JabberFR - 2026-06-02

Tous les DNS sont au même endroit ?

Codimp: spoiler : non

Trois endroits différents

Mais nous n'avons pas les moyens d'avoir différents AS... ✏

> Mais nous n'avons pas les moyens d'avoir différents AS... car vous avez pas trouvé de serveurs dans d'autre AS ou pour une autre raison technique ? ↺

Codimp: le concept de ce qu'on fait, c'est de l'auto-hébergement...

On loue aucun serveur, on gère nous même le réseau et les machines, c'est des serveurs spécifiques pour avoir 100% de logiciel libre

On a des localisations géographiques différentes, mais ensuite c'est des lignes FTTH chez FDN (à laquelle LEC est adhérente)

> On loue aucun serveur, on gère nous même le réseau et les machines, c'est des serveurs spécifiques pour avoir 100% de logiciel libre et même pour des DNS secondaires vous voulez que ça soit des serveurs que vous gérez 100 % du coup c'est ça ? ↺

Exact, c'est dans l'idée. Parceque si une personne requête directement à nos NS, y a ptet une raison, et possiblement qu'éviter Intel ME/AMD PSP ou autre mouchard de firmware, notamment ethernet, est une bonne idée

d'acc

Dans le cas présent, de toute façon, y a pas que le DNS qui est en panne. Pour XMPP c'est la seule raison de la panne, mais pour d'autres services bah on a un site inaccessible donc...

Mais bref, c'est HS ici tout ça, y a un salon exprès pour ces sujets :

xmpp:cominfra-112@chat.jabberfr.org?join

neox, tu nous avais parlé d’ALPN par nginx aux JDLL, tu pourrais m’en dire plus, notamment ta conf nginx pour ça ?

> neox, tu nous avais parlé d’ALPN par nginx aux JDLL, tu pourrais m’en dire plus, notamment ta conf nginx pour ça ? si tu veux j’utilise ALPN avec nginx aussi ↺

Ça m’intéresse oui. :)

j’ai essayé de réduire ma configuration à l’essentiel pour cette partie

https://xshare.changeme.fr.eu.org/file_share/019e893d-7c8f-77bf-8451-f707abf30fc0/tls-preread.nginx

Et du coup il te faut une IPv6 différente par service ?

bah c’est comme ça que je fais mais je pense pas que ce soit indispensable

là il s’agit juste de rediriger vers le service qui écoute

il se trouve que je peux utiliser le port 443 sur plusieurs IPv6 pour plusieurs services, ce qui m’évite à avoir à mettre un reverse proxy pour les connexions v6

mais ça peut aussi être plusieurs ports sur localhost, voire même utiliser d’autres IPs de la range 127.0.0.0/8

Ça serait pas mal qu’on ait une IPv6 par service en effet, pour éviter le proxy.

pour des choses qui sont hébergées par nginx on peut mettre une seule adresse de listen et ça gère le SNI par lui-même si je ne me trompe pas

c’est toujours possible de mettre un default dans ma config pour rediriger là-dessus pour les domaines non listés, au coût d’un layer de proxy en plus

(j’ai tendance à juste utiliser une IPv6 par service au départ moi donc…)

> c’est toujours possible de mettre un default dans ma config pour rediriger là-dessus pour les domaines non listés, au coût d’un layer de proxy en plus il y a peut-être un moyen d’éviter ça mais je ne connais pas tant que ça nginx pour être honnête, je considère cette partie de la config séparément ↺

ah j’ai oublié de dire mais c’est dans un bloc stream

j’ai un ``` stream { include streams-enabled/*; } ``` dans la configuration principale

et ce module nginx ssl_preread n’est pas fourni par toutes les distributions (bon ici c’est Gentoo donc j’avais juste à activer le USE flag)

peut-être en utilisant `pass` (https://nginx.org/en/docs/stream/ngx_stream_pass_module.html) plutôt que `proxy_pass` (https://nginx.org/en/docs/stream/ngx_stream_proxy_module.html)

comment faire pour avoir à la fois pass et proxy_pass par contre je ne sais pas ✏

comment faire pour avoir à la fois pass et proxy_pass sur le même port par contre je ne sais pas ✏