Journal : Nouveautés ipv6 chez Free
Posté par Pascal Terjan (Jabber id, page perso, ) le 16 mars 2008
Aujourd'hui après avoir rebooté ma freebox pour prendre en compte un changement dans la configuration DHCP, j'ai eu une surprise : J'avais 2 ipv6 sur mes machines.
Free a donc visiblement commencé à annoncer des préfixes sur leur /26 (2a01:e00::/26 FR-PROXAD-20080121 qui va remplacer le /32 précedent, 2a01:5d8::/32 FR-PROXAD-20071108).
La bonne nouvelle c'est un petit changement dans les préfixes annoncés, même si ca reste des /64 :
Donc l'ipv4 a été décalée de 4 bits vers la gauche, ce qui signifie qu'il y a maintenant un /60 par ipv4 !
Un test rapide par un copain indique que tout le /60 est bien routé vers ma freebox.
Il reste à savoir comment ça sera géré, mais ça va faire plaisir aux gens qui ont un routeur derrière la freebox.
Free a donc visiblement commencé à annoncer des préfixes sur leur /26 (2a01:e00::/26 FR-PROXAD-20080121 qui va remplacer le /32 précedent, 2a01:5d8::/32 FR-PROXAD-20071108).
La bonne nouvelle c'est un petit changement dans les préfixes annoncés, même si ca reste des /64 :
2a01:5d8:52e5:d052::/64 (ancien)
2a01:e35:2e5d:520::/64 (nouveau)
Donc l'ipv4 a été décalée de 4 bits vers la gauche, ce qui signifie qu'il y a maintenant un /60 par ipv4 !
Un test rapide par un copain indique que tout le /60 est bien routé vers ma freebox.
Il reste à savoir comment ça sera géré, mais ça va faire plaisir aux gens qui ont un routeur derrière la freebox.
> Lire le journal (49 commentaires, moyenne: 3,4).
Vous avez demandé le commentaire #914296.
Run by 
Cette page a été générée par Templeet en 0.0966s (dont 0.0155 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
toujours pas de firewall ?
l'ipv6 c est bien mais sans firewall c est pas top.
avec l'ipv4 y'avait le NAT qui permettait de proteger notre réseau privé ... mais avec l'ipv6 y'a rien ...
a quand le firewall ipv6 dans la freebox ?
scooba : herbergeur alternatif gratuit
[^]Re: toujours pas de firewall ?
La freebox est par défaut (= comme ça chez 90% des gens qui n'ont jamais osé changer) en mode bridge, donc ton ordi est "directement" connecté au net, sans NAT. Pourtant, ça a l'air de déranger personne. Et tu sais quoi ? C'est peut-être justement parce que c'est ce que tout le monde veut, et que si on pouvait connecter plusieurs bécanes derrière sa freebox sans NAT, ce serait génial : c'est ce qu'offre IPv6.
[^]Re: toujours pas de firewall ?
ce que tu dis, et ce qu'il dit n'est pas du tout incompatible :
il dit "il est possible d'avoir un firewall basique sur ipv4 par le biais du NAT. Ca serait bien d'avoir aussi un firewall pour ipv6 au niveau de la freebox".
jusqu'ici mettre un firewall en "tête de pont" est tout a fait courant.
Tu dis "Le nat n'est pas activé par défaut". Ce qui est vrai, mais n'empeche pas qu'il existe. Et avoir un VRAI firewall sur sa freebox serait un plus intéressant, non ?
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: toujours pas de firewall ?
Oui ça serait effectivement intéressant : je ne savais pas que Free ne proposait aucune option "basique" pour interdire les connexions entrantes par exemple. C'est vrai que ça pourrait être utile.
[^]Re: toujours pas de firewall ?
Y'a le blocage du ping je crois, et puis, bah c'est tout.
[^]Re: toujours pas de firewall ?
Dans le genre truc bien inutile ....
Je vois bien un kevin raconter "Ouai, j'ai bloqué les ping vers ma connexion, comme ca je suis invisible depuis le réseau !"...
[^]Re: toujours pas de firewall ?
Une autre question qui me trote : les firewalls et autres anti-virus de l'os de redmond sont-ils suffisaments testés avec IPv6 pour être considéré comme fiable? Le gèrent-t-ils seulement?
Pour l'instant, je ne mettrais personne sous Windows en IPv6, pas avant 2 ans je dirais. Mais si certains ont des retours, cela m'intéresse.
[^]Re: toujours pas de firewall ?
Je suis t'a fait d'accord avec toi (et je comprend pas ton moinsage).
Il faut mieux mettre un firewall sur le point d'entrée que se reposer sur la configuration de chaque machine (d'autant plus qu'on peut vouloir autoriser des données à circuler sur le réseau local, sans qu'elles en sortent).
Au passage avec l'ipv6 on nous vante la fin les problème propre au nat. Mais bon par exemple pour sip, si le routeur a un parfeu qui bloque les flux entrant qu'on soit en ipv4 ou ipv6, on aura toujours besoin de truc comme stun ?
[^]Re: toujours pas de firewall ?
C'est pour ça que l'IETF demande de bien réfléchir à cette politique maintenant quasi universel de filtrer l'entrant et de faire de se reposer sur des capacités stateful pour ouvrir les ports qui vont bien à la suite d'une connexion sortante.
Si, comme l'espère l'IETF (et moi), IPv6 permet de rétablir la transparence d'adresse (que certains pourront assimiler à la net neutrality), il faut repenser un certain nombre de façon de faire. Alors ça peut passer par des configurations types sur ta freebox (et hop, je coche VoIP et c'est parti) ou du hole punching ou je sais pas quoi mais ce sera clairement pas trivial.
http://www.ietf.org/rfc/rfc4924.txt
http://www.ietf.org/rfc/rfc2775.txt
vjm
[^]Re: toujours pas de firewall ?
SIP utilise le p2p pour gagner en latence en évitant de passer par un ou plusieurs serveurs. Cela marche très bien avec des IP publics ou des adresses NATées bien configurées. Mais pose des problèmes dès qu'il y un firewall, ce qui notament le cas pour la NAT.
Maintenant les latences diminuent doucement, plus doucement que l'augmentation des débits, c'est dommage. Mais les fibrés doivent gagner pas mal je pense. Quand la latence sera partout basse, SIP sera un protocole utilisant mille remèdes pour rien.
J'annonce pas la mort de SIP, il est trop implémenter chez les industriels pour mourir comme ça. Mais son champs d'action se limitera aux réseaux privés tout en restant aussi galère ^^. Les connexions client<->serveur<->serveur<->client (comme XMPP par exmple)sont bien plus adaptés aujourd'hui avec les performances allant croissantes. Elles permettent une gestion plus fine de la sécurité (contrôle d'accès, authentification, etc...). Ce mode de connexion client<->serveur<->serveur<->client devrait être utiliser partout où il y a communication entre deux clients, je pense notament aux emails (ce qui éviterai pas mal de spams ou de tentative de pishing) et à la VoIP/ToIP/MoIP.
Jabber est la bonne voie ^^.
KiKouN, Bucheron-Geek
[^]Re: toujours pas de firewall ?
tu parle bien de SIP et non pas de SKYPE ?
C'est la première fois que j'entend dire que SIP repose sur du P2P .
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: toujours pas de firewall ?
Bin SKYPE ou SIP, c'est pareil. Et il ne faut pas entendre p2p comme emule mais bien comme pair à pair.
SIP ne sert qu'à initier une connexion RTP entre les deux clients voir une connexion client-serveur-client en passant par stun soit en dialogant directement entre les deux clients soit en passant par un ou deux serveurs avant. On se retrouve bien à la fin avec une connexion pair à pair. Skype utilise le même principe.
Il est vrai que SIP en lui même n'est pas du pair à pair, mais il permet bien d'établir une connexion p2p en RTP.
KiKouN, Bucheron-Geek
[^]Re: toujours pas de firewall ?
SIP, comme Skype, n'utilisent le coeur du réseau que pour la signalisation, et laisse la voix passer de client (peer) à client (--> P2P)
Skype : Voix et Signalisation en P2P
SIP : Voix par P2P, signalisation centralisée.
SIP et une peu comme Bittorrent : faut un truc central, mais le contenu n'est pas centralisé.
Skype est comme Kamdelia (le reseau décentralisé d'Emule) : pas besoin de truc central (juste que Skype controle le P2P de signalisation quand même...)
[^]Re: toujours pas de firewall ?
SIP ... ne traite pas les données!
C'est RTP qui le fait.
SIP = Session Initiation Protocol .
C'est la partie signalisation seulement.
Le fait est que SIP passe justement par des serveurs pour trouver les clients, et qu'ensuites ils établissent un/des canal(ux) RTP/RTCP entre eux.
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: toujours pas de firewall ?
Oui, je parlais de SIP vu par Mr tout le monde : "le truc pour appeler".
et Mr tout le monde, son objectif est d'appeler, pas d'initier la communication :).
Et dans ce sens, SIP "permet" (mot mieux adapté?) la partie "data" d'être en P2P (par RTP etc...), tu ne vois pas la donnée (ta parole) passer par un serveur.
[^]Re: toujours pas de firewall ?
Les connexions client<->serveur<->serveur<->client (comme XMPP par exmple)sont bien plus adaptés aujourd'hui avec les performances allant croissantes.
Tu penses sérieusement que passer par deux nœuds supplémentaires permet de réduire la latence?
Par design, client<->client (P2P) est plus rapide que client<->serveur<->serveur<->client, rien qu'en regardant le dessin!
Le P2P est bien plus adapté aujourd'hui qu'un truc centralisé.
[^]Re: toujours pas de firewall ?
suffit que tu ais un lien de peering entre les deux serveurs, et que chacun des clients aient une grosse connection sur leur serveur respectif, mais une petite entre eux, et le design plus rapide "rien qu'en regardant le dessin" est plus lent en réalité.
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: toujours pas de firewall ?
C'est du design réseau, plus du design protocolaire...
IP est basé sur l'utilisation de plusieurs routes en prenant la plus rapide pour arriver où tu veux, dans le sens du P2P et non pas centralisé.
[^]Re: toujours pas de firewall ?
Non biensûr, passer par des noeuds supplémentaire augmente la latence entre deux pairs. Mais la latence diminuant, on peut se permettre de passer par des noeuds supplémentaire pour gagner en sécurité et autres. On n'a pas vraiment besoin de latence 0 même si c'est l'idéal.
En entreprise, on passe souvent par des serveurs en DMZ pour réguler le trafic à la sortie du lan (Proxy, smtp ...). Pour le firewall, à la sortie du LAN, la régle est simple, on ne laisse passer que le trafic pour ces serveurs. Je ne parle ici que du niveau firewall puisque c'est le sujet mais l'on gagne sur d'autre point.
Le p2p est utilisé ici pour gagner en latence. Le deuxième avantage du p2p est de gagner en débit. Un serveur ne pouvant en général pas gérer le débit maximum que peuvent produire un nombre important de client (500 clients 20Mb pouvant par exemple saturer un serveur en 10Gb). Pour ce cas, le p2p sera toujours plus rapide que cette solution, les débits clients augmentant de façon plus ou moins parallèle que ceux des serveurs.
KiKouN, Bucheron-Geek
[^]Re: toujours pas de firewall ?
Pour commencer, SIP propose d'établir une session RTP entre 2 pairs et de faire en sorte que cette session RTP passe par aucun ou quelques ou tous les serveurs qui ont été contactés lors l'établissement de la connexion. Donc dire que SIP est mal conçu c'est être à côté de la plaque car il a été conçu pour justement s'adapter à tous les cas.
Ensuite, quelle est la meilleure architecture pour SIP ? Avec ou sans serveurs intermédiaires ? Bhen ça dépend. Je peux vous trouver autant de cas qui nécessitent de passer par des serveurs intermédiaires (parcage d'appel, MéVo, transcodage, passerelles vers RTC, ...) que de cas qui nécessitent de passer par du direct poste à poste (économie BP si serveur hors site, gestion des services par les postes eux-mêmes, éviter de surcharger les serveurs centraux, ...). Internet n'est pas le seul réseau informatique au monde. Les réseaux en entreprise peuvent regrouper des centaines de milliers de machines également, avoir des architectures et des besoins très différents.