Mardi Globenet 08 janvier 2019

présent.es
WhilelM
Jacques
Mathieu
Aube
Sophie
Emile (en ligne)
Jonathan

ODJ

• logo
• Battlemesh (point d’avancement)
• archives publiques des listes hébergées
• passage mail en clair
• consultation de Nursit concernant les sites SPIP
• virée au FOSDEM
• technique
  • Algrothendieck - incident sur le relais Nos oignons
  • enregistrement SRV sur zone hébergée
  • ganeti
  • don machine
  • panne modems
  • logd

logo

Béatrice est tout à fait d’accord pour qu’on modifie le logo ou qu’on en change simplement. Elle est prête à faire des propositions également suivant nos demandes.

Mathieu a joué un peu sur l’idée de faire un nouveau logo. Il est prêt à en discuter avec Béatrice et à collaborer avec. Il va nous faire des propositions.
Le logo actuel représente le concept de village associatif, ce qui n’est plus trop actuel. Par contre, garder la notion de Globe parait fondamental.

battlemesh - point d’avancement

La date va plutôt se faire en juillet. Le lieu et la date doivent être déterminés dans deux semaines au plus tard, Il est probable que ça se passe au 6b. Le prochain rdv de préparation sera l’occasion de discuter du budget.
Mathieu propose de nouveaux lieux : la fondation Mozilla et le FUZ (avec qui il a discuté, plusieurs personnes intéressées par l’évènement là-bas). Sophie précise que la fondation Mozilla a la fâcheuse habitude de filmer les conférences à l’insu des participants, mais que l’endroit est beau et vaste.
Mathieu est aussi intéressé par l’organisation d’une soirée dédiée à une rencontre entre techniciens et non techniciens, qui tournerait autour des réseaux communautaires qui comportent des préoccupations écologiques.

Ritimo a publié un rapport sur les réseaux communautaires dans de nombreux pays.

• 2018 - Community Networks.
• The community network manual : how to build the Internet yourself.

archives publiques des listes hébergées

Surprise manifestée par une association usagère des listes de retrouver ses posts à l’aide d’un moteur de recherche privateur de liberté.
Mathieu se propose de prévenir nos hébergé-es de cette problématique, par canal mail et web et expliquer la procédure de déréférencement possible.

passage mail en clair

Christophe dit qu’il est allé un peu vite en besogne avec son message aux personnes qui utilisent le webmail alors qu’elles ne sont pas concernées (C’est à l’équipe de paramétrer correctement le webmail). Ça a été l’occasion pour lui de reprendre contact avec la Confédération paysanne, pour échanger avec le nouveau responsable informatique qui reprend des vieilles machines avec plein de configurations qui s’empilent les unes sur les autres. Mais qu’on se rassure : les accès ne seront pas coupés tant que les hébergés ne seront pas tous passés au chiffrement à notre connaissance.

Le problème de la configuration se pose pour eux, ce n’est pas si évident pour tout le monde de configurer les ports, le protocoles etc. C’est l’occasion de réaliser un tutoriel pour les clients les plus utilisés Thunderbird, Outlook, Mail et sur les clients par défaut sur ordiphones.

Aube s’occupe de faire des captures d’écran sur le client lourd Mail de MacOS et Thunderbird (sur Mac)
La FAQ sur le site de Globenet

Attention, l’envoi de mail smtp par starttls est utilisé dans la grande partie des configurations mail par défaut. Il reste un moyen de référence, il n’y a pas de raison de l’interdire. On prendra donc garde de permettre l’usage SSL/TLS et STARTTLS pour l’envoi de mail (cf. RFC8314)

The STARTTLS mechanism on port 587 is relatively widely deployed due to the situation with port 465

Qui s’occupe de quel tutoriel :

• thunderbird 60 : aube
• mail (apple) : Aube
• mail Android 8 : Aube
• mail Android 5.1 : Jacques
• mail Android 6 : WhilelM
• mail Outlook (de 2000 à 2013) : faire référence à la page https://www.arobase.org/outlook/modifier-port-smtp-outlook.htm

consultation de Nursit concernant les sites SPIP

Nursit est un hébergeur spécialisé dans le CMS SPIP, participant au développement du logiciel. WhilelM discute la possibilité de proposer aux hébergés de transférer l’hébergement des usagers de SPIP à Globenet chez Nursit. On pourrait aussi pour rester dans les fondamentaux de Globenet, demander à Nursit de gérer une machine dédiée à cet usage au sein de Globenet.

Grille tarifaire de Nursit : https://www.nursit.com/Les-prix / https://www.nursit.com/Grille-tarifaire-hebergement-Nursit

WhilelM contacte Nursit pour présenter l’idée et tâter le terrain.

virée au FOSDEM

Une dizaine de connaissance dans et hors Globenet s’organisent pour assister ensemble au FOSDEM et mutualiser de l’hébergement. Un hébergement pour cinq personnes est réservé. Il reste à en trouver un 2e.

Algrothendieck - incident réseau

synthèse :
On a eu un incident mercredi 2 janvier (peu après 19h30). Une consommation réseau anormale en provenance du relais Nos oignons Algrothendieck, plus de 400mbps alors qu’elle est normalement limitée à 100mbps, avec en parallèle plus de 2gbps à destination de Gitoyen depuis notre routeur.

Ça a provoqué une saturation de notre parefeu (qui a perdu on ne sait comment des réglages définit dans ses fichiers de configuration), la surcharge de notre serveur DNS récursif interne, entraînant une brève coupure ( 5mn) du service mail mutualisé et de celui de propagande.

Faute d’avoir pu nous concerter avec les bénévoles de Nos oignons, nous avons coupé le port réseau d’Algrothendieck pour ne pas laisser cette surconsommation le reste de la nuit (après minuit).

En contact avec un bénévole de Nos oignons, nous avons rétablit le réseau à 18h le jeudi 3 janvier, pas de nouveau problème constaté.

détails :
À la perte des service mails, WhilelM regarde la métrologie des serveurs de Globenet et constate une surconsommation réseau et l’absence de métrologie du routeur.

Il s’avère que la table conntrack de passoire était pleine (les paramètres de /etc/sysctl.conf n’étaient pas pris en compte, ce genre de problème avait été constaté il y a 2 3 ans). Passoire ne répondait plus, le CPU était pris à 100% par bind, utilisé pour la résolution DNS interne.

Le débit côté Gitoyen dépassait les 2Go, le port d’Algrothendieck a été coupé vers minuit et a été rallumé vers 18h.

retour d’expérience :
Constat positif, hors la coupure DNS réglée par la correction de la table conntrack, les services Globenet n’ont pas été impactés par la consommation réseau supérieure à 2 gbps. Le réseau 10G semble fonctionner.

Par contre, dans l’urgence, le contact Nos oignons n’a pas été utilisé pour signaler la coupure. Il faut donc que tous les adminsys aient les contacts des hébergés et les utilisent en cas de besoin.

Ils sont dans notre référentiel Dolibarr donc il faut trouver un moyen pour que toutes les personnes qui en ont besoin puissent y accéder.

On pourrait aussi faire évoluer la manière dont on fournit du DNS récursif. c’est-à-dire mettre ça sur une machine dédiée, et paramétrer le nécessaire pour contrôler la qualité du service

Est-il possible de recevoir des alertes de la part du LibreNMS de Gitoyen en cas de débit important ? La question va être remontée à la réunion Gitoyen du lendemain.

Il faut aussi penser à prévenir toute l’équipe quand on intervient sur l’infrastructure.

création permanence

À formaliser, une permanence vers 18h avant le mardi Globenet, pour permettre de meilleurs échanges avec les personnes curieuses de Globenet venant pour l’occasion.

enregistrement SRV sur zone hébergée

AlternC ne gère pas ce type d’enregistrements, il semble possible d’ajouter des enregistrements manuellement mais WhilelM n’a pas réussi à les faire prendre en compte.

Jon lui propose de partager le problème technique sur la liste geeks@

Jacques lui indique que l’interrogation des enregistrements dns SRV (comme TXT) doivent être effectués sur le domaine complet et pas sur le domaine principal. Ex : dig SRV _autodiscover._tcp.fsc-france.fr donne une réponse, pas dig SRV fsc-france.fr

ganeti

Quelques jours de boulot dessus, on dirait que ça tourne mais il faudrait refaire l’installation de bout en bout histoire d’être sûr que tout est propre.

don machine

Pas avancé depuis la dernière fois, on a un accord de principe mais il faut relancer sebian pour pouvoir aller chercher les machines.
Il faudra aussi du matériel réseau (câbles et cartes 10G).

panne modems

Jacques a avancé sur la question - le serveur radius répond maintenant, mais l’adresse ip récupérée par le modem n’est pas la bonne. C’est peut-être un problème à voir avec Neuronnexion. Le débug se fait avec l’aide active de Hamster.

logd

La configuration avec plusieurs instances de logd fonctionne sans problème (c’est juste une entrée cron supplémentaire avec des fichiers conf spécifiques).