Notices by Tangeek (tangeek@firefish.metalbanana.net)

Au taf on ne met que des enregistrements AAAA dans certains domaines pour forcer l'utilisation de l'IPv6 en remote. C'est voulu, parce que sinon la moitié des softphones vont prioritiser la v4 et s'emmerder avec les NAT foireux des FAI.

Cool.

Sauf qu'en fait ladite moitié de softphones considère que si y a pas d'enregistrement A, le domaine ne résout pas, quand bien même y a un AAAA. Du coup, même si niveau réseau tout fonctionne, le softphone dit "nope domain not resolving", quand bien même un nslookup prouve le contraire.

C'est quand qu'on arrête de faire semblant que l'IPv6 n'existe pas, svp ?

@lord@pleroma.lord.re Proposition : le client ne double-clique pas, mais clique deux fois.

@mozitux@smugcat.moe Il t'est remonté comment ce chiffre ? Parce que c'est une quantité finie, le KWh, pas un débit par heure, donc si c'est accumulé depuis X temps, ça peut être normal.

@mozitux@smugcat.moe Mais c'est calculé sur combien de temps, ce pic ? Parce que là, 440 kWh, c'est vraiment élevé. Ce serait la conso totale sur un mois d'un serveur consommant 600 watts en continu, h24.

Je doute très fort que t'aies ça en une seule heure, pour justifier 110€ de frais par heure.

EDIT: Désolé je cherche pas à être chiant, juste y a un truc que je comprends pas ça m'intriguait, mais en vrai on s'en fout j'ai sans doute pas tous les détails.

@breizh@pleroma.breizh.pm @mozitux@smugcat.moe Nan mais on est d'accord, quand on est pas au courant c'est pas le plus probable quoi. 🤣Moi je vois ça sur une facture je pars direct sur l'hypothèse qu'on essaie de m'entuber.

@breizh@pleroma.breizh.pm Nan mais justement, tu me parles de mesurer la conso totale de tous les serveurs que ta boite gère. Pour en avoir parlé avec toi je sais qu'il y en a un PAQUET. XD On serait partis dans cette discussion ça m'aurait pas surpris non plus.

Mais ici jusqu'à il y a 20 minutes, je pensais que @mozitux@smugcat.moe faisait ses expériences LLM chez lui sur sa RTX4060 en self-host. J'imaginais pas tout un parc. ^^

@breizh@pleroma.breizh.pm @mozitux@smugcat.moe On peut toujours imaginer que ses disjoncteurs ne fonctionnent pas. 😏

Il est de bon ton de rappeler que les VPN n'ont jamais eu pour but de sécuriser l'entièrereté de votre trafic Internet. Il est en réalité extrêmement rare de router tout le trafic d'un PC au travers, même en télétravail (ou alors votre presta IT est un incompétent).

La raison pour laquelle il n'y a pas de "fix" pour cette "faille", c'est parce que les OS implémentent correctement la norme DHCP. L'option 121 n'a rien d'anormal, c'est très souvent utilisé pour router correctement des paquets quand on a un réseau avec plusieurs routeurs dans le même subnet (exemple: le serveur VPN n'est pas forcément le routeur physique). Android n'est pas vulnérable parce que justement il ne supporte pas cette option, et c'est un problème qui m'a déjà fait chier.

Un VPN n'a pour unique but que la création d'un tunnel et d'une vNIC. La table de routage de ton OS est, et sera toujours, contrôlable par l'user que ce soit sur son OS ou son serveur DHCP chez lui. Cette faille n'exploite pas un défaut de conception, mais exploite la désinformation des vendeurs de tapis qui ont détourné ce qu'est censé faire un VPN à la base.

RE: https://mastodon.gougere.fr/users/bortzmeyer/statuses/112404527302577089

@az@scorpinc.social One Mikrotik to rule them all ! ☝️🧐

@alarig@hostux.social @marud@social.marud.fr @R1Rail@mastodon.gougere.fr Ça peut servir pour les IPv6, histoire de les avoir du même côté et pas s'emmerder avec des neigh add proxy.

@alarig@hostux.social @marud@social.marud.fr @R1Rail@mastodon.gougere.fr Hein. IPv6 c'est pas du L2. Je te parle pas forcément de SLAAC, juste d'IPv6 statiques qui seraient du même côté que le préfixe /64 de base. Sinon t'es obligé de faire du chipot à base de proxy ou de découpage de subnet pour router ta v6 en interne.

@alarig@hostux.social @marud@social.marud.fr @R1Rail@mastodon.gougere.fr Mais de quoi tu parles ? Quel rapport avec une conf v6 et le fait "de pas faire de L2" ?

@alarig@hostux.social @marud@social.marud.fr @R1Rail@mastodon.gougere.fr ... Bah. Du coup t'es justement en train de faire le genre de bidouilles que je disais être chiantes plus haut: un proxy entre vmbr0 et eno1 qui passe par les fe80, "à la main". Ça peut être évité en mettant un vmbr dédié à ton préfixe /64 de l'autre côté.

Je... Quoi. 🤣

https://www.ibiblio.org/harris/500milemail.html

@shaft@piaille.fr Un résumé plus clair ici https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

RSA n'est qu'une petite partie du truc. Il en parle parce que la backdoor bypass la vérification RSA lors d'un login SSH, mais ça s'arrête là.

@KazukyAkayashi@social.zarchbox.fr C'est complètement One Punch Man à l'école des sorciers, je pense que c'est difficile de prétendre le contraire. xD

@lord@pleroma.lord.re M'enfin, comme tu dis, y a un nombre incroyable de prestas qui n'y comprennent rien. Pour avoir du expliquer SEPT FOIS (au moins, depuis que je compte) à un "informaticien réseau" qu'une adresse MAC ne dépasse pas F... Je suis au courant qu'il y a des nuls.

@lord@pleroma.lord.re Bah oui c'est compliqué mais merde quand tu te présentes comme expert, ça la fout mal de pas penner un traceroute. Traceroute qu'ils m'ont eux-même demandé. Et ignoré.

Bordel ou alors tu me dis que le comportement du FW colle pas avec sa config, que c'est bizarre, que ça a l'air d'être un bug, j'sais pas, mais tu me dis que tu creuses quoi. Tu répètes pas cent fois au client "nn mé t sur que ton serveur é ok ?" -_-

Hier, le presta: "Pouvez-vous redémarrer le serveur ?"
Moi ce matin : "OK, je vous confirme que je l'ai redémarré hier soir."
Le presta : "Merci, je ne sais cependant pas vous garantir que cette machine a bien complétement redémarré, n’ayant aucun logs ici."

Mais putain dis le tout de suite que tu penses que je te mens là sérieux ça devient chiant.

Sérieux, le stade du ticket quoi. Je leur dit depuis lundi que je ne reçois littéralement aucun ping de leur part sur un certain subnet.

"Vous pouvez vérifier vos routes ?"
"Oui. Les voici."
"Vous pouvez nous donner un accès SSH ?"
"Non."
"Vous pouvez faire un traceroute ?"
"Oui. Voici. Le paquet va jusqu'à votre FW et pas plus loin"
"Vous pouvez redémarrer le serveur ?"
"Oui, il a redémarré".
"... Nan mas vous êtes sûr ?"

Sans rire, à quel moment vous allez vérifier votre firewall de ses grands morts là ? Ça ne fait QUE remettre en question notre serveur, ça demande de trois manières différentes de vérifier les routes, puis ça propose un redémarrage du pif.... Et pendant ce temps je leur rappelle à chaque fois que le traceroute qu'ils m'ont EUX-MÊME demandé donne la solution. -_-