Les nouvelles d'ARN

Ouverture du service de VPN

Nous avons le plaisir de vous annoncer que nous avons mis en place un service de VPN ainsi que les contrats [1] qui vont avec. \o/

Le service vous permettra d'avoir une adresse IPv4 et une plage d'adresses IPv6 fixes, et une connexion neutre quel que soit votre FAI. La connexion entre vous et notre routeur sera bien entendu chiffrée, votre FAI actuel ne pourra plus voir ce que vous faites sur Internet ! Le service comprend une connexion à un serveur OpenVPN, avec une adresse IPv4 et une plage d'adresses IPv6 (/56) fixes.

Le tarif est de 4€ par mois. La connexion se fait via le logiciel OpenVPN. Le service est _sans engagement_, et vous avez une période d'essai, n'ayez pas peur de tester ! Nous sommes une petite association, on ne coupera pas pour 2 jours de retard de paiement. ;)

Pour y accéder, il faut signer le contrat et nous le faire parvenir par email ou courrier postal (tous deux indiqués dans le contrat).

Si vous avez des questions n'hésitez pas ! :)

[1]: http://documents.arn-fai.net/contrat-vpn.pdf

Des nouvelles d'ARN

Bonjour à tous !

Que s'est-il passé chez ARN depuis un an ? Il est grand temps de vous donner quelques nouvelles !

Les quelques évènements de cette année n'ont pas été jugés « importants », d'où l'absence de news sur le site et de messages sur notre liste publique principale discussion@listes.arn-fai.net, cependant nous sommes toujours bien vivants ! :)

Un certain nombre de personnes nous ont demandé explicitement d'informer de façon plus régulière des actions, des choix et de la vie de l'asso en général. Nous avons conscience qu'il est difficile pour quelqu'un qui n'est pas impliqué aussi activement que nous dans l'association de suivre nos activités. C'est pourquoi nous allons désormais faire des récapitulatifs une fois par mois sur ce que nous faisons, et éventuellement vous faire part d'informations un peu plus générales sur des sujets en rapport avec les FAI associatifs par exemple.

Pour l'heure, voici un bref récapitulatif de ce qui a été fait depuis un an.

Le plus gros de la partie technique est depuis un moment en place avec la base de virtualisation (KVM, netns, VLAN, …). Nous y faisons tourner du BGP (recevoir les routes Internet et envoyer les nôtres pour qu'on puisse nous contacter avec *nos* IP), et une partie des services de notre infra, par exemple un serveur DNS récursif, pour nos abonnés et aussi pour tout le monde qui souhaite s'en servir [1], les mails (alias et listes de diffusion), le radius…

Autre chose, nous avons mis en place un service de VPN chiffrés, qui fournit des IP ARN fixes. Cela peut être utile par exemple si vous êtes en déplacement, ou si vous souhaitez simplement garder votre FAI actuel mais bénéficier d'un accès neutre et qui respecte votre vie privée. Nous écrivons le contrat en ce moment même. Le tarif est/sera de 4€ par mois.

Concernant la collecte qui n'arrive pas, nous faisons tout pour que cela avance, en relançant sans cesse notre prestataire (téléphone, mails, physique). Toujours pas de contrat. Nous avons cependant fait ce qui était humainement possible de notre côté, les différentes configurations que nous pouvons faire avec les informations que nous avons [2].

Plus récemment, nous avons changé les anciens disques durs de notre machine de services par des Vélociraptors 3x1TB 10K rpm qui sont bien plus puissants. Cela est arrivé après s'être rendu compte d'un vrai problème avec un des anciens disques et la carte mère, comme mentionné dans la nouvelle précédente [3]. Ce problème a duré un moment avant que nous trouvions son origine (plutôt délicat, dû à la nature périodique des erreurs constatées).

Nous supportons aussi un projet connexe de distribution gratuite et ouvert de sous-domaines DNS [4]. Ce service est hébergé et maintenu sur notre infrastructure.

Entre deux commandes shell sur les serveurs, nous avons envoyé un e-mail aux députés de divers partis politiques concernant un projet de loi sur la neutralité du net en mars dernier.

Que vous soyez membre de l'association ou non, on profite de cet article pour vous rappeler que vous pouvez venir discuter avec nous à tout moment sur IRC. Des adhérents et des sympathisants sont connectés en permanence sur notre canal, et nous y sommes bien plus bavards qu'ici : [5]

Pour ceux qui s'intéressent à la technique, vous trouverez des informations purement techniques ci-dessous.

Nous vous souhaitons une bonne journée !

[1]: Nous avons également protégé le service DNS des attaques par amplification et ce genre de choses dont nous sommes la proie. Avoir un serveur DNS récursif-cache ouvert et validant autre que ceux de Google est une bonne chose pour des aspects de vie privée, mais on ne va pas s'attarder sur ce sujet (vaste) dans cet article.

[2]: https://lists.ffdn.org/wws/arc/grandest/2014-06/msg00015.html

[3]: http://arn-fai.net/node/35 [4]: http://netlib.re

[5]: http://irc.lc/geeknode/arn

Quelques informations purement techniques.

Nous avons mis en place un certain nombre de règles iptables pour nous protéger de diverses attaques, limiter notre implication dans des attaques par amplification sur notre récursif , empêcher l'usurpation d'IP, etc.

Nous avons mis une partie de notre configuration sous puppet, ce qui nous permet de nous simplifier la vie concernant la gestion des utilisateurs, des configurations de base des machines et nous simplifie le déploiement sur le long terme. L'ajout d'une machine nécessitera relativement peu de configuration (uniquement ce qui lui sera spécifique).

Nous avons mis en place des sauvegardes de nos systèmes. En cas de crash d'une machine, même physique, nous serons en mesure de récupérer les différentes configurations éparpillées sur nos machines ainsi que les logs.

Nous avions un problème de spams, et pris des mesures (légères pour l'instant) : un système de greylisting. Souvent les spams sont envoyés en vitesse depuis des serveurs éphémères, et ne sont donc jamais renvoyés en cas d'erreur à la première tentative. C'est ce sur quoi joue le greylisting en refusant les messages uniquement à la première tentative.

Nous avons aussi pu prendre le temps de mettre en place la surveillance de l'infra, pour remonter des alertes en cas de défaillance d'une part, mais aussi pour garder trace des activités des machines (RAM, CPU, réseau etc.) et pour pouvoir retrouver ce qu'il s'est passé a posteriori en cas d'incident. Il reste la partie hors-infra à mettre en place.

« Services » de nouveau en service !

Les différents services d'ARN (et une partie de ceux de LDN) ont été inaccessible durant environ 2 semaines car la machine physique était partie en service après-vente.

Le contexte

Depuis quelques temps, nous (et LDN également) éprouvions des difficultés avec le matériel hébergé, à savoir des accès disques (très) lents, ainsi qu'un problème au niveau de la carte mère (désynchronisation de l'horloge matérielle).

Concrètement, cela se traduisait par un ralentissement très important des différentes machines virtuelles (plusieurs minutes pour obtenir une connexion à un shell, des mises à jour Debian interminables, etc.).

Recherche et déboguage

Nous avons investigué plusieurs semaines durant sans réellement trouver de solution logicielle (changement de la méthode d'ordonnancement du noyau pour les accès disque via la configuration KVM par exemple, ou encore méthode de synchronisation de l'horloge système). Finalement, il a fallu intervenir physiquement et le lundi 7 juillet 2014, le serveur nommé « services » a été dé-racké.

Améliorations

Nous en avons profité pour effectuer le changement des disques dur, l'un ayant des problèmes clairement identifiés. Les nouveaux disques sont -très- nettement plus performants, ce qui nous permet de voir venir la montée en charge plus sereinement.

Fin des soucis identifiés

Concernant la carte mère défectueuse (désynchronisation de l'horloge matérielle), un retour au service après-vente a été effectué. Nous avions remarqué que le problème de désynchronisation était temporairement corrigé lors de l'arrêt de l'alimentation de la carte, ce qui fait qu'elle nous a été retournée sans changements. Nous avons donc réitéré notre demande en expliquant une seconde fois que notre problème ne se manifestait que quelques heures après le démarrage de la carte mère. Nous avons finalement obtenu un accord pour un échange. Quelques jours plus tard, nous avons réceptionné la nouvelle carte que nous nous sommes empressés de remonter. Nous avons re-racké la machine dans le datacenter le jour même (23/07).

Jusqu'à présent, aucun souci n'a été détecté, ce qui nous laisse penser que les deux problèmes sont résolus, et que nous allons donc pouvoir continuer notre progression dans le monde des fournisseurs d'accès à Internet neutre !

Nous avons fait notre maximum pour résoudre ces problèmes le plus rapidement possible, mais ceci étant dit, nous tenons à présenter nos excuses pour le dérangement occasionné, et plus particulièrement à nos adhérents utilisant les services hébergés sur cette machine.

Ça se précise !

On vient de basculer ce site web sur notre infrastructure, dans une machine virtuelle dédiée à la mutualisation d'hébergement web. Juste avant nous avons effectué la transition de tout ce qui est DNS, avec redondance chez nos amis toulousains de tetaneutral.net (nous nous échangeons une machine virtuelle pour avoir un pied dans une infrastructure totalement dissociée). Et certaines personnes ont un début de configuration pour le VPN qui fonctionne… ;) Par contre aucune nouvelle du côté de la collecte ADSL pour l'instant, c'est dur les vacances !

Quelques services arrêtés

Mon serveur auto-hébergé a un ennui matériel ; les services ARN qui sont dessus sont donc inaccessibles, jusqu'à fin de semaine.

Entre autres :

- mails et listes de diffusion en @arn-fai.net et @listes.arn-fai.net (mais aucun message ne devrait être perdu).

- l'espace adhérents

- le gestionnaire de tâches et d'autres services moins utilisés.

À part cela nous continuons d'avancer sur les serveurs et les services que nous allons fournir. L'ADSL attendra des retours de vacances, donc est prévu pour fin août. Les choix techniques des VPS sont tranchés et en place.

Nous sommes Internet !

Ça y est ! Depuis hier soir, 20h32, nous sommes une partie d'Internet. Le monde entier a appris à nous connaître grâce à l'annonce via le protocole BGP de nos adresses IP. Il reste bien sûr des ajustements à faire, mais globalement ARN a commencé à exister, pour de bon !

Infrastructure en place !

L'infrastructure d'ARN (deux serveurs dans un DataCenter à Strasbourg) est physiquement en place ! Nous allons installer, configurer et tester tout cela dans les jours qui viennent. Le bout du tunnel n'est plus très loin ! La journée d'hier a été très dense, avec des problèmes de compatibilité matérielle, mais au final l'équipe de choc composée de "lorrains" et d'"alsaciens" des deux FAI à mutualiser l'infrastructure a pu mettre en place les deux serveurs dans leur nouvelle demeure. Aujourd'hui nous avons pu commencer à travailler sur les systèmes et demain nous devrions attaquer le routage.

On avance !

Bonjour par ici, Je voulais juste vous faire part de la bonne nouvelle du jour : le matériel de LDN, qui servira aussi ARN pendant un temps, est commandé et sera disponible d'ici une semaine ! Nous nous pencherons alors immédiatement sur la configuration finale (puisque nous avons déjà maquetté la plupart des aspects techniques) et le déploiement de l'infrastructure de notre cher FAI ARN, dans un datacenter strasbourgeois (vive les flammekueches !). Nous avons aussi pris part à une soirée sur le thème du réseau où de nombreuses personnes du milieu des opérateurs réseaux locaux étaient présentes, et nous avons pu discuter avec la plupart d'entre elles. Les interconnexions d'ARN sont donc en bonne voie. Bref, on progresse ! Bientôt les premières lignes, pour de bon !

Assemblée Générale

Bonjour à tous,

cela fait bientôt un an qu'Alsace Réseau Neutre existe, et donc une assemblée générale doit avoir lieu.

Date : le samedi 15 juin à 15h.

Lieu : Snack Michel, 20 av. de la Marseillaise, 67000 Strasbourg

L'ordre du jour :

- récapitulatif de ce que nous avons fait cette année

- bilan financier

- élection du conseil d'administration

- divers

Je vous dis à Samedi,

Philippe

Nouveau site web

Le site de l'association fait peau neuve ! Nous avons un nouveau site web qui devrait être un peu plus clair que l'ancien (bien que non parfait pour le moment) ! Nous avons reçu quelques nouvelles concernant les tarifs de la collecte d'un opérateur (Orange, offre non satisfaisante pour le moment) mais nous comptons bien sur les autres opérateurs pour être plus attractifs. Il va malheureusement falloir encore attendre, les tarifs devraient arriver dans le premier trimestre 2013… L'association a attiré récemment de nouveaux curieux, bien que n'ayant aucun service à fournir pour le moment, donc concernant notre (futur) besoin de stabilité financière, nous sommes confiants. Merci à tous ceux qui nous suivent, et à ceux qui participent.

Pages

S'abonner à Les nouvelles d'ARN