RM-21
Sauter à la navigation
Sauter à la recherche
Pad de la session http://pad.sebian.fr/p/reunionldn21
|
Réunion mensuelle LDN du lundi 3 novembre 2014 dans les locaux de NYBI.cc.
Présents
- Julien VAUBOURG
- Jean-Christophe Bach (probablement ; à distance)
- Gabriel Corona
- Émile (sera en retard)
- Seb (à distance, et surement en retard (OpenStack Summit)).
- Alexandre BAILLY
- Axelos
- Francois Dupont
- Stéphane G.
- Vincent MERLET (sacrediou)
(participer à distance : https://wiki.ldn-fai.net/wiki/Mumble ) (trombinoscope : https://wiki.ldn-fai.net/wiki/Trombinoscope )
Excusés
- Éric PARTHUISOT
- Sébastien JEAN
Glossaire
https://wiki.ldn-fai.net/wiki/Glossaire (à rajouter systématiquement, et à compléter au fur et à mesure)
Ordre du Jour
Collecte Wifi
- Collecte Wifi sur la tour des Aulnes de Maxéville (zarkass)
Services Mutualisés
- État des services mutualisés, dont problèmes certificats et sécurité WordPress (Gabriel et ju)
- est-ce lié au SSO de yunohost ?
- c'est le dernier gros problème des mutualisés, il faudrait voir ça sérieusement...
- Zarkass teste les certifs, et galère avec les problèmes liés aux certificats pour le Wordpress (zarkass)
- sinon ça marche plutôt bien pour Wordpress
- il faut trouver comment faire les mises à jour automatiques dans wordpress. il ya une notif quand il y a une maj ? si oui, cron ?
Supervision
- Avancement de la supervision avec notifications LibreNMS et service complémentaire genre nagios/check_mk (petit et sebian)
- Fix des services snmpd https://puppet.ldn-fai.net/gitweb/?p=puppet.git;a=commit;h=cd5f7df7273e35eb346a9d94b83d37be993b86d5
- Activation de RRDCached https://puppet.ldn-fai.net/gitweb/?p=puppet.git;a=commit;h=5885fe8901a24f17419daebbd65e529d83651400
- Début de config check_mk https://puppet.ldn-fai.net/gitweb/?p=supervision.git;a=tree
- Livestatus, check_mk, pas de wato.
Refonte de l'env Puppet
- Réflexion sur la refonte de l'environnement Puppet de l'infra (sebian, petit, Gabriel, Émile et ju)
- Ça utilise actuellement :
Puppet
Git
Capistrano
- soit on met pas capistrano dans la doc par défaut et on laisse ceux qui veulent l'utiliser (et donc on est tolérant envers ceux qui poussent dans master)
- soit on clone le depot localement sur le serveur et on bosse dessus (droits unix à modifier), et on laisse toujours ceux qui veulent utiliser Capistrano
Hiera
- à voir avec petit s'il a eu des problèmes avec
Librarian
- Problèmes de Puppetfile.lock
- Initialisation compliquée pour le nouvel admin
- Peut-on s'en passer ?
Ansible
- Personne ne sait exactement dire ce que c'est (c'est un peu comme un script shell)
- Apparemment c'est utilisé uniquement pour faire la mise à jour Debian de toute l'infra
- Il n'y a que Gabriel qui l'a utilisé ici, et ça a l'air de juste marcher (et si ça foire on peut toujours faire à la main)
- Gabriel dit de vérifier la doc sur le wiki, à laquelle il a contribué sans être sûr : https://wiki.ldn-fai.net/wiki/Puppet (à la fin)
- Bon bah on garde, ça ne pose pas de problème particulier et ça n'influence pas l'installation de l'environnement du serveur
Ruby
- Ça c'est obligatoire dans les templates de Puppet, on a pas le choix, faut avoir les bases
Un dépôt certificates
- Un dépôt Git qui peut être utilisé par Puppet pour mettre les certificats (au même titre qu'on met les mots de passe dans hiera)
- Comment ça pull le dépôt et hiera côté serveur ? Un hook ? C'est le genre de tips qui pourraient rendre la réinstallation du serveur compliquée
Des hooks complexes et obscurs
- Souci de doc, d'automatisation et p-e des trucs trop tricky
- Faudrait faire le point sur ce que sebian a fait lui-même comme hooks
- genre les modifications de droits et cie), pour savoir si ça se réinstalle bien
- plusieurs points en fait :
- l'empilement des outils
- la doc parcellaire
- trop/pas assez d'automatisation (JC)
- plusieurs points en fait :
Documentation
- Éric a renouvellé sa volonté de filer un coup de main sur l'infra et précise que « l'utilisation de puppet et git [lui] paraissent logiques »
- Il pourra être un bon bêta testeur de l'environnement de Puppet simplifié
Soucis de SSL
- Problème de SSL sur les VPN de ju, qui semble tout seul à le rencontrer (ju) non Vincent Me aussi
- aucun souci de mon côté, mais je n'ai pas regardé mes logs (JC)
- j'ai eu un souci et c'était le ca.crt qu'il fallait changer (Sacrediou) -> pareil que dans le mail de ju
- Explications de Gabriel : il a séparé les certificat clients et serveur, il y a eu un changement. Le problème c'est que le fichier de conf client dit qu'il faut un ca.crt et que celui qui est sur le serveur OpenVPN n'est pas celui qu'il faut prendre. Celui qu'il faut prendre est nul part actuellement (sauf dans un mail envoyé sur la liste)... Il faut donc l'ajouter !
- Il faut donc renommer ca.crt en ca-server.crt
- Il faut ajouter ca-client.crt (et le mettre par défaut dans la conf client). Et il sera à mettre sur la doc VPN pour les nouveaux utilisateurs. mais fondamentalement osef, vu que
AC Client AC Server ca.crt ca.crt à renommer en ca-client.crt à renommer en ca-server.crt | V gabriel <----------------------- Serveur (server.crt) gabriel.crt ----------------------->
La machine de gabriel a besoin du fichier "ca-server.crt" (même si le nom est trompeur, mais il faut comprendre que c'est pour vérifier l'identité du serveur).
Documentation VPN
- Doc VPN (slash) ?
- La page https://wiki.ldn-fai.net/wiki/Tuto_Client_OpenVPN est plutôt destinée aux admins LDN qui se demandent comment créer un nouveau VPN
- La doc VPN à créer est plutôt une nouvelle page avec le ca-server.crt, la conf OpenVPN et comment on s'en sert (et la liste des fichiers qu'on est censé recevoir des admins LDN, qu'on ne peut pas obtenir directement)
- On peut virer la doc client qui est dans le Puppet et la mettre uniquement sur la nouvelle page de doc d'utilisateurs (avec la ligne qui permet de faire du tcp en commentaire, avec l'udp par défaut et c'est tout)
Boitier FAI associatifs
- Excellent projet à faire en collaboration avec Neutrinet, qui répondrait à plein de problématiques qu'on se posait (Émile et ju)
- https://wiki.ldn-fai.net/wiki/Fichier:Boitier-assofai.pdf
- Objectif : 2 apps YunoHost (VPN & Hotspot Wifi) et choisir le matos qui va bien (pour l'instant Olimex + dongle wifi)
- https://github.com/jvaubourg/hotspot_ynh
- Il faut trouver un dongle wifi qui a le bon compromis portée/prix/compatibilité
- http://www.amazon.fr/TP-Link-TL-WN725N-Nano-adaptateur-sans/dp/B008IFXQFU : pas compatibilité directe avec hostapd (et très faible portée
- Alexis va essayer celui-ci : https://www.olimex.com/Products/USB-Modules/MOD-WIFI-R5370-ANT/
- Ce modèle est assez performant : Alfa AWUS036NHV disponible sur http://www.mhzshop.com
TODO de la réunion 20
- Todo de la réunion #20 https://wiki.ldn-fai.net/wiki/RM-20#Il_faudrait_revoir_les_pages_.C2.AB_Pr.C3.A9sentation_.C2.BB.2C_.C2.AB_Histoire_.C2.BB_et_.C2.AB_Questions_fr.C3.A9quentes_.C2.BB
- Redemander à Axelos s'il veut bien s'occuper de mettre à jour le site dans un mois
- Questionnement sur les adhésions sous pseudo (voire abonnement à des services)
- Tout le monde n'est pas d'accord sur l'aspect légal de la chose pour les adhésions
- zarkass pense qu'il faut le nom/prénom/profession pour les adhérents
- Anonyme pense qu'il faut juste pouvoir faire le lien entre un adhérent et une carte d'adhérent
- Pour les services : pour le mail, si on en croit ce qu'écrit no-log, on peut le faire à des anonymes : http://no-log.org
- Pour les accès Internet (ADSL/VPN/Wifi) ? Il faut se renseigner... Demander à FDN ce qu'ils ont trouvé vis-à-vis du VPN openbar ?
- Tout le monde n'est pas d'accord sur l'aspect légal de la chose pour les adhésions
- Dans le même ordre d'idée, pourquoi pas paiements en bitcoins ?
- Légalement ça devrait pas poser de problème
- Soit on garde sous forme de bitcoins (avec problèmes de fluctuations, perte des données, etc) et il faut trouver des trucs à payer en bitcoins pour l'asso (genre noms de domaine si on a un registrar qui permet ça)
- Soit on échange directement en euros (Stéphane conseille d'échanger automatiquement à partir d'un certain seuil)
- Est-ce qu'on accepte les documents numérisés pour les abonnements, y compris mandat SEPA (Stéphane) ?
- Et du coup tous les autres documents (genre CGU)
- En théorie, en cas de contestation, d'après le réglement SEPA, il faut conserver un original papier
- On accepte les documents numérisés
- bienvenu.e.s au XXIème siècle
- Peut-on payer les services en liquide ?
- Légalement aucun problème
- C'est au trésorier de décider s'il veut bien gérer ça : le plus gros problème c'est de passer régulièrement à la banque
- Il pourrait faire des virements correspondants au liquide reçus, mais plusieurs personnes pensent que c'est pas légalement
- Stéphane serait d'accord (éventuellement payer par plusieurs mois d'un coup)
- Pad à propos de son député de petit ?
- Petit est pas là donc on ne sait pas
- Tests client VPN sur OpenWRT (Vincent Me. et Émile) ?
- La doc OpenWRT est un peu fouilli (de l'aveux-même de ses auteurs)
- Mais la doc de base est largement suffisante
- L'installation sur une OpenWRT 12.04 fonctionne (avec un Buffalo)
- L'IPv6 n'est pas encore testé (XXe siècle powered)
- Tests à faire en filaire et en wifi (pas encore testé avec un PC client)
Conférences
- On a décliné pour le forum social dans le pays de Bitche (personne de disponible/motivé)
- Conf « Internet IPv6 ou Intranet IPv4 » bientôt à l'IUT Charlemagne (ju)
- Proposition de conf le 16 décembre autour de la surveillance des masses et de l'importance de la vie privée (avec Skaen), plutôt du style « Rien à Cacher », ça en est où ?
- Des nouvelles de l'Open Bidouille Camp ?
- Ça a été reporté : http://www.obc54.net/doku.php?id=cptrendus
- On a toujours pas fait l'adhésion à NYBI.cc, non ?
- L'association a fêté ses 4 ans le 23 octobre : on en profite pour faire une rencontre 2014 (il faut que quelqu'un organise) ?
Divers
- Changement de date pour les réunions mensuelles
- Faire un framadate pour voir si un autre jour arrange les gens (2nd lundi du mois, premier mardi, etc.)
- Proposition de changement de lieu pour les réunions mensuelles
- Émile propose le CCAN → {{{2}}}
- Centre Culturel Autogéré de Nancy, qui a pour but de promouvoir les cultures alternatives, émancipatrices et opposées à la culture marchande sur Nancy ( https://ccan.herbesfolles.org/index.php/presentation )
- Il se renseigne pour nous dire pourquoi ça serait cool de nous associer à eux (voir les contraintes)
- Émile propose le CCAN → {{{2}}}
- 3/4 personnes qui ont demandé à avoir des stickers FFDN/LDN par courrier postal (il faut que quelqu'un le fasse)
- Il faut continuer à proposer des visuels : https://wiki.ldn-fai.net/wiki/Stickers celui avec les gitanes est original et intéressant, mais ça me dérange un brin d'avoir la marque de clopes
- Projet cool chez ARN : http://pad.arn-fai.net/p/website_ipv6_test / http://t.karchnu.fr/autre/ipv6
- ARN a lancé officiellement ses VPS (6€ / mois, 50Go, 512Mo) en plus de ses VPN
- On en est à +5200 vues sur YouPorn, 94% des votants aiment ce contenu (sur 29 votes) et il y a 2 commentaires
- L'AG approche : il faut continuer à renouveller le bureau
- Questions/aide pour monter un FAI (Cacatoès de Lille) :
- Okay. Efficacité du réseau mesh en milieu urbain, déjà testé avec succès ailleurs ? (bizarre/dommage qu'un truc qui est censé fonctionner sur le papier ne le soit pas en conditions réelles...)
- (La question du dessus est en fait pas essentielle. J'en aurais eu d'autres mais la comm' me pose un peu trop problème avec les retours donc tant pis. J'écoute plus ou moins la réu ça pose moins de soucis)
- Renouvellement des adhésions ?
- Nettoyage de la base des adhérents ?
- Gestion des fichiers des adhérents, copie de la CI, adresse, … doit-on garder tout cela ?
- on a un git pour sauver tout ça ou c'est une BdD classique ? (je reposerai la question sur IRC)
Catégories :
- Public
- Réunions
- TODO Petit est pas là donc on ne sait pas
- TODO Stéphane dit que ça sera fait le mois prochain
- TODO François veut bien s'en occuper
- TODO Émile propose le CCAN
- TODO Zarkass s'en occupe, il a les stickers et ju lui envoie les adresses
- TODO Ju va bientôt manquer de temps, et souhaite laisser son poste
- TODO Sebian cède aussi bien volontiers son poste