Journal Windows 7 fait des tunnels IPV6 automatiques oO ?

Posté par .
8
8
sept.
2011

Bonjour les gens !

Ce soir je jouais un peut avec mon serveur et je me rendis compte - ho grande tristesse - que mon tunnel IPV6 de ma machine Windows vers mon serveur linux était cassé et hop, aplu IPV6.

Je fessait donc mumuse et j'ai éteins mon vpn qui fait le tunnel (tinc) un moment, comme ça hop, plus d'ipv6. Et bien non :D Étonnamment ça pingait toujours. Avec un ping énorme, mais j'avais une ipv6 externe et 10/10 2 fois au test-ipv6.com.

En wiresharquant un coup, voila ce qui se passe. J'ai fait un

ping -6 www.theglu.org

  • Windows résous le dns en ipv6, joie.
  • Il envoie un packet empaqueté à 94.245.121.251 'bonjour, j'aimerais faire un tunnel'
  • Je reçoit un paquet de 94.245.121.251 avec du blabla ipv6 et une ip 217.31.204.152
  • Mes packets de ping sont envoyés à la dite ip, qui me répond. Et ça ping. Wireshark comprend pas le format du packet, mais on voit les données du ping (abcde...) dedans.

Screenshoot:

Un petit whois sur les ips ?

94.245.121.251 = "Microsoft Limited"
217.31.204.152 = "Top level domain .CZ Operations"

Par contre, dès que j'active mon tunnel à moi, il fait tout passer par là. Encore heureux.

Au niveau d'ipconfig, y'a un

Carte Tunnel Teredo Tunneling Pseudo-Interface :

   Suffixe DNS propre à la connexion. . . :
   Adresse IPv6. . . . . . . . . . . . . .: 2001:0:5ef5:79fb:3ce5:e051:2a04:574d

tracert avec mon tunnel, ensuite sans:

C:\Users\Maximilien>tracert -6 www.theglu.org

Détermination de l'itinéraire vers www.theglu.org [2001:41d0:1:2fb2::1]
avec un maximum de 30 sauts :

  1   341 ms  1012 ms  1012 ms  2001:41d0:1:2fb2::1

Itinéraire déterminé.

C:\Users\Maximilien>tracert -6 www.theglu.org

Détermination de l'itinéraire vers www.theglu.org [2001:41d0:1:2fb2::1]
avec un maximum de 30 sauts :

  1   189 ms    35 ms    38 ms  2001:1488:800:400::152
  2    46 ms    38 ms    38 ms  2001:1488:800:400::ffff
  3   119 ms    57 ms    77 ms  2001:1528:1:a001::1
  4   116 ms    55 ms    53 ms  2001:1528:1:10:226:8800:5f20:47c0
  5   133 ms   118 ms    74 ms  ldn-ipv6-b1-link.ipv6.telia.net [2001:2000:3080:
7::1]
  6    95 ms    96 ms    93 ms  mad-b2-v6.telia.net [2001:2000:3018:46::1]
  7   102 ms   103 ms   100 ms  ovh-ic-137242-mad-b1.c.telia.net [2001:2000:3080
:c1::2]
  8    89 ms    88 ms    86 ms  gsw-2-6k.fr.eu [2001:41d0::711]
  9    94 ms    99 ms    99 ms  p19-7-6k.fr.eu [2001:41d0::5d1]
 10    85 ms    80 ms    83 ms  2001:41d0:1:2fb2::1

Itinéraire déterminé.

Ouate the phoque ?

Avec un peut de googlage, c'est le client teredo tout totomatique de windows qui se fait le plaisir de relayer mes paquets. Ha bon.

Donc Windows, si on lui demande rien, fait transiter vos paquets IPV6 sur une ip bizarre en République tchèque. Hara.

  • # A noter que c'est désactivable quand même.

    Posté par . Évalué à 1.

  • # C'est couillu! :O

    Posté par . Évalué à 6.

    Ça veut dire que tout le trafic IPv6 en provenance des Windows Seven pour lesquels le FAI ne fournit pas d'IPv6 (ce qui fait quand même pas mal de monde) va passer par une (des?) IP de Microsoft en République Tchèque? o_O

    C'est risqué de leur part, non? Si quelques services gourmands en bande passante (disons: Facebook, Youtube, Google..) se mettent à activer IPv6 par défaut, il va falloir que les machines de Microsoft derrière ces IP, ainsi que le réseau, tienne la montée en charge brutale.

    Avec le risque, en cas de fort ralentissement, que les services en question donnent l'impression d'être en panne: résolution IPv6 du service, passage par le tunnel et.. longue attente.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: C'est couillu! :O

      Posté par . Évalué à 4.

      Ça veut dire que tout le trafic IPv6 en provenance des Windows Seven pour lesquels le FAI ne fournit pas d'IPv6 (ce qui fait quand même pas mal de monde) va passer par une (des?) IP de Microsoft en République Tchèque? o_O

      Il ont dû se dire que coller leur datacenters pour ce bousin en République Tchèque allait leur faire économiser un max en ingénieurs, techniciens et charges sociales.

      C'est risqué de leur part, non?

      Un risque calculé à n'en point douter...

    • [^] # Re: C'est couillu! :O

      Posté par . Évalué à 10.

      Ça veut dire que tout le trafic IPv6 en provenance des Windows Seven pour lesquels le FAI ne fournit pas d'IPv6 (ce qui fait quand même pas mal de monde) va passer par une (des?) IP de Microsoft en République Tchèque? o_O

      Non, ca commence par contacter teredo.ipv6.microsoft.com (avec au moins 4 IPV4 derriere, dont 94.245.121.251-3), qui va (entre autres) renvoyer l'ip d'un relay Teredo.

      En l'occurence un des teredo relay les plus proches dans le cas de l'auteur du journal se trouve en republique tcheque, mais il y en a d'autres dans le monde (et tu peux monter toi meme tes propres relay & servers et tester le tout avec Miredo sous Linux/BSD puis pointer Windows vers ton server teredo).

      Pour plus d'info, voir cette presentation, page 26 et suivantes.

      • [^] # Re: C'est couillu! :O

        Posté par . Évalué à -6.

        Tout ça se passe avec une ip française, pas tcheque :D

        • [^] # Re: C'est couillu! :O

          Posté par . Évalué à 3.

          Toi tu comprends pas tout au réseau.

          • [^] # Re: C'est couillu! :O

            Posté par . Évalué à -1.

            Ce que je veux dire, c'est que l'ip avec la quelle est contacté le serveur MS est une ip française, avec les bases de localisations qui la foutent en france. Y'a des relais teredo plus proches...

      • [^] # Re: C'est couillu! :O

        Posté par (page perso) . Évalué à 4.

        Tiens ça me donne une idée pour récupérer 2-3 mots de passes à l'université du coin..

    • [^] # Re: C'est couillu! :O

      Posté par . Évalué à 6.

      Ça veut dire que tout le trafic IPv6 en provenance des Windows Seven pour lesquels le FAI ne fournit pas d'IPv6 (ce qui fait quand même pas mal de monde) va passer par une (des?) IP de Microsoft en République Tchèque? o_O

      C'est risqué de leur part, non? Si quelques services gourmands en bande passante (disons: Facebook, Youtube, Google..) se mettent à activer IPv6 par défaut, il va falloir que les machines de Microsoft derrière ces IP, ainsi que le réseau, tienne la montée en charge brutale.

      Avec le risque, en cas de fort ralentissement, que les services en question donnent l'impression d'être en panne: résolution IPv6 du service, passage par le tunnel et.. longue attente.

      C'était un des buts de l'IPv6 day: tester la qualité de service des gens utilisant des (techno de) tunnels pourris, succeptibles d'entrainer une très mauvaise experience utilisateur.

  • # chauve

    Posté par . Évalué à -3.

    la réforme de l'orthographe, quelle plaie !

  • # Fesser ?

    Posté par . Évalué à 10.

    Je fessait donc mumuse

    Panpan sur le cucul de Mumuse, la pauvre.

    The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.