<3 Collégiale Aquilenet du 18 novembre 2019 <3¶
Pad de la session : https://pad.aquilenet.fr/p/collegiale-aquilenet-191118
Pad de la session précédente : https://pad.aquilenet.fr/p/collegiale-aquilenet-191015
Wiki de la session précédente : https://atelier.aquilenet.fr/projects/aquilenet/wiki/R%C3%A9union_Coll%C3%A9giale_20191015
Présents : Duponin, Sacha, Yves-Marie, Korbak, Youpi, Louis, Xavier, Etienne
Observateurs : M, Cécile, Marine
Heure de début : 20h30
Heure de fin : 22h
Rapporteur : Korbak
Distribution de la parole : Duponin
Ordre du jour:¶
Point Evelyne Delia
0. Suivi des TODO :¶
/*TODO : Louis et Etienne : achat RAM */ => Faut passer au DC pour voir le modèle qu'on a, donc TODO => Louis attendait le selfie de Duponin et ça arrive (C'est fait !) => Attente de la validation de la collégiale (Cf. 1.1.) => Louis a fait de la recherche et a fait sa liste de course => Le GO est donné pour l'achat
64Go de ram par hyperviseur pour 700€ => Go go go !
On en parle en 1.1.
/*TODO : Xavier + Groupe WiFi : faire une liste de course */ => pas encore fait, ça va se décanter bientôt, reste à formaliser le besoin => Mail au groupe WiFi par Sacha pour relancer
mail envoyé au groupe wifi cc colégiale => Pas faite, et de même pour le point suivant. Volonté de monter un petit atelier pratique pour vendredi => pas de besoin en réalité pour le moment
/* TODO : Xavier */ une affiche avec juste le logo de l'asso mais sans mise en avant du message politique ("réseau WiFi fourni par Aquilenet, mot de passe, ssid")
Xav relancé
=> pas fait mais envie de faire un atelier pour vendredi
/* TODO : Sacha */ Une fois pour toutes, on crée une page en accès restreint avec les clés SSH de tous les admins et comme ça tout le monde a accès aux machines, à chacun sa charge de maintenir cela à jour => reste à faire => suite à débat au we admin sur le sujet d'Ansible, et on s'est dit que la meilleure méthode ce serait un répertoire web sur lequel chacun dépose sa clé, donc ça va être fait prochainement maintenant qu'on a la méthode
=> pas fait à faire pour la prochaine réu
/* TODO : Duponin */ La liste est à faire (avec la couleur Rien fait, mais tant qu'à faire, autant refaire l'assignation des ports : attention faut faire ça à 23h et y en a pour 2h si on croit à notre chance => « Je n'ai pas fait mon travail, voilà. »
- Liste rapide établie des cordons qu'il faudrait racheter. Il faudrait une cinquantaine de cordons, on en est pour 300€ environ, suivant la qualité de ce qu'on veut (160 + 45€ HT au moins)
/* TODO */ Prochaine Collégiale on valide les inscriptions (liste médiation) : Korbak, Louis, Marie (pas admin ?), Théodore, Thomas et Xavier (pas admin ?) / Cécile et Madeline sont admin / Virer listmaster de là => On peut pas virer listmaster
/*TODO : Théo: Code de conduite version courte => relancé => pas de nouvelles => mail de relance envoyé
Pas de réponse...
/**TODO*: Sacha fait les démarches administratives et présente à la compta (TOUIX)
C'est fait
/**TODO:* Antonin, pourrait voir (quand il récupérera sa clé ssh) la possibilité d'ajouter php-ldap-admin
C'est zappé
/**TODO:*soutsout Korbak commander des briques ! FAIT
Elles sont là
/**TODO*: Korbak fichier màj à envoyer (mais pas beaucoup de changements...) => Pas fait, j'ai oublié parce que la vie
/**TODO*: Adresse des groupes autour du libre (mail de clémence)
Il y a une liste des acteurs du numérique à l'Abul, il faudrait ajouter à notre présentation qu'on a une permanence chaque 1er mardi du mois au soir
Machine à venir chez Aquilenet
1. Les hyperviseurs¶
1.1 La RAM¶
Pour revenir sur le sujet : on n'a plus de RAM disponible sur Hephaistos, on ne peut plus créer de VM sur la machine. La RAM est arrivée, les barrettes ont été testées et fonctionnent. On peut faire la maintence mercredi en huit au soir.
Qui chaud pour accompagner Louis ? Duponin, peut-être Xavier.
En journée ça paraît trop impactant.
/TODO Louis : Mail pour prévenir de l'op (mercredi 27/11/2019 à partir de 20h) / fair la manip avec duponin
1.2 La répartition des VMs¶
Vu les problèmes de RAM, la question qui s'est posée est celle de la séparation Aphrodite / Hephaistos, surtout que là c'était bloquant.
Historiquement, les VM d'infra Aquilenet étaient à part : la déesse pour l'infra, le dieu pour les adhérent-e-s. Ça simplifiait la vie par la séparation des réseaux. Cela dit, ça n'empêche pas de tout mélanger. De surcroît, l'une avait plus de RAM que l'autre avant la migration.
À noter que l'ami Mastodon devrait dans ce cas migrer de l'une sur l'autre.
Cette séparation ne paraît pas forcément logique. On craignait qu'une VM folle mette à poil les machines sensibles. Cela dit, on a encore la possibilité de faire un xl destroy.
Par ailleurs, le bug qui traîne sur xen (paramètre correctif à intégrer sur chaque VM). C'est dans le fichier de config, mais c'est pour chaque VM. Et ça prend un peu plus de mémoire.
Pas de raison de continuer à séparer. Il y a un réseau public et un réseau interne qui est exposé aux deux. Les deux hyperviseurs ont accès à la même chose.
Vote : 5 Pour , 3 Abs et 0 non
2. Les Briques¶
Elle sont là \o/
2.1 Organisation d'un atelier¶
il faut faire un atelier pour aider les presonnes.
Korbak et Yves-Marie sont chaud
Il poke les personnes pour définir une date (utilisation de framadate plosible)
Risque de commande de VPN et d'IP fixe
Il y a assé d'IP fix pour tout le monde
75 IPv4 de dispo pour les VPN
3. Communication¶
3.1 Article Peertube: https://pad.aquilenet.fr/p/articlepeertube¶
on a une instance cool, on fait un article chez nous et possiblement chez framasoft
https://skeptikon.fr
peut-être monter une autre instance de fonctionement symilaire de skeptikon (possibilité d'hébergement à la mezzanine)
/* TODO : passer Peertube en V2
3.2 Stage dans le 33¶
Mail incoming de la part de la dame Sylvie Boutet
Le projet : un stage (rémunéré) pour une douzaine de personnes dans "La Grange", une maison d'artistes au milieu de la campagne.
Elle doit aussi essayer de passer le premier mardi de décembre.
3.3 Avec les dents¶
Ça avance. Voilà
Ils avancent
Comme une voiture. Mais en vidéo.
?????????
4. FTTH¶
Suite à la relance du groupe FTTH
Sacha a relance la DSP départemental avec demade de catalogue
la DSP travail sur le sujet et la livraison est prévu au 2eme trimestre 2020
On va être livré où ? Visiblement au milieu de nulle part, pas à Bordeaux.
Genre : "Chemin de Barateau" à St Loubès
À nous de pousser la livraison au Netcenter SFR (parce que Cogent on y croit moyen).
5. Lan2Lan FullSave/Touix¶
Le sujet a bien avancé ! \o/
On a réussi à négocier un accès à Touix gratos pendant 6 mois. Enfin, Touix va disparaître avec une espérance de vie de 6 mois, aussi sommes-nous dans la gratuité pendant 6 mois.
FranceIX lurke. S'ils reprennent, on va négocier.
Pas de frais d'ouverture, on a aussi un super prix chez Fullsave.
Par contre, Cogent fait pas dans le cadeau. Mais c'est un one-shot !
Question de la connectique côté Toulouse & Bordeaux. Côté Toulouse, on sait pas, donc on leur a jeté la patate chaude, mais de notre côté, la question va se poser. On a des GBIC de dam, il faut vérifier ce que c'est pour dire à Cogent
Cogent nous file une fibre, on n'a pas de modif hardware à faire sur la répartition des U: il reste un slot disponible sur le bandeau existant.
6. Point Wifi: île d'Aix, garage moderne, squat...¶
6.1 Incident île d'Aix¶
On a eu un incident sur l'Île d'Aix, en tout cas un mail pour ce sujet. Et on n'a pas pu répondre.
La question qui se pose est celle du maintien du service : si on ne peut pas le garantir, à quoi bon ?
Le groupe WiFi semble manquer de dispo, peu de gens sont là pour ça, peu de gens peuvent intervenir... Au final, le WiFi qui ne fonctionnait pas venait de la box à son ordinateur, ce n'était pas sur notre niveau. Mais l'absence de réponse questionne sur notre capacité à intervenir.
Le service marche, mais personne ne savait.
Qui a les accès ?
De mémoire, tous les id et mots de passe sont dans le fichier. Tout est documenté sur le Wiki. L'ensemble des interfaces sont normalement accessibles.
On a aussi une supervision accessible depuis le contrôleur, identifiants au même endroit.
Cela dit, la question est : est-ce qu'on fait du support, ou c'est du "yolo c'est l'asso".
/* TODO Xavier : porter le sujet dans le groupe WiFi pour revenir à la prochaine collégiale avec une prise de position
6.2 Incident garage moderne¶
On a tout arrêté, on a récupéré l'APU. Il restait du matos, une antenne, pas encore récupéré ; Florian s'en est saisi mais on ne sais pas où c'en est.
Avant ça, on voulait avoir un rencart pour mettre les choses au clair avec le Garage Moderne, comme par exemple avec un VPN, et ce n'est jamais venu après deux relances.
Il manque une décision du côté du GM, on dirait.
6.3 Squats¶
Demande de donation de matériel, on a du matos qui arrive depuis quelques semaines avec Etienne. D'autres sont encore en stock !
Cool !
Aussi, un pote de Louis va se faire motiver pour filer du matos.
En l'état, en terme de matos, où en est-on ? => Tout est documenté dans le wiki.
6.4 Atelier vendredi¶
Pour Le Fort (jeunes SP), deux personnes motivées ne peuvent participer que le vendredi. On aura peut-être jusqu'à 4 ou plus, aucun adhérent-e Aquilenet pour le moment parmi celleux-ci. Des motivé-e-s pour le vendredi en fin d'AM/soirée ? Ce sera l'occasion de se rencontrer, commencer à bosser, et... poser nos fameuses affiches :). C'est justemet le 6.4.
Ce serait à la mezz ! Il faudrait au moins finir au Fort pour installer quelques trucs.
Personne ici n'est dispo à part Xavier (Sacha en option).
Est-ce que la liste de course pourra être établie vendredi pour l'occasion ?
=> L'inventaire d'abord, pour réutiliser tout ce qu'on peut ; puis en second temps, faire la liste de courses. L'achat ne paraît pas urgent.
Pas de besoin de commander du matériel wifi.
Le groupe WiFi peut-il faire une repasse sur la partie infrastructure qui n'est peut-être plus à jour en termes de matos et de plan d'adressage ?
7. Factorisation des IP : Reverse proxy¶
Le RIPE a annoncé la mort de l'IPv4 en dehors de quelques peaux de bananes.
Aquilenet a beaucoup de services web qui ont besoin du port 80 et on pourrait économiser les adresses qui vont tendre vers l'épuisement.
Duponin propose de mettre en place un reverse proxy pour bien regrouper tout ça et rediriger vers les services compétents.
Il faut des gens pour aider à voir les services concernés. Et point faible, ça devient un service critique => Louis et Korbak on.
Un inconvénient est aussi que les flux vont circuler en clair entre les machines et le proxy. Pas forcément, s'exclame la foule ! Comme ce sont des VLAN, on peut faire circuler en clair, mais on peut aussi mettre en place des certificats autosignés ou avec notre propre autorité et les distribuer en interne pour chiffrer les communications.
Il y a aussi le protocole Shamir, et on pourrait monter notre propre CA et jouer à découper tout ça en quelques morceaux divisés entre plusieurs tiers de confiance protégeant cette "racine".
On va faire ça : https://tube.aquilenet.fr/videos/watch/fec4db64-8517-4aed-87c1-7fd4afb1de29 \o/
Les services en questions :
- Mastodon
- Peertube
- aquilenet.fr
- Etherpad
- Redmine
- Sympa
- Roundcube
- Roundcube Reloaded
- Rainloop
- Pastebin
- Espace adhérent
- Searx
- Nextcloud
TODO :
- expérimenter le reverse proxy
- mettre en place le reverse proxy
- voir comment redonder
- faire du TLS-SEC
8. e-graine¶
On a plein de projets en cours avec E-Graine, avec notamment Léo (qui revient au bercail bientôt). Il a plein de projets et d'envies avec E-Graine, et c'est chouette parce que Marine suit l'histoire (et plein d'autres trucs).
Marine ici présente est de chez e-graine, venu-e-s nous voir pour exprimer ce qu'iels voulaient comme service et voir ce qu'on peut faire en tant qu'Aquilenet/C'est Le Bouquet/Aquilacoop du turfu.
On a eu un brief : en gros un Nextcloud avec quelques plugins et du mail.
C'est Le Bouquet a monté le Nextcloud sur le serveur C'est Le Bouquet OpenLux qui s'appelle Zeus.
Est-ce qu'il marche ? "Oui, parfait."
Bien.
Des accès ont été créés, un petit groupe pilote va travailler dessus, et dire si ça va ou si ça bloque. Ça répond visiblement à 99% du besoin : mutualisation de fichiers (c'était le bordel chez Google et Dropbox).
C'est le bouquet n'est pas mort !
9. Nos Oignons¶
Oh le copier/coller du mail, bravo Nils super pour le nœud tor il est foutu on s'en fout hein ?
Nous avons subi deux attaques de DOS udp de 750Mbps en IPv6 de l'ip source 2001:41d0:51:1::15d5 qui fait partie d'un des réseaux d'OVH, le 2001:41d0:50::/44
Les attaques ont eu lieu le 19/11/2019 de 13h01 à 13h05 et de 13h23 à 13h53.
Nov 19 13:00:44.357158 rule 0/(match) match in on gif0: 2001:41d0:51:1::15d5.49286 > 2a0c:e300::23.61646: udp 352
Nov 19 13:00:44.357167 rule 0/(match) match out on vlan100: 2001:41d0:51:1::15d5.49286 > 2a0c:e300::23.61646: udp 352
Le problème est différent de d'habitude : on ne pouvait pas accéder aux Firewalls qui étaient complètement gelés. Il faudrait peut-être re-réfléchir la gestion des Firewalls, qui se mangent tout ce qui arrive en entrée. Des routeurs avant les firewalls pourraient jouer ?
La machine destination était celle de Nos Oignons. A priori, on avait décidé que NO n'étaient pas Firewallés. Donc si on avait séparé routeurs et firewalls, seul le routeur aurait mangé. Ce n'est pas miracle, mais ça peut aider.
L'hyperviseur ne prendra pas plein tarif derrière non plus, car il ne route pas beaucoup.
Cela dit, si c'est de l'IPv6, le routeur aurait mangé aussi parce que pas d'accélération matérielle implémentée.
Ça a donné une bonne envie de test de stress. Est-ce qu'on ficherait pas un RPI en frontal qui ne passe pas par les Firewalls qui aurait une patte sur le lien pour pouvoir intervenir. Et on pourrait éventuellement avoir une patte comme ça.
TODO: Changer les règles de firewall pour mettre nos oignons en no state -> normalement c'est déjà le cas...
Et euh, puisqu'on en est à refaire le monde, si on refaisait un adressage ?
conf de ju :
- https://media.ffdn.org/LDN/adressage-ipv6-ipv4.webm
- https://julien.vaubourg.com/files/adressage-ipv6-ipv4.pdf
- https://julien.vaubourg.com/#talks-others
10. (Bonus) C'est le bouquet¶
La succursyaal d'Aquilenet travaille essentiellement sur myElefant(SMS marketing), un projet qui a été racheté par des Suisses et ils se retrouvent tous à quitter Yaal. Aussi, Yaal se questionne sur son avenir. Et on a Eloi, un bon gars, qui fait de l'adminsys chez Aquilenet pour s'amuser. Et il se chauffe pour faire du C'est Le Bouquet.
On ne sait pas encore si ça va être du Yaal, du C'est le Bouquet, si ça part en SCOOP... Le seul consensus, c'est la création d'une coopérative pour CLB, et du coup il faut de l'argent qui rentre, et du coup pour en vivre, il faut avoir ça en tête. Ce n'est donc pas juste déployer un service, mais aussi offrir du support, il faut en parler... Sacha pousse pour une coop pour inviter les copains et ne pas se cantonner à Yaal.
Des estimations ont commencé à être faites, des tâches à être priorisées, et on est chopatate. Et Xavier a intégré le Nextcloud de E-graine, et a travaillé une journée sur ça dans une VM FreeBSD.
11. (Bonus deux le retour) La Réole¶
Sacha a rencontré le maire de La Réole, un "socialiste de gauche" (whaaaaaaaaaaat une licorne !). Tout est en régie chez eux, et ils ont donc pensé à faire de la régie du net. La Fibre arrive, mais ça ne corrige pas la fracture numérique chez eux, donc ils veulent fiche un WiFi gratuit pour que tout le monde en profite. Spyou nous a filé tout ce qu'il faut, et on a des gens de la mairie motivés qu'il va falloir rencontrer. MAIS c'est la période électorale et DONC ça risque de traîner.
On est aidé par les gens de La Nouvelle Centrale, et ça pète la classe (du cul).
FIN 22h09
Mis à jour par loris.hilaire il y a environ 5 ans · 3 révisions