crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2019_12_09.md

8.9 KiB
Raw Blame History

Réunion du Collège Technique

  • Date : 09 Décembre 2019
  • Début : 19:11
  • Fin :
  • Lieu : Salle de conférence du Pavillon des Jardins
  • <>
  • Jitsi : https://jitsi.crans.org/IN

Présents:

  • Raida
  • Hamza \o/
  • Hachino
  • Edpibu
  • Mikachu
  • Vulcain
  • Erdnaxe
  • Pollion
  • Fardale (par Jitsi, à l'aéroport, quel dévouement)
  • Solal
  • Benjamin (par Jitsi/Discord)
  • Krokmou
  • !TinyLinux

Garantie Onduleur 0B

La garantie expire le 18, est-ce qu'on renouvelle ?

Pollion a contacté Anne pour avoir un devis, mais pas de réponse à ce jour. On est tous d'accord sur le renouvellement de la garantie. Mikachu émet des réserves, si le prix de la garantie est trop élevé (au dessus 2k€ on commence à vraiment se poser des questions).

Pollion va essayer d'appeler Anne, ça sera peut-être mieux.

State of the CRANS

Passage au module nginx pour le certificat sur bakdaur et sur Redisdead

  • grosse simplification de la conf, pas mal de lignes en moins
  • la pipeline pour ajouter/enlever un site n'a pas changé

Erdnaxe met en garde : Ne pas trop tenter l'installateur qui est un peu instable, mais l'authentificateur marche.

On fait la remarque que de toute façon à moyen terme on va utiliser le DNS et faire du certificat wildcard. Mikachu a fait un role ansible qui marche avec Bind pour un certif wildcard en challenge dns. https://gitlab.crans.org/paulon/ansible/blob/master/roles/nginx-reverse-proxy/tasks/main.yml https://gitlab.crans.org/paulon/ansible/blob/master/roles/bind/templates/named.conf.local.j2

On revient sur l'idée de !DynDNS de tudor/erdnaxe. Il y a maintenant une RFC pour dnssec avec !DynDns.

Mika dit que ce n'est pas forcément une bonne idée. Pollion est d'accord, ce n'est plus utile. Mention rejetée.

Panne Windows 8/8.1/10 Radius EAP

  • Le 07/12/2019 à 17h30 le cert !CaCert expire (date de 2017)
  • Génération d'un nouveau cert avec bakdaur et le domaine wifi.crans.org (qui redirige vers le wiki maintenant)

Il faut copier le cert sur tous les radius automatiquement (TODO) et changer la conf pour pointer dessus (déjà fait seulement sur radius.adm.crans.org).

On a drop le WiFi sous Windows 7 avec ça... mais Windows 7 n'est plus supporté fin Janvier 2020. erdnaxe propose une upgrade gratuite vers Win10 (juste avoir la clé USB avec l'installer quoi) ou Ubuntu/Debian aux gens qui se plaignent.

Ok, on peut même en faire la pub, on fait une décharge comme aux Install-Party. On propose des rdv aux gens.

Oui enfin c'est long un upgrade faut avoir le temps -- Benjamin

Effectivement oui, mais on décide officiellement de dropper le wifi pour Windows 7, et si le cableur est motivé d'upgrade. Sinon on leur dit de faire du filaire.

Sinon on update le script pour les Windows 7 pour ajouter le certif racine de LE ? -- Fardale

Alors oui on peut aussi upgrade le script, mais le support de windows 7 pose d'autres soucis. On peut mettre le script pour configurer les W8 et W10 mais bon, pour eux c'est beaucoup plus facile.

https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html

Changement du mode d'acquisition d'une ipv6 sur les machines

  • maintenant c'est du ipv6 semi-statique : l'ip est statique, le reste est récup par un RA (dns, mtu, routeur...)
  • on s'est rendu compte que le DNS n'était pas annoncé sur le filiaire adh en ipv6
  • la conf radvd a totalement été nettoyée, cf /etc/radvd.conf sur ipv6-zayo (drop des trucs deprecated). On peut la rendre encore plus concise en sous-entendant les prefixes avec ::/64.

. On pourrait le faire avec un commentaire.

  • Sauf que les commentaires peuvent devenir faux avec une maj, alors que les options explicites non -- Fardale
  • Oui fin si tu mets le fichier de conf à jour, tu mets aussi à jour les commentaires...
  • Une maj des options par défaut par une maj du paquet
  • Bonne remarque Fardale --> On met nos options explicitement...

Problème de routage ipv6

En Novembre 2019, on a eu un gros problème de routage ipv6, vers certains AS (par exemple vers ovh, scaleway, mais google/Facebook marchaient)

On a ouvert un ticket chez zayo, mais ils nous ont fait la remarque "Chez nous ça marche" (ie entre un point de leur infra et nous ça marchait, entre un point de leur infra et les AS sus-mentionnés ça marchait).

De notre côté, en faisant des tests avec !TcpDump, on voyait les paquets arriver, ils repartaient chez Zayo et n'arrivaient jamais à l'autre bout.

On a finalement réussi à contacter le Peering Manager Europe de Zayo via Twitter, et c'est là qu'ils ont commencé à nous écouter.

Finalement, l'OS de leur routeurs de bordures faisait n'import quoi. Ils ont fait une mise à jour. Maintenant ça marche.

Ça a aussi permis de régler un soucis dont le Crans n'était pas au courant : Crans-Aurore en v4 ne marchait pas, depuis l'upgrade de Zayo ça marche.

Installation de prometheus sur fyre

  • Backup complète de fy
  • Update des firmwares avec un SPP HP de 2014 pour Gen5
  • Changement des disques avec 6*128G de HDD en RAID6
  • Installation de Buster puis provisionnement de grafana, prometheus et NinjaBot
  • Changement d'ip et de nom de fy->fyre
  • Suppression de munin-node et icinga sur tous les serveurs. Playbook Ansible temporaire spécialement pour ça.
  • Suppression de pleins d'alias relatif à munin et Icinga

fyre n'est plus serveur ntp ou replicat ldap

Il faut peut-être virer le munin-status nginx des serveurs où il traine

Le paquet prometheus-postfix est arrivé dans debian. Faudrait l'installer mais c'est pas encore backporté

Migrations d'ip

On a pas mal avancé dans les migrations des IP ENS-->Zayo, on finit ça d'ici la rentrée début Janvier. A priori c'est très transparent donc cool. Les seuls soucis qu'on a eu c'est les ouvertures de ports dans le Parefeu qu'on a oublié.

Autorisation du protocole 6in4

Mikachu propose d'autoriser le 6in4 sur les ip publiques au moins, ça permettrait auxadhérents de monter leur propre tunnel HE par exemple

Pour les IP Natées, modulo écrire un script custom, le parefeu ne peut pas trop tracer à quelle IP est attribuée le tunnel.

Pollion dit que si Mikachu a envie de bosser là dessus et de toucher au Parefeu, tant qu'il ne casse rien, go.

Retirer l'ipv6 sur adm

Esum veut retirer l'ipv6 sur adm, mais bof.

Du coup on peut peut-être passé sur un slash privé en fd0c::

Ouais ok pourquoi pas, mais c'est pas urgent...

Devis fibre optique

Il faut revoir le devis fibre de la DSI et leur en reproposer un cohérent avec notrebesoin, à savoir 0B into De Vinci

On va les voir à la fin de la semaine.

vo

Budget de 100€ pour vo voté par le CA pour changer des trucs dans VO.

Des parties de VO sont au bout de leur vie, mais son CPU, sa CM sont bons. Mikachu veut juste changer le GPU et une alim à pas cher. Edpibu vend son alim, Mikachu a un GPU à vendre. Démerdez-vous avec le CA.

On a l'alim d'edpibu pour 20 €.

Bilan des switchs 100Mb/s

Combien en reste-il ? Peut-on finir de mettre le parc en Gigabit ?

Il en reste 8, dont 3 au PDJ (démontés dans 3 mois ?). Est-ce pertinent d'investir maintenant alors qu'on ne sait pas si le CRANS existera encore à la rentrée ? Ca me semble pertinent de le faire, si on se donne pour objectif de maintenir le réseau sur Cachan au minimum jusqu'à la rentrée 2021.

Alors oui on peut réflechir, on budgétise tout ça, on en reparle à la prochaine IN.

clubs.crans.org

cf mail sur nounou@

On move les fichiers servis dans ~/www/ ? Fusion avec perso.crans.org ?

Plus personne n'utilise zamok en hébergement de sites qui pointe dessus en CNAME car ça a été cassé avec la centralisation HTTPS.

Uniformiser c'est la vie. -- Fardale

On en rediscute après le pot vieux qui est concerné par ça.

Site crans.org poussiereux

Prototype rapide mkdocs https://perso.crans.org/erdnaxe/site-crans/ (juste la homepage et la page de connexion a été faite, mais après c'est du markdown)

Pourquoi pas, si ça amuse des gens de faire du front, parlez-en en CA.

!TinyLinux veut bien participer, avec Erdnaxe.

Il faut quoi qu'il arrive virer les ref à un service d'impression et commenter sur Windows 7 et le WiFi Ok

Dist-Upgrades

On peut faire des DU pendant les vacances ou avant, il faut voir si des apprentis sont chauds pour participer. En passant sous Buster il faut faire un peu de Ansible.

Ansible

On rappelle Ansible, cf le séminaire de la semaine dernière (Quel timing incroyable !) Lorsque l'on fait un DU, il faut migrer les confs de bcfg2 à Ansible.

On fait la liste des trucs à faire.

Python2to3

Il ne reste plus grand chose en python2, le plus gros soucis c'est freeradius. Les dev upstreams sont réticents à fournir un module python3. Pollion fait la remarque qu'il existe un rlm_rest, mais il n'est pas documenté (cf les fixme dans la doc). Mikachu va relire la discussion sur l'issue github, visiblement Pollion est out of date, depuis fin Octobre un module compatible python3 commence à sortir, ça mérite un test.