[AAD] fr.comp.reseaux.dns

Le 27-10-2016, Gérald Niel nous expliquait dans
fr.comp.reseaux.ip
(<slrno136go.qg.gerald.niel+spam@news.gegeweb.org>) :

Et que visiblement j'ai généré des clefs (KSK et ZSK) d'une validité
de 30 jours (un mois).
Ou est-ce seulement la ZSK, et dans ce cas suffit-il de simplement
re-signer la zone et notifier les DNS secondaire ?

Puisque ici il <https://www.oostergo.net/node/50> est écrit :
« Although the KSK and ZSK don't expire, it's recommended to rotate
the ZSK every 30 days and the KSK once per year. The ZSK can be
rotated without interaction with the domain registrar, but for KSK
rotation the DS records at your registrar needs to be updated »

Ça expire, ou ça expire pas ? ;)

À lire ce bout de doc que tu postes les clefs n'expirent pas *mais* il
est conseillé de les remplacer régulièrement:
- Tous les mois pour la ZSK, ce qui ne nécessitera aucune intéraction
avec le registrar
- Tous les ans pour la KSK, ce qui nécessitera une mise à jour des infos
fournies à ton registrar.

Après, j'imagine que là dessus les registrars peuvent avoir une
politique un poil plus restrictive (genre remplacement obligatoire de la
KSK tous les mois.
J'imagine également que tu seras également obligé de remplacer les clefs
si tu leur donnes toi même une date d'expiration. Sur ce point, ça ne
doit dépendre que de toi.

C'est comme ça que je comprends les choses mais je ne me suis pas
documenté plus que ça puisque mon registrar (online.net, que je
déconseille comme registrar), ne gère (encore ?) pas DNSSEC.

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Le Jeudi 27 octobre 2016 à 07:04 UTC, Doug713705 écrivait sur
fr.comp.reseaux.ip :

Et que visiblement j'ai généré des clefs (KSK et ZSK) d'une validité
de 30 jours (un mois).
Ou est-ce seulement la ZSK, et dans ce cas suffit-il de simplement
re-signer la zone et notifier les DNS secondaire ?

Puisque ici il <https://www.oostergo.net/node/50> est écrit :
« Although the KSK and ZSK don't expire, it's recommended to rotate
the ZSK every 30 days and the KSK once per year. The ZSK can be
rotated without interaction with the domain registrar, but for KSK
rotation the DS records at your registrar needs to be updated »

Ça expire, ou ça expire pas ? ;)

Donc, par défaut, dnssec-genkey génère des signatures avec une durée
de validité de 30jrs.
Donc je suis bon pour un Rollover.

La page de man (ou RTFM, c'est au choix) tu liras (sans la survoler)
la prochaine fois que tu joueras aux apprentis sorciers !

À lire ce bout de doc que tu postes les clefs n'expirent pas *mais* il
est conseillé de les remplacer régulièrement:
- Tous les mois pour la ZSK, ce qui ne nécessitera aucune intéraction
avec le registrar
- Tous les ans pour la KSK, ce qui nécessitera une mise à jour des infos
fournies à ton registrar.

Ce que j'ai aussi compris, c'est que pour un domaine il n'est pas
forcment nécéssaire de générer la KSK pour une double signature.
La ZSK suffirait.

C'est comme ça que je comprends les choses mais je ne me suis pas
documenté plus que ça puisque mon registrar (online.net, que je
déconseille comme registrar), ne gère (encore ?) pas DNSSEC.

Gandi est franchement pas mal du tout.
Et ce ne sont pas des robots qui répondent après avoir contacté le
support.
D'ailleurs, je lui déléguai la gestion des DNS jusqu'à présent.

Et à propos de Gandi, je suis tombé sur cette doc, où il est fait
mention de la mise à jour automatique de la clef KSK via leur API avec
OpenDNSSEC.
<http://www.bortzmeyer.org/key-rollover.html>
à savoir, un script de M. Arnold :
<https://gist.github.com/mat813/3135484>

Je vais mettre en place OpenDSSEC je pense, et il faut je suppose que
j'y importe d'abord mes clefs (j'ai trouvé une doc qui explique
comment faire).
Je vais tester sur un domaine non sensible avant de jouer avec ceux
qui servent des services à d'autres que le cercle famillial.

@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-

Le Thu, 27 Oct 2016 07:04:23 +0000, Doug713705 a écrit :

mon registrar (online.net, que je déconseille comme registrar)

Et comme hébergeur ?

(suivi sur fr.reseaux.internet.fournisseurs)

Le Vendredi 28 octobre 2016 à 13:59 UTC, Jo Engo écrivait sur
fr.comp.reseaux.ip :

mon registrar (online.net, que je déconseille comme registrar)

Et comme hébergeur ?

Web ou dédié ?

Pour les dédiés je préfère les KS ou SYS chez le principal concurent
(OVH) aux DediBox dans la même gamme de prix. Mais c'est juste à cause
du support FreeBSD et IPV6 (bien que de base la config IPV6 sous
FreeBSD à l'install soit cassé). Et parce que c'est plus simple de
tout ré-installer from scratch en full ZFS depuis l'accès en rescue.

Ceci dit pour le support FreeBSD sur Dedibox peut-être que ça à changé.
Et puis sur le réseau Online, tu peux avoir un feed usenet avec
news.free.fr.

Pour de l'hébergement Web, j'utilise Simple Hosting pour deux
domaines/sites.
Je n'heberge pas ces deux sites et MX sur mes deux serveurs désiés
parce que pour ceux là je ne veux pas tout casser en faisant une
connerie. ;)
Tout est chez Gandi donc. Le domaine, les mails, les sites Web.

@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-

Gérald Niel <gerald.niel+spam@gegeweb.invalid> écrivait :

(suivi sur fr.reseaux.internet.fournisseurs)

Le Vendredi 28 octobre 2016 à 13:59 UTC, Jo Engo écrivait sur
fr.comp.reseaux.ip :

mon registrar (online.net, que je déconseille comme registrar)

Et comme hébergeur ?

Web ou dédié ?

Pour les dédiés je préfère les KS ou SYS chez le principal concurent
(OVH) aux DediBox dans la même gamme de prix. Mais c'est juste à cause
du support FreeBSD et IPV6 (bien que de base la config IPV6 sous
FreeBSD à l'install soit cassé). Et parce que c'est plus simple de
tout ré-installer from scratch en full ZFS depuis l'accès en rescue.

Ceci dit pour le support FreeBSD sur Dedibox peut-être que ça à changé.
Et puis sur le réseau Online, tu peux avoir un feed usenet avec
news.free.fr.

Et tu as un /48 IPv6 (puisque tu en parles) chez Dedibox, avec
possibilité de délégation du reverse.


--
Les simplifications c'est trop compliqué

Le Vendredi 28 octobre 2016 à 18:00 UTC, Erwan David écrivait sur
fr.reseaux.internet.fournisseurs :

Ceci dit pour le support FreeBSD sur Dedibox peut-être que ça à changé.
Et puis sur le réseau Online, tu peux avoir un feed usenet avec
news.free.fr.

Et tu as un /48 IPv6 (puisque tu en parles) chez Dedibox, avec
possibilité de délégation du reverse.

C'est mieux que le /64 (qui est en fait un /56) chez OVH.
Et pas de délégation de reverse.
Mais quand j'avais essayé j'avais pas réussi à faire marcher l'IPV6
avec le client dhcpv6.

@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-

Le 28-10-2016, Jo Engo nous expliquait dans
fr.comp.reseaux.ip
(<581359b6$0$3345$426a74cc@news.free.fr>) :

Le Thu, 27 Oct 2016 07:04:23 +0000, Doug713705 a écrit :

mon registrar (online.net, que je déconseille comme registrar)

Et comme hébergeur ?

Tout dépend de ce qu'on attend. Pour ma part gérant moi même la partie
système je n'attends rien d'autre qu'une sorte de gros disque dur connecté.

En quasi 10 ans j'ai du contacter au max. 3 fois le support qui a été
correct (quoi qu'ils n'aient toujours pas résolu leur problème de
blacklistage avec un réseau néo-zélandais pour lequel j'avais ouvert un
ticket).

Le seul truc génant pour moi c'est leur interface de gestion de DNS
(coté registrar) qui est parfaitement étudiée pour ne pas donner envie
de jouer avec son propre serveur DNS. De mon moint de vue elle est
imbittable et mal documentée mais c'est le genre d'interface que je
n'utilises qu'une seule fois tous les 42 ans.

Enfin, un dédié de 1To sur du gigabit sans quota de bande passante
hébergé hors de France (ok, c'est encore l'Europe) à partir de
9¤ H.T/mois, je trouve ça très raisonnable pour celui qui saura se
débrouiller sans grand besoin de support technique.

À ce prix là tu en prends 3 et, par exemple, tu en fais un frontal avec
load-balancing pour 30¤ H.T/mois. Bref tu peux rapidement monter une
infra assez intéressante pour vraiment pas cher.

https://www.online.net/fr/serveur-dedie/dedibox-sc

Quoiqu'en dise Gérald, je n'ai pas vu la moindre offre comparable chez
OVH qui reste l'un des plus grands hébergeurs de spammeurs de la planète.

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Le 28-10-2016, Gérald Niel nous expliquait dans
fr.comp.reseaux.ip
(<slrno1717q.kv.gerald.niel+spam@news.gegeweb.org>) :

mon registrar (online.net, que je déconseille comme registrar)

Et comme hébergeur ?

Web ou dédié ?

Pour les dédiés je préfère les KS ou SYS chez le principal concurent
(OVH) aux DediBox dans la même gamme de prix.

Dans la même gamme de prix ? Je n'ai rien vu chez OVH à moins de 60 ¤/mois.

Mais c'est juste à cause
du support FreeBSD et IPV6 (bien que de base la config IPV6 sous
FreeBSD à l'install soit cassé). Et parce que c'est plus simple de
tout ré-installer from scratch en full ZFS depuis l'accès en rescue.

Ceci dit pour le support FreeBSD sur Dedibox peut-être que ça à changé.
Et puis sur le réseau Online, tu peux avoir un feed usenet avec
news.free.fr.

ALors oui mais non, tant que mon serveur était hébergé en France, pas de
problème, depuis que je l'ai déménagé à Amsterdam (tout en restant chez
Online, je n'ai plus accès à nntpfeed.proxad.net.

Pour la peine je viens de leur ouvrir un ticker sur le sujet. Nous
verrons bien ce qu'il en retournera.

Pour de l'hébergement Web, j'utilise Simple Hosting pour deux
domaines/sites.
Je n'heberge pas ces deux sites et MX sur mes deux serveurs désiés
parce que pour ceux là je ne veux pas tout casser en faisant une
connerie. ;)
Tout est chez Gandi donc. Le domaine, les mails, les sites Web.

Du pré-maché, quelle horreur ;-)


Je repositionne le suivi vers un groupe plus adapté que
fr.reseaux.internet.fournisseur qui n'a pas grand chose à voir avec la
choucroute ;-)

XP+FU2 fr.reseaux.internet.hebergement
--
Le ciel est bleu, le jour est J.
La bombe est H mais mon grand-père s'ennuie
Comme un chien dans un cimetière le quatorze juillet.
-- H.F. Thiéfaine, Comme un chien dans un cimetière

Le Vendredi 28 octobre 2016 à 20:15 UTC, Doug713705 écrivait sur
fr.comp.reseaux.ip :

Pour les dédiés je préfère les KS ou SYS chez le principal concurent
(OVH) aux DediBox dans la même gamme de prix.

Dans la même gamme de prix ? Je n'ai rien vu chez OVH à moins de 60 ¤/mois.

KS, Kimsufi (mais une seule IPV6 /128, alors qu'en réalité c'est un /64)
SYS, So You Start, là tu as un /64.

Pour la peine je viens de leur ouvrir un ticker sur le sujet. Nous
verrons bien ce qu'il en retournera.

Au dernières nouvelles (qui commencent à dater) autour d'une bonne
petite table, lorsqu'on a abordé le sujet le newsmaster se demandait
si il restait encore du monde qui utilisait ça.
Nous étions deux des quelques utilisateurs autour de la table. ;)

Du pré-maché, quelle horreur ;-)

Oui, mais de qualité.

Je repositionne le suivi vers un groupe plus adapté que
fr.reseaux.internet.fournisseur qui n'a pas grand chose à voir avec la
choucroute ;-)

XP+FU2 fr.reseaux.internet.hebergement

Ah oui, me suis trompé ! ;)

@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-

Le 28-10-2016, Gérald Niel nous expliquait dans
fr.reseaux.internet.hebergement
(<slrno17er5.1ml.gerald.niel+spam@news.gegeweb.org>) :

Le Vendredi 28 octobre 2016 à 20:15 UTC, Doug713705 écrivait sur
fr.comp.reseaux.ip :

Pour les dédiés je préfère les KS ou SYS chez le principal concurent
(OVH) aux DediBox dans la même gamme de prix.

Dans la même gamme de prix ? Je n'ai rien vu chez OVH à moins de 60 €/mois.

KS, Kimsufi (mais une seule IPV6 /128, alors qu'en réalité c'est un /64)
SYS, So You Start, là tu as un /64.

Dans la même gamme de prix je trouve ça:

KS-2A:
- Proc: Atom™ N2800 2cores/4threads
- Freq: 1.86 GHz+
- RAM: 4 Go
- Stockage: 1 To
- BP: 100 Mbps
- IPv6: /128
- Tarif: 9,99 € HT

Pas vraiment compétitif par rapport à la dedibox SC:
- Proc: Intel C2350 Avoton 2 cores / 2 threads
- Freq: 1.7Ghz
- RAM : 4 Go
- Stockage: 1 To
- BP: 1Gpbs
- IPv6: /48

Et je te passe les services supplémentaires genre 100Go d'espace de sauvegarde
via FTP, protection DDoS, etc.

Pour info FreeBSD est proposé parmi le choix d'OS installable sur Dedibox
Genre tu cliques sur "installer" et tu te retrouves avec une Dedibox sur laquelle
roule un FreeBSD tout neuf sur lequel il faut simplement configurer le réseau.

Pour la peine je viens de leur ouvrir un ticker sur le sujet. Nous
verrons bien ce qu'il en retournera.

Au dernières nouvelles (qui commencent à dater) autour d'une bonne
petite table, lorsqu'on a abordé le sujet le newsmaster se demandait
si il restait encore du monde qui utilisait ça.
Nous étions deux des quelques utilisateurs autour de la table. ;)

Et si j'avais pu venir à ce repas, nous aurions été 3.
Mon ticket vient d'être escaladé au N2.


--
N'oubliez pas de me faire envoyer la liste
des erreurs constatées au F 756 du 72 03 10
-- H.F. Thiéfaine, L'ascenceur de 22H43