Re: [FRnOG] [BIZ] Retours d'expérience datacenter sur Lyon

2013-02-26 Par sujet Eric Fourage 
bonjour,

Nous avons 2 baies au Netcenter SFR de Venissieux et 1 baie chez DCforData
à Limonest (nord de Lyon) pour nos intercos WAN "VPN IP"/internet, des
serveurs, de la sauvegarde et notre plate-forme de sécu.

- Netcenter SFR:
tres gros, 3/4 étages de 3 grandes salles chacun, chaque salle étant dédiée
ou mutualisée pour des clients "finaux" ou des hébergeurs
dans les salles: cages ou baies (à l'unité uniquement je crois, mais ça
doit dépendre de l'hebergeur)
tous les "gros" opérateurs nationaux y sont présents + Lyonix donc pas de
souci pour les intercos WAN/internet
désavantages: ceux liés à une grosse structure (autorisations de
visite/intervention,...)
http://www.datacentermap.com/france/lyon/neuf-vennissieux.html

- DCforData:
bcp plus petit, en cours d'agrandissement
actuellement 2 cold corridors dans 1 salle
récent, propre, équipe tres pro, réactive et sympa
moins d'opérateurs nationaux: OBS et Completel y arrivent en fibre, Lasotel
aussi , Lyonix présent
hébergement "direct" à la baie, mais aussi présence de fournisseur(s) VMware
salle de préparation, hotspot wifi
http://www.dcfordata.com/
=> je le recommande !

voilà, n'hésites pas à me contacter en direct pour des questions plus
précises

Eric


Le 26 février 2013 10:05, Antoine Benkemoun  a
écrit :

> Bonjour,
>
> À la vue des prix pratiqués par les datacenters sur Paris, nous étudions la
> possibilité de mettre des serveurs sur la région Lyonnaise. Je serais donc
> très intéressé si vous avez des retours d'expérience sur divers
> DC/hébergeurs. Sur liste ou hors liste, comme vous voulez. J'ai commencé à
> faire un tour d'horizon mais j'ai du mal à avoir de vrais retours.
>
> Si votre société propose de tels services, je suis également prêt à
> recevoir votre offre.
>
> Bonne journée,
>
> Antoine Benkemoun
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Eric FOURAGE

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

2013-06-24 Par sujet Eric Fourage 
+1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions
antivirus/antispam/filtrage URL sont activables et sous licence séparément,
et un mode cluster "béton".


Le 24 juin 2013 11:30, Guillaume Tournat  a écrit :

> Ou Juniper SSG 550
>
>
> Le 24 juin 2013 à 10:54, proreseau  a écrit :
>
> > Bonjour,
> >
> > Un bon vieux NS 5400 ultra robuste et ultra fiable.
> >
> > ++
> > Alain
> >
> >
> > Le 23 juin 2013 16:17, Antoine Jacot-Descombes
> > a écrit :
> >
> >>
> >> Le 23.06.13 14:49, Youssef Ghorbal a écrit :
> >>
> >>> Bonjour,
> >>>
> >>>  Est ce que c'est possible de trouver dans la nature des statefull
> >>> firewall
> >>> l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est
> >>>  filtrage l7, antivirus antispam applicationID machin chose
> >>> capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en
> >>> terme de pps (web, mail applications metiers)
> >>>
> >> Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports
> >> SFP+. Utilisables en mode transparent ou en mode routeur.
> >>
> >> ++
> >> Antoine
> >>
> >>>
> >>>
> >>>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

2013-06-25 Par sujet Eric Fourage 
pas de zero downtime du cluster lors d'un upgrade (un comble pour un
cluster!):

http://kb.juniper.net/InfoCenter/index?page=content&id=KB17947

"Zero downtime is not currently possible on SRX clusters. The goal of this
article is to provide a means to upgrade an SRX cluster with the minimum
amount of downtime possible."

alors que les SSG le supportait nickel.


Le 25 juin 2013 11:48,  a écrit :

>
>
> Le 2013-06-25 11:21, Youssef Ghorbal a écrit :
>
>  Par curiosite quand vous parlez de limitations en mode cluster vous
>> avez des exemples precis/concrets ?
>>
>> Je suis tombe sur ce post en googlant SRX :
>>
>> http://forums.juniper.net/t5/**SRX-Services-Gateway/Convince-**
>> me-to-stay-with-SRX-vs-**Fortinet-Honest-input-**requested/td-p/186575
>>
>> Youssef
>>
>
> Les soit disantes limitations pour le control link qui doit être direct
> sans switching (bon en pratique ça marche quand même) , le commit qui ne
> peut se faire qu'au top, les limitations niveau reth, des trucs chelou
> niveau ipsec...
>
> --
> Raphael
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

2013-06-25 Par sujet Eric Fourage 
Ah cool merci de l'info...
ça me rassure (un peu), j'attends la réponse de mon intégrateur...


Le 25 juin 2013 12:11,  a écrit :

> Le 2013-06-25 12:05, Eric Fourage a écrit :
>
>> pas de zero downtime du cluster lors d'un upgrade (un comble pour un
>> cluster!):
>>
>>  
>> http://kb.juniper.net/**InfoCenter/index?page=content&**id=KB17947<http://kb.juniper.net/InfoCenter/index?page=content&id=KB17947>[3]
>>
>>
>>  "Zero downtime is not currently possible on SRX clusters. The goal
>> of this article is to provide a means to upgrade an SRX cluster with
>> the minimum amount of downtime possible."
>>
>> alors que les SSG le supportait nickel.
>>
>>
> Alors la encore la littérature est peu claire.
> J'ai récemment upgrader 5 cluster de SRX 240H avec ISSU, et c'est bien une
> upgrade sans downtime.
> Les states sont bien synchronisé, tu perds seulement des trucs annexes,
> genre ipsec.
>
> Cdt,
>
> --
> Raphael
>
>


-- 
-- 
Eric FOURAGE
---
5 av. de la république
69160 TASSIN-LA-DEMI-LUNE
-
gsm: 06 03 35 80 81
tel: 09 51 31 44 14
-
e...@fourage.net
Twitter: @efourage <https://twitter.com/efourage>
-
Choisir un bon mot de
passe<http://www.securite-informatique.gouv.fr/autoformations/motdepasse/co/Mots_de_Passe_CH01_SCH02.html>(
securite-informatique.gouv.fr)
Les 10 commandements de la sécurité sur
l’internet<http://www.securite-informatique.gouv.fr/gp_rubrique34.html>(securite-informatique.gouv.fr)
Le guide du bon sens
numérique<http://www.axaprevention.fr/Documents/fichiers_pdf/transcriptions_pdf_html/transcription_bsn_clients_2012.html>(AXA)
Comprendre le 
phishing<http://www.securite-informatique.gouv.fr/gp_article44.html>(
securite-informatique.gouv.fr)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] LAN2LAN explication(s)

2013-10-11 Par sujet Eric Fourage 
Plus qu'un câble réseau, c'est un vlan, lui-même (souvent) tagué 802.1q: tu
auras certainement des contraintes sur les trames ethernet que tu pourras
envoyer:
- transparence aux vlans (tags 802.1q) ou non
- taille (MTU)
- voire filtrage/limiting de certains protocoles de couche réseau (ARP,
BOOTP, IGMP,...)

Attention au cas (vécu) où la boucle locale est celle d'une DSP: les
limitations/contraintes sur les trames ne sont pas forcément identiques ou
même connues de l'opérateur "final" !!


Eric


Le 9 octobre 2013 19:48, Bruno CAVROS / SKIWEBCENTER
a écrit :

> Un lan to lan passe à travers un operateur tiers, il en revient que c'est
> le
> plus souvent un VLAN qui traverse un réseau tiers, tout simplement.
>
> -Message d'origine-
> De : Julien OHAYON [mailto:j.oha...@xoxo.fr]
> Envoyé : mercredi 9 octobre 2013 19:39
> À : Bruno CAVROS / SKIWEBCENTER
> Cc : Antoine Durant; frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] LAN2LAN explication(s)
>
> Bonjour,
>
> Quel est l'intérêt de ne pas illuminer la fibre directement alors ?
>
> Moi aussi je ne connais pas trop désolé
>
> Julien
>
> > Le 9 oct. 2013 à 19:27, "Bruno CAVROS / SKIWEBCENTER"
>  a écrit :
> >
> > Pour symboliser c'est "un long câble réseau", c'est tout..
> >
> > -Message d'origine-
> > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
> de Antoine Durant
> > Envoyé : mercredi 9 octobre 2013 19:12
> > À : frnog-t...@frnog.org
> > Objet : [FRnOG] [TECH] LAN2LAN explication(s)
> >
> > Bonjour,
> > J’entends de plus en plus parler d’interco Lan2Lan (L2) pour
> > aller chercher par exemple des peerings et transit ailleurs que ou est
> situé le
> > fournisseur de transit principal.
> > Ne connaissant pas du tout cette techno je m’en remets
> > entièrement à vous et à vos connaissances …
> > Quel est globalement le cout d’un L2 (disons de 100M) ?
> > Comment chiffre t'on cela ?
> > Admettons que je monte un L2 entre mon site principal et un
> > site secondaire pour aller chercher un transitaire, que dois-je mettre ou
> bout
> > du site secondaire ??
> > Un simple switch qui permet de brancher le port du
> > transitaire et par la suite faire la configuration de la session BGP sur
> mon
> > routeur du site principal ?
> > Ou alors, il faut mettre un second routeur sur le site
> > secondaire et utiliser le lien L2 entre les deux routeurs donc R1 sur
> site
> > principal avec transit A et R2 sur site secondaire avec transit B.
> > Merci par avance a ceux qui prendront le temps de me donner
> > une explication sur le fonctionnement du L2.
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] internet Completel down au Netcenter SFR de Lyon/Venissieux

2014-06-06 Par sujet Eric Fourage 
bonjour,

Gros crash internet Completel depuis 8h30 ce matin pour les clients
Completel au Netcenter SFR de Lyon. Quelqu'un d'autre d'impacté ?

Apparemment ils ne s'en sortent pas...


Eric FOURAGE

--
envoyé de mon PC

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] internet Completel down au Netcenter SFR de Lyon/Venissieux

2014-06-06 Par sujet Eric Fourage 
Merci de vos retours, je suis aussi dans la salle 0A28 et toujours HS... on
doit être sur le mauvais équipement !

Quelle idée aussi d'aller sur les Clouds et de vouloir bosser le vendredi,
hein ;-)


​Eric​


Le 6 juin 2014 12:33, Benoit MARTIN  a écrit :

> Nous avons une baie dans cette salle, nous n'avons pas été impacté, ni
> prévenu ... (forcément ..).
>
> Voie A et B sont OK sans coupures. Idem pour collecte completel.
>
>
> Benoît MARTIN
> Gérant Associé
>
> Hasgard
> 17 rue Royale
> 69001 Lyon
>
> Tél :   +33 (0) 4 72 52 98 81
> Fax :   +33 (0) 4 72 17 77 64
> Email   :   bmar...@hasgard.net
> Skype   :   bmartin1492
> Site Internet   :   www.hasgard.net
> SIRET   :   43539392100042
> RCS :   Bourg-En-Bresse B 435 393 921
> TVA INTRA   :   FR48435393921
>
> Hasgard AS61026 | Bureau d'étude d'ingénierie | Accès Internet &
> Téléphonie | Opérateur Télécom déclaré à l'ARCEP (L 33.1) | Hébergeur :
> Netcenter Vénissieux (69) & Maxnod (01) | Infogérance & Maintenance | Apple
> Consultants Network
>
> Le 06/06/2014 12:15, Nicolas G a écrit :
>
>  Bonjour,
>>
>> Ici, 10 minutes de coupure vers 11h30 pour une baie hébergée en salle
>> 0A28,
>> c'est revenu assez rapidement,
>>
>> Cordialement,
>>
>> Nicolas G
>>
>>
>> 2014-06-06 12:06 GMT+02:00 Eric Fourage :
>>
>>  bonjour,
>>>
>>> Gros crash internet Completel depuis 8h30 ce matin pour les clients
>>> Completel au Netcenter SFR de Lyon. Quelqu'un d'autre d'impacté ?
>>>
>>> Apparemment ils ne s'en sortent pas...
>>>
>>>
>>> Eric FOURAGE
>>>
>>> --
>>> envoyé de mon PC
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>>  ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Eric Fourage 
bonjour à tous,

J'ai constaté que peu de FAI ADSL/cable français renseignent les records
SPF dans le nom de domaine de messagerie de leurs abonnés.
Outre le fait que ne ne comprends pas bien cette situation, c'est très
gênant avec les antispam Google (Gmail / Postini) et pour les inbox de
nos utilisateurs (PME Fr de qq milliers d'utilisateurs/~300 "agences").
Sauf lacune de ma part, je n'en vois pas la raison si des spécialistes
de la question ou les admin/postmaster concernés peuvent m'éclairer...


existence des records SPF:

sfr.fr  OK
bbox.fr   OK
bouyguestel.fr  non
orange.fr / wanadoo.fr non
free.fr  non
numericable.frnon
dartybox.fr   non



Eric

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Eric Fourage 
Le 26 avril 2012 14:00, Stephane Bortzmeyer  a écrit :

> On Thu, Apr 26, 2012 at 01:29:47PM +0200,
>  Eric Fourage  wrote
>  a message of 28 lines which said:
>
> > c'est très gênant avec les antispam Google (Gmail / Postini) et
> > pour les inbox de nos utilisateurs (PME Fr de qq milliers
> > d'utilisateurs/~300 "agences").
>
> La seule solution est que leurs clients demandent...
>

zut je suis chez SFR !!


>
> > Sauf lacune de ma part, je n'en vois pas la raison
>
> Incompétence, paresse, autre-chose-à-faire, prévu-pour-bientôt,
> etc. Beaucoup de gros FAI ne monitorent absolument pas leurs serveurs
> de messagerie. Sans parler de lire le courrier envoyé à abuse :-)
>
>
à mon avis s'ils nous lisent ils ont compris ;-)

Le pire c'est qu'avec Orange on a bien des contrats/prestas avec OBS mais
pas Orange gd public, et les hotline niv1 ne sont pas les meme et
refusent/savent pas transferer le ticket !
Quelqu'un aurait un contact au support tech Orange (gd public) ?

Eric

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Eric Fourage 
mais "normalement" avec un ?all il ne devrait pas y avoir de rejets, en
tous cas chez les providers mail serieux ?
concernant Gmail c'est plutot l'absence de records qui augmente les chances
d'être rejetté ou mis en quarantaine/spams.

Eric

Le 26 avril 2012 14:28, Laurent CARON  a écrit :

> On Thu, Apr 26, 2012 at 01:29:47PM +0200, Eric Fourage wrote:
> > J'ai constaté que peu de FAI ADSL/cable français renseignent les records
> > SPF dans le nom de domaine de messagerie de leurs abonnés.
>
> Bonjour,
>
> Je pense qu'ils ne le font pas pour 2 raisons (principalement):
>
> - Paresse, non-volonté, ... on peut appeler ça de 1001 manières
>  différentes
> - Simplicité (la théorie du moindre emmerdement):
>Si tu renseigne SPF pour @${FAI_DE_MME_MICHU} tu va devoir gérer les
>- mon mail envoyé à ${MON_COUSIN}@gmail.com n'est pas parvenu
>- Madame Michu, vous n'avez pas parametré le bon sevreur SMTP sur
>  votre smartphone.
>- Le quoi ?
>- Votre serveur SMTP
>- Si c'est comme ça, vous êtes mauvais, je résilie pour aller chez
>  ${FAI_DES_BISOUNOURS}
>
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Eric FOURAGE

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-27 Par sujet Eric Fourage 
Le 27 avril 2012 00:57, Nicolas Limage  a écrit :

> Le 2012-04-26 14:53, Eric Fourage a écrit :
>
>  mais "normalement" avec un ?all il ne devrait pas y avoir de rejets, en
>> tous cas chez les providers mail serieux ?
>> concernant Gmail c'est plutot l'absence de records qui augmente les
>> chances
>> d'être rejetté ou mis en quarantaine/spams.
>>
>
> Le problème est essentiellement historique.
>
> Comme tout le monde a été habitué à avoir un SMTP de FAI "open relay"
> depuis
> le réseau de celui-ci (essentiellement pour ne pas se prendre la tete avec
> les clients), et que toutes les documentations ont été imprimées comme ca,
> la situation va avoir du mal à changer (toujours pour éviter la prise de
> tête)
>
> Tant que chaque "fournisseur de mail" ne fournit pas un serveur sortant
> avec du SMTP authentifié, on aura toujours besoin de ce relais SMTP des
> FAI.
>
> Mais avoir un serveur sortant, ça prend du temps, des ressources,
> et ca oblige à gérer toutes les problématiques de spam sortant, bref la
> question qui va émerger est : "pourquoi se prendre la tête alors qu'on peut
> s'en passer ?
>
> Au niveau des FAI, c'est plus simple de filtrer sur les IPs que de mettre
> en
> place une authentification. Et limiter les envois à son réseau, ça évite
> aussi
> les problèmes de spammeurs extérieurs.
>
on est bien d'accord


> Sans cette condition de fournir un SMTP sortant, le fournisseur de mail
>
"... de fournir un SMTP sortant authentifié"

ne peut pas contrôler les IPs qui émettront des emails avec son domaine,
> ce qui empêche de mettre en place une politique stricte SPF et DKIM.
>
sauf que justement SPF prévoit ça avec un softfail/none sur les records
~all / ?all 


> Avoir des politiques strictes et dropper des mails va aussi créer
> des plaintes utilisateurs là où il n'y en avait pas.
>
mais les rejets/drops sont du fait des messagerie du destinataire, pas du
FAI "source", c'est à eux qu'il faut se plaindre !


> Donc aujourd'hui, ce type de mécanismes reste, à mon avis, pour les FAI,
> plus indicatif qu'autre chose, mais toujours bon à donner à manger
> à un antispam pour l'aider à améliorer ses décisions.
>

tout le monde y gagne à le mettre en place, à condition de le faire
correctement coté FAI, et de l'interpréter comme il se doit coté récepteur
(antispam).


> --
> Nicolas Limage
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Eric FOURAGE
5 av. de la république
69160 TASSIN-LA-DEMI-LUNE
gsm: 06 03 35 80 81
tel: 09 51 31 44 14

---
Liste de diffusion du FRnOG
http://www.frnog.org/