Pour retrouver la communauté Thalie 24/24 7/7, une seule adresse: celle qui mène à notre beau serveur Discord.

-> https://discord.gg/PQXxevv <-

Les ordinateurs de l'HORREUR

Topic général, un peu bordélique, parfait pour accueillir toutes choses légères et sans prétention.

Modérateur : La Force Poissons

Avatar du membre
Itsukushimu
Princesse Pampa
Messages : 3871
Enregistré le : ven. oct. 17, 2008 8:17 pm
Localisation : Dans les montagnes Savoyardes

Re: Les ordinateurs de l'HORREUR

Message par Itsukushimu » sam. sept. 24, 2016 11:50 pm

QCTX a écrit :
Capables de lire du Windows en japonais.
:sayako:
Tu veux dire par là que vos DC ne sont pas en full anglais ? Que les admin systèmes ont voulu installer des OS en jap ? Sur des DC ? :kanako2:
Rassure-moi, on parle pas d'une grosse entreprise nationale, là ? C'est juste une start-up ou une PME ?
Il bosse chez un opérateur télécom. Tout. Va. Bien.
BE QUICK! OR BE DEAAAAD!

Image
Image

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » dim. sept. 25, 2016 12:55 am

DarkSoul a écrit :Et en creusant, je remarque que l'autorité n'est pas fonctionnelle parce qu'il y a le nom du DC1 codé en dur dedans... Et je tombe sur tout un tas d'articles qui disent "ne faites pas votre CA sur le même serveur que le DC, le nom est codé den dur"
C'est à l'image de mon expérience avec l'admin système Windows. Plein plein plein de petites spécificités/particularités dont on se doute pas à première vue, et qui font qu'on se plante la première fois qu'on monte un truc. Un bon sysadmin Windows est un sysadmin avec des années d'expérience, qui est déjà tombé dans ces traquenards, qu'il connait maintenant comme le fond de sa poche. (en contrepartie et à moins d'aller dans des trucs vraiment pointus, un sysadmin Linux, armé de bon sens, d'un peu d'XP (pas besoin autant d'années que l'admin Windows de mon point de vue) et de la communauté logiciel libre, peut se débrouiller sur son système !)
DarkSoul a écrit :Ceci pour dire, les bonnes pratiques Microsoft, même si on a pas pu les lire... C'est vraiment "Quand M. White dit 'tu fais comme ça', tu FAIS comme ça." ou sinon tu te retrouves avec un cadavre liquéfié qui traverse le plancher de ta salle de bain parce que t'as voulu le dissoudre dans l'acide dans ta baignoire et pas dans un bac de plastique comme il a demandé.
Image
Toutes ces bizarreries dont je parlais au dessus sont documentées sur MSDN, mais c'est un fouillis…
Je confirme tout autant l'importance de suivre à la lettre les instructions de Microsoft… on se fait avoir les premières fois, avec l'interface graphique et les habitudes de Windows, ça semble simple, Suivant Suivant Suivant Terminer… Et y'as rien qui marche. Bah oui, à certaines des étapes y'avait 3 ou 4 sous-étapes à faire, ou les réglages par défaut sont vides (mais le machin laissera quand même continuer pour se planter plus loin), ou y'as une tripotée de dépendances à installer d'abord (mais le truc se laisse quand même s'installer sans, puis plante misérablement à la fin), ou encore autre chose du genre. (les projets avec du Windows Server en études sup' c'était toujours du "fun", avec parfois des réinstallations de tout le bouzin la nuit avant le rendu :yoshitake2: :tiramie: )

Pour les traductions bordel c'est tellement YOLO, même en français, parfois on se demande ce qu'ils veulent dire… c'est pas au niveau des cours CCNA Académique (où là, la traduction française fait franchement dans l'incompréhensible !) mais quand même. Je m'imagine qu'en japonais ça doit être tout aussi joyeux D:

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » dim. sept. 25, 2016 6:43 pm

QCTX a écrit :
Le principal souci était pour la coordination entre Windows 2008 R1 en primaire, et 2008 R2 en contrôleur lecture seule.
Les AD LDS, ca a été vendu comme la solution idéale il y a 5 ans. M$ s'en est mordu les doigts depuis et à fait machine arrière sur le sujet. Il faut absolument proposer à ta boite de s'en débarrasser, sinon, il vont (tu vas) en chier encore pendant longtemps.
J'ai monté un truc simple mais c'est super dégueulasse parce que MS n'a JAMAIS fait de vrais outils en GUI... Ca tourne, mais c'est caballistique à souhait. C'est le truc, on te vend du Windows pour le GUI mais "Ah non ça il faut le faire comme si c'était du UNIX tout à la main et faire ton script et ton job cron toi-même" -> my face when.

On s'en sert pour un truc en fait, on a besoin d'une pseudo instance LDAP qui contient un set d'informations limité (genre on veut juste les noms/prénoms/mail + un flag), et qui autorise l'authentification avec des users AD :/ Ca doit être accédé par l'extérieur donc c'est pour ça qu'on ne peut pas donner accès à l'AD entier. (Monté en 2013)

Mais avec ce que tu dis, je me demande du coup si un mini OpenLDAP qui mirrorerait l'AD (de façon plus contrôlable que cette merde finie d'ADAMsync) et ferait de l'auth Kerberos ne passerait pas.
je rédige un plan de migration :
* Fabriquer VM Windows 2012, la promouvoir en contrôleur de domaine sous le nom "DC2"
* Dégager la fonctionnalité de CA de DC1, avec un backup intégral (faisable en journée)
* Restaurer la fonctionnalité sur DC2 (faisable en journée)
* Echanger l'IP de DC1 et de DC2 (à faire de nuit)
* Dégrader DC1 après, pour le reconstruire physiquement en 2012 (à faire de nuit)
J'aurai évité l'avant dernière étape pour la remplacer par ça :
* Ajouter une machine physique montée en DC et lui transférer les rôles (roi de la montagne et mère des dragons) (faisable en plein jour)
* Shutdown du DC1/formattage/réinstall et réintégration au domaine.
Ca te permettra d'avoir définitivement deux physiques pour gérer ta redondance plutôt que de se fier à des VM (i.e., le jour où ton DC1 crame, tu prends le risque de l'oeuf ou la poule).
J'aurais voulu, mais :
- Pas de hardware physique de réserve, c'est pour ça que j'ai fait une VM au départ.
- Le transfert de rôle a échoué. C'est pour ça que j'ai du faire une usurpation et un passage au bain d'acide.

Pour information, histoire d'éviter le problème que tu décris, ce que je visais était d'avoir pour le site principal :
- DC1 en virtuel
- DC2 en physique (en reprenant le vieux bousin physique après lui avoir fait la peau)
Une petite difficulté était que pas mal d'applis en interne utilisaient l'IP ou le hostname du contrôleur de domaine, ce qui fait que couper le service risquait de gêner le travail.
Je. De. Mais... :kanako2:
Personne n'a entendu parler de la notion de DNS ou quoi ? Jamais on code en dur une IP dans un programme, JAMAIS !
Question que j'ai posée, et on m'a répondu :"Et si le serveur DNS merde ou que le DC est down ? On fait quoi ?"
Et il faut dire qu'on a DEJA vu le pattern où le serveur DNS du DC s'est pété la gueule et où le nom était non resolvable.

Mais perso je pousse au cul pour redonder les DNS (avec cache) et de toute façon utiliser du SSL pour l'accès, donc de toute façon le DNS devient indispensable, et est mieux redondé.

Juste, j'ai pas pu foutre le nez dans TOUTES les config où le hostname était écrit.
(Normalement il faudrait faire un lookup DNS sur le service LDAP pour le site correspondant du domaine, ce serait le plus clean, mais là les gens mettent directement "dc1.<domaine>" ou "IP" -.-)
Et je tombe sur tout un tas d'articles qui disent "ne faites pas votre CA sur le même serveur que le DC, le nom est codé den dur"
Principe de base sur Windows : un serveur n'a qu'une seule et unique fonction. Jamais tous les oeufs dans le même panier, les VM sont là pour ça. Et une licence DataCenter de Windows, c'est fait pour gérer toute ces VM sans avoir à te prendre la tête.
comme le coup des trois verres avec une boule dedans et devinez où elle se trouve.
On parle plutôt de la problématique des tours de Hanoï...
Image
Yep, et j'avais compris ça instinctivement (ne serait-ce que parce que c'est PETE COUILLES de faire marcher cinquante mille rôles sur une même machine, et ne parlons pas de la réinstall !), mais quand j'ai soulevé le problème au départ, on m'a fait chier sur le nombre de licences et que ça allait coûter cher.

La bonne nouvelle est que depuis que j'ai tenté la migration et eu le résultat décrit ci-dessus, ils ont compris que c'était une très très mauvaise idée (coût en maintenance, coût en temps), et ils vont payer les licences serveur dont on a besoin, pour qu'on puisse faire de vraies schedules de migration régulières.

Et pour les VM on ne veut pas utiliser du HyperV.
Capables de lire du Windows en japonais.
:sayako:
Tu veux dire par là que vos DC ne sont pas en full anglais ? Que les admin systèmes ont voulu installer des OS en jap ? Sur des DC ? :kanako2:
Rassure-moi, on parle pas d'une grosse entreprise nationale, là ? C'est juste une start-up ou une PME ?
PME, et on parle du domaine interne à la boîte (aucun impact client). Mais je suis plus ou moins obligé parce que tout le monde est plus habitué à lire du japonais et que ça n'emmerde les gens que dans quelques rares cas. Et qui plus est, le Windows japonais a des entrées AD supplémentaires pour les furigana des noms des gens et tu te doutes que tout ça c'est "serious business" "on ne peut pas faire sans".

Mais effectivement suite à ça et quelques problèmes sur un autre projet j'ai voulu énergiquement proposer "on level up en anglais et on builde nos serveurs Windows en anglais". Le seul endroit où j'ai pu installer en anglais et dire "merde" à ce requirement, c'est le projet où je suis architecte parce que j'ai voulu éliminer TOUT bug bizarre dû à la langue.

Et de mon expérience cette merde vaut aussi pour les Windows en français >_<

En tout cas merci pour le feedback.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » dim. sept. 25, 2016 6:51 pm

s3phy a écrit :
DarkSoul a écrit :Et en creusant, je remarque que l'autorité n'est pas fonctionnelle parce qu'il y a le nom du DC1 codé en dur dedans... Et je tombe sur tout un tas d'articles qui disent "ne faites pas votre CA sur le même serveur que le DC, le nom est codé den dur"
C'est à l'image de mon expérience avec l'admin système Windows. Plein plein plein de petites spécificités/particularités dont on se doute pas à première vue, et qui font qu'on se plante la première fois qu'on monte un truc. Un bon sysadmin Windows est un sysadmin avec des années d'expérience, qui est déjà tombé dans ces traquenards, qu'il connait maintenant comme le fond de sa poche. (en contrepartie et à moins d'aller dans des trucs vraiment pointus, un sysadmin Linux, armé de bon sens, d'un peu d'XP (pas besoin autant d'années que l'admin Windows de mon point de vue) et de la communauté logiciel libre, peut se débrouiller sur son système !)
THIS. C'est ce qui me fait le plus CHIER avec Windows. On perd son temps parce que les choses ne sont pas rationnelles et qu'il faut bouffer le manuel ou bouffer des pavés.

Et je vais te faire rire, je suis le plus "compétent" en Windows chez nous, en vertu du fait que je sais déjà à quoi m'attendre de quelques Microsofteries, et que je sais comment une stack LDAP/Kerberos marche, ainsi que les GPO.

Récemment le truc qui m'a fait le plus chier c'est pour un user, quand tu actives le flag AES128 ou AES256, ça ne t'indique *RIEN* mais en fait ça désactive le chiffrage legacy aussi pour l'auth Kerberos. Ce qui invalide les keytabs que tu avais pu produire avant. C'est bien, hein, c'est pas grave, juste ce serait VACHEMENT BIEN de le SAVOIR ! (En fait tu vois que "activer AES128/256" ça modifie une entrée LDAP dans AD, msDS-EncryptionType ou un truc du genre et que ça désactive une grosse partie du masque de bits occulte qui correspond à 3DES, RC4, etc... Mais aucun moyen de le deviner juste avec le NOM)
DarkSoul a écrit :Ceci pour dire, les bonnes pratiques Microsoft, même si on a pas pu les lire... C'est vraiment "Quand M. White dit 'tu fais comme ça', tu FAIS comme ça." ou sinon tu te retrouves avec un cadavre liquéfié qui traverse le plancher de ta salle de bain parce que t'as voulu le dissoudre dans l'acide dans ta baignoire et pas dans un bac de plastique comme il a demandé.
Image
Toutes ces bizarreries dont je parlais au dessus sont documentées sur MSDN, mais c'est un fouillis…
Je confirme tout autant l'importance de suivre à la lettre les instructions de Microsoft… on se fait avoir les premières fois, avec l'interface graphique et les habitudes de Windows, ça semble simple, Suivant Suivant Suivant Terminer… Et y'as rien qui marche. Bah oui, à certaines des étapes y'avait 3 ou 4 sous-étapes à faire, ou les réglages par défaut sont vides (mais le machin laissera quand même continuer pour se planter plus loin), ou y'as une tripotée de dépendances à installer d'abord (mais le truc se laisse quand même s'installer sans, puis plante misérablement à la fin), ou encore autre chose du genre. (les projets avec du Windows Server en études sup' c'était toujours du "fun", avec parfois des réinstallations de tout le bouzin la nuit avant le rendu :yoshitake2: :tiramie: )
Parfois en plus pour un truc vraiment pourri, tu vois une réponse sur TechNet par un mec qui te dit "Ouais fais ça je pense que ça devrait marcher, chez moi ça marche" et tu testes un grigri.
Pour les traductions bordel c'est tellement YOLO, même en français, parfois on se demande ce qu'ils veulent dire… c'est pas au niveau des cours CCNA Académique (où là, la traduction française fait franchement dans l'incompréhensible !) mais quand même. Je m'imagine qu'en japonais ça doit être tout aussi joyeux D:
Ironiquement avoir traduit du Reconguista m'a appris à tordre mon mental dans tous les sens pour comprendre comment quelqu'un a pu aboutir à cette formulation et d'où il a pu vouloir partir.

Pour être franc, beaucoup de messages sont relativement clairs, mais il y a un truc où j'ai eu envie de baffer le traducteur. "アクセスが出来ません" (Cannot access) pour "Permission denied", ce qui a confuse les gens pendant un long moment avant de penser au problème de permissions. J'ai vu le message, j'ai vu qu'un truc puait, et j'ai dit "vous avez pensé à regarder ça ?" -"ben non pourquoi ?" -"...parce que le japonais est traduit de l'anglais et que le traducteur est pas forcément bon/intelligent. vérifiez." -"bon bon ok.... PUTAIN C'ETAIT CA."
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » dim. sept. 25, 2016 6:54 pm

Itsukushimu a écrit :
QCTX a écrit :
Capables de lire du Windows en japonais.
:sayako:
Tu veux dire par là que vos DC ne sont pas en full anglais ? Que les admin systèmes ont voulu installer des OS en jap ? Sur des DC ? :kanako2:
Rassure-moi, on parle pas d'une grosse entreprise nationale, là ? C'est juste une start-up ou une PME ?
Il bosse chez un opérateur télécom. Tout. Va. Bien.
Fournisseur d'accès Internet, c'est pas pareil : on ne gère pas de lien physique, on est plutôt opérateur virtuel sur le réseau physique de NTT, qui LUI est un opérateur télécom.

Et je répète c'est le AD interne de la boîte.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
QCTX
Fait partie du paysage
Messages : 134
Enregistré le : lun. mars 30, 2009 12:44 am
Localisation : RP

Re: Les ordinateurs de l'HORREUR

Message par QCTX » dim. sept. 25, 2016 8:20 pm

Mais avec ce que tu dis, je me demande du coup si un mini OpenLDAP qui mirrorerait l'AD (de façon plus contrôlable que cette merde finie d'ADAMsync) et ferait de l'auth Kerberos ne passerait pas.
Je ne connais pas OpenLDAP ni ADAMsync, mais du moment que tu peux répliquer/interroger une base AD, y'a pas de raison que tu ne puisse pas faire ce que tu veux ensuite comme authentification.
Pas de hardware physique de réserve
:yoshitake2: Et le jour où leur DC principal meure, ils font quoi ? Il rachètent une machine neuve ?
Pour information, histoire d'éviter le problème que tu décris, ce que je visais était d'avoir pour le site principal :
- DC1 en virtuel
- DC2 en physique (en reprenant le vieux bousin physique après lui avoir fait la peau)
Désoler d'insister, mais je maintient ma préco : 2 physiques qui se redondent l'un l'autre en DC principal et tous les autres rôles AD sur des VM.
Question que j'ai posée, et on m'a répondu :"Et si le serveur DNS merde ou que le DC est down ? On fait quoi ?"
:tamako: Mais...
Le rôle DNS est vraiment pas consommateur de ressource, tu peux foutre des répliques partout, sur tous les DC physiques et virtuels. Voire préparer des VM avec juste ce rôle, mais stopper la machine pour économiser de la ressource et la démarrer à volonté.
Mais je suis plus ou moins obligé parce que tout le monde est plus habitué à lire du japonais et que ça n'emmerde les gens que dans quelques rares cas. Et qui plus est, le Windows japonais a des entrées AD supplémentaires pour les furigana des noms des gens et tu te doutes que tout ça c'est "serious business" "on ne peut pas faire sans".
Mais heu... les comptes AD, y'a que les admin qui y accèdent ? Cette ligne de texte en furigana, personne ne la lit, elle ne s'affiche nulle part ? S'il vous faut une info supplémentaire, pour faire joli sur une interface, une simple base de donnée légère à côté suffit, non ?
Et de mon expérience cette merde vaut aussi pour les Windows en français >_<
Tout à fait.

Mais t'inquiète, je bosse avec un représentant de Microsoft au boulot, qui est tout aussi outré que moi des contorsions logicielles effectuées par sa boite. Je vais attendre d'avoir fini cette mission pour vous détailler tout ça, mais ça va être assez drôle.
Image

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » lun. sept. 26, 2016 2:39 am

QCTX a écrit :
Mais avec ce que tu dis, je me demande du coup si un mini OpenLDAP qui mirrorerait l'AD (de façon plus contrôlable que cette merde finie d'ADAMsync) et ferait de l'auth Kerberos ne passerait pas.
Je ne connais pas OpenLDAP ni ADAMsync, mais du moment que tu peux répliquer/interroger une base AD, y'a pas de raison que tu ne puisse pas faire ce que tu veux ensuite comme authentification.
ADAMsync c'est l'outil microsoft qui permet de cloner des données de l'AD vers un LDS suivant certains critères et de faire des conversions. C'est puissant mais absolument pas raffiné. Tu dois éditer un XML et le charger dans la partition config du LDS, puis lancer une tâche planifiée pour propager les modifications.
Pas de hardware physique de réserve
:yoshitake2: Et le jour où leur DC principal meure, ils font quoi ? Il rachètent une machine neuve ?
En fait on a déjà deux DC lecture/écriture en physique : un au bureau principal de Tokyo, et un au DC de Tokyo (qui sont vus comme deux sites différents du point de vue d'AD)
Pour information, histoire d'éviter le problème que tu décris, ce que je visais était d'avoir pour le site principal :
- DC1 en virtuel
- DC2 en physique (en reprenant le vieux bousin physique après lui avoir fait la peau)
Désoler d'insister, mais je maintient ma préco : 2 physiques qui se redondent l'un l'autre en DC principal et tous les autres rôles AD sur des VM.
Question que j'ai posée, et on m'a répondu :"Et si le serveur DNS merde ou que le DC est down ? On fait quoi ?"
:tamako: Mais...
Le rôle DNS est vraiment pas consommateur de ressource, tu peux foutre des répliques partout, sur tous les DC physiques et virtuels. Voire préparer des VM avec juste ce rôle, mais stopper la machine pour économiser de la ressource et la démarrer à volonté.
En comptant les RODC au final on doit en avoir assez.
Mais je suis plus ou moins obligé parce que tout le monde est plus habitué à lire du japonais et que ça n'emmerde les gens que dans quelques rares cas. Et qui plus est, le Windows japonais a des entrées AD supplémentaires pour les furigana des noms des gens et tu te doutes que tout ça c'est "serious business" "on ne peut pas faire sans".
Mais heu... les comptes AD, y'a que les admin qui y accèdent ? Cette ligne de texte en furigana, personne ne la lit, elle ne s'affiche nulle part ? S'il vous faut une info supplémentaire, pour faire joli sur une interface, une simple base de donnée légère à côté suffit, non ?
Appliance ou soft jap alakon qui s'attend à tout prendre de UNE et UNE SEULE source et malheur à toi si c'est pas un AD. Et qui s'attend à avoir les extensions JP d'AD sinon erreur du genre "ta mère suce des bites en enfer".
Et de mon expérience cette merde vaut aussi pour les Windows en français >_<
Tout à fait.

Mais t'inquiète, je bosse avec un représentant de Microsoft au boulot, qui est tout aussi outré que moi des contorsions logicielles effectuées par sa boite. Je vais attendre d'avoir fini cette mission pour vous détailler tout ça, mais ça va être assez drôle.
*sort le popcorn*
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » jeu. sept. 29, 2016 1:50 pm

DarkSoul a écrit :J'ai monté un truc simple mais c'est super dégueulasse parce que MS n'a JAMAIS fait de vrais outils en GUI... Ca tourne, mais c'est caballistique à souhait. C'est le truc, on te vend du Windows pour le GUI mais "Ah non ça il faut le faire comme si c'était du UNIX tout à la main et faire ton script et ton job cron toi-même" -> my face when.
Encore plus fun, de mémoire pour certains trucs (et en suivant les précos de Microsoft) la procédure fait faire certaines étapes via GUI et d'autres via CLI ou PowerShell… (je sais plus pour quel truc à la con… probablement Lync Server)
DarkSoul a écrit :Et qui plus est, le Windows japonais a des entrées AD supplémentaires pour les furigana des noms des gens et tu te doutes que tout ça c'est "serious business" "on ne peut pas faire sans".
Ah ça bordel :D

Storytime : en janvier dernier je me rends chez Arcade.am à Montauban, un des plus gros importateurs de bornes d'arcades japonaises type candy cab en France. (Les "candy cab" c'est les bornes d'arcade blanches, à écran cathodique, typiques des années 90 pour les jeux de baston.) Les gérants sont deux frères, avec qui je suis devenu ami au fil des années (l'un d'eux étant Wovou, le taulier de Neo-Arcadia.com, vieux forum d'arcade francophone où un certain Jaerdoster était un habitué y'as une dizaine d'années… le monde est petit). Chez Arcade.am on importe des bornes d'arcade par conteneur entier, les bornes arrivent dans leur jus (comprendre : elles puent la clope japonaise froide et les plastiques sont aussi jaunis que les murs ou plafonds d'une salle de pachinko), parfois avec des jeux, des systèmes d'arcade ou d'autres trucs liés à ça à l'intérieur.

De ma visite de leur entrepôt et atelier je repars avec une Sega Blast City incomplète, et quelques cartons de stuff arcade divers (sticks, boutons, câblages, etc.), parmi eux, deux routeurs/modems ISDN/Ethernet repérés au milieu d'une caisse de bordel. Récupérés gratos et pour la curiosité. Deux Yamaha RTA54i, modèles n'ayant jamais quitté le marché japonais (qui savait que Yamaha avait fait des routeurs ?), avec des stickers SEGA dessus. Après vérification c'était des routeurs originellement utilisés pour VF.net, réseau de jeu en ligne de Virtua Fighter pour les salles d'arcade, réseau qui est devenu par la suite SEGA ALL.Net. Un des routeurs s'allume et semble fonctionner, y'as une doc toujours en ligne chez Yamaha, et une page d'un mec qui a joué avec ce routeur et documenté une fonctionnalité arrivée par une mise à jour de firmware à la fin de vie du routeur : le machin peut faire ATA SIP !

Bon j'suis parti pour m'amuser avec ce routeur. Resetté (SEGA avait très justement verrouillé le machin avec des mots de passe sur chaque interface : je n'aurais pas les configs "secrètes" de routeurs SEGA vieux de 15 ans xD) Connecté en telnet dessus, le machin me sors parfois une bouillie de caractères.

…Ce truc fait du telnet avec un encodage japonais ?! :sayako:

Mon client telnet ne me sors aucune conf possible pour l'encodage. Google semble confirmer, telnet comme terminal texte c'est censé être de l'ASCII… mais ce routeur me parle vraisemblablement en Shift JIS.

Google m'offre une réponse via des sites en japonais : utiliser le telnet de windows et passer le paramètre "set codeset Shift JIS". VM Windows lancée, telnet, set codeset Shift JIS… et je peux aller me faire foutre. Non supporté. "set ?" y'as plein de trucs, mais pas codeset.

Pourtant tous ces sites en japonais qui parlent de cette option, ils l'ont pas sorti de nulle part ?!

À priori non. C'est bien une option qui existe.

Dans le telnet fourni avec les Windows en Japonais. :tiramie:
Image

(alors oui c'est bien mentionné en bas de https://technet.microsoft.com/en-us/lib ... s.11).aspx dans les remarques. Mais la remarque est fausse : elle dit "On non-English versions of Telnet", pourtant sur le telnet d'un Windows en français, cette option n'est pas présente, je suppose qu'elle n'est réellement présente que sur le telnet d'un Windows japonais, vu que les seuls encodages possibles sont des encodages japonais)

Ah et donc oui, y'as donc bien du hardware japonais qui discute en telnet en SJIS. Et à priori pas qu'un seul type de matos quand on voit la quantité d'encodages différents supportés par le telnet d'un Windows japonais !

(je n'a pas trouvé un tuto - qui fonctionne - sur les interwebz japonais expliquant comment se connecter à un telnet SJIS depuis Linux. Y'as une tripotée de tutos, avec des mélanges louches de setenv et d'utiliser un et un seul émulateur de terminal en particulier, je voulais pas faire comme ça… la solution m'est venue après quelques heures de recherches infructueuses : screen peut très certainement faire ça. Et effectivement ! Client telnet et conversion d'encodage. Dans les faits : screen, Ctrl+a : encoding SJIS… et on passe de ça Image à ça Image :D https://twitter.com/s3phyca/status/699413946630066177 ) (screen c'est quand même l'ultime couteau suisse de l'émulateur de terminal :D)

(oh et tout ça pour qu'une fois les machins configurés avec des logins d'un serveur SIP… se fassent refuser la connexion. Genre identifiants incorrects. J'ai fini par sniffer le trafic pour essayer de comprendre, AFAIK le machin envoie des requêtes SIP correctes, j'ai comparé champ par champ par rapport à ce qui est écrit dans les RFC… j'ai sniffé le trafic d'un autre téléphone SIP qui lui arrive à se connecter, pour voir quelles étaient les différences (le téléphone plus récent envoie les champs dans un ordre différent (ce qui est censé n'avoir aucune importance), et plein de champs en plus, tous optionnels selon les RFC qui-vont-bien), j'ai même refais à la main la procédure de hash de mot de passe pour être sûr que le routeur envoie bien le bon mdp (vu que le serveur se plaint de login incorrect), tout est OK… sur un autre serveur j'ai obtenu une réponse bizarre du serveur à la première requête ("5xx Your client is MAD!", oui le message disait bien ça, oui de mémoire c'était bien un 5xx, non ce n'était pas un code standard listé par exemple ici https://en.wikipedia.org/wiki/List_of_S ... onse_codes ), BREF, j'ai foutu le bousin de côté, un jour je me repencherais dessus avec un Asterisk ou un FreePBX maison pour essayer de comprendre ce qui plaît pas entre mon vieux routeur Yamaha japonais 15 ans d'âge SEGA trouvé dans une caisse à Montauban et un serveur SIP moderne :awe: )

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » jeu. sept. 29, 2016 4:07 pm

s3phy a écrit :qui savait que Yamaha avait fait des routeurs ?
Moi hélas, et ils en font toujours :kobato:
Un poing vaut mieux que deux "j'te préviens..."

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » jeu. sept. 29, 2016 4:53 pm

s3phy a écrit :Un des routeurs s'allume et semble fonctionner, y'as une doc toujours en ligne chez Yamaha, et une page d'un mec qui a joué avec ce routeur et documenté une fonctionnalité arrivée par une mise à jour de firmware à la fin de vie du routeur : le machin peut faire ATA SIP !
Tiens, moi je savais ça parce qu'on refourgue du Yamaha pour nos routeurs VPN, en attendant de dev notre propre truc. D'ailleurs ils ont aussi fait un truc qui leur a valu les foudres de NTT, ils ont fabriqué un truc qui marche avec leur sacro saint service téléphone IP.
Bon j'suis parti pour m'amuser avec ce routeur. Resetté (SEGA avait très justement verrouillé le machin avec des mots de passe sur chaque interface : je n'aurais pas les configs "secrètes" de routeurs SEGA vieux de 15 ans xD) Connecté en telnet dessus, le machin me sors parfois une bouillie de caractères.

…Ce truc fait du telnet avec un encodage japonais ?! :sayako:
Normal. J'aurais aussi testé EUC-JP pour bonne mesure.

Mon client telnet ne me sors aucune conf possible pour l'encodage. Google semble confirmer, telnet comme terminal texte c'est censé être de l'ASCII… mais ce routeur me parle vraisemblablement en Shift JIS.

Google m'offre une réponse via des sites en japonais : utiliser le telnet de windows et passer le paramètre "set codeset Shift JIS". VM Windows lancée, telnet, set codeset Shift JIS… et je peux aller me faire foutre. Non supporté. "set ?" y'as plein de trucs, mais pas codeset.

Pourtant tous ces sites en japonais qui parlent de cette option, ils l'ont pas sorti de nulle part ?!

À priori non. C'est bien une option qui existe.

Dans le telnet fourni avec les Windows en Japonais. :tiramie:
Image

(alors oui c'est bien mentionné en bas de https://technet.microsoft.com/en-us/lib ... s.11).aspx dans les remarques. Mais la remarque est fausse : elle dit "On non-English versions of Telnet", pourtant sur le telnet d'un Windows en français, cette option n'est pas présente, je suppose qu'elle n'est réellement présente que sur le telnet d'un Windows japonais, vu que les seuls encodages possibles sont des encodages japonais)
Hmm, d'ailleurs... Pourquoi tu n'as pas pris un terminal genre PuTTY ou un Gnome Terminal ? Ils gèrent très bien les applis en ISO-2022-JP, en EUC-JP, en Shift-jJIS
Ah et donc oui, y'as donc bien du hardware japonais qui discute en telnet en SJIS. Et à priori pas qu'un seul type de matos quand on voit la quantité d'encodages différents supportés par le telnet d'un Windows japonais !
Oui.
(je n'a pas trouvé un tuto - qui fonctionne - sur les interwebz japonais expliquant comment se connecter à un telnet SJIS depuis Linux. Y'as une tripotée de tutos, avec des mélanges louches de setenv et d'utiliser un et un seul émulateur de terminal en particulier, je voulais pas faire comme ça… la solution m'est venue après quelques heures de recherches infructueuses : screen peut très certainement faire ça. Et effectivement ! Client telnet et conversion d'encodage. Dans les faits : screen, Ctrl+a : encoding SJIS… et on passe de ça Image à ça Image :D https://twitter.com/s3phyca/status/699413946630066177 ) (screen c'est quand même l'ultime couteau suisse de l'émulateur de terminal :D)
XD

Si tu es conscient de ça, tu as vu au moins la surface des merdes qu'on peut se taper.
(oh et tout ça pour qu'une fois les machins configurés avec des logins d'un serveur SIP… se fassent refuser la connexion. Genre identifiants incorrects. J'ai fini par sniffer le trafic pour essayer de comprendre, AFAIK le machin envoie des requêtes SIP correctes, j'ai comparé champ par champ par rapport à ce qui est écrit dans les RFC… j'ai sniffé le trafic d'un autre téléphone SIP qui lui arrive à se connecter, pour voir quelles étaient les différences (le téléphone plus récent envoie les champs dans un ordre différent (ce qui est censé n'avoir aucune importance), et plein de champs en plus, tous optionnels selon les RFC qui-vont-bien), j'ai même refais à la main la procédure de hash de mot de passe pour être sûr que le routeur envoie bien le bon mdp (vu que le serveur se plaint de login incorrect), tout est OK… sur un autre serveur j'ai obtenu une réponse bizarre du serveur à la première requête ("5xx Your client is MAD!", oui le message disait bien ça, oui de mémoire c'était bien un 5xx, non ce n'était pas un code standard listé par exemple ici https://en.wikipedia.org/wiki/List_of_S ... onse_codes ), BREF, j'ai foutu le bousin de côté, un jour je me repencherais dessus avec un Asterisk ou un FreePBX maison pour essayer de comprendre ce qui plaît pas entre mon vieux routeur Yamaha japonais 15 ans d'âge SEGA trouvé dans une caisse à Montauban et un serveur SIP moderne :awe: )
XDDDD Ca m'étonnerait même pas que ce soit une merde spécifique au service SIP (Hikari Denwa) de NTT.
Tu veux savoir ce qui se passe sur ta fibre quand tu as du Hikari Denwa ?

1) Tu DHCP en v4 en direct sur l'Ethernet. Oui. Je suis sérieux.
Ca chope une IP et un subnet mask genre /30.
2) Ca tente de resolve ton trunk SIP en utilisant ton DNS standard.
3) ENFIN, ça se connecte.
4) Et par dessus ça tu fais du PPPoE ou en parallèle de l'IPv6 over Ethernet.

Le pauvre port il se fait passer dessus par tout et tout le monde :
- IPv4 dans PPPoE -> ton ISP
- IPv6 dans PPPoE -> ton ISP (SI il fournit du IPv6 over PPPoE ; note si jamais, on le fait chez AsahiNet à titre expérimental, et c'est possible de pistonner pour filer un accès si tu donnes une décharge de responsabilité :3)
- IPv6 -> tu finis dans le réseau fermé de NTT si tu n'as pas l'option spéciale
- IPv4 -> tu finis dans le mini réseau virtuel de NTT dédié au SIP
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » ven. sept. 30, 2016 3:44 am

DarkSoul a écrit :Hmm, d'ailleurs... Pourquoi tu n'as pas pris un terminal genre PuTTY ou un Gnome Terminal ? Ils gèrent très bien les applis en ISO-2022-JP, en EUC-JP, en Shift-jJIS
Je voulais pas installer PuTTY pour je sais plus quelle raison (genre OK je l'utilise sous Windows mais sur mon Linux j'en ai jamais eu besoin jusqu'à présent, pourquoi je l'utiliserais maintenant :redface: ou un truc du genre, je sais plus), et Gnome Terminal euuh…

euh.

...

eh.

Image

eeeeeeeeeeeeeeeeeeeh ?! :shiori:

Eh ben. TIL.
DarkSoul a écrit :XDDDD Ca m'étonnerait même pas que ce soit une merde spécifique au service SIP (Hikari Denwa) de NTT.
Tu veux savoir ce qui se passe sur ta fibre quand tu as du Hikari Denwa ?

1) Tu DHCP en v4 en direct sur l'Ethernet. Oui. Je suis sérieux.
Ca chope une IP et un subnet mask genre /30.
2) Ca tente de resolve ton trunk SIP en utilisant ton DNS standard.
3) ENFIN, ça se connecte.
4) Et par dessus ça tu fais du PPPoE ou en parallèle de l'IPv6 over Ethernet.

Le pauvre port il se fait passer dessus par tout et tout le monde :
- IPv4 dans PPPoE -> ton ISP
- IPv6 dans PPPoE -> ton ISP (SI il fournit du IPv6 over PPPoE ; note si jamais, on le fait chez AsahiNet à titre expérimental, et c'est possible de pistonner pour filer un accès si tu donnes une décharge de responsabilité :3)
- IPv6 -> tu finis dans le réseau fermé de NTT si tu n'as pas l'option spéciale
- IPv4 -> tu finis dans le mini réseau virtuel de NTT dédié au SIP
Oh bordel.
Oh et du coup tu m'apporte une réponse aux bizarreries IPv6 que j'avais remarqué ici et à ma guest house précédente, c'est quoi cette idée tordue de réseau fermé IPv6.

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » ven. sept. 30, 2016 7:18 am

NTT, quand ils voient un protocole, ils foutent les bonnes pratiques aux orties, et implémentent ce qu'ils ont envie. Et si t'es pas content t'as qu'à changer de réseau-AHLOL tu peux pas on est majoritaires krkrkrkrkrkr.



En gros ça force tout le monde à faire du twister pour se conformer à ce qu'ils font. Ils abusent du fait que comme ils ont le lien Ethernet, ils fournissent une route par défaut par RA et ton préfixe réseau "NTT closed garden" par DHCPv6-PD (sur de l'espace IPv6 public, OUI). Et ça fout une merde noire avec les ISP, parce que cette route ne sort pas sur Internet, et du coup ils peuvent dire "ah non nous on est que carrier, pas provider~ :3", mais faire chier tout le monde parce qu'il faut override la route par défaut et que tu peux pas faire ça avec un routeur standard.

Ou alors, tu achètes l'option IPv6 (payante !), et soit tu as un préfixe autre que le "NTt closed garden", soit l'ISP te file une session PPPoE IPv6 dédiée, ce qui résoud le souci.

Sinon ? Tu as une route IPv6 par défaut indistinguable d'une route fonctionnelle, qui t'envoie dans un trou noir. Tu le sens, l'Enfer, quand TOUS les programmes favorisent l'IPv6 pourvu qu'il existe une route v6 ? Paie ton timeout v6 d'une minute avant de fallback en v4. Pour tout.

Le nom de cette merveille ? Le Next Generation Network, aka NGN. C'est un meme au Japon chez les admins sys/réseau que "tout ça c'est la faute au NGN" (NGN ga minna warui).



L'horreur continue : presque tous les ISP jap soumis à ce souci ont implémenté une HORREUR au niveau DNS pour filtrer les records IPv6 "mais pas tous" (ben oui parce que les trucs genre service de paiement/vidéo/etc dans le NTT closed garden ils ont des records IPv6 only~)

Je veux parler du AAAA Filter (lire "quad A filter") :
- si une requête DNS demande explicitement un AAAA, et que le domaine cible n'a pas de A, répondre:
- sinon, drop les records AAAA de la réponse

La fonction existait uniquement dans BIND, qui était très nul pour gérer les DDoS à base d'AMP ou water torture. Du coup pour passer à Unbound, j'ai CODÉ la feature. La moitié de la communauté réseau japonaise a bondi de joie.

(Ah oui bien sûr avec ça tu te carres DNSSEC là où je pense~)



Bref, ceci pour dire, NTT prend beaucoup ses aises et du coup force plein de mondes à faire encore plus de merde pour esquiver leurs saletés.

Ah oui d'ailleurs énorme blague : NTT entretient une liste de routes publiées en HTTP que leurs box vont chercher pour override ta route par défaut si tu sors du réseau NTT. Pourquoi ? Pour que tu aies les préfixes qui correspondent au closed garden, ben oui parce que sinon tu y as plus accès~ et leur gateway c'est celle que tu obtiens via RA sur ton link Ethernet bas niveau.
Modifié en dernier par DarkSoul le ven. sept. 30, 2016 9:33 am, modifié 2 fois.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » ven. sept. 30, 2016 7:23 am

Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » ven. sept. 30, 2016 8:13 am

Bordel.

Merci pour les URL de référence.
Quand j'avais fouillé un peu le bordel fin juillet à mon logement précédent, j'étais arrivé à peu près aux mêmes conclusions que tes explications : le routeur nous file des IPv6 d'une plage publique mais qui ne sors pas sur internet, on a accès qu'à un site de test http://flets-east.jp (et p'tet quelques autres trucs chez NTT), et les DNS nous mentent et répondent une absence de AAAA.

https://twitter.com/s3phyca/status/759080767964057602

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » ven. sept. 30, 2016 9:43 am

s3phy a écrit :Bordel.

Merci pour les URL de référence.
Quand j'avais fouillé un peu le bordel fin juillet à mon logement précédent, j'étais arrivé à peu près aux mêmes conclusions que tes explications : le routeur nous file des IPv6 d'une plage publique mais qui ne sors pas sur internet, on a accès qu'à un site de test http://flets-east.jp (et p'tet quelques autres trucs chez NTT), et les DNS nous mentent et répondent une absence de AAAA.

https://twitter.com/s3phyca/status/759080767964057602
Indeed, bonne analyse.

Tu etais chez quel ISP ? (Enfin note que les notres chez Asahi Net le font aussi ; on prepare des serveurs DNS sans filtre pour le service full IPv6, d'ailleurs)
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » ven. sept. 30, 2016 10:32 am

Un peu de vaseline avec ceci, monsieur ?

Ça cause pas mal IPv6 au Japon plus haut, mais je vais sortir de ce sujet avec ce post.

Prenant ma tache d'astreinte diurne au début du mois dernier je me retrouve ENCORE UNE FOIS a devoir vider de ses logs une machine sous AIX4.3. :misaka2:
Oui vous avez bien lu, AIX4.3 en 2016 (release octobre 1997). :death:

En regardant de plus près la situation je me rends compte que l'on constate même une augmentation, d'une vidange tous les 4 mois en moyenne on passe a une fois toute les semaine et demi depuis quelques mois... un truc pue.

Je vais donc ouvrir au grep le bide des logs et constate un truc affreux...
Des rejets de connexions en masse de TELNET et SSH venant d'internet, genre 20000 de chaque par semaine.
Réfléchissons plus finement a la situation, on constate quoi ?
Que des machines de plus de 15 ans d'age on le trou du cul ouvert sur le monde extérieur !
:kanzaki:

Restons calme, creusons...
Y a t'il un firewall ? Oui
Est il actif ? Oui
Y a t'il des règles pour filtrer les accès ? O... HEIN QUOI ???! :kiddingme:

Il y a un firewall mais il ne marche pas, pourquoi ?

Et la je trouve cette règle dans la conf
0 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all
En bref ne vous cassez pas a mettre des règles, il y a une règle qui dit "open-bar pour tout le monde" :figurantes:
braiffe, je met cette règle a deny et la plus de connexions pour tenter de nous faire le cul en folie. :fuuko:

En fait, plus de connexion du tout !! :inaba:

A bien y regarder les règles du firewall étaient écrites a l'envers !!! :yukino4:

Il faut en effet placer la règle de deny global en dernier car le firewall de AIX traite les règles et bloque ou autorise les ports dans l'ordre de leur définition. :tamako:
J'ai du me faire confirmer par Darksoul que je n’hallucinais pas devant toute cette merdasse... :shiori:

Cette fois c'est bon.

Sauf que gneeee
Arrive 17h30 "on a eu un appel de client, son accès FTP au serveur ne marche plus, il se prend un authentication refused" :kobato:

Rebelotte pour analyse du bazar...
1- Pour faire court le serveur n'arrivait pas a contacter le serveur Radius pour authentifier car le firewall bloquait en sortie (oui le firewall AIX est a ce point chiant)
2- impossible de faire un simple ls ou autre opération sur les fichiers car les ports >1024 n’étaient pas ouvert

Si vous ne connaissez pas bien FTP c'est un peu le cauchemar derrière un routeur/firewall car il vous faut
-le port 20 (FTP data)
-le port 21 (FTP proprement dit, sert a recevoir votre requête de connexion)
-les ports >1024 (un port vous sera donne en random pour faire passer vos données dedans lors de vos opérations sur les fichiers, et oui même un simple ls est concerné)
:x

Au final j'ai donne open-bar aux réseaux dits trusted et au cas par cas pour les services utiles sur ce serveur.
Ce qui est normal me direz vous...
:ohana5:
Maintenant question a 100balles, on tournait comme ça depuis combien de temps d’après vous ? (appelle Madame Irma) :lepers:
Un poing vaut mieux que deux "j'te préviens..."

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » ven. sept. 30, 2016 1:38 pm

DarkSoul a écrit :Tu etais chez quel ISP ? (Enfin note que les notres chez Asahi Net le font aussi ; on prepare des serveurs DNS sans filtre pour le service full IPv6, d'ailleurs)
OCN

Ça marchait plutôt bien pour le trafic depuis la France d'ailleurs, je dépassais souvent les 2 Mo/sec. Mieux que Yahoo!BB ici quoi.

(D'ailleurs j'suis passé à l'agence demander si je pouvais prendre mon propre accès internet… la fille avec qui je traitais commence à me répondre "euuuh je vais demander au responsable technique puis je vous recontacterais" (ok, ça me va) mais se fait interrompre par un mec derrière qui me sors très sèchement en gros "vous pouvez prendre votre propre accès mais sur votre propre ligne, à vous de contacter NTT, vous paierez les frais d'ouverture de votre propre ligne, et vous devrez vous occuper de fermer vous même le contrat quand vous partirez. Et on vous apportera aucun support si vous avez des soucis." …sous-entendu "vous touchez pas à ce qui est en place actuellement, si vous voulez votre truc vous faites ça en parallèle de la connexion existante qu'on vous fournit.". Meh. Je sens que ça va rester comme ça, au final ça fonctionne suffisamment et ça coûte 0.)
Corsaire a écrit :Maintenant question a 100balles, on tournait comme ça depuis combien de temps d’après vous ? (appelle Madame Irma) :lepers:
Vous avez bien sûr les logs de chaque personne qui se connecte à ce firewall et change la configuration… hein ? :kyou:

Avatar du membre
QCTX
Fait partie du paysage
Messages : 134
Enregistré le : lun. mars 30, 2009 12:44 am
Localisation : RP

Re: Les ordinateurs de l'HORREUR

Message par QCTX » ven. sept. 30, 2016 1:42 pm

Et si ton journal de log pouvait parler, il te dirait qu'il a été créé par ton DSI, c'est ça ?
Image

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » ven. sept. 30, 2016 6:57 pm

s3phy a écrit :
DarkSoul a écrit :Tu etais chez quel ISP ? (Enfin note que les notres chez Asahi Net le font aussi ; on prepare des serveurs DNS sans filtre pour le service full IPv6, d'ailleurs)
OCN

Ça marchait plutôt bien pour le trafic depuis la France d'ailleurs, je dépassais souvent les 2 Mo/sec. Mieux que Yahoo!BB ici quoi.
Bah OCN est à Orange ce que France Télécom est à NTT, alors :>

Ils ont certainement le meilleur peering via NTT.

Yahoo!BB par contre...
(D'ailleurs j'suis passé à l'agence demander si je pouvais prendre mon propre accès internet… la fille avec qui je traitais commence à me répondre "euuuh je vais demander au responsable technique puis je vous recontacterais" (ok, ça me va) mais se fait interrompre par un mec derrière qui me sors très sèchement en gros "vous pouvez prendre votre propre accès mais sur votre propre ligne, à vous de contacter NTT, vous paierez les frais d'ouverture de votre propre ligne, et vous devrez vous occuper de fermer vous même le contrat quand vous partirez. Et on vous apportera aucun support si vous avez des soucis." …sous-entendu "vous touchez pas à ce qui est en place actuellement, si vous voulez votre truc vous faites ça en parallèle de la connexion existante qu'on vous fournit.". Meh. Je sens que ça va rester comme ça, au final ça fonctionne suffisamment et ça coûte 0.)
Mouais, bien ce que je pensais. Cela dit...

L'ouverture de ligne, ils acceptent alors ? (Poser une fibre dans la maison)
C'est encore pas trop trop chiant.

Le mec t'a parlé comme un chien parce qu'il pensait que tu allais faire ton chieur comme beaucoup d'étrangers font et leur demander de gérer ton contrat, mais au contraire il dit "tu peux tout faire, la pose de ligne, l'ouverture, mais tu vas devoir gérer ça toi-même, le support et la fermeture, on est d'accord ?"

D'ailleurs sa réponse c'est :
- que tu aies ta ligne physique à toi à part, ça me fait pas chier (il a rien à gérer)
- changer la ligne par défaut, ça me fait chier (cas particulier pour lui à gérer)

Dans l'ensemble c'est pas trop dégueu.

Enfin, il faut que tu voies que le processus pour prendre une ligne ici se fait en deux fois :
- il faut que NTT pose la ligne physique Flet's (et ça coûte genre 20kY initialement)
- il faut que tu aies un accès PPPoE ou IPoE sur cette ligne chez un ISP (OCN ou Yahoo!BB ou AsahiNet)

Bref, ton coût d'accès au net c'est NTT + l'ISP.

Il est à noter qu'une ligne Flet's tolère deux sessions PPPoE par défaut, parce que NTT veut faire l'usage suivant :
- Session 1 : PPPoE IPv4
- Session 2 : PPPoE IPv6

En pratique beaucoup de monde utilise ça comme :
- Session 1 : PPPoE ISP 1
- Session 2 : PPPoE ISP 2
pour faire de la redondance d'ISP :)

Ce qui veut dire probablement que même avec une connexion Yahoo!BB là, si c'est bien une ligne Flet's, tu devrais pouvoir utiliser une seconde session PPPoE comme tu veux.
Corsaire a écrit :Maintenant question a 100balles, on tournait comme ça depuis combien de temps d’après vous ? (appelle Madame Irma) :lepers:
Vous avez bien sûr les logs de chaque personne qui se connecte à ce firewall et change la configuration… hein ? :kyou:
Si je te dis qu'on a des serveurs qui utilisent du RCS, je sens que tu vas avoir très peur.
Modifié en dernier par DarkSoul le ven. sept. 30, 2016 6:59 pm, modifié 1 fois.
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » ven. sept. 30, 2016 6:57 pm

QCTX a écrit :Et si ton journal de log pouvait parler, il te dirait qu'il a été créé par ton DSI, c'est ça ?
Vu le serveur, moi je parie sur un ancien CEO qui est plus dans la boîte.
(Un mec qui a fait plein de trucs très bien mais le degré de finalisation c'est genre de la mise en prod de prototypes ^^; )
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » ven. oct. 07, 2016 9:01 am

DarkSoul a écrit :D'ailleurs sa réponse c'est :
- que tu aies ta ligne physique à toi à part, ça me fait pas chier (il a rien à gérer)
- changer la ligne par défaut, ça me fait chier (cas particulier pour lui à gérer)

Dans l'ensemble c'est pas trop dégueu.
Effectivement… mais si je pouvais éviter de payer les frais d'ouverture NTT ça m'arrangerais :>
DarkSoul a écrit :Il est à noter qu'une ligne Flet's tolère deux sessions PPPoE par défaut, parce que NTT veut faire l'usage suivant :
- Session 1 : PPPoE IPv4
- Session 2 : PPPoE IPv6

En pratique beaucoup de monde utilise ça comme :
- Session 1 : PPPoE ISP 1
- Session 2 : PPPoE ISP 2
pour faire de la redondance d'ISP :)

Ce qui veut dire probablement que même avec une connexion Yahoo!BB là, si c'est bien une ligne Flet's, tu devrais pouvoir utiliser une seconde session PPPoE comme tu veux.
Ça c'est un peu c'que j'avais supposé… L'agence me paye déjà Y!BB et NTT… Je pourrais peut être prendre juste un abonnement ISP seul (sans NTT), débrancher le routeur fourni, mettre mon propre routeur avec mes logins PPPoE fournis par mon ISP… et laisser l'agence continuer à payer Y!BB (dans le vent) et NTT (que j'utiliserais :>)… Si j'ai bien compris ?

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » ven. oct. 07, 2016 4:17 pm

s3phy a écrit :
DarkSoul a écrit :D'ailleurs sa réponse c'est :
- que tu aies ta ligne physique à toi à part, ça me fait pas chier (il a rien à gérer)
- changer la ligne par défaut, ça me fait chier (cas particulier pour lui à gérer)

Dans l'ensemble c'est pas trop dégueu.
Effectivement… mais si je pouvais éviter de payer les frais d'ouverture NTT ça m'arrangerais :>
Ben ça dépend, si ta connexion est déjà un truc avec une ligne NTT... Elle est déjà ouverte :3

Tu as quoi comme matos ?
DarkSoul a écrit :Il est à noter qu'une ligne Flet's tolère deux sessions PPPoE par défaut, parce que NTT veut faire l'usage suivant :
- Session 1 : PPPoE IPv4
- Session 2 : PPPoE IPv6

En pratique beaucoup de monde utilise ça comme :
- Session 1 : PPPoE ISP 1
- Session 2 : PPPoE ISP 2
pour faire de la redondance d'ISP :)

Ce qui veut dire probablement que même avec une connexion Yahoo!BB là, si c'est bien une ligne Flet's, tu devrais pouvoir utiliser une seconde session PPPoE comme tu veux.
Ça c'est un peu c'que j'avais supposé… L'agence me paye déjà Y!BB et NTT… Je pourrais peut être prendre juste un abonnement ISP seul (sans NTT), débrancher le routeur fourni, mettre mon propre routeur avec mes logins PPPoE fournis par mon ISP… et laisser l'agence continuer à payer Y!BB (dans le vent) et NTT (que j'utiliserais :>)… Si j'ai bien compris ?
C'est exactement ça. Ah, d'ailleurs, les deux sessions, c'est "deux sessions simultanées".
Rien ne t'interdirait d'avoir 3 abonnements et de n'en utiliser que deux en même temps.
(Ou alors tu peux prendre l'option multi-session étendu)
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » sam. oct. 08, 2016 4:51 pm

DarkSoul a écrit :Tu as quoi comme matos ?
Image Image
(Le petit routeur IODATA est un WN-G300R2 (fourni avec l'appart) dont je n'ai pas les accès… ce con a son WiFi sur le canal 4, on parasite et on se fait parasiter par les voisins sur 1 et 6… et je peux pas changer ça, et rien que ça ça me titille :)) (J'ai un Buffalo AirStation WZR-300HP (à moi) prêt à prendre le relais :3)

Avatar du membre
DarkSoul
Membre En Mutation
Messages : 91
Enregistré le : jeu. oct. 13, 2011 2:50 am
Localisation : Japon, Tokyo

Re: Les ordinateurs de l'HORREUR

Message par DarkSoul » sam. oct. 08, 2016 5:30 pm

Ok donc le matos NTT est un convertisseur VDSL tout bête, et tu dois avoir une ligne normale (dur de savoir le type exact juste avec ça cela dit) :3
Donc oui, comme je disais, tu peux brancher ton routeur à toi derrière sans souci normalement, et utiliser un compte PPPoE de chez AsahiNet ou OCN ou autres si ça te chante o/
Membre d'Epitanime depuis 2000 (EPITA Promo 2005 SRS)
Informaticien expatrié, traducteur à ses heures perdues

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » dim. oct. 09, 2016 4:51 am

Pas mieux, configure ton Buffalo en login PPPOE authentification PAP avec ton compte Asahinet et ça doit passer tout seul :mion:
Un poing vaut mieux que deux "j'te préviens..."

Avatar du membre
s3phy
Tenace
Messages : 68
Enregistré le : mar. déc. 30, 2014 4:54 pm
Localisation : Shinjuku

Re: Les ordinateurs de l'HORREUR

Message par s3phy » lun. oct. 10, 2016 10:47 pm

Bon, merci pour la confirmation :3

Maintenant qu'on a complètement déraillé le thread en "questions sur l'internet à domicile au Japon", je continue donc…
DarkSoul a écrit :(dur de savoir le type exact juste avec ça cela dit)
Bon bah c'est à peu près là que j'en suis.

Maintenant que j'ai la confirmation que j'peux bien prendre un accès internet/des logins PPPoE chez AsahiNet et utiliser ça sur la connexion NTT que j'ai déjà à dispo ici… Je franchis le pas et je commence la procédure d'inscription.
Sans aller trop loin :
Image
De tous les choix y'en a que 2 qui sont cohérents avec ce que j'ai (y'en a que 2 avec Mansion dans le nom :redface:)… mais comment je sais si j'ai un Hikari Next ou un B FLETS ? (vu que haha c'est pas moi qui ait la ligne NTT…)
(J'ai fouillé le site et les FAQ de Asahi-Net et de flets.com directement, c'est un bordel putain… en gros si je comprends bien B FLETS c'est "l'ancien système" avec 100M max, et Hikari Next c'est le nouveau monde (et le reste je m'en fous pour l'instant :redface:)… sacré sac de nœuds tout ça)

(Tiens et juste à titre de curiosité, rien à voir avec ma situation, les connexions câble (coaxial, DOCSIS), ça vient se caler où dans tout ça ? (à part DMC). Je savais que NTT faisait du FTTH et du xDSL mais à mon ancienne guest house la connexion était en coax, avec un ampli CATV coax posé dans un coin et un modem câble NTT branché dessus… j'avais jamais entendu parler de câble NTT avant de voir ça xD)

spanner
Apprenti Thaliste
Messages : 7
Enregistré le : mer. juin 15, 2016 7:47 pm

Re: Les ordinateurs de l'HORREUR

Message par spanner » mar. oct. 11, 2016 12:02 am

Pour remettre le topic sur les ordinateurs de l'horreur, je vous propose un format de fichier de l'horreur. :tiramie:

Pour ceux qui sont sous OSX, avez-vous deja ete fouiller le format des fichier de config de terminal.app, particulierement ceux qui contiennent les color scheme?

Je sais pas ce qu'ils ont pris chez apple, mais ils aiment se compliquer la vie, visiblement :shiori:

Petit recap pour ceux qui ont jamais mis les mains dans le vt100 (chanceux!), y'a 16 couleurs "ANSI", noir, rouge, vert, jaune, bleu, magenta, cyan, blanc... et la meme a nouveau, en "bright". les emulateurs de terminaux definissent souvent aussi le foreground, le background et la couleur du curseur en plus, rien de bien magique, ca sent bon le legacy, mais ca fonctionne.

Il y a ceux qui font ca simple, une liste de #rrggbb ou r,g,b... et y'a apple. :homura:

Et vu que je suis en train de coder une petite application qui genere des color scheme pour differentes apps, ca serait bien de supporter terminal.app dans mon petit truc, voyons donc...

Les couleurs sont defini comme suit (ici, le noir bright)

Code : Tout sélectionner

    <key>ANSIBrightBlackColor</key>
    <data>
    YnBsaXN0MDDUAQIDBAUGFRZYJHZlcnNpb25YJG9iamVjdHNZJGFyY2hpdmVyVCR0b3AS
    AAGGoKMHCA9VJG51bGzTCQoLDA0OVU5TUkdCXE5TQ29sb3JTcGFjZVYkY2xhc3NOMCAw
    LjE2NDUgMC4yMQAQAoAC0hAREhNaJGNsYXNzbmFtZVgkY2xhc3Nlc1dOU0NvbG9yohIU
    WE5TT2JqZWN0XxAPTlNLZXllZEFyY2hpdmVy0RcYVHJvb3SAAQgRGiMtMjc7QUhOW2Jx
    c3V6hY6WmaK0t7wAAAAAAAABAQAAAAAAAAAZAAAAAAAAAAAAAAAAAAAAvg==
    </data>
Je... quoi? c'est quoi ce TRUC?!? :sayako:

Bon, deja, ca ressemble a du base64, ca donne quoi si on le decode? :akiho:

Code : Tout sélectionner

bplist00��������X$versionX$objectsY$archiverT$top�����U$null    
�
�UNSRGB\NSColorSpaceV$classN0 0.1645 0.21�������Z$classnameX$classesWNSColor��XNSObject_��NSKeyedArchiver��Troot����#-27;AHN[bqsuz���
... :kanako2:

Au moins ca balance des informations, notemment le header, "bplist", ca correspond a quoi ce truc?

La manpage du format plist (le xml de configuration propre a apple) indique "(...) two formats: standard XML and an optimized, opaque binary format"

"opaque binary format"

... :coach:

"opaque binary format" :tamako:

Donc apple enchasse du binaire dans un format obscure, encode en base64, dans leur xml de configuration, tout ca pour stocker une simple couleur RGB :kanie:

Y'a une implementation opensource du format par apple https://opensource.apple.com/source/CF/ ... aryPList.c qui contient en commentaire une "documentation" du "optimized opaque binary format", pour les curieux :beatrice2:

Cette feature la, elle va rester dans la todo-list avec une note "pour qui a envie de l'implementer, bonne chance", parceque juste, nope. :mio2:

(Et pour ceux qui se demandent, meme dans un plist y'a bien plus simple, juste mettre le nombre r/g/b dans le xml, c'est ce que fait Iterm2 par exemple :delrio5: )

Avatar du membre
Corsaire
Début de la gloire
Messages : 25
Enregistré le : ven. févr. 06, 2015 7:16 am

Re: Les ordinateurs de l'HORREUR

Message par Corsaire » mar. oct. 11, 2016 2:00 am

s3phy a écrit : De tous les choix y'en a que 2 qui sont cohérents avec ce que j'ai (y'en a que 2 avec Mansion dans le nom :redface:)… mais comment je sais si j'ai un Hikari Next ou un B FLETS ?
Au doigt mouillé tu peux tabler sur du Flets Next, le Bflets est en voie de disparition, on dégage des flopées de plages Ip régulièrement
Un poing vaut mieux que deux "j'te préviens..."

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 9 invités