major rework

2022-04-24 16:03:30 +02:00 · 2022-04-24 16:03:30 +02:00 · 79b935e5b0
commit 79b935e5b0
parent c96aef4500
48 changed files with 41 additions and 209 deletions
--- a/content/posts/network/ipv6-status.md
+++ b/content/posts/network/ipv6-status.md
@ -0,0 +1,72 @@
+++
+author = "Yann Verry"
+categories = ["network", "ipv6"]
+date = 2020-02-21T23:42:00Z
+description = ""
+draft = false
+image = "__GHOST_URL__/content/images/2020/04/ipv6_adopt.jpg"
+slug = "ipv6-status"
+tags = ["network", "ipv6"]
+title = "IPv6 status"
+
+++
+
+
+Je test régulièrement de naviguer en "ipv6-only". Bien que cela progresse surtout du côté des GAFAM ce n'est toujours pas glorieux. La faute à qui ? comme d'habitude sans réel volonté du fournisseur ça ne fonctionne pas.
+
+Pourtant professionnellement je tente d'activer ipv6 partout et ce n'est pas un succès, il y a toujours un third party un petit bout d'une API qui ne fonctionne pas et rend le site inopérent. Les CDN propose tous la fonctionnalité dans une checkbox qu'il suffit de cocher (ou terraformer).
+
+Petit état des lieux
+
+## Divertissement en musique
+
+Côté musique c'est simple, mise à part google music qui affiche le site, les contrôle et ... pas de music. Rien ne fonctionne. Bon ce n'est pas mieux voir pire chez les autres: Deezer; spotify; soundcloud; jamendo; apple music ...
+
+{{< figure src="__GHOST_URL__/content/images/2020/02/Screenshot-2020-02-21-at-23.45.45.png" caption="apple music ipv6 only" >}}
+
+Impossible d'écouter de la musique en streaming c'est un échec total.
+
+## OTT
+
+Sur la vidéo c'est mieux sans être la folie. Merci netflix qui fonctionne à 100%, même chose pour google play film, Amazon Prime pas du tout MyCanal rien, un peu de 6play mais sans aboutir à une vidéo qui marche (quand je dis on tente mais #fail).
+
+## Radio
+
+Mise à part celle ou j'en ai la charge, rien ...
+
+## Presse
+
+Tout ce qui est papier ne marche pas, uniquement en ligne mise à part frandroid avec encore des bugs car un sous domaine n'est pas compatible. Je n'ai rien trouvé
+
+## Social
+
+Côté réseaux sociaux, facebook marche. C'est une volonté depuis longtemps affiché, l'ensemble de leurs réseaux interne est v6 only.
+
+{{< figure src="__GHOST_URL__/content/images/2020/02/twitter_overload.jpg" >}}
+
+Twitter est un fail complet
+
+## Jeux
+
+Je ne suis pas un grand joueur, battle.net ne fonctionne juste pas tout comme Steam.
+
+Shadow oui ! cocorrico, bon malheureusement si je met ma CB ça ne marchera pas mais on va dire qu'en régime de croisière oui
+
+## Search Engine
+
+Bon ben la il y a que google et rien d'autre
+
+## Vrac Pro
+
+En vrac pro je n'ai PAS de site web/back office qui fonctionne en v6. Seul FranceIX marche, pas de Orange; Cogent; Zayo (même si ça semblais avoir un semblant ça fini par #fail)
+
+## Telco
+
+Free (Fixe, le mobile c'est KO) comme Orange sont compatible mais pas leurs espace abonnéSFR et Bouygues KO
+
+## Conclusion
+
+Dire qu'il n'y a pas de service accessible en ipv6 est une réalité, on ne peux pas se passer du protocole legacy qu'est ipv4. Quand je vois que même des sites pro orienté réseaux ne sont pas compatible la route est longue
+
+Je vais tenter d'update ce billet avec plus de section mais c'est navrant.
+
--- a/content/posts/network/mikrotik/prometheus-exporter.fr.md
+++ b/content/posts/network/mikrotik/prometheus-exporter.fr.md
@ -0,0 +1,30 @@
+++
+author = "Yann Verry"
+date = 2021-10-09T20:47:56Z
+description = ""
+draft = false
+image = "https://images.unsplash.com/photo-1579719558505-ad4a5fee0847?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=MnwxMTc3M3wwfDF8c2VhcmNofDJ8fG1vbml0b3Jpbmd8ZW58MHx8fHwxNjMzODExOTEx&ixlib=rb-1.2.1&q=80&w=2000"
+slug = "prometheus-exporter"
+title = "MikroTik 7.1 - Prometheus exporter"
+
+++
+
+
+J'ai acheté il y a plusieurs mois un mikrotik (hex S) pour faire toute la partie routage de mon accès internet à la maison. Auparavant c'était mon serveur linux. Très fan du VPN wireguard je l'ai upgrader en version _RouterOS_ 7.1. Maintenant il faut le superviser et grapher ce qu'il s'y passe.
+
+Qui dit équipement réseau dit très souvent _SNMP_ mais ce n'est pas du tout mon mood. Je préfère des choses plus moderne. Bonne nouvelle la version 7.x introduit enfin une [API REST](https://help.mikrotik.com/docs/display/ROS/REST+API) en lieu et place de [l'ancienne](https://help.mikrotik.com/docs/display/ROS/API) un peu freestyle.
+
+Ma stack de monitoring est sous [VictoriaMetrics](https://victoriametrics.com/community.html) (prometheus compatible), il me faut donc un exporter prometheus qui .... n'éxistait pas encore !
+
+J'ai donc codé un petit exporteur en python permettant de récupérer tout ce qui se passe en terme d'interface ainsi que l'utilisation du CPU
+
+* https://git.verry.org/yann/routeros-exporter
+
+Si il manque quelque chose les PRs sont les bienvenue !
+
+
+
+
+
+
+
--- a/content/posts/network/vxlan-sur-vpn.md
+++ b/content/posts/network/vxlan-sur-vpn.md
@ -0,0 +1,61 @@
+++
+author = "Yann Verry"
+categories = ["network", "vpn"]
+date = 2020-04-19T14:07:25Z
+description = ""
+draft = false
+image = "__GHOST_URL__/content/images/2020/04/fiber-4814456_1920.jpg"
+slug = "vxlan-sur-vpn"
+summary = "Freebox en télétavail comment faire ? grâce à du vpn et vxlan"
+tags = ["network", "vpn"]
+title = "Première partie: Une Freebox en remote avec du VxLAN sur vpn"
+
+++
+
+
+Nous sommes actuellement tous confiné, pour continuer à télétravailler il y a certains besoins plus difficile à apporter qu'un simple VPN.
+
+Notamment dans les équipes j'ai des développeurs Freebox. Et pour développer ils ont besoin de quoi ? Eh bien ... d'une freebox. Ok facile quand tu es abonné @home chez Free mais dans le cas contraire comment faire ?
+
+On va donc transporter le réseau Free n'importe ou dans le monde grâce à un VPN, ici wireguard et des vlan grâce à vxlan.
+
+## Fonctionnement de la box
+
+Tout d'abord la freebox player a besoin de deux types de connectivités. La première classique c'est votre connexion Free (et pas une autre hein).La seconde le réseau IPTV sur un vlan taggé : vlan100.
+
+## Prérequis
+
+Il y a une partie dis "client" et un serveur qui lui possède l'abonnement Free.En matériel pour le client il faut donc :
+
+* Deux switchs (un de chaque côtés) qui comprend les vlan, switch dis donc manageable. Il faut compter une petite centaine d'euros pour un truc pas extra mais qui fait le job.
+* Deux serveurs, type RasbperryPI sous linux
+* Une Freebox Player et serveur
+
+Plusieurs VLAN avec des subnet associés:
+
+* Vlan100 (géré par Free on laisse tel quel)
+* Vlan99, réseau Free domestique
+* Subnet des opérateurs principaux français qui ne doit pas overlap:- [Orange](https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-avance-reseau-nat-pat-ip/gerer-votre-adresse-ip/adresses-ip-les-elements-a-connaitre-_238182-760947) 192.168.1.0/24- [SFR](https://assistance.sfr.fr/internet-tel-fixe/box-nb4/configurer-acces-interface-web-administration.html) sur nb4 192.168.1.0/24- [Bouygue](https://www.assistance.bouyguestelecom.fr/internet-bbox/installation-bbox/connexion-installation-interface-administration-bbox) 192.168.1.0/24
+
+Bonne nouvelle ils utilisent tous le même subnet par défaut.Mais cela impose donc côté serveur de modifier. On va s'occuper de faire uniquement l'avant dernier octet (192.168.x.0/24). Pour cela se rendre sur l'interface [http://mafreebox.freebox.fr/](http://mafreebox.freebox.fr/) ouvrir réseau local depuis _paramètres de la freebox_
+
+{{< figure src="__GHOST_URL__/content/images/2020/04/fbx_subnet.png" caption="Freebox Routeur / réseau local" >}}
+
+Il faut aussi modifier la partie range DHCP etc ...
+
+## Physique "client"
+
+On branche donc le tout sur notre switch, rpi et freebox et un uplink avec notre box d'un autre opérateur.
+
+{{< figure src="__GHOST_URL__/content/images/2020/04/Freebox@remote-2.png" >}}
+
+Il faut donc tagguer le vlan100 vers le rpi ET la freebox.Il faut un second VLAN pour transporter le vlan Free. On le propagera égalemment sur le poste du dev afin de lui permettre de piloter la/les freebox.
+
+## Physique "serveur"
+
+C'est presque plus simple, un serveur type rpi aussi toujours un switch manageable et on tag le vlan100 sur la freebox server et notre rpi
+
+## Conclusion
+
+Voila nous avons notre infra physique prête pour transporter notre player n'importe ou dans le monde. La prochaine partie s'attelera sur la partie serveur avec le vpn et surtout vxlan
+
--- a/content/posts/network/wireguard/index.md
+++ b/content/posts/network/wireguard/index.md
@ -0,0 +1,52 @@
+++
+author = "Yann Verry"
+categories = ["vpn"]
+date = 2019-02-11T22:01:46Z
+description = ""
+draft = false
+image = "__GHOST_URL__/content/images/2019/02/35366000233_0580617b42_h.jpg"
+slug = "wireguard"
+summary = "Wireguard un vpn facile"
+tags = ["vpn"]
+title = "Wireguard, le vpn simple et rapide"
+
+++
+
+
+{{< figure src="__GHOST_URL__/content/images/2019/02/640px-Logo_of_WireGuard.svg-1.png" >}}
+
+Ce nouveau VPN à la mode ou _linus torvalds_ himself en fait des éloges sur l'élégance du code est rien que pour cette raison quelque chose qu'il faut regarder.
+
+## La promesse
+
+Un VPN enfin rapide à setup, facile d'utilisation et sécurisé. Pour connaître IPSec, la joie des phase1, puis 2, passage des clés etc ... Ensuite en alternative nous avons OpenVPN, bien mignon avec une gestion de la PKI à avoir, un code décrié pour sa qualité qui semble disons aléatoire.
+
+La performance est aussi de mise, avec un module noyau, l'intégration de courbe elliptique et des jeux d'instructions CPU la charge processeur doit être faible au vu des débits transféré
+
+Bref quand je vois _facile_ je demande à voir !
+
+## La vrai vie enfin!
+
+Le plus long dans l'installation de ce VPN est le fait que wireguard n'est pas encore inclus dans le kernel mainline et il faut en passer par DKMS. Chose ultra facile, la configuration s'éffecute en quelques lignes avec
+
+* La définition de l'interface, son IP, sa clé privée
+* La définition des peers distant, IP autorisé, endpoint, clé pub
+
+**TADA**! rien d'autre, je vous laisse vérifier par vous même
+
+## Les moins
+
+Bon Il y a des moins il faut l'avouer.
+
+Tout d'abord avec mon utilisation massive d'ipv6, immédiatement j'ai vu un problème sur la MTU qui est arbitrairement défini à 1400 en v4 ou en v6 ce qui pose donc un problème :
+
+> ip link set wg0 mtu 1380
+
+Ensuite pas de mode _TCP_ et il y a encore des hôtels avec le port 443 ouvert et c'est tout, dommage [il éxiste des solutions à base de _socat_ mais peu élégant]
+
+Un debug parfois douloureux, l'outil étant encore en version préliminaire il y a de gros manque et la documentation est faiblarde.
+
+## Conclusion
+
+Il faut tester, je pense que dans des cas simples c'est très pratique et l'enfer du vpn n'éxiste plus avec wireguard et c'est une bonne chose, pour la production je dirais qu'il faut attendre encore un peu
+