[FRsAG] Re: Navigateur HTTP 0.9
> On 1 Feb 2022, at 16:36, David Ponzone wrote: > > Elinks: même problème que Lynx (404 not found après le POST). > NCSA Mosaic ? ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Navigateur HTTP 0.9
Uh, Tiens, c’est nouveau ça ? « > Liste de diffusion du %(real_name)s » V. ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
Re: [FRsAG] Faille Log4j2
> On 13 Dec 2021, at 13:18, David Ponzone wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Quizz du vendredi soir: >&/dev/null
> On 3 Dec 2021, at 19:21, Wallace wrote: > > avec >&/dev/null tu ne rediriges pas stderr >& fonctionne en csh et tcsh. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Dégradation perfs Linux sur le long-terme
Salut Xavier, > tmpreaper (sous linux) est pratique pour faire ce genre de ménage automatique. Bah, maintenant j’ai de toute façon un cron qui efface le cache tous les soirs à minuit puis lance un spider (wget) pour le re-remplir. > Accessoirement le checksum=skein et atime=off, accélèrent de façon non > négligeable > ZFS... Intéressant, il faut que je regarde. Je suis en LZ4, oui. Quant au DDUP, j’essaie de garder la RAM sous contrôle, parce que dans une VM, c’est ce qui coûte le plus… Merci des tuyaux :) Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Dégradation perfs Linux sur le long-terme
Hello ! > pour ZFS, il est recommandé de ne pas dépasser les 80% de remplissage. Je suis d’accord. C’est juste que j’avais mis en service un cache FastCGI, et je ne m’étais pas rendu compte à quel point il avait mangé du disque. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Dégradation perfs Linux sur le long-terme
Hello, > En passant de 25% à 15% d'espace disque disponible par exemple, les > performances sont parfois réduites de plus de 30%. > Ça dépend évidemment du système du fichier et du type de charge sur la > partition. > C'est particulièrement visible sur ZFS par exemple. +1. J’ai eu le problème récemment. Je me demandais pourquoi les perfs s’écroulaient, jusqu’à ce que je m’aperçoive qu’il ne restait que 50 Mo de libre sur le disque. Un zpool online -e a résolu le souci comme par magie. Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
> Elle devient une rolling release (CentOS Stream), la version normale > (RHEL-like) de CentOS étant mise à mort, il ne reste plus qu'à migrer sur > Oracle Linux et/ou Rocky Linux. Mais, mais, mais. Y a combien de distributions Linux en vrai ? Parce que, je veux pas dire, hein, mais sous BSD, on ne multiplie pas les petits pains :p V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
> On 25 Oct 2021, at 16:09, Xavier Beaudouin via FRsAG wrote: > > La puissance apparente c'est en Watt, en considérant le cos phi... Ca > s'appelle comment autrement ? le Wattage? :D Non, la puissance apparente se définit par P=UI se mesure en VA, volt-ampères. P = UI cos phi est la puissance active, réellement consommée, et se mesure en watts. P = UI sin phi s’appelle « puissance réactive », n’est pas facturée par EDF si ton cos phi est raisonnable, et correspond aux échanges capacitifs et inductifs entre le réseau et ton installation. La correction du cos phi est un sujet assez délicat. La plupart des usines, qui font tourner des moteurs (magnétiques), utilisaient des batteries de condensateur pour corriger leur cos phi. En HF, on fait de l’ « adaptation d’impédance » pour ramener le cos phi à un et délivrer le maximum de puissance active en aval. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
> On 25 Oct 2021, at 15:26, Xavier Beaudouin via FRsAG wrote: > > Hello, […] > - Puissance Apparente (en Watts) > - Puissance en VA Lol, c’est le genre de confusion qui fait mauvais genre :p Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
Re- > On 24 Oct 2021, at 18:57, Archange wrote: > > Merci, ça confirme ce que j’imaginais dans mon premier message : maintenant > qu’on a un bus de données (quand on fait du PD sur USB-C, remarque chez Apple > ils le font peut-être depuis longtemps avec MagSafe). Oui, je pense que sur MagSafe c’est déjà implémenté depuis longtemps. Les tous nouveaux MacBook ont laissé tomber l’alimentation par l’USB pour revenir au MagSafe – soit dit en passant une excellente idée – et cela m’étonnerait que Apple ait accepté une régression sur la communication avec l’alim. D’ailleurs, il n’y a même pas besoin d’aller aussi loin. Mon MacBookAir précédent, qui fonctionne avec une prise MagSafe 2, m’affiche déjà les mêmes infos sur son alim. > Donc on peut espérer qu’à terme la consommation instantanée soit remontée (et > effectivement c’est la puissance qu’on veut, l’intensité c’est juste un moyen > de la calculer après), et c’est possible que ça fonctionne déjà avec certains > modèles. Mais bon, le parc d’ordinateurs alimentés en USB-C doit être encore > assez limité. C’est peut-être le cas, mais pourquoi cette info n’est-elle pas disponible dans l’API, mystère. > On 24 Oct 2021, at 19:37, Arnaud Launay wrote: > > A mon avis, il faut remonter plus haut, et installer des prises électriques > remontant > la consommation. Voire carrément au niveau du disjoncteur… Attention quand même. La plupart des lignes de desserte, quand la puissance est supérieure à 13 kVA (~ 60 A) sont en triphasé. Cela complique un peu l’installation (il faut un ampèremètre par phase). Ceci dit, en plus de mesurer la consommation instantanée, cela peut aider à équilibrer les phases. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
> On 24 Oct 2021, at 18:32, Archange wrote: > > Le 24/10/2021 à 20:11, Orditux Informatique a écrit : >> On Sun, 24 Oct 2021 19:59:20 +0400 >> Archange wrote: >> >> je le sais, c'est ce que la commande acpi et ses options lisent. Je disais >> ça juste à >> titre indicatif : si les informations fournies par le noyau permettent de >> donner des infos >> sur le niveau d'énergie d'une batterie et son potentiel résiduel de >> rechargement, cela >> montre que les informations sur l'alimentation et son usage peuvent être >> transmis >> logiciellement. > > Sauf que le problème est matériel, pas logiciel : les alimentations, > d’ordinateurs fixes ou portables, ne communiquent généralement pas avec > l’ordinateur (et disposent rarement d’outils de mesure de leur consommation, > pour les batteries c’est important pour diverses raisons comme indiquer > l’autonomie à l’utilisateur, mais sur les alims en gros tout le monde s’en > fout). Évidemment qu’il n’y a pas de problème logiciel, sinon la solution > serait « simple ». Mon MacBookAir est capable de me dire à quel type d’alimentation USB-C il est connecté : AC Charger Information: Connected:Yes ID: 0x7003 Wattage (W): 30 Family: 0xe000400a Serial Number:C4H02370EVMLV74AF Name: 30W USB-C Power Adapter Manufacturer: Apple Inc. Hardware Version: 1,0 Firmware Version: 1030052 Charging: No Il y a même carrément un firmware dans l’alim, je ne serais pas surpris que l’alim communique sa puissance instantanée (ce qui revient à dire, l’intensité qu’elle débite). Si je connecte le MacBook à l’alim de la Switch de ma fille, j’obtiens ça : AC Charger Information: Connected:Yes ID: 0x Wattage (W): 39 Family: 0xe000400a Charging: No Il semble donc qu’il y ait quand même un minimum d’intelligence dans les chargeurs USB-C, au moins la puissance max. Mais pour la puissance instantanée, mystère. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
Salut, > Savez vous : > 1) Si c'est possible? (je n'ai pour l'instant rien trouvé.. sauf si un ordi > portable est en mode batterie) Franchement, ça m’étonnerait. La mesure de la consommation est faite par le circuit de supervision de la batterie parce que, si je me souviens bien, il est impossible de mesurer directement la charge d’une batterie, c’est-à-dire la quantité d’électrons stockés. Pour le savoir, on part d’une estimation de la capacité nominale, puis on trace le courant qui rentre et qui sort, et la charge est simplement l’intégrale du courant : q = I•t. Le problème de cette méthode est le même que celui de la mesure d’une distance en utilisant un tachymètre : la valeur dérive assez vite. Au bout d’un certain temps, on n’est plus très certain de la charge, donc il faut décharger totalement la batterie pour recalibrer le compteur. Ceci dit, je ne crois pas qu’aucun constructeur ait prévu de mesurer la consommation in-situ. Mesurer une tension, ça n’est pas trop difficile, il suffit d’échantillonner une seule patte d’alim (en supposant qu’elles soient toutes reliées). Mesurer un courant, cela nécessite de poser des sondes (idéalement magnétiques, mais c’est impossible ici, ce sont donc des résistances de très faible valeur aux bornes desquelles on mesure la tension, et on déduit l’intensité par application de la loi d’Ohm) sur toutes les pattes d’alim. C’est impossible sur un composant un tant soit peu complexe, ou les alims se comptent par dizaines. Il faudrait échantillonner l’intensité en départ d’alimentation, mais je ne sais pas si les alims modernes le font. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Sauvegarde office 365
> Peut-être parce que l’open source a jamais été capable de délivrer les mêmes > outils avec le même niveau d’intégration ? > > Je suis le dernier à défendre MS, mais MS365, avec absolument tout > contrôlable/configurable depuis un powershell n’importe où dans le monde, > c’est bluffant de puissance, particulièrement pour un mastodonte de l’IT > traditionnel qui aurait pu échouer à se transformer en mastodonte de l’IT 2.0 Je reconnais que je suis un peu de mauvaise foi. Mais j’avoue que ça me fait un peu mal au cœur. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Sauvegarde office 365
> Je m'étonne que tu t'étonnes. ou c'est ironique ? C'est tellement rare dans > ton monde que des organisations passent tout (ou partie sous 365) ? :-/ Non, c’était ironique, rassure-toi. Mais je n’ai jamais compris pourquoi des entreprises jettent aux orties des solutions mails qui fonctionnent correctement pour s’en remettre complètement à la bonne volonté d’un mastodonte. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Sauvegarde office 365
Salut, > Un de mes clients a eu la bonne idée de passer chez Microsoft pour les mails > et l'hébergement de fichiers. Quelle [e|ho]rreur ! :p Tu n’as pas pu l’en dissuader ? V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] [BIZ] Presta d'admin cloud + "bare metal"
Salut à tous, je vais bientôt quitter la PME de presse où je travaillais depuis 20 ans en tant que journaliste ET admin système. Comme je ne pense pas que mon patron puisse retrouver un profil semblable au mien en quelques semaines… je pense que la meilleure solution est de confier l’administration soit à un admin en freelance, soit à une petite boîte spécialisée dans ce genre de prestas. Le tableau est le suivant : on a cinq machines cloud hébergées chez Gandi, plus un serveur d’entreprise dans les locaux. Toutes les machines tournent FreeBSD : 12.2 pour les machines Cloud, 13 pour le serveur central. Toutes les machines sont en ZFS pour la partie données (pas le disque de démarrage). Des snapshots sont réalisés toutes les 12 heures (ZFSNAPSHOT) avec expiration 7 jours + sauvegardes des arborescences et des bases de données tous les dimanches, stockées à la fois en local (pour les trois dernières) et sur le serveur central (via SCP). Les données des disques ZFS sont ‘répliqués’ (copies=2). Le serveur central assure de multiples tâches : gestion du courrier (Postfix + Cyrus-sasl + amavisd + clamav + spamassassin + opendkim) ; VPN (Strongswan) ; DHCP/DHCPv6 (isc-dhcpd) ; NAT (dans les règles PF) ; WEBMAIL (nginx + roundcube) ; SAMBA 4 ; DNS pour la zone interne en liaison avec le serveur DHCP (Named). C’est un vieux bouzin Core2Duo 4Go avec un rack type NAS de 5 disques. Il est branché sur onduleur, surveillé par NUT. Les serveurs clouds sont essentiellement dédiés aux sites web des revues publiées par la boîte (NGINX + PHP-FPM 7/8 + Wordpress), il y a un site avec un forum communautaire (même techno) et une machine sert de base de données centrale pour tous les sites (Mariadb) + MX secondaire. Tous les domaines sont gérés directement depuis l’UI de Gandi. Voilà. Si quelqu’un se sent capable de gérer tout ça, n’hésitez pas à me contacter pour en savoir plus. Bonne AM à vous tous, Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] alternative à phpMyAdmin ?
> je souhaite savoir ce que vous utilisez en alternative à phpMyAdmin, ou au > contraire en êtes vous plutôt satisfait ? Le but Perso, je fais tout à la console en ssh, mais pour la webmaster, j’ai installé phpmyadmin, ça fonctionne nickel, vraiment. Ça m’arrive même de m’en servir pour les histoires de role et de privilèges. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [TECH][MAIL] GMail trappe silencieusement les mails
> On 7 Oct 2021, at 14:23, Jean-Yves LENHOF via FRsAG wrote: > > Je désespère de trouver une solution et je ne peux pas me permettre de > changer de nom de domaine aussi facilement que ça, c'est une adresse que j'ai > depuis des années. J'envisage de créer un nouveau domaine en desespoir de > cause et de gérer un domaine supplémentaire sur mon postfix, mais je trouve > gonflé l'attitude de google sur le sujet ! > > Si quelqu'un a une super idée, je suis preneur Tu calcules un champ DKIM pour tes en-têtes ? Perso, j’utilise SPF + DKIM et je transmets en IPv6, comme ça ça évite les histoires de blacklisting qui pour la plupart sont en v4. Je n’ai jamais eu de souci avec Google jusqu’à présent. Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] ssh 8.6 recursion configuration
Salut, > Mais en version 8.6, ça boucle car le Hostname bastion.domaine.fr refait une > passe dans la config et match le *.domaine.fr à nouveau. Il en résulte > une boucle infinie qui ne se finie pas. Tu dois pouvoir ajouter un critère !bastion.domaine.fr dans tes règles pour éviter que ce nom d’hôte ne soit reconnu, non ? V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Propriété d'un certificat SSL
Hello, > T'as pas les réponses dans le contrat ? À vrai dire, je n’ai pas vu le contrat passer. Mais je regarderai s’il y a une clause à ce sujet (ce qui serait fort étonnant). Bonne soirée ! V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Propriété d'un certificat SSL
Hello, > Après le mieux c'est de préparer ta migration au niveau dns aussi en mettant > un TTL le plus bas possible sur ton gestionnaire dns (60 secondes c'est > accepté par tous les recursifs mais certains registrar forcent du 300 ou 600) > uniquement sur les enregistrements qui en ont besoin, en gros le www, pas sur > la zone en > global. Oui, excellente idée, je viens de mettre 600. Faut pas déconner, je ne m’occupe pas de TF1 :p > Sinon si le certificat utilisé actuellement est un multi domaine en toute > logique il ne peut pas te le donner sinon tu auras un certificat qui répond > sur des urls qui ne t'appartiennent pas et donc possibilité de faire du MITM. Je comprends. Mais inversement, comment être sûr que l’ancien hébergeur ne conserve pas un certificat valide pour une URL dont il ne s’occupe plus ? V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Propriété d'un certificat SSL
Hello ! > Commence par descendre le TTL du domaine à 10 min, et t’emmerde pas avec le > juridique, AMHA. Bonne idée, ça tiens, j’y avais pas pensé. > Discutez des heures pour un certificat gratuit, ça me semble un peu stérile. > Si c’était un certificat « haut-de-gamme » payé pour 5 ou 7 ans, je pourrais > comprendre. Oui, je suis d’accord. Ma question, sans être rhétorique, était plutôt d’ordre théorique que pratique. Merci de ta réponse ! V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Propriété d'un certificat SSL
B’jour à tous, Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse. Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne. J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur. Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique. Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ? Merci, Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Recherche prestataire expert en bases de données
Je confirme pour Dalibo, que je connais bien. Super boîte, SCOP, le gérant est élu tous les ans (je ne sais pas si c’est encore Virginie Jourdan), tout le monde travaille en parfaite symbiose dans cette boîte. S’ils ont des postes, chaudement recommandée. Perso, je suis plus côté SIG que DBA, donc je n’ai jamais postulé, mais si j’avais été DBA, je n’aurais pas hésité. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [JOBS] Recherche Profils SysOps/DevOps/SRE
Tiens, à propos, question bête (mais pas méchante pour autant) : y a-t-il une liste semblable à celle-ci pour le hardware ? V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [JOBS] Recherche Profils SysOps/DevOps/SRE
Salut, Bon je ne suis absolument pas qualifié pour ce genre de job — (Ça me rappelle le bouquin hilarant de je-ne-sais-plus-qui intitulé « Lettres de non-motivation ») — mais juste pour dire que travailler à côté du Grand Rex, venant de banlieue, ça me ferait braire. Je comprends tout à fait que les gens demandent de télétravailler à 80%+ pour ces postes. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Problèmes de routage kernel IPv6 (FreeBSD/Strongswan)
Re- > On 19 Jul 2021, at 15:12, Willy Manga wrote: > Cela ne résoudra pas directement ton problème mais je pense qu'il serait > opportun de voir exactement avec le FAI comment il effectue le > provisionning. Oui, j’abonde totalement, mais obtenir des renseignements IPV6 chez Celeste, c’est le parcours du combattant. On a déjà mis plus de 4 mois à obtenir notre préfixe après ouverture de la liaison… Et chaque pour chaque opération c’est un mois minimum… Là j’ai demandé une inscription dans leur reverse DNS 6, ou une délégation de zone, je pense que j’aurai la réponse fin octobre… Je pense qu’ils considèrent ça comme du confort. La preuve, leur relai smtp n’a même pas de record. Bonne fin d’AM, Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Problèmes de routage kernel IPv6 (FreeBSD/Strongswan)
Salut ! J’étais en train de regarder ndp-proxy. Je regarderai plus en détail ce soir quand tout le monde sera parti. > Besoin d'une précision ici. Qu'est-ce que le FAI envoie ou délègue comme > préfixe IPv6 exactement ? est-ce juste un /64 ou autre ... /60 ou autre ??? On a un /64. En fait, soi-disant un /56 avec un autre préfixe. Mais je n’ai jamais réussi à faire arriver quoi que ce soit sur cet autre préfixe. Le dernier routeur (dans un traceroute6) apparaît avec ce préfixe, mais aucun paquet avec une adresse différente de celle du routeur ne semble être acheminé au-delà de celui-ci. > Je ne vois pas de problème particulier ici s'il fallait conserver cette > config (à part la taille de préfixe mentionnée plus haut) . C'est ici > qu'intervient les règles de firewall pour gérer qui peut faire quoi. Non, effectivement. Je trouve juste un peu absurde de faire du NAT66. J’avais une config en /64 partout. Ça marchait, mais ça avait l’air de faire râler dhcpd6 qui ne savait pas sur quel brin il devait écouter. Je vais voir s’il n’y a pas une ligne de configuration qui permettent de restreindre le service des adresses sur une interface particulière. Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Problèmes de routage kernel IPv6 (FreeBSD/Strongswan)
Salut ! > Est-ce qu'en forward dans pf, tu avais accepté de forward les > icmpv6-qui-vont-bien notamment NS ? J’avais une ligne ’pass proto icmp6’ quelque part dans mes règles, je l’ai mise à la fin. Si je supprime les lignes NAT, je reviens à l’état antérieur. Ça ne fonctionne pas. Mon idée est que les paquets multicast ::1:… sont limités au brin physique sur lequel ils transitent. Ils ne peuvent pas (normalement) traverser les routeurs. C’est d’ailleurs ce qui me crispe avec la configuration Celeste : ils te livrent un config v6 qui ne fonctionne que sur un monobrin derrière le routeur tête de pont, et apparemment le dernier routeur fonctionne en mode -accept_rtadv puisque les RA que j’envoie sont ignorés (ce qui paraît logique pour un routeur ?). If_bridge(4) permet de résoudre ce souci élégamment, mais ça n’explique pas pourquoi ndp(8) refuse systématiquement de répondre aux NS qui arrivent côté extérieur. Merci de ta réponse, bon dimanche ! Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Problèmes de routage kernel IPv6 (FreeBSD/Strongswan)
DISCLAIMER: je ne sais pas si je dois poster cette question ici ou sur FrNog, mais Sag me paraît plus approprié a priori. Donc voilà : Hello la foule, Le serveur de mon bureau (FreeBSD 12.2 stable) possède deux cartes réseau, re0 et ale0. re0 ne sert qu’à connecter le serveur au routeur tête de pont fourni par mon FAI (Celeste). ale0 dessert le réseau local. Il y a un NAT IPv4 entre ale0 et re0, réalisé par une ligne qui va bien dans /etc/pf.conf. Le serveur tourne (entre autres) un serveur DHCP/DHCP6 sur ale0. En v4, tout fonctionne nickel, y compris l’accès au réseau des clients VPN (Strongswan). Le souci, c’est l’IPv6. Soit P mon préfixe (/64, évidemment). Initialement, avec ipv6_gateway_enable = YES dans /etc/rc.conf, j’avais configuré re0 en P::/64 (mon routeur tête de pont est en P::1), et ale0 en P::1:0/112 avec une config DHCP6 correspondante. Pour les clients VPN, j’avais P::2:0/112 Problème : rien ne passe de re0 vers ale0. Les pings des machines du réseau local (P::1:) atteignent leur cible, mais les réponses sont bloquées au niveau de la tête de pont, le gateway émettant des paquets multicast NS fff2::1:: auquel le serveur ne répond pas. J’ai essayé d’utiliser ndp(8) pour ‘proxifier’ certaines v6, mais queude. Le serveur reste complètement muet, et ne renvoie jamais de réponse aux sollicitations du gateway, donc les paquets réponse sont perdus. J’ai également tenté d’utiliser rtadvd pour avertir les équipements amont qu’ils communiquaient avec un routeur, mais là aussi, zéro effet. Alors, vous me direz, le mieux est de créer un bridge entre re0 et ale0. OK, pas de souci : ifconfig bridge0 create addm re0 addm ale0. Fantastique, tout à coup les machines du réseau local peuvent causer IPv6 avec l’extérieur. Le souci, ce sont les clients VPN. Les tunnels fonctionnent en point à point avec le serveur, mais impossible de communiquer avec qui que ce soit d’autre, aussi bien sur ale0 que sur re0. Même souci : les paquets sortent correctement, mais le serveur ne répond pas aux NS par délégation des clients VPN, ni sur re0, ni sur ale0. D’où ma question : y a-t-il une manip à faire pour forcer ce foutu serveur soit à forwarder les paquets NS vers leurs légitimes destinataires, soit à répondre en leur nom ? Toute suggestion sera la bienvenue. Merci de votre temps ! Bon week-end ! Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Apéro Lyonnais : lundi 05 juillet 2021
> Bien entendu on continue à faire attention à soit aux autres, on pense > donc à avoir à proximité son masque, son gel hydroalcolique, ses > distances, …. Parce que, comme on dit à Lyon, faut pas pousser le bouchon quand même… :p V. (Pas Lyonnais) ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Routage IPv6 de clients VPN strongswan
Chalut ! Aujourd’hui lourdi 37, c’est la sainte planteverte. Oops. Pardon. Alors voilà. Je ne sais pas s’il faut que je pose la question ici ou sur FrNog, je pense que cette liste est plus appropriée. Mon serveur (FreeBSD) de bureau dispose de deux cartes réseau, ale0 et re0. Ale0 est connectée au réseau local via un switch, et re0 est attachée en point-à-point avec mon routeur fibre. En IPv4, j’ai un NAT ale0 -> re0 configuré dans PF, qui fonctionne parfaitement, y compris pour des clients VPN qui se connectent au serveur via Strongswan. En IPv6, j’ai installé un bridge entre ale0 et re0. Re0, connecté au monde extérieur, possède une adresse IPv6 qui permet de joindre le serveur depuis l'extérieur, et le bridge en possède une autre. Ale0 n’est pas configuré autrement que par une adresse link. Les machines du réseau local s’adressent au bridge pour communiquer à l’extérieur (l’adresse du bridge est publiée avec rtadvd et dhcpd6 assure la distribution des IP). Le tout, comme on s’y attend, sur un prefixlen de 64. Tout cela fonctionne très bien sur les machines du réseau local, mais je n’ai aucune connectivité v6 avec les machines VPN. Les machines de type « road warrior » VPN « ping-ent » correctement le serveur (IPv6 du bridge ou de re0), mais rien ne sort de ce dernier, ni sur ale0, ni sur re0. Désactiver PF ne change rien. J’ai un message d’erreur dans les logs de ce type : installing route failed: ::3:1/128 via 172.31.0.83 src %any6 dev ale0 Où est mon préfixe. 172.31.0.83 est l’IP locale d’une machine dont la version v6 est ::3:1 Y a-t-il quelque chose de spécifique à ajouter dans la configuration de strongswan? Des routes statiques à ajouter ? Le bridge à paramétrer différemment ? Si quelqu’un a une idée, je suis preneur. Bon mercredi et merci ! V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)
> On 24 Jun 2021, at 16:04, Xavier Beaudouin via FRsAG wrote: > > Je t'invite a lire : https://wiki.freebsd.org/bhyve > J'ai pas essayé avec OS X... Mais il est possible que ça marche. Ça m’étonnerait. OS X lit au boot le contenu de la ROM de firmware (Apple est un des rares qui reste fidèle au standard EFI) et refuse de se lancer s’il ne trouve pas les informations correctes. Tu ne peux pas (théoriquement) lancer MacOS sur une machine physique qui ne soit pas un Mac. Apparemment, la version OpenSource de Darwin est compilable et fonctionnelle moyennant un simple compilateur C++, mais j’avoue ne jamais avoir essayé. Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Problème Firefox + Google - Échec connexion sécurisée
Quel google ? Google.fr ou Google.com ? (Je ne suis pas sûr que ça fasse une différence, mais sait-on jamais ?) Sinon, j’ai testé avec Firefox, je n’ai aucun souci personnellement… Il faudrait presque un tcpdump pour savoir ce qui se passe. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)
> hé les copains, on n'est pas vendredi, et on n'est pas sur FRNOG :-D Oops… Désolé pour cette intervention… comment dire ?… inappropriée ? >>> Chez moi c'est full FreeBSD, non mais ! >>> > > De mon coté on a presque complètement dégagé les linux de notre infra. > On est passé sur du FreeBSD avec tout ce qu'il faut: Bon, ça fait plaisir de savoir qu’on n’est pas tout seul… :) Sur ce, avec mes plus plates excuses, je ne souhaitais pas mettre le feu aux poudres – (quoique). Je retourne sur FrNog :p Bonne fin de jeudi et bon vendredi ! V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)
> Je n'ai jamais aimé les situations de monopoles (ce que devient Linux) mais > dur de s'en passer ou même de justifier d'un autre choix vu qu'une grande > partie de l'écosystème sysadmin (outillage, conteneurs...) ne fonctionne que > sur Linux. > Pas mal de technos nouvelles (eBPF, XDP...) sont aussi Linux only. En même temps, il y a des démons comme blacklistd qui sont bien utiles (bon, ça ne gère pas un DDoS, mais ça permet déjà de filtrer pas mal de petites attaques) et qui n’ont pas été portés sur Linux pour l’instant. Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)
> Ce qui est certain, c'est qu'il est possible de faire du cloud publique > en ne faisant que du Linux. Windows, c'est quelques VMs qui traînent ici > et là pour un rôle AD ou RDS mais pas sur l'infra 'core'. Ah, mais je ne parlais pas de Windows. Vade retro, etc. :p J’aurais dû dire : « Lol, on a l’impression qu’il n’y a plus que Linux et Windows dans le monde de l’admin système… » Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)
> > Lol, on a l’impression qu’il n’y a plus que Linux dans le monde de l’admin > > système… > > C'est pas le cas ? ;) Euh… Perso, on ne me fera pas toucher à un serveur Linux. Ça fait 25 ans que je reste fidèle à BSD sous toutes ses formes (feu SunOS 3, Mach, MacOS, NetBSD, FreeBSD), c’est pas maintenant que je vais changer de crèmerie ! :p Mais bon, BSD a toujours été ultra-minoritaire par rapport à Système V, j’en suis bien conscient. V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)
>Total control of the installation and administration of GNU/Linux (Debian > Mandatory) Scripting Bash Shell, Python, Ruby. Puppet and/or The Foreman, > Ansible knowledge. Lol, on a l’impression qu’il n’y a plus que Linux dans le monde de l’admin système… Just saying :p V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
