L'IPv6 débarque chez FDN

Posté par  . Modéré par Mouns.
Étiquettes :
31
22
jan.
2009
Internet
Depuis le temps qu'on l'attendait, il arrive enfin : un accès « natif » en IPv6, avec un préfixe /48 par utilisateur, pour les abonnés ADSL de chez FDN !

Pour ceux qui ne le connaissent pas encore, French Data Network est une association de loi 1901 qui a pour but la promotion, l'utilisation et le développement des réseaux Internet et Usenet. Il a été créé en 1992 et offrait à l'époque différents services liés à ces réseaux informatiques. Plus tard est arrivé un service de connexion à Internet par réseau RTC, et depuis septembre 2005 par ADSL.

Le service de FDN est différent des autres fournisseurs d'accès à Internet car ses « abonnés » ne sont pas des clients, mais des membres à part entière de l'association. Elle se base sur l'entraide et l'engagement de ses membres dans le fonctionnement de l'association et de son infrastructure. FDN n'a pas de visées commerciales, et ses membres ne sont pas des numéros !

L'accès ADSL fonctionne depuis le début en IPv4, mais depuis quelques temps il était question d'y adjoindre l'IPv6 car le fournisseur de FDN, Gitoyen, dispose depuis l'année dernière d'un fournisseur de transit IPv6. Après un petit temps de mise en place, l'accès fonctionne aujourd'hui pour tous ceux qui le souhaitent (une demande d'activation est nécessaire pour l'instant).

Contrairement à la mise en œuvre actuelle de l'IPv6 chez Free, utilisant 6rd, FDN offre à ses abonnés une connexion native. Cela veut dire que l'abonné route son trafic directement en IPv6 à travers PPP, et que les serveurs de FDN sont connectés à un fournisseur de transit IPv6. Chez Free, la Freebox crée une sorte de tunnel 6to4 pour traverser son infrastructure qui est seulement en IPv4, jusqu'au POP qui fera ressortir le trafic en v6.
Chaque abonné se voit proposer un /48, c'est à dire qu'il dispose de 2^80 adresses pour organiser son propre réseau ! En pratique, cela veut dire qu'on peut se créer un ou plusieurs réseaux locaux chez soi, où les machines pourront s'auto-configurer. En effet, en IPv6, plus besoin de DHCP : on peut par exemple demander à son routeur de créer un sous-réseau Ethernet en /64 par exemple, où il diffusera un sous ensemble du préfixe attribué par FDN (ils sont de la forme 2001:910:(1000 + les derniers 10 bits de l'adresse IPv4 actuelle de l'abonné)::/48). Les machines présentes sur ce segment découvriront alors automatiquement le préfixe et s'attribueront une adresse, tout ça en utilisant ICMPv6.

Vous pourrez alors admirer la tortue dansante de http://www.kame.net/ ou faire vos recherches sur http://ipv6.google.com/. Merci à Mat, Dominique, Benjamin et tous les autres pour leur travail dans cette formidable aventure qu'est FDN.

Aller plus loin

  • # Merciiiiiiiiiiiiiiiiiiii !

    Posté par  (site web personnel) . Évalué à 5.

    FDN, je vous aime !

    Quand je pense qu'il y a quelques heures, je postais encore ici même, pour expliquer qu'FND, certes, mais IPv6… Bon, et bien c'est décidé, comme je déménage dans quelques mois pour m'établir à mon compte, je signe chez FDN !

    Pour avoir utilisé un réseau étudiant associatif, puis un réseau de FAI : même si les réseaux associatifs sont moins « professionnels », et peuvent avoir de temps en temps des problèmes, au moins, on n'y est pas un numéro, on y est tenu au courant, aidé… Ça a l'air de rien, mais ça fait une différence énorme, à l'utilisation. Pas plus tard qu'hier, ma connexion ADSL chez Huit déconnait complètement : pensez-vous qu'ils m'ont tenu informé du fait que c'était leur DSLAM qui avait besoin d'être changé, qu'un type avait marché sur la fibre ? Rien du tout, je suis un numéro, tant que je ne me plains pas, NaDa.
  • # Modem routeur

    Posté par  (site web personnel) . Évalué à 3.

    Bon, je vais m'abonner chez FDN, ça, je l'ai déjà dit. Il va me falloir un modem et un routeur IPv6 décent. Donc questions :
    - OpenWRT peut-il exécuter radvd ?
    - Que me conseilleriez-vous comme tout petit ordinateur, disposant d'un modem ADSL2+, de quelques ports et d'un commutateur Ethernet interne (et c'est tout, je n'ai pas besoin d'établir de connexion micro-onde), c'est à dire ce qu'on appelle un « modem routeur »), pour y faire tourner OpenWRT ?
    • [^] # Re: Modem routeur

      Posté par  (site web personnel) . Évalué à 3.

      > Bon, je vais m'abonner chez FDN, ça, je l'ai déjà dit. Il va me falloir un modem et un routeur IPv6 décent. Donc questions :
      > - OpenWRT peut-il exécuter radvd ?

      Oui. Perso je l'ai recompilé à la mano mais il doit exister des packages :)

      > - Que me conseilleriez-vous comme tout petit ordinateur, disposant d'un modem ADSL2+, de quelques ports et d'un commutateur Ethernet interne (et c'est tout, je n'ai pas besoin d'établir de connexion micro-onde), c'est à dire ce qu'on appelle un « modem routeur »), pour y faire tourner OpenWRT ?

      Moi j'utilise simplement ma fonera branchée sur mon bewan. Il a fallu que je recompile pppd pour y activer l'ipv6, mais sinon les modules ipv6 et ip6tables sont dispo chez gcd.org/fonera.
    • [^] # Re: Modem routeur

      Posté par  . Évalué à 4.

      Mes recherches pour aboutir à un boîter bien personnalisable tout en un (modem, router, switch, wifi, firewall, etc.) n'avaient abouti à rien il y a deux ans. En particulier, si tu veux mettre de l'OpenWRT ou assimilé, il fallait plutôt se tourner vers Linksys et les seuls modèles qui intègrent directement un modem ADSL2+ utilisent des chipsets pour lesquels il n'y a pas de drivers disponibles pour Linux (ni pour autre chose).

      Si tu veux vraiment du tout en un bien puissant, je te conseille de regarder du côté de Soekris et compagnie en trouvant une carte ADSL2+ PCI à ajouter à la bestiole. Il y en a qui sont supportées sous Linux (et même parfois sous BSD) mais pas forcément facile à trouver ni à un prix abordable.

      Le plus simple, c'est de monter une solution à deux boîtiers avec par exemple ta box à tout faire (avec carrément un OS complet et pas un OpenWRT & co) simplement branchée à un modem ADSL2+ externe (de préférence via Ethernet).

      Sinon OpenWRT propose un bon petit tuto concernant la configuration IPv6, y compris l'installation et la configuration de radvd : http://wiki.openwrt.org/IPv6_howto
      • [^] # Re: Modem routeur

        Posté par  (site web personnel) . Évalué à 2.

        Tu a réussi a installer l'iIP6 sur ton LAN ?
        Perso, j'ai suivi le tuto que tu indique. Je me connecte bien en ipv6 au net depuis de routeur. Radvd fonctionne parfaitement (radvdump). Les interfaces de mon pc sont configurées en ipv6, mais il n'arrive pas a dialoguer IPv6 avec mon routeur. Je pense que ma table de routage n'est pas bonne, mais je trouve que les indications sur le net ne sont jamais claires dans leurs exemples : quelle adresse correspond a qui, sur quelle machine on exécute telle ligne de commande...
      • [^] # Re: Modem routeur

        Posté par  (site web personnel) . Évalué à 4.

        Ben j'utilise depuis 2 ans chez FDN un modem-routeur linksys ADSL2+ : adsl2mue.
        En fait c'est un modem-routeur ADSL2+ à base d'AR7, comme la plupart des modem-routeurs ADSL d'entrée de gamme.
        Je l'ai mis sous openwrt depuis le début, en utilisant le trunk de Kamikaze, où le support de l'AR7 était alors expérimentale. Je l'ai reflashé plusieurs fois depuis avec des versions plus à jour du trunk, et ça tourne parfaitement bien, tout est supporté sans blob.
        Le driver AR7 est pas entièrement in-tree dans Linux (mais il est dans openwrt), parce qu'il est sale, mais il fonctionne bien.
        Je l'utilise également depuis longtemps en 6to4 + radvd, et il faudrait que je le reconfigure pour utiliser l'IPv6 natif maintenant, mais j'avoue j'ai la flemme :) .
        En tout cas, les modem-routeurs AR7 fonctionnent très bien sous openwrt.
    • [^] # Re: Modem routeur

      Posté par  . Évalué à 4.

      Moi j'ai choisi la solution routeur (non-modem) sous OpenWRT avec modem ADSL2 séparé en ethernet.

      OpenWRT contient tout ce qu'il faut pour faire de l'IPv6, au moins dans la dernière RC, la 8.09 (moi j'utilise le trunk). Un petit :
      opkg install kmod-ipv6 radvd ip6tables
      et t'as tout les softs nécessaires. Il faut encore bidouiller un tout petit peu pour la conf (i.e. la faire à la main, mais c'est pareil sous Debian), mais je comptais essayer d'arranger ça en envoyant un patch ...
    • [^] # Re: Modem routeur

      Posté par  . Évalué à 2.

      - OpenWRT peut-il exécuter radvd ?
      ddwrt / Openwrt supportent ipv6
      quant à radvd, c'est pas une obligation. l'ipv6 se configure aussi en statique. (sauf problème avec les tun 6to4 ou le subnet changera avec l'ipv4)
  • # FDN ?

    Posté par  . Évalué à 5.

    Jusqu'à maintenant, je n'avais aucune idée de l'existence de FDN ni d'une telle association. Je ne pensais même pas qu'une association pouvait faire ça et ça à l'air très intéressant.

    Par contre, j'aime bien savoir comment les choses fonctionnent du coup, j'ai rapidement parcouru le site de FDN pour essayer de comprendre le pourquoi du comment. Donc j'ai appris qu'il s'agissait d'une association loi 1901 mais je n'ai pas vu comment l'activité de l'association est possible.

    Du coup ma question est, comment vous faites ? Comment devient-on fournisseur d'accès Internet ?

    J'ai vu que concernant l'ADSL vous êtes en relation avec un opérateur (Neuf-Cégétel (SFR maintenant non ?)). Donc je présume qu'en gros vous achetez de la bande passante à cet opérateur à un prix de gros et ensuite cette bande passante est redistribuée aux membres...

    En tout cas, le but de l'association m'intéresse particulièrement car étant moi même étudiant en Licence pro Réseaux et Télécom. ça permet d'apprendre pas mal de choses...
    • [^] # Re: FDN ?

      Posté par  . Évalué à 4.

      Doit y avoir quelques réponses par là : http://www.fdn.fr/ISP-Howto.html
      • [^] # Re: FDN ?

        Posté par  (site web personnel) . Évalué à 1.

        J'ai parcouru un peu le site de FDN, pour en savoir plus sur ce qu'il font, par rapport à l'environnement structurel et économique actuel : c'est intéressant mais il est plus du tout à jour, c'est dommage, les dernières infos datent de 2006, et beaucoup de choses ont changé depuis. L'onglet FTTH, par exemple, ou les infos sur les opérateurs qui dégroupent totalement... Pour que des nouveaux arrivants motivés par l'associatif puissent arriver en connaissance de cause, il faudrait que ce soit toiletté un peu, je pense.
        • [^] # Re: FDN ?

          Posté par  (site web personnel) . Évalué à 1.

          et inversement :) pour que les infos du site soient à jour, il faut des membres motivés, et l'info disponible ;)

          ... FDN fonctionne surtout sur le principe de la do-ocratie ... et comme on n'a pas trop avancé récemment sur le projet FTTH ...

          bein on attend un peu d'aide des linuxfriens (nombreux chez FDN par ailleurs, logique ...) pour faire avancer ce projet ;)
    • [^] # Re: FDN ?

      Posté par  (site web personnel) . Évalué à 3.

      Sinon si comme moi tu habites dans un autre pays et aucune association de ce type n'existe, tu peux aussi te tourner vers un tunnel, tu peux meme faire de l'ipv6 sur ton reseau local pour tester et comprendre les mecanismes de RA et autres joies du multicast.

      D'ailleurs au sujet du tunnel, j'aimerais signaler l'ouverture d'un point d'acces Francais ouvert tres récemment : http://www.sixxs.net/pops/jaguar/
    • [^] # Re: FDN ?

      Posté par  (site web personnel) . Évalué à 8.

      Comment ? Tu ne connaissais pas FDN ? C'est pas faute pourtant d'avoir laissé traîner le lien
      http://faq.tuxfamily.org/InternetLibre_ou_Minitel_2.0/Fr
      avec la vidéo et une transcription texte d'une conférence de Benjamin Bayart (président de FDN) aux RMLL 2007.

      Si tu as 45 minutes devant toi, c'est très intéressant et revient sur les fondamentaux d'Internet (notamment avec un focus en France, mais cela reste applicable à d'autres pays).
  • # Orange et SFR?

    Posté par  . Évalué à 0.

    Bon ils font quoi là?
    Car aucune news relative à IPv6.
    Ils vont se décider ou ils vont rester à boulet land? Au moins qu'ils communiquent dessus bon sang!
    Si Orange et SFR(neuf) déploient de l'IPv6 natif, même à la Free par un tunnel, et bien ça va donner un sacré coup de boost.
    • [^] # Re: Orange et SFR?

      Posté par  (site web personnel) . Évalué à 2.

      >ça va donner un sacré coup de boost.

      ca va booster quoi ?
    • [^] # Re: Orange et SFR?

      Posté par  . Évalué à 8.

      Bon ils font quoi là?
      ils fournissent un abonnement ADSL à madame Michu qui se contrefout de l'IPv6.
      • [^] # Re: Orange et SFR?

        Posté par  (site web personnel) . Évalué à 2.

        IPv6 n'a plus besoin de NAT, et ça va lui faire plaisir à Michu je pense.
        • [^] # Re: Orange et SFR?

          Posté par  . Évalué à 4.

          à son petit neveu qui lui installe l'informatique, peut-etre

          madame Michu elle tape pas des ip dans sa barre d'URL..
          • [^] # Re: Orange et SFR?

            Posté par  . Évalué à 4.

            J'ai failli dire un truc comme ça, puis je me suis dit que ça devait être du second degré, et que madame Michu serait ravie d'apprendre qu'avant, elle avait des nattes.

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Orange et SFR?

            Posté par  (site web personnel) . Évalué à 2.

            Utiliser MSN derrière du NAT, c'est un transfert de fichier bridé à 4 Ko/sec (la dernière fois que j'avais testé) car il utilise un proxy HTTP chez Microsoft. Il y a aussi les logiciels de P2P (BitTorrent, eMule, etc.) qui n'aiment pas le NAT.

            Même en se passant complètement du NAT (on peut toujours rêver), ça ne va pas résoudre tous les problèmes. Certains protocoles réseaux échangent des adresses IP dans les couches OSI > 4 (ex: couche 7 pour FTP), ce qui emmerde beaucoup l'admin qui veut les filtrer proprement.
            http://fr.wikipedia.org/wiki/Protocole_réseau_passant_difficilement_les_pare-feu
            • [^] # Re: Orange et SFR?

              Posté par  . Évalué à 2.

              madame Michu se fout de ce qu'est le NAT, même si tu lui expliques. limite si elle va pas regarder sa montre pendant ce temps-là.

              madame Michu elle appelle "Internet" l'icone de Firefox et IE, et "Mail" les icones de Outlook (Express), Thunderbird, et les webmail de Yahoo et autres Google.

              madame Michu elle sera contente si tu lui répares le truc qui est tombé en panne et qu'elle était tout affolée, ou si tu fais un peu le ménache sur son poste et que ça aille un peu plus vite ou qu'il y ait moins de bordel sur son bureau, enfin que sa situation soit moins pire qu'avant, en gros.

              madame Michu elle vient à peine de se convaincre de l'utilité d'un antivirus et des sauvegardes à force de se faire traumatiser et de subir quelques graves incidents.

              alors après, un firewall, un antispyware, ou du NAT...
              • [^] # Re: Orange et SFR?

                Posté par  (site web personnel) . Évalué à 2.

                des sauvegardes à force de se faire traumatiser et de subir quelques graves incidents.

                Ta Mme Michu est déjà vachement évoluée quand même.
                • [^] # Re: Orange et SFR?

                  Posté par  . Évalué à 2.

                  elle commencait, sauf que c'est là que quelque chose que j'ai pas pu déterminer avec certitude (probleme electrique, surchauffe, virus destructeur...) a décidé de fusiller ou vider toutes ses partitions windows (MFT et tables d'allocations des fichiers parties en très long voyage). récupérées avec TestDisk et un backup fait dans son dos...
    • [^] # Re: Orange et SFR?

      Posté par  (site web personnel) . Évalué à 1.

      SFR est partenaire d'un concours IPv6.
      Orange proposé une expérimentation IPv6 (le site a disparu mais il parait que les identifiants marchent encore).
  • # Et pour compléter

    Posté par  . Évalué à 8.

    Je voulais rajouter le "petit" troll que j'avais ajouté en fin de news et qui a été précautioneusement enlevé : l'IPv6 c'est bien, mais pouvoir troller sur votre site préferré en IPv6, c'est mieux ! Selon la demande https://linuxfr.org/tracker/901.html linuxfr ne dispose pas d'accès IPv6 et ne prévoit pas d'en avoir car "la Fondation Free n'en propose pas".

    Bizarre, le FAI que tout le monde encense pour certaines de ces actions pour promouvoir le libre (et d'autres "contre" le libre, je vous laisse deviner lesquelles) et pour être le "pionnier" du déploiement à grande échelle de l'IPv6 pour le grand public, et bien il ne pourrait/voudrait pas fournir d'IPv6 à linuxfr ?

    OK, je vois tout de suite arriver les gentils admin bénévoles : "on n'a pas que ça à foutre". C'est pour ça que je propose de me déplacer un week-end sur Paris s'il le faut pour aider. Mais d'abord il faudrait connaître le position de Free : Bruno Michel a dit ne "propose" pas, mais j'ai entendu que les admins ici n'avaient en fait jamais demandé. Surement par manque de moyens et de temps (et d'envie ...), mais je suis sûr qu'on peut trouver du monde pour faire avancer ça !

    Je pense que s'il y a un bien un site d'envergure sur le net français qui peut passer en IPv6, c'est bien linuxfr. Il est rempli de geeks qui sont prêts à bidouiller pour faire du v6, car comme indiqué plus haut, niveau routeur c'est pas la joie. Bon, il reste les tunnels, mais ce n'est pour moi qu'une bidouille qui ne devrait pas trop se généraliser ...

    Je rajouterai à ceux qui disent que je suis un chieur, que Free est super gentil d'héberger linuxfr, etc, qu'au contraire Free gagne sûrement de l'argent à héberger ce site, par ses relations de peering. Et que même si je les remercie de le faire, s'ils "bloquent" une évolution possible vers l'IPv6, que doit-on en pesner ? (que je suis un chieur ?)

    Voilà, c'était pour étalonner votre trollomètre pour ce vendredi.
  • # IPv6 pour débutant

    Posté par  . Évalué à 3.

    On peut avoir un accès ipv6 et ipv4 en même temps ?

    Si j'ai uniquement un accès ipv6, puis-je voir simplement les sites Ipv4, par exemple avec un système de passerelle ?
    • [^] # Re: IPv6 pour débutant

      Posté par  . Évalué à 1.

      D'après ce que j'ai compris, oui.
      Si tu vas d'une machine v6 -6> ip4, il y a un routeur qui fait du NAT vers v4. Quand les paquets lui reviennent, il repasse en ipv6.

      Si tu es en ipv4 --> ipv6, tu fait pareil, tu ataque un serveur ipv4 qui te renvoie vers de l'ipv6. En faisant une sorte de source nat. Comme la redirection des port d'entré dans la freebox. Mais vu le nombre ipv4 comparé à l'ipv6, je pense qu'il vaut mieux que les utilisateurs switch et pour les serveurs, reste en v4 ou avoir les deux sur la machine.

      Après, pour les DNS v4, je ne sais pas comment ça se passe ?
      Supposons que je sois en ipv4, que je souhaite accéder a www.trucmuche.com qui est que en ipv6 ? Mon DNS me fourni une ipv4, mais si on veut avoir plusieurs serveurs derrière cette ipv4, le port http à utiliser peut-il être fourni par le DNS ?
      • [^] # Re: IPv6 pour débutant

        Posté par  . Évalué à 3.

        Holala, pas du tout, enfin, j'ai pas compris grand chose à tes explications.

        On peut tout à fait avoir de l'IPv4 et de l'IPv6 en parallèle : c'est d'ailleurs comme ça que font la plupart des gens aujourd'hui (je ne connais personne qui ne fait que du v6).

        Le "truc" ce que ton routeur route simplement les deux types de flux "en parallèle", il n'y a pas à choisir entre l'un et l'autre.

        Ce que tu essayes d'expliquer, j'ai l'impression que c'est les tunnels. Alors tout d'abord, un tunnel sert à connecter deux réseaux en v6 en passant par du v4. Cela veut déjà dire que derrière ton routeur (ton LAN), tes ordis verront un simple réseau v6, en parallèle au v4 que tu avais déjà (mais qui était surement NATé). C'est juste ton routeur qui fera un petit travail en plus pour "cacher" tout ça à ton réseau local, puisqu'il va encapsuler le traffic v6 à envoyer à ton FAI sur du v4. Après, à l'autre bout du tunnel, on fait l'inverse.

        Quant au DNS, un serveur de nom ne change généralement pas ses réponses qu'il soit interrogé en v4 ou en v6. Ce qui compte, c'est le type d'"enregistrement" que tu lui demandes. Si tu demandes un enregistrement de type AAAA, c'est que tu veux une adresse en IPv6. Si tu lui en demandes un de type A, c'est que tu veux une adresse IPv4. Quel que soit le moyen avec lequel tu t'es connecté : en v4 ou v6.

        D'ailleurs, actuellement, les DNS de FDN sont toujours en IPv4, mais peuvent très bien répondre à des requêtes de type AAAA.
      • [^] # Re: IPv6 pour débutant

        Posté par  . Évalué à 1.

        Mmmmhhhhh....... non...... enfin, pas exactement......


        D'abord, on peut tout a fait avoir un "dual stack", c'est a dire avoir a la fois une IPv4 et une (voire plusieurs, souvent) IPv6 en meme temps.
        Selon les IPs qu'on veut contacter, on utilisera l'un ou l'autre.

        Par contre, pour contacter "l'autre monde" quand on a seulement un stack V4 ou V6, c'est au départ techniquement impossible: les deux protocoles imposent une en-tete IP avec source et destination "dans le meme monde".

        "Au départ" parceque, en pratique, il y a des solutions:

        - J'ai une IPv4 et je veux contacter le monde IPv6: il faut alors changer de provider pour passer chez FDN, ou, à défaut, mettre en place un tunnel qui permet de se crééer un lien avec le monde IPv6 en encapsulant ca dans de l'IPv4, cf plein d'autres posts ici qui en parlent.

        - J'ai une IPv6 et je veux contacter le monde IPv4: on utilise alors des passerelles IPv6, en mettant dans une partie de l'IPv6 de destination l'IPv4 finale qu'on veut contacter. On a alors une IPv6 valide qui sait quelle IPv4 on veut contacter, la passerelle en question a aussi un pied dans le monde IPv4, va faire la demande à son compte (comme pour du NAT), puis va renvoyer la réponse dans le monde IPv6 (avec notre adresse en destination).


        Pour les serveurs DNS, ils retournent des entrées A (IPv4) et/ou des entrées AAAA (IPv6), indifféremment de la version d'IP qu'on utilise pour les contacter.
        Par exemple:
        vanhu@astro ~$ host www.kame.net orange.kame.net
        Using domain server:
        Name: orange.kame.net
        Address: 203.178.141.194#53
        Aliases:

        www.kame.net has address 203.178.141.194
        www.kame.net has IPv6 address 2001:200:0:8002:203:47ff:fea5:3085
        vanhu@astro ~$

        Quand on veut avoir plusieurs serveurs derrière une meme IP, c'est un autre problème, indépendemment de la version d'IP (enfin, en IPv6, on va plus probablement avoir plusieurs IPv6 dans la réponse, alors qu'en IPv4 on aura plus facilement tendance à avoir plusieurs serveurs qui se répartissent la charge d'une seule IP publique).

        Et pour ce qui est du "port http à utiliser", traditionnellement c'est le port 80, et quand on doit utiliser un port différent, on le sait, et c'est pas DNS qui va nous filer plus d'infos :-)


        A +

        VANHU.
        • [^] # Re: IPv6 pour débutant

          Posté par  . Évalué à 1.

          Ya pas à dire pour l'instant c'est un peu le bordel et de la bidouille...

          Mais comme dit plus haut passer totalement en IPv6 ne se fera pas demain la veille et se basculement se fera forcément en ayant un pied de chaque côté...
          • [^] # Re: IPv6 pour débutant

            Posté par  . Évalué à 2.

            Oops j'ai posté un peu vite...

            Je pense que le basculement massif vers IPv6 n'interviendra qu'à l'apparition d'une killer application [http://fr.wikipedia.org/wiki/Killer_app] qui justifie ce dit basculement... Ça marche toujours comme ça !

            Y'a plus qu'à trouver cette killer application...
            • [^] # Re: IPv6 pour débutant

              Posté par  . Évalué à 1.

              Bah les killer app, ya par exemple ekiga, qui marchera sur tous tes postes de ton LAN, sans aucune manip spéciale ... et surement plein d'autres applis compatibles IPv6 (un paquet en libre).

              Le seul problème, tu vas me dire, c'est de trouver des interlocuteurs qui sont en v6 aussi, et ça c'est plus dur. Mais c'est en s'y mettant dès maintenant qu'on peut essayer d'accélérer le mouvement !
              • [^] # Re: IPv6 pour débutant

                Posté par  . Évalué à 1.

                Le seul problème, tu vas me dire, c'est de trouver des interlocuteurs qui sont en v6 aussi, et ça c'est plus dur.

                En v6, et avec un firewall suffisamment permissif. Ca limite tout de suite;..
                • [^] # Re: IPv6 pour débutant

                  Posté par  . Évalué à 2.

                  Je parie que la VoIP comme le fait Ekiga ne posera pas de problème.

                  La VoIP d'Ekiga s'appuie sur un protocole (SIP) défini au niveau de l'organisme de standardisation de l'internet (IETF). S'il y a actuellement des problèmes, c'est justement par un manque de standardisation, mais c'est en voie, et ça prend en compte la migration vers IPv6:
                  http://www.ietf.org/html.charters/behave-charter.html

                  La VoIP devrait marcher aussi simplement que le web.

                  Cordialement,
                  Yannick
                • [^] # Re: IPv6 pour débutant

                  Posté par  . Évalué à 5.

                  C'est une blague ?
                  Quand on dit aux gens qu'ils pourront être accessibles depuis le net, ils ont peur parce que "holala, j'ai une ip publique !" et ils veulent un firewall, et quand on leur en met un, ils se plaignent de ne plus être joignable ?
                  Désolé, mais on a pas encore inventé le firewall qui devinera tout seul qui sont tes amis pour pouvoir te joindre ...
            • [^] # Re: IPv6 pour débutant

              Posté par  (site web personnel) . Évalué à 10.

              Le problème c'est que cette Killer App ne risque pas d'arriver. Parce que quand on y réfléchit, pour une application, IPv6 ne permet pas de faire plus de chose qu'IPv4, elle permet juste de le faire beaucoup plus proprement.

              Exemple avec Skype : une des raisons pour laquelle ce logiciel est aussi populaire est qu'un soin particulier a été apporté aux mécanismes permettant au logiciel de tourner correctement sur un réseau "hostile" (NAT, Masquerade, firewall). Alors avec IPv6, certes il n'y a plus besoin de faire ces contournements, tout le monde est directement joignable et c'est le bonheur, mais Madame Michu ne verra pas la différence : Skype marche déjà sur IPv4, où est le problème ? Et elle s'en contrefout de savoir que ça serait beaucoup plus "propre" d'un point de vue réseau de le faire tourner sur IPv6, ce n'est pas son problème, elle veut juste quelque chose qui marche, et Skype sur IPv4, ça marche.

              J'ai pris Skype comme exemple mais on peut faire exactement le même raisonnement pour n'importe quelle application : grâce à des techniques comme l'UDP Hole Punching, il est possible d'établir une connexion même entre deux hôtes masqueradés (ou en passant par un tiers). Oui c'est moche. Oui c'est compliqué. Mais ça fonctionne. Et donc quand on explique à Madame Michu les bienfaits d'IPv6, elle ne comprendra pas la différence.

              Alors après il y a certaines applications, comme Ekiga, qui n'utilisent pas de techniques comme l'UDP Hole Punching ou le passage par un tiers, ce qui les rend très difficiles à utiliser derrière un NAT/Masquerade. On pourrait penser alors que cela inciterait les gens à passer sur IPv6. Raté ! A la place, ils utilisent Skype. C'est pas comme ça que IPv6 va se répandre...

              Alors pour en revenir au sujet de la Killer App : si elle ne tourne qu'en IPv6, il peut se passer deux choses :
              - Soit elle ne sera pas utilisée parce que le pourcentage de gens ayant une stack IPv6 est infime ;
              - Soit un concurrent (ou le développeur de la Killer App elle-même) développe un équivalent qui tourne sur IPv4 (ce qui est toujours possible, comme je l'ai dit précédemment, même si c'est moche).
              • [^] # Re: IPv6 pour débutant

                Posté par  . Évalué à 2.

                Très bonne analyse.
                Je regrette malheureusement que les gens ne se rendent pas compte des conséquences de ce genre de bidouille :
                - ça fait un service cher (souvent payé par la pub) car les fournisseurs de ces solutions doivent surdimensionner leur serveurs, et payer beaucoup de BP
                - ils deviennent complètement dépendant de ce fournisseur de ce service
                - ils peuvent être espionnés à loisir

                Bref, que des choses en rapport avec la liberté, que les gens ignorent volontairement aujourd'hui. Il y a plein d'exemples dans d'autres domaines que la technologie aujourd'hui, et ça me désole.

                C'est aussi pour ça que j'ai posté cette news sur linuxfr, car pour moi l'IPv6 est profondément en rapport avec la liberté des gens vis à vis des technologies, mais je n'ai malheureusement aucune solution au faible développement des technos qui favorisent ces libertés.
              • [^] # Re: IPv6 pour débutant

                Posté par  . Évalué à 4.

                http://thepiratebay.org/blog/146

                Si les gros tracker bittorrent passent à ipv6, c'est quand même une sorte de Killer App, pour les utilisateurs derrière des NAT ça veut dire des bons débits sans configuration.
                • [^] # Re: IPv6 pour débutant

                  Posté par  . Évalué à 3.

                  Sauf que le débit, il n'est pas important entre toi et le tracker, mais entre toi et les autres pairs. Donc tant qu'un nombre suffisant de pairs n'aura pas migré en v6, ça ne changera pas grand chose (voire ça sera bien pire, si tu te limites aux pairs v6).
                  • [^] # Re: IPv6 pour débutant

                    Posté par  (site web personnel) . Évalué à 2.

                    A cela, on ajoute uTorrent (client "assez" populaire) qui active IPv6 sur les Windows XP et on commence a avoir du traffic P2P en IPv6.
                    Sur mon dernier download en torrent, j'ai vu 2-3 peers en IPv6 qui me donnait 10-20 ko/s.
                    Bon c'était des 6to4 et Teredo mais ca montre qu'IPv6 avance (tout doucement) ...
                    • [^] # Re: IPv6 pour débutant

                      Posté par  . Évalué à 2.

                      uTorrent (client "assez" populaire)

                      (car non libre?)

                      Ceci à part, c'est une bonne nouvelle. Dès qu'il y a une solution satisfaisante pour exploiter le v6 de Free, je m'y (re)mets ;)
                      • [^] # Re: IPv6 pour débutant

                        Posté par  (site web personnel) . Évalué à 2.

                        Plutôt car c'est un client économe en mémoire, avec une interface sombre et qui marche trés bien out-of-box.
                        • [^] # Re: IPv6 pour débutant

                          Posté par  . Évalué à 2.

                          btdownloadheadless aussi ;)
                          • [^] # Re: IPv6 pour débutant

                            Posté par  (site web personnel) . Évalué à 3.

                            Ahah. Compare donc la consommation CPU de btdownloadheadless et de µtorrent sur des torrents à fort trafic, tu seras étonné du résultat. La raison est simple : btdownloadheadless est développé en Python, alors que µtorrent est en C (ou C++, enfin en tout cas c'est du natif).

                            Un meilleur candidat à une telle comparaison serait plutôt rtorrent.
                            • [^] # Re: IPv6 pour débutant

                              Posté par  . Évalué à 2.

                              Pas faux, par contre côté sobriété de l'interface (voire "sombreté", si c'est vraiment le concept que tu cherchais à mettre en avant), on fait difficilement mieux :]

                              (bon, je regarderai rtorrent quand même, la prochaine fois que j'ai besoin, merci du tuyau)
          • [^] # Re: IPv6 pour débutant

            Posté par  . Évalué à 1.

            En quoi c'est de la bidouille ?
            Les solutions proposées qui ont l'air crade, c'est à base de tunnel. Ici on parle d'avoir un dual-stack tout ce qu'il y a de plus propre.
  • # IPv6 chez free ?

    Posté par  . Évalué à 1.

    Bonjour,

    Je me pose la question d'activer l'ipv6 chez moi. L'inconvénient majeur, c'est que du coup, chacune de mes machines sera facilement visible de l'extérieur. Ce qui signifie, installer un firewall sur chacune d'entre-elle, enfin, surtout sur le Windows de ma femme.

    Peut-on conserver l'ipv4 en même temps ?
    • [^] # Re: IPv6 chez free ?

      Posté par  (site web personnel) . Évalué à 4.

      Une passerelle d'accès au net filtrante ? (pas besoin de faire du NAT mais elle peut toujours filtrer)
    • [^] # Re: IPv6 chez free ?

      Posté par  . Évalué à 1.

      Un parefeu sur les machines?

      Il n'y a pas si longtemps, avant les modems routeurs, on avait des modems USB, sans NAT, et les machines étaient bien équipées d'un parefeu, hein..

      Mais c'est vrai que la question se pose: avec la généralisation de IPv6, des problèmes de sécurité vont de nouveau se poser.. (je serais tenté de dire "et on va bien s'amuser").

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: IPv6 chez free ?

        Posté par  . Évalué à 2.

        « des problèmes de sécurité »

        Quels problèmes de sécurité Ipv6 apportent par rapport à IPv4 (vraie question) ?

        Le NAT n'est pour moi pas tellement un problème, puisque qu'on peut le remplacer par un parefeu (présent sur pas mal de box déjà).
        Le fait d'avoir une IP fixe et traçable c'est mauvais pour la sécurité ?

        Autant je vois les problèmes que IPv6 peut poser pour la vie privée, autant niveau sécurité je vois pas trop…
        • [^] # Re: IPv6 chez free ?

          Posté par  . Évalué à 3.

          Le fait qu'une machine soit adressable directement depuis Internet, sur chacun des ports à l'écoute, sans que l'administrateur ait volontairement NATé un port particulier, peut poser des problèmes avec les administrateurs débutants et les systèmes d'exploitation un peu hasardeux qui composent l'essentiel du parc informatique.

          Il y a deux ans je m'amusais à lire les partages réseaux d'une machine sous XP, avec le parefeu désactivé (parait-il que emule marche mieux ainsi..), et connecté via un modem USB.

          Aussi bien, dans deux ans je pourrais jouer de nouveau à la même chose, quand cette machine sera connectée via IPv6 (mis à part le fait que j'ai perdu contact avec son propriétaire, mais c'est pour l'exemple technique).

          Mine de rien, l'arrivée massive des routeurs qui NATent a grandement amélioré la sécurité du parc informatique grand public (en accentuant la pression invasive des virus et autres attaques sur le Web, il est vrai). Avec IPv6, il faudra que les gens s'habituent à remettre le parefeu, sinon ça va faire mal. Très mal.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: IPv6 chez free ?

            Posté par  . Évalué à 5.

            Mais les FAI mettront un pare-feu sur leur box qui filtrera tout ce qui entre en v6 !!!
            Faut arrêter avec cette putain de désinformation autour de la "sécurité" du NAT, on peut faire exactement comme avant, ipv6 n'est pas plus dangereux que le v4 naté !
            Et tu sais, toutes les box peuvent fonctionner en mode non-routeur, et quelque chose me dit que la majorité (chez les non-geek) marche comme ça !
            • [^] # Re: IPv6 chez free ?

              Posté par  . Évalué à 2.

              D'après ce que j'ai pu voir, le mode routeur est utilisé très majoritairement par le grand public, en général parce qu'ils ont plusieurs PC.
              C'est rare de trouver une machinbox qui ne soit pas en mode routeur, maintenant.
              ça ne concerne que les personnes que je fréquente, et beaucoup d'anonymes qui utilisent le Wifi avec WEP, mais ça me semble représentatif: quelqu'un d'assez informé pour choisir WPA ou WPA-2 sera aussi suffisamment informé pour activer le mode routeur.

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

              • [^] # Re: IPv6 chez free ?

                Posté par  . Évalué à 3.

                > quelqu'un d'assez informé pour choisir WPA ou WPA-2 sera aussi suffisamment informé pour activer le mode routeur

                Oh, ça dépend... perso, les modes routeurs de la plupart des boîtes FAI, ils me saoulent d'une force !

                ... moi qui demande généralement à une box de tout renvoyer vers un routeur (rapide, non bloaté et propre... à moi, où aux gens qui me demandent d'en installer un), si je pouvais simplement désactiver cette saloperie de mode routeur sur les livebox (putains de boîtes sagem !) ou les neufbox (du grand art : on ne peut même pas NATer de 1 à 65535 sans se prendre la tête : certains ports sont réservés, peut-être pour la TV et le tel)... bon, les freebox, ça, ça va, c'est facile à bridger...

                Les seuls intérêts que je vois aux boîtes FAI, ce sont le tel et la TV : sauf que je ne me sers ni de l'un, ni de l'autre ; et c'est pour ça que j'ai mes routeurs derrière un simple modem ADSL2+ (qui me fait entre autres gagner 10-15ms de ping, le tout bootant et se connectant beaucoup plus vite que l'immonde livebox, et le tout étant sous mon contrôle).
              • [^] # Re: IPv6 chez free ?

                Posté par  . Évalué à 2.

                quelqu'un d'assez informé pour choisir WPA ou WPA-2 sera aussi suffisamment informé pour activer le mode routeur.
                Heu ... vu le nombre d'AP que je capte en WEP, peut-être que certaines utilisent WPA, mais pas la majorité. La plupart des gens que _je_ connais utilisent aussi le mode routeur, mais c'est à mon avis très peu représentatif de la population en général : je connais surtout des "jeunes".
          • [^] # Re: IPv6 chez free ?

            Posté par  (site web personnel) . Évalué à 4.

            Sachant que le parefeu est actif pour default sous Windows vista, qu'une IPv6 par sa taille est plus dur à deviné et que les développeur d'OS ont finis par comprendre que mettre 300 services accessible à distance c'est dangereux, je ne pense pas qu'on verra une récidive des gros worm exploitant diverses failles en anonyme.
            Et puis, rien n'empeche les ISP de mettre un fw sur la passerelle.
            • [^] # Re: IPv6 chez free ?

              Posté par  . Évalué à 3.

              Une IPv6 difficile à deviner? Oui. Mais pas plus difficile à obtenir qu'une IPv4.
              Envoyer un fichier via un client de messagerie instantanée, partager le même fichier assez rare sur un réseau de P2P, proposer un lien vers un serveur où l'on est admin ou même un lien vers une page Web où l'on a posté une image de 1*1 pixel, permettent d'obtenir l'adresse IP de la plupart des utilisateurs qui ne se méfient pas.

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: IPv6 chez free ?

      Posté par  . Évalué à 3.

      Non, ce n'est pas la peine d'avoir un pare-feu sur chaque machine ! Avant, tu était "protégé" (je n'aime pas ce mot) des connexions entrantes parce que ton routeur faisait du NAT (c'est à dire que tu refuses toute connexion entrante qui pourrait être utile pour l'envoi de fichier, la VoIP, etc ... qui marchent actuellement grâce à des gros hacks). C'est donc ton routeur qui faisait le boulot de "bloquer" ces connexions. En IPv6, tu ne fais plus de NAT, mais tu peux lui demander de quand même bloquer les connexions entrantes, en utilisant le pare-feu intégré à tout bon routeur. Tu peux même le faire sélectivement, enfin bref, tout ce que peut faire iptables (enfin, ip6tables dans notre cas).

      Et pour l'IPv4, bien sûr que tu peux le conserver en même temps. IPv6 n'est qu'un service en plus !
      • [^] # Re: IPv6 chez free ?

        Posté par  . Évalué à 1.

        Justement, mon seul routeur c'est ma freebox. J'ai pas trop envis d'ajouter une machine entre ma freebox et mes machines.

        Question puis-je avoir ma machine en ipv6, et celle de ma femme en ipv4 avec le NAT de la freebox ?
        • [^] # Re: IPv6 chez free ?

          Posté par  . Évalué à 1.

          Dans ce cas, tu n'actives pas l'IPv6 sur la machine de ta femme.

          Par contre, il te faudra alors un firewall sur ta machine (il ne me semble pas que la freebox contienne des règles de firewall).
        • [^] # Re: IPv6 chez free ?

          Posté par  . Évalué à 2.

          Bah, c'est un peu le problème quand on a un routeur qu'on contrôle pas ... c'est pour ça qu'il existe des logiciels libres qui te permettent de faire ce que tu veux sur ton routeur.

          En ce qui concerne ton cas, tu pourras tout à fait activer l'IPv6 de chez Free en parallèle au v4 NATé actuel : d'ailleurs, la plupart du temps t'es connecté avec les deux en même temps, une fois que t'as activé l'IPv6.

          Si tu ne veux pas de v6 sur un ordi, il te suffit de le désactiver sur cet ordi, c'est tout.

          Je me répète, mais IPv6 a beau être un réseau IP "séparé", tu peux très bien avoir les deux en même temps ! Sur ma machine je peux très bien avoir deux onglets de mon firefox ouvert avec ipv6.google.com d'un coté et www.google.com (en v4) de l'autre. Ma machine a 3 IP (1 en v4, et 2 en v6, du fait des adresses "internes" (je n'ai plus le terme exact) et de l'adresse publique) et elle se porte très bien comme ça !
      • [^] # Re: IPv6 chez free ?

        Posté par  . Évalué à 3.

        Avant, tu était "protégé" [...] des connexions entrantes parce que ton routeur faisait du NAT (c'est à dire que tu refuses toute connexion entrante[...]

        Au risque de passer pour un drosophilophile (sic), Je pense qu'il est nécessaire de distinguer la translation d'adresses de la véritable raison pour laquelle les connections entrantres sont bloqués:

        Les hotes du réseau interne ont en général une adresse privée¹ telle que définie dans la RFC1918, dans les plages 10.0.0.0/8, 172.16.0.0/12, et particulièrement 192.168.0.0/16.

        Un paquet IP contenant une telle adresse dans son entête sera mis à la poubelle par le premier routeur de FAI rencontré.

        Le Network Address Translation, au contraire, permet d'éviter cela en remplaçant dans l'entête les adresse privées des hôtes internes par celle, publique attribuée par le FAI, et routable, elle.

        Si mon routeur n'est pas configuré pour faire du nat, non seulement mon réseau interne est "injoignable" (cas typique: logiciel de P2P, ou serveur web maison), mais je ne pourrais même pas surfer car les réponses à mes requêtes n'arriveraient jamais à bon port.

        Cela peut sembler évident pour la plupart d'entre nous, mais si jamais Mme Michu décide de mouler sur dlfp...



        ¹ http://fr.wikipedia.org/wiki/RFC_1918
  • # FDN: association de promotion de Usenenet

    Posté par  (site web personnel) . Évalué à -10.

    Usenet ? Encore un truc de dino !
    J'espère qu'ils sont plus doués pour être fournisseur d'accès que dans la promotion de Usenet.

    C'est vendredi et il est plus de 17h...
  • # Pourquoi IPv6 est si long à se déployer ? On le fuit ?

    Posté par  . Évalué à 3.

    En tant que nouvelle version du protocole IP, il me semble évident que l'on fasse un jour ou l'autre passer les réseaux, publics et privés, en IPv6. Après tout, ça existe depuis 1995, on a largement eu le temps de l'étudier, c'est mieux qu'IPv4...

    Pourtant, étant étudiant en licence pro informatique option administration système et réseaux en alternance, je n'en entends pas ou très peu parler ! Aucun cours sur IPv6, on ne fait que de l'IPv4, les profs n'abordent jamais le sujet de l'IPv6 ! Et du côté de mon entreprise, lorsque j'ai abordé le sujet d'une éventuelle migration de notre réseau interne vers IPv6, mes collègues m'ont presque pris pour un fou et ont rapidement refusé, sans argumenter, en essayant discrètement de fuir le débat ! (je suis peut-être un peu parano mais c'est la sensation que je perçois)

    Et quand j'aborde la question à mes profs, la plupart du temps, ils n'y croient pas. Pour eux, IPv4 est suffisant, ils ne voient pas pourquoi se faire chier avec IPv6.

    On dirait que les gens ont tendance à fuir IPv6, à refuser l'évolution du protocole IP. Si encore il y avait un problème financier en argument, pourquoi pas, mais là ce n'est pas le cas. Les profs ne perdraient rien à nous apprendre IPv6 -- nous devrions de toute façon, étant de futurs administrateurs systèmes et réseaux, faire face à IPv6 un jour ou l'autre !

    Alors quel est le problème ? Est-ce une sorte de peur du nouveau ? Un problème de formation ?

    En tout cas, si ce sentiment que je perçois de mon entourage existe un peu partout et que IPv6 n'intéresse que les geeks que l'on trouve sur l'internet, on a du soucis à se faire...
    • [^] # Re: Pourquoi IPv6 est si long à se déployer ? On le fuit ?

      Posté par  . Évalué à 2.

      « Est-ce une sorte de peur du nouveau »

      pas mal de gens ont peur niveau sécurité. Un argument qui ressort souvent est « sans NAT, niveau sécurité ça vas être la cata, Mme Michu ne sachant pas paramétrer un parefeu…»

      et sinon il y a l'adresse en elle-même : taper une adresse ipv4 est plus simple qu'une Ipv6…
    • [^] # Re: Pourquoi IPv6 est si long à se déployer ? On le fuit ?

      Posté par  . Évalué à 3.

      Dire que c'est sans conséquence financière, c'est faux.

      Faire passer son réseau en dual-stack v6, ça demande presque le double de boulot qu'administrer son parc en v4 seulement, car on a deux "schémas" en parallèle à gérer. Ce n'est pas si complexe que ça si on connait bien son boulot d'administrateur, mais ça reste quand même un presque doublement de charge.

      Après, on doit pouvoir faire tourner un réseau interne en v6 seulement tout en gardant la connexion avec le monde v4 avec le "mappage IPv4" des adresses. Je pense que ce mode de connexion devrait être plus promu car il permet de simplifier l'administration de son réseau ton en gardant l'accès au monde v4 (qui ne disparaîtera pas de si tôt, il ne faut pas réver).

      Sinon, l'union européenne investit beaucoup dans le développement d'IPv6 pour que le monde de l'enseignement et des entreprises s'y mette, mais effectivement, en pratique, on n'en voit pas beaucoup ...

      J'ai une copine qui a travaillé sur faire un live-cd avec tout une panoplie de UML (user mode linux) pour faire joujou avec un réseau IPv6 virtuel, et des exercices à faire, ça à l'air pas mal, faudra que je retrouve l'adresse.
    • [^] # Re: Pourquoi IPv6 est si long à se déployer ? On le fuit ?

      Posté par  . Évalué à 5.

      http://cr.yp.to/djbdns/ipv6mess.html peut te donner quelques réponses
    • [^] # Re: Pourquoi IPv6 est si long à se déployer ? On le fuit ?

      Posté par  (site web personnel) . Évalué à 2.

      Je trouve que l'article de Daniel Bernstein résume bien la situation (en anglais) :

      http://cr.yp.to/djbdns/ipv6mess.html

      Son article n'est pas daté, mais il l'a écrit y'a longtemps, et je le trouve toujours aussi d'actualité.
  • # Ipv6 chez le particulier : nouvelle problématique de sécurité ?

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Avec Ipv6 déployé chez tout le monde alors toute machine sera directement contactable par une adresse publique sur internet ( qui est distribuée automatiquement par le fournisseur d'accès ou le routeur si la plage est reservée ).

    Là où jusqu'à présent les pc étaient derrière une adresse privée et donc non joignable depuis internet, là le pc sera complétement accessible depuis le net.

    En fait ce n'est qu'un retour à ce que devrait être l'internet : pas de différentiation entre clients uniquement et serveur. C'est la pénurie d'adresses publiques qui a provoqué l'introduction des adresses privées et l'utilisation massive du NAT masquerading.

    Là où bien des utilisateurs ne mettent en place aucune politique de sécurité et se reposent sur le fait que la machine disposant d'une adresse privée peut accéder à l'internet mais pas l'inverse grâce au NAT masquerading/dynamic.

    Avec l'arrivée d'Ipv6 il faudra spécifiquement interdire au routeur les connections entrantes, là où auparavant il fallait explicitement les autoriser.

    Sans parler des tunnels Ipv4/Ipv6 qui permettent de cacher du traffic lorsque le pare feu ne prend en compte qu'ipv4.

    D'un autre côte les attaques de type scanning de réseau vont devoir parcourir une telle plage d'adresse qu'elles vont mettre trop de temps pou détecter un nouvel hôte.

    Je pense donc que l'arrivée d'ipV6 va devoir être couplée avec des politiques de sécurités différentes dans les routeurs que celles actuelles.
    • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

      Posté par  . Évalué à 5.

      Les FAI vont continuer à donner des box, et donc ils peuvent mettre un parefeu dessus ... qui verrouille les connexions entrantes. C'est quand même pas un drame...
    • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

      Posté par  . Évalué à 0.

      Je ne sais absolument pas combien coute une adresse ip
      mais rien ne garanti que les FAI en fournissent plusieurs à leurs clients
    • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

      Posté par  . Évalué à 6.

      Avant, dans la préhistoire de l'informatique, quand on voulait accéder à internet, on avait tous une IP publique. C'était avant l'arrivée des box, et surtout avant que beaucoup de monde ne commence à activer le mode routeur (ceux qui faisaient du NAT par eux-même étaient assez minoritaires). Cette époque, c'était ... allez, jusqu'aux années 2000-2002. Comment les gens ont-ils pu avoir de tels préjugés en si peu de temps ?

      Avoir une IP publique devrait être _normal_ sur internet. Comme tu le dis, c'est la base de l'égalité sur ce réseau.

      Par contre :

      Avec l'arrivée d'Ipv6 il faudra spécifiquement interdire au routeur les connections entrantes, là où auparavant il fallait explicitement les autoriser.

      Je suis complètement _pas_ d'accord.
      Auparavant, les fournisseurs de box / gens qui font du NAT devaient faire :
      iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
      Maintenant ils devront faire :
      ip6tables -A FORWARD -i ppp0 -p tcp ! --cstate RELATED,ESTABLISHED -j REJECT
      Chaque fois, c'est ajouter une ligne. Super compliqué !
      • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

        Posté par  (site web personnel) . Évalué à 4.

        C'était avant l'arrivée des box, et surtout avant que beaucoup de monde ne commence à activer le mode routeur (ceux qui faisaient du NAT par eux-même étaient assez minoritaires). Cette époque, c'était ... allez, jusqu'aux années 2000-2002. Comment les gens ont-ils pu avoir de tels préjugés en si peu de temps ?

        Je pense qu'il ne faut pas chercher très loin la réponse : Il est de moins en moins rare que les foyers aient plus d'un ordinateur :
        - Ne serait-ce par le fait que les familles recyclent le "vieux" ordinateur de la maison, pour en faire, par exemple, une plateforme de surf "simple"
        - Et puis, certains FAI fournissent des box ADLS qui possèdent plusieurs ports ethernet pour le LAN, ce qui évite l'achat d'un switch

        Du moment qu'il y a plus d'un ordinateur à connecter à Internet, c'est NAT obligatoire. Sauf à faire des choses un peu compliqué, comme activer le mode "passerelle" de la machine connectée à Internet.

        Enfin, même si ce n'est pas la raison première du "mode routeur" des box, cela permet de limiter les attaques de virus qui font du port scanning à la recherche de ports "classiques", comme le partage de fichier de MS Windows (137, 138, 139, 445), le "Windows Messaging" (135), etc... C'est certes un pansement sur une jambe de bois. Mais lorsque je vois la quantité de paquets à destination des ports sus-cités qui viennent s'écraser sur mon firewall (netfilter/iptables), je me dis qu'en 2009, ce type de menace est encore bien tenace.
        • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

          Posté par  . Évalué à 2.

          Quand je parlais des préjugés, je parlais du fait que les gens ont peur de se retrouver avec une IP routable sur le net. Bien sûr que le NAT est indispensable quand on n'a qu'une IP publique et qu'on doit brancher plusieurs bécanes.

          Le truc c'est que si à cette époque on avait distribué plusieurs IP aux particuliers, on aurait peut-être pas eu cette épidémie de NAT. Et on se serait surtout rendu compte de la merde qu'est Windows au niveau sécurité (c'est bizarre que ça choque si peu de monde qu'un XP < SP2 branché au net se trouve infesté en moins de 30s ...). Alors à l'époque, on s'en foutait de la pénurie de v4, et maintenant on se retrouve dans l'impasse, et Microsoft ne fait qu'empirer la situation avec leur OS à trou. De là à dire que c'est la faute à MS si l'IPv6 ne se développe pas ...
          • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

            Posté par  (site web personnel) . Évalué à 2.

            Le truc c'est que si à cette époque on avait distribué plusieurs IP aux particuliers, on aurait peut-être pas eu cette épidémie de NAT.

            Je te rappelle qu'à une époque pas très lointaine, la manière classique de se connecter à Internet était du PPPoE/PPPoA, et que cela ne permet pas d'avoir plusieurs adresse IP par machine.

            Quand à fournir plusieurs adresses IP à chaque abonné, c'est assez compliqué, et cher à mettre en oeuvre. Qu'un FAI "pro" le fournisse à des sociétés, c'est d'accord. Mais pour le particulier, cela devient nettement moins simple

            c'est bizarre que ça choque si peu de monde qu'un XP < SP2 branché au net se trouve infesté en moins de 30s ...

            Cela fait un paquet d'année que les gens utilisent des Windows qui se font infecter par des virus, et personne ne s'en étonne. C'est ancré dans les esprits que plein de chose "bizarres" attaque Windows, et cela parait "normal". C'est dommage, j'en suis conscient. Mais le fait que les FAI fournissent des box configurés par défaut en NAT n'y est pour rien.

            J'ajoute de plus que, à l'heure actuelle, les utilisateurs veulent de plus en plus de wifi chez eux (c'est une aberration, je suis d'accord) . De ce fait, tu es un peu forcé d'utiliser la box en temps que routeur.

            De là à dire que c'est la faute à MS si l'IPv6 ne se développe pas ...

            C'est un peu rapide comme raccourcis. Personnellement, je suis en IP dynamique, et j'aime cela. Mon adresse IP change toute les 24h automatiquement, ce qui permet aux sites web de ne pas me suivre à la trace (IP dynamique + suppression des cookies + interdiction d'écriture au plugin flash = amélioration de l'anonymat)

            Les FAI proposent des /64 en IPv6. C'est super dit-on, car nous serons anonymes ! Oui et non en fait. Car toute indésirable qui a une petite connaissance des règles d'attributions des FAI sera reconnaître la même personne, ou disons le même abonné, lorsque qu'il verra les connexions de plusieurs adresses IP du même /64. Et tu auras beau changer d'adresse IP toutes les dix minutes, tu ne feras que te déplacer à travers ton /64.
            • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

              Posté par  . Évalué à 2.

              Je te rappelle qu'à une époque pas très lointaine, la manière classique de se connecter à Internet était du PPPoE/PPPoA, et que cela ne permet pas d'avoir plusieurs adresse IP par machine.

              Ah? Quand j'étais chez Nerim, le client PPP de mon Linux me retournait une IPv4 et un bloc d'IPv6. Et ça marchait bien.

              Ou alors j'ai pas compris ce que tu voulais dire?
            • [^] # Re: Ipv6 chez le particulier : nouvelle problématique de sécurité ?

              Posté par  . Évalué à 4.

              Je te rappelle qu'à une époque pas très lointaine, la manière classique de se connecter à Internet était du PPPoE/PPPoA, et que cela ne permet pas d'avoir plusieurs adresse IP par machine.
              Pardon ? Bien sûr que ton interface PPP n'aura qu'une IP, mais par contre ton FAI peut très bien router (et ta machine) un /30 au autre ... C'est la base du routage.

              Quand à fournir plusieurs adresses IP à chaque abonné, c'est assez compliqué, et cher à mettre en oeuvre. Qu'un FAI "pro" le fournisse à des sociétés, c'est d'accord. Mais pour le particulier, cela devient nettement moins simple
              Re-pardon ? En quoi c'est plus compliqué ?! Au lieu de router une IP (un /32 quoi), tu en routes plusieurs ... Je ne vois pas ce qu'il y a de compliqué la-dedans. Ou alors tu va parler du coté administratif, que le soft pour gérer les abonnés n'a pas été prévu pour assigner plusieurs IP à quelqu'un ? Mouai, je pense que c'est un non-problème, surtout qu'ils le font bien pour les entreprises.

              C'est un peu rapide comme raccourcis.
              Oui, c'était juste un petit troll lancé comme ça sans conviction ...

              Personnellement, je suis en IP dynamique, et j'aime cela. Mon adresse IP change toute les 24h automatiquement, ce qui permet aux sites web de ne pas me suivre à la trace (IP dynamique + suppression des cookies + interdiction d'écriture au plugin flash = amélioration de l'anonymat)
              Bof, franchement je pense qu'on doit pouvoir recouper les infos pour savoir que c'est un mec dans le même /24 de ton FAI par exemple qui vient sur le site, et que donc c'est sûrement le même. Croise ça avec l'UA, et t'es identifié. Bon OK, c'est un peu plus compliqué que de se baser juste sur l'IP fixe, mais c'est faisable pas trop difficilement.


              Les FAI proposent des /64 en IPv6. C'est super dit-on, car nous serons anonymes ! Oui et non en fait. Car toute indésirable qui a une petite connaissance des règles d'attributions des FAI sera reconnaître la même personne, ou disons le même abonné, lorsque qu'il verra les connexions de plusieurs adresses IP du même /64. Et tu auras beau changer d'adresse IP toutes les dix minutes, tu ne feras que te déplacer à travers ton /64.
              Moi non plus je n'ai pas dit qu'on était "plus anonyme" en v6. Par contre, je maintiens qu'on ne l'est pas moins : on l'est pareil qu'en v4, c'est tout.
  • # to be or not to be

    Posté par  . Évalué à 1.

    Quand je parlais des préjugés, je parlais du fait que les gens ont peur de se retrouver avec une IP routable sur le net.

    On peut pas dire que mde Michou se fout des avantages de l'IPv6 et qu'en même temps elle a peur d'avoir une ip routable sur le net.

    La personne qui a peur d'avoir une ip routable sait bidouiller un peu, il y a de forte chance qu'elle sache trouver sur le net ce qui faut faire, peut être avec un peu de casse au tout début si jamais ipv6 se me à faire un bon (?).

    En gros faut faire le distinguo entre (découpage à l'emporte pièce) :
    - mde Michou qui se fout que ca soit ipv4 et nat horrible ou ipv6 tant que ça marche
    - le bidouilleur occasionnel qui a configurer une fois et qui ne veut plus être embêter. C'est peut être ces personnes qui ne veulent pas changer ?
    - la personne qui sait ce qu'elle fait et qui sera surement se débrouiller en cas de changement.

    Après peut être que les box fonctionneront en ipv6 comme ipv4 : blocage du trafic entrant sauf sur demande explicite, ou, autre solution, accès libres sauf sur les ports à problème (partage de fichiers Windows etc...).
    C'est un peu ce qu'il se passe en trafic sortant : tout est ouvert sauf pour le SMTP qui bloquer par défaut et peut être débloquer (parfois) avec une option de configuration.

    Si c'est cette dernière option qui est choisie, à condition d'avoir les options pour débloquer, ça me convient.
    • [^] # Re: to be or not to be

      Posté par  . Évalué à 2.

      Quand je dis "peur d'avoir une IP routable", je parle en termes techniques pour décrire précisément ce que disent ceux qui colportent le "mais si t'es pas derrière ta box tu va te chopper plein de virus !!". Je ne veux bien sûr pas parler de la signification technique exacte, que 95% des gens ne comprennent pas.
      Après, je suis d'accord que pour Mme Michu, l'important c'est que ça marche. Et si les FAI font leur boulot correctement, ça devrait le faire. Mais encore faut-il qu'ils se bougent le cul.
      • [^] # Re: to be or not to be

        Posté par  (site web personnel) . Évalué à 1.

        Et si les FAI font leur boulot correctement, ça devrait le faire

        Est-ce que par hasard tu veux dire qu'il faudrait que les FAI fassent du filtrage de certains ports/protocoles à risque ? Comme par exemple le "partage de fichier windows," le "windows messaging" (rien à voir avec MSN), ?

        1) Je pense que ce n'est pas le rôle du FAI que de filtrer
        2) Du moment qu'ils filtrerons cela, il se mettrons aussi à filtrer les autres trucs "louches", comme les botnet / vers en tout genre
        3) Et puis après, ils s'attaqueront aussi aux VPN, au SSH, et évidement au P2P
        4) Bref, on se retrouverait à ne plus pouvoir que faire du HTTP, HTTPS, POP, SMTP et un peu de discussion sur MSM/Jabber ? Super !
        • [^] # Re: to be or not to be

          Posté par  . Évalué à 2.

          Le filtrage des ports "génants" de windows, c'est déjà ce que fait neuf,
          personnellement ça ne me choque pas puisque c'est simplement une option à désactiver dans l'interface.
        • [^] # Re: to be or not to be

          Posté par  . Évalué à 2.

          Désolé, malentendu, je parlais de "faire leur boulot" pour dire qu'ils pourraient mettre en place du v6 ...
          Bien sûr, je suis contre le filtrage.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.