Réunion du Collège Technique
- Date : Mercredi 17 Octobre 2018
- Lieu : Condorcet
- Début : 20h00
- Fin : 22h20
Lien vers l'etherpad associé
Présents
- Pollion
- Grizzly
- PAC
- Gasnier
- Chirac
- Mikachu
- Emile
- Edpibu
- Fardale (via jitsi, et il a marché !)
- Arcas
- Erdnaxe (arrivée 20h13, départ 21h50)
- Boudy (arrivée 20h30)
- Quentin Petitjean (arrivée un peu avant 21h)
Ordre du jour
Renouvellement garanties
Stitch et Thot arrivent en fin de garantie les 4/11/2018 et 07/12/2018 respectivement. Thot date de 2012, on ne renouvelle. On passera temporairement sur vulcain s'il nous lâche Stitch : On renouvelle !
Problèmes rencontrés
Ces derniers temps on a rencontré quelques soucis, qui ont pu être réglés, d'autres non. Ce n'est pas forcément totalement dû à la migration mais on surveille.
Routage
On a subit des pertes de routes BGP mais ça semble s'être calmé. On sondera icinga.
Instabilité Wifi
Gros problème sous MacOS, on a désactivé le fastroaming, ça a réglé beaucoup de cas mais certains adhérents ont toujours le problème. Faudrait vraiment chercher. Gasnier signale en particulier des broken pipes en ssh, ou lors d'envois massifs de mails mais ça ne se voit pas trop dans le reste des cas (youtube etc...)
Perte de paquets
Avec FastRoaming au bout de quelques minutes on était connectés mais plus rien, ou ping abérant, connexions ssh qui mettent 1000 ans, mais ça a été réglé.
Scams mails (rejet redirection ens)
Arnaque identique dans pas mal d'autres organisations.
On a forcé l'authentification. Ça pose aussi des problèmes... Anti-spam au crans ?
On décide de bloquer sur tous les serveurs mail, on débloquera quand on aura mis en place un truc comme DNSBL (Proposition de Mikachu). Tache phab associée.
DNS
Il semblerait que l'on ait perdu la délégation de crans.ens-cachan.fr et clubs.ens-cachan.fr. On a envoyé des mails à la DSI, sans réponse. On ira les voir en personne pour leur demander. On en profitera pour leur demander de déployer le VLAN 22 au bon endroit, ainsi que de whitelister notre /22. On fera une liste de ce qu'il faut leur demander.
- Mikachu : Est-ce que crans.eu et crans.fr sont générés par re2o correctement ?
- Chirac : Oui c'est un probleme connu, faut faire du code dans re2o.
- Chirac se porte volontaire pour piloter quelqu'un dessus, il marquera ça sur une tâche phab.
DHCP
Le service est régulièrement en failed sur le serveur dhcp et il faut supprimer le pidfile pour redémarrer le service. ---> On va checker les bugs report debian, On propose de faire un unitfile qui fait le taf.
Machine qui prend mauvaise ip ---> Il faudra regarder, ça semble n'être que des cas isolés.
Passerelle mal detectee sur W10 (au moins 3 cas) en filaire --> Notre expert bug report (aka Gasnier) signale que certaines machines sous W10 ne trouvaient pas la passerelle. Il gardait en mémoire la passerelle de switches. On peut peut-être spécifier le / d'ip que les switches prennent.
Le workaround était de mettre la passerelle à la main. Ça marchera plus ailleurs, mais c'est plus notre problème /o\
Wiki en RO
Fardale avait essayé de voir, mais ne savait pas d'où ça venait. On demandera aux adhérents concernés si c'est tombé en marche.
Probleme d'attribution des chambres
Portail captif qui marche pas partout. On a envoyé un mail aux adhérents concernés. Beaucoup d'adhérents ont répondu.
Proposition : Les adhérents demandent une chambre, et un cableur vérifie ?
Projet apprenti ? On fera une tâche phabricator.
Switch
Bata-0 aurait apparemment un soucis ? Il va falloir regarder.
Mails de cron
Les mails de cron (1344 le 9 octobre par exemple) : on prévoit un moment pour réparer un peu tout ce merdier ?
Fardale a réparé une grosse partie des mails liés à bcfg2 (soucis de génération de conf, apparemment réglés, sauf la radio --> Osef On va drop la radio).
- 2eme vague de cron : adhérent qui est en double dans aliases.db sur redisdead, soyouz, freebox, zamok, titanic.....
--> Boudy s'en occupe. De quoi ?!
- Fardale : Le bug vient de l'intranet ou pas ?
- aid=2127 d'après le fichiers aliases de postfix son compte a été détruit en 2014 mais il apparait comme actif sur l'intranet, du coup ça pose des soucis car la redirection apparait 2 fois dans le fichier aliases et postfix se plaint.
- TODO : régler le problème en scannant les users qui auraient du etre supprimés; et se débarasser le cas échéant des doublons.
3eme type de mail : Erreurs 500 de l'API --> Ça coïncide avec logrotate. Nit a proposé une solution, à tester. On décale le logrotate de 10 minutes pour voir si c'est vraiment lié.
Problèmes sur Icinga
/var/log/spool de ft se remplit, les logs n'arrivent pas sur thot
- Fardale a regardé, mais ne sait pas trop d'où ça vient. Problèmes dans les confs (Erreurs de syntaxe ?). Quantité énorme de logs, 1Go en 3 jours. Ca a l'air d'être le cas uniquement sur ft.
- Chibrac: C'est un probleme de proxmox.
ntp sur soyouz --> Fait exprès ou pas ? Soucis dans la génération de la conf. Sombre histoire d'(ip-)typage.
TODO : Refaire le script, vérifier qu'un soucis similaire n'existe pas dans d'autres endroits.
Doc
IL FAUT FAIRE DE LA DOC sur ce qui a été fait, notamment au moment de la migration. CF la tâche phab mise à jour wiki.
- Gasnier souligne qu'il va falloir une doc très claire en prévision de la reprise du réseau par des inconnus après le départ de l'ENS vers la lointaine saclay
TV
La TV ? Le cochon est vivant ? Boarf, il survit, mais le courant au J fait de la grosse merde. L'onduleur commute en permanence.... On tâche phab et on regarde après.
Bilans
- Poses de nouvelles bornes. On a enfin du wifi dans certains lieux reculés du G. On est au chomage technique car on n'a pas reçu les bornes. Il faut les appeler, mais il faut quelqu'un qui parle Allemand. Ou on attend.
Nouveau système provisioning de configuration des switchs. Ça semble marcher, c'est cool, Chirac dit que c'est documenté, on le croit. Boudy : On sait où il habite, on a son numéro si ça marche pas. Mikachu: Au pire on lui casse les genoux.
Bilan sur la detection de mac + web redirect --> ça marche ... presque partout. Pas de web redirect, pas de web redirect. A partir de ce WE tous les switches du campus pourront en faire. Tous ? Non un certain nombres d'irreductibles ne font pas de web redirect...
interface d'impression --> Elle est prête, je finis de vérifier les bugs, mais normalement elle devrait être lancée ce weekend. Soucis d'ergonomie, Je vais suivre les conseils des experts tels qu'edpibu ou Grizzly.
Où en est le firewall ? --> Le fw marche mais n'est pas satisfaisant pour Chibrac. Le rezo metz est en train de dev un truc avec Nftables. On verra pour le déployer au crans, mais faut pas que ça casse des trucs.
Actuellement il juste marche.
Ménage
- Chibrac dit qu'il faut faire du ménage dans les profils de port (renommage, fusion etc).
- Pollion: Il faudrait faire ça aussi pour les noms des vlans ...
Projets
Apprentis : https://pad.crans.org/p/nounous_encadrantes
- Recablage de qqs chambres au C: 0C ou 5C ? Notre respo tech préféré se propose pour aider des gens à recabler. On commande une armoire de brassage, on fait ça proprement dans une semaine.
Cr@ns-Open --> Grizzly et chirac regardent, si des apprenti.e.s sont motivé.e.s ,pour les rejoindre, qu'ils parlent maintenant, ou se taisent jusqu'à leur prochaine intervention.
Machines Legacy --> On droppe à la rentrée des vacances de la Toussaint.
- Boudy : Le compte Crans qu'on utilise depuis tout le temps, il faut qu'on se crée un autre compte qui aura les droits. Car le mot de passe pour se connecter en wifi ou les mails (c'était déjà le cas avant, ça veut pas dire que c'était mieux) c'est le même que celui pour être root sur les serveurs. On envisage de changer ça.
PAC: Propose une authentification 2FA --> C'est pas con.
- Erdnaxe : Toutes les nounou doivent avoir une Yubikey. Même gdm le supporte !
---> Et sur tel on fait quoi ?
https://puri.sm/products/librem-key/ On demande à Charlie ce qu'il en pense.
DNSSEC
--> Benjamin, Boudy intéressés. Pour les tests on signera d'autres zones comme crans.fr et crans.eu. ça implique de réparer la génération de ces zones !!
Liste non exhaustive de projets :
- Mailman3
- Ajout automatique aux ml suivant les droits
- ssh2
- système de ticket ?
ansible <3 erdnaxe
Changement système de virtualisation. Vers la fin de Proxmox ? -> Oulà on a d'autres chats à fouetter avant. Et les remplaçants potentiels se bousculent pas au portillon.
- webnews
- faire des qrcode/tag nfc pour automatiquement conf le wifi des adhérent (des trucs récents permettent de supporter WPA2-Entrep. sur ce genre de conf)
Mises à jour
stretch (zephir et omnomnom ; et news :P )
+ chiffrement des backups, et de la clef de chiffrement ! Fardale dit que la partition pour les homes des adhérents est déjà faite, suffit de chiffrer.