(quote:2090134:dvr-x) Ou alors on va rien demander aux développeurs et on va augmenter les tarifs, comme c’est le cas. L’énergie coutait déjà de l’argent avant et ca n’a jamais empêché tous les excès…
Malheureusement d’accord…
C’est que ce n’est pas encore assez cher alors.
Le
26/08/2022 à
08h
31
Franchement, ca ne m’étonne même pas. J’ai vu des trucs immondes dans ma vie, genre des requêtes lancées à chaque event applicatif qui faisaient des seqential scan d’une base d’1To… merci le framework… Mais bon, de nos jours, tout doit aller vite en terme de features, sauf que le premier truc qui saute, c’est l’optimisation, donc on met des machines surdimensionnées alors que ca pourrait tourner sur un raspberry pi, et j’exagère à peine.
Le
26/08/2022 à
07h
49
Moi je vois le bon côté, on va peut être arrêter le gaspillage de resources informatique et demander aux développeurs de faire du code efficient.
Quand je vois les requêtes SQL qui arrivent de framework où les développeurs ne manipule que des objets « magique »… y a largement moyen d’optimiser par 10 ou 100 l’efficacité…
Bon, j’ai testé avec la nvs295, mais elle ne boot pas en UEFI, et j’ai pas envi d’activer le mode de rétro compatibilité de peur de flinguer les paramètres de boot…
Le
25/08/2022 à
22h
38
(quote:2090081:brice.wernet) On est complètement hors sujet là … mais j’ai pareil: Homeassistant fait le relevé de la conso, et je regarde pour capter le signal de surconso et dire aux relais shelly de couper chauffe-eau et radiateurs électriques…
Tu me met l’eau à la bouche la. Bon par contre, je pourrais rien faire de mon coté… Vu que c’est une pompe à chaleur (3kW en pointe s’il fait ultra froid dehors) pour eau chaude et le chauffage, on peut pas l’éteindre et la rallumer à l’arrache… Et quand je dépasse, c’est avec les plaques à induction connecté en 32A, que je ne vais pas délester puisque je m’en sers… Bon après, tout ca, c’est surtout pour le principe, 6kVa, 9kVa, c’est 2€ par mois de différence… le plus important, c’est de consommer le moins possible en général.
J’ai maintenant une année complète de mesure de conso avec une granularité de 10s et je dépasse très rarement les 6kVa. Du coup, avec ton document, je vois déjà qu’à 1,1x la puissance, soit 6,6kVa (que je ne dépasse jamais) c’est “toléré”… et quand je dépasse, ca dépasse vraiment de peu, et moins que les 4mn requises avant de couper.
Franchement, je me tate pour passer à 6kVa (actuellement à 9, et j’étais à 12 au départ…)
Le
25/08/2022 à
12h
17
BlackLightning a dit:
Je ne parlais de jouer avec les paramètres de l’UEFI mais directement avec le sysfs du noyau. Je me souviens d’une CM sous AMD où mon noyau n’en avait rien à faire de mes configurations concernenant le CPU.
Mon grain de sel est qu’en faisant ceci sur mon laptop Intel (MSI GE65 Raidser 9SE, Fedora 36, GPU Nvidia idle (mais pas off).), j’arrive à gagner ~2h15 d’autonomie en faisant du surf (NXI, Gitlab, Wiki, Elsevier) et de la bureautique légère (LaTeX). Le même comportement avec l’UEFI (pourtant autant que je peux contrôler les coeurs logiques, le turbo et leur fréquence), je n’arrive qu’à ~1h45. L’écart me parait trop grand pour être simplement attribuer à des écarts de comportements et de mesures.
Autant j’utilise Linux 8h par jour sur mon PC pour bosser, sur les milliers de serveurs au boulot, mes truc maison, proxmox, rpi, domotique, etc… autant mon pc pour jouer, bah il tourne sous windows :) j’essayerai à l’occasion sur une live. Merci des pistes en tout cas.
Le
25/08/2022 à
12h
13
Le débat sur la facture, c’est que les anciens disjoncteurs mécanique déclenchait sur la puissance apparente, alors que les linky déclenchent sur la puissance réelle maintenant. A cela, il faut ajouter la marge d’erreur qui était accordé à l’époque, car moins précis.
Aujourd’hui, le déclencheur mécanique ne sert que de protection et est paramétré sur 60A quelque soit l’abonnement choisi, et c’est le linky, bien plus précis, qui “saute” électroniquement en cas de dépassement de la puissance souscrite.
Donc entre la réduction de la marge d’erreur, et le fait que les linky saute sur la puissance réelle font que certain foyer doivent passer à l’abonnement supérieur: 3kVa => 9kVa => 12kVa et donc payer plus cher.
A noter quand même que les linky ne sautent pas instantanément, mais autorise un dépassement ponctuel. C’est si ce dépassement dure que ca saute. Si quelqu’un a des infos précise à ce sujet, je suis intéressé.
Le
25/08/2022 à
08h
48
David_L a dit:
Pour ceux qui se posent la question. La consommation du serveur ici présenté (R9 5950X, 32 Go de RAM, un SSD en S-ATA) à la prise, au repos, sans modifications, sous Proxmox :
26 watts
31 watts ventirad à fond
56 watts avec le GPU et la carte réseau 25G installées
Merci, du coup, soit mon 3700x n’est pas efficient du tout, soit le reste de la config n’est pas super économe. Si j’al le temps ce midi, j’essayerai en remplaçant la 3060ti par une quadro nvs295 voir si c’est pas le GPU le problème.
Le
25/08/2022 à
08h
46
Merci pour l’explication d’une alimentation à découpage, j’ai une formation (lointaine) en électronique, mais je m’étais jamais intéressé au fonctionnement.
Par contre, à plus haut niveau, les alimentations a découpage de plus de xx watt sont PFC (norme FR ou EU, je sais plus). Le but du PFC est justement de rendre la charge résistive et donc ne fausse la mesure du wattmetre.
Concernant le relevé au compteur, je le fais déjà en quasi temps réel. J’ai bricolé un truc avec un Rpi Zero W + boitier optocoupleur et je récupère les infos sur le bornier contact sec:
la conso instantané en VA: j’attends d’avoir 10 valeurs (environ 9s), je fais la moyenne, et je stocke.
la conso cumulé en kWh: je stocke bêtement le compteur qui s’incrémente, et en faisant la différence entre 2 valeurs sur une durée donné, j’en déduis la conso moyenne en W sur l’interval. Alors c’est pas super précis car sur une conso faible, il s’incrémente vraiment doucement. Ca commence à être intéressant chez moi quand lissé sur 30s.
D’ailleurs, je constate des infos intéressantes sur le graph généré:
J’ai un énorme cosFi en “idle”, le nombre de petit transfo sans PFC j’imagine: 384 VA pour 150 W
Quand le frigo tourne: je monte a 450 VA (+70VA) pour 300 W (+150W). On dirait que le frigo compense (cosFi) pour le reste de la maison.
Quand la pompe à chaleur tourne, la c’est complètement compensé au niveau de la maison: 1.99kVa pour 1.98 kW.
Une petite conclusion, le jour ou Enedis facture la conso réel (VA) au lieu de la conso apparente (W), ca va piquer :)
Le
24/08/2022 à
22h
20
(quote:2089979:alex.d.) Moi je me méfie des wattmètres sur des charges non-résistives. Il faut déjà savoir ce qu’il mesure (puissance apparente, puissance active ?), et s’il est fiable si la consommation est hachée (ce qui est rarement le cas sur les wattmètres d’entrée de gamme). Parce qu’une alimentation de PC, c’est une belle alim à découpage, et le PFC ne donne un résultat convaincant qu’en charge, alors qu’en idle la courbe de courant reste dégueulasse, ce qui induit en erreur beaucoup de wattmètres bas de gamme.
C’est un wattmetre Belkin, qui est plutot fiable, même à de très basse conso. J’ai testé avec un chargeur 5W Apple, au 220V coté prise et avec un voltmetre USB coté USB et c’est plutot précis, la différence correspondant à de la perte lors de la conversion 220V->5V. Donc sur des puissance de 50W, j’ai pas vraiment de doute sur la précision. Et encore une fois, même avec une précision a 1W, l’ordre de grandeur ici, c’est plutot 25-50W.
Le
24/08/2022 à
22h
15
(quote:2089951:brice.wernet) Si tout a changé: CG, RAM, CPU, format de carte mère, alim … aucun moyen de dire que c’est le CPU. Le choix d’alim est déjà important pour avoir une conso à vide faible, surtout si on a monté une config avec une grosse alim - avec une alim de 200/300W, la conso à vide est plus facile à garder faible que avec une alim de 750W, et ce malgré les différents labels “80+”)
Je prends bien ca en compte, t’inquiète pas. C’est une BeQuiet straight power 11 750W, à 50W, on est a environ 75% de rendement, soit le même rendement que mon ancienne OCZ ModXStream 500W. Et même avec un écart de 10%, ca jouerait sur 3~4W maximum, pas 25~30W
J’ai retrouvé une vidéo qui montrait la conso réelle moyenné des Ryzen vs Intel: YouTube
En plus des infos qu’il montre, j’en ai repéré une autre intéressante, regarde le comparatif à 4:17, la 2ème colonne de nombre, c’est le minimum atteint: 12900k => 10W 5950x => 34W
Le Ryzen ne descend jamais en dessous de 34W. Alors que l’Intel 12900k tombe a 10W idle.
On retrouve les 25W que j’ai de différence à la prise entre mon r7-3700x et mon ancien i5-6600. Et je trouve ca bien plus important que la conso ponctuelle à 200W (AMD) vs 150W (Intel) en charge. Le idle, c’est 99% du temps.
Le
24/08/2022 à
08h
42
ragoutoutou a dit:
Perso, je suis passé sous AMD il y a un bout de temps pour mes labos (machines avec 3800X + B550 avec 128GiB de ram), et je ne vois ni consommation exagérée ni instabilité du matériel.
Les Ryzen en charge, a génération équivalente chez Intel, sont plus efficient. Après, pour certain, 35W ou 65W, ca ne les affoles pas plus que ca. Et si la machine travail, ce n’est plus un problème.
Le
24/08/2022 à
08h
39
(quote:2089932:brice.wernet) Si je constate aussi une conso supérieure, ce n’est quand même pas de ce niveau! As-tu le bon profil de performances sélectionné? As-tu changé d’alim entre les deux? Remarque: le 3700x semble être connu pour cela.
Ce qui m’a surtout dérangé pour passer à AMD pour le serveur, c’est une expérience malheureuse avec un 3400GE et une Asrock desk mini X300: sous proxmox, les SSD “disparaissaient” en route (avec kernel panic et tout le toutim) au bout de quelques secondes, quelques minutes, … J’ai tout revendu et suis resté sous Intel.
Non clairement, ce n’est pas la même config. Mais le CPU est en cause, j’en suis vraiment persuadé. Mon wattmetre donne la conso moyenne par seconde chaque seconde. Rien que bouger la souris, je passe de 60W idle à 120W… Avec l’ancienne config, je passais de 35W idle à environ 60W. (c’est de mémoire, je n’ai plus la config, mais l’ordre d’idée est là).
Le
23/08/2022 à
21h
58
gouge_re a dit:
Je serais personnellement intéressé par quelque chose de similaire avec CPU ARM ou RISC-V, pour une chauffe/conso électro plus adaptée à un home lab :)
Attention à ne pas confondre consommation et efficience.
Un HP Prodesk 400 G3 mini (que je possède) avec un CPU G3900T + 16 Go de RAM + NVMe + SSD SATA, ca consomme 7W idle avec un Proxmox qui tourne dessus. Mesuré au wattmetre à la prise 220V. Et en terme de puissance, c’est 3 fois plus performant qu’un RPi4 qui consomme 4W idle avec moins de RAM, et stockage SD.
Si l’objectif est vraiment l’ultra basse conso, je pense pas qu’il y ai beaucoup de choix en x86. Donc pour faire tourner un DNS de ou des bricoles domotique, ca passe. Sinon, je trouve qu’il y a du bon matos efficient en x86 également, avec le bénéfice d’avoir un UEFI, du PCIe pour le stockage, du SATA, de la RAM extensibe, etc…
Ce qui me fait toujours rire avec ces cartes sous windows 10, c’est qu’elles ont 2 ports réseaux et qu’il est toujours impossible de les utiliser en Trunk sous windows 10.
Ou est l’intérêt donc de vouloir installler Windows 10 dessus ou de mettre 2 ports dans ce cas la ?
Quelle idée de vouloir mettre windows sur un serveur… Et si vraiment y a pas le choix faut le mettre dans une VM sous Proxmox, comme ca, plus de problème de vlan.
Le
23/08/2022 à
21h
36
BlackLightning a dit:
Perso, quand je sais que la machine va rester idle pendant un temps (genre la nuit) et que je ne peux pas l’éteindre, j’interagis directement avec le pilote (chez Intel, mais je pense que c’est le cas aussi chez AMD) pour bloquer la fréquence à la fréquence min. du CPU, désactiver le turbo, mettre le gouverneur au minimum et parfois, désactiver l’HT. Je dis pas que c’est aussi bien que la mise en veille ou autres, mais j’ai noté une baisse de la consommation de quelques dizaines de watts (désolé, j’ai plus les valeurs en tête).
J’ai déjà joué avec les paramètres CPU pour voir l’impact coté conso. Alors c’était pas le but de le laisser ces paramètres, mais juste voir leur impact.
UEFI: Désactiver le SMT (le nom pour HT chez AMD)
UEFI: Désactiver des cores
UEFI: autoriser les CPU state plus bas: S3, S5, etc…
Downclocker la RAM à 3200
Undervoltage automatique (ClockTuner for Ryzen)
Undervoltage manuel avec Ryzen Master, le soft officiel AMD (clock forcé à 500Mhz, tension super basse, genre 0.9V de mémoire)
Bref, rien n’y fait, ou très peu genre baisse de 2W… Quand on regarde un les thread reddit, on va dire que pour une config AMD, c’est “normal”.
Bref, mon prochain PC sera très probablement un Intel à nouveau, même si ça consomme plus en charge (jeux vidéos), c’est largement rattrapé par tout le temps que le PC est “idle” (net, bureautique).
Le
23/08/2022 à
14h
48
Ce qui m’embête avec AMD, c’est que la consommation idle de leur CPU est bien plus élevée que leur équivalent Intel. Sachant que pour un homelab, la machine passe 100% de son temps à ne rien faire… c’est un peu du gachi.
Personnellement, j’ai suivi la hype AMD et j’ai monté un PC à base de 3700x il y a deux ans. Quand je vois la conso idle de ma config à 60W sans aucun hdd, je pleure. Mon ancienne config à base de i5-6600 tournait à 35W idle (et je trouvais déjà ca beaucoup)… Et il semblerait que les E-Core des Intels récent sont vraiment intéressants (sous windows uniquement encore).
Le
23/08/2022 à
14h
43
jom a dit:
Intéressant en effet pour un homelab. Sur leurs spécifications seul Windows 10 est supporté. Ceci ferme pas mal de portes et le parait étonnant vu la cible. Aucune idée du support pour GNU/Linux (et proxmox en particulier) ?
David, qui a rédigé l’article dit, et montre à la fin, une VM windows dans proxmox avec passthrough PCIe, donc il semblerait que ca fonctionne sans problème.
Le
23/08/2022 à
14h
42
BlackLightning a dit:
Tu penses qu’on peut leur faire confiance à ce site ? J’en ai bien sûr trouver des sites comme ça. Mais au vu du prix de ses bestioles je veux être sûr de ne pas me faire avoir.
Pour moi, R.A.S., Senetic est un gros revendeur français de Mikrotik / Ubiquiti de ce que j’en sais.
Après, une grosse partie des hacks utilisent des failles dans des fonctionnalités disponibles, et il existe de nombreuses fonctionnalités qui n’utilisent pas IP (le wake on lan déjà cité, ARP, etc…)
Je suis bien d’accord, du arp poisining par exemple que je faisais en cité U sur un réseau avec une pauvre ADSL partagé, pour kicker les trous de balle qui faisait du torrent 24⁄7…
Mais pour revenir au sujet d’origine, on parle de botnet, donc il ne s’agit pas pour un attaquant d’entrer par effraction et aller brancher son hack en RJ45 sur 5000 ONT de Mme Michu tout autour du monde…
Le
23/08/2022 à
08h
29
fdorin a dit:
Il est bien possible de réveiller une machine éteinte par le réseau (wake on lan), donc sans IP.
Infecter un équipement sans IP est donc potentiellement possible, bien que loin d’être trivial…
Pour réveiller une machine sans IP:
tu dois te trouver dans même réseau niveau 2, donc aucun routeur entre, ce qui n’est pas le cas d’un attaquant distant
le WoL, c’est une feature, pas du hack. Le PC qui doit être allumé écoute activement la trame qui va le réveiller, contrairement à l’ONT qui n’attend rien du tout au niveau 2, et donc ne réagira pas.
Le
22/08/2022 à
16h
46
OB a dit:
Sauf que si ils sont infectés rien ne les empêches de garder leur IP et de récupérer des trames (ex : DHCP-Offer) pour émettre à leur tour du trafic DDOS, bien chiant a détecter (car ne provenant pas de la box, justement…)
J’ai vu des POF de ça :-/
(La seule chose qui sauve c’est que le CPU est anémique, donc en PPS ça monte pas trop haut)
Mais effectivement pas en France je l’admets.
Je vois pas comment c’est possible d’infecter un équipement qui n’a pas d’IP… Tout au mieux, lui faire transiter des paquets formatés de tel sorte que le routeur plante, mais de là à lui injecter du code, c’est quand même un peu de la science fiction la…
En plus “grâce” au GPON des opérateurs, il n’y a plus que les box qui sont attaquable : les convertisseurs GPON aussi, qui sont de mini-linux en eux-même. Sauf que contrairement aux box, comme ils sont considérés comme des éléments “unitaire” du réseau les FAI n’ont pas tellement de contrôle dessus, ils achètent l’appareil “tout fait” , hardware + firmware , dans une logique de moindre coûts. Pas besoin de réfléchir longtemps aux conséquences en terme de sécurité informatique.
L’article parle de routeur, pas d’ONT. Au moins en France, les ONT ne sont pas addressable depuis le réseau publique. Certaine ONT perdent même leur IP volontairement dès lors que le lien gpon est up.
Le grand public fait du stream sur twitch, des vidéos YouTube, des homelabs, etc
Y’a pas que madame Michu hein?
Et Amd et Intel ne vont pas faire des cpu au rabais avec des connexions lentes juste parce que vous ne voyez pas l’utilité.
Streamer sur twitch => aucun rapport avec le stockage
Vidéo Youtube => j’aimerais bien un seul exemple de CPU/GPU capable d’encoder un flux vidéo à 9Go/s. Franchement cet argument, que tout le monde relai bêtement, est tellement bidon…
Homelab => pareil qu’au dessus, j’ai un homelab, avec des dizaines de conteneurs LXC et VMs, avec de la base de donnée relationnel, time series, j’ai aussi mon NAS dessus, un Plex pour partager mes vidéos, … rien ne nécessite une tel vitesse. Même installer 10 vms en PXE en parallèle, c’est le CPU qui trinquera en premier.
Le
19/08/2022 à
22h
56
Inodemus a dit:
100 000 écritures c’est sur de la SLC, qu’on ne trouve plus depuis longtemps dans les SSD (surtout NVMe) à cause de sa “mauvaise” densité (en taille physique et en prix). Au mieux, tu as de la TLC à 3000-5000 écritures, au pire, de la QLC à 1000-2000 écritures.
La garantie sur un SSD correct TLC c’est 400-600 fois sa taille, ensuite il n’est plus garanti. Donc en reprenant ton exemple, au bout de 16h il n’est plus garanti, au bout de 48h un QLC est rincé, et au bout de 5 jours un TLC est rincé aussi.
C’est ce que j’allais répondre :) tu m’as économisé le calcul.
C’est plus les débits en lecture qui sont intéressants sur ce type de produit. Après, 9 Go/s c’est vrai que c’est beaucoup, mais au final quelle que soit la taille à lire (passé un petit minimum), ça lira toujours d’autant plus vite qu’il y a de débit.
Typiquement, une grosse base de donnée de plusieurs TB utilisée principalement en lecture. Ça permet de réduire la quantité de RAM qui sert principalement de cache filesystem.
Moi je mets des jeux (et l’OS) sur ce genre de truc, pour accélérer leur chargement et éviter d’éventuels lags en jeu. Je me souviens d’ailleurs que Sony disait pour sa PS5 nécessiter un SSD avec au moins 5 Go/s en lecture, je soupçonne qu’ils laissent dessus des données qui sont lues en plein jeu, pour économiser de la mémoire vive.
Pour du gaming, SSD, NVMe, ca joue entre 0 et 10% de perf en temps de chargement. La ou ca risque d’être interessant, c’est avec Direct Storage, le GPU qui accède directement au NVMe vu qu’ils sont tous les deux présents sur le bus PCI. Etant donné les capacités de traitement en parallèle d’un GPU, c’est possible (en attendant les tests), surtout en terme de variété de texture. Tout comme mon exemple avec une BDD en lecture, le GPU pourrait aller chercher les texture directement sur le NVMe, donc plus besoin d’avoir des cartes graphiques avec 12Go de RAM.
PS qui n’a rien à voir avec la news, je voulais de répondre sur l’IPSec sur l’autre news, mais les commentaires sont clos. Juste pour dire que l’IPSec, c’est aujourd’hui le seul système de chiffrement qui fonctionne au niveau IP, et du coup, permet de faire du mode transport (vs le mode tunnel bien mieux connu), est accéléré au niveau hardware (en AES sur la phase 2) permettant d’atteindre des débits élevés avec des petites machine (voir les gammes Mikrotik par exemple). Le seul vrai concurrent à IPSec, c’est WireGuard, mais n’est pas encore natif dans les smartphones, et pas encore implémenté dans beaucoup d’appliances firewall.
J’ai tout lu, merci aux contributeurs (spécialement à Force Rouge et alex.d. pour leurs éclairages).
Un constat sur l’article : je regrette qu’il n’y ait pas de comparaison de consommation électrique de chaque «box». Sur des années ça peut chiffrer. Il faut attendre le commentaire 20 (grognon 42) pour avoir une considération écologique (que je partage pas forcément).
La question que je me pose a enfin été posée en commentaire 128 par un autre grognon (qui lui en veut à Free).
Pour le reste c’est souvent la même musique : ceux qui se contentent de ce qu’ils ont ne comprennent pas que d’autres ait d’autres besoins…
Calcul rapide: Livebox = 9W (et c’est pas la pire) Nombre de ménage (=foyer?) en France = 30 millions
donc 270 millions de watt => 270MW
Un réacteur nucléaire: 900 MW.
Il y a donc en France, un tier d’un réacteur nucléaire qui tourne juste pour faire fonctionner les box.
Le
18/08/2022 à
15h
55
Désolé pas compris . Qui apelles tu le client ?
Moi par exemple quand je regarde mes caméras depuis l’Espagne ? ( je ne demande qu’un port sur l’IP de la box que je sache) ou que j’accède à mon Freenas de l’extérieur ? Et je n’ai officièlement aucune idée d’ou ça va atterir derrière ma box ( je le sais parce que c’est moi qui ait fait la config , mais mon smartphone ou mon portable n’en sait rien ! enfin j’espère
Ou moi sur un de mes PC à la maison quand je veux sortir ?
Je vais essayer de prendre un exemple avec des équipements connu, sans savoir si ils fonctionne comme ca en vrai, c’est juste pour l’exemple.
Tu veux lancer une partie de Fifa sur ta PS5 avec un autre joueur sur Internet. Il se trouve (une chance sur 2) que c’est toi qui va héberger la partie, donc c’est à ton adversaire (peer) de se connecter sur la partie que tu vas héberger.
Comme ta connexion IPv4 est “masquerade” (nat/pat) et cache tout ton réseau derrière une seule IP partagé, il faut “forward” le port tcp/666 de ton IP WAN de ton routeur, et transférer le traffic vers la PS5. L’objectif, c’est que le traffic qui arrive du port tcp/666 d’internet, soit transféré à la PS5, pour que la PS5 de ton peer se connecte à ta PS5.
Ca peut se faire manuellement, mais c’est pas terrible car la PS5 peut changer d’IP, chaque jeu aura des ports différents, … bref, du coup, la “bonne” (car il y a débat) solution, c’est que via le protocol UPNP, la PS5 va demandé dynamiquement a “forward” le port tcp/666 vers elle. Comme ca toi, t’as rien à faire.
Maintenant pour ta question de savoir si ca va marcher ou pas en double nat, il y a deux possibilité:
1/ ca ne fonctionne pas: En UPNP, la réponse du routeur à la PS5 qui dit “ok, le port est ouvert”, c’est du XML, et peut/doit (je ne suis pas sur de ce point la) contenir l’IP WAN. Sauf que dans le cas du double nat, l’IP WAN de ce routeur, c’est une ip privée (puisque le WAN de ton routeur, c’est le réseau LAN de la livebox), par exemple 192.168.1.42. Donc si ta PS5 prend cette info au sérieu, elle va dire à la PS5 peer, “ok, c’est bon pour moi, tu peux te connecter à 192.168.1.42:666. Sauf que du point de vue de la PS5 peer, cette IP n’est pas ta vrai IP public, c’est juste l’IP WAN de ton routeur.
ou
2/ ca fonctionne: LA PS5 ne prend pas en compte cette IP contenu dans la réponse upnp, mais demande à un service externe (sur internet) de lui donner l’IP public avec laquelle il la voit. Un equivalent à ifconfig.io ou checkip.dyndns.org, par exemple: 184.32.96.55. Dans ce cas la, si t’as mis 192.168.1.42 en DMZ dans ta livebox, c’est possible que ca fonctionne, puisque La PS5 peer, va se connecter à 184.32.96.55:666, qui sera forward à 192.168.1.42:666 (via dmz), qui sera forward à la PS5 (via upnp).
Dans tous les cas, ca reste crado. Et je pense qu’en cas de double nat, le plus sage est de juste désactiver l’upnp et assumer les conséquence.
Le
18/08/2022 à
14h
23
JoePike a dit:
Ca dépend
Si le client qui demande le forward de port fait confiance à l’IP que lui retourne le routeur, ca ne fonctionnera pas, car le client dira “au reste du monde” que son IP est une IP privée.
Si le client utilise une méthode “autonome” pour connaître sa propre IP public (via un service externe) alors ça peut marcher.
Le
18/08/2022 à
14h
17
Tandhruil a dit:
Ton besoin de fiabilité ne correspond pas à un besoin grand public. tu veux une solution pro avec un abonnement de particulier.
Je répondrais juste à ce dernier point. pour le reste, pense qu’on s’est compris.
Mon besoin de fiabilité est effectivement assez élevé étant en télétravail à 90%. Ce que tu dis est un raccourci. Je me permet de le reformuler:
Ce que j’ai besoin, c’est d’une solution haute dispo, en m’appuyant sur plusieurs solutions qui ne le sont pas. Le risque de double panne ftth et 4G, existe, mais c’est moi qui le prend et je l’accepte. car j’estime la probabilité extrêmement faible, et au pire, je peux toujours aller au bureau.
Concernant les offres business, le 100% dispo, c’est du contrat, ca signifie que les pénalités commencent à la première minute, pas que la ligne sera 100% dispo réellement.
Cette solution que j’ai actuellement en place, m’a déjà servi pendant les 2 mois de coupure que j’ai eu avec K-Net (faute à Covage, rendons à César etc…).
Tandhruil a dit:
Je ne comprends pas bien En quoi un double NAT serait différent d’un simple NAT pour un JV ? D’ailleurs pourquoi un JV à besoin de connexions entrantes ?
Si on prend les questions à l’envers:
pourquoi un JV à besoin de connexions entrantes => car sur certain jeux en ligne, y compris sur PS5, c’est l’un des joueurs qui fait serveur.
En quoi un double NAT serait différent d’un simple NAT => car les JV (y compris sur consoles) demandent en UPNP au routeur de lui “forwarder” un port (nat/pat) dynamiquement. Dans le cas d’un double NAT, tu demandes à ton routeur de te forward le port XXX sauf que ton routeur ne cascadera pas la demande à la livebox, et donc tu ne pourras jamais recevoir le traffic.
Les conséquences, si les deux personnes ne peuvent pas ouvrir de port:
soit la partie ne se lance pas.
soit ca passe par un serveur tier et tu te prends de la latence.
Cas typique du petit fils de Mme Michu, il achète un routeur Netgear Gaming parce que le wifi de la box est pourri. Il met son nouveau routeur-wifi derrière la livebox pour que la QOS fonctionne… et se mange le problème de double nat, et bonjour les problèmes d’UPNP pour jouer en ligne.
Alors que techniquement, il devrait mettre son nouveau routeur à la place de la livebox. C’est plus propre (en terme d’archi réseau), plus fiable (moins d’équipement = moins de panne), plus économique (électricité) et moins d’emmerde (double nat, upnp). Sauf qu’Orange l’en empêche.
Et ce problème d’upnp avec le double nat, c’est pas que pour le JV, tu l’as aussi avec des clients bittorent par exemple qui ouvrent les ports dynamiquement.
Le
18/08/2022 à
11h
41
JoePike a dit:
Ouais enfin j’ai un routeur ubiquity derri_re le routeur de la box et ça fait 20 ans que je tourne comme ça ( ubiquity 5 ans , WNR3500 5 ou 6 ans et avant j’avais un Linksys je sais plus combien Je n’ai jamais eu un problème en 20 ans Mon fils a aussi un Ubiquity derrière sa box ( autre FAI) il n’a jamais eu de problèmes Alors l’aberation sur le papier OUI ! dans la pratique ça marche très bien et ça ne plante jamais et ça fait ce qu’on veut
Si ton accès internet te sers pour du web, gaming, c’est normal que ca fonctionne sans problème.
Maintenant, je t’ai listé un bon nombre de cas où c’est clairement pas optimal, voire impossible en mettant un routeur perso derrière une livebox. Et c’est sans compter la conso électrique non négligeable et inutile d’un truc qui va tourner 24⁄7.
Le
18/08/2022 à
10h
03
Tandhruil a dit:
Excuse moi, mais ta question initiale semblait laisser entendre que c’était ta cafetière ou ton aspirateur qui initiait la connexion internet, là tu me dit que c’est toi qui initie la communication, donc comme tous les flux entrants sont fowardés vers le reverse proxy, c’est le proxy qui dialoguera avec tes IOT. Maintenant, je ne suis pas un spécialiste en IOT mais à titre personnel, je n’autoriserait aucun objet à se connecter à internet, juste à un serveur local et c’est à ce serveur que je me connecterai via internet. Il me semble plus facile de sécuriser 1 machine que des dizaines d’objets.
C’est bien l’aspirateur qui initie la connexion vers Internet (Roborock S7).
Ce que tu décris ensuite, c’est dans le monde des bisounours, les objets connectés, type aspirateur, se connectent sur le cloud du fabriquant, et via l’appli mobile, qui se connecte aussi sur ce cloud, tu peux contrôler l’aspirateur. C’est malheureux, mais c’est comme ca. C’est pareil pour mon alarme, qui elle se connecte via un cable Ethernet. Il n’y pas d’API en direct sur mon aspi, mon alarme ou le distributeur de croquette. Donc comme je souhaites garder ces fonctionnalités “cloud” qui sont très pratique, je les confine pour qu’ils ne voient qu’eux même et la gateway. Ca permet de limiter grandement le pouvoir d’espionnage ou de hack (volontaire ou non) de tous ces objets plus ou moins mis à jour et gérer avec plus ou moins de sérieux par leur fabriquant.
Par exemple, il est très probable qu’une certaine population chez Orange a accès en ssh à toutes les livebox pour du diag par exemple, ou puisse ouvrir un shell sur le distributeur de croquette via un reverse tunnel et donc si tu ne protège pas individuellement chaqu’un des équipements chez toi (et c’est impossible à faire de toute façon), ca permettrait à quelqu’un de malintentionné de se connecter sur ton NAS par exemple.
Avec des vlan (pour les IoT en ethernet) et le blocage des communications inter-client WiFi, chacun est confiné dans son petit réseau.
Alors un vlan ça se fait avec un switch, pas un routeur, puisque tu aimes bien les couches ISO (nouveau modèle) les vlan c’est la couche 2 (trame ethernet), en couche 3 ce sont des VRF et ce n’est pas très utile pour un LAN
Vu ton niveau en réseau, je comprends pas ce que t’essaye de faire… Tu sort comment de ton vlan niveau IP? il faut bien un moment qu’il y a une interface du routeur dans ce vlan avec une IP pour pouvoir sortir… Et non, je n’ai pas 1 câble par vlan, juste un trunk…
C’est ça qui m’a perturbé, quand tu dis applicatif tu parles d’applicatif de communication ce qui ne veut pas dire grand chose. Typiquement à partir du moment ou tu filtres des ports IP (80, 443, 21, …) tu fais de l’applicatif. Donc un firewall fait de l’applicatif. En gros les couches 5 à 7 ne forment qu’une couche. Et je pense qu’on ne parle pas de la même chose quand on dit proxy, un proxy c’est pour moi un serveur dédié, une appliance qui en fait gère toute les couche et applique en fonction des ports utilisés des filtrages plus ou moins précis (entre autre s’il s’agit d’un port standard ou d’un port pripriétaire. Et en installant le proxy en mode transparent, tous les flux sortant passent par le proxy qui peut après les transmettre à ta box.
Là pour le coup je ne parlerai pas de l’IPV6, ça fait plus de 30 ans que je fais de l’IPV4 (et à la rigueur du X25), je n’ai pas le temps de me pencher dessus, on verra ça à la retraite. A titre personnel, la disparition des adresses privés et la suppression du NAT, ça me fait flipper. Pour le coup, assurer la sécurité de mon réseau local par un simple firewall, qui plus est fournis par un opérateur ça n’a rien de rassurant.
Pourtant IPv6, c’est un peu l’avenir vu que certaine ressource ne sont déjà tout simplement plus accessible en IPv4… Sinon, pour info:
Il existe toujours des IP privée en IPv6
Le “NAT/PAT”, qui est statefull en IPv4 devient du “Prefix translation” en IPv6 et c’est stateless, donc bien plus performant. En gros, ca remplace un prefix par un autre. Typiquement tu change la partie /64 réseau du /128 de l’adresse complète. C’est par exemple le seul moyen de faire du failover entre deux connexion Internet IPv6 sans BGP sans devoir changer toutes les adresses de tous les équipements coté LAN à chaque bascule.
Il suffit de lui dire de forwarder les flux sans les analyser, mais ça fonctonne avec tous les ports standards.
Ok, on y arrive: A l’origine, tu défends qu’il n’y a pas besoin de routeur pour filtrer en entrée et sortie. Sauf que pour pouvoir faire passer du traffic qui ne passe pas le proxy (genre UDP), ta machine “proxy” doit “forwarder”, autrement dit “router” le traffic, et donc il faut un routeur… CQFD
Donc quite à mettre un routeur, autant le faire correctement plutôt que de bidouiller avec du DHCP, de la double gateway, du proxy transparent…
Ce shéma crados que tu nous présentes en bloquant par ailleurs l’ICMP Redirect, ca génère du routage asymétrique (la livebox enverra les paquets retour directement au PC sans passer par ton routeur) ce qui rempli les conntrack. A moins de faire du nat en sortie du proxy pour forcer les paquets à repasser par la machine qui sert de proxy, donc double nat tout aussi crados.
Moi ce que je trouve crade, c’est de remplacer la box opérateur. Que tu te construises un LAN complexe derrière ta box avec un seul point de sortie connecté à celle ci me parait plus judicieux. Typiquement si ta liaison ne fonctionne plus, tu seras obligé de tout débrancher pour remettre ta box car si le FAI ne peut pas prendre la main dessus, il ne pourra pas te dépanner.
Moi ce que je trouve crade, c’est de devoir utiliser un boîtier limité qui m’empêche d’avoir la pleine utilisation de l’IP publique qui m’est attribuée, qui consomme de l’énergie pour rien, et prend de la place pour rien. Ce qu’on défend depuis le début de ce thread, c’est que les FAI ne doivent pas mettre d’obstacle à ceux qui ne souhaite pas utiliser de box opérateur, tout comme c’est le cas en 56k, ADSL, VDSL, réseau mobile, à partir du moment où l’équipement client est compatible avec la technologie utilisé.
Concernant la “liaison qui ne fonctionne plus”, mon routeur, je l’update et reboot quand c’est opportun, pas quand Orange l’a décidé. (expérience vécu: 2 potes qui se font déconnecter à quelques minutes d’intervalle pendant une session de Call of Duty). De plus, 2 routeur en séries, c’est deux fois plus de chance de panne. Et accessoirement, la livebox ne permet pas une bascule automatique sur le réseau mobile lorsque la liaison ftth est down. Donc bref, en terme de fiabilité, c’est incomparable.
Le
17/08/2022 à
19h
29
choukky a dit:
Il y avait aussi RatioMaster pour gonfler ses stats et les trackers faisaient la chasse. Truander ne fait pas avancer le schmilblick et c’est plutôt con de prendre le risque de se faire ban d’un tracker privé pour ça.
Si c’est fait intelligemment, impossible de se faire ban, perso j’ai mis un facteur 7 sur mon upload. Sur des gros fichier partagé par des centaines de personnes et téléchargé des centaines de fois, c’est impossible d’être sûre que je gruge. Ce qui est important, c’est que je télécharge vraiment le fichier, et qu’il soit vraiment dispo si leur système de vérif demande le fichier chez moi. Ratio master c’est juste un truc de gruge, si le tracker essaie de DL le fichier chez toi, il détectera immédiatement que tu triche.
Concernant les vidéos de 40Go, c’est pas ma came mais s’ils sont présents, c’est qu’il y a une demande. Perso je suis en adsl et ça me convient pour le moment mais je peux comprendre que ça soit rassurant d’avoir de la marge sous le pied, au cas où; un peu comme avoir une voiture capable de flirter les 500km/h alors que nous sommes limité à 130.
Sincèrement, j’ai eu K-Net 1Gb/s symétrique pendant plus de 2 ans. Ok, sur des gros update call of duty, ou télécharger un nouveau jeu, c’est bandant de voir que ça télécharge à 110Mo/s, 5 fois dans l’année… Mais au delà de ça, attendre 15mn au lieu de 5mn avec mon Sosh 300/300… ca change pas grand chose au final, 32Mo/s c’est pas rien!, et encore moins si les DL se font en tâche de fond quand le Pc se lance. Et par rapport à tous les services que j’héberge chez moi, il n’y a aucune différence, c’est souvent le serveur qui ne suis pas coté CPU (je pense à nextcloud en particulier), et toujours pareil, c’est asymétrique.
Le
17/08/2022 à
16h
11
Tandhruil a dit:
Tu n’avais qu’un utilisateur au cul du modem, avec une box ce sont tous les appareils du domicile qui peuvent être source de panne.
Ca se branche directement sur la prise téléphonique, et c’est pas une livebox. Et accessoirement, sur moins d’un an, c’est moins cher que les 3€ par mois de location de livebox…
Le
17/08/2022 à
16h
04
Je complète ma réponse ci-dessus.
Tandhruil a dit:
En disant a ta cafetière que sa default gateway c’est le proxy
Cette phrase n’a aucun sens. Une default gateway, c’est une IP, un proxy c’est un logiciel. Tu ne peux pas mettre une appli se trouvant sur une machine distante dans une table de routage…
Le
17/08/2022 à
15h
54
Tandhruil a dit:
En disant a ta cafetière que sa default gateway c’est le proxy Edit : Maintenant, si tu laisses ta cafertière ou ton aspirateur se connecter directement à internet, à mon avis tu fais une connerie…
Bah mon robot aspi, je le déclenche justement quand je ne suis pas chez moi… Donc oui, il doit avoir accès au net. Et rassure toi, il est tranquille dans son ssid+vlan IoT et ne peux communiquer avec rien d’autre. Et si je peux faire simplement un ssid + vlan dédié à l’IoT, c’est bien parce que j’ai mon routeur (vlan) et point d’accès wifi (ssid) à moi qui me permet de le faire proprement et simplement. Chose qu’il est impossible de faire avec une livebox.
Ensuite,
Tu mélanges encore les deux couches 3 et 7… La défault gateway, c’est du routage, niveau 3 Un proxy, c’est applicatif, niveau 7
De plus, la configuration du proxy à travers le dhcp, c’est pas magique:
il y a très peu de chance pour que les objets IoT l’honore
ca n’empêche pas le robot aspi de communiquer directement avec la livebox, notement en IPv6 avec le RA de la livebox
ca ne fonctionne qu’avec http/https et appli qui gère le socks. Typiquement, les jeux vidéos ne marcheront pas.
Autrement dit: cette solution est crade en terme de réseau, ne fonctionne qu’au bon vouloir du client, et parfois même ne fonctionne pas du tout.
Le
17/08/2022 à
15h
18
choukky a dit:
Ce que t’appelles 4K UHD, je le vois comme du Web 4K. Pour moi les 4K UHD tournent autour des 40Go et pas 10Go. C’est par expérience ce que je vois très couramment.
Ok, donc avec 300Mb/s, tu peux toujours streamer 5 Blueray de 40Go sans aucune recompression simultanément. Tu ne m’ôtera pas de la tête que pour ce besoin précis, c’est overkill. Mais soit.
Lorsqu’on a une seedbox, on devient uploader pour être le premier à diffuser comme un cochon et ainsi faire monter son ratio, sinon il n’y a pas d’intérêt.
Je vais te filer une astuce, voilà le bout de la spec du protocole BEP3 qui permet au tracker de savoir combien tu as uploader:
*Tracker GET requests have the following keys: […] uploaded
The total amount uploaded so far, encoded in base ten ascii.*
T’as plus qu’à coder un proxy qui intercepte et modifie les requêtes en temps réel. (61 lignes de python incluant les commentaires pour ma part)
Du coup, pas besoin de up comme un malade pour avoir du quota.
Le
17/08/2022 à
14h
54
Tandhruil a dit:
Expression de besoin :
Proxy : tous les flux utilisateurs vers le Proxy, les droits en fonction des utilisateurs ou machine puis transfert vers la box
Reverse Proxy : Tous les flux entrants vers le reverse Proxy et routage des flux en fonction des serveurs
Pas besoin de routeur, le Proxy peut même faire DHCP
Ok, et comment, grâce à la merveilleuse livebox, tu forces l’aspirateur connecté ou la cafetière connecté à utiliser ton proxy?
Le
17/08/2022 à
13h
17
Tandhruil a dit:
Ce que tu as besoin c’est un Proxy et un reverse proxy, pas un routeur.
C’est bien un routeur dont il a besoin.
Routeur => IP => couche 3 du modèle OSI Proxy => applicatif => couche 7 du modèle OSI
Ca ne sert pas du tout à la même chose.
Le
17/08/2022 à
13h
15
K-Net, j’y suis resté 2 ans et demi environ, la philosophie au départ était top, petit opérateur, qui fourni du réseau natif, super communauté (le forum a été fermé par K-Net pour cacher tous les problèmes actuelles…). Les ingé réseaux qui dépanne sur le forum et explique comment le réseau fonctionne en interne.
Mais…
Aujourd’hui (enfin, il y a encore 6 mois), tous les ingés réseaux étaient parti, il y a eu des incidents complètement inadmissibles comme le(s) serveur(s) dhcp qui est tombé pendant 2 semaines. Ces serveurs DHCP servent d’authentification (une grosse magouille de Covage), donc plus de connexion pendant 2 semaines, pour un pauvre problème de serveur DHCP… Aussi, le support incapable de nous envoyer notre préfix IPv6. C’est vraiment malheureux car je trouvais la philosophie vraiment top, mais je ne peux pas recommander K-Net aujourd’hui. C’est une boite qui n’investi plus, ne recrute plus d’abonné, et voit décroite son nombre de clients au fil des incidents. Ils ne prennent même pas le temps (où n’ont plus les compétences) de renouveller le certificat de la page qui dit que le forum réouvrira bientot (depuis plus de 6 mois…)
Milkiwan, c’est un peu le K-Net 2.0, une association gérer par un passionné (Hugues Voiturier), qui a beaucoup contribué sur le forum de K-Net d’ailleurs, avec des méthodes de travail et du matos récent. J’ai failli aller chez eux en sortant de K-Net, mais après 2 ans de galère, j’ai succombé à la tranquillité d’un réseau Orange qui ne passe par aucun équipement Covage (les plus gros tocards de l’univers), même si j’ai du bidouiller pour me passer de leur livebox moisi.
OVH, bof… en plus ca passe par SFR, donc Covage chez moi (comme tous les opérateurs sauf Orange il me semble). Je ne sais pas où en est la migration depuis le rachat, mais même pas en rêve.
Le
16/08/2022 à
23h
33
tractopelle a dit:
Avec Orange je n’ai pas essayé mais avec Red (ADSL), Bouygues 4G et FTTH, il y a une plage d’IP4 non DHCP (ce n’est pas toujours la même, il faut chercher/configurer). Et avec Bouygues la redirection est possible vers une adresse fixe non DHCP.
J’imagine mal Orange être totalement en retard sur ce point.
En réalité, c’est pas qu’Orange est en retard. Si tu leur demandait, il te dirait même qu’ils sont en avance car ils permettent de faire du NAT vers un équipement identifié “PS5”, Synology”, etc… au lieu d’une cryptique adresse IP que Mme michu ne comprend pas, ou que Robert son petit fils veut juste rediriger le port 666 pour jouer en ligne à Fifa sur sa PS5. Et pour faire ca, les dev de la livebox font un mix entre les les lease dhcp fourni, les hostnames remonté dans les requetes dhcp, pour proposer du port forwarding dessus.
Alors comme pour la livebox, aucun problème à ce que ceux qui la demande en profite, mais si j’ai envi de faire une redirection toute simple vers une IP, qu’on me laisse cette possibilité bordel.
Le
16/08/2022 à
23h
27
Inodemus a dit:
Ah bon ? On peut rediriger tout le trafic IPv4 vers une IP précise, donc avec un routeur tu dois pouvoir faire ce que tu veux ensuite, qu’est-ce qu’il faut de plus ?
Sauf que l’IP du endpoint IPSec (ton ip public) n’est pas l’IP de l’interface (qui sera en rfc1918) sur le routeur qui termine le tunnel IPSec. Pour monter un tunnel ipsec site2site, identifié via l’IP de chaque peer, l’un des deux coté va se connecter à l’IP public, sauf que c’est un équipement avec une IP rfc1918 qui va recevoir le traffic, et donc ne répond pas. Il faut alors passer en identification via ID, sauf que n’importe quel attaquand peut usurper l’ID, alors que c’est bien plus difficile via l’IP.
Ca vient d’être ajouté apparemment, avec quelques limitations qui ne plaisent pas à l’auteur, sans que je ne sache pourquoi il ne peut pas se contenter d’un /64 délégué dont il fait ce qu’il veut derrière avec son routeur.
Je l’ai déjà essayer aussi, la livebox ne délègue qu’un seul /64 par équipement qui le demande. En IPv6, le /64 est le masque le plus petit nécessaire pour faire de la RA. Concrètement, ca ne permet d’avoir qu’un seul réseau du coté lan du routeur. Si c’était fait correctement, la livebox déléguerait un /58, /59 ou /60, qui permet d’être redécoupé en plusieurs /64 pour pouvoir avoir plusieurs réseau locaux différents (un réseau privé, un réseau guest, un réseau IoT, etc…)
Pour ma part, je préfère une option comme en IPv4, redirection de tout le trafic d’un préfixe vers une IP, c’est plus simple donc moins de bugs possibles. Ca existe chez SFR/Red et il y a un deuxième préfixe /64 dédié à cette fonction, finalement c’est une sorte de délégation manuelle et limitée à 1 préfixe. Charge à ton routeur ensuite de gérer ce préfixe et d’en déléguer des bouts à ses clients.
Comme le fait la freebox aussi, et c’est très bien car ca permet d’avoir un adressage fixe. Manuel ou prefix delegation d’un truc plus grand que /64, c’est kif kif, mais la livebox ne permet ni l’un ni l’autre.
Tout le reste se résout en utilisant un routeur WiFi (ou routeur + point d’accès) derrière. Tu pourras toujours dire que la box consomme du courant pour rien mais tu ne seras pas bloqué.
Admettons même que tout les problèmes cité au dessus n’en soit pas, 9W de conso pour un truc qui ne me sert à rien, c’est 14€ par an de balancé par la fenêtre, du chauffage dont je n’ai pas besoin dans mon garage, et ca prend de la place dans ma petite baie.
Il y a une autre configuration qui peut fonctionner dans certains cas et mérite d’être envisagée : désactiver les DHCP et éventuellement le RA de la box, changer son IP et la brancher en aval du routeur (il n’y a plus d’amont donc). Ensuite ajouter une option aux serveurs DHCP v4 et v6 du routeur pour qu’il dise que le routeur par défaut est la box et non lui-même. Ainsi tout le trafic vers Internet sera renvoyé vers la box sans passer par le routeur. Ajouter des routes statiques aux options DHCP pour le trafic qui doit passer par le routeur. Par contre pas de firewall possible, ce qui en rebutera plus d’un.
Et rien ne t’empêche alors de faire envoyer les RA du préfixe de la box par ton routeur, ou d’utiliser DHCPv6 pour attribuer des IP dans ce préfixe qui seront donc accessibles de l’extérieur. Pour ma part, j’ai laissé le RA sur la box (j’ai oublié pourquoi), mais j’ai du DHCPv6 qui me permet de remplacer le DNS fourni par la box par le mien, DHCPv6 ayant la priorité sur les RA.
J’ai fait ça en attendant car après passage à la fibre, mon routeur plus tout jeune ne tenait pas le Gbit/s. Y a plein de cas où c’est idiot de faire ça, et ça ne t’ira sûrement pas vu ce dont tu as besoin, mais on ne sait jamais, je voulais quand-même partager l’idée, des fois que ça serve à quelqu’un d’autre.
Ton setup ne permet d’avoir plusieurs vlan. De plus, faire du firewalling avec du routage asymétrique, ca fou la zone dans les tables de conntrack qui ne font que se remplir vu que le routeur ne voit pas tous les flags FIN ou RST. Et quitte à arriver à un truc déguelasse, je préfère encore ne garder que la livebox et faire avec…
Je vais encore une fois citer alex.d car c’est très bien dit: “Bref, j’ai mon serveur à la maison, j’ai mon routeur, la box est un obstacle contre lequel je passe trop de temps à lutter. Moi je veux juste une connexion IP, bref, un accès Internet, mais pas plus.”
Le
16/08/2022 à
17h
41
Vu ton pseudo, je vais supposer que t’as des notions de réseaux. Donc on va simplifier en montant un peu le niveau (paroxe).
Tu fais une fixette sur l’ONT, mais au niveau des couches OSI, c’est en dessous d’IP. Une ONT, ce n’est pas un routeur, ca permet juste de “terminer” l’abre gpon, c’est au même niveau que l’ethernet ou l’ATM. Il n’y a pas d’intelligence IP, ca ne filtre pas, c’est neutre, tu peux même passer des VLANs dessus si ca te chante.
Donc:
Un FAI, c’est un Fournisseur d’Accès à Internet.
Internet, c’est un maillage de réseau communiquant grâce à IP (Internet Protocol, il n’y a même pas besoin de définition, c’est dans le nom)
Les équipements communiquant sur ce réseau IP doivent avoir une adresse IP
Donc un FAI, c’est un fournisseur de connectivité et d’adresse IP sur le réseau Internet. Point. Et ca tombe bien, car c’est exactement le service fourni en sortie d’une ONT.
Avant l’ONT, ce n’est pas de l’IP, c’est du GPON, donc ce n’est pas la définition d’un FAI.
Après la livebox, c’est de l’Internet restreint, on pourrait donc dire que c’est le role d’un FABI “Fournisseur d’Accès à un Bout d’Internet”, mais pas un FAI.
La livebox, ou tout autre routeur opérateur, c’est pour fournir du service au dessus de cette connectivité IP => TV, Tel, WiFi, etc…
Donc pour reprendre l’analogie de alex.d qui est très pertinente:
Le réseau opérateur => fibre + ont
Téléphone opérateur => livebox
Il ne viendrait pas à l’esprit d’être forcé d’utiliser un téléphone opérateur limité, lourd, avec un GPS approximatif, qui n’autorise pas l’installation de candy crush. A la place, tu préfères t’acheter un smartphone récent et performant par tes propres moyens sans rien demandé à l’opérateur.
Bah c’est pareil pour les box opérateur, je ne veux pas être forcé d’utiliser leur box limité, qui consomme trop d’électricité, avec laquelle je ne peux pas monter de tunnel IPSec. Je veux pouvoir utiliser mon routeur performant avec laquel je peux faire du prefix delegation sans rien demander à l’opérateur.
3027 commentaires
OVHcloud : hausse des tarifs « de l’ordre de 10 % », démission du directeur financier
26/08/2022
Le 26/08/2022 à 08h 32
Malheureusement d’accord…
C’est que ce n’est pas encore assez cher alors.
Le 26/08/2022 à 08h 31
Franchement, ca ne m’étonne même pas. J’ai vu des trucs immondes dans ma vie, genre des requêtes lancées à chaque event applicatif qui faisaient des seqential scan d’une base d’1To… merci le framework…
Mais bon, de nos jours, tout doit aller vite en terme de features, sauf que le premier truc qui saute, c’est l’optimisation, donc on met des machines surdimensionnées alors que ca pourrait tourner sur un raspberry pi, et j’exagère à peine.
Le 26/08/2022 à 07h 49
Moi je vois le bon côté, on va peut être arrêter le gaspillage de resources informatique et demander aux développeurs de faire du code efficient.
Quand je vois les requêtes SQL qui arrivent de framework où les développeurs ne manipule que des objets « magique »… y a largement moyen d’optimiser par 10 ou 100 l’efficacité…
Un laissez-passer numérique pour aller aux toilettes, et surveiller pendant combien de temps
26/08/2022
Le 26/08/2022 à 07h 44
Oh merde, franchement c’est la honte
Le 26/08/2022 à 07h 31
La majuscule à Chine ?
Le 26/08/2022 à 07h 25
La chine n’a cas bien se tenir, et toc.
Plainte contre Oracle, qui aurait des fichiers détaillés sur 5 milliards de personnes
26/08/2022
Le 26/08/2022 à 07h 28
J’ai envi de dire… c’est pas le but d’un Oracle ca?
La vente du SGBD n’est qu’une façade masquant depuis le départ le véritable objectif de cette société.
Gigabyte MC12-LE0 : analyse d’une carte mère AM4 (B550) avec IPMI/BMC, pensée pour les serveurs
23/08/2022
Le 25/08/2022 à 22h 43
Bon, j’ai testé avec la nvs295, mais elle ne boot pas en UEFI, et j’ai pas envi d’activer le mode de rétro compatibilité de peur de flinguer les paramètres de boot…
Le 25/08/2022 à 22h 38
Tu me met l’eau à la bouche la. Bon par contre, je pourrais rien faire de mon coté… Vu que c’est une pompe à chaleur (3kW en pointe s’il fait ultra froid dehors) pour eau chaude et le chauffage, on peut pas l’éteindre et la rallumer à l’arrache… Et quand je dépasse, c’est avec les plaques à induction connecté en 32A, que je ne vais pas délester puisque je m’en sers…
Bon après, tout ca, c’est surtout pour le principe, 6kVa, 9kVa, c’est 2€ par mois de différence… le plus important, c’est de consommer le moins possible en général.
Le 25/08/2022 à 17h 13
Merci!
J’ai maintenant une année complète de mesure de conso avec une granularité de 10s et je dépasse très rarement les 6kVa.
Du coup, avec ton document, je vois déjà qu’à 1,1x la puissance, soit 6,6kVa (que je ne dépasse jamais) c’est “toléré”… et quand je dépasse, ca dépasse vraiment de peu, et moins que les 4mn requises avant de couper.
Franchement, je me tate pour passer à 6kVa (actuellement à 9, et j’étais à 12 au départ…)
Le 25/08/2022 à 12h 17
Autant j’utilise Linux 8h par jour sur mon PC pour bosser, sur les milliers de serveurs au boulot, mes truc maison, proxmox, rpi, domotique, etc… autant mon pc pour jouer, bah il tourne sous windows :) j’essayerai à l’occasion sur une live. Merci des pistes en tout cas.
Le 25/08/2022 à 12h 13
Le débat sur la facture, c’est que les anciens disjoncteurs mécanique déclenchait sur la puissance apparente, alors que les linky déclenchent sur la puissance réelle maintenant. A cela, il faut ajouter la marge d’erreur qui était accordé à l’époque, car moins précis.
Aujourd’hui, le déclencheur mécanique ne sert que de protection et est paramétré sur 60A quelque soit l’abonnement choisi, et c’est le linky, bien plus précis, qui “saute” électroniquement en cas de dépassement de la puissance souscrite.
Donc entre la réduction de la marge d’erreur, et le fait que les linky saute sur la puissance réelle font que certain foyer doivent passer à l’abonnement supérieur: 3kVa => 9kVa => 12kVa et donc payer plus cher.
A noter quand même que les linky ne sautent pas instantanément, mais autorise un dépassement ponctuel. C’est si ce dépassement dure que ca saute. Si quelqu’un a des infos précise à ce sujet, je suis intéressé.
Le 25/08/2022 à 08h 48
Merci, du coup, soit mon 3700x n’est pas efficient du tout, soit le reste de la config n’est pas super économe. Si j’al le temps ce midi, j’essayerai en remplaçant la 3060ti par une quadro nvs295 voir si c’est pas le GPU le problème.
Le 25/08/2022 à 08h 46
Merci pour l’explication d’une alimentation à découpage, j’ai une formation (lointaine) en électronique, mais je m’étais jamais intéressé au fonctionnement.
Par contre, à plus haut niveau, les alimentations a découpage de plus de xx watt sont PFC (norme FR ou EU, je sais plus). Le but du PFC est justement de rendre la charge résistive et donc ne fausse la mesure du wattmetre.
https://www.tomshardware.fr/fonctionnement-dune-alimentation-2eme-partie-2/7/
Concernant le relevé au compteur, je le fais déjà en quasi temps réel. J’ai bricolé un truc avec un Rpi Zero W + boitier optocoupleur et je récupère les infos sur le bornier contact sec:
D’ailleurs, je constate des infos intéressantes sur le graph généré:
Une petite conclusion, le jour ou Enedis facture la conso réel (VA) au lieu de la conso apparente (W), ca va piquer :)
Le 24/08/2022 à 22h 20
C’est un wattmetre Belkin, qui est plutot fiable, même à de très basse conso. J’ai testé avec un chargeur 5W Apple, au 220V coté prise et avec un voltmetre USB coté USB et c’est plutot précis, la différence correspondant à de la perte lors de la conversion 220V->5V. Donc sur des puissance de 50W, j’ai pas vraiment de doute sur la précision. Et encore une fois, même avec une précision a 1W, l’ordre de grandeur ici, c’est plutot 25-50W.
Le 24/08/2022 à 22h 15
Je prends bien ca en compte, t’inquiète pas. C’est une BeQuiet straight power 11 750W, à 50W, on est a environ 75% de rendement, soit le même rendement que mon ancienne OCZ ModXStream 500W. Et même avec un écart de 10%, ca jouerait sur 3~4W maximum, pas 25~30W
J’ai retrouvé une vidéo qui montrait la conso réelle moyenné des Ryzen vs Intel:
YouTube
En plus des infos qu’il montre, j’en ai repéré une autre intéressante, regarde le comparatif à 4:17, la 2ème colonne de nombre, c’est le minimum atteint:
12900k => 10W
5950x => 34W
Le Ryzen ne descend jamais en dessous de 34W. Alors que l’Intel 12900k tombe a 10W idle.
On retrouve les 25W que j’ai de différence à la prise entre mon r7-3700x et mon ancien i5-6600. Et je trouve ca bien plus important que la conso ponctuelle à 200W (AMD) vs 150W (Intel) en charge. Le idle, c’est 99% du temps.
Le 24/08/2022 à 08h 42
Les Ryzen en charge, a génération équivalente chez Intel, sont plus efficient. Après, pour certain, 35W ou 65W, ca ne les affoles pas plus que ca. Et si la machine travail, ce n’est plus un problème.
Le 24/08/2022 à 08h 39
Non clairement, ce n’est pas la même config. Mais le CPU est en cause, j’en suis vraiment persuadé.
Mon wattmetre donne la conso moyenne par seconde chaque seconde. Rien que bouger la souris, je passe de 60W idle à 120W… Avec l’ancienne config, je passais de 35W idle à environ 60W. (c’est de mémoire, je n’ai plus la config, mais l’ordre d’idée est là).
Le 23/08/2022 à 21h 58
Attention à ne pas confondre consommation et efficience.
Un HP Prodesk 400 G3 mini (que je possède) avec un CPU G3900T + 16 Go de RAM + NVMe + SSD SATA, ca consomme 7W idle avec un Proxmox qui tourne dessus. Mesuré au wattmetre à la prise 220V. Et en terme de puissance, c’est 3 fois plus performant qu’un RPi4 qui consomme 4W idle avec moins de RAM, et stockage SD.
Si l’objectif est vraiment l’ultra basse conso, je pense pas qu’il y ai beaucoup de choix en x86. Donc pour faire tourner un DNS de ou des bricoles domotique, ca passe. Sinon, je trouve qu’il y a du bon matos efficient en x86 également, avec le bénéfice d’avoir un UEFI, du PCIe pour le stockage, du SATA, de la RAM extensibe, etc…
En cherchant un peu, je suis tombé la dessus: https://uni.hi.is/helmut/2021/06/07/power-consumption-of-raspberry-pi-4-versus-intel-j4105-system/
Une plateforme à base de j4105, ca descend même à 4W, soit autant qu’un Rpi4.
Le 23/08/2022 à 21h 38
Quelle idée de vouloir mettre windows sur un serveur… Et si vraiment y a pas le choix faut le mettre dans une VM sous Proxmox, comme ca, plus de problème de vlan.
Le 23/08/2022 à 21h 36
J’ai déjà joué avec les paramètres CPU pour voir l’impact coté conso. Alors c’était pas le but de le laisser ces paramètres, mais juste voir leur impact.
Bref, rien n’y fait, ou très peu genre baisse de 2W… Quand on regarde un les thread reddit, on va dire que pour une config AMD, c’est “normal”.
Bref, mon prochain PC sera très probablement un Intel à nouveau, même si ça consomme plus en charge (jeux vidéos), c’est largement rattrapé par tout le temps que le PC est “idle” (net, bureautique).
Le 23/08/2022 à 14h 48
Ce qui m’embête avec AMD, c’est que la consommation idle de leur CPU est bien plus élevée que leur équivalent Intel. Sachant que pour un homelab, la machine passe 100% de son temps à ne rien faire… c’est un peu du gachi.
Personnellement, j’ai suivi la hype AMD et j’ai monté un PC à base de 3700x il y a deux ans. Quand je vois la conso idle de ma config à 60W sans aucun hdd, je pleure. Mon ancienne config à base de i5-6600 tournait à 35W idle (et je trouvais déjà ca beaucoup)… Et il semblerait que les E-Core des Intels récent sont vraiment intéressants (sous windows uniquement encore).
Le 23/08/2022 à 14h 43
David, qui a rédigé l’article dit, et montre à la fin, une VM windows dans proxmox avec passthrough PCIe, donc il semblerait que ca fonctionne sans problème.
Le 23/08/2022 à 14h 42
Pour moi, R.A.S., Senetic est un gros revendeur français de Mikrotik / Ubiquiti de ce que j’en sais.
Google Cloud ciblé par la « plus grande » attaque DDoS : 46 millions de requêtes par seconde, certaines via Tor
19/08/2022
Le 23/08/2022 à 12h 42
Je suis bien d’accord, du arp poisining par exemple que je faisais en cité U sur un réseau avec une pauvre ADSL partagé, pour kicker les trous de balle qui faisait du torrent 24⁄7…
Mais pour revenir au sujet d’origine, on parle de botnet, donc il ne s’agit pas pour un attaquant d’entrer par effraction et aller brancher son hack en RJ45 sur 5000 ONT de Mme Michu tout autour du monde…
Le 23/08/2022 à 08h 29
Pour réveiller une machine sans IP:
Le 22/08/2022 à 16h 46
Je vois pas comment c’est possible d’infecter un équipement qui n’a pas d’IP… Tout au mieux, lui faire transiter des paquets formatés de tel sorte que le routeur plante, mais de là à lui injecter du code, c’est quand même un peu de la science fiction la…
Le 21/08/2022 à 19h 53
L’article parle de routeur, pas d’ONT. Au moins en France, les ONT ne sont pas addressable depuis le réseau publique. Certaine ONT perdent même leur IP volontairement dès lors que le lien gpon est up.
TikTok injecte lui aussi du JavaScript dans son navigateur maison
22/08/2022
Le 22/08/2022 à 17h 32
C’est le mot de passe de ton compte NXI en base64.
Plus sérieusement, j’ai les même chez moi, c’est peut-être un bout du sha1 du git commit, ca permet de les versionner.
SSD grand public en PCIe 5.0 : Corsair et Samsung en embuscade
19/08/2022
Le 22/08/2022 à 17h 08
Streamer sur twitch => aucun rapport avec le stockage
Vidéo Youtube => j’aimerais bien un seul exemple de CPU/GPU capable d’encoder un flux vidéo à 9Go/s. Franchement cet argument, que tout le monde relai bêtement, est tellement bidon…
Homelab => pareil qu’au dessus, j’ai un homelab, avec des dizaines de conteneurs LXC et VMs, avec de la base de donnée relationnel, time series, j’ai aussi mon NAS dessus, un Plex pour partager mes vidéos, … rien ne nécessite une tel vitesse. Même installer 10 vms en PXE en parallèle, c’est le CPU qui trinquera en premier.
Le 19/08/2022 à 22h 56
C’est ce que j’allais répondre :) tu m’as économisé le calcul.
Typiquement, une grosse base de donnée de plusieurs TB utilisée principalement en lecture. Ça permet de réduire la quantité de RAM qui sert principalement de cache filesystem.
Pour du gaming, SSD, NVMe, ca joue entre 0 et 10% de perf en temps de chargement. La ou ca risque d’être interessant, c’est avec Direct Storage, le GPU qui accède directement au NVMe vu qu’ils sont tous les deux présents sur le bus PCI. Etant donné les capacités de traitement en parallèle d’un GPU, c’est possible (en attendant les tests), surtout en terme de variété de texture. Tout comme mon exemple avec une BDD en lecture, le GPU pourrait aller chercher les texture directement sur le NVMe, donc plus besoin d’avoir des cartes graphiques avec 12Go de RAM.
PS qui n’a rien à voir avec la news, je voulais de répondre sur l’IPSec sur l’autre news, mais les commentaires sont clos. Juste pour dire que l’IPSec, c’est aujourd’hui le seul système de chiffrement qui fonctionne au niveau IP, et du coup, permet de faire du mode transport (vs le mode tunnel bien mieux connu), est accéléré au niveau hardware (en AES sur la phase 2) permettant d’atteindre des débits élevés avec des petites machine (voir les gammes Mikrotik par exemple). Le seul vrai concurrent à IPSec, c’est WireGuard, mais n’est pas encore natif dans les smartphones, et pas encore implémenté dans beaucoup d’appliances firewall.
Internet fixe : tour d’horizon des offres et promotions du moment (dès 9,99 euros par mois)
12/08/2022
Le 18/08/2022 à 16h 16
Calcul rapide:
Livebox = 9W (et c’est pas la pire)
Nombre de ménage (=foyer?) en France = 30 millions
donc 270 millions de watt => 270MW
Un réacteur nucléaire: 900 MW.
Il y a donc en France, un tier d’un réacteur nucléaire qui tourne juste pour faire fonctionner les box.
Le 18/08/2022 à 15h 55
Je vais essayer de prendre un exemple avec des équipements connu, sans savoir si ils fonctionne comme ca en vrai, c’est juste pour l’exemple.
Tu veux lancer une partie de Fifa sur ta PS5 avec un autre joueur sur Internet. Il se trouve (une chance sur 2) que c’est toi qui va héberger la partie, donc c’est à ton adversaire (peer) de se connecter sur la partie que tu vas héberger.
Comme ta connexion IPv4 est “masquerade” (nat/pat) et cache tout ton réseau derrière une seule IP partagé, il faut “forward” le port tcp/666 de ton IP WAN de ton routeur, et transférer le traffic vers la PS5.
L’objectif, c’est que le traffic qui arrive du port tcp/666 d’internet, soit transféré à la PS5, pour que la PS5 de ton peer se connecte à ta PS5.
Ca peut se faire manuellement, mais c’est pas terrible car la PS5 peut changer d’IP, chaque jeu aura des ports différents, … bref, du coup, la “bonne” (car il y a débat) solution, c’est que via le protocol UPNP, la PS5 va demandé dynamiquement a “forward” le port tcp/666 vers elle. Comme ca toi, t’as rien à faire.
Maintenant pour ta question de savoir si ca va marcher ou pas en double nat, il y a deux possibilité:
1/ ca ne fonctionne pas:
En UPNP, la réponse du routeur à la PS5 qui dit “ok, le port est ouvert”, c’est du XML, et peut/doit (je ne suis pas sur de ce point la) contenir l’IP WAN. Sauf que dans le cas du double nat, l’IP WAN de ce routeur, c’est une ip privée (puisque le WAN de ton routeur, c’est le réseau LAN de la livebox), par exemple 192.168.1.42. Donc si ta PS5 prend cette info au sérieu, elle va dire à la PS5 peer, “ok, c’est bon pour moi, tu peux te connecter à 192.168.1.42:666. Sauf que du point de vue de la PS5 peer, cette IP n’est pas ta vrai IP public, c’est juste l’IP WAN de ton routeur.
ou
2/ ca fonctionne:
LA PS5 ne prend pas en compte cette IP contenu dans la réponse upnp, mais demande à un service externe (sur internet) de lui donner l’IP public avec laquelle il la voit. Un equivalent à ifconfig.io ou checkip.dyndns.org, par exemple: 184.32.96.55. Dans ce cas la, si t’as mis 192.168.1.42 en DMZ dans ta livebox, c’est possible que ca fonctionne, puisque La PS5 peer, va se connecter à 184.32.96.55:666, qui sera forward à 192.168.1.42:666 (via dmz), qui sera forward à la PS5 (via upnp).
Dans tous les cas, ca reste crado. Et je pense qu’en cas de double nat, le plus sage est de juste désactiver l’upnp et assumer les conséquence.
Le 18/08/2022 à 14h 23
Ca dépend
Si le client qui demande le forward de port fait confiance à l’IP que lui retourne le routeur, ca ne fonctionnera pas, car le client dira “au reste du monde” que son IP est une IP privée.
Si le client utilise une méthode “autonome” pour connaître sa propre IP public (via un service externe) alors ça peut marcher.
Le 18/08/2022 à 14h 17
Je répondrais juste à ce dernier point. pour le reste, pense qu’on s’est compris.
Mon besoin de fiabilité est effectivement assez élevé étant en télétravail à 90%. Ce que tu dis est un raccourci. Je me permet de le reformuler:
Ce que j’ai besoin, c’est d’une solution haute dispo, en m’appuyant sur plusieurs solutions qui ne le sont pas. Le risque de double panne ftth et 4G, existe, mais c’est moi qui le prend et je l’accepte. car j’estime la probabilité extrêmement faible, et au pire, je peux toujours aller au bureau.
Concernant les offres business, le 100% dispo, c’est du contrat, ca signifie que les pénalités commencent à la première minute, pas que la ligne sera 100% dispo réellement.
Cette solution que j’ai actuellement en place, m’a déjà servi pendant les 2 mois de coupure que j’ai eu avec K-Net (faute à Covage, rendons à César etc…).
Si on prend les questions à l’envers:
pourquoi un JV à besoin de connexions entrantes => car sur certain jeux en ligne, y compris sur PS5, c’est l’un des joueurs qui fait serveur.
En quoi un double NAT serait différent d’un simple NAT => car les JV (y compris sur consoles) demandent en UPNP au routeur de lui “forwarder” un port (nat/pat) dynamiquement.
Dans le cas d’un double NAT, tu demandes à ton routeur de te forward le port XXX sauf que ton routeur ne cascadera pas la demande à la livebox, et donc tu ne pourras jamais recevoir le traffic.
Les conséquences, si les deux personnes ne peuvent pas ouvrir de port:
Cas typique du petit fils de Mme Michu, il achète un routeur Netgear Gaming parce que le wifi de la box est pourri. Il met son nouveau routeur-wifi derrière la livebox pour que la QOS fonctionne… et se mange le problème de double nat, et bonjour les problèmes d’UPNP pour jouer en ligne.
Alors que techniquement, il devrait mettre son nouveau routeur à la place de la livebox. C’est plus propre (en terme d’archi réseau), plus fiable (moins d’équipement = moins de panne), plus économique (électricité) et moins d’emmerde (double nat, upnp). Sauf qu’Orange l’en empêche.
Et ce problème d’upnp avec le double nat, c’est pas que pour le JV, tu l’as aussi avec des clients bittorent par exemple qui ouvrent les ports dynamiquement.
Le 18/08/2022 à 11h 41
Si ton accès internet te sers pour du web, gaming, c’est normal que ca fonctionne sans problème.
Maintenant, je t’ai listé un bon nombre de cas où c’est clairement pas optimal, voire impossible en mettant un routeur perso derrière une livebox. Et c’est sans compter la conso électrique non négligeable et inutile d’un truc qui va tourner 24⁄7.
Le 18/08/2022 à 10h 03
C’est bien l’aspirateur qui initie la connexion vers Internet (Roborock S7).
Ce que tu décris ensuite, c’est dans le monde des bisounours, les objets connectés, type aspirateur, se connectent sur le cloud du fabriquant, et via l’appli mobile, qui se connecte aussi sur ce cloud, tu peux contrôler l’aspirateur. C’est malheureux, mais c’est comme ca. C’est pareil pour mon alarme, qui elle se connecte via un cable Ethernet. Il n’y pas d’API en direct sur mon aspi, mon alarme ou le distributeur de croquette. Donc comme je souhaites garder ces fonctionnalités “cloud” qui sont très pratique, je les confine pour qu’ils ne voient qu’eux même et la gateway. Ca permet de limiter grandement le pouvoir d’espionnage ou de hack (volontaire ou non) de tous ces objets plus ou moins mis à jour et gérer avec plus ou moins de sérieux par leur fabriquant.
Par exemple, il est très probable qu’une certaine population chez Orange a accès en ssh à toutes les livebox pour du diag par exemple, ou puisse ouvrir un shell sur le distributeur de croquette via un reverse tunnel et donc si tu ne protège pas individuellement chaqu’un des équipements chez toi (et c’est impossible à faire de toute façon), ca permettrait à quelqu’un de malintentionné de se connecter sur ton NAS par exemple.
Avec des vlan (pour les IoT en ethernet) et le blocage des communications inter-client WiFi, chacun est confiné dans son petit réseau.
Vu ton niveau en réseau, je comprends pas ce que t’essaye de faire…
Tu sort comment de ton vlan niveau IP? il faut bien un moment qu’il y a une interface du routeur dans ce vlan avec une IP pour pouvoir sortir… Et non, je n’ai pas 1 câble par vlan, juste un trunk…
Pourtant IPv6, c’est un peu l’avenir vu que certaine ressource ne sont déjà tout simplement plus accessible en IPv4…
Sinon, pour info:
Ok, on y arrive:
A l’origine, tu défends qu’il n’y a pas besoin de routeur pour filtrer en entrée et sortie. Sauf que pour pouvoir faire passer du traffic qui ne passe pas le proxy (genre UDP), ta machine “proxy” doit “forwarder”, autrement dit “router” le traffic, et donc il faut un routeur… CQFD
Donc quite à mettre un routeur, autant le faire correctement plutôt que de bidouiller avec du DHCP, de la double gateway, du proxy transparent…
Ce shéma crados que tu nous présentes en bloquant par ailleurs l’ICMP Redirect, ca génère du routage asymétrique (la livebox enverra les paquets retour directement au PC sans passer par ton routeur) ce qui rempli les conntrack. A moins de faire du nat en sortie du proxy pour forcer les paquets à repasser par la machine qui sert de proxy, donc double nat tout aussi crados.
Moi ce que je trouve crade, c’est de devoir utiliser un boîtier limité qui m’empêche d’avoir la pleine utilisation de l’IP publique qui m’est attribuée, qui consomme de l’énergie pour rien, et prend de la place pour rien. Ce qu’on défend depuis le début de ce thread, c’est que les FAI ne doivent pas mettre d’obstacle à ceux qui ne souhaite pas utiliser de box opérateur, tout comme c’est le cas en 56k, ADSL, VDSL, réseau mobile, à partir du moment où l’équipement client est compatible avec la technologie utilisé.
Concernant la “liaison qui ne fonctionne plus”, mon routeur, je l’update et reboot quand c’est opportun, pas quand Orange l’a décidé. (expérience vécu: 2 potes qui se font déconnecter à quelques minutes d’intervalle pendant une session de Call of Duty). De plus, 2 routeur en séries, c’est deux fois plus de chance de panne. Et accessoirement, la livebox ne permet pas une bascule automatique sur le réseau mobile lorsque la liaison ftth est down.
Donc bref, en terme de fiabilité, c’est incomparable.
Le 17/08/2022 à 19h 29
Si c’est fait intelligemment, impossible de se faire ban, perso j’ai mis un facteur 7 sur mon upload. Sur des gros fichier partagé par des centaines de personnes et téléchargé des centaines de fois, c’est impossible d’être sûre que je gruge. Ce qui est important, c’est que je télécharge vraiment le fichier, et qu’il soit vraiment dispo si leur système de vérif demande le fichier chez moi.
Ratio master c’est juste un truc de gruge, si le tracker essaie de DL le fichier chez toi, il détectera immédiatement que tu triche.
Sincèrement, j’ai eu K-Net 1Gb/s symétrique pendant plus de 2 ans. Ok, sur des gros update call of duty, ou télécharger un nouveau jeu, c’est bandant de voir que ça télécharge à 110Mo/s, 5 fois dans l’année… Mais au delà de ça, attendre 15mn au lieu de 5mn avec mon Sosh 300/300… ca change pas grand chose au final, 32Mo/s c’est pas rien!, et encore moins si les DL se font en tâche de fond quand le Pc se lance.
Et par rapport à tous les services que j’héberge chez moi, il n’y a aucune différence, c’est souvent le serveur qui ne suis pas coté CPU (je pense à nextcloud en particulier), et toujours pareil, c’est asymétrique.
Le 17/08/2022 à 16h 11
Routeur ADSL: https://www.amazon.fr/TP-Link-TD-W8961N-TP-LINK/dp/B00RK5VU5M
Ca se branche directement sur la prise téléphonique, et c’est pas une livebox. Et accessoirement, sur moins d’un an, c’est moins cher que les 3€ par mois de location de livebox…
Le 17/08/2022 à 16h 04
Je complète ma réponse ci-dessus.
Cette phrase n’a aucun sens. Une default gateway, c’est une IP, un proxy c’est un logiciel. Tu ne peux pas mettre une appli se trouvant sur une machine distante dans une table de routage…
Le 17/08/2022 à 15h 54
Bah mon robot aspi, je le déclenche justement quand je ne suis pas chez moi… Donc oui, il doit avoir accès au net. Et rassure toi, il est tranquille dans son ssid+vlan IoT et ne peux communiquer avec rien d’autre. Et si je peux faire simplement un ssid + vlan dédié à l’IoT, c’est bien parce que j’ai mon routeur (vlan) et point d’accès wifi (ssid) à moi qui me permet de le faire proprement et simplement. Chose qu’il est impossible de faire avec une livebox.
Ensuite,
Tu mélanges encore les deux couches 3 et 7…
La défault gateway, c’est du routage, niveau 3
Un proxy, c’est applicatif, niveau 7
De plus, la configuration du proxy à travers le dhcp, c’est pas magique:
Autrement dit: cette solution est crade en terme de réseau, ne fonctionne qu’au bon vouloir du client, et parfois même ne fonctionne pas du tout.
Le 17/08/2022 à 15h 18
Ok, donc avec 300Mb/s, tu peux toujours streamer 5 Blueray de 40Go sans aucune recompression simultanément. Tu ne m’ôtera pas de la tête que pour ce besoin précis, c’est overkill. Mais soit.
Je vais te filer une astuce, voilà le bout de la spec du protocole BEP3 qui permet au tracker de savoir combien tu as uploader:
*Tracker GET requests have the following keys:
[…]
uploaded
source: https://www.bittorrent.org/beps/bep_0003.html
T’as plus qu’à coder un proxy qui intercepte et modifie les requêtes en temps réel. (61 lignes de python incluant les commentaires pour ma part)
Du coup, pas besoin de up comme un malade pour avoir du quota.
Le 17/08/2022 à 14h 54
Ok, et comment, grâce à la merveilleuse livebox, tu forces l’aspirateur connecté ou la cafetière connecté à utiliser ton proxy?
Le 17/08/2022 à 13h 17
C’est bien un routeur dont il a besoin.
Routeur => IP => couche 3 du modèle OSI
Proxy => applicatif => couche 7 du modèle OSI
Ca ne sert pas du tout à la même chose.
Le 17/08/2022 à 13h 15
K-Net, j’y suis resté 2 ans et demi environ, la philosophie au départ était top, petit opérateur, qui fourni du réseau natif, super communauté (le forum a été fermé par K-Net pour cacher tous les problèmes actuelles…). Les ingé réseaux qui dépanne sur le forum et explique comment le réseau fonctionne en interne.
Mais…
Aujourd’hui (enfin, il y a encore 6 mois), tous les ingés réseaux étaient parti, il y a eu des incidents complètement inadmissibles comme le(s) serveur(s) dhcp qui est tombé pendant 2 semaines. Ces serveurs DHCP servent d’authentification (une grosse magouille de Covage), donc plus de connexion pendant 2 semaines, pour un pauvre problème de serveur DHCP… Aussi, le support incapable de nous envoyer notre préfix IPv6.
C’est vraiment malheureux car je trouvais la philosophie vraiment top, mais je ne peux pas recommander K-Net aujourd’hui. C’est une boite qui n’investi plus, ne recrute plus d’abonné, et voit décroite son nombre de clients au fil des incidents. Ils ne prennent même pas le temps (où n’ont plus les compétences) de renouveller le certificat de la page qui dit que le forum réouvrira bientot (depuis plus de 6 mois…)
Milkiwan, c’est un peu le K-Net 2.0, une association gérer par un passionné (Hugues Voiturier), qui a beaucoup contribué sur le forum de K-Net d’ailleurs, avec des méthodes de travail et du matos récent. J’ai failli aller chez eux en sortant de K-Net, mais après 2 ans de galère, j’ai succombé à la tranquillité d’un réseau Orange qui ne passe par aucun équipement Covage (les plus gros tocards de l’univers), même si j’ai du bidouiller pour me passer de leur livebox moisi.
OVH, bof… en plus ca passe par SFR, donc Covage chez moi (comme tous les opérateurs sauf Orange il me semble). Je ne sais pas où en est la migration depuis le rachat, mais même pas en rêve.
Le 16/08/2022 à 23h 33
En réalité, c’est pas qu’Orange est en retard. Si tu leur demandait, il te dirait même qu’ils sont en avance car ils permettent de faire du NAT vers un équipement identifié “PS5”, Synology”, etc… au lieu d’une cryptique adresse IP que Mme michu ne comprend pas, ou que Robert son petit fils veut juste rediriger le port 666 pour jouer en ligne à Fifa sur sa PS5.
Et pour faire ca, les dev de la livebox font un mix entre les les lease dhcp fourni, les hostnames remonté dans les requetes dhcp, pour proposer du port forwarding dessus.
Alors comme pour la livebox, aucun problème à ce que ceux qui la demande en profite, mais si j’ai envi de faire une redirection toute simple vers une IP, qu’on me laisse cette possibilité bordel.
Le 16/08/2022 à 23h 27
Sauf que l’IP du endpoint IPSec (ton ip public) n’est pas l’IP de l’interface (qui sera en rfc1918) sur le routeur qui termine le tunnel IPSec. Pour monter un tunnel ipsec site2site, identifié via l’IP de chaque peer, l’un des deux coté va se connecter à l’IP public, sauf que c’est un équipement avec une IP rfc1918 qui va recevoir le traffic, et donc ne répond pas. Il faut alors passer en identification via ID, sauf que n’importe quel attaquand peut usurper l’ID, alors que c’est bien plus difficile via l’IP.
Je l’ai déjà essayer aussi, la livebox ne délègue qu’un seul /64 par équipement qui le demande. En IPv6, le /64 est le masque le plus petit nécessaire pour faire de la RA.
Concrètement, ca ne permet d’avoir qu’un seul réseau du coté lan du routeur.
Si c’était fait correctement, la livebox déléguerait un /58, /59 ou /60, qui permet d’être redécoupé en plusieurs /64 pour pouvoir avoir plusieurs réseau locaux différents (un réseau privé, un réseau guest, un réseau IoT, etc…)
Comme le fait la freebox aussi, et c’est très bien car ca permet d’avoir un adressage fixe. Manuel ou prefix delegation d’un truc plus grand que /64, c’est kif kif, mais la livebox ne permet ni l’un ni l’autre.
Admettons même que tout les problèmes cité au dessus n’en soit pas, 9W de conso pour un truc qui ne me sert à rien, c’est 14€ par an de balancé par la fenêtre, du chauffage dont je n’ai pas besoin dans mon garage, et ca prend de la place dans ma petite baie.
Ton setup ne permet d’avoir plusieurs vlan. De plus, faire du firewalling avec du routage asymétrique, ca fou la zone dans les tables de conntrack qui ne font que se remplir vu que le routeur ne voit pas tous les flags FIN ou RST.
Et quitte à arriver à un truc déguelasse, je préfère encore ne garder que la livebox et faire avec…
Je vais encore une fois citer alex.d car c’est très bien dit:
“Bref, j’ai mon serveur à la maison, j’ai mon routeur, la box est un obstacle contre lequel je passe trop de temps à lutter. Moi je veux juste une connexion IP, bref, un accès Internet, mais pas plus.”
Le 16/08/2022 à 17h 41
Vu ton pseudo, je vais supposer que t’as des notions de réseaux. Donc on va simplifier en montant un peu le niveau (paroxe).
Tu fais une fixette sur l’ONT, mais au niveau des couches OSI, c’est en dessous d’IP. Une ONT, ce n’est pas un routeur, ca permet juste de “terminer” l’abre gpon, c’est au même niveau que l’ethernet ou l’ATM. Il n’y a pas d’intelligence IP, ca ne filtre pas, c’est neutre, tu peux même passer des VLANs dessus si ca te chante.
Donc:
Donc un FAI, c’est un fournisseur de connectivité et d’adresse IP sur le réseau Internet. Point.
Et ca tombe bien, car c’est exactement le service fourni en sortie d’une ONT.
La livebox, ou tout autre routeur opérateur, c’est pour fournir du service au dessus de cette connectivité IP => TV, Tel, WiFi, etc…
Donc pour reprendre l’analogie de alex.d qui est très pertinente:
Il ne viendrait pas à l’esprit d’être forcé d’utiliser un téléphone opérateur limité, lourd, avec un GPS approximatif, qui n’autorise pas l’installation de candy crush. A la place, tu préfères t’acheter un smartphone récent et performant par tes propres moyens sans rien demandé à l’opérateur.
Bah c’est pareil pour les box opérateur, je ne veux pas être forcé d’utiliser leur box limité, qui consomme trop d’électricité, avec laquelle je ne peux pas monter de tunnel IPSec. Je veux pouvoir utiliser mon routeur performant avec laquel je peux faire du prefix delegation sans rien demander à l’opérateur.
La guerre en Ukraine ne respecte pas les normes de la cyberguerre
17/08/2022
Le 17/08/2022 à 16h 39
Quand Elon Musk montre la lune, la presse regarde ses doigts
17/08/2022
Le 17/08/2022 à 07h 03
Du coup, tu parles de lui la…