TutoMaker a écrit 146 commentaires

ce qui peut expliqué la charge CPU sur le serveur VPN dans le cas d'une communication interclient.

Ce qui explique que j'ai préféré prendre une machine doté de 8 coeurs plus tôt qu'un vulgaire routeurs VPN avec un proco cadencé a 200-300Mhz comme il en pleut sur amazon :P
D'où ma déception envers OpenVPN (qui semble super utilisé) qui n'est toujours pas capable d'utiliser les capacités d'un CPU en 2017.
D'où mon envie de chercher une alternative sans, encore, perdre un nombre trop élevé d'heures de ma courte vie d'humain. :D

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Je ne comprends pas trop se que tu veux dire.
Entre le client et le frontend oui c'est de la liaison normale. (exemple http/https)
Par contre entre les clients du VPN (par exemple du frontend vers un serveur web), les communications sont chiffrées par le VPN.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

et un serveur VPN de l'entreprise pour acceder au LAN de l'entreprise,

Je ne suis pas en entreprise. Je ne suis pas un professionnel de l'informatique, je n'ai et n'aurai définitivement pas le même cahier des charges.

Le but n'est pas d'accéder au LAN (pour quoi faire?) vérolé par la Box, mais de faire communiquer entre elles des machines, peu importe leur situation géographique ou que le logiciel qu'elles utilisent utilise de la crypto ou non.
Et en prime, cadeau bonus, ça permet de n'exposer aucune machine ni sur le LAN (port fermé), ni sur le WAN.

parce que si ce n'est que toi, tu sais que le flux entre ton serveur VPN et la destination de ta demande (serveur email, serveur de fichier, serveur intranet) sera de toute facon en clair, ou au mieux en https

Les destinations restent à l'intérieur des VPN ;)

et pour l'IP fixe, au sein de l'entreprise, tu peux figer les adresses d'un DHCP, cela s'appelle une reservation d'IP, cela se base sur l'adresse MAC.

Pas que en entreprise, n'importe quel routeur bas de gamme peu faire ça. (j'ai eu des cours réseau même si j'aime bien faire croire que non :D )

genre glusterfs ou drbd au travers du vpn local

J'ai testé et ça fonctionne sans soucis (par contre limité à moins de 15Mo/s). Ça évite les bugs lié à TLS avec glusterfs mais faut apprécier cette lenteur.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

faire un VPN entre deux machines qui sont sur le meme reseau gigabit ne vaut rien

Ça, c'est ton point de vue.
Perso j'estime que le réseau LAN (même en entreprise) n'est pas digne de confiance.
De plus le VPN offre de la souplesse (IP fixe et accessible que la machine soit mobile ou statique, sur le même LAN ou pas, et ce sans être visible sur le grand nain ternet).

2MiB/s sur un fichier de 5Go

Le miens tourne à 13Mo/s et je trouve ça beaucoup, beaucoup, beaucoup trop lent. (Je veux dépasser les 100Mo/s).

evidemment avec openvpn, il faut jouer des options tcp/udp, compression ou non, ainsi que du niveau de chiffrement

Ça ne change rien, le processus monte à 100% (voir plus) alors que les autres cœurs du processeur glandent complet. (c'est trop "géniale" de voir 1 cœur bosser à +100% tandis que les 7 autres cœurs sont à 0,1%)
Et quand le processus arrive à 100%, toutes les liaisons vers les clients (connecté à ce processus) se mettent à lagger voir deviennent inaccessible. (je le vois très bien dans mes stats HaProxy chaque fois que j'upload un fichier vers un des vhost)
C'est un problème connu d'OpenVPN que les devs ne semblent pas capable de corriger.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Le "apt-get --simulate upgrade" oui. La dernière commande, elle par contre va lancer (appliquer) la mise à jours.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

sed -i 's/jessie/stretch/g' /etc/apt/sources.list
apt-get update

ensuite pour simuler

apt-get --simulate upgrade

pour faire la mise à jours

apt-get dist-upgrade

PS: pense à faire un backup

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

faire une recherche sur le web, lire des documentations

Ils donnent trop peu d'informations (genre softether n'indique pas s'il est multithread, ne met pas en évidence qu'ils ne sont jamais sorti de la version beta, qu'il n'y a aucun package dans les distro, etc).
De plus passer son temps a lire les docs de toutes les alternatives à chaque fois que l'on souhaite utiliser un type de logiciel nécessiterait plus d'une vie humaine :P

Un bon retour d'utilisation vaut toute la doc du monde.

ca (le débit) depend de tellement de chose

Suffit de connecter deux clients avec mémoire SSD/Flash et le VPN au même switch gigabit et de lancer un gros upload entre les deux client puis d'observer le débit max.
Avec OpenVPN c'est tellement bas que c'est pitoyable.

pourquoi faire ? parce que c'est mode ?

Parce que se qui limite OpenVPN, c'est le mono-processus qui pourris complètement la bande passante voir casse les tunnels entre les autres clients quand un consomme tout le cœur du CPU (pendant que les autres cœurs glandent).

on peut imaginer que oui si c'est [audité]

J'ai de très sérieux doute sur le fait que ne serait-ce que la moitié des logiciels de VPN ont été audité :P (en tout cas, aucun ne semble le mettre en avant)

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Typiquement, la moins chers pour juste alimenter une seul pièce durant les 20-50 prochaines années (voir plus si affinité), tu choisirais quel matos ? :)

PS : merci, je regrette de ne jamais avoir eu de cours réseau poussé :)

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Je ne connaissais pas les baies de brassage (faut dire que l'explication de wikipedia est compliquée a côté de "switch rackable dans boite" :P ).
Je vais regarder de ce coté, merci pour le mot clés ;)
Par contre de recup ca doit être encore plus rare que les boitiers electrique :P

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Qu'est ce que tu entends par à l'arrache? Au final une baie de brassage ce n'est qu'un switch dans une boite.
Ici le but n'est pas de fournir des prises murales et ça fait actuellement bien son job :) (on est pas dans un milieu d'entreprise avec des beaux bâtiments tout neuf, un budget mirobolant et des ouvriers à disposition, c'est du full DIY avec toutes les contraintes liées :) )

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

On est pas assez riche pour se payer ce genre d'installation ^ ^

Ici passer une simple liaison RJ45 Cat6 SFTP est suffisante pour relier entre elles les switch dans chaque pièce. Puis on relie les switch de bureau ou les objets qui ne bougent pas au switch de la pièce.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

j'avoue que j'ai du mal à comprendre l'interet de faire une armoire pour mettre un switch 8 ports

Que se soit propre, indépendant du contenu de la pièce, protégé des intempéries/cataclismes ainsi que protégé des humains/animaux. :)
Tout cela bien entendu pour des switch sur lesquels on ne branche/débranche jamais rien (genre la télé tant qu'elle ne change pas de place).
Note qu'on ne parle pas uniquement de pièces habitées mais aussi de lieu publique.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

soit il est juste protégé par en haut de la pluie qui tombe, mais ouvert au courant d'air, et donc à la poussiere et humidité ambiante,

on oublie souvent aussi les insectes :D

En outdoor pour le moment j’utilise des boîtiers électriques hors de prix et pas facile d'avoir de récup.
Pour l'intérieur : des boîtiers en plastique (que je sais pas trop si je peux fermer hermétiquement, se qui m'arrangerais vu que la Belgique est un pays inondable).

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Vous n'avez pas peur du split brain? (surtout sachant qu'il arrive que les peers glusterfs, bien qu'en ligne, soient marqué comme Disconnect quand on lance gluster peer statu (j'ai ce bug depuis le début que je testé glusterfs soit deux bonnes années, et autant sur ubuntu que raspbian))
Il se passe quoi encore si un des deux serveurs tombe en panne durant quelques heures (j'ose pas faire le teste par peur d'encore péter mon raid).

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

tu vas au rayon electricité du magasin

Pour le moment c'est se que je fais. Mais soit ils vendent des bien trop grosses à des prix excessif, soit des trop petites (dans lesquels on peut éventuellement rentrer un switch 5 ports mais pas 8 ports).

soit tu cherches des trucs tout fais

trop chers ^ ^ (tellement chers que certains site, genre Schneider, n'affichent même pas les prix)

etanche

N'est-ce pas dangereux? (surchauffe ?) Tout du moins pour celle en plastique (les boites métalliques évacuant plus facilement le trop plein de chaleur).

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Oui, quand on manque de place parce qu'on veut rajouter une pièce c'est désagréable :P

Là je recherche des boites indoor/outdoor pour 1 à 2 switch 8 ports (avec si possible raccordement électrique à l'intérieur) et une boite indoor pour un routeur (dont l'antenne sera à l'extérieur du boîtier) + switch POE.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Je n'ai pas testé : gluster-block

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Je n'ai pas encore testé Ceph (la longueur des tutos démotive) mais il a l'air de nécessiter beaucoup beaucoup beaucoup plus de ressources machine que GlusterFS.

As-tu testé GlusterFS en WAN ? (j'ai testé dernièrement, tellement lent qu'apache2 n'arrivait pas a fonctionner correctement)
Les replica 3 arbiter 1 fonctionnent chez vous?
Les nœuds n'ont jamais de soucis de reconnexion?

Quelqu'un aurait un/des retour(s) d'expérience sur les autres alternatives? (MooseFS, OrangeFS, Tahoe-LAFS, etc)

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Il risque hélas de rester brouillon durant encore quelques mois (je dois tout installer/tester à la mano, ça prend pas mal de temps *1)
Mais promis quand il sera terminé je le signalerai sur LinuxFR.

*1 et a part Mtux ci-bas, quand je demande des retours d'expérience je me tape des gros vides :D

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

L'envoie est gratuit ou alors on paye puis ils remboursent?

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

La domination du smartphone ne va pas aider Linux.

La domination du smartphone fait que des gens passent des années sur Android.
Quand ils veulent se reprendre un pc, peu importe l'OS ils vont devoir changer d'habitude et peuvent donc privilégier des systèmes qui n'ont pas l’exécrable réputation de windobe. Et heureusement pour Linux, le matraquage de mensonge marketing d'Apple ne compense pas son prix (et participe à lever toujours plus de troll s'attaquant à sa réputation).

Merci pour ton retour d'infos sur les SAV. Ça coûte pas trop chers de renvoyer une machine au SAV par coli?

le succès de Ubuntu ou Firefox sur les smartphones

En même temps vu leur prix !

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

L'offre existe même si elle est petite.

Pour le moment d'après mes recherches, l'offre n'existe que sur internet et n'est pas terrible (pc plus chers) ou alors en magasin uniquement pour des tours.
En magasin je n'ai pas trouvé de pc portable sans windobe ni android.
Mais si quelqu'un trouve, je suis a la recherche, pour une personne lambda justement, d'une machine (full compatible ubuntu) pas chers et non bloquée sur un OS. Si possible en magasin (meilleur SAV) en Belgique (voir au pire France/Pays-Bas mais je n'ai pas la moindre idée de la qualité des SAV de ces deux pays).

Déjà changer sa version de Windows par une plus récente c'est tout une affaire alors s'il faut changer tout le fonctionnement… Apple y arrive parce qu'ils ont une image de marque.

La domination du smartphone est en train de bouleverser cette donne.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

SVP quelqu'un pour changer le titre en "[Tuto/HowTo] [Ubuntu/Debian] Chiffrer les communication des nœuds Glusterfs pour un ou plusieurs volumes" ou similaire suivant taille max possible ?

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

L'une parce qu'il y a des éditeurs qui "sponsorise" l'installation de leurs logiciels.

Ah, bonne remarque, j'oublie tout le temps qu'on se tape full pub sur les pc avec un windobe dedans (entre autre McAffee, PhotoShop et autres truc douteux).

Dans ton lien :

1. est-ce international?

2. "Le(s) CDs du système d’exploitation Microsoft uniquement, si ce sont des supports originaux fournis par Acer (à l’exception des CDs contenant Norton Antivirus ou d’autres logiciels en versions d’essais ou gratuites)." Quid des 100% de pc vendu sans aucun CD DVD? Quid des autres logiciels?

Un pc Windows est beaucoup plus vendu qu'un pc sans Windows

L'offre n'existant pas, c'est pas très compliqué. Déjà que les marchands font exprès d'avoir des machines/offres légèrement différentes histoire de ne jamais entrer en concurrence directe entre eux.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Je n'ai pas testé seafile.
Si tu veux utiliser FTPS ou SFTP (ou encore SSHFS si tu veux faire du streaming) sans avoir envie de te suicider devant la complexité d'une sécurisation qui "parait" pourtant simple: jette un œil du côté de FreeNAS qui apporte une interface permettant de gérer des utilisateurs systèmes depuis une interface web.
Par contre FreeNAS est basé sur FreeBSD qui est réputé un chouillat plus compliqué que Linux (exemple : si je me rappel bien faire des update de FreeNAS est plus compliqué car le système est en lecture seul)

Nextcloud est hélas trop lourd mais c'est une solution de cloud complète capable même de faire le café. Son avantage sur les solutions FTP/SSH est de ne pas passer par des utilisateurs systèmes qui pourraient foutre le bordel quand ils seront compromis par un malware.

Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat