Auteur Sujet: Tunnel GRE sur le serveur LaFibre.info pour récupérer une IPv4 MilkyWan  (Lu 11841 fois)

0 Membres et 1 Invité sur ce sujet

olppp

  • Abonné Free fibre
  • *
  • Messages: 167
  • + Red by SFR THD Villejuif 94
Edit: Hors-sujet suite à la mise en place d'un Tunnel GRE sur la seconde interface du serveur, pour récupérer une IPv4 MilkyWan protégée des DDoS volumétrique

Je pensais qu'il y avait un vpn entre la fibre.info et Voltera. Dommage que Voltera ne gère pas l'ipv6, cela permettrait ne n'utiliser que v6 sur le serveur.

vivien

  • Administrateur
  • *
  • Messages: 47 078
    • Twitter LaFibre.info
Tunnel GRE
« Réponse #1 le: 11 septembre 2020 à 16:19:14 »
L’architecture mise en place est un peu compliquée, mais j'ai déjà été plusieurs fois la cible des attaques et cela a donc une probabilité assez forte de se renouveler.

L'IPv4 au bout du tunnel est une IPv4 MilkiWan, annoncées par Voltera pour la protéger des DDOS volumétrique et un filtrage est prévu pour ne pas la rendre accessible d'internet, mais uniquement de MilkiWan et Volterra.

Ce type de protection (offert de base chez OVH / Swalway) peut être insuffisant face a des attaques de niveau 7, d'où une protection plus complète chez Volterra qui termine la connexion TLS ce qui permet de mettre en place des limites supplémentaires (j'ai fixé par exemple une limite à 1000 requetes par minute par IP - attention rien que la page d’accueil dépasse les 100 requêtes si le cache est vide, à cause des nombreuses petites images).

- IPv4 : AS35280 (Volterra) => AS57199 (MilkyWan) =Rezopole=> AS209097 (NetSyst) => Interface Gb/s du serveur Dell hébergé au Maxnod N°1

- IPv6 : AS43142 (Adeli) => Interface Gb/s du serveur Dell hébergé au Maxnod N°2

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tunnel GRE
« Réponse #2 le: 11 septembre 2020 à 17:03:56 »
Franchement moins y'a d’intermédiaires moins y'a de soucis futurs...
La tu as 3 opérateurs (ADELI, MW, Volterra) plus un tunnel GRE plus une config qui doit pas être 100% 'full self-service' j'imagine ?

J’espère que Volterra va rapidement supporté IPv6. Perso j'aurais été chez Cloudflare en attendant que Volterra soit a jour.

D'ailleurs rien ne t’empêche de mettre ton domaine 'lafibre.info' de suite chez Cloudflare histoire d'avoir un plan B activable en quelques secondes (en pratique ca va être a la TTL près des enregistrements)...T'as aucun avantage à avoir ton domaine chez OVH non ? Mieux vaut prévenir que guérir.

exemple Cloudflare: en 1 click tu peux proxifier un service web chez eux.


(en bonus t'as HTTP/2 et  même HTTP/3 sur UDP. Ils font ça chez Volterra ?)


vivien

  • Administrateur
  • *
  • Messages: 47 078
    • Twitter LaFibre.info
Tunnel GRE
« Réponse #3 le: 11 septembre 2020 à 17:48:53 »
Je regarde la possibilité d'avoir l'IPv4 protégée de MilkyWan en direct sur la seconde interface Ethernet de mon serveur (via Rezopole).

Cloudflare ne va pas empêcher que l'on attaque mon IPv4 Adeli de back-end, utilisée pour envoyée les mails du forum, non ?

Là, c'est un différentié dés le serveur avec un port Ethernet différent entre la partie protégée et celle qui n'est pas protégée.

alarig

  • AS204092 Association Grifon
  • Expert
  • *
  • Messages: 113
    • SwordArMor
Tunnel GRE
« Réponse #4 le: 11 septembre 2020 à 18:43:55 »
Et pourquoi pas juste mettre ça sur un serveur OVH ou Scaleway ? Ça évite ton usine à gaz de reverse proxy Volterra, tunnel MW et serveur Adeli.

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Tunnel GRE
« Réponse #5 le: 11 septembre 2020 à 18:51:52 »
Je pense qu'il y a une volonté de donner une place à des acteurs moins connus qu'OVH et Scaleway.

Par ailleurs je ne suis pas certain que ça résolve complètement le problème, notamment si le DDoS devient applicatif. D'ailleurs, est-ce qu'on sait à quel point les solutions anti-DDoS intégrées aux offres d'OVH et de Scaleway fonctionnent bien ?

alarig

  • AS204092 Association Grifon
  • Expert
  • *
  • Messages: 113
    • SwordArMor
Tunnel GRE
« Réponse #6 le: 11 septembre 2020 à 18:56:58 »
Dans ce cas mettre ça sur une machine directement chez Volterra ?

Sinon, je pense qu’ils doivent régulièrement se prendre des DDoS, donc je dirais que ça marche bien, sinon on verrait plus souvent des sites tomber.

manu035

  • Abonné Bbox fibre
  • *
  • Messages: 765
  • St Sauveur Villages (50)
    • manu035
Tunnel GRE
« Réponse #7 le: 11 septembre 2020 à 19:43:28 »
Pourquoi questionner les choix de Vivien ? A priori avec l'appui d'Hugues, ils ont fait un truc solide, qui n'est pas complexe pour le plaisir de l'être, mais à la hauteur du niveau de l'attaque subie.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Tunnel GRE
« Réponse #8 le: 11 septembre 2020 à 20:24:50 »
Franchement, les attaquants ont gagné si ça finit sur un serveur chez OVH ou Online. Je pense que vivien y tient a son petit serveur dans la campagne :)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tunnel GRE
« Réponse #9 le: 11 septembre 2020 à 20:31:18 »
Je regarde la possibilité d'avoir l'IPv4 protégée de MilkyWan en direct sur la seconde interface Ethernet de mon serveur (via Rezopole).

Cloudflare ne va pas empêcher que l'on attaque mon IPv4 Adeli de back-end, utilisée pour envoyée les mails du forum, non ?

Là, c'est un différentié dés le serveur avec un port Ethernet différent entre la partie protégée et celle qui n'est pas protégée.

Le DNS sur Cloudflare est juste pour avoir un plan B en cas de souci.
Actuellement ton DNS sur OVH ne t'apporte aucune valeur ajoutée: tu peux juste changer les enregistrements DNS , rien d'autre.

Si MW ou/et Volterra sont attaqués ou plantés tu pourra en quelques minutes basculer sur autre chose (tant que ton lien IPv6 est vivant).

Pourquoi questionner les choix de Vivien ? A priori avec l'appui d'Hugues, ils ont fait un truc solide, qui n'est pas complexe pour le plaisir de l'être, mais à la hauteur du niveau de l'attaque subie.

Il fait ce qu'il veut mais on peut aussi discuter et questionner le fait qu'il soit influencé par d'autres sur des choix non orthodoxes ou le mettant dans une situation de dépendance vis a vis de ces personnes.

L'important est qu'il ai tout bien compris qui fait quoi et les conséquences de ses choix. On veut juste s'assurer que c'est bien le cas et lui proposer des alternatives.


underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Tunnel GRE
« Réponse #10 le: 11 septembre 2020 à 20:35:55 »
questionner le fait qu'il soit influencé par d'autres sur des choix non orthodoxes ou le mettant dans une situation de dépendance vis a vis de ces personnes.
:o

C'est quand même inquiétant que ne pas utiliser Cloudflare devienne "non orthodoxe" (mais que fait l'inquisition ?! ah ouf, elle poste des messages !) et qu'utiliser les services d'un gros commercial comme Cloudflare ne soit pas considéré comme une dépendance.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tunnel GRE
« Réponse #11 le: 11 septembre 2020 à 20:53:06 »
C'est quand même inquiétant que ne pas utiliser Cloudflare devienne "non orthodoxe" et qu'utiliser les services d'un gros commercial comme Cloudflare ne soit pas considéré comme une dépendance.

Je n'ai jamais dit que "non orthodoxe" = ne pas utiliser Cloudflare. C'est le tunnel GRE qui n'est pas orthodoxe.

Car le point n°1 c'est Volterra qui ne fait pas d'IPv6. Pour moi c'était éliminatoire d'office. Je ne vois pourquoi aller faire un truc alambiqué juste pour garder Volterra ... c'est juste tordu.
Il pouvait passé chez Cloudflare en attendant que Volterra se mette au 21eme siècle. Le but n'était pas de rester chez Cloudflare. Il y avait urgence.

A terme et on en a déjà parler ici, c'était un Reverse Proxy (nginx, haproxy voir envoy) sur un VPS d'OVH.
Et je n'ai jamais mentionné d'aller mettre tout le serveur de lafibre.info chez OVH.

Apres on dépend forcement de quelqu'un. La il dépend de Volterra et de MW pour des choses non "self service" (qu'il ne peut faire lui-même via un interface web).

Et j'ai l'impression que certains considèrent ici Cloudflare comme un GAFAM, ce n'est pas absolument pas un GAFAM (tant qu'un GAFAM ne le rachète pas...). Et si demain Amazon ou Google rachètent Volterra il fait quoi ?