Auteur Sujet: Tunnel GRE sur le serveur LaFibre.info pour récupérer une IPv4 MilkyWan  (Lu 11842 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tunnel GRE
« Réponse #24 le: 11 septembre 2020 à 22:42:17 »
Kgersen, j'espère que tu ne sais pas comment beaucoup d'entreprises interconnectent leurs public/private cloud, et même sur du k8s avec Azure, AWS ou autres bullshiteries :)

et ? ils font donc leur terminaison GRE directement dans le serveur web ou le serveur SQL ?  ::)

L'encapsulation "peu orthodoxe", j'ai l'impression d'être revenu dans les années 2000 serieux :)

C'est pas le GRE en lui-même qui est peu orthodoxe.

C'est d'aller proposer ça a quelqu'un comme Vivien et de lui faire installer directement dans son serveur web.

et je vois pas le rapport avec les années 2000 ... on faisait très souvent du GRE dès avant l'an 2000 pour du site a site sur Numéris par exemple. C'est la bullshiterie des vendeurs de MPLS que tu mentionnes ?

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Tunnel GRE
« Réponse #25 le: 11 septembre 2020 à 23:01:56 »
kgersen, pourquoi tu crois que cloudfare propose Argo?

Peut être que resté en ligne pendant un DDoS est un peu plus compliqué qu'avoir un reverse proxy en front ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tunnel GRE
« Réponse #26 le: 11 septembre 2020 à 23:07:18 »
kgersen, pourquoi tu crois que cloudfare propose Argo?

Peut être que resté en ligne pendant un DDoS est un peu plus compliqué qu'avoir un reverse proxy en front ?

? j'ai pas dit qu'il suffit d'avoir un reverse proxy en front pour resté en ligne pendant un DDoS ? on doit pas se comprendre.

L'idée du RP était que la partie IPv4 'pète' sans planter tout le serveur web qui restera accessible en IPv6.



thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Tunnel GRE
« Réponse #27 le: 11 septembre 2020 à 23:23:45 »
Pourquoi un tunnel GRE ?
Parce que lafibre.info n'a pas une infra en propre et ne peut donc pas faire annoncer son IP par l'infrastructure de Volterra.

Pourquoi alors terminer chez Milkywan ?
Milkywan a une infra en propre qui peut couper tous les transits sauf Volterra (ou un autre fournisseur d'anti ddos, ce n'est pas important ici) et donc survivre au DDoS.


Ce serait le même problème avec CloudFare: il faut que l'endpoint ne soit pas accessible directement d'Internet et masscan marche très bien en IPv4.
Donc soit tu as l'argent pour une infra réseau et tu t'interconnecte directement avec ton provider anti-ddos soit tu monte des tunnels GRE.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Tunnel GRE
« Réponse #28 le: 11 septembre 2020 à 23:40:12 »
Nan mais le truc marrant c'est que ça choque kgersen que Vivien termine un tunnel GRE sur son serveur dédié. J'imagine que quand on raisonne en mode devoups avec des conteneurs partout et une fragmentation ultra hyperscale de l'infra, ça peut mindblown.

Maintenant la réalité, c'est que lafibre.info en IPv4, ça fait 10mbps au 95th centile, a peine 40 en pic, et qu'un tunnel GRE ça marche très bien et c'est pas crade. GRE c'est un des protocoles réseau les plus KISS et les plus éprouvés d'internet.

K-L

  • Abonné SFR THD (câble)
  • *
  • Messages: 4 651
  • HFC 100 Mbs / FTTH 1Gbs sur Oullins (69)
    • Cable Rhone
Tunnel GRE
« Réponse #29 le: 11 septembre 2020 à 23:53:38 »
"devoups", "ultra hyperscale", "mindblown", "kiss"

Les jeunes, vous êtes des pros dans le domaine du réseau mais coté respect de la langue natale, y a encore un peu de boulot ;)

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Tunnel GRE
« Réponse #30 le: 12 septembre 2020 à 00:16:10 »
Je pense le devoups volontaire de la part de Hugues.
C'est toujours rigolo pour le jeune vieux c*n que je suis de voir une infra tombé à cause des outils de la culture devops :)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Tunnel GRE
« Réponse #31 le: 12 septembre 2020 à 00:33:31 »
Oui c'est volontaire, je n'ai pas cette vision. Mais je bosse aussi sur du k8s et sur des infras haute dispo, juste, je ne m'enferme pas dans le disneyland des solutions d'Amazon, Cloudflare voir Scaleway :)

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 5 971
Tunnel GRE
« Réponse #32 le: 12 septembre 2020 à 07:21:43 »
Je pense qu'il y a une volonté de donner une place à des acteurs moins connus qu'OVH et Scaleway.
+1
Franchement, les attaquants ont gagné si ça finit sur un serveur chez OVH ou Online. Je pense que vivien y tient a son petit serveur dans la campagne :)
+1
J'adore la tournure "village gaulois" que prend cette histoire. Oui, avec des moyens semi-amateur, semi-pro et beaucoup de partenariats entre personnes motivées, Vivien, Hugues-MilkyWan, Netsyst et Voltera arrivent à mettre en place une solution peu conventionnelle, et qui est pourtant pragmatique et qui fonctionne, quand on a compris toutes les contraintes du serveurs Lafibre.info.
J'apprécie beaucoup la démarche.

Je n'ai jamais dit que "non orthodoxe" = ne pas utiliser Cloudflare. C'est le tunnel GRE qui n'est pas orthodoxe.
un GRE se terminant dans un serveur web ?! un grand classique ?!
Mais qu'est-ce qu'on s'en moque qu'une solution ne soit pas "habituelle/standard/classique"? Tu avances souvent ce genre d'arguments. Mais on ne fait pas quelque chose juste parce que les autres font pareil, ça n'aurait pas de sens (dans une logique normale non Shadokienne).
En quoi la solution "tunnel GRE qui termine directement sur une machine" (bien que non conventionnelle) peut poser un problème? Le tunnel GRE est l'implémentation la plus basique d'un tunnel, ça marche! Ressource CPU négligeable, configuration statique, etc... Qu'est-ce qui te dérange avec ça?

Leon.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tunnel GRE
« Réponse #33 le: 12 septembre 2020 à 11:39:33 »
Ce serait le même problème avec CloudFare: il faut que l'endpoint ne soit pas accessible directement d'Internet et masscan marche très bien en IPv4.
non car Cloudflare supporte IPv6 (client ipv4 --> cloudflare --> ipv6 --> lafibre.info).

Je rappelle qu'on a tout ce débat a 2 balles parce que le provider Volterra vis encore au 20eme siecle et ne propose pas IPv6.

Pour ce qui est du débat sur GRE, vous apprendrez avec l'age d'avoir un peu d'empathie pour l'utilisateur final et de vous mettre 'hors de l’équation' dans le choix d'une solution.

Ce n'est pas parce que vous êtes des cadors du Net que les solutions que vous proposez sont utilisables ou acceptables par les non cadors. Une bonne solution est une solution qui prend en compte qui va s'en servir et l'aspect humain.
Mon propos n'était que la, j'essai de me mettre a place de Vivien et surtout de ne pas faire en sorte que Vivien dépende d'un tel ou d'un tel au point de devoir avoir son numéro direct en cas de problème...Pour moi ce n'est pas acceptable comme solution (parce que je l'ai fait dans le passé et ça finit en général mal quelque soit les bonnes intentions du moment).

Si on solutionne mon problème en me rendant dépendant d'autres personnes cela ne m'aide qu'a court terme.

Apres si vous êtes 100% focus que sur l'aspect technique de GRE sans prendre en compte aucun paramètre humain c'est clair que cette discussion ne va nulle part.

Et si on veut revenir sur la technique, Volterra ce n'est pas un reverse proxy mais un principalement un "load balancer pour applications a la sauce k8s", pas vraiment non plus ce qu'il y a de plus adapté (d'ailleurs Vivien confirme qu'il galère a configurer ce truc tellement l'UX n'est pas adapté a son souci).

ps: et pendant ce temps personne ne l'aide pour son souci d'email , vous attendez quoi pour lui mettre un tunnel GRE pour que le site puisse envoyer des mails...

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Tunnel GRE sur le serveur LaFibre.info pour récupérer une IPv4 MilkyWan
« Réponse #34 le: 12 septembre 2020 à 12:07:40 »
Je rappelle qu'on a tout ce débat a 2 balles parce que le provider Volterra vis encore au 20eme siecle et ne propose pas IPv6.
Pas du tout, t'as vraiment rien compris.

Le souci c'est pas que Volterra ne supporte pas IPv6 : Il n'y a pas besoin de protection IPv6 à date, les attaques ne se font qu'en v4.
Le souci c'est de protéger le lien entre le serveur de Lafibre et Internet.
Au début, il passait par Adeli pour joindre Volterra, les attaquants ont trouvé l'IP et attaqué Adeli.

Là, avec notre solution, on ne passe pas par internet au sens large, on est sur des routes via PNI ou peering direct entre 3 acteurs. Donc très peu vulnérable à un DDoS.

Pour ce qui est du débat sur GRE, vous apprendrez avec l'age d'avoir un peu d'empathie pour l'utilisateur final et de vous mettre 'hors de l’équation' dans le choix d'une solution.

Ce n'est pas parce que vous êtes des cadors du Net que les solutions que vous proposez sont utilisables ou acceptables par les non cadors. Une bonne solution est une solution qui prend en compte qui va s'en servir et l'aspect humain.
Mon propos n'était que la, j'essai de me mettre a place de Vivien et surtout de ne pas faire en sorte que Vivien dépende d'un tel ou d'un tel au point de devoir avoir son numéro direct en cas de problème...Pour moi ce n'est pas acceptable comme solution (parce que je l'ai fait dans le passé et ça finit en général mal quelque soit les bonnes intentions du moment).
Mais purée, on parle d'un forum sur la fibre et sur le réseau, pas d'un site vital, si ça coupe 10 minutes, ça coupera 10 minutes. C'est bien plus sympa de collaborer entre acteurs que de se foutre chez un énième big corp, vu que le site ne fait manger personne, n'a rien a vendre et n'est vital pour personne.

Et si on veut revenir sur la technique, Volterra ce n'est pas un reverse proxy mais un principalement un "load balancer pour applications a la sauce k8s", pas vraiment non plus ce qu'il y a de plus adapté (d'ailleurs Vivien confirme qu'il galère a configurer ce truc tellement l'UX n'est pas adapté a son souci).
Eh oui, quand on va ailleurs que chez les big corp, l'ergonomie est moins bonne, il faut faire des choix. Mais maintenant que c'est conf, ça marche :)
Et franchement, un reverse proxy ça reste un reverse proxy, loadbalancer ou pas.


ps: et pendant ce temps personne ne l'aide pour son souci d'email , vous attendez quoi pour lui mettre un tunnel GRE pour que le site puisse envoyer des mails...
Je lui ai proposé une seconde IP sur son tunnel GRE tout pourri, mais il préfère passer par Adeli pour éviter de risquer une attaque qui couperait la partie web :)

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Tunnel GRE sur le serveur LaFibre.info pour récupérer une IPv4 MilkyWan
« Réponse #35 le: 12 septembre 2020 à 13:29:53 »
Pour l'IPv4 pour les mails, elle a un peu de retard, car Adeli travaille a une solution de black-listage automatique en cas de DDoS.
Je pensais avoir l'IPv4 jeudi dernier.

J'ai hésité à basculer sur l'IPv4 Netsyst que je pourrais configurer sur mon serveur, toutefois c'est plus risqué si il y a un DDoS, bref je pense que l'on va patienter avec encore quelques jours avec la solution acutelle ou seuls les mails qui peuvent partir en IPv6 partent (c'est à dire pas grand chose).

La solution sera plus résiliente au final qu'une solution CloudFare, avec l'IPv6 et l'IPv4 du forum chacun sur une patte différente du serveur (pour Cloudflare, une IPv4 était quand même nécessaire pour envoyer les mails  sur les serveurs d'où un point de vulnérabilité). L'IPv4 et l'IPv6 du forum utilisent des AS différents.

- IPv4 : AS35280 (Volterra) => AS57199 (MilkyWan) =Rezopole=> AS209097 (NetSyst) => Interface Gb/s du serveur Dell hébergé au Maxnod N°1

- IPv6 : AS43142 (Adeli) => Interface Gb/s du serveur Dell hébergé au Maxnod N°2

En plus cela montre un vrai cas où l'IPv6 répond avec une latence plus faible que l'IPv4. (mais la latence IPv4 reste assez faible)