Project

General

Profile

Réunion Collégiale 20191118 » History » Version 3

loris.hilaire, 11/26/2019 10:40 PM

1 1 loris.hilaire
# <3 _Collégiale Aquilenet du 18 novembre 2019_ <3
2
3 2 loris.hilaire
Pad de la session : https://pad.aquilenet.fr/p/collegiale-aquilenet-191118
4 1 loris.hilaire
Pad de la session précédente : https://pad.aquilenet.fr/p/collegiale-aquilenet-191015
5 3 loris.hilaire
Wiki de la session précédente : https://atelier.aquilenet.fr/projects/aquilenet/wiki/R%C3%A9union_Coll%C3%A9giale_20191015
6 1 loris.hilaire
7
Présents : Duponin, Sacha, Yves-Marie, Korbak, Youpi, Louis, Xavier, Etienne
8
Observateurs : M, Cécile, Marine
9
10
Heure de début : 20h30
11
Heure de fin : 22h
12
13
Rapporteur : Korbak
14
Distribution de la parole : Duponin
15
16
# **Ordre du jour:**
17
18
Point Evelyne Delia
19
20
## 0. Suivi des TODO : 
21
    
22
/*TODO : Louis et Etienne : achat RAM */ => Faut passer au DC pour voir le modèle qu'on a, donc TODO => Louis attendait le selfie de Duponin et ça arrive (C'est fait !) => Attente de la validation de la collégiale (Cf. 1.1.) => Louis a fait de la recherche et a fait sa liste de course => Le GO est donné pour l'achat
23
64Go de ram par hyperviseur pour 700€ => Go go go !
24
On en parle en 1.1.
25
26
/*TODO : Xavier + Groupe WiFi : faire une liste de course */  => pas encore fait, ça va se décanter bientôt, reste à formaliser le besoin => Mail au groupe WiFi par Sacha pour relancer
27
mail envoyé au groupe wifi cc colégiale => Pas faite, et de même pour le point suivant. Volonté de monter un petit atelier pratique pour vendredi => pas de besoin en réalité pour le moment
28
29
/* TODO : Xavier */ une affiche avec juste le logo de l'asso mais sans mise en avant du message politique ("réseau WiFi fourni par Aquilenet, mot de passe, ssid")
30
Xav relancé
31
=> pas fait mais envie de faire un atelier pour vendredi
32
33
/* TODO : Sacha */ Une fois pour toutes, on crée une page en accès restreint avec les clés SSH de tous les admins et comme ça tout le monde a accès aux machines, à chacun sa charge de maintenir cela à jour => reste à faire => suite à débat au we admin sur le sujet d'Ansible, et on s'est dit que la meilleure méthode ce serait un répertoire web sur lequel chacun dépose sa clé, donc ça va être fait prochainement maintenant qu'on a la méthode
34
=> pas fait à faire pour la prochaine réu 
35
36
/* TODO : Duponin */ La liste est à faire (avec la couleur <3 /r/cableporn) => Rien fait, mais tant qu'à faire, autant refaire l'assignation des ports : attention faut faire ça à 23h et y en a pour 2h si on croit à notre chance => « Je n'ai pas fait mon travail, voilà. »
37
38
   * Liste rapide établie des cordons qu'il faudrait racheter. Il faudrait une cinquantaine de cordons, on en est pour 300€ environ, suivant la qualité de ce qu'on veut (160 + 45€ HT  au moins)
39
40
~~/* TODO */ Prochaine Collégiale on valide les inscriptions (liste médiation) : Korbak, Louis, Marie (pas admin ?), Théodore, Thomas et Xavier (pas admin ?) / Cécile et Madeline sont admin / Virer listmaster de là => On peut pas virer listmaster~~  
41
42
/*TODO : Théo: Code de conduite version courte => relancé => pas de nouvelles => mail de relance envoyé
43
Pas de réponse...
44
45
/***TODO**: Sacha fait les démarches administratives et présente à la compta (TOUIX)
46
C'est fait
47
48
/***TODO:** Antonin, pourrait voir (quand il récupérera sa clé ssh) la possibilité d'ajouter php-ldap-admin
49
C'est zappé
50
51
~~/***TODO:**soutsout Korbak commander des briques ! FAIT~~
52
Elles sont là
53
54
/***TODO**: Korbak fichier màj à envoyer (mais pas beaucoup de changements...) => Pas fait, j'ai oublié parce que la vie
55
56
/***TODO**: Adresse des groupes autour du libre (mail de clémence)
57
Il y a une liste des acteurs du numérique à l'Abul, il faudrait ajouter à notre présentation qu'on a une permanence chaque 1er mardi du mois au soir
58
Machine à venir chez Aquilenet
59
60
## 1. Les hyperviseurs
61
62
### 1.1 La RAM
63
64
Pour revenir sur le sujet : on n'a plus de RAM disponible sur Hephaistos, on ne peut plus créer de VM sur la machine. La RAM est arrivée, les barrettes ont été testées et fonctionnent. On peut faire la maintence mercredi en huit au soir.
65
Qui chaud pour accompagner Louis ? Duponin, peut-être Xavier.
66
En journée ça paraît trop impactant.
67
68
**/TODO Louis :** Mail pour prévenir de l'op (mercredi 27/11/2019 à partir de 20h) / fair la manip avec duponin
69
 
70
### **1.2 La répartition des VMs**
71
72
Vu les problèmes de RAM, la question qui s'est posée est celle de la séparation Aphrodite / Hephaistos, surtout que là c'était bloquant.
73
Historiquement, les VM d'infra Aquilenet étaient à part : la déesse pour l'infra, le dieu pour les adhérent-e-s. Ça simplifiait la vie par la séparation des réseaux. Cela dit, ça n'empêche pas de tout mélanger. De surcroît, l'une avait plus de RAM que l'autre avant la migration.
74
À noter que l'ami Mastodon devrait dans ce cas migrer de l'une sur l'autre.
75
Cette séparation ne paraît pas forcément logique. On craignait qu'une VM folle mette à poil les machines sensibles. Cela dit, on a encore la possibilité de faire un xl destroy.
76
Par ailleurs, le bug qui traîne sur xen (paramètre correctif à intégrer sur chaque VM). C'est dans le fichier de config, mais c'est pour chaque VM. Et ça prend un peu plus de mémoire.
77
Pas de raison de continuer à séparer. Il y a un réseau public et un réseau interne qui est exposé aux deux. Les deux hyperviseurs ont accès à la même chose.
78
79
Vote : 5 Pour , 3 Abs et 0 non
80
81
## 2. Les Briques
82
83
Elle sont là \o/
84
85
### 2.1 Organisation d'un atelier
86
87
il faut faire un atelier pour aider les presonnes.
88
89
Korbak et Yves-Marie sont chaud
90
91
Il poke les personnes pour définir une date (utilisation de framadate plosible)
92
93
Risque de commande de VPN et d'IP fixe 
94
95
Il y a assé d'IP fix pour tout le monde
96
75 IPv4 de dispo pour les VPN
97
98
## 3. Communication
99
100
### 3.1 Article Peertube: https://pad.aquilenet.fr/p/articlepeertube
101
102
on a une instance cool, on fait un article chez nous et possiblement chez framasoft 
103
https://skeptikon.fr
104
105
peut-être monter une autre instance de fonctionement symilaire de skeptikon (possibilité d'hébergement à la mezzanine)
106
107
/* TODO : passer Peertube en V2 
108
109
### 3.2 Stage dans le 33
110
111
Mail incoming de la part de la dame Sylvie Boutet
112
Le projet : un stage (rémunéré) pour une douzaine de personnes dans "La Grange", une maison d'artistes au milieu de la campagne.
113
Elle doit aussi essayer de passer le premier mardi de décembre.
114
115
### 3.3 Avec les dents
116
117
Ça avance. Voilà
118
Ils avancent
119
Comme une voiture. Mais en vidéo.
120
?????????
121
122
## 4. FTTH
123
124
Suite à la relance du groupe FTTH
125
Sacha a relance la DSP départemental avec demade de catalogue
126
127
la DSP travail sur le sujet et la livraison est prévu au 2eme trimestre 2020
128
129
On va être livré où ? Visiblement au milieu de nulle part, pas à Bordeaux.
130
Genre : "Chemin de Barateau" à St Loubès
131
À nous de pousser la livraison au Netcenter SFR (parce que Cogent on y croit moyen).
132
133
## 5. Lan2Lan FullSave/Touix
134
135
Le sujet a bien avancé ! \o/
136
On a réussi à négocier un accès à Touix gratos pendant 6 mois. Enfin, Touix va disparaître avec une espérance de vie de 6 mois, aussi sommes-nous dans la gratuité pendant 6 mois.
137
FranceIX lurke. S'ils reprennent, on va négocier.
138
Pas de frais d'ouverture, on a aussi un super prix chez Fullsave.
139
Par contre, Cogent fait pas dans le cadeau. Mais c'est un one-shot !
140
Question de la connectique côté Toulouse \& Bordeaux. Côté Toulouse, on sait pas, donc on leur a jeté la patate chaude, mais de notre côté, la question va se poser. On a des GBIC de dam, il faut vérifier ce que c'est pour dire à Cogent
141
Cogent nous file une fibre, on n'a pas de modif hardware à faire sur la répartition des U: il reste un slot disponible sur le bandeau existant.
142
143
## 6. Point Wifi: île d'Aix, garage moderne, squat...
144
145
### 6.1 Incident île d'Aix
146
147
On a eu un incident sur l'Île d'Aix, en tout cas un mail pour ce sujet. Et on n'a pas pu répondre.
148
La question qui se pose est celle du maintien du service : si on ne peut pas le garantir, à quoi bon ?
149
Le groupe WiFi semble manquer de dispo, peu de gens sont là pour ça, peu de gens peuvent intervenir... Au final, le WiFi qui ne fonctionnait pas venait de la box à son ordinateur, ce n'était pas sur notre niveau. Mais l'absence de réponse questionne sur notre capacité à intervenir.
150
Le service marche, mais personne ne savait.
151
152
Qui a les accès ?
153
De mémoire, tous les id et mots de passe sont dans le fichier. Tout est documenté sur le Wiki. L'ensemble des interfaces sont normalement accessibles.
154
On a aussi une supervision accessible depuis le contrôleur, identifiants au même endroit.
155
156
Cela dit, la question est : est-ce qu'on fait du support, ou c'est du "yolo c'est l'asso".
157
158
**/* TODO Xavier :** porter le sujet dans le groupe WiFi pour revenir à la prochaine collégiale avec une prise de position
159
160
### **6.2 Incident garage moderne**
161
162
On a tout arrêté, on a récupéré l'APU. Il restait du matos, une antenne, pas encore récupéré ; Florian s'en est saisi mais on ne sais pas où c'en est.
163
Avant ça, on voulait avoir un rencart pour mettre les choses au clair avec le Garage Moderne, comme par exemple avec un VPN, et ce n'est jamais venu après deux relances.
164
Il manque une décision du côté du GM, on dirait.
165
166
### 6.3 Squats
167
168
Demande de donation de matériel, on a du matos qui arrive depuis quelques semaines avec Etienne. D'autres sont encore en stock !
169
Cool !
170
Aussi, un pote de Louis va se faire motiver pour filer du matos.
171
172
En l'état, en terme de matos, où en est-on ? => Tout est documenté dans le wiki.
173
174
### 6.4 Atelier vendredi
175
176
Pour Le Fort (jeunes SP), deux personnes motivées ne peuvent participer que le vendredi. On aura peut-être jusqu'à 4 ou plus, aucun adhérent-e Aquilenet pour le moment parmi celleux-ci. Des motivé-e-s pour le vendredi en fin d'AM/soirée ? Ce sera l'occasion de se rencontrer, commencer à bosser, et... poser nos fameuses affiches :). C'est justemet le 6.4.
177
Ce serait à la mezz ! Il faudrait au moins finir au Fort pour installer quelques trucs.
178
179
Personne ici n'est dispo à part Xavier (Sacha en option).
180
181
Est-ce que la liste de course pourra être établie vendredi pour l'occasion ?
182
=> L'inventaire d'abord, pour réutiliser tout ce qu'on peut ; puis en second temps, faire la liste de courses. L'achat ne paraît pas urgent.
183
Pas de besoin de commander du matériel wifi.
184
185
Le groupe WiFi peut-il faire une repasse sur la partie infrastructure qui n'est peut-être plus à jour en termes de matos et de plan d'adressage ?
186
187
## 7. Factorisation des IP : Reverse proxy
188
189
Le RIPE a annoncé la mort de l'IPv4 en dehors de quelques peaux de bananes.
190
Aquilenet a beaucoup de services web qui ont besoin du port 80 et on pourrait économiser les adresses qui vont tendre vers l'épuisement.
191
Duponin propose de mettre en place un reverse proxy pour bien regrouper tout ça et rediriger vers les services compétents.
192
Il faut des gens pour aider à voir les services concernés. Et point faible, ça devient un service critique => Louis et Korbak on.
193
Un inconvénient est aussi que les flux vont circuler en clair entre les machines et le proxy. Pas forcément, s'exclame la foule ! Comme ce sont des VLAN, on peut faire circuler en clair, mais on peut aussi mettre en place des certificats autosignés ou avec notre propre autorité et les distribuer en interne pour chiffrer les communications.
194
Il y a aussi le protocole Shamir, et on pourrait monter notre propre CA et jouer à découper tout ça en quelques morceaux divisés entre plusieurs tiers de confiance protégeant cette "racine".
195
On va faire ça : https://tube.aquilenet.fr/videos/watch/fec4db64-8517-4aed-87c1-7fd4afb1de29 \o/
196
197
Les services en questions : 
198
   * Mastodon
199
   * Peertube
200
   * aquilenet.fr
201
   * Etherpad
202
   * Redmine
203
   * Sympa
204
   * Roundcube
205
   * Roundcube Reloaded
206
   * Rainloop
207
   * Pastebin
208
   * Espace adhérent
209
   * Searx
210
   * Nextcloud
211
212
TODO :
213
214
   * expérimenter le reverse proxy
215
   * mettre en place le reverse proxy
216
   * voir comment redonder
217
   * faire du TLS-SEC
218
219
## 8. e-graine
220
221
On a plein de projets en cours avec E-Graine, avec notamment Léo (qui revient au bercail bientôt). Il a plein de projets et d'envies avec E-Graine, et c'est chouette parce que Marine suit l'histoire (et plein d'autres trucs).
222
Marine ici présente est de chez e-graine, venu-e-s nous voir pour exprimer ce qu'iels voulaient comme service et voir ce qu'on peut faire en tant qu'Aquilenet/C'est Le Bouquet/Aquilacoop du turfu.
223
On a eu un brief : en gros un Nextcloud avec quelques plugins et du mail.
224
C'est Le Bouquet a monté le Nextcloud sur le serveur C'est Le Bouquet OpenLux qui s'appelle Zeus.
225
Est-ce qu'il marche ? "Oui, parfait."
226
Bien.
227
Des accès ont été créés, un petit groupe pilote va travailler dessus, et dire si ça va ou si ça bloque. Ça répond visiblement à 99% du besoin : mutualisation de fichiers (c'était le bordel chez Google et Dropbox).
228
229
C'est le bouquet n'est pas mort !
230
231
## 9. Nos Oignons
232
233
Oh le copier/coller du mail, bravo Nils super pour le nœud tor il est foutu on s'en fout hein ?
234
235
Nous avons subi deux attaques de DOS udp de 750Mbps en IPv6 de l'ip source 2001:41d0:51:1::15d5 qui fait partie d'un des réseaux d'OVH, le 2001:41d0:50::/44
236
Les attaques ont eu lieu le 19/11/2019 de 13h01 à 13h05 et de 13h23 à 13h53.
237
238
Nov 19 13:00:44.357158 rule 0/(match) match in on gif0: 2001:41d0:51:1::15d5.49286 > 2a0c:e300::23.61646: udp 352
239
Nov 19 13:00:44.357167 rule 0/(match) match out on vlan100: 2001:41d0:51:1::15d5.49286 > 2a0c:e300::23.61646: udp 352
240
241
Le problème est différent de d'habitude : on ne pouvait pas accéder aux Firewalls qui étaient complètement gelés. Il faudrait peut-être re-réfléchir la gestion des Firewalls, qui se mangent tout ce qui arrive en entrée. Des routeurs avant les firewalls pourraient jouer ?
242
La machine destination était celle de Nos Oignons. A priori, on avait décidé que NO n'étaient pas Firewallés. Donc si on avait séparé routeurs et firewalls, seul le routeur aurait mangé. Ce n'est pas miracle, mais ça peut aider.
243
L'hyperviseur ne prendra pas plein tarif derrière non plus, car il ne route pas beaucoup.
244
Cela dit, si c'est de l'IPv6, le routeur aurait mangé aussi parce que pas d'accélération matérielle implémentée.
245
246
Ça a donné une bonne envie de test de stress. Est-ce qu'on ficherait pas un RPI en frontal qui ne passe pas par les Firewalls qui aurait une patte sur le lien pour pouvoir intervenir. Et on pourrait éventuellement avoir une patte comme ça.
247
248
TODO: Changer les règles de firewall pour mettre nos oignons en no state  -> normalement c'est déjà le cas...
249
250
Et euh, puisqu'on en est à refaire le monde, si on refaisait un adressage ?
251
conf de ju : 
252
253
   * https://media.ffdn.org/LDN/adressage-ipv6-ipv4.webm  
254
   * https://julien.vaubourg.com/files/adressage-ipv6-ipv4.pdf  
255
   * https://julien.vaubourg.com/#talks-others  
256
257
## 10. (Bonus) C'est le bouquet
258
259
La succursyaal d'Aquilenet travaille essentiellement sur myElefant(SMS marketing), un projet qui a été racheté par des Suisses et ils se retrouvent tous à quitter Yaal. Aussi, Yaal se questionne sur son avenir. Et on a Eloi, un bon gars, qui fait de l'adminsys chez Aquilenet pour s'amuser. Et il se chauffe pour faire du C'est Le Bouquet.
260
On ne sait pas encore si ça va être du Yaal, du C'est le Bouquet, si ça part en SCOOP... Le seul consensus, c'est la création d'une coopérative pour CLB, et du coup il faut de l'argent qui rentre, et du coup pour en vivre, il faut avoir ça en tête. Ce n'est donc pas juste déployer un service, mais aussi offrir du support, il faut en parler... Sacha pousse pour une coop pour inviter les copains et ne pas se cantonner à Yaal.
261
Des estimations ont commencé à être faites, des tâches à être priorisées, et on est chopatate. Et Xavier a intégré le Nextcloud de E-graine, et a travaillé une journée sur ça dans une VM FreeBSD.
262
263
## 11. (Bonus deux le retour) La Réole
264
265
Sacha a rencontré le maire de La Réole, un "socialiste de gauche" (whaaaaaaaaaaat une licorne !). Tout est en régie chez eux, et ils ont donc pensé à faire de la régie du net. La Fibre arrive, mais ça ne corrige pas la fracture numérique chez eux, donc ils veulent fiche un WiFi gratuit pour que tout le monde en profite. Spyou nous a filé tout ce qu'il faut, et on a des gens de la mairie motivés qu'il va falloir rencontrer. MAIS c'est la période électorale et DONC ça risque de traîner.
266
On est aidé par les gens de La Nouvelle Centrale, et ça pète la classe (du cul).
267
268
FIN 22h09