Le coup de l'inscription sur un site tiers, avec tout ce que ça présente en terme de risque pour la vie privée et donc la sécurité, on est bien d'accord, c'est une blague ?
VPN signifie Virtual Private Network. Le terme défini une méthode, pas un service.
Les services possibles sont bien plus nombreux que l'évasion d'un FAI ou d'une zone juridique (et supposément de sa juridiction). Citons :
- Interconnexion de réseaux distants au travers d'un réseau commun
- Dissimulation de trafic
- Échappement d'un réseau malsain (pour un usage donné)
Les services dits de "VPN" à destination du grand public sont l'équivalent d'un service de connectivité "bulletproof" permettant de se soustraire à des restrictions géographiques / administratives (légales ou par contrat).
La plupart consistent en l'établissement d'un tunnel permettant d'encapsuler tout ou partie du trafic pour le faire ressortir à un autre "endroit" d'Internet.
Ces tunnels ne sont pas nécessairement chiffrés, ou le sont généralement de façon trop faible pour avoir le moindre intérêt. Ils n'apportent pas le moindre gain en performance car par nature ils ajoutent une surcharge (encapsulation) qui réduit le MTU du lien émulé.
Le gain de performance ressenti peut être lié au fait que le réseau d'origine a une politique d'interconnexion moins bonne que le réseau du fournisseur de VPN, qui aura plus de peerings vers les services utilisés que le premier.
Donc, pour clarifier :
- Un VPN n'est PAS plus rapide quand le réseau initial fait correctement son boulot, et marginalement plus performant en ressenti au mieux
- La plupart des services VPN sont tellement mal chiffrés qu'ils n'offrent aucune sécurité, juste une illusion, comme le NAT.
- Crypter n'existe pas en français. Rien que ça suffit comme Big Red Flag sur la pertinence du post.
J'ai tourné pendant pas mal de temps avec CM9, et là changement de téléphone pour un modèle ou seul le 10.1 est supporté. Tout marche bien SAUF le tethering.
Je choppe bien une adresse IP, il répond bien au DNS, mais ne natte pas.
J'ai eu beau passer des heures à fouiller les forums, je n'ai rien trouvé de pertinent à ce sujet. Je peux quand même pas être le seul à avoir ce problème, si ?
Vote with your wallet. Tu trouveras des routeurs sympa et pas chers chez Mikrotik et Ubiquity par exemple, d'autres à base de SoC embarqués sous Linux, et bien entendu tout ce qui supporte OpenWRT supportera IPv6.
Pour la connexion ADSL, un simple modem Ethernet à 12€ suffit. Pour la fibre, tu peux bypasser la freebox en redirigeant le VLAN 836 vers ton routeur. En câble ou GePON, c'est plus dur.
Joli thread, plein de posts intéressés, ça fait plaisir. Quelques remarques cependant.
L'idée derrière la série de HowTos, c'est de diffuser plus d'information sur le fonctionnement très méconnu du secteur des télécom et d'Internet. J'ai commencé par ce sur quoi je bosse en ce moment, mais c'est juste un brouillon du tout début, on est très loin de l'ensemble de ce qu'il faut savoir.
Le débat sur la facturation de la bande passante et les quotas est en fait un faux problème dans les réseaux majeurs. La bande passante ne coute rien à produire, hormis de l'énergie pour alimenter les machines. Qu'on produise 1Mbps ou 1Gbps, sur un port gigabit, c'est le même prix. Il n'y a que deux nuances :
- Il faut amortir le matériel, et un matériel capable de router 10Gbps est plus cher qu'un autre qui ne routerait que 100Mbps. Mais prix d'un tel routeur (disons 15k€) est quasi insignifiant par rapport à la boucle local qui desservira les 10000 usagers (à la louche entre 3 et 5m€) dont la consommation justifiera ce routeur (on compte 1Mbps par tête, sachant qu'en ADSL, aujourd'hui on est plutôt à 150 voir 200kbps moyen par usager)
- Les histoires de paid peering et les négociations au forceps entre comcast et level3, ou plus proche de chez nous entre free ou sfr et dailymotion, c'est du au besoin des financiers de valoriser quelque chose qui ne coute rien, parce qu'un jour, l'un d'eux a du dire "ça, c'est rentable".
Donc bon, quotas, gestion de la contention, tout ça... C'est plus simple de mettre des tuyaux plus gros que les usages, c'est pas beaucoup plus cher, et au moins ça laisse de quoi voire venir à moyen terme. Moi j'appelle ça "un investissement raisonnable" et accessoirement "un souci en moins".
Seulement voilà, ce n'est pas ce qu'il faut retenir de ce qui est en train de se passer. Certes, le modèle économique a son importance, et les coûts doivent être maitrisés, ce qui est non trivial quand on démarre un FAI. Mais c'est pas grave, FDN est là pour aider, et quiconque veut se lancer recevra autant d'aide et de conseils que les bénévoles de l'association (et quelques opérateurs amis) sont capables d'en fournir.
Ce qui est important dans tout ça, c'est le fait que C'EST POSSIBLE !!! Faire son propre FAI, en WiFi ou en ADSL, ou avec un réseau d'initiative public (s'il est bien conçu), ça n'implique que relativement peu d'investissement (il est même quasi nul en démarrant avec les morceaux mis à disposition par FDN).
Pour ce qui est de construire un réseau en fibre optique, c'est aussi possible, c'est même nécessaire là ou les gros n'iront pas, mais les investissements nécessaires sont élevés.
Actuellement, il faut entre un et trois ans de terrain pour apprendre le métier de la construction de réseau (le HowTo est sensé réduire un peu le délai, quand je l'aurai fini). L'ensemble de l'outillage nécessaire pour construire du génie civil, souffler des câbles et souder les fibres, ça représente à peu près 50k€. Ensuite, chaque village aura une topologie sensiblement différente, donc les coûts varient facilement, mais les prix indiqués dans la première partie du howto devraient vous donner une idée. Mais comme dans la plupart des cas ça peut couter moins de 1k€ tout compris par prise, et qu'une fois le réseau en place, il n'y a plus que la bande passante à payer, ça fait des accès pas chers, hein ?
C'est là tous le but de la démarche : on peut créer de nouveaux réseaux, ça coute des sous au départ mais c'est pas affreusement complexe, et ça s'amorti bien. 300 prises, c'est un bon départ, voir le minimum vu les contraintes réglementaires, et c'est le genre de réseau qu'on peut déployer à une dizaine de personnes en moins d'un mois. Alors voilà, si vous voulez du très haut débit dans vos patelins, vous pouvez en parler, c'est possible. Juste, ça coute le prix d'une petite baraque, mais toutes celles du patelin verront leur valeur augmenter grâce à l'attractivité du réseau, alors tout le monde s'y retrouve ;)
Donc pour ceux que ça intéresse vraiment, à très bientôt sur la ML !
Oui, l'explication est simple : les scripts de synchro vont être amenés à bouger régulièrement.
On sait maintenant que donner un nom DNS ou une IP, c'est pas durable.
On pourrait distribuer de façon décentralisée, en archives torrent par exemple, mais il faudrait pouvoir intégrer ça de façon à ce que ce soit automatique pour tous les miroirs.
Il existe déjà une archive remise à jour quotidiennement et releasée en torrents (cablegate.7z), vous pourriez tout à fait scripter de quoi la récupérer et la mettre en place périodiquement sur un vhost dont vous suprimeriez la clef ssh après référencement...
``Enfin pour qu'un codec soit adopté (massivement par les équipementiers) il faudrait que le codec soit au moins validé par l'ITU (organisme de certification). Ce qui est déjà le cas pour G.722 et CELT.''
Il faut aussi et surtout qu'il soit implémentable sur des DSP bas de gamme comme ceux qu'on trouve dans les ATA à moins de $50 ou les téléphones à $80, et pas uniquement dans des softphones.
Mais peut être existe t il du hardware à prix raisonnable qui supporte le Speex et le CELT, si c'est le cas ça m'intéresse beaucoup !
Les deltas, ou snapshots, sont complètement indépendants de l'OS invité. Tu peux faire des snapshots d'une VM Linux ou *BSD, l'hyperviseur rassemblera le template et les snapshots pour que ce soit transparent dans la VM.
Bizarrement, je dirais que c'est plutôt une bonne chose. KDE c'est l'environnement idéal pour un otage récemment libéré. Il est suffisamment proche de son ancien desktop pour qu'il ne soit pas trop dépaysé.
Bon par contre la CSS du jour... Heureusement qu'on peut les bloquer !
C'est amusant de voir un post parlant de sécurité et contenant la chaine de caractères "cryptage". Tout de suite, c'est moins crédible.
Le problème de dolibarr, c'est qu'il est fait dans une optique d'utilisation intranet, il n'est pas conçu pour tenir face à une attaque en charge ou en fuzzing. Je doute que de tels tests soient faits sur le cycle de développement. Mais sur un LAN, ou en local, pas de problème.
Windows peut tout à fait booter depuis de la flash, même depuis 1Go de flash, il y a deux versions parfaitements adaptées à cette tâche : XPe (Windows XP SP2 Embedded) et XP-FLP (Windows XP SP2 For Legacy PC).
Il est aussi possible d'alleger un windows 2000 ou XP avec nLite afin de minimiser son empreinte.
Enfin, un "Live Windows" existe, il s'agit, au choix de WinPE ou BartPE (Pre Execution), ou tout simplement de l'installation de Vista. Bien que peu docummenté, il est tout à fait possible de faire un live windows ou même de le netbooter, mais ça les étudiants d'IONIS le savent déjà.
Un dernier point, Intel sort bientot une carte mini-*ITX à base de celeron/core solo prevue pour booter sur un DOM 2Go branché en dual USB, parfait pour XP Starter Edition puisque la carte est destinée aux marchés émergents.
Bref rien n'empêcherai Windows de tourner sur cette machine ou même sur l'OLPC. On peut faire beacoup de choses avec Windows quand on sait s'en servir... Avec assez d'ouverture d'esprit on peut même se rendre compte que c'est pas nécessairement un mauvais choix.
Par contre j'ai du mal a comprendre pourquoi Mandriva...
# eventbrite ?!
Posté par NicolBolas . En réponse à la dépêche Programme de la PyConFR 2017. Évalué à 1.
Le coup de l'inscription sur un site tiers, avec tout ce que ça présente en terme de risque pour la vie privée et donc la sécurité, on est bien d'accord, c'est une blague ?
# Clarification
Posté par NicolBolas . En réponse au message Les avantages du VPN. Évalué à 2.
VPN signifie Virtual Private Network. Le terme défini une méthode, pas un service.
Les services possibles sont bien plus nombreux que l'évasion d'un FAI ou d'une zone juridique (et supposément de sa juridiction). Citons :
- Interconnexion de réseaux distants au travers d'un réseau commun
- Dissimulation de trafic
- Échappement d'un réseau malsain (pour un usage donné)
Les services dits de "VPN" à destination du grand public sont l'équivalent d'un service de connectivité "bulletproof" permettant de se soustraire à des restrictions géographiques / administratives (légales ou par contrat).
La plupart consistent en l'établissement d'un tunnel permettant d'encapsuler tout ou partie du trafic pour le faire ressortir à un autre "endroit" d'Internet.
Ces tunnels ne sont pas nécessairement chiffrés, ou le sont généralement de façon trop faible pour avoir le moindre intérêt. Ils n'apportent pas le moindre gain en performance car par nature ils ajoutent une surcharge (encapsulation) qui réduit le MTU du lien émulé.
Le gain de performance ressenti peut être lié au fait que le réseau d'origine a une politique d'interconnexion moins bonne que le réseau du fournisseur de VPN, qui aura plus de peerings vers les services utilisés que le premier.
Donc, pour clarifier :
- Un VPN n'est PAS plus rapide quand le réseau initial fait correctement son boulot, et marginalement plus performant en ressenti au mieux
- La plupart des services VPN sont tellement mal chiffrés qu'ils n'offrent aucune sécurité, juste une illusion, comme le NAT.
- Crypter n'existe pas en français. Rien que ça suffit comme Big Red Flag sur la pertinence du post.
# Encore des trucs pas secs
Posté par NicolBolas . En réponse à la dépêche CyanogenMod 10.1, basé sur Jelly Bean 4.2. Évalué à 1.
J'ai tourné pendant pas mal de temps avec CM9, et là changement de téléphone pour un modèle ou seul le 10.1 est supporté. Tout marche bien SAUF le tethering.
Je choppe bien une adresse IP, il répond bien au DNS, mais ne natte pas.
J'ai eu beau passer des heures à fouiller les forums, je n'ai rien trouvé de pertinent à ce sujet. Je peux quand même pas être le seul à avoir ce problème, si ?
[^] # Re: Ipv4, la faute en partie à Netgear
Posté par NicolBolas . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 0.
Vote with your wallet. Tu trouveras des routeurs sympa et pas chers chez Mikrotik et Ubiquity par exemple, d'autres à base de SoC embarqués sous Linux, et bien entendu tout ce qui supporte OpenWRT supportera IPv6.
Pour la connexion ADSL, un simple modem Ethernet à 12€ suffit. Pour la fibre, tu peux bypasser la freebox en redirigeant le VLAN 836 vers ton routeur. En câble ou GePON, c'est plus dur.
# Roadmap ?
Posté par NicolBolas . En réponse à la dépêche Sortie de Modoboa 0.9.1. Évalué à 1.
Est ce qu'il y a une roadmap des features prévues ou au moins envisagées ?
# Pas d'emballement !
Posté par NicolBolas . En réponse à la dépêche Fibrer, c'est faisable par une bande de copains. Évalué à 7.
L'idée derrière la série de HowTos, c'est de diffuser plus d'information sur le fonctionnement très méconnu du secteur des télécom et d'Internet. J'ai commencé par ce sur quoi je bosse en ce moment, mais c'est juste un brouillon du tout début, on est très loin de l'ensemble de ce qu'il faut savoir.
Le débat sur la facturation de la bande passante et les quotas est en fait un faux problème dans les réseaux majeurs. La bande passante ne coute rien à produire, hormis de l'énergie pour alimenter les machines. Qu'on produise 1Mbps ou 1Gbps, sur un port gigabit, c'est le même prix. Il n'y a que deux nuances :
- Il faut amortir le matériel, et un matériel capable de router 10Gbps est plus cher qu'un autre qui ne routerait que 100Mbps. Mais prix d'un tel routeur (disons 15k€) est quasi insignifiant par rapport à la boucle local qui desservira les 10000 usagers (à la louche entre 3 et 5m€) dont la consommation justifiera ce routeur (on compte 1Mbps par tête, sachant qu'en ADSL, aujourd'hui on est plutôt à 150 voir 200kbps moyen par usager)
- Les histoires de paid peering et les négociations au forceps entre comcast et level3, ou plus proche de chez nous entre free ou sfr et dailymotion, c'est du au besoin des financiers de valoriser quelque chose qui ne coute rien, parce qu'un jour, l'un d'eux a du dire "ça, c'est rentable".
Donc bon, quotas, gestion de la contention, tout ça... C'est plus simple de mettre des tuyaux plus gros que les usages, c'est pas beaucoup plus cher, et au moins ça laisse de quoi voire venir à moyen terme. Moi j'appelle ça "un investissement raisonnable" et accessoirement "un souci en moins".
Seulement voilà, ce n'est pas ce qu'il faut retenir de ce qui est en train de se passer. Certes, le modèle économique a son importance, et les coûts doivent être maitrisés, ce qui est non trivial quand on démarre un FAI. Mais c'est pas grave, FDN est là pour aider, et quiconque veut se lancer recevra autant d'aide et de conseils que les bénévoles de l'association (et quelques opérateurs amis) sont capables d'en fournir.
Ce qui est important dans tout ça, c'est le fait que C'EST POSSIBLE !!! Faire son propre FAI, en WiFi ou en ADSL, ou avec un réseau d'initiative public (s'il est bien conçu), ça n'implique que relativement peu d'investissement (il est même quasi nul en démarrant avec les morceaux mis à disposition par FDN).
Pour ce qui est de construire un réseau en fibre optique, c'est aussi possible, c'est même nécessaire là ou les gros n'iront pas, mais les investissements nécessaires sont élevés.
Actuellement, il faut entre un et trois ans de terrain pour apprendre le métier de la construction de réseau (le HowTo est sensé réduire un peu le délai, quand je l'aurai fini). L'ensemble de l'outillage nécessaire pour construire du génie civil, souffler des câbles et souder les fibres, ça représente à peu près 50k€. Ensuite, chaque village aura une topologie sensiblement différente, donc les coûts varient facilement, mais les prix indiqués dans la première partie du howto devraient vous donner une idée. Mais comme dans la plupart des cas ça peut couter moins de 1k€ tout compris par prise, et qu'une fois le réseau en place, il n'y a plus que la bande passante à payer, ça fait des accès pas chers, hein ?
C'est là tous le but de la démarche : on peut créer de nouveaux réseaux, ça coute des sous au départ mais c'est pas affreusement complexe, et ça s'amorti bien. 300 prises, c'est un bon départ, voir le minimum vu les contraintes réglementaires, et c'est le genre de réseau qu'on peut déployer à une dizaine de personnes en moins d'un mois. Alors voilà, si vous voulez du très haut débit dans vos patelins, vous pouvez en parler, c'est possible. Juste, ça coute le prix d'une petite baraque, mais toutes celles du patelin verront leur valeur augmenter grâce à l'attractivité du réseau, alors tout le monde s'y retrouve ;)
Donc pour ceux que ça intéresse vraiment, à très bientôt sur la ML !
[^] # Re: remarque
Posté par NicolBolas . En réponse au journal WikiLeaks - Mass Mirroring Project - On a besoin de vous !. Évalué à 2.
On sait maintenant que donner un nom DNS ou une IP, c'est pas durable.
On pourrait distribuer de façon décentralisée, en archives torrent par exemple, mais il faudrait pouvoir intégrer ça de façon à ce que ce soit automatique pour tous les miroirs.
Il existe déjà une archive remise à jour quotidiennement et releasée en torrents (cablegate.7z), vous pourriez tout à fait scripter de quoi la récupérer et la mettre en place périodiquement sur un vhost dont vous suprimeriez la clef ssh après référencement...
# ya du boulot
Posté par NicolBolas . En réponse à la dépêche Débusquons la pub illégitime faite à des logiciels privateurs. Évalué à 8.
7190 réponses...
[^] # Re: Merci
Posté par NicolBolas . En réponse à la dépêche En vrac, spécial Ruby. Évalué à 2.
[^] # Re: Speex mort?
Posté par NicolBolas . En réponse à la dépêche Codec OpenSource BroadVoice. Évalué à 1.
Il faut aussi et surtout qu'il soit implémentable sur des DSP bas de gamme comme ceux qu'on trouve dans les ATA à moins de $50 ou les téléphones à $80, et pas uniquement dans des softphones.
Mais peut être existe t il du hardware à prix raisonnable qui supporte le Speex et le CELT, si c'est le cas ça m'intéresse beaucoup !
[^] # Re: Pas trop saisi
Posté par NicolBolas . En réponse à la dépêche VMware View Open Client passe sous LGPL. Évalué à 1.
[^] # Re: Windows
Posté par NicolBolas . En réponse à la dépêche KDE 4.2 : The Answer. Évalué à 0.
Bon par contre la CSS du jour... Heureusement qu'on peut les bloquer !
[^] # Re: Et les scripts de démarrage?
Posté par NicolBolas . En réponse à la dépêche L'évolution de Fastboot. Évalué à 3.
- upstart (ubuntu)
- initng (debian/ubuntu/fedora/gentoo)
sont les plus connus et déjà utilisables.
Après il y a des approches plus prometteuses, mais qui demandent plus de boulot, comme launchd, déjà à l'œuvre dans Mac OS
[^] # Re: securite
Posté par NicolBolas . En réponse à la dépêche Dolibarr 2.5 disponible. Évalué à 1.
Le problème de dolibarr, c'est qu'il est fait dans une optique d'utilisation intranet, il n'est pas conçu pour tenir face à une attaque en charge ou en fuzzing. Je doute que de tels tests soient faits sur le cycle de développement. Mais sur un LAN, ou en local, pas de problème.
[^] # Re: pas windows ?
Posté par NicolBolas . En réponse à la dépêche Classmate PC : un concurrent pour OLPC ?. Évalué à 4.
Il est aussi possible d'alleger un windows 2000 ou XP avec nLite afin de minimiser son empreinte.
Enfin, un "Live Windows" existe, il s'agit, au choix de WinPE ou BartPE (Pre Execution), ou tout simplement de l'installation de Vista. Bien que peu docummenté, il est tout à fait possible de faire un live windows ou même de le netbooter, mais ça les étudiants d'IONIS le savent déjà.
Un dernier point, Intel sort bientot une carte mini-*ITX à base de celeron/core solo prevue pour booter sur un DOM 2Go branché en dual USB, parfait pour XP Starter Edition puisque la carte est destinée aux marchés émergents.
Bref rien n'empêcherai Windows de tourner sur cette machine ou même sur l'OLPC. On peut faire beacoup de choses avec Windows quand on sait s'en servir... Avec assez d'ouverture d'esprit on peut même se rendre compte que c'est pas nécessairement un mauvais choix.
Par contre j'ai du mal a comprendre pourquoi Mandriva...
[^] # Re: partisan mais interessant
Posté par NicolBolas . En réponse à la dépêche Interview De Icaza et actualité Mono. Évalué à 5.