255 lines
8.9 KiB
Markdown
255 lines
8.9 KiB
Markdown
# Réunion du Collège Technique
|
|
|
|
* Date : 09 Décembre 2019
|
|
* Début : 19:11
|
|
* Fin :
|
|
* Lieu : Salle de conférence du Pavillon des Jardins
|
|
* <<Pad>>
|
|
* Jitsi : https://jitsi.crans.org/IN
|
|
|
|
Présents:
|
|
|
|
* Raida
|
|
* Hamza \o/
|
|
* Hachino
|
|
* Edpibu
|
|
* Mikachu
|
|
* Vulcain
|
|
* Erdnaxe
|
|
* Pollion
|
|
* Fardale (par Jitsi, à l'aéroport, quel dévouement)
|
|
* Solal
|
|
* Benjamin (par Jitsi/Discord)
|
|
* Krokmou
|
|
* !TinyLinux
|
|
|
|
## Garantie Onduleur 0B
|
|
|
|
La garantie expire le 18, est-ce qu'on renouvelle ?
|
|
|
|
Pollion a contacté Anne pour avoir un devis, mais pas de réponse à ce jour.
|
|
On est tous d'accord sur le renouvellement de la garantie. Mikachu émet des
|
|
réserves, si le prix de la garantie est trop élevé (au dessus 2k€ on commence à
|
|
vraiment se poser des questions).
|
|
|
|
Pollion va essayer d'appeler Anne, ça sera peut-être mieux.
|
|
|
|
## State of the CRANS
|
|
|
|
### Passage au module nginx pour le certificat sur bakdaur et sur Redisdead
|
|
|
|
* grosse simplification de la conf, pas mal de lignes en moins
|
|
* la pipeline pour ajouter/enlever un site n'a pas changé
|
|
|
|
Erdnaxe met en garde : Ne pas trop tenter l'installateur qui est un peu
|
|
instable, mais l'authentificateur marche.
|
|
|
|
On fait la remarque que de toute façon à moyen terme on va utiliser le DNS et
|
|
faire du certificat wildcard.
|
|
Mikachu a fait un role ansible qui marche avec Bind pour un certif wildcard en
|
|
challenge dns.
|
|
https://gitlab.crans.org/paulon/ansible/blob/master/roles/nginx-reverse-proxy/tasks/main.yml
|
|
https://gitlab.crans.org/paulon/ansible/blob/master/roles/bind/templates/named.conf.local.j2
|
|
|
|
On revient sur l'idée de !DynDNS de tudor/erdnaxe. Il y a maintenant une RFC
|
|
pour dnssec avec !DynDns.
|
|
|
|
Mika dit que ce n'est pas forcément une bonne idée. Pollion est d'accord, ce
|
|
n'est plus utile. Mention rejetée.
|
|
|
|
### Panne Windows 8/8.1/10 Radius EAP
|
|
|
|
* Le 07/12/2019 à 17h30 le cert !CaCert expire (date de 2017)
|
|
* Génération d'un nouveau cert avec bakdaur et le domaine wifi.crans.org (qui
|
|
redirige vers le wiki maintenant)
|
|
|
|
Il faut copier le cert sur tous les radius automatiquement (TODO) et changer la
|
|
conf pour pointer dessus (déjà fait seulement sur radius.adm.crans.org).
|
|
|
|
On a drop le WiFi sous Windows 7 avec ça... mais Windows 7 n'est plus supporté
|
|
fin Janvier 2020.
|
|
erdnaxe propose une upgrade gratuite vers Win10 (juste avoir la clé USB avec
|
|
l'installer quoi) ou Ubuntu/Debian aux gens qui se plaignent.
|
|
|
|
Ok, on peut même en faire la pub, on fait une décharge comme aux Install-Party.
|
|
On propose des rdv aux gens.
|
|
|
|
Oui enfin c'est long un upgrade faut avoir le temps -- Benjamin
|
|
|
|
Effectivement oui, mais on décide officiellement de dropper le wifi pour
|
|
Windows 7, et si le cableur est motivé d'upgrade. Sinon on leur dit de faire du
|
|
filaire.
|
|
|
|
Sinon on update le script pour les Windows 7 pour ajouter le certif racine de
|
|
LE ? -- Fardale
|
|
|
|
Alors oui on peut aussi upgrade le script, mais le support de windows 7 pose
|
|
d'autres soucis.
|
|
On peut mettre le script pour configurer les W8 et W10 mais bon, pour eux c'est
|
|
beaucoup plus facile.
|
|
|
|
https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html
|
|
|
|
### Changement du mode d'acquisition d'une ipv6 sur les machines
|
|
|
|
* maintenant c'est du ipv6 semi-statique : l'ip est statique, le reste est
|
|
récup par un RA (dns, mtu, routeur...)
|
|
* on s'est rendu compte que le DNS n'était pas annoncé sur le filiaire adh en
|
|
ipv6
|
|
* la conf radvd a totalement été nettoyée, cf /etc/radvd.conf sur
|
|
ipv6-zayo (drop des trucs deprecated). On peut la rendre encore plus concise
|
|
en sous-entendant les prefixes avec ::/64.
|
|
|
|
. On pourrait le faire avec un commentaire.
|
|
|
|
* Sauf que les commentaires peuvent devenir faux avec une maj, alors que les
|
|
options explicites non -- Fardale
|
|
* Oui fin si tu mets le fichier de conf à jour, tu mets aussi à jour les
|
|
commentaires...
|
|
* Une maj des options par défaut par une maj du paquet
|
|
* Bonne remarque Fardale --> On met nos options explicitement...
|
|
|
|
### Problème de routage ipv6
|
|
|
|
En Novembre 2019, on a eu un gros problème de routage ipv6, vers certains
|
|
AS (par exemple vers ovh, scaleway, mais google/Facebook marchaient)
|
|
|
|
On a ouvert un ticket chez zayo, mais ils nous ont fait la remarque "Chez nous
|
|
ça marche" (ie entre un point de leur infra et nous ça marchait, entre un point
|
|
de leur infra et les AS sus-mentionnés ça marchait).
|
|
|
|
De notre côté, en faisant des tests avec !TcpDump, on voyait les paquets
|
|
arriver, ils repartaient chez Zayo et n'arrivaient jamais à l'autre bout.
|
|
|
|
On a finalement réussi à contacter le Peering Manager Europe de Zayo via
|
|
Twitter, et c'est là qu'ils ont commencé à nous écouter.
|
|
|
|
Finalement, l'OS de leur routeurs de bordures faisait n'import quoi. Ils ont
|
|
fait une mise à jour. Maintenant ça marche.
|
|
|
|
Ça a aussi permis de régler un soucis dont le Crans n'était pas au
|
|
courant : Crans-Aurore en v4 ne marchait pas, depuis l'upgrade de Zayo ça
|
|
marche.
|
|
|
|
### Installation de prometheus sur fyre
|
|
|
|
* Backup complète de fy
|
|
* Update des firmwares avec un SPP HP de 2014 pour Gen5
|
|
* Changement des disques avec 6*128G de HDD en RAID6
|
|
* Installation de Buster puis provisionnement de grafana, prometheus et NinjaBot
|
|
* Changement d'ip et de nom de fy->fyre
|
|
* Suppression de munin-node et icinga sur tous les serveurs. Playbook Ansible
|
|
temporaire spécialement pour ça.
|
|
* Suppression de pleins d'alias relatif à munin et Icinga
|
|
|
|
fyre n'est plus serveur ntp ou replicat ldap
|
|
|
|
Il faut peut-être virer le munin-status nginx des serveurs où il traine
|
|
|
|
Le paquet prometheus-postfix est arrivé dans debian. Faudrait l'installer mais
|
|
c'est pas encore backporté
|
|
|
|
### Migrations d'ip
|
|
|
|
On a pas mal avancé dans les migrations des IP ENS-->Zayo, on finit ça d'ici la
|
|
rentrée début Janvier. A priori c'est très transparent donc cool. Les seuls
|
|
soucis qu'on a eu c'est les ouvertures de ports dans le Parefeu qu'on a oublié.
|
|
|
|
## Autorisation du protocole 6in4
|
|
|
|
Mikachu propose d'autoriser le 6in4 sur les ip publiques au moins, ça
|
|
permettrait auxadhérents de monter leur propre tunnel HE par exemple
|
|
|
|
Pour les IP Natées, modulo écrire un script custom, le parefeu ne peut pas trop
|
|
tracer à quelle IP est attribuée le tunnel.
|
|
|
|
Pollion dit que si Mikachu a envie de bosser là dessus et de toucher au
|
|
Parefeu, tant qu'il ne casse rien, go.
|
|
|
|
## Retirer l'ipv6 sur adm
|
|
|
|
Esum veut retirer l'ipv6 sur adm, mais bof.
|
|
|
|
Du coup on peut peut-être passé sur un slash privé en fd0c::
|
|
|
|
Ouais ok pourquoi pas, mais c'est pas urgent...
|
|
|
|
## Devis fibre optique
|
|
|
|
Il faut revoir le devis fibre de la DSI et leur en reproposer un cohérent avec
|
|
notrebesoin, à savoir 0B into De Vinci
|
|
|
|
On va les voir à la fin de la semaine.
|
|
|
|
## vo
|
|
|
|
Budget de 100€ pour vo voté par le CA pour changer des trucs dans VO.
|
|
|
|
Des parties de VO sont au bout de leur vie, mais son CPU, sa CM sont bons.
|
|
Mikachu veut juste changer le GPU et une alim à pas cher. Edpibu vend son alim,
|
|
Mikachu a un GPU à vendre. Démerdez-vous avec le CA.
|
|
|
|
On a l'alim d'edpibu pour 20 €.
|
|
|
|
## Bilan des switchs 100Mb/s
|
|
|
|
Combien en reste-il ? Peut-on finir de mettre le parc en Gigabit ?
|
|
|
|
Il en reste 8, dont 3 au PDJ (démontés dans 3 mois ?).
|
|
Est-ce pertinent d'investir maintenant alors qu'on ne sait pas si le CRANS
|
|
existera encore à la rentrée ? Ca me semble pertinent de le faire, si on se
|
|
donne pour objectif de maintenir le réseau sur Cachan au minimum jusqu'à la
|
|
rentrée 2021.
|
|
|
|
Alors oui on peut réflechir, on budgétise tout ça, on en reparle à la prochaine
|
|
IN.
|
|
|
|
## clubs.crans.org
|
|
|
|
cf mail sur nounou@
|
|
|
|
On move les fichiers servis dans ~/www/ ? Fusion avec perso.crans.org ?
|
|
|
|
Plus personne n'utilise zamok en hébergement de sites qui pointe dessus en
|
|
CNAME car ça a été cassé avec la centralisation HTTPS.
|
|
|
|
Uniformiser c'est la vie. -- Fardale
|
|
|
|
On en rediscute après le pot vieux qui est concerné par ça.
|
|
|
|
## Site crans.org poussiereux
|
|
|
|
Prototype rapide mkdocs https://perso.crans.org/erdnaxe/site-crans/ (juste la
|
|
homepage et la page de connexion a été faite, mais après c'est du markdown)
|
|
|
|
Pourquoi pas, si ça amuse des gens de faire du front, parlez-en en CA.
|
|
|
|
!TinyLinux veut bien participer, avec Erdnaxe.
|
|
|
|
> Il faut quoi qu'il arrive virer les ref à un service d'impression et
|
|
commenter sur Windows 7 et le WiFi
|
|
Ok
|
|
|
|
### Dist-Upgrades
|
|
|
|
On peut faire des DU pendant les vacances ou avant, il faut voir si des
|
|
apprentis sont chauds pour participer. En passant sous Buster il faut faire un
|
|
peu de Ansible.
|
|
|
|
### Ansible
|
|
|
|
On rappelle Ansible, cf le séminaire de la semaine dernière (Quel timing
|
|
incroyable !)
|
|
Lorsque l'on fait un DU, il faut migrer les confs de bcfg2 à Ansible.
|
|
|
|
On fait la liste des trucs à faire.
|
|
|
|
### Python2to3
|
|
|
|
Il ne reste plus grand chose en python2, le plus gros soucis c'est freeradius.
|
|
Les dev upstreams sont réticents à fournir un module python3. Pollion fait la
|
|
remarque qu'il existe un rlm_rest, mais il n'est pas documenté (cf les fixme
|
|
dans la doc). Mikachu va relire la discussion sur l'issue github, visiblement
|
|
Pollion est out of date, depuis fin Octobre un module compatible
|
|
python3 commence à sortir, ça mérite un test.
|