21 sep.
Par Matthieu Moy,à 18:48 :: Inde :: #161 :: rss :: Tags: IISc, Informatique
Administration Système, suite
Je vous avais fait part de mes malheurs avec les administrateurs du réseau informatique de l'institut. Et bah vous savez quoi ? Depuis, tous mes problèmes sont résolus, je suis même devenu super pote avec les admins !
Non, je rigole, depuis, ils s'amusent à tout casser sans prévenir, c'est des flémards, désagréables, incompétents. Ils m'énervent.
(Désolé, encore un billet défouloire pas très intéressant pour les moins informaticiens d'entre vous)
Non, je rigole, depuis, ils s'amusent à tout casser sans prévenir, c'est des flémards, désagréables, incompétents. Ils m'énervent.
(Désolé, encore un billet défouloire pas très intéressant pour les moins informaticiens d'entre vous)
L'autre jour, un truc amusant m'est arrivé : un étudiant vient me voir pour me dire que la page web du cours (hébergée dans notre département) est inaccessible. J'essaye depuis ma machine, ça marche. Bon, me dis-je, visiblement, le site refuse les connexions depuis l'extérieur, vu que l'étudiant y accède depuis un autre département. Je me connecte à Verimag, lance un navigateur en mode texte, la page se charge sans soucis. Bon, deuxième hypothèse, c'est son département qui merdoie, puisque j'arrive à accéder au site depuis l'extérieur.
Épisode suivant : l'étudiant m'ayant confirmé qu'il ne pouvait pas accéder à la page, je tente depuis chez moi (fournisseur d'accès privé, extérieur au réseau de l'institut). Le serveur est inaccessible. J'essaye depuis Verimag, aucun soucis. Là, y'a un truc. Ça n'est pas une question d'être à l'intérieur où à l'extérieur du campus, ça n'est pas une question de département. J'en parle à l'««« admin »»» (qui mérite bien trois paires de guillemets) du département qui me dit « euh, bah, je sais pas, http://www.chezmoicamarche.com » un jour, puis « ah ouais, chez moi non plus, ça marche pas » le lendemain. J'emet alors l'hypothèse qu'il y a une règle de firewall quelque part qui dit un truc du genre « accès autorisé si ton addresse IP se termine par un chiffre pair, sauf les jours de pleine lune » (note aux non-informaticiens, les adresses IP, c'est les trucs qui ressemblent à 12.34.56.78).
En fait, je n'y étais pas du tout. La lune n'y est pour rien dans l'histoire. Mais attendez, on en vient au vrai problème du moment (le problème du site web s'étant manifestement résolu en priant Lord Ganesh, ou quelque chose comme ça). Exceptionnellement, les admins nous avaient envoyé un mail avant de tout casser, disants « Bon, on va faire des tests sur le réseau, ça va tout casser entre telle heure et telle heure. ». Ils avaient au moins bon sur un point : ça a tout cassé, à peu près au moment où ils avaient dit, mais depuis ce moment là, le proxy nous rend le web beaucoup plus monotone. En effet, à la place de chaque page web, on a un message nous disant que l'accès est interdit. Même pas avec un fond en couleur comme à ST, c'est dire. Enfin, bon, malins : dans la salle d'à côté, ils ont encore accès au web, et un tunnel SSH plus loin, voici notre solution provisoire opérationnelle. Ici, il est plus utile d'apprendre à contourner les conneries des admins que d'essayer de changer les choses.
De râlerie en râlerie, on finit encore une fois par aller voir les admins directement pour leur secouer les puces. Bon, c'est quoi l'adresse IP de votre machine ? - Euh, ducon, celle qu'on t'as envoyé dans les 3 mails auxquels tu n'as jamais répondu ! - Ah, attendez, je regarde ... ». Il nous laisse poireauter un moment, puis revient avec la solution. « vous avez une adresse IP qui se termine par .2, ça peut pas marcher, il faut que ça soit .10 au moins. - Euh, et par curiosité, on peut savoir pourquoi ? ». Là, le mec prends un aire sérieux, le genre, tu sais, je sais des trucs, mais ... il me dit d'un ton grave « no, no, security reason, man. ».
En fait, la particularité de l'organisation ici, c'est qu'il y a les admins de l'institut, qui n'ont aucun moyen de communication avec les départements qui sont en dessous, donc pour changer quelque chose, le principe, c'est de tout casser, d'attendre que les gens ralent, et quand ils viennent, leur expliquer ce qu'ils doivent changer. Bon, donc, nouvelle politique, il faut des adresses IP supérieures à 10. Chamboulement dans le lab, reconfiguration du routeur, on décide pour des raisons obscures de créer un sous-réseau avec des adresses IP terminant par 128 ou plus. Là, je laisse faire les spécialistes (on a un étudiant bien callé là dessus), ça met du temps, mais on s'en sort. C'est sans surprise, ça ne change rien, toujours la même page, accès interdit.
Re-secouage de puces des admins de l'institut, des profs du département qui s'occupent de ça, « Ah, oui, la nouvelle politique, c'est d'avoir des adresses IP qui terminent par un nombre plus grand que 10, et plus petit que 100. ». Ah, bah c'est une bonne idée de nous dire ça maintenant. Re-changement de toute la config du lab. On arrive à un truc qui correspond à la fameuse politique de l'institut.
La surprise, c'est que ça a presque résolu mon problème. En fait, on a pas un, mais deux proxy, avec du « DNS load-balancing », c'est à dire que normalement, ça prend un coup l'un, un coup l'autre. En choisissant à la main, sur les deux proxy, il y en a un qui m'autorise l'accès (avec un débit du tonnerre, 35 secondes chrono pour charger la page d'accueil de google, alors que sur le même proxy, ça prend une seconde à tout casser depuis la salle d'à côté), et l'autre qui me donne toujours la même page d'erreur.
Re-secouage de puces de nos responsables locaux, au bout de quelques jours, un de profs qui s'occupe de ça m'envoie un mail me disant que normalement ça devrait marcher, et me demandant d'appeler les admins de l'institut. Je les appelle, me fais engueuler parce que je n'ai pas suivi la procédure, que normalement, il faut passer par nos sysadmins locaux. Le coup de fil se termine par une engueulade en règle du mec qui est au bout du fil, qui me promet qu'il me rappelle dans moins d'une heure. Ils me rappellent, si si. Ils me disent qu'ils ont bien réfléchi, et que c'est un problème qui vient de notre département, pas d'eux. Je lui demande si la page « permission denied » est tombée du ciel, il me dit que c'est mon firewall qui m'interdit l'accès. Je lui rappelle quelques bases des réseaux, couche transport, couche application, tout ça, et lui fait remarquer que si son proxy génère la page d'erreur, il doit bien y avoir une ligne dans ses logs. Bon, je vais voir quand mon chef sera là. Je te tiens au courrant.
Dans l'après-midi, donc à peine deux ou trois heures après le coup de fil (ça parait long pour un Verimagien pour résoudre un problème, mais ici, c'est considéré comme immédiat), le réseau est revenu. Ça va vite, ça marche avec les deux proxy, victoire ! Je sort mon plus beau mailer pour les remercier, mais le temps de commencer à écrire le mail, paf, retour à la case départ, plus rien ne marche. Du coup, le contenu du mail n'a pas été aussi courtois et positif qu'il aurait pu l'être, je dois bien l'avouer.
Bon, enfin, finalement, ça fait que 15 jours qu'ils nous ont coupé l'accès au web, et ils commencent déjà à s'occuper du problème. C'est déjà pas mal, non ?
Quand je pense qu'à Verimag, la panne la plus longue que j'ai jamais vu, c'était celle de la machine à café ...
Épisode suivant : l'étudiant m'ayant confirmé qu'il ne pouvait pas accéder à la page, je tente depuis chez moi (fournisseur d'accès privé, extérieur au réseau de l'institut). Le serveur est inaccessible. J'essaye depuis Verimag, aucun soucis. Là, y'a un truc. Ça n'est pas une question d'être à l'intérieur où à l'extérieur du campus, ça n'est pas une question de département. J'en parle à l'««« admin »»» (qui mérite bien trois paires de guillemets) du département qui me dit « euh, bah, je sais pas, http://www.chezmoicamarche.com » un jour, puis « ah ouais, chez moi non plus, ça marche pas » le lendemain. J'emet alors l'hypothèse qu'il y a une règle de firewall quelque part qui dit un truc du genre « accès autorisé si ton addresse IP se termine par un chiffre pair, sauf les jours de pleine lune » (note aux non-informaticiens, les adresses IP, c'est les trucs qui ressemblent à 12.34.56.78).
En fait, je n'y étais pas du tout. La lune n'y est pour rien dans l'histoire. Mais attendez, on en vient au vrai problème du moment (le problème du site web s'étant manifestement résolu en priant Lord Ganesh, ou quelque chose comme ça). Exceptionnellement, les admins nous avaient envoyé un mail avant de tout casser, disants « Bon, on va faire des tests sur le réseau, ça va tout casser entre telle heure et telle heure. ». Ils avaient au moins bon sur un point : ça a tout cassé, à peu près au moment où ils avaient dit, mais depuis ce moment là, le proxy nous rend le web beaucoup plus monotone. En effet, à la place de chaque page web, on a un message nous disant que l'accès est interdit. Même pas avec un fond en couleur comme à ST, c'est dire. Enfin, bon, malins : dans la salle d'à côté, ils ont encore accès au web, et un tunnel SSH plus loin, voici notre solution provisoire opérationnelle. Ici, il est plus utile d'apprendre à contourner les conneries des admins que d'essayer de changer les choses.
De râlerie en râlerie, on finit encore une fois par aller voir les admins directement pour leur secouer les puces. Bon, c'est quoi l'adresse IP de votre machine ? - Euh, ducon, celle qu'on t'as envoyé dans les 3 mails auxquels tu n'as jamais répondu ! - Ah, attendez, je regarde ... ». Il nous laisse poireauter un moment, puis revient avec la solution. « vous avez une adresse IP qui se termine par .2, ça peut pas marcher, il faut que ça soit .10 au moins. - Euh, et par curiosité, on peut savoir pourquoi ? ». Là, le mec prends un aire sérieux, le genre, tu sais, je sais des trucs, mais ... il me dit d'un ton grave « no, no, security reason, man. ».
En fait, la particularité de l'organisation ici, c'est qu'il y a les admins de l'institut, qui n'ont aucun moyen de communication avec les départements qui sont en dessous, donc pour changer quelque chose, le principe, c'est de tout casser, d'attendre que les gens ralent, et quand ils viennent, leur expliquer ce qu'ils doivent changer. Bon, donc, nouvelle politique, il faut des adresses IP supérieures à 10. Chamboulement dans le lab, reconfiguration du routeur, on décide pour des raisons obscures de créer un sous-réseau avec des adresses IP terminant par 128 ou plus. Là, je laisse faire les spécialistes (on a un étudiant bien callé là dessus), ça met du temps, mais on s'en sort. C'est sans surprise, ça ne change rien, toujours la même page, accès interdit.
Re-secouage de puces des admins de l'institut, des profs du département qui s'occupent de ça, « Ah, oui, la nouvelle politique, c'est d'avoir des adresses IP qui terminent par un nombre plus grand que 10, et plus petit que 100. ». Ah, bah c'est une bonne idée de nous dire ça maintenant. Re-changement de toute la config du lab. On arrive à un truc qui correspond à la fameuse politique de l'institut.
La surprise, c'est que ça a presque résolu mon problème. En fait, on a pas un, mais deux proxy, avec du « DNS load-balancing », c'est à dire que normalement, ça prend un coup l'un, un coup l'autre. En choisissant à la main, sur les deux proxy, il y en a un qui m'autorise l'accès (avec un débit du tonnerre, 35 secondes chrono pour charger la page d'accueil de google, alors que sur le même proxy, ça prend une seconde à tout casser depuis la salle d'à côté), et l'autre qui me donne toujours la même page d'erreur.
Re-secouage de puces de nos responsables locaux, au bout de quelques jours, un de profs qui s'occupe de ça m'envoie un mail me disant que normalement ça devrait marcher, et me demandant d'appeler les admins de l'institut. Je les appelle, me fais engueuler parce que je n'ai pas suivi la procédure, que normalement, il faut passer par nos sysadmins locaux. Le coup de fil se termine par une engueulade en règle du mec qui est au bout du fil, qui me promet qu'il me rappelle dans moins d'une heure. Ils me rappellent, si si. Ils me disent qu'ils ont bien réfléchi, et que c'est un problème qui vient de notre département, pas d'eux. Je lui demande si la page « permission denied » est tombée du ciel, il me dit que c'est mon firewall qui m'interdit l'accès. Je lui rappelle quelques bases des réseaux, couche transport, couche application, tout ça, et lui fait remarquer que si son proxy génère la page d'erreur, il doit bien y avoir une ligne dans ses logs. Bon, je vais voir quand mon chef sera là. Je te tiens au courrant.
Dans l'après-midi, donc à peine deux ou trois heures après le coup de fil (ça parait long pour un Verimagien pour résoudre un problème, mais ici, c'est considéré comme immédiat), le réseau est revenu. Ça va vite, ça marche avec les deux proxy, victoire ! Je sort mon plus beau mailer pour les remercier, mais le temps de commencer à écrire le mail, paf, retour à la case départ, plus rien ne marche. Du coup, le contenu du mail n'a pas été aussi courtois et positif qu'il aurait pu l'être, je dois bien l'avouer.
Bon, enfin, finalement, ça fait que 15 jours qu'ils nous ont coupé l'accès au web, et ils commencent déjà à s'occuper du problème. C'est déjà pas mal, non ?
Quand je pense qu'à Verimag, la panne la plus longue que j'ai jamais vu, c'était celle de la machine à café ...
Commentaires
1. Le vendredi 22 septembre 2006 à 10:04, par lagon
2. Le vendredi 22 septembre 2006 à 11:12, par G
3. Le vendredi 22 septembre 2006 à 12:18, par nico l'ancien
4. Le vendredi 22 septembre 2006 à 12:53, par Matthieu
5. Le vendredi 22 septembre 2006 à 15:26, par Matthieu
6. Le lundi 25 septembre 2006 à 10:56, par Mireille
7. Le mardi 26 septembre 2006 à 03:31, par Matthieu
8. Le jeudi 28 septembre 2006 à 11:07, par joan
9. Le jeudi 28 septembre 2006 à 11:16, par Melle Watson
10. Le jeudi 28 septembre 2006 à 12:12, par Matthieu
11. Le dimanche 1 octobre 2006 à 12:50, par Joan
12. Le lundi 2 octobre 2006 à 06:20, par Matthieu Moy
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.
Navigation
<< Bon anniversaire ! - Apprenons à reconnaître les langues locales ... >>