Project

General

Profile

Réunion Collégiale 20191118 » History » Version 1

loris.hilaire, 11/26/2019 10:38 PM

1 1 loris.hilaire
# <3 _Collégiale Aquilenet du 18 novembre 2019_ <3
2
3
Pad de la session précédente : https://pad.aquilenet.fr/p/collegiale-aquilenet-191015
4
Wiki de la session précédente : https://atelier.aquilenet.fr/projects/aquilenet/wiki/R%C3%A9union\_Coll%C3%A9giale\_20191015
5
6
Présents : Duponin, Sacha, Yves-Marie, Korbak, Youpi, Louis, Xavier, Etienne
7
Observateurs : M, Cécile, Marine
8
9
Heure de début : 20h30
10
Heure de fin : 22h
11
12
Rapporteur : Korbak
13
Distribution de la parole : Duponin
14
15
# **Ordre du jour:**
16
17
Point Evelyne Delia
18
19
## 0. Suivi des TODO : 
20
    
21
/*TODO : Louis et Etienne : achat RAM */ => Faut passer au DC pour voir le modèle qu'on a, donc TODO => Louis attendait le selfie de Duponin et ça arrive (C'est fait !) => Attente de la validation de la collégiale (Cf. 1.1.) => Louis a fait de la recherche et a fait sa liste de course => Le GO est donné pour l'achat
22
64Go de ram par hyperviseur pour 700€ => Go go go !
23
On en parle en 1.1.
24
25
/*TODO : Xavier + Groupe WiFi : faire une liste de course */  => pas encore fait, ça va se décanter bientôt, reste à formaliser le besoin => Mail au groupe WiFi par Sacha pour relancer
26
mail envoyé au groupe wifi cc colégiale => Pas faite, et de même pour le point suivant. Volonté de monter un petit atelier pratique pour vendredi => pas de besoin en réalité pour le moment
27
28
/* TODO : Xavier */ une affiche avec juste le logo de l'asso mais sans mise en avant du message politique ("réseau WiFi fourni par Aquilenet, mot de passe, ssid")
29
Xav relancé
30
=> pas fait mais envie de faire un atelier pour vendredi
31
32
/* TODO : Sacha */ Une fois pour toutes, on crée une page en accès restreint avec les clés SSH de tous les admins et comme ça tout le monde a accès aux machines, à chacun sa charge de maintenir cela à jour => reste à faire => suite à débat au we admin sur le sujet d'Ansible, et on s'est dit que la meilleure méthode ce serait un répertoire web sur lequel chacun dépose sa clé, donc ça va être fait prochainement maintenant qu'on a la méthode
33
=> pas fait à faire pour la prochaine réu 
34
35
/* TODO : Duponin */ La liste est à faire (avec la couleur <3 /r/cableporn) => Rien fait, mais tant qu'à faire, autant refaire l'assignation des ports : attention faut faire ça à 23h et y en a pour 2h si on croit à notre chance => « Je n'ai pas fait mon travail, voilà. »
36
37
   * Liste rapide établie des cordons qu'il faudrait racheter. Il faudrait une cinquantaine de cordons, on en est pour 300€ environ, suivant la qualité de ce qu'on veut (160 + 45€ HT  au moins)
38
39
~~/* TODO */ Prochaine Collégiale on valide les inscriptions (liste médiation) : Korbak, Louis, Marie (pas admin ?), Théodore, Thomas et Xavier (pas admin ?) / Cécile et Madeline sont admin / Virer listmaster de là => On peut pas virer listmaster~~  
40
41
/*TODO : Théo: Code de conduite version courte => relancé => pas de nouvelles => mail de relance envoyé
42
Pas de réponse...
43
44
/***TODO**: Sacha fait les démarches administratives et présente à la compta (TOUIX)
45
C'est fait
46
47
/***TODO:** Antonin, pourrait voir (quand il récupérera sa clé ssh) la possibilité d'ajouter php-ldap-admin
48
C'est zappé
49
50
~~/***TODO:**soutsout Korbak commander des briques ! FAIT~~
51
Elles sont là
52
53
/***TODO**: Korbak fichier màj à envoyer (mais pas beaucoup de changements...) => Pas fait, j'ai oublié parce que la vie
54
55
/***TODO**: Adresse des groupes autour du libre (mail de clémence)
56
Il y a une liste des acteurs du numérique à l'Abul, il faudrait ajouter à notre présentation qu'on a une permanence chaque 1er mardi du mois au soir
57
Machine à venir chez Aquilenet
58
59
## 1. Les hyperviseurs
60
61
### 1.1 La RAM
62
63
Pour revenir sur le sujet : on n'a plus de RAM disponible sur Hephaistos, on ne peut plus créer de VM sur la machine. La RAM est arrivée, les barrettes ont été testées et fonctionnent. On peut faire la maintence mercredi en huit au soir.
64
Qui chaud pour accompagner Louis ? Duponin, peut-être Xavier.
65
En journée ça paraît trop impactant.
66
67
**/TODO Louis :** Mail pour prévenir de l'op (mercredi 27/11/2019 à partir de 20h) / fair la manip avec duponin
68
 
69
### **1.2 La répartition des VMs**
70
71
Vu les problèmes de RAM, la question qui s'est posée est celle de la séparation Aphrodite / Hephaistos, surtout que là c'était bloquant.
72
Historiquement, les VM d'infra Aquilenet étaient à part : la déesse pour l'infra, le dieu pour les adhérent-e-s. Ça simplifiait la vie par la séparation des réseaux. Cela dit, ça n'empêche pas de tout mélanger. De surcroît, l'une avait plus de RAM que l'autre avant la migration.
73
À noter que l'ami Mastodon devrait dans ce cas migrer de l'une sur l'autre.
74
Cette séparation ne paraît pas forcément logique. On craignait qu'une VM folle mette à poil les machines sensibles. Cela dit, on a encore la possibilité de faire un xl destroy.
75
Par ailleurs, le bug qui traîne sur xen (paramètre correctif à intégrer sur chaque VM). C'est dans le fichier de config, mais c'est pour chaque VM. Et ça prend un peu plus de mémoire.
76
Pas de raison de continuer à séparer. Il y a un réseau public et un réseau interne qui est exposé aux deux. Les deux hyperviseurs ont accès à la même chose.
77
78
Vote : 5 Pour , 3 Abs et 0 non
79
80
## 2. Les Briques
81
82
Elle sont là \o/
83
84
### 2.1 Organisation d'un atelier
85
86
il faut faire un atelier pour aider les presonnes.
87
88
Korbak et Yves-Marie sont chaud
89
90
Il poke les personnes pour définir une date (utilisation de framadate plosible)
91
92
Risque de commande de VPN et d'IP fixe 
93
94
Il y a assé d'IP fix pour tout le monde
95
75 IPv4 de dispo pour les VPN
96
97
## 3. Communication
98
99
### 3.1 Article Peertube: https://pad.aquilenet.fr/p/articlepeertube
100
101
on a une instance cool, on fait un article chez nous et possiblement chez framasoft 
102
https://skeptikon.fr
103
104
peut-être monter une autre instance de fonctionement symilaire de skeptikon (possibilité d'hébergement à la mezzanine)
105
106
/* TODO : passer Peertube en V2 
107
108
### 3.2 Stage dans le 33
109
110
Mail incoming de la part de la dame Sylvie Boutet
111
Le projet : un stage (rémunéré) pour une douzaine de personnes dans "La Grange", une maison d'artistes au milieu de la campagne.
112
Elle doit aussi essayer de passer le premier mardi de décembre.
113
114
### 3.3 Avec les dents
115
116
Ça avance. Voilà
117
Ils avancent
118
Comme une voiture. Mais en vidéo.
119
?????????
120
121
## 4. FTTH
122
123
Suite à la relance du groupe FTTH
124
Sacha a relance la DSP départemental avec demade de catalogue
125
126
la DSP travail sur le sujet et la livraison est prévu au 2eme trimestre 2020
127
128
On va être livré où ? Visiblement au milieu de nulle part, pas à Bordeaux.
129
Genre : "Chemin de Barateau" à St Loubès
130
À nous de pousser la livraison au Netcenter SFR (parce que Cogent on y croit moyen).
131
132
## 5. Lan2Lan FullSave/Touix
133
134
Le sujet a bien avancé ! \o/
135
On a réussi à négocier un accès à Touix gratos pendant 6 mois. Enfin, Touix va disparaître avec une espérance de vie de 6 mois, aussi sommes-nous dans la gratuité pendant 6 mois.
136
FranceIX lurke. S'ils reprennent, on va négocier.
137
Pas de frais d'ouverture, on a aussi un super prix chez Fullsave.
138
Par contre, Cogent fait pas dans le cadeau. Mais c'est un one-shot !
139
Question de la connectique côté Toulouse \& Bordeaux. Côté Toulouse, on sait pas, donc on leur a jeté la patate chaude, mais de notre côté, la question va se poser. On a des GBIC de dam, il faut vérifier ce que c'est pour dire à Cogent
140
Cogent nous file une fibre, on n'a pas de modif hardware à faire sur la répartition des U: il reste un slot disponible sur le bandeau existant.
141
142
## 6. Point Wifi: île d'Aix, garage moderne, squat...
143
144
### 6.1 Incident île d'Aix
145
146
On a eu un incident sur l'Île d'Aix, en tout cas un mail pour ce sujet. Et on n'a pas pu répondre.
147
La question qui se pose est celle du maintien du service : si on ne peut pas le garantir, à quoi bon ?
148
Le groupe WiFi semble manquer de dispo, peu de gens sont là pour ça, peu de gens peuvent intervenir... Au final, le WiFi qui ne fonctionnait pas venait de la box à son ordinateur, ce n'était pas sur notre niveau. Mais l'absence de réponse questionne sur notre capacité à intervenir.
149
Le service marche, mais personne ne savait.
150
151
Qui a les accès ?
152
De mémoire, tous les id et mots de passe sont dans le fichier. Tout est documenté sur le Wiki. L'ensemble des interfaces sont normalement accessibles.
153
On a aussi une supervision accessible depuis le contrôleur, identifiants au même endroit.
154
155
Cela dit, la question est : est-ce qu'on fait du support, ou c'est du "yolo c'est l'asso".
156
157
**/* TODO Xavier :** porter le sujet dans le groupe WiFi pour revenir à la prochaine collégiale avec une prise de position
158
159
### **6.2 Incident garage moderne**
160
161
On a tout arrêté, on a récupéré l'APU. Il restait du matos, une antenne, pas encore récupéré ; Florian s'en est saisi mais on ne sais pas où c'en est.
162
Avant ça, on voulait avoir un rencart pour mettre les choses au clair avec le Garage Moderne, comme par exemple avec un VPN, et ce n'est jamais venu après deux relances.
163
Il manque une décision du côté du GM, on dirait.
164
165
### 6.3 Squats
166
167
Demande de donation de matériel, on a du matos qui arrive depuis quelques semaines avec Etienne. D'autres sont encore en stock !
168
Cool !
169
Aussi, un pote de Louis va se faire motiver pour filer du matos.
170
171
En l'état, en terme de matos, où en est-on ? => Tout est documenté dans le wiki.
172
173
### 6.4 Atelier vendredi
174
175
Pour Le Fort (jeunes SP), deux personnes motivées ne peuvent participer que le vendredi. On aura peut-être jusqu'à 4 ou plus, aucun adhérent-e Aquilenet pour le moment parmi celleux-ci. Des motivé-e-s pour le vendredi en fin d'AM/soirée ? Ce sera l'occasion de se rencontrer, commencer à bosser, et... poser nos fameuses affiches :). C'est justemet le 6.4.
176
Ce serait à la mezz ! Il faudrait au moins finir au Fort pour installer quelques trucs.
177
178
Personne ici n'est dispo à part Xavier (Sacha en option).
179
180
Est-ce que la liste de course pourra être établie vendredi pour l'occasion ?
181
=> L'inventaire d'abord, pour réutiliser tout ce qu'on peut ; puis en second temps, faire la liste de courses. L'achat ne paraît pas urgent.
182
Pas de besoin de commander du matériel wifi.
183
184
Le groupe WiFi peut-il faire une repasse sur la partie infrastructure qui n'est peut-être plus à jour en termes de matos et de plan d'adressage ?
185
186
## 7. Factorisation des IP : Reverse proxy
187
188
Le RIPE a annoncé la mort de l'IPv4 en dehors de quelques peaux de bananes.
189
Aquilenet a beaucoup de services web qui ont besoin du port 80 et on pourrait économiser les adresses qui vont tendre vers l'épuisement.
190
Duponin propose de mettre en place un reverse proxy pour bien regrouper tout ça et rediriger vers les services compétents.
191
Il faut des gens pour aider à voir les services concernés. Et point faible, ça devient un service critique => Louis et Korbak on.
192
Un inconvénient est aussi que les flux vont circuler en clair entre les machines et le proxy. Pas forcément, s'exclame la foule ! Comme ce sont des VLAN, on peut faire circuler en clair, mais on peut aussi mettre en place des certificats autosignés ou avec notre propre autorité et les distribuer en interne pour chiffrer les communications.
193
Il y a aussi le protocole Shamir, et on pourrait monter notre propre CA et jouer à découper tout ça en quelques morceaux divisés entre plusieurs tiers de confiance protégeant cette "racine".
194
On va faire ça : https://tube.aquilenet.fr/videos/watch/fec4db64-8517-4aed-87c1-7fd4afb1de29 \o/
195
196
Les services en questions : 
197
   * Mastodon
198
   * Peertube
199
   * aquilenet.fr
200
   * Etherpad
201
   * Redmine
202
   * Sympa
203
   * Roundcube
204
   * Roundcube Reloaded
205
   * Rainloop
206
   * Pastebin
207
   * Espace adhérent
208
   * Searx
209
   * Nextcloud
210
211
TODO :
212
213
   * expérimenter le reverse proxy
214
   * mettre en place le reverse proxy
215
   * voir comment redonder
216
   * faire du TLS-SEC
217
218
## 8. e-graine
219
220
On a plein de projets en cours avec E-Graine, avec notamment Léo (qui revient au bercail bientôt). Il a plein de projets et d'envies avec E-Graine, et c'est chouette parce que Marine suit l'histoire (et plein d'autres trucs).
221
Marine ici présente est de chez e-graine, venu-e-s nous voir pour exprimer ce qu'iels voulaient comme service et voir ce qu'on peut faire en tant qu'Aquilenet/C'est Le Bouquet/Aquilacoop du turfu.
222
On a eu un brief : en gros un Nextcloud avec quelques plugins et du mail.
223
C'est Le Bouquet a monté le Nextcloud sur le serveur C'est Le Bouquet OpenLux qui s'appelle Zeus.
224
Est-ce qu'il marche ? "Oui, parfait."
225
Bien.
226
Des accès ont été créés, un petit groupe pilote va travailler dessus, et dire si ça va ou si ça bloque. Ça répond visiblement à 99% du besoin : mutualisation de fichiers (c'était le bordel chez Google et Dropbox).
227
228
C'est le bouquet n'est pas mort !
229
230
## 9. Nos Oignons
231
232
Oh le copier/coller du mail, bravo Nils super pour le nœud tor il est foutu on s'en fout hein ?
233
234
Nous avons subi deux attaques de DOS udp de 750Mbps en IPv6 de l'ip source 2001:41d0:51:1::15d5 qui fait partie d'un des réseaux d'OVH, le 2001:41d0:50::/44
235
Les attaques ont eu lieu le 19/11/2019 de 13h01 à 13h05 et de 13h23 à 13h53.
236
237
Nov 19 13:00:44.357158 rule 0/(match) match in on gif0: 2001:41d0:51:1::15d5.49286 > 2a0c:e300::23.61646: udp 352
238
Nov 19 13:00:44.357167 rule 0/(match) match out on vlan100: 2001:41d0:51:1::15d5.49286 > 2a0c:e300::23.61646: udp 352
239
240
Le problème est différent de d'habitude : on ne pouvait pas accéder aux Firewalls qui étaient complètement gelés. Il faudrait peut-être re-réfléchir la gestion des Firewalls, qui se mangent tout ce qui arrive en entrée. Des routeurs avant les firewalls pourraient jouer ?
241
La machine destination était celle de Nos Oignons. A priori, on avait décidé que NO n'étaient pas Firewallés. Donc si on avait séparé routeurs et firewalls, seul le routeur aurait mangé. Ce n'est pas miracle, mais ça peut aider.
242
L'hyperviseur ne prendra pas plein tarif derrière non plus, car il ne route pas beaucoup.
243
Cela dit, si c'est de l'IPv6, le routeur aurait mangé aussi parce que pas d'accélération matérielle implémentée.
244
245
Ça a donné une bonne envie de test de stress. Est-ce qu'on ficherait pas un RPI en frontal qui ne passe pas par les Firewalls qui aurait une patte sur le lien pour pouvoir intervenir. Et on pourrait éventuellement avoir une patte comme ça.
246
247
TODO: Changer les règles de firewall pour mettre nos oignons en no state  -> normalement c'est déjà le cas...
248
249
Et euh, puisqu'on en est à refaire le monde, si on refaisait un adressage ?
250
conf de ju : 
251
252
   * https://media.ffdn.org/LDN/adressage-ipv6-ipv4.webm  
253
   * https://julien.vaubourg.com/files/adressage-ipv6-ipv4.pdf  
254
   * https://julien.vaubourg.com/#talks-others  
255
256
## 10. (Bonus) C'est le bouquet
257
258
La succursyaal d'Aquilenet travaille essentiellement sur myElefant(SMS marketing), un projet qui a été racheté par des Suisses et ils se retrouvent tous à quitter Yaal. Aussi, Yaal se questionne sur son avenir. Et on a Eloi, un bon gars, qui fait de l'adminsys chez Aquilenet pour s'amuser. Et il se chauffe pour faire du C'est Le Bouquet.
259
On ne sait pas encore si ça va être du Yaal, du C'est le Bouquet, si ça part en SCOOP... Le seul consensus, c'est la création d'une coopérative pour CLB, et du coup il faut de l'argent qui rentre, et du coup pour en vivre, il faut avoir ça en tête. Ce n'est donc pas juste déployer un service, mais aussi offrir du support, il faut en parler... Sacha pousse pour une coop pour inviter les copains et ne pas se cantonner à Yaal.
260
Des estimations ont commencé à être faites, des tâches à être priorisées, et on est chopatate. Et Xavier a intégré le Nextcloud de E-graine, et a travaillé une journée sur ça dans une VM FreeBSD.
261
262
## 11. (Bonus deux le retour) La Réole
263
264
Sacha a rencontré le maire de La Réole, un "socialiste de gauche" (whaaaaaaaaaaat une licorne !). Tout est en régie chez eux, et ils ont donc pensé à faire de la régie du net. La Fibre arrive, mais ça ne corrige pas la fracture numérique chez eux, donc ils veulent fiche un WiFi gratuit pour que tout le monde en profite. Spyou nous a filé tout ce qu'il faut, et on a des gens de la mairie motivés qu'il va falloir rencontrer. MAIS c'est la période électorale et DONC ça risque de traîner.
265
On est aidé par les gens de La Nouvelle Centrale, et ça pète la classe (du cul).
266
267
FIN 22h09