kévin,*
*Mail : kevin.poirie...@gmail.com*

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




-------
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] CIsco IOS/Linux

[Xavier Beaudouin]

Disons que le Linux a plein de drivers prorio... Donc plus tellement libre.

Mais c'est pareil avec :
- F5
- Extreme Network
- Barracuda
- F10 (?)

Bon normalement Cisco "devais" ouvrir ses API NXOS (gamme Nexus) pour que des 
tiers puissent coller des extensions diverses et variées...

Ce qui est marrant, c'est que entre le jour ou on m'as dit ca dans les jolis 
locaux de Cisco a Issy et maintenant, y a pas eu une seule annonce ... Et 
pourtant c'étais en ... 2009... 

Xavier
Le 11 sept. 2013 à 17:50, Olivier CALVANO  a écrit :

> Et donc a quand une version linux sans hardware cisco ;)
> 
> 
> 
> Le 11 septembre 2013 17:46, Surya ARBY  a écrit :
> 
>> C'est le cas également pour NX OS (gammes Nexus) et les IOS XE.
>> 
>> cdlt,
>> 
>> 
>>  --
>> *De :* Olivier CALVANO 
>> *À :* frnog-t...@frnog.org
>> *Envoyé le :* Mercredi 11 septembre 2013 17h41
>> *Objet :* [FRnOG] [TECH] CIsco IOS/Linux
>> 
>> Bonjour,
>> 
>> Une petite question comme cela, on voit sur les ASR une mention Linux, doit
>> on penser
>> que sur ce type de routeur, on a un linux qui tourne pour faire fonctionner
>> l'IOS ?
>> 
>> Merci
>> Olivier
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] trunk layer 2 & backup internet

[Xavier Beaudouin]

Avec la version Barbue avec du BSD dedans :

FreeBSD + Netgraph + vtun / openvpn peuvent faire de joli VPN L2 over internet.

J'ai avec ce truc fait un "tunnel" L2 over IP qui faisais passer :
- les VLAN
- les truc proprio cisco (CDP, etc...)

Avec 2 pauvres Via C3 :)

Xavier
Le 11 sept. 2013 à 10:50, Régis M  a écrit :

> Version opensource/barbu tu peux aussi monter un vpn en openvpn en TAP/TAP
> avec une box de chaque coté...
> Le forti sait faire aussi je crois mais il aime bien avoir du forti aussi
> de l'autre coté :)
> 
> 
> Le 11 septembre 2013 10:39, Nicolas V  a écrit :
> 
>> Bonjour la liste !
>> 
>> J'ai un site distant sur lequel je dois faire transiter du layer 2 (trunk
>> d'environ 10 vlans) de manière redondante.
>> 
>> J'ai pour cela une liaison dédiée layer 2 (qui fonctionne très bien), et je
>> dois pouvoir avoir un secours via une liaison internet.
>> 
>> Est ce que vous avez déjà mis en place ou auriez des idées de techno (moins
>> couteuse qu'un second layer 2 - et si possible pas trop usine à gaz) qui
>> permettraient de réaliser une encapsulation layer 2 ?
>> 
>> J'ai à ma disposition :
>> - du matériel cisco (type 4500 / 7600)
>> - du matériel fortigate
>> - peut être du matériel F5 bigip (des fonctionnalités de tunnels existent
>> mais je ne sais pas ce qu'elles permettent/valent)
>> 
>> Merci pour vos lumières !
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME

[Xavier Beaudouin]

Oui a toutes tes questions.

L'IPv6 est supporté avec les 2.1-RC... Qui marchent bien :) (certains pkg sont 
pas encore a jour dessus mais en général ca roxe).

Xavier
Le 10 sept. 2013 à 21:56, Solarus  a écrit :

> Le 10/09/2013 16:30, Florent Rivoire a écrit :
>> Je confirme : une Alix 2D13 (attention au modèle pour bien avoir les 3
>> ports réseau) avec un pfsense fonctionne bien pour tes critères.
>> NB: je n'ai pas (ou presque pas) testé d'autres distribs, donc je pourrai
>> pas dire si c'est mieux/moinsBien avec.
>> 
> Ça à l'air intéressant tout ça.
> J'aurais trois petites questions pour ceux qui utilisent pfsense.
> 
> Est-il possible de gérer des règles différentes suivantes les IP
> publiques derrière le FW ?
> Est-ce que ça fait du NAT/PAT avec gestion des ports entrants ?
> Et enfin est-ce que ça supporte bien IPv6 ?
> 
> Étant donné que ça tourne sous FreeBSD, j'ai tendance à penser que oui,
> mais si vous utilisez cette solution là j'aimerais votre avis.
> 
> Cordialement
> Solarus.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ban d'IP par Google

[Xavier Beaudouin]

Hello,

Ca me rappelles un certain thread sur nanog ca...

Xavier
Le 23 août 2013 à 11:09, Pellizzari  a écrit :

> Bonjour à tous,
> 
> Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google.
> Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche.
> Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du 
> ban dans le contenu des requêtes...
> Avec qq milliers d'utilisateurs c'et long et compliqué :(
> Seules les équipes tech de Google pourraient peut-être nous indiquer la cause 
> du ban, mais le seul moyen de les contacter est un form en ligne, resté sans 
> réponse.
> L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un 
> contact technique chez eux?
> 
> D'avance merci,
> 
> Guido Pellizzari
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Hardware] petit switch et switch console

[Xavier Beaudouin]

> 
> Les 2511 ont été remplacés chez Cisco par des ISR avec des cartes HWIC 
> (HWIC-16A and les câbles qui vont avec : CAB-HD8) 
>  

Oui ou autrement avec du refurb 3640 et les cartes qui vont bien on fait aussi 
la même chose.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [Hardware] petit switch et switch console

[Xavier Beaudouin]

Salut David,

Le 9 juil. 2013 à 17:01, David B.  a écrit :

> Merci à tous pour les retours.
> 
> Coté swichs, je peux donc :
> - soit prendre un produit plus grand public et pas trop cher
> - soit prendre du C2950 en occasion (surement la bonne solution).

Ou du 3548XL / 3550-48 vieux certes mais increvable.

> Pour la partie switch console, je vais continuer à chercher. :)

Pour la partie console serie, je prends du AS2511RJ (idem, vieux, mais 
increvable). Seul draw back telnet  20nn (nn=numero de port).

Donc a ne pas trop laisser sur du reseau non sécurisé.

Xavier

> Le 08/07/2013 13:20, Michael VILLAR a écrit :
>> Pour les consoles il y a les Avocent ACS24 ou 48
>> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
>> David B.
>> Envoyé : lundi 8 juillet 2013 13:15
>> À : frnog@frnog.org
>> Objet : Re: [FRnOG] [TECH] [Hardware] petit switch et switch console
>> 
>> Oui je parlais de switch 100 Mb/s, donc du switch d'occasion, pourquoi pas. 
>> :)
>> 
>> Et pour la console (seconde question) ?
>> 
>> Le 08/07/2013 11:35, Radu-Adrian Feurdean a écrit :
>>> On Mon, Jul 8, 2013, at 9:16, David CHANIAL wrote:
>>> 
> Par contre, je vais mettre un "petit" switch par baie pour la partie OOB 
> (DRAC et autres ethernet admin).
 Les Cisco 2690G sont parfaits pour cela.
>>> Voire meme du 2960 ou 2950 d'occasion, si le 100 MBps est sufissant.
>>> Dans le neuf, la difference entre 2960 et 2960G est de presque 3 fois.
>>> Si c'est pour connecter des ports ILO/DRAC/ qui de toute facon ne
>>> montent que rarement a 1Gbps, pas vraiment la peine.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le Marais

[Xavier Beaudouin]

Hello,


Ou pour recevoir un
extrait de naissance ?


Pas en France mais dans d'autres pays c'est le cas (mais c'est off 
topic)



--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le Marais

[Xavier Beaudouin]

Hello,

Je suis curieux de savoir comment tu as eu ton AS et tes @IPs à 
l’époque ?
L'explication guidera grandement, à savoir es tu dans ton droit ou 
pas.


Sinon oui le RIPE en profite un max actuellement sans proposer de
solutions pour les petites.
C'est triste mais c’était prévisible.


Bah il y a des années (10 ans environ), avoir une PI n'étais pas soumis 
a un contrat.


Donc évidement on ne m’amusaient pas à faire de papiers quand on 
donnais une PI a un tier.


Et certaines boites ne peuvent plus soumettre des papiers (rachat, 
mortes, dépôts divers, oublié qu'il avais le RIPE...).


Donc dans un avenir certains, on vas voir que le marais vas s'agrandir 
et bien s'amuser...


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Utilité des adresses peering@

[Xavier Beaudouin]

Le 21 juin 2013 à 15:31, Jérôme Nicolle  a écrit :

> Le 21/06/2013 15:08, Laurent a écrit :
>> Si Free utilise exchange, je les quitte immédiatement 
> 
> Je vois pas pourquoi, c'est normal Exchange sur un intranet, non ?

Oui effectivement c'est un outil de non productivité utile :)
Pourquoi ? comme on est pas sûr que tous les mails arrivent, ça fait moins de 
travail :)
(on peux dire la même chose de Lotus Notes aussi, avec le concept : vu que les 
filtres ne marchent jamais...)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE

[Xavier Beaudouin]

Bonjour Frédéric,

Le 20 juin 2013 à 00:42, Frederic Dhieux  a écrit :
> Je pensais à une solution similaire à ce qu'on trouve pour le DHCP (dhcp 
> relay) et j'ai naïvement rêvé en voyant "multicast forwarding" sur les 
> specs/docs du produit.

Effectivement ça fait du multicast forwarding (ip pim, par ex) mais avec du 
224.0.0.x t'es coincé le Cisco ne forwardera pas sauf si tu bidouilles des 
trucs sales... (encore faut-il que ça marche).

Je m'étais déjà fais mal au nez un moment la dessus quand j'avais essayé 
d'avoir un réseau Wifi séparé du réseau local... Et quand j'ai vu 224.0.0 -> 
mort.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] [Electricité] Mesure sur arrivée triphasée A / V / VA

[Xavier Beaudouin]

Bonjour,

Je suis en train de remettre a plat l'électricité d'un "petit" datacenter de ma 
modeste boite.

Comme les anciens locataires des locaux avaient fait des trucs zarb (comme 
mettre sur l'arrivée électrique de la salle info, le split de la clim des 
bureaux), on pense un peut a refaire des choses propres.

Dans la série propre, j'aimerais coller un compteur d'énergie triphasé pour 
mesurer en temps réél la conso sur mes 3 phases :

- volts
- ampères
- VA
...

Le truc c'est qu'on pas une salle qui comme a mort, et je voudrai juste mettre 
quelque chose qui compte "proprement" entre le différentiel et le disjoncteur 
qui me remonte en IP les infos.

J'ai plusieurs méthodes :

- je prends une usine a gaz type les devices legrand qui me demande en bref 
l'installation de 3 à 4 modules + une passerelle IP (ou un PéCé sous windows)
- je prends un compteur à impulsion et je colles un IPX800 de GCE Electronics 
(qui me permettra de faire de la supervision environnementale de la salle)
- je prends un compteur EDF like (voir ebay), une passerelle téléinfo GCE 
Electronics ou une passerelle fais maison et j'ai ce que j'ai chez moi : conso 
instantanée, Kwh etc...

Vu qu'on as une petite salle : 20A Triphasé courbe C (ok pas terrible je 
l'accorde), je pense que c'est faisable correctement.

L'idée c'est _surtout_ pas dépendre d'une VM / PéCé Windows qui vas nous casser 
les couilles pour interfacer ça sur nos outils opensource de monitoring / 
reporting : Observium / Zabbix / truc à base de rrdtool.

Qu'avez vous de votre coté en place ? (je voudrais éviter le pinces 
ampèremétriques mises en place, car d'expérience c'est jamais super précis).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit

[Xavier Beaudouin]

Autrement...

Le 11 juin 2013 à 11:20, Guillaume Tournat  a écrit :

> Le 11/06/2013 10:52, Emmanuel Lacour a écrit :
>> On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote:
>>> Le problème c'est que je dois faire passer au moins un VLAN "étendu"
>>> dans lequel se trouve quelques serveurs, sinon oui, un VPN classique
>>> aurait été mon premier choix.
>>> 
>> OpenVPN (performances en Giga à valider)?
>> 
> 
> en mode TAP, c'est du L2. par contre, ca implique d'insérer un
> équipement de terminaison de chaque côté.


Sur FreeBSD il y a : netgraph, qui permet entre autre de jouer avec les packets 
ethernet et de les encapsuler dans un packet udp. 

Entre ng_switch (qui sais gérer les vlan), tu peux ajouter ton module netgraph 
qui vas bien pour faire du chiffrement ou le balancer dans openvpn ... :)

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit

[Xavier Beaudouin]

Il y a de ca longtemps, Bull faisais des trucs qui s'appelaient "boite noire 
ethernet" qui entre autre permettaient le chiffrement over ethernet de 2 sites.
J'ai eu la chance de jouer avec pendant 2 jours, mais jamais d'en déployer.

Xavier
Le 11 juin 2013 à 11:03, Surya ARBY  a écrit :

> Pour ce genre de trucs, l'armée (et également en banque sur les salles de 
> marchés pour le chiffrement téléphonique des lignes analogiques) utilisait 
> des boitiers chiffrants Thales.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] trafic shaping sur linux

[Xavier Beaudouin]

Salut,

Le 7 juin 2013 à 14:09, Antoine Durant  a écrit :

> Oui je trouve un peux bizarre aussi... Il me semble de mon point de vue qu'il 
> est préférable de faire du trafic shaping sur le routeur principal...
>  
> ( En plus je n'ai qu'un seul routeur donc il va être difficile de l'appliquer 
> sur celui du dessous... )
>  
> En regardant un peux sur google, je m'aperçoi que bon nombre d'ISP/FAI 
> utilise le trafic shaping sur le routeur sans forcément de problème... Je ne 
> suis pas derriere pour vérifier mais cela à l'air d'être appliqué à granche 
> echelle !

Disons que google, et les autres isp (ceux qui ont plus que 1Gpbs de traffic 
donc) ont depuis longtemps utilisé du matériel qui est capable de manger du pps.

Après sur un Linux (bien tunné avec un bon noyau) tu peux arriver a faire du 
pps. Mais plus tu mets de surcouches, plus tu perds du pps. (J'avais vu que le 
fait d'activer iptables sur un linux, faisais perdre de façon importante du pps 
sur des "petits packets", je me rappelles plus du chiffre mais c'étais 
important, suffisament pour ne pas l'activer sur un routeur).

Après tout dépends de ton activité, mais en cas de syn flood, j'ai vu des 
juniper m7i se la couler douce pendant qu'un dual xeon E5 avec le turbo boost 
quivasbien perdre 80% de packets alors que le shapping étais a 30% de la limite 
max.

C'est toi qui voit, mais le software a ses limites quand même sinon les 
routeurs avec plein d'asic ne seraient que du bullshit commercial.

(et a noter que je sais de quoi je parle j'ai longtemps utilisé du routage 
software...).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] SFR passe la fibre à 300Mbps

[Xavier Beaudouin]

Salut,

Le 7 juin 2013 à 13:18, Eric Masson  a écrit :

> Xavier Beaudouin  writes:
> 
> Salut,
> 
>> Enfin Orange n'est pas non plus une obligation hein :)
> 
> Dès lors que tu n'es pas dégroupable et que tu as besoin de ta connexion
> pour des raisons professionnelles, le choix se restreint quand même
> sévèrement.

Heu... Du non dégroupé ça existe ailleurs : Free, FDN, SFR, Nerim, ...

Donc avoir du AS3215 pour du pro ... comment dirais-je... Et je parles pas 
d'IPv6 ni de Port 25 débloqué en sortie... .



>> Suis pas étonné, il veulent authentifier les gens. Bon ok y a 802.1x
>> mais oula... c'est compliqué hein :p
> 
> Je n'ai pas vraiment idée de la complexité de l'infra Orange, je suppose
> qu'il y a un empilage historique qui doit probablement limiter les
> options possibles sans tout casser.

Effectivement, m'enfin PPPoE over fibre :( 

Bon on a de la chance on n'as plus X25 

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] trafic shaping sur linux

[Xavier Beaudouin]

Le 7 juin 2013 à 12:50, Michel Hostettler 
 a écrit :

> Bonjour Xavier,
> 
> 
>> Personnellement, je part du principe : le routeur route et ne fait que ça...
> 
> Bizarre ! La régulation du trafic IP est réalisé hors débordement par des 
> équipements qui ne peuvent être que des routeurs IP. Sans régulation de 
> trafic, on met en danger les routeurs IP en aval de la connectivité.


Quand on a de l'ASIC qui sait faire ça oui. Sur du matériel généraliste, c'est 
limite se tirer une balle dans le pied.

Mais quand je vois les gars qui s'amusent a faire du statefull sur un routeur 
bgp ... humm comment dirais-je...?

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] trafic shaping sur linux

[Xavier Beaudouin]

Salut,

> Une petite question concernant le trafic shaping avec TC sous Linux...
> 
> Parmi-vous, est-ce que vous implantez le trafic shaping sur vos routeurs BGP 
> (quagga par exemple) ?
> Facile en mettre en œuvre, fiable ?  Cela bouffe t’il beaucoup de ressource 
> machine ?
> 
> Je pense utiliser tc qdisc/tc class couplé à iptables (mangle/POSTROUTING) 
> avec CLASSIFY afin de matcher sur mes classid du tc class.
> 
> J’attends vos retours d’expérience avec impatience et voir même quelque petit 
> exemple de config si vous en avez sous la main…

Personnellement, je part du principe : le routeur route et ne fait que ça. 
Ajouter des surcouches c'est perdre la main sur l'équipement en cas de 
saturation avec des petits paquets (genre... syn DDoS, par exemple) qui montent 
dans toutes les surcouches TC et iptables.

Après pour du test, c'est une idée, pour de la prod, sépares les torchons et 
serviettes.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] SFR passe la fibre à 300Mbps

[Xavier Beaudouin]

Salut,

Le 7 juin 2013 à 10:38, Eric Masson  a écrit :

> Raphaël Jacquot  writes:
> 
> Bonjour,
> 
>> t'as oublié un détail.
>> en pro, on t'impose de louer la machin box 5€ par mois, meme si ca sert
>> a rien
> 
> Cela fait un certain temps qu'Orange me démarche pour me loger une LB
> Pro (offre Orange Pro, pas Orange Entreprises) et cela n'est toujours
> pas une obligation, je me passe juste de leur service de téléphonie.

Enfin Orange n'est pas non plus une obligation hein :)

>> parce que tu la remplaces par un vrai machin qui marche.
> 
> Un modem et un CPE sous OpenWRT sont largement plus fiables que les LB
> grand public & pro, mais les Business LB des bureau du groupe pour
> lequel je travaille semblent remplir leur office et ne pas poser de
> problème (fourniture d'un /29 et de ports isdn pour la voip par site).
> 
> Pour en revenir à la fibre, un de mes amis habite une des villes pilote
> pour le déploiement fibre hors grandes agglomérations (Mareuil sur Lay
> Dissais, en vendée), j'ai été surpris de constater que le CPE était une
> LB classique avec un convertisseur de média externe.
> 
> Il semble aussi que la connexion soit toujours du ppp, ce qui là encore
> est surprenant, surtout sur un media qui peut transporter des trames
> ethernet de façon native.

Suis pas étonné, il veulent authentifier les gens. Bon ok y a 802.1x mais 
oula... c'est compliqué hein :p

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] SFR passe la fibre à 300Mbps

[Xavier Beaudouin]

Hello,

Le 6 juin 2013 à 14:03, Etienne RABY  a écrit :

> Ce qui conduirait, sous la pression du marketing, à des offres orienté Grand 
> Public (gosses) ou des offres Pro (responsabilisées).
> 
> Et donc, comme les entreprises ont forcément plein de sous, ça conduirait à 
> des tarifs différent... On en est pas si loin actuellement mais je pense que 
> ce n'est pas dans cette direction que tu souhaitais voir appliquer ton 
> système.
> 
> Vendredi approche ;-)

Chez "internet by orange" c'est déjà le cas... On a la livebox pro et la 
livebox (pas pro) qui ont les mêmes bugs mais qui permettent de faire du vieux 
pneu (vpn) et qui a une ip fixe. C'est plus cher c'est pro (tm)... :)

De toute façon avec les CGN, on vas avoir :
- le pas pro en CGN
- le pro en ip fixe avec pas de cgn...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Choix d’un LIR pour AS dans un cadre associatif

[Xavier Beaudouin]

Hello,

Le 31 mai 2013 à 21:08, Eric ROLLAND  a écrit :

(...)

> Router soit même son trafic, devenir indépendant, gérer ses ressources
> c'est devenir opérateur (Licence Arcep, ASNumber, RipeDB, etc)..

Je ne vois pas pourquoi le fait d'avoir un AS oblige d'avoir une licence arcep.

Tu peux avoir un AS, 2 routeurs dans une salle machine (ou pas), et ne pas 
avoir 
un réseau qui sort de ta baie.

Mes souvenirs de mise en place de licence opérateur à l'époque on posais la 
question : est-ce que vous avez un réseau qui est accessible au public : eg, un 
terminaison ou un client peux se connecter dans des endroits géographiquement 
distant : xDSL, radio ou pas.

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Peering et attaques

[Xavier Beaudouin]

(...)


> Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit 
> port 53 de manière drastique sur les ports de livraisons.
> Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une 
> certaine neutralité).
> 
> Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les 
> moyens de le proposer sur ceux cité) ?

Il y a certain moment quand je bossais pour une boite francaise qui fait des 
gtld... Il y avais un certain nombre de discussions dans des mailing listes 
ouvertes (type dns-ops) qui parlais des trucs :

- patch de bind9 pour faire du rate limit
- quelques options a bind9 / nsd ... pour limiter les degâts.

Evidement il faut pousser au cul les gens qui te pourrissent la vie (cogent 
dans ton cas), avec le truc bête : cette ip viens de chez vous ? je vous envoie 
mes avocats... Tu vas voir ils vont se bouger le cul.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Livebox ou #hadopi^H^H^H^H^H^HCSA :)

[Xavier Beaudouin]

Hello,

Je viens de tomber sur un truc marrant, il me semble que les livebox 
"censure" les IPs se terminant pas .0 (oui x.x.x.0/32).


Ok c'est hum... comment dirais-je assez tendancieux comme ip pour un 
site web, mais tout de même valide en terme de routage... (pareil avec 
x.x.x.255/32 aussi).


J'ai eu ce retours d'une cliente qui se plaignais que sont site web 
n'étais par joiniable à cause de ce .0.


Alors : box en mousse ? ou développeur en bois ?

Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 6888: Common requirements for Carrier Grade NATs (CGNs)

[Xavier Beaudouin]

Bonjour,

Le coté "positif" du CGN c'est qu'il est pratique pour tuer dans l'oeuf une 
partie d'un DDoS :)

/Xavier
Le 4 mai 2013 à 11:50, Solarus  a écrit :

> Bonjour à tous.
> Un article vient de paraître sur le sujet :
> 
> La grogne des utilisateurs de British Telecom après la mise en service
> de plusieurs CGN (en anglais) :
> http://www.pcpro.co.uk/news/broadband/381646/customers-fume-as-bt-introduces-ip-sharing
> 
> Cordialement.
> 
> -- 
> Solarus - sola...@ultrawaves.fr
> Clé GPG - 0x9C5AC79A
> N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Matériel a évacuer (aussi)

[Xavier Beaudouin]

Bonjour a tous,

Notre Association Kazar, a un peu de matériel a évacuer aussi pour gagner de la 
place dans le garage du président :p

Comme ce matériel marche encore, je fais pareil de Spyou :)

https://pad.ilico.org/p/r.ZTan57NFy1KkgKsY

Participation minime est demandé (surtout sur certains trucs qui marchent 
encore bien), une facture au nom de l'Assocation est faisable si vous le 
désirer.

Pour des participation symbolique : bulles, ou liquides à base de houblon ou de 
raisins sont acceptées.

Désolé pour le bruit et bon trolldredi a tous.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Perte optique Nord

[Xavier Beaudouin]

Hello,

Le 17 avr. 2013 à 00:51, Frederic Dhieux  a écrit :

> Ils ont aussi fait des travaux sur les batteries et les générateurs du
> PoP les gens d'EDF ? (parce que bon ça me parait plus anormal ça qu'une
> coupure EDF en fait).

Bah si le pop de SFR a Lille est géré comme le "NetCenter" de Courbevoie, avec 
les groupes électrogènes dans la rue, je dis que c'est normal.

Rappellez vous en Septembre / Octobre 2012 ou NetCenter CBV a fait : 
jour/nuit/jour/nuit... ?

/Xavier

> Frederic
> 
> Le 4/16/13 11:15 PM, Yann Beulque a écrit :
>> http://travaux.ovh.net/?do=details&id=8469
>> 
>> Probleme électrique sur le POP SFR de Lille.
>> EDF fait des travaux sans prevenir.
>> C'est en cours de retablissement.
>> 
>> 
>> Le 16 avril 2013 23:12, Frédéric GANDER  a écrit :
>> 
>>> 
>>> - Mail original -
 De: "Jérémy Martin" 
 À: frnog-al...@frnog.org
 Envoyé: Mardi 16 Avril 2013 23:09:08
 Objet: [FRnOG] [ALERT] Perte optique Nord
 
 A ceux qui ne l'ont pas remarqué et qui cherchent pourquoi leur
 supervision gueule, ou que leur gamin de 15 ans ne peux plus surfer,
 une
 fibre a été dégommé (ou volé) dans le Nord.
>>> pb elec
>>> 
 A priori, Free ADSL est down dans le 59/62/02.
 SFR ADSL est down au minimum dans le 59.
 
 Mon transit SFR est tombé aussi à Lesquin (CIV).
 
 Bref, c'est la fête. Si des gens en div op ont des infos, je suis
 preneur.
 
 --
 Cordialement,
 Jérémy Martin
 
 __
 FreeHeberg.com : Osez l'hébergement gratuit de qualité
 professionnelle !
 PHP + Mysql + Espace 2 à 20 Go
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Devenir LIR et récupérer nos ressources

[Xavier Beaudouin]

Hello,

> Que se passe t-il quand un LIR arrête d'être LIR? Il perd ses allocations et 
> ses clients perdent leurs assignements?
> 
> J'ai trouvé ça en bas de la page 
> https://www.ripe.net/ripe/docs/ripe-582#Closing-LIR-by-the-RIPE-NCC, mais 
> c'est pas clair dans mon esprit :(
> 
> "11.0 Closing an LIR by the RIPE NCC
> The RIPE NCC may close an LIR for any of the following reasons:
>the LIR does not pay money owed to the RIPE NCC
>the LIR cannot be contacted by the RIPE NCC for a significant period of 
> time
>the LIR consistently violates the RIPE community’s policies
> The RIPE NCC takes on responsibility for address space held by closing LIRs."

Bah si le LIR paye pas c'est normal qu'il perde ses assignements. Si tu payes 
pas EDF tu te retrouve en général dans le noir...

Apres si le LIR continue ses activité et veux plus être LIR, il peux se 
débrouiller pour merger ses activité de LIR avec qqn d'autre...

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] contact postmaster OVH

[Xavier Beaudouin]

Hello,

Le 4 avr. 2013 à 11:37, Sylvain Rochet  a écrit :

> Salut Sebastien,
> 
> On Thu, Apr 04, 2013 at 11:31:11AM +0200, Sebastien PLOT wrote:
>> 
>> Aucun message n'aboutit et les erreurs varient vu de nos frontaux:
>> 
>> * pas de hello à la connexion
> 
> Humm, ça ce n'est pas dramatique, rien dans le protocole SMTP n'oblige 
> le HELO/EHLO.

Si c'est une obligation, cf http://www.ietf.org/rfc/rfc2821.txt

3.2 Client Initiation

   Once the server has sent the welcoming message and the client has
   received it, the client normally sends the EHLO command to the
   server, indicating the client's identity.  In addition to opening the
   session, use of EHLO indicates that the client is able to process
   service extensions and requests that the server provide a list of the
   extensions it supports.  Older SMTP systems which are unable to
   support service extensions and contemporary clients which do not
   require service extensions in the mail session being initiated, MAY
   use HELO instead of EHLO.  Servers MUST NOT return the extended
   EHLO-style response to a HELO command.  For a particular connection
   attempt, if the server returns a "command not recognized" response to
   EHLO, the client SHOULD be able to fall back and send HELO.

   In the EHLO command the host sending the command identifies itself;
   the command may be interpreted as saying "Hello, I am " (and,
   in the case of EHLO, "and I support service extension requests").

Après on peux avoir différentes interprétation du "client's identity", comme 
certains spammeurs ne font pas du travail propre, certains admin de mail 
insitent que HELO/EHLO  représente le FQDN complet et propre de l'IP 
source et que sont reverse correspondent.

Rien que cette règle supprime pas mal de spam. Et si c'est le cas pour OVH, je 
les comprends.

Après, pour l'envoie de newsletters : apt-get install postfix sur le serveur 
qui l'envoie c'est pas compliqué et ca suffit pour rentre le serveur "a peut 
près propre" pour envoyer ses news letters.

Y a pas de permis pour envoyer du mail, mais des fois ça serait bien... non ?

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Email du RIPE

[Xavier Beaudouin]

Hello,

En gros si tu as pas des docs prouvant que la PI est bien a toi 
(exemple: la boite a coulé, mais on t'as donné un accord oral qui tu 
pouvais la récuperer), tu pers ta PI...


Est-ce à dire que le RIPE va bientôt être capable de réallouer des
IPs dont il a d'autorité décidé qu'elles n'étaient plus utilisées ou
légitimes ?
A-t-on des statistiques ou des infos officielles à ce sujet ?


Enfin on peux toujours faire les gaulois dans leur village. Tu n'as 
plus le droit sur le bdd du ripe de faire quoi que ce soit. Mais si tu 
continue a l'annoncer ils peuvent se brosser pour la récupérer :)


My 0,02€

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Email du RIPE

[Xavier Beaudouin]

Hello,

Le 25/03/2013 10:59, Phibee Network Operation Center a écrit :

Le 25/03/2013 09:56, Stephane Bortzmeyer a écrit :

Ils nous demandent de devenir LIR ou "signer" un accord avec un LIR

existant (Completel nous fournis cette plage).

Ah, la chasse aux adresses du marais continue, on dirait.



Je suis un ignare, j'ai pas du suivre une discussion dans le passé ;=)
c'est quoi cette chasse ? une chasse au "incohérence" de la base ?


Non c'est plutôt du "nettoyage" des PI qui sont attribuée précédemment.

En gros si tu as pas des docs prouvant que la PI est bien a toi 
(exemple: la boite a coulé, mais on t'as donné un accord oral qui tu 
pouvais la récuperer), tu pers ta PI...


Perso je trouve peu cavalier cette méthode car vu qu'on peux plus avoir 
de PI ipv4... Pourquoi s'amuser a les retirer (surtout si elles sont 
utilisées)...


My 0,02€


--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [tech] recherche info équipement électrique

[Xavier Beaudouin]

Hello,

Le 24 mars 2013 à 08:44, Baptiste  a écrit :

> Merci à tous pour les références ainsi que pour les remontées
> d'expériences diverses avec ce genre de boitiers.
> 
> Mon appli intègre tout ce qu'il faut pour la haute dispo, mais il faut
> juste faire attention à bien brancher chaque noeud sur une arrivée
> électrique différente.
> Je pensais que ce genre de boitier pouvait permettre de simplifier la
> gestion de la haute dispo sur la partie électricité.
> 

Des fois il vaux mieux faire du KISS plutôt que des usines a Gaz...

Typiquement en ESXi tu peux avoir de la redondance au niveau reseau sans quel 
les VM le voit...

Très pratique, cependant ceci n'arrange rien au niveau réseau si le link des 
interfaces restent up...

Et pour avoir eu des switch qui font "plouf" tout seul (alim qui crame ou des 
rigolos qui jouent avec des câbles [Hein SFR ?]) un STS n'apporte pas grand 
chose... Sauf quand tu fais des travaux électriques... genre une phase A 
utilisée en permanance, et lors qu'on fait une maintenance on bouge tout sur la 
Phase B. 

Comme c'est assez rare... c'est mieux d'équilibrer manuellement... Et savoir 
que le SPOF en AC est *chose* courante.

En DC c'est plus "simple" (quoi que...)...

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave

[Xavier Beaudouin]

Le 19 mars 2013 à 10:21, Christophe Baegert  a 
écrit :

> Le 19/03/2013 10:09, Xavier Beaudouin a écrit :
>> Donc non le pays "sous développé" en terme de réseau mobile n'est pas celui 
>> qu'on crois...
> 
> Il ne faut pas oublier un truc : quelque chose me dit que personne ne
> doit mesurer les V/m là-bas...

Enfin V/m... C'est clair que c'est une mesure très précise... Et je doute que 
la Corée du Sud soit plus proche d'un goulag (voir post précédent) que la 
France quoi que avec les lois en I on s'approche tranquillement 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave

[Xavier Beaudouin]

Le 16 mars 2013 à 19:08, Rémi Bouhl  a écrit :

> Finlande, Corée.. il faut voir les densités de population, aussi. La
> boucle locale a un sacré poids sur le coût d'une connexion.

Je vais donc parler de la Corée du Sud et une petite ville qui s'appelle Séoul 
que je vais comparer a Paris (capitale vs capitale...).

Dans cette ville, Séoul, comparons un truc "utile" : la téléphonie mobile dans 
les transports en communs.

Dans tous les métros de Séoul même au -5eme sous sol (qui en passant est propre 
comparé à la porcherie parisienne) le sigle 3G de mon 4S est a fond. Je n'ai 
jamais perdu un appel (en roaming Free) la bas. Le Wifi dans les rames de métro 
marche a 100% et des fois tu accès un hotspot gratos.

Prenons une station de métro et RER equivalente : la Défense... Je vous demande 
juste d'essayer de faire un appel, sur le quais de la gare RER la Défense avec 
un tél... Déjà si on y a arrive c'est déjà pas mal (Orange et SFR selon 
l'humeur), après charger une page web... La... Si on est en Edge c'est déjà pas 
mal.

Donc des fois j'ai la très nette impression que le pays en voie de 
développement n'est pas celui qui est sur papier... dans ces domaines.

Mais est-ce peut-être parce que je suis un étranger et on fait de la QoS quand 
on est étranger ? 

Je prendrais la meme remarque avec une carte prépayée a Shanghai... Bon le 
réseau 3G est "moins bon" mais la voix/sms, jamais un soucis...

Donc non le pays "sous développé" en terme de réseau mobile n'est pas celui 
qu'on crois...

/Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [FRNOG] [TECH] Solutions Outbound Mail/Spam Filter pour ISP/Telcos

[Xavier Beaudouin]

Bonjour,

Le 15 févr. 2013 à 16:52, Julien Doussot  a écrit :

> Bonjour,
> 
> Je te conseille vivement ironport (rachete par cisco). Utilise dans
> un environnement ISP pendant plusieurs annees sans probleme. Scalable et
> monstrueusement efficace mais un peu cher.

Effectivement, mais si mes souvenirs sont bon ces machins sont pas compatible 
IPv6... #Fail


/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeurs pour small-business

[Xavier Beaudouin]

Hello,

Le 11/02/2013 23:59, Radu-Adrian Feurdean a écrit :

On Mon, Feb 11, 2013, at 23:49, Guillaume Barrot wrote:

Fortinet et l'Ipv6, un amour impossible.
Je crois que le support doit encore se souvenir du case que j'ai 
ouvert y

a un an :
IPv6 = supporté
Isis = supporté
Routage IPv6 via ISIS ?  Ops.


Ah, oui, la partie ISIS qui venait juste de sortir en 4MR3 (ou MR2
???)..


:D


Apres pour du mini CE, ok en statique, ca juste marchera.


Pas (trop) de probleme en OSPF+BGP. Les bugs BGP etait de memoire a 
peu

pres les memes en v4 et en v6.

En plus, quand tu arrives a travailler avec du ASA, tu oublies meme 
les

bugs les plus atroces de chez Fortinet :)


J'ai utilisé des fortinet il y a longtemps (2006 / 2007) quand il 
s'agissais d'annoncer en BGP / OSPF une loopback, j'y suis jamais arrivé 
(et encore je ne parle pas de faire du PAT dessus...).


Donc pas mal, mais "pas" gagné (p'tet que ca a changé ?)

Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re: [FRnOG] [TECH] Routeurs pour small-business

[Xavier Beaudouin]

Le 07/02/2013 8:41, dclap...@anteor.com a écrit :

A propos, PFSENS ou ZeroShell ? des retours d'experience ?


J'ai pas mal testé pfsense... Et donc j'aime bien. Surtout le fait que 
c'est pas encore un autre linux embarqué (c'est un FreeBSD) et donc 
c'est bien pour éviter l’eugénisme d'avoir du Linux partout... (cf leap 
second bug d'il y a pas si longtemps que ça).


Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

[Xavier Beaudouin]

Hello,

Le 31 janv. 2013 à 16:34, Raphael Mazelier  a écrit :

> Le 31/01/2013 16:31, Xavier Beaudouin a écrit :
>> 
>> Pour revenir au sujet, "il vaux mieux" limiter l'usage du firewall *sauf* 
>> pour le control panel : en gros l'accès au ssh.
>> 
>> Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
>> openBGPd est largement plus économique en mémoire?
>> 
> Certe mais niveau fonctionnalité c'est un poil plus limité quand même.

Il manque quoi ?  A part ISIS (alpha / beta sur Quagga) openBGP + OpenOSPF 
suffisent. 
Tu peux meme jouer avec LDP si tu veux.

J'ai plutôt detecté des bugs non résolus chez Quagga et une lenteur de 
convergence 

> Meme sous OpenBSD je conseille Bird.

Si Bird faisais de l'ISIS je le conseillerais aussi :p

> Concernant le sujet initial pas de firewall sur des routeurs, sauf volumes 
> très faibles.


:)

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

[Xavier Beaudouin]

Hello,

Le 31 janv. 2013 à 16:22, Christophe Baegert  a 
écrit :

> Le 31/01/2013 16:16, Simon Perreault a écrit :
>> Faux.
>> 
>> Voir l'article fondateur de pf:
>> 
> 
> Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
> parle d'un routeur BGP là !!!
> 
> C'est toute la différence entre la théorie et la pratique. Peut-être
> faux en théorie, mais vrai en pratique.


3To de Ram. tout de suite... :D
Bon des becannes avec 4Go de RAM en 64bits c'est assez standard... 
Donc vu que quagga ne s'amuse pas à manger ces 4Go pour une ou plusieurs full 
view, "normalement" ça doit passer.

Pour revenir au sujet, "il vaux mieux" limiter l'usage du firewall *sauf* pour 
le control panel : en gros l'accès au ssh.

Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
openBGPd est largement plus économique en mémoire?

Autre detail : attention au routage asymetrique. Bon si tu n'as qu'un routeur 
avec qu'un upstream, alors le firewall peux passer Autrement, attention au 
sciage de branche ou tu es assis.

Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Agregation de liens internet

[Xavier Beaudouin]

Hello,

Le 24 janv. 2013 à 11:38, Didier Clapier  a écrit :

(...)

> Sur la fibre : Je suis d'accord que la fibre c'est mieux mais aujourd'hui ou 
> en est le déploiement ? je suis à 1 Km de TH3 et je dois me contenter de 
> lignes ADSL à 1.6Mb/s (Free) et 2.3Mb/s (SFR), le DSLAM le plus proche est à 
> Guyancourt (5.5km) concrètement, en me branchant sur un serveur 
> d'agrégation en Hollande, j'ai pu avoir pratiquement 4Mb/s en DL et surtout 
> presque 1Mb en UL. 

Et pourquoi en Hollande ? Ceci veux dire que votre société héberge aussi la 
boite noire de l'autre coté?

Bien pour la résilience de l'internet, très bien pour être hadopi compliant, 
moins bien pour avoir un MIM patenté.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Xavier Beaudouin]

Et... Hum...

Comment dirais-je y a pas des clients qui veulent passer en ipv6 ?

Autrement fais comme certains, ouvres une boite en afrique, inscris-toi sur 
l'AFRNIC et dis que tu as une maison mère en France...

Puis "hop" routé...

M'enfin j'dis ca, j'dis rien, c'est comme toute les ressources minières de 
l'Afrique: c'est pas eux qui en profite.

Xavier
Le 22 janv. 2013 à 17:31, Jérémy Martin  a écrit :

> Indeed.
> 
> Cordialement,
> Jérémy Martin
> 
> Le 22/01/2013 17:25, Simon Morvan a écrit :
>> Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :
>>> On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
 Le RIPE a mis en place un marketplace pour cela, non ?
>>> Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
>>> Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
>>> ne veulement tout simplement pas).
>>> 
>>> Pour beneficier du "RIPE listing serivce" il faut en plus avoir la
>>> demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
>>> prets a faire les choses proprement.
>> J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
>> membre.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Xavier Beaudouin]

>> Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc
>> orchestré par Google et Facebook pour embeter les providers français
>> (source
>> )
> 
> Elle a progressé en 6 mois hein  :-)
> 
> Maintenant elle quitte la table *avant* de dire quelque chose.

Et après elle fait une commission pour enterrer proprement les choses :)

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Xavier Beaudouin]

Hello,
Le 16 janv. 2013 à 22:22, Guillaume Barrot  a écrit 
:

> Le 16 janvier 2013 16:43, Manuel Martinez  a
> écrit :
> 
>> Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce
>> qui reste aux opérateurs qui ne font pas partie des gros (et encore même
>> pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes
>> d'IPv4 pour espérer recruter encore des clients...
> 
> 
> Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le
> rachat d'un bloc IPv4 au marché noir.
> De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et
> certains opérateurs jouent même la rétention dans ce sens...

Y a mieux, créer une pseudo boite en afrique (choose your country) et la 
rattacher à la maison mère en France.

Une fois que tu as ton joli subnet (pleiiin d'ip, vu que l'afrique a "moins 
besoin" de l'internet que les pays du nord) tu monte ton subnet sur ton AS 
europeen et tu l'utilise en France par exemple.

Voici quelques nouveautés qui emmergent depuis 2012...

Pas besoin de racheter au marché noir, il suffit de faire comme toutes les 
ressources des pays qui en cours de développement : les utiliser pour un besoin 
que le pays en question n'as pas (ou tout simplement se servir sans 
concessions).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Xavier Beaudouin]

(plein de choses sur CGN, etc...)

Enfin ce qui me fait marrer avec "nous y voilà", c'est quand même le concept 
d'attentisme de tous les acteurs.

Dans un certain job, j'ai entendu : "on n'as pas migré les serveurs de mails en 
IPv6 car la solution  n'est pas compatible 
IPv6 et n'as pas encore de projet pour sortir un  IPv6 compliant".

Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une 
complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui écoute 
le port 53 (tcp/udp) elle est ou la complexité ?

Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / 
windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas loin 
de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6.

Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ?

Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du réseau, 
et "c'est plus compliqué en Edge sur les CPE".

Quand on voit que l'évolution des requêtes DNS a "un peu" poussé... Et qu'il 
n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on 
peux quand même se dire que "la stratégie de l'échec" est la.

Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6.

Maintenant, reprenons le coup des serveurs de mails.
Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont pas 
compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté les 
solutions non IPv6 compliant par la fenêtre pour prendre des outils opensource 
(qui en passant sont _aussi_ utilisé dans des boites noires, comme Barracuda, 
et encore c'est un exemple), histoire de ne pas se compliquer l'existence.

Quand on voit le "world ipv6 launch" qui parle de mettre les eyeballs en ipv6, 
je suis franchement septique, vu la complexité en terme de changement d'une 
infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y arrive pas 
sur des services _simples_ ?

Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne se 
sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le monde se 
regarde et attendent que les autres bougent.

Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres 
opérateurs... c'est un peu autre chose. Dommage.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] FREE

[Xavier Beaudouin]

Hello,

>> 
>> A l’heure ou les transitaires et les peerings de free peuvent se compter sur
>> mes dix doigts il y a-t-il une solution « durable » ? …
> 
> Bah payer free pour peerer et pleurer le prix du Mbps (ou un transitaire
> qui peere avec free), sinon malheureusement le choix est difficile entre
> un Cogent qui ne rassure pas et un Tata qui n'est pas assuré d'être
> utilisé dans les 2 sens sans passer par Cogent quand même. A la limite
> avoir les 2, mais ça fait un peu mal de choisir 2 transitaires
> spécifiques uniquement pour un FAI en particulier. Surtout un FAI qui ne
> semble pas trop faire l'effort de son côté d'être facilement joignable
> dans de bonnes conditions par les différents acteurs de son propre pays :(

Y a Above/Zayo, mais vu qu'ils sont en UK, le problème du virement payant et 
surtout de leur facturation délirante envoyant les factures dans /dev/null et 
après te sortant "factures impayées" est assez délicat.

J'ai eu affaire a eux, réseau trés bon, bonne qualité, mais la facturation et 
le suivit est une "bloody hell". Dommage que l'administratif n'est pas à la 
hauteur de la technique (pour une fois que c'est le contraire... suivez mon 
regard vis a vis de la marque en 3 lettres sur fond rouge).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] [IPv6] Tiens… La Roumanie fais mieux que la France ?

[Xavier Beaudouin]

Bonjour

C'est peut-être un appel a Troll, mais selon Google : 
http://www.google.com/ipv6/statistics.html#tab=per-country-ipv6-adoption

Il me semble que nos amis Roumains font mieux que la France en terme d'adoption 
de l'IPv6

IPv6 Adoption France  : 4,9%
IPv6 Adoption Roumanie: 8,58%

A quoi est-ce dû ? Au fait que la Roumanie n'as pas trop de legacy (vieux 
antispam proprio qui ne sont pas IPv6 compliant, souvent d'ailleurs la "fausse" 
raison de ce non déploiement) ou juste le fait que étant un pays ayant moins de 
legacy ils sont obligé de faire de l'IPv6 parce que y a pas le choix.

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Frnog et profs/chercheurs/écoles [Was: Le routage, enjeu de cyberstratégie]

[Xavier Beaudouin]

Bonjour Samuel,


On 01/09/13 13:07, Samuel Thibault wrote:
(...)


Heu. Je ne vois pas où est la stupidité. Quand un formulaire demande
un détail technique de câblage, alors qu'on est enseignant/chercheur
de tout ce qui est au-dessus (couche 3 et supérieur), voire uniquement
couche 7, on ne se sent pas à sa place, car ça donne l'impression
que ça va être une conférence de barbu qui ne parlent qu'en termes
techniques inaccessible à qui n'est pas professionnel du milieu, alors
qu'il y a beaucoup à y apprendre même pour quelqu'un de la couche 7.
Poser une question de couche 1, c'est les faire fuire.


Je ne veux pas faire l'adage de cette méthode de "sélection" ou d'anti 
robots. Mais des fois il y a des présentation très techniques (je me 
souviens de celle des outils de transmission 40G ou 100G) qui m'avais 
passionné car me faisait rappeller le monde de l'électronique (une de 
mes passions en plus de l'informatique), mais qui étais pour certains de 
mes collègue une torture des fois.


FRnOG est quand même une communauté de geek qui parlent de trucs de 
geeks. Les chercheurs sont toujours les bienvenue, et il y a des copains 
a se faire. Un p'tit mail pour demander un coup de main est toujours le 
bienvenu.


Si c'étais si fermé, les archives ne seraient même pas publiques IMHO.

My 0,02€
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free

[Xavier Beaudouin]

Il serait plus intéressant de se concentrer sur le "quasi-monopole" de
Google-Gmail  (tuyau, apps, data, sécurité...), ça c'est flippant.
Les TPE-PME ont bien plus à perdre que les quelques agences de Pub qui nous
saturent de contenu lobotomisant sans créer de richesse.


Disons que dans ce domaine, quand on parles aux PME / TPE des risques, 
ils te prennent pour des parano.


Pire, certaines PME soulent les Asso / Boites qui propose du mail avec 
un web mail type roundcube en sortant des arguement : "derrière ma ligne 
internet over pigeon le service en afrique est horriblement lent...".


Des fois ca se termine. Si vous voulez aller chez google...

(vécu personnellement).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] [FRnOG] : retour d’expérience Cisco 2821

[Xavier Beaudouin]

Hello,

Le 21 déc. 2012 à 19:48, Manuel Guesdon  a écrit :

> On Fri, 21 Dec 2012 17:07:45 +0100
> JC PAROLA  wrote:
>> | Le Fri, 21 Dec 2012 16:41:30 +0100,
>> | Simon Perreault  a écrit :
>> | 
>> | > J'ai récemment remplacé un 2821 qui bloquait à ~4000 pps. Je n'ai
>> | > jamais su exactement pourquoi. Il me semble que la config était très
>> | > ordinaire. Pas de Netflow, quelques ACLs simples. Peut-être IPv6?
>> | > 
>> | > On l'a remplacé par un PC ordinaire qui roule OpenBSD. Ce fut comme 
>> | > arriver soudainement au 21e siècle. ;)
>> | 
>> | C'est ce que je voulais faire au départ, je suis actuellement à 70
>> | mbs/s et ~7 000 pps. 
>> | 
>> | Je pense qu'OpenBSD pour faire du routage statique jusqu'à 400 mb/s et
>> | ~40,000 pps ne devrait pas impressionner un serveur bien dimensionné au
>> | niveau hardware.
> 
> Pour info, avec du bon matos on peut faire au minimum 150kpps avec BGP. Par
> contre bien choisir les cartes, le bus, etc... Le multi-processeur ne sert a
> rien par contre.

Si un peu quand même pour les calculs de routes. Bon c'est vrai ça sert à rien 
que prendre un 6 coeurs :)

Par contre en routage static, je te conseille plus un FreeBSD qu'un OpenBSD...

Si tu veux faire du BGP + OSPF, la OpenBSD est plus intégré que FreeBSD + 
OpenBGPd (OpenOSPF) ou Quagga (avec des bugs relous qui ne sont jamais intégrés 
malgrès mes patches)... surtout si tu prends des FreeBSD récents...

>> | est-il fou d'envisager de l'OpenBSD pour de la Prod (je rappelle 400
>> | mb/s sans BGP !! ) ?
> 
> Ca dépend.
> Avec du cisco/juniper&co: s'il y a un bug tu peux dire ben c'est
> un bug du constructeur on attend une release; voir tu peux faire intervenir le
> gars "qui te donnera des commandes à taper en CLI Shell qui tape directement
> l'Asic pour réparer ton bousin si jamais c'est un bug avéré." Y parait qu'on
> peut le joindre en moins de 45mn :-)
> 
> Avec de l'openbsd soit tu fixe toi même le pb si tu peux soit tu remontes le
> probleme sur la liste de discussion et tu attend qu'on guru fixe le truc (ou
> te dise que tu es un gros naze, que tu comprends rien et que de toute façon
> tous les constructeurs sont des menteurs).

+1 mais si tu expliques bien ce que tu fais tu peux avoir de bonnes surprises 
(surtout que Claudio écoutes bien quand tu tombes sur un truc picky), mais tu 
as quand même intérêt a bien savoir ce que tu dis, car contrairement aux 
constructeurs il y a pas un expert qui vas taper dans le noyau pour trouver la 
commande magique qui vas lui montrer que c'est pas toi qui ne sais pas faire, 
mais effectivement bien un bug.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.

[Xavier Beaudouin]

Hello,

> Après chacun ses plus et moins, le coup de la carte d'identité tu rentres

pas, j'ai déjà failli me le manger. Après 600Km, j'aurais bien eu les
boules mais en soit c'est la règle.
Si on commence à faire des exceptions, c'est pas forcément bon non plus.


Enfin, comme chacun sais en France, on doit toujours prouver son 
identité, donc si tu l'as pas et que tu es Francais ou que tu as une 
carte de séjour ou résident, tu risques aussi d'avoir des "problèmes" 
lors d'un control (probable ou pas) des forces de l'ordre...


My 0,02€.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Xavier Beaudouin]

Hello,

On 11/21/12 16:09, Sylvain Donnet wrote:

Je pense qu'il y a un peu des deux :

- le Patriot Act couvre bien tous les datacenters des sociétés américaines, 
partout dans le Monde,
- mais le FBI, sur le sol français, ne peut pas intervenir, ou du moins, doit 
passer par un juge français et la police française, pour rentrer dans la salle.



Enfin dans certain datacenter Français, y a pas besoin de la police pour 
rentrer dans un datacenter openbar...



Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] GIX et datacenters - was: Activités étrange a SFR Courbevoie.

[Xavier Beaudouin]

Bonjour,

On 11/19/12 15:28, Michael VILLAR wrote:


Le 2012/11/17 Solarus a écrit:

Mais le problème c'est la centralisation des échanges en un point
unique, et le problème se pose autant pour Paris que pour Amsterdam.
Parce qu'au final c'est quoi un IX sinon un gros switch ?



+1

-1
Il faut avoir les ressources pour gérer un serveur de route et un SI pour 
filtrer et préserver l'IX.
Petits moyens certes mais pas aucune compétence...


+1 car un serveur de route n'est pas une obligation pour un IX (cf POUIX 
par exemple, mais comme il n'est plus là ou encore FreeIX - rip -, qui 
n'en avais pas non plus).


Donc un route serveur n'est pas obligatoire pour le fonctionnement d'un OX.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/