Depuis d\u00e9but janvier, les femtocell Orange des membres de SCANI tombent en panne les unes apr\u00e8s les autres.<\/p>\n\n\n\n
Le sympt\u00f4me est le suivant : <\/p>\n\n\n\n
Apr\u00e8s plusieurs discussions en ligne et par t\u00e9l\u00e9phone, le support d’Orange se borne \u00e0 tourner en rond, ou, au mieux, \u00e0 conseiller \u00e0 ses clients de demander \u00ab\u00a0une IP fullstack\u00a0\u00bb \u00e0 son op\u00e9rateur. L’enfumage technocratique a toujours \u00e9t\u00e9 un bon moyen de se d\u00e9barrasser d’un appel g\u00eanant dans une hotline.<\/p>\n\n\n\n
Manque de pot pour Orange, chez SCANI, on ne fait que \u00e7a, des IP fullstack. Pour ceux qui sont encore entrain de se gratter la t\u00eate, une IP fullstack, c’est le fonctionnement normal sur internet. Vous avez une connexion, vous avez une adresse IP rien qu’\u00e0 vous. Par opposition aux IP partag\u00e9es entre plusieurs clients d’un op\u00e9rateur qui g\u00e8re comme il peu la p\u00e9nurie et sa croissance (chez SCANI, on est petits et on a un peu de stock, donc \u00e7a va)<\/p>\n\n\n\n
Du coup, il semble bien qu’Orange ait, quelque part entre d\u00e9cembre et janvier, mis en route un filtrage des adresses depuis lesquelles ses femtocell ont le droit de se connecter. \u00ab\u00a0vous \u00eates un op\u00e9rateur connu, pas de soucis. Vous \u00eates un nabot dans un coin recul\u00e9 de la campagne, allez vous faire voir\u00a0\u00bb.<\/p>\n\n\n\n
Il leur aurait \u00e9t\u00e9 tr\u00e8s simple de relever l’ensemble des adresses ou sont utilis\u00e9es leurs femtocell, de les grouper par op\u00e9rateurs et de v\u00e9rifier manuellement cette liste, mais non, ils ont pr\u00e9f\u00e9r\u00e9 appliquer une m\u00e9thode bien plus sale.<\/p>\n\n\n\n
Malgr\u00e9 pas mal de tentatives, nous ne savons toujours pas comment \u00eatre inscrits sur cette liste (ni m\u00eame si un moyen existe). Et le signaler \u00e0 notre r\u00e9gulateur national n’a rien donn\u00e9 non plus.<\/p>\n\n\n\n
Heureusement que quelques personnes ont la chance de pouvoir s’\u00e9quiper avec des smartphone r\u00e9cents permettant le wificalling. Mais rien ne dit que cette fonctionnalit\u00e9 l\u00e0 ne sera pas \u00e9galement r\u00e9duite \u00e0 une liste d’op\u00e9rateurs sur laquelle nous ne serons probablement pas …<\/p>\n\n\n\n
(l’image d’illustration de cet article est l’un des premiers relais implant\u00e9s par SCANI il y a 6 ans, dans l’ombre d’un pyl\u00f4ne g\u00e9r\u00e9 par FPS sur lequel nous avions renonc\u00e9 \u00e0 monter)<\/p>\n\n\n\n
En fin de semaine derni\u00e8re, il semble que notre article de blog ait fini son tour et ait fini par atterrir sur le bureau d’une personne qui bosse sur les femtocell chez Orange.<\/p>\n\n\n\n
Du coup, depuis vendredi, on a r\u00e9cup\u00e9r\u00e9 la femto HS d’un des membre et on diss\u00e8que le probl\u00e8me en long en large et en travers en enregistrant ce qui passe sur le r\u00e9seau pour le diss\u00e9quer. Pour les plus technophiles d’entre vous, voil\u00e0 ce qu’on constate : <\/p>\n\n\n\n
Mais tout ceci n’arrive pas toujours … De la joie d’auditer un \u00e9quipement sans y avoir un acc\u00e8s direct et en faisant conjectures sur conjectures.<\/p>\n\n\n\n
D’apr\u00e8s notre contact chez Orange, toutes les femto concern\u00e9es ont disparues de la circulation le 6 janvier (sauf une le 8 …). Du c\u00f4t\u00e9 des membres de SCANI, certaines (qui n’avaient pas \u00e9t\u00e9 red\u00e9marr\u00e9es) fonctionnaient encore le 13 janvier. Et bien entendu, il n’y a eu aucune modification d’ampleur sur le r\u00e9seau de SCANI qui pourrait avoir un rapport avec tout \u00e7a dans la premi\u00e8re quinzaine de janvier.<\/p>\n\n\n\n
Bref, on a encore l’arri\u00e8re train dans les dunes de la plage, mais au moins, on a quelqu’un \u00e0 qui parler au bon endroit et on a donc bon espoir d’arriver au moins \u00e0 savoir pourquoi, et au mieux \u00e0 r\u00e9soudre le probl\u00e8me \\o\/<\/p>\n\n\n\n
Hier matin, un membre de SCANI a signal\u00e9 qu’apr\u00e8s avoir r\u00e2l\u00e9 aupr\u00e8s du support Orange et s’\u00eatre pris une fin de non recevoir sur le th\u00e8me \u00ab\u00a0SCANI n’est pas un r\u00e9seau autoris\u00e9\u00a0\u00bb, sa femtocell \u00e9tait retomb\u00e9e en marche hier. Et du coup, toutes les autres probablement aussi (nous n’avons pas pu joindre tout le monde).<\/p>\n\n\n\n
Notre contact chez Orange ne sait pas non plus pourquoi, bref, on est dans le flou le plus total, ne sachant ni pourquoi c’est tomb\u00e9 en rade, ni pourquoi c’est revenu, ni si la situation va durer.<\/p>\n\n\n\n
Attention, la suite est un brin technique !<\/p>\n\n\n\n
Le c\u0153ur du r\u00e9seau SCANI (situ\u00e9 \u00e0 Paris) a connu un incident le 27 f\u00e9vrier en d\u00e9but d’apr\u00e8s midi. Concr\u00e8tement, rien de bien m\u00e9chant, un routeur a cess\u00e9 de fonctionner comme il fallait et le trafic a automatiquement \u00e9t\u00e9 d\u00e9rout\u00e9 vers le second, donnant lieu \u00e0 une interruption vers certaines destinations sur internet de l’ordre de quelques minutes.<\/p>\n\n\n\n
Lors de cet incident, le routeur incrimin\u00e9 a tout simplement annonc\u00e9 aux autres op\u00e9rateurs auquel il est connect\u00e9 que le r\u00e9seau de SCANI avait disparu. Du coup, le trafic sortant vers internet continuait \u00e0 passer par lui, mais l’ensemble du trafic entrant passait par l’autre.<\/p>\n\n\n\n
C’est \u00e0 ce moment pr\u00e9cis que les femtos Orange se sont mises \u00e0 fonctionner de nouveau.<\/p>\n\n\n\n
Le 28 au soir, nous avons r\u00e9tabli le fonctionnement normal du routeur fautif, sans faire le lien avec le retour des femtos. La m\u00e9t\u00e9o \u00e9tant ce qu’elle est en ce moment, le d\u00e9partement subit beaucoup de coupures de courant un peu partout, et cet apr\u00e8s midi, un des membres de SCANI en Puisaye nous disait \u00ab\u00a0ah ben la femto qui remarche \u00e7a n’a pas durer longtemps : elle est de nouveau en panne\u00a0\u00bb. C’est \u00e0 ce moment qu’on a commenc\u00e9 \u00e0 se dire que la disparition partielle du routeur et son retour \u00e9tait douteuses.<\/p>\n\n\n\n
On a donc, ce soir, volontairement coup\u00e9 le-dit routeur (enfin, une partie seulement, sans impact sur le trafic des membres) et avons constat\u00e9 que les femtos refonctionnaient. Apr\u00e8s quelques tests, nous avons donc fini par prendre contact avec nos camarades de chez Hivane (l’op\u00e9rateur qui nous permet de joindre Orange depuis ce routeur) pour tenter de pousser les investigations.<\/p>\n\n\n\n
Hivane est un op\u00e9rateur associatif qui a pour objectif de fournir des ressources r\u00e9seaux aux petites structures comme nous. Il souffre parfois d’attaques r\u00e9seau assez violentes dites \u00ab\u00a0attaques par d\u00e9ni de service\u00a0\u00bb, consistant \u00e0 bourrer les tuyaux jusqu’\u00e0 plus soif pour rendre injoignable une machine ou un r\u00e9seau en particulier. Pour limiter la port\u00e9e de ces attaques et prot\u00e9ger ses utilisateurs (dont SCANI), Hivane a donc mis en place une limitation de d\u00e9bit sur certains protocoles souvent utilis\u00e9es dans le cadre d’attaques par d\u00e9ni de service (dans le cas qui nous int\u00e9resse, le NTP, protocole servant aux ordinateurs \u00e0 se mettre \u00e0 l’heure \u00e0 travers internet et permettant d’\u00e9viter de mettre une pile qui a pour r\u00f4le de garder l’heure qu’il est dans un appareil quand il est d\u00e9branch\u00e9).<\/p>\n\n\n\n
Le fonctionnement normal de NTP est, pour simplifier, le suivant : <\/p>\n\n\n\n
Si on r\u00e9sume donc, il faut quelque chose comme 5 messages entre deux machines pour qu’elles se mettent \u00e0 la m\u00eame heure. Dans la r\u00e9alit\u00e9, c’est un peu plus, et surtout, le processus se r\u00e9p\u00e8te r\u00e9guli\u00e8rement pour s’assurer que les horloges ne d\u00e9rivent pas.<\/p>\n\n\n\n
Mais les femtos d’Orange, elles, elles envoient plusieurs centaines de fois cette quantit\u00e9 de messages pour tenter de se mettre \u00e0 l’heure. On ne saura probablement jamais pourquoi mais ce n’est pas un comportement normal. Du coup, la limitation de d\u00e9bit install\u00e9e par Hivane pour prot\u00e9ger nos r\u00e9seaux emp\u00eachait une mise \u00e0 l’heure convenable de la femto.<\/p>\n\n\n\n
On pourrait se dire que ce n’est pas bien grave, mais la femto utilise ensuite tout un tas de protocoles de s\u00e9curit\u00e9 pour se connecter au r\u00e9seau de l’op\u00e9rateur et permettre de passer des coups de fil … Et l’heure qu’il est est un des \u00e9l\u00e9ments de base de la cryptographie sur internet.<\/p>\n\n\n\n
La solution mise en \u0153uvre pour \u00e9viter le probl\u00e8me est donc de lever la limitation de d\u00e9bit vers et depuis le r\u00e9seau d’Orange ou sont h\u00e9berg\u00e9s les serveurs utilis\u00e9s par les femtos. On va \u00e9galement tenter de leur susurrer \u00e0 l’oreille que rien ne sert d’\u00eatre aussi agressifs sur le NTP pour avoir une heure qui va bien (apr\u00e8s tout, les femtos Bouygues -pour ne citer qu’eux- y arrivent fort bien)<\/p>\n\n\n\n
On tient au passage \u00e0 remercier monsieur Y. chez Orange qui a pris contact avec nous pour tenter de r\u00e9soudre le probl\u00e8me ainsi que tous ses coll\u00e8gues.<\/p>\n","protected":false},"excerpt":{"rendered":"
Depuis d\u00e9but janvier, les femtocell Orange des membres de SCANI tombent en panne les unes apr\u00e8s les autres. Le sympt\u00f4me est le suivant : A l’instant T, tout va bien La femtocell red\u00e9marre (suite \u00e0 une coupure de courant, par exemple, ou le simple fait de l’avoir d\u00e9branch\u00e9e) Elle ne retombe jamais en marche Si […]<\/p>\n","protected":false},"author":1,"featured_media":442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9,4],"tags":[],"class_list":["post-441","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-reseau","category-technique"],"_links":{"self":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts\/441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/comments?post=441"}],"version-history":[{"count":6,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts\/441\/revisions"}],"predecessor-version":[{"id":453,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts\/441\/revisions\/453"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/media\/442"}],"wp:attachment":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/media?parent=441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/categories?post=441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/tags?post=441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}