La fin des IPv4 est très proche ! Les ennuis aussi…

Posté par  (site web personnel) . Édité par Nÿco, Davy Defaud et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
52
31
jan.
2018
Internet

On le sait depuis longtemps, les adresses IPv4 sont en nombre trop limité pour subvenir aux besoins. C’est pour cela que l’on a créé IPv6. Leur mise en œuvre se fait toujours attendre et les problèmes qui se posent sont loin d’être tous résolus.

Devant le manque d’adresses IPv4, les FAI utilisent depuis longtemps les adresses dynamiques. Avec le développement de la fibre optique, Free a besoin de nouvelles adresses IPv4 car les adresses ADSL libérées ne peuvent pas être aussitôt réattribuées. Free a alors utilisé une même adresse IPv4 pour quatre utilisateurs, attribuant à chacun 16 384 ports, et ceci de façon transparente pour l’utilisateur… sauf pour certains.

En seconde partie de la dépêche nous verrons comment l’astuce utilisée par Free peut poser problème, comment vivre avec la pénurie des IPv4 en attendant de vraies solutions pérennes.

Découverte du problème

Au mois d’août, je suis passé de l’ADSL à la fibre optique (FO). Ma freebox n’étant plus raccordée à l’ADSL mais à la fibre optique, j’ai changé d’adresse IP car je ne suis plus sur le même nœud de raccordement. Sans aucun changement sur la freebox, tout continue à fonctionner (HTTP, SSH, FTP) et je peux toujours accéder à mes caméras de surveillance. Mes vitesses montante et descendante sont proches des maximums théoriques (1 Gbit/s) et mes louanges vont à Free pour les performances obtenues. C’est parfait.

Il y a quelques jours, un voisin et ami passe aussi à la FO. Même configuration, il change d’IP, mais impossible d’accéder à ses caméras de surveillance. Après quelques heures de recherches infructueuses, nous appelons l’assistance technique de Free.

Le support de Free n’a pas été à la hauteur. L’opérateur que j’ai eu au bout du fil ne connaissait pas vraiment la redirection de ports. Il m’a demandé d’attribuer des adresses fixes dans la zone dynamique. J’ai dû insister pour qu’il fasse appel à son référent technique (je crois bien que c’est comme cela qu’il me l’a dénommé). Le résultat a été pitoyable car ce dernier improvisait des solutions sans queue ni tête. Nous avons perdu plus d’une heure au téléphone.
J’en savais beaucoup plus qu’eux sur le sujet…

L’astuce de Free

Heureusement un ami m’a signalé l’astuce de Free qui groupe les utilisateurs par quatre sur une seule adresse IP. Il m’a aussi dit que Free avait très peu communiqué sur le sujet, aussi bien en externe qu’en interne. Le support technique n’a pas été averti et des techniciens de Free ont eux‐mêmes été confrontés à des dysfonctionnements très peu évidents à mettre en évidence.

Suite à cette information, la meilleure documentation que j’ai pu trouver est celle de Busyspider.

Il est très intéressant de multiplier par quatre le nombre de raccordements pour repousser la fin de l’IPv4, mais à quel prix ? C’est très bien pour un utilisateur très basique qui se contente de surfer sur le Web, c’est‐à‐dire la grande majorité, mais pas pour les autres !

Les inconvénients et comment Free peut y remédier

L’astuce de Free interdit en pratique l’auto‐hébergement. Ceci va à l’encontre du principe de base de l’Internet qui prévoyait que chacun puisse servir un contenu. Pour ne pas y contrevenir, Free propose dans la configuration de la freebox « Demander une IPv4 full‐stack ». C’est‐à‐dire une vraie adresse IP accessible de l’extérieur sur tous les ports. Ainsi, un ping sur votre adresse ira bien sur votre routeur et, par exemple, le port 6603 ira bien sur la caméra 192.168.0.43. Bien entendu, le port 80 ira sur votre serveur HTTP et tout fonctionnera comme avant.

Comme il n’y a (malheureusement) qu’un faible pourcentage des utilisateurs qui est intéressé par l’option full‐stack, cela arrange tout le monde et repousse l’échéance de l’IPv6 que Free utilise en interne.

Comment passer en IPv6 et quels sont les obstacles ?

Beaucoup d’appareils que nous possédons fonctionnent en IPv4 seulement. C’est parfait sur un réseau local chez soi (LAN), mais accéder à un réseau local de façon maîtrisée depuis l’extérieur est nettement plus difficile. Je n’ai jamais vu de routeur qui, à partir d’une adresse IPv6, fasse correspondre une adresse IPv4. Je n’ai peut‐être jamais regardé au bon endroit… Il n’existe pas à ma connaissance de documentation claire sur la façon de réaliser cela.

Les adresses IPv6 sont longues et peu mémorisables, devrons‐nous avoir un nom de domaine chacun ?

IPv6 est certes bien défini et performant, mais beaucoup de « détails » sont encore à mettre au point pour pouvoir enfin l’utiliser.

Aller plus loin

  • # Accéder aux caméras IP

    Posté par  (site web personnel) . Évalué à 5.

    Salut,

    Pourquoi tu voulais accéder aux caméras IP en IPv4 alors que tu avais de l’IPv6 à dispo ?

    • [^] # Re: Accéder aux caméras IP

      Posté par  (site web personnel) . Évalué à 9.

      Pourquoi tu voulais accéder aux caméras IP en IPv4 alors que tu avais de l’IPv6 à dispo ?

      Tout simplement parce que mes caméras ne supportent pas l'IPV6 !

      La fin de l'article Comprendre IPv6 et sa problématique explique très bien les freins à l'adoption (inéluctable) de l'IPV6.
      Il est indispensable de bien comprendre où sont les réticences et les impératifs techniques pour mieux résoudre les problèmes qui se posent.

      • [^] # Re: Accéder aux caméras IP

        Posté par  (site web personnel) . Évalué à 8.

        C’est très bête de la part du fabricant, parce que ne pas avoir son IPv4 à la maison, ça va finir par devenir la norme.

        Après, tu peux aussi monter un serveur web en IPv6 qui fait proxy vers les v4 des caméras.

        • [^] # Re: Accéder aux caméras IP

          Posté par  (site web personnel) . Évalué à 10. Dernière modification le 01 février 2018 à 14:27.

          C’est très bête de la part du fabricant,

          Au contraire, c'est très malin. Ça forcera l'utilisateur à racheter une caméra !

          • [^] # Re: Accéder aux caméras IP

            Posté par  . Évalué à 2.

            une forme d'obsolescence programmé …

            • [^] # Re: Accéder aux caméras IP

              Posté par  (site web personnel) . Évalué à 4.

              Il était question de rendre obligatoire l'IPV6 en France à la sortie de tous nouveau appareil connecté, je ne sais pas si c'est finalement passé.

              "La première sécurité est la liberté"

              • [^] # Re: Accéder aux caméras IP

                Posté par  (site web personnel) . Évalué à 9.

                C'est obligatoire depuis le 1er janvier 2018. Voir le lien sur legifrance plus loin dans les commentaires.
                Mon impression est que beaucoup s'en fichent.

                Pour le matériel importé, qui peut vérifier ? Les douanes ? En cas de non respect, quelles sont les sanctions ? Pour le matériel fait dans l'UE, la DGCCRF ? Qui forme les fonctionnaires à ces vérifications ? Est-ce que l'Éducation Nationale a prévu d'intégrer les principales notions sur les réseaux dans ses programmes ? Sur ce dernier point, je pense qu'il faudrait élaguer le temps passé à étudier la mythologie et à apprendre les récitations issues de la culture des "honnêtes hommes" du dix-neuvième siècle. Je sais, je suis un rebelle qui pense avoir perdu des milliers d'heures à étudier Racine, des centaines de dates d'histoire que j'ai bien vite oublié ainsi que les productions minières et agricoles (en 1950) de dizaines de pays.
                Il faut que l'Éducation Nationale soit en accord avec notre époque. Utiliser des ordinateurs et des tablettes sans en comprendre les bases, c'est passer à côté de sa mission.

                Ce ne sont pas nos politiciens, presque tous issus de formations littéraires qui vont s'agiter pour faire appliquer une loi qu'un député éclairé aura glissé parmi d'autres et qu'ils auront adopté sans la comprendre.

  • # IPV6 pas dispo sur reseau mobile

    Posté par  . Évalué à 5.

    J'ai voulu passer mon hébergement perso en IPv6 pour avoir plusieurs services sur le même port dans mon réseau local et j'ai eu la désagréable surprise de constater que mon opérateur téléphonique mobile (Bouygues Télécom) ne supporte pas l'IPv6 sur son réseau.

    C'est moche …

  • # Pourtant on a jamais été aussi proche :)

    Posté par  (site web personnel) . Évalué à 10.

    Beaucoup appareils que nous possédons fonctionnent en IPv4 seulement.

    Je ne sais pas où tu vis, mais tous les équipements et systèmes vendus dans le commerce aujourd'hui, et depuis de nombreuses années d'ailleurs (à part de rares exceptions ?) sont compatibles IPv6. Même les boxs des FAI.

    Le plus gros problème vient bien entendu de la mise à disposition de l'IPv6 par les opérateurs car cela demande un gros chantier en interne. Mais en France la situation se débloque peu à peu. En Belgique l'opérateur national Proximus (qui détient environ 50% du marché fixe) a activé l'IPv6 pour tous, rendant la Belgique numéro 1 en pénétration de la technologie.

    Mais si pour le fixe la situation progresse plutôt rapidement ces derniers temps, le mobile est encore à la traîne, je ne connais pas d'opérateurs européens le faisant (ni même dans le monde en fait) et il ne semble pas y avoir des expérimentations en ce sens.

    Selon Google, une requête sur 5 se fait en IPv6, ce n'est pas si mal : https://www.google.com/intl/en/ipv6/statistics.html#tab=ipv6-adoption&tab=ipv6-adoption

    Par contre, qui sera le premier opérateur à ne fournir que de l'IPv6 et quand ? Cela risque d'être long d'arriver à ce résultat.

    • [^] # Re: Pourtant on a jamais été aussi proche :)

      Posté par  (site web personnel) . Évalué à 8.

      D'ailleurs l'ARCEP (qui fait un boulot colossal et pertinent dans l'ensemble) a un observatoire consacré à ce sujet : https://www.arcep.fr/index.php?id=13169

      Cela permet d'avoir une vue d'ensemble de la situation française et de constater que cela évolue bien.

    • [^] # Re: Pourtant on a jamais été aussi proche :)

      Posté par  (site web personnel) . Évalué à 2.

      Mais si pour le fixe la situation progresse plutôt rapidement ces derniers temps, le mobile est encore à la traîne, je ne connais pas d'opérateurs européens le faisant (ni même dans le monde en fait) et il ne semble pas y avoir des expérimentations en ce sens.

      Dans le monde, c’est déjà le cas chez la plupart des opérateurs étasuniens. L’ARIN n’ayant plus d’IPv4 à refiler, et les réserves des LIRs se vidant petit à petit, il a bien fallu trouver un palliatif :D

      https://blogs.akamai.com/2016/06/preparing-for-ipv6-only-mobile-networks-why-and-how.html
      https://www.extremetech.com/mobile/127213-ipv6-now-deployed-across-entire-t-mobile-us-network

      Il y a sûrement d’autres articles sur le sujet, j’ai fait un recherche très rapide.

    • [^] # Re: Pourtant on a jamais été aussi proche :)

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      Bouygues Telecom (je suis client) a IPv6 sur le réseau mobile et ça juste marche (je peux pinguer mon téléphone depuis mon PC, trop bien).

      • [^] # Re: Pourtant on a jamais été aussi proche :)

        Posté par  . Évalué à 4.

        Est-ce que tous les ports sont ouverts ? Et du coup, est-ce que tu te fait scanner ton téléphone ?

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Pourtant on a jamais été aussi proche :)

          Posté par  (site web personnel, Mastodon) . Évalué à 10.

          Scanner ? En IPv6 ? Bon courage http://www.bortzmeyer.org/7707.html

          • [^] # Re: Pourtant on a jamais été aussi proche :)

            Posté par  . Évalué à 7.

            Ben, justement, tu arrive avec un IPv6, donc on sait qu'elle est valide, il suffit d'un équipement pourri (ou qui leak des infos) sur le chemin. Par exemple, sur ma connexion à la maison, j'ai déjà vu l'IPv6 de sortie de mon PC se faire scanner (enfin, arrêter au niveau du firewall). J'avais d'ailleurs un projet de faire des stats dessus mais il est au bout de ma todo.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Pourtant on a jamais été aussi proche :)

          Posté par  (site web personnel, Mastodon) . Évalué à 10.

          C'est marrant qu'on ne se préoccupe de sécurité que quand il faut trouver une excuse pour ne pas déployer IPv6. Normalement, le réseau local de M. Michu est plein de machines Windows vérolées et de caméras membres de Mirai et tout à coup, on dit « ah non, pas IPv6, ça permettrait de pirater M. Michu »

          • [^] # Re: Pourtant on a jamais été aussi proche :)

            Posté par  . Évalué à 4.

            Je ne vois pas où tu vois que m'inquiète plus de la sécurité qu'IPv4. Je doute d'ailleurs que ce soit un vecteur d'attaque important pour les smartphones. Mais si tu vois les scans, ça veut dire que les ports sont ouvert, c'est plutôt une bonne nouvelle.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Pourtant on a jamais été aussi proche :)

            Posté par  . Évalué à 2.

            En plus de ça, les arguments sont toujours les mêmes (le fait que chaque personne puisse enfin participer à Internet), les vrais problèmes (qui était déjà là en IPv4) sont complètement oubliés (le RA spoofing par exemple).

          • [^] # Re: Pourtant on a jamais été aussi proche :)

            Posté par  . Évalué à -3.

            M. Michu est plein de machines Windows vérolées et de caméras membres de Mirai et tout à coup, on dit « ah non, pas IPv6, ça permettrait de pirater M. Michu

            M. Michu étant un peu la marotte et la cible "usabilité" à atteindre des libristes francophones, le linux vérolé ou très windows-like avec ses paradigmes du moyen âge sera en bonne voie de devenir l'argument anti-ipv6.

    • [^] # Re: Pourtant on a jamais été aussi proche :)

      Posté par  . Évalué à 3.

      (ni même dans le monde en fait)

      Aux USA, c'est plus répandu. http://www.circleid.com/posts/20160821_ipv6_now_dominant_protocol_among_major_us_mobile_providers/

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Pourtant on a jamais été aussi proche :)

      Posté par  . Évalué à 10.

      Je ne sais pas où tu vis, mais tous les équipements et systèmes vendus dans le commerce aujourd'hui, et depuis de nombreuses années d'ailleurs (à part de rares exceptions ?) sont compatibles IPv6. Même les boxs des FAI.

      C'est vrai pour la plupart des équipements réseaux (et heureusement pour les box des FAI).
      Mais pour des équipements dit "embarqué", comme c'est surement le cas pour beaucoup de caméras de vidéo surveillance connectées (pas chère) : il est probable qu'elles fonctionnes juste avec des microcontrôleurs sans MMU donc pas de linux ni de *BSD donc pas d'OS avec de pile IPV4+v6 toute faite.
      C'est souvent du freeRTOS ou autre "miniOS" et la pile IP la plus utilisé est sans doute lwIP, qui supporte l'ipv6 et l'ipv4 conjointement depuis la version 2.0 qui date de Novembre 2016.

      Et novembre 2016 c'était peut être pas pas hier, mais disons avant hier pour du code embarqué dans des produits disposant de peu de suivi et/ou dont les validations de code peuvent être longue.
      Avant qu'on ne commence à critiquer les fabricants de ces systèmes. Je vais comparer la version de lwIP majoritairement utilisé avec la version du noyau d'Android la plus utilisé qui est Marshmallow avec 28.6% d'utilisation (au moment ou j'écris ces lignes) et qui tourne avec un noyau Linux (3.18) qui date de décembre 2014

      C'est donc pas rare ni étonnant d'avoir des équipements tournant avec lwIP 1.4.0 et donc ne pas avoir le support d'IPv6

      • [^] # Re: Pourtant on a jamais été aussi proche :)

        Posté par  (site web personnel) . Évalué à 4.

        Mais pour des équipements dit "embarqué", comme c'est surement le cas pour beaucoup de caméras de vidéo surveillance connectées (pas chère) : il est probable qu'elles fonctionnes juste avec des microcontrôleurs sans MMU donc pas de linux ni de *BSD donc pas d'OS avec de pile IPV4+v6 toute faite.

        Je travaille dans l'embarqué, je suis conscient de tout cela. Mais à part pour des appareils en réseaux fermés (type un avion), c'est une problématique de plus en plus prise en charge. De moins en moins d'appareils n'ont pas de MMU ou un OS ne gérant par l'IPv6.

        Je ne nie pas leur existence à ces engins, mais de là à dire que cela bloque le déploiement de l'IPv6 il ne faut pas abuser. Nombre de pays ont une meilleure pénétration de l'IPv6 que nous sans poser le moindre problème.

        • [^] # Re: Pourtant on a jamais été aussi proche :)

          Posté par  . Évalué à 5.

          Je travail aussi dans l'embarqué et je parle vraiment en connaissance de cause quand je dis pas de MMU + freeRTOS + lwIP (de toute façon freeRTOS est plus un framework d'OS qu'un OS et n'as donc pas besoin de MMU).

          …mais de là à dire que cela bloque le déploiement de l'IPv6 il ne faut pas abuser.

          J'ai jamais dis que ça ralentit l'adoption d'IPv6, juste que ces équipements vont exister encore quelque temps, c'est comme ça et personne n'est vraiment à blâmer.
          Le fait d'avoir quelque équipements ne gérant que l'IPv4 sur son réseau local ne doit pas être un frein à l'adoption d'IPv6.

          • [^] # Re: Pourtant on a jamais été aussi proche :)

            Posté par  . Évalué à 3.

            Surtout que ce sont généralement des équipement terminaux, et qu'on pourrait tout à fait les coller derrière une passerelle V4/V6. En gros, au lieu d'avoir "routeur+nat" en entrée de réseau, on l'a juste en sur les branches du réseau qui se fadent ce genre de matos.

    • [^] # Re: Pourtant on a jamais été aussi proche :)

      Posté par  . Évalué à 10.

      Selon Google, une requête sur 5 se fait en IPv6

      c'est la mienne :o

      *splash!*

  • # IPv6

    Posté par  . Évalué à 3. Dernière modification le 31 janvier 2018 à 18:21.

    Le vrai problème de l'IPv6 only aujourd'hui, c'est qu'on ne peut pas accéder à tous les contenus sur Internet… Certains sites ne supportent pas encore l'IPv6. Ou alors certains services de jeux vidéo (à un époque, c'était vrai pour World of Warcraft, je ne sais pas si c'est encore le cas).

    Donc on est obligé de se retrouver avec un mix IPv4/IPv6 pour conserver un maximum de compatibilité.

    Ca ne facilite en rien la transition. Et elle ne se fera pas sans douleur malheureusement…

    La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

    • [^] # Re: IPv6

      Posté par  (site web personnel) . Évalué à 0.

      Le vrai problème est que bien que non spécialiste, le projet a été mal monté avec des trucs trop ambitieux qui juste marche pas à grande échelle (multicast, mobileIP…) voire ne serve à rien (un service comme mosh en UDP chiffré symétrique résout très bien les problèmes de mobilité du client) et une non compatibilité v4 v6 obligeant à faire des passerelles 6to4. Bref, un beau bordel qui dure depuis trop longtemps. Je pense que cette migration sera un modèle pour les générations futures de ce qu'il ne faut pas faire ;-)

      • [^] # Re: IPv6

        Posté par  . Évalué à 9.

        multicast

        Ça existe aussi en IPv4 (et c'est utilisé par les FAI français par exemple (en v4), mais pas sur Internet).

        mobileIP

        C'est rarement implémenté ou demandé, je ne crois pas que ça retarde le déploiement.

        une non compatibilité v4 v6

        Je ne vois pas comment tu aurais pu faire une compatibilité sans avoir un nouveau protocole qui soit pire que l'existant.

        bligeant à faire des passerelles 6to4

        C'est loin d'être dramatique.

        un modèle pour les générations futures de ce qu'il ne faut pas faire

        Je doute. C'est le protocole fondamental d'Internet, tout est touché et si la plupart des acteurs ne se bougent pas, ça n'en vaut pas la peine (IPv4 fonctionne pour le moment). On peut mettre des rustines (en empilant les NAT notamment) pas trop chères. C'est une belle mise en évidence du dilemme du prisonnier.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: IPv6

          Posté par  (site web personnel) . Évalué à 3.

          Je sais que le multicast existe en IPv4 mais il est peu utilisé et franchit rarement les routeurs. Il est un peu partout dans IPv6… Pour le mobileIP, c'est plus que cela a du occupé les spéciales un paquet de temps pour un truc qui a très peu de chance de vraiment être utilisé.

          Il a fallu un paquet de temps pour avoir des passerelles. Si celles-ci étaient si bien que cela, on aurait IPv6 à coté d'IPv4 sans soucis. Mais elles ne sont au final pas si transparente ces passerelles…

          Perso, j'ai jamais compris pourquoi il n'avait pas simplement rallongé les adresses IPv4 avec un préfixe choisis et avoir ainsi une passerelle transparente. Si la transition est longue, c'est en partie parce que les acteurs historiques ont un paquet d'IP publiques donc n'ont pas de réelle pression. C'est aussi que cela arrange un paquet de monde que les particuliers aillent chez Netflix, Youtube et les ampoules et capteurs de température chez machin.com plutôt que d'avoir chacun des serveurs chez soi.

          • [^] # Re: IPv6

            Posté par  . Évalué à 6.

            Il est un peu partout dans IPv6…

            Je ne vois toujours pas ce que tu veux dire. Il n'est pas plus dans IPv6 qu'il n'est dans IPv4. Sauf pour remplacer le broadcast, mais ça ne franchi pas non plus le réseau.

            Pour le mobileIP, c'est plus que cela a du occupé les spéciales un paquet de temps pour un truc qui a très peu de chance de vraiment être utilisé.

            Je doute que ça ait occupé du monde si longtemps (surtout que c'est sorti il y a 20 ans, ils auraient pu bosser un an de plus à plein temps dessus que ça n'aurait pas changé grand chose). Tu as un lien à ce sujet ?

            Perso, j'ai jamais compris pourquoi il n'avait pas simplement rallongé les adresses IPv4 avec un préfixe choisis et avoir ainsi une passerelle transparente.

            Quelle différence avec le Nat64 ? (et ça pose les problèmes, tu ne peux pas taper une IPv4 dans ton navigateur)

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: IPv6

              Posté par  (site web personnel) . Évalué à 1.

              Par exemple, il n'y a plus non plus ARP…

              https://supportforums.cisco.com/t5/network-infrastructure-documents/ipv6-neighbor-discovery-protocol-ndp/ta-p/3125000

              Pour MobileIP, non je n'ai pas de réf mais c'était plus pour donner un exemple sur IPv6 comme on en a vu ces 20 dernières années alors que malheureusement, on n'a toujours toujours pas une adresse IPv6 sur son poste ;-)

              Avec un rallonge IPv4 dans la norme, IPv4 aurait été un sous ensemble d'un machin plus gros donc on aurait eu automatiquement la translation dans les deux sens sans aucun équipement particulier… Comme dis dans un autre post, il faut (a fallu) tout revoir, ARP, ICMP, BGP… Bref, quand on voit le merdier que c'est de maintenir les routes au niveau mondial, le protocole choisi n'a pas choisi la voie la plus facile pour faire une transition.

              • [^] # Re: IPv6

                Posté par  . Évalué à 4.

                on aurait eu automatiquement la translation dans les deux sens

                Comment ça ? Tu n'aurais quand même pas pu contacter les IPv6 depuis IPv4 vu que qu'il y en a un poil plus.

                sans aucun équipement particulier…

                Ben, il aurait quand fallu un routeur qui ait une IPv6 et une IPv4 pour faire la transition, comme maintenant avec le NAT64.

                Comme dis dans un autre post, il faut (a fallu) tout revoir, ARP, ICMP, BGP…

                De toute façon, en changeant la taille des adresses, il fallait quand même revenir sur ces protocoles.

                Bref, quand on voit le merdier que c'est de maintenir les routes au niveau mondial, le protocole choisi n'a pas choisi la voie la plus facile pour faire une transition.

                Pour le coup, BGP en IPv6, c'est loin d'être le plus gros problème. Donc je ne vois pas pourquoi tu parles des routes au niveau mondial.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: IPv6

            Posté par  . Évalué à 4.

            Je sais que le multicast existe en IPv4 mais il est peu utilisé et franchit rarement les routeurs.

            Il est utilisé pour tout ce qui est diffusion de flux multimédia type TV sur ADSL. (IPTV) Et
            c'est une demande forte actuellement avec l'évolution des usages dans ce domaine (OTT, VOD, TVOD, etc).

            Ce que tu dis était vrai tant que l'internet n'était pas utilisé pour remplacer le réseau hertzien pour la diffusion de masse de flux multimédia. C'est aussi vrai que sa mise en œuvre de bout en bout pour tout les usagers d'internet n'est pas simple et c'est, à mon avis, la raison pour laquelle le P2P a eu autant de succès.

            Le problème principal du multicast IP, c'est l'obligation pour les routeurs de maintenir des tables d'état concernant les abonnés à des flux lorsqu'ils sont actif, alors qu'en unicast, le passage à l'échelle des table de routage se fait par agrégation (ce qui n'est pas simple, non plus, d'ailleurs) mais sans rapport direct avec les flux qui les traverse.

            Pour un diffuseur IPTV, il peut maitriser se problème puisque le multicast n'est utilisé qu'entre la tête de réseau et son CDN jusqu'à la box chez l'abonné sur un nombre plus ou moins pré-défini de flux. Mais si l'usage se développait de bout en bout chez tout le monde (comme le P2P en unicast ou tout le monde peut devenir potentiellement un diffuseur sur un nombre quasi illimité de flux, au grand dam de l'industrie des média, mais c'est un autre débat), ce point ne serait ne serait potentiellement plus gérable pour les routeurs du backbone.

            Et d’ailleurs, il me semble que le multicast ipv6 ne règle pas ce problème, car il semble lié fondamentalement au problème plus général de diffusion de flux multicast appliqué à des réseau stateless à base de datagramme comme IP.

            Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

            • [^] # Re: IPv6

              Posté par  (site web personnel) . Évalué à 3.

              Le P2P évite les goulets d'étranglement mais les gouvernements français n'ont rien compris et on déroulé le tapis rouge à Youtube, Netflix… donc les bénéfices rentrent désormais par la grande porte aux USA via l'Irlande et les îles… La licence globale aurait permit de subventionner la création en France tout en payant les droits d'auteurs sans créer de bouchon !

              Il n'y aura pas de multicast pour tout le monde. Le multicast sers effectivement pour la diffusion TV. Donc cela signifie des accords et que pour les gros -> fin de la neutralité du Net. C'est une des raisons pour laquelle je n'ai pas la TV sur mon abonnement ADSL, je ne veux pas cautionner la fin de cette neutralité.

              • [^] # Re: IPv6

                Posté par  . Évalué à 4. Dernière modification le 03 février 2018 à 13:29.

                Le P2P évite les goulets d'étranglement

                Uniquement dans le cas où tout le monde seed (se qui est très très rare sur le long terme) et possède une connexion correcte.
                Et avec l'avènement des mobiles (mémoire/bandwidth/énergie limité) le P2P/F2F/Torrent perd en pertinence à côté du streaming. (le streaming permet de n'envoyer que la résolution/qualité demandée par l'utilisateur, ne nécessite pas la capacité de stoker l'entièreté du fichier surtout sur le long terme, pas de conso d'énergie pour partager à des pairs, tu évites de filer ton IP à des pairs, etc)

                La licence globale aurait permit de subventionner la création en France tout en payant les droits d'auteurs sans créer de bouchon !

                À l'époque l'idée paraissait mignonne, aujourd'hui ça donne l'impression de vouloir donner un salaire à vie/revenu de base uniquement aux "artistes" et les autres OSEF.

                mais les gouvernements français n'ont rien compris et on déroulé le tapis rouge à Youtube, Netflix…

                Le gouvernement il s'en cogne, lui se qu'il voit c'est que Youtube est plus facile à contrôler et rapporte de la thune alors que les réseaux P2P/Torrent non.
                En plus rajoutes la couche des commerciaux de Youtube qui vont aller expliquer aux politiciens que le P2P c'est utilisé que par les crypto-nazy-terroriste-pedophile-mangeur de poney.

                • [^] # Re: IPv6

                  Posté par  (site web personnel) . Évalué à 0.

                  Le P2P ne pers pas en pertinence face au streaming, tout a été fait pour le tuer ! Vu les investissements en temps humain mis sur le streaming, on aurait pu avoir une technologie P2P bien plus avancée ;-) De mon coté, je préfère filer mon IP à des pairs qu'à Alphabet !

                  La licence globale permettait d'avoir exactement la même somme (Netflix est à 10€ je crois) mais qui aurait été entièrement piloté en interne plutôt que de donner cela à des boites américaines qui ne jouent pas le jeux. Cette somme, les parlementaires auraient pu voter son utilisation chaque année. Les artistes en auraient récupéré une partie ce qui est normal. Mais même avec le système privatisé actuel, les artistes touchent aussi ! Il faut bien qu'eux aussi mange…

                  Je ne suis pas du tout sur que Youtube soit facile à contrôler car en plus, ils font de plus en plus de https… Concernant la thune, la licence globale rapportait plus comme je l'ai dis plus haut car tout allait directement à l'état qui ensuite assurait la redistribution.

                  • [^] # Re: IPv6

                    Posté par  (site web personnel) . Évalué à 3.

                    Ce qui me gêne avec la licence globale, c'est que, personnellement, je n'ai pas vraiment envie de donner mon argent aux artistes que tout le monde écoute/va voir au cinéma.

                    Actuellement, tout l'argent que je dépense en culture, je le mets sur des trucs que j'aime et je pense que pour les petits artistes, le ratio nombre de personnes qui écoutent et achètent (et/ou vont à un concert) est supérieur à ce qui se passe pour les gros où il y a un piratage en masse (évidemment, ils vendent quand même plus de disques en absolu).

                    Je préfère donner 200 euros par an à des artistes que j'apprécie que 10 euros qui vont en partie aller à des artistes que je n'aime guère, notamment ceux dont le nom commence par "Calo" et finit par "gero" sans viser personne.

                    Du coup, je ne suis pas sûr qu'à la fin, si on répartit une licence globale par écoutes, les petits artistes s'y retrouvent. M'est avis que ça va faire comme la radio, une très grosse majorité de l'argent sur très peu de têtes.

                    Rien à voir mais gros coup de coeur du moment qui mériterait d'être plus connu : Ghostpoet.

                  • [^] # Re: IPv6

                    Posté par  . Évalué à 5.

                    Le P2P ne pers pas en pertinence face au streaming, tout a été fait pour le tuer !

                    ? ? ?
                    De souvenir, je dirais plus tôt que c'est la MPAA qui a perdu.

                    Vu les investissements en temps humain mis sur le streaming, on aurait pu avoir une technologie P2P bien plus avancée ;-)

                    WebRTC (utilisé dans Nextcloud Talk), F2F (Retroshare), Torrent, Tox. Plein des technos qui continuent aujourd'hui d'évoluer.
                    Le point commun de Torrent, F2F et Tox étant qu'ils pompent grave la batterie/bandwidth des mobiles et que les devs de la première heure ne se sont pas forcément convertis aux mobiles (genre Retroshare ne dispose toujours pas d’application pour Android, pas car quelqu'un tente de le tuer mais simplement car csoler n'est pas dev sur android et n'a pas envie de se taper le boulot, mais rien, à par la fainéantise, n'empêche d'autres de s'y mettre :P )

                    Et le streaming ne se résume pas a Youtube, tu as aussi tout les sites pornos, les sites de streaming de films/séries/manga, nextcloud (vidéos et audio), bitchute (qui utilise du torrent), peut-être bientôt peertube
                    Après comprends aussi que le P2P/F2F voir le Torrent (si on omet la pub) ne rapporte rien et donc ne peuvent attirer des nouveaux devs qu'en cherchant dans leurs propre utilisateurs ou en utilisant la philosophie (qui, comme avec les logiciels libre en général, est moins efficace pour attirer les programmeurs que de promettre un beau salaire)

                    De mon coté, je préfère filer mon IP à des pairs qu'à Alphabet !

                    Je me souviens que MSN/Skype avait inséré des serveurs intermédiaires car, à l'époque, tout le monde savait comment récupérer l'IP d'un contact pour ensuite le DDOS (se qui était très courant chez les joueurs français top classement d'ogame).

                    ils font de plus en plus de https

                    Si un gouvernement occidentale dit "je veux plus voir cette vidéos terroriste", que se soit en https ou en http ne changera rien.
                    Si un gouvernement veut les IP des lecteurs d'une vidéos, que se soit en http ou https ne changera encore une fois rien, il suffit d'aller voir dans les fichiers logs (ou dans google analytics dans le cas de youtube).

                    La licence globale permettait d'avoir exactement la même somme (Netflix est à 10€ je crois) mais qui aurait été entièrement piloté en interne plutôt que de donner cela à des boites américaines qui ne jouent pas le jeux. Cette somme, les parlementaires auraient pu voter son utilisation chaque année. Les artistes en auraient récupéré une partie ce qui est normal. Mais même avec le système privatisé actuel, les artistes touchent aussi ! Il faut bien qu'eux aussi mange…

                    Et pourquoi les artistes mériteraient plus leur pain que les autres?
                    Qu'est-ce qui défini un artiste? Poster des vidéos de mon chat fait-il de moi un artiste?
                    Si je postes des carrés bleu sur fond blanc sur youtube (comme certains peintre), est-ce que je mérite plus à manger que si je postes de la vulgarisation sur LinuxFR?
                    Et si un type repompe mes tutos sur LinuxFR et les lit à haute voix sur youtube, c'est lui ou moi qui mérite les gains?
                    Tu va filer combien a un artiste qui a un boulot bien moins pénible qu'un ouvrier du bâtiment? (sachant que si demain les ouvriers abandonnent tous le tractopelle pour twitcher leur partie de jeux vidéos, on sera bien dans la merde)
                    Perso c'est le salaire a vie équitable pour tout le monde ou que dalle pour tout le monde.

    • [^] # Re: IPv6

      Posté par  . Évalué à 10.

      Le vrai problème de l'IPv6 only aujourd'hui

      Le mot qui me dérange dans cette phrase c’est « aujourd’hui ». IPv6 a 20 ans et fonctionne bien, c’est pas le protocole le problème, c’est les admin sys.

      • [^] # Re: IPv6

        Posté par  (site web personnel) . Évalué à -1.

        Non. Un machin qui a 20 ans et qui est aussi important mais n'est pas encore vraiment déployé a un problème de conception.

        Le problème n'est pas Humain. Essaye de déployer IPv6 sur une grande université multi-site et tu verras que ce n'est pas si simple… Heureusement, les outils changent et évoluent et c'est chaque jour de plus en plus simple. Cependant, je n'ai pas encore vu personnellement de plan détaillé pour le faire chez nous.

        • [^] # Re: IPv6

          Posté par  . Évalué à 1.

          Il y a encore les problèmes de hairpinning en IPv6?

        • [^] # Re: IPv6

          Posté par  (Mastodon) . Évalué à 10.

          Un machin qui a 20 ans et qui est aussi important mais n'est pas encore vraiment déployé a un problème de conception.

          C'est triste ton avis sur Linux

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: IPv6

            Posté par  . Évalué à 2. Dernière modification le 01 février 2018 à 09:53.

            Exemple mal choisi : Linux est extrêmement déployé (embarqué, serveurs, Android). Ne pas confondre avec les desktops basés sur Linux.

            • [^] # Re: IPv6

              Posté par  . Évalué à 7.

              Héhé, s'est vrai, mais du coup, ipv6 l'est aussi ! ;-)

              Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

        • [^] # Re: IPv6

          Posté par  . Évalué à 7.

          Non. Un machin qui a 20 ans et qui est aussi important mais n'est pas encore vraiment déployé a un problème de conception.

          Qui n'est pas encore vraiment déployé ? Cela dépend de l'endroit du monde. La Corée a massivement investi dans ipV6, comme la Chine. De toute façon, ils avaient un stock ipv4 bien trop petit pour répondre à leurs besoins. Pas vraiment le choix.

          La Chine a un réseau de 25 université qui fonctionne en réseau intégralement ipv6.

          Comme passer à ipv6 est un changement lourd, ce qui ont déjà monté les réseau en ipv4 n'ont pas du tout envie d'y passer. Tout un travail à refaire. Les pare feu par exemple … Hummm. Toutes ces belles interfaces graphiques de pare feu en ipv4 qu'on pourra mettre à la poubelle.

          Il y a déjà eu des précédents. Quand la majorité du monde est passé de 110V à 220V, les états unis sont restés en 110V. Un parc installé trop important à l'époque pour faire le changement.

          Je crois que Corée, Japon et Chine ont tous les trois des plans pour être full ipv6 à moyenne échéance.

          Donc pas vraiment déployé … en France.

          C'est bien un problème humain et logistique, et pas un problème technique

          • [^] # Re: IPv6

            Posté par  . Évalué à 5.

            Attends qu'est-ce que tu veux dire par ipv6 pour la chine ? Est-ce que chaque citoyen chinois peut avoir un /64 public ou est-ce qu'ils ont juste gardé le même principe qu'en v4 avec une ipv6 planquée derrière 3 niveaux de NAT ?

            *splash!*

          • [^] # Re: IPv6

            Posté par  (site web personnel) . Évalué à 4.

            • IPv4 RFC 7601 - janvier 1980
            • IPv6 RFC 24601 - décembre 1998

            Je ne dis pas qu'IPv6 est nul, je dis juste que la voie choisie n'a certainement pas été la plus facile… La RFC 24601 est sortie alors que la plupart des particuliers n'avaient pas encore internet partout et surtout pas sur leur téléphone.

            Désolé mais ce n'est pas qu'un problème humain ;-)

      • [^] # Re: IPv6

        Posté par  . Évalué à 2.

        IPv6 a 20 ans et fonctionne bien

        C'est vite dit, plein d'outils autour ont mis du temps à arriver. OSPF en IPv6, c'est arrivé 10 ans après IPv4, en 2008 par exemple.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: IPv6

          Posté par  . Évalué à 4.

          Ton commentaire est trompeur (et je pense que tu le sais) : IPv6 date de 1998 (RFC2460), OSPFv3 date de 1999 (RFC2740).

          Si c’est 10 ans après la première normalisation d’OSPF, c’est certainement pas 10 après la normalisation d’IPv6.

          • [^] # Re: IPv6

            Posté par  . Évalué à 3.

            Désolé, j'avais lu trop vite, j'avais pris la 5340. Mais si on prends les implémentations, ça reste valide, même si c'est moindre. Par exemple, pour OpenBSD, ospf6d date de 4.2 soit novembre 2007 alors que ospfd date de mai 2005. Je l'accorde, la différence est bien moins grande, mais ospf6d manque toujours de fonctionnalités comparé à ospfd: "Support for multiple areas is currently not available in ospf6d." Ça montre bien que les outils ne sont pas encore isofonctionnels. Un autre exemple, pour Bird, il a fallu attendre 2010 pour OSPFv3.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: IPv6

              Posté par  (site web personnel) . Évalué à 1.

              Ouais alors le truc c'est que malheureusement les implémentations ipv6 arrivent toujours après celle en v4 et sont bien moins testé…
              J'ai essayé dans taf - 1 de déployer un backbone avec que du v6 natif et v4 par dessus (mpls toussa). Bah c'est juste pas encore possible…
              L'inverse aura été staightforward…

              Les autres problèmes dans le désordre :
              1) finalement il reste de v4
              2) le modele du Nat arrange finalement tout le monde
              3) v6 n'apportait rien de bien meilleur que v4 ; donc faire une migration d'un protocole juste pour un faux probleme de place; bin…

  • # Même chose en Confiared

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 31 janvier 2018 à 18:32.

    Bonjour,

    Nous avons le même problème en Bolivie en Confiared, sur le secteur FAI et le secteur datacenter.
    Et hélas faire bouger les autres acteurs c'est très difficile vu qu'ont est tout petit.
    Et si on est les seuls à avoir IPv6, cela limite l'intérêt.
    Ici avoir une IPv4 publique coûte + 100$/mois (quand c'est possible) et c'est 3 mois de paprasse.

    Cordialement,

    Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

  • # Linuxfr et ipv6

    Posté par  . Évalué à 10.

    Au fait, ne serait-il pas temps pour linuxfr de supporter l'ipv6, puisque ce n'est apparemment pas le cas ?

  • # Que pensez-vous de la spécification IPv10 ?

    Posté par  . Évalué à 0.

    Le projet de spécification IPv10 ayant été publié en septembre 2017, on peut se poser la question des savoir si IPv10 pourrait accélérer ou non le passage à IPv6 ?

    IPv10 est conçu pour permettre aux adresses IPv6 de communiquer vers ou depuis les adresses IPv4. IPv10 espère accélérer l'adoption de l'adressage IPv6 en le rendant rétrocompatible avec IPv4 permettant ainsi une meilleure coexistence des deux standards du protocole Internet.

    IPv10 résout le problème en permettant aux hôtes uniquement IPv6 de communiquer avec des hôtes uniquement IPv4 et vice versa d'une manière simple et très efficace, aussi bien lorsque la communication est directement faite avec des adresses IP ou en utilisant des noms d'hôtes entre des hôtes IPv10, sans avoir recours à la traductions de protocole ou à impliquer le DNS dans le processus de communication plus que sa fonction de résolution normale d'adresse. IPv10 permet aux hôtes de deux versions IP (IPv4 et IPv6) de communiquer, ceci est réalisé en ayant un paquet IPv10 contenant un mélange d'adresses IPv4 et IPv6 dans la même en-tête de paquet IP.
    
    • [^] # Re: Que pensez-vous de la spécification IPv10 ?

      Posté par  . Évalué à 10.

      Au cas où certains penseraient que c'est un truc sérieux. Ce "protocole" est écrit par un gars tout seul et pas du tout approuvé par les gens qui développent des protocoles. De plus, il ne rend pas IPv6 compatible avec IPv4, c'est juste un nouveau protocole qui demanderait une mise à jour de tout le matériel existant pour qu'il puisse être utilisé. Et même dans l'hypothétique cas où il serait en place, il ne résoudrait rien. Le problème, ce sont les équipements (ou softs) actuels qui ne supportent pas IPv6 (et donc, encore moins IPv10).

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Que pensez-vous de la spécification IPv10 ?

      Posté par  (site web personnel) . Évalué à 5.

      IPV10 peut être présenté comme une solution. Mais en est-ce une ? Est-ce une solution transitoire ? Elle a le défaut de pérenniser IPV4 et de freiner l'adoption de IPV6.

      Actuellement, on fait des bidouilles qui peuvent nous permettre une transition réaliste.
      D'autres mesures pourraient être très incitatives en obligeant les appareils qui ne supportent pas IPV6 à l'inscrire en gros caractères, voire à rendre obligatoire IPV6 sur tous les appareils munis d'une prise Ethernet.

      Nous avons vu la transition de la télévision de 819 lignes à 625 (ce n'était pas un progrès) puis en couleurs, puis en numérique, puis en numérique HD MP4 et bientôt en 4K. Les transitions ont été bien organisées avec un coût maîtrisé. Par exemple, j'ai dans ma pièce un téléviseur "HD ready" qui utilise un adaptateur à 25€ pour la TNT. Ces transitions se sont dans l'ensemble bien passées car tout le monde (Diffuseurs et fabricants) a œuvré dans le même sens. Je ne ressens pas cette même volonté pour internet.

      Il faudrait une volonté politique comme pour la télévision afin d'avoir une bonne transition. Malheureusement nos dirigeants sont dans leur grande majorité des littéraires qui pensent ce ce ne sont que des "détails techniques". Façon simple d'éluder un problème qu'ils ne comprennent pas.

      • [^] # Re: Que pensez-vous de la spécification IPv10 ?

        Posté par  (Mastodon) . Évalué à 7.

        Il faudrait une volonté politique comme pour la télévision afin d'avoir une bonne transition. Malheureusement nos dirigeants sont dans leur grande majorité des littéraires qui pensent ce ce ne sont que des "détails techniques". Façon simple d'éluder un problème qu'ils ne comprennent pas.

        Mauvaise analyse. Dans le cas de la télévision, tu as un truc qui s'appelle l'État, qui est propriétaire des fréquences et des antennes, qui a pu impulser le truc, faire un calendrier et dire à tout le monde : ça va se passer comme ça. Autrefois, on appelait ça un plan. Dans le cas d'Internet, tu n'as pas une autorité supérieure chargé de l'intérêt général, tu as juste la main invisible du marché qui alloue les ressources de manière optimale (enfin, c'est ce qu'on raconte) mais qui est surtout la somme des intérêts individuels de chacun des acteurs (et dans ce cas là, ils sont très nombreux). Voilà le résultat.

        • [^] # Re: Que pensez-vous de la spécification IPv10 ?

          Posté par  (site web personnel) . Évalué à 5.

          Mince, l'ARCEP n'existe pas ! Les opérateurs font vraiment tout ce qu'ils veulent, sans plan.

          C'est fou, Orange a obtenu ses fréquences mobiles unilatéralement, sans contraintes, et il n'y absolument aucun plan national (et même européen) pour avoir la THD partout.

          Si l'État contrôle plus le domaine télévisuel que les télécoms, cela n'empêche pas que l'État a un pouvoir régulateur fort dans ce domaine aussi. Et j'ai envie de dire, tant mieux que l'ARCEP ne soit pas comme le CSA.

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  (Mastodon) . Évalué à 4.

            Mince, l'ARCEP n'existe pas ! Les opérateurs font vraiment tout ce qu'ils veulent, sans plan.

            L'ARCEP ne peut rien faire au plan mondial, elle peut s'occuper des opérateurs français et encore. Quand on voit l'état du déploiement de la fibre, on se dit que l'ARCEP se fait marcher sur les pieds. L'IPv6, c'est pas uniquement au niveau français que ça doit se décider.

            C'est fou, Orange a obtenu ses fréquences mobiles unilatéralement, sans contraintes, et il n'y absolument aucun plan national (et même européen) pour avoir la THD partout.

            En quoi est-ce contradictoire avec ce que j'ai dit ? J'ai bien dit que les fréquences appartenaient à l'État. Mais on parle d'IPv6 là, pas du mobile. Mais après, on peut parler du déploiement de l'ADSL ou de la 4G et aller dans des coins très sympathiques, mais dépourvus de la moindre antenne ou du moindre DSLAM. Donc, le «partout» est sans doute un peu trop fort.

            • [^] # Re: Que pensez-vous de la spécification IPv10 ?

              Posté par  (site web personnel) . Évalué à 5.

              L'ARCEP ne peut rien faire au plan mondial, elle peut s'occuper des opérateurs français et encore.

              Tu me parles d'État et de plan étatique pour la télévision (donc limité à un État) mais pour l'Internet cela doit être forcément mondial ? Ce n'est pas cohérent.

              Je veux dire, l'IPv6 peut se déployer en France via des textes français, la coordination mondiale n'est pas plus nécessaire que sur d'autres sujets. Car sinon je peux te parler des fréquences TV qui ne sont pas uniformes dans le monde entier (donc les constructeurs doivent prendre en compte), ni même les normes de diffusion (typiquement NTSC / PAL / SECAM quand c'était analogique).

              Mais on parle d'IPv6 là, pas du mobile.

              Des sujets sur lesquels l'État a un pouvoir règlementaire via l'ARCEP entre autre et cela fonctionne plutôt bien.

              Mais après, on peut parler du déploiement de l'ADSL ou de la 4G et aller dans des coins très sympathiques, mais dépourvus de la moindre antenne ou du moindre DSLAM. Donc, le «partout» est sans doute un peu trop fort.

              Le plan THD doit se finir à l'horizon 2025, dire qu'aujourd'hui il n'est pas fini c'est un peu logique…

        • [^] # Re: Que pensez-vous de la spécification IPv10 ?

          Posté par  . Évalué à 5.

          En même temps, je ne vois pas ce qui empêche la France ou l'UE d'imposer effectivement que tout matériel vendu qui supporte IPv4 soit obligé de supporter également IPv6 à partir de JJ-MM-AAAA.

          Par la suite, on peut imposer aussi aux FAI de fournir une adresse IPv6 à leurs clients, d'abord ceux qui le demandent, puis tout le monde.

          Quand on est l'État, on n'est pas censé avoir besoin d'un monopole sur des fréquences pour imposer son point de vue!

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  (Mastodon) . Évalué à 0.

            Quand on est l'État, on n'est pas censé avoir besoin d'un monopole sur des fréquences pour imposer son point de vue!

            Oui, on peut demander gentiment, ça marche… ou pas. On devrait essayer de demander gentiment à tous les évadés fiscaux de revenir, ou alors on devrait essayer de demander gentiment aux automobilistes de rouler à 80 au lieu de 90.

            • [^] # Re: Que pensez-vous de la spécification IPv10 ?

              Posté par  (site web personnel) . Évalué à 8.

              Oui, c'est vrai que la France n'a aucune loi et que personne ne respecte rien c'est bien connu. Les opérateurs sont réputés pour faire vraiment tout ce qu'ils veulent.

              Quand même, je veux bien que la France ne soit pas parfaite, que nos opérateurs ne soient pas des divinités, mais bon, à t'écouter c'est vraiment comme si c'était le cas. C'est affligeant.

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  . Évalué à 3.

            Par la suite, on peut imposer aussi aux FAI de fournir une adresse IPv6 à leurs clients, d'abord ceux qui le demandent, puis tout le monde.

            Bah directement tout le monde alors parce ceux qui le demandent ils ont déjà choisi correctement leur opérateur.

            *splash!*

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  . Évalué à 10.

            C'est déjà le cas :

            https://www.legifrance.gouv.fr/affichTexteArticle.do?idArticle=LEGIARTI000033205174&cidTexte=LEGITEXT000033205014&dateTexte=20170105

            A compter du 1er janvier 2018, tout nouvel équipement terminal, au sens de l'article L. 32 du code des postes et des communications électroniques, destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPV6.

            • [^] # Re: Que pensez-vous de la spécification IPv10 ?

              Posté par  (site web personnel) . Évalué à 4.

              LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique - Article 42

              A compter du 1er janvier 2018, tout nouvel équipement terminal, au sens de l'article L. 32 du code des postes et des communications électroniques, destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPV6.

              Voici donc une très bonne nouvelle, mais sa publication n'a pas soulevé l'enthousiasme des médias. Les journalistes sont essentiellement des littéraires plus enclins à parler de scandales de faits divers que sujets très actuels, structurants de notre société mais qui dépassent leur entendement.
              Heureusement, il y a Linuxfr et quelques autres sites qui essaient de combler le fossé qui existe entre le monde technique qui fait évoluer la société et le monde des journalistes.

              • [^] # Re: Que pensez-vous de la spécification IPv10 ?

                Posté par  (site web personnel) . Évalué à 10.

                Je ne vois pas en quoi une telle loi devrait être diffusée dans les médias grand public. Tout comme de nombreuses lois assez techniques dans d'autres secteurs.

                De souvenir cela a été couvert un peu par les médias techniques style NextInpact. Ce qui me semble suffisant.

            • [^] # Re: Que pensez-vous de la spécification IPv10 ?

              Posté par  . Évalué à 4.

              doit être compatible avec la norme IPV6.

              Ça veut dire quoi ? Parce qu'il y a plein d'équipement "compatible" IPv6 mais qui ne sont pas utilisable (ou pas totalement) en IPv6 en pratique soit parce qu'ils n'ont pas les mêmes fonctionnalités qu'en IPv4 (par exemple, parefeu disponible en v4 mais pas en v6, ou accélération matérielle en v4 mais pas en v6…) soit parce que ces fonctionnalités sont buggé en v6.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  . Évalué à 4.

            En même temps, je ne vois pas ce qui empêche la France ou l'UE d'imposer effectivement que tout matériel vendu qui supporte IPv4 soit obligé de supporter également IPv6 à partir de JJ-MM-AAAA. (…) Quand on est l'État, on n'est pas censé avoir besoin d'un monopole sur des fréquences pour imposer son point de vue!

            Sur les fréquences oui (encore que c'est pas si simple et beaucoup de choses se passent au niveau Européen : voir notamment comment ECC/CEPT, commission UE et ETSI se coordonnent). L'ANFR représente la France à la CEPT, au RSCOM et à l'UIT, mais ce n'est pas dans son mandat de s'occuper d'autre chose que des fréquences (je discutais il y a qq temps avec le CTO de l'etsi pour voir justement si/comment on pourrait introduire le respect de la GPL dans la certification CE précisément pour étendre la durée de vie de nos devices - parce que oui en dehors des grandes marques un peu tout ce que tu trouveras sur Alibaba/Aliexpress basé sur un noyau Linux sera en violation de la GPL…, mais la réponse n'était pas simple et ça implique du travail semi-technique et semi-politique au niveau de la commission européenne…)

        • [^] # Re: Que pensez-vous de la spécification IPv10 ?

          Posté par  . Évalué à 3.

          moui mais en france c'est pas terrible ce principe, plan télé -> choix du SECAM seule pays au monde avec cette norme, prise télé type français et type européen, non compatible. finalement on passe a l'européen

          plus recement, choix de prise électrique pour les bornes de véhicule la France choisis le type 3, lorsque TOUTE l’Europe choisis le type 1. 5 ans plus tard … la france choisi le type 1, toute les borne installé ne sont plus compatible \o/
          si c'est pour se retrouver avec l'IPV7 car c'est mieux que le reste du monde, bof …

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  (site web personnel) . Évalué à 5.

            choix du SECAM seule pays au monde avec cette norme

            Il ne faut pas exagérer, outre quelques colonies africaines, l'ex-URSS l'a en grande partie utilisée (la Russie entre autre). Et techniquement le S2CAM a une grande plu value sur le NTSC américain.

            On peut regretter de ne pas avoir utilisé le PAL, mais au moins la compatibilité S2CAM / PAL était facile à atteindre pour un seul appareil, le NTSC était plus délicat à intégrer avec les autres. :(

            Après c'est vrai que la France a une sale habitude pour le NIH. Mais c'est assez courant je pense pour une grande puissance, les USA, le Royaume-Uni et le Japon sont pas mal touchés par cette maladie.

            Heureusement que l'UE cadre un peu tout cela, la situation serait sans doute catastrophique sinon…

          • [^] # Re: Que pensez-vous de la spécification IPv10 ?

            Posté par  . Évalué à 2.

            plus recement, choix de prise électrique pour les bornes de véhicule la France choisis le type 3, lorsque TOUTE l’Europe choisis le type 1. 5 ans plus tard … la france choisi le type 1, toute les borne installé ne sont plus compatible \o/

            Si je ne me trompe pas, ce sont les prises type 2 qui sont le standard actuel. Je n'ai, personnellement, pas encore entendu parler de prise type 1 (mais il faut dire que le sujet ne m'intéresse pas outre mesure, et si je sais à quoi ressemblent certaines bornes, c'est parce que depuis peu je bosse dessus, et il est évident qu'il y a pas mal de choses qu'il me reste à apprendre).

    • [^] # Re: Que pensez-vous de la spécification IPv10 ?

      Posté par  . Évalué à 10.

      Aller, parce qu'on ne se lasse jamais:

      XKCD: Standards

    • [^] # Re: Que pensez-vous de la spécification IPv10 ?

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Tiens, justement, le clown ridicule qui publie ces drafts (pas ses meilleurs : le meilleur était celui où il concevait un réseau de satellites connectés par des fibres optiques) vient de faire une nouvelle version, la -11 :-}

      Cette fois, il a ajouté une section DNS :-(

  • # Nginx

    Posté par  . Évalué à 2.

    Je n’ai jamais vu de routeur qui, à partir d’une adresse IPv6, fasse correspondre une adresse IPv4.

    Je pense que c'est faisable avec Nginx (en reverse proxy), à supposer que tout passe en HTTP, ce qui serait d'ailleurs un plus car les caméra IP et autres objets connectés, c'est de la merde, blindé de failles de sécurité, tu mines peut-être déjà du bitcoin sans t'en apercevoir.

    • [^] # Re: Nginx

      Posté par  . Évalué à 4.

      Tu peux le faire avec du NAT64, http://ipvsix.me/?p=106 par exemple

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Nginx

        Posté par  (site web personnel) . Évalué à 3.

        Je viens d'acheter un routeur TP-Link qui semble le permettre. Il faut que je plonge dans son intimité pour mieux connaître ses possibilités. Ce routeur est compatible OpenWRT, il me semble que c'est un bon critère de choix.

      • [^] # Re: Nginx

        Posté par  . Évalué à 2.

        +1 pour le NAT64.
        Le moyen le plus simple pour résoudre ce problème est d'avoir un routeur en front qui fait du NAT64.
        La proxyfication est aussi une bonne méthode mais demande plus de ressources niveau auto-hébergement je trouve …

        • [^] # Re: Nginx

          Posté par  (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 03 février 2018 à 12:36.

          Au passage, au FOSDEM, ce week-end, le Wifi est en IPv6 seul par défaut. Avec NAT64. Et ça juste marche. Quand les gens bossent, au lieu de chouiner et de faire des réunions, IPv6 est simple. Juste fais le.

              % iwconfig wlp2s0
              wlp2s0    IEEE 802.11abgn  ESSID:"FOSDEM"  
                        Mode:Managed  Frequency:5.24 GHz  Access Point: 64:D9:89:90:2E:2C   
                        Bit Rate=300 Mb/s   Tx-Power=22 dBm   
                        Retry short limit:7   RTS thr:off   Fragment thr:off
                        Power Management:on
                        Link Quality=27/70  Signal level=-83 dBm  
                        Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
                        Tx excessive retries:0  Invalid misc:4   Missed beacon:0
          
              % ip addr show wlp2s0
              3: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1350 qdisc mq state UP group default qlen 1000
                  link/ether b8:08:cf:18:6f:48 brd ff:ff:ff:ff:ff:ff
                  inet6 2001:67c:1810:f051:5da8:d941:e88b:c1f4/64 scope global temporary dynamic 
                     valid_lft 604636sec preferred_lft 85636sec
                  inet6 2001:67c:1810:f051:6196:815a:49b3:d495/64 scope global mngtmpaddr noprefixroute 
                     valid_lft forever preferred_lft forever
                  inet6 fe80::d22:3668:c059:8007/64 scope link 
                     valid_lft forever preferred_lft forever
          
          • [^] # Re: Nginx

            Posté par  . Évalué à 3.

            Totalement d’accord, mais bordel ces noms d’interfaces…

    • [^] # Re: Nginx

      Posté par  (site web personnel) . Évalué à 1.

      N'importe quel LB ou reverse proxy serieux te fait ca de nos jours (Haproxy, Ngx, F5, Citrix, etc…)

  • # Ha la mauvaise foi...

    Posté par  (site web personnel) . Évalué à 4.

    Les adresses IPv6 sont longues et peu mémorisables, devrons‐nous avoir un nom de domaine chacun ?

    Ce n'est pas comme si ça faisait pas plus de 15 ans que les DNS dynamiques existaient et que toute personne sensée utilise plutôt que de retenir son IP, même fixe.
    Et sinon le copier/coller ça marche pas mal (autant IPv4 que v6, perso j'ai autre chose à retenir que mon IPv4).

    Il est très intéressant de multiplier par quatre le nombre de raccordements pour repousser la fin de l’IPv4, mais à quel prix ? C’est très bien pour un utilisateur très basique qui se contente de surfer sur le Web, c’est‐à‐dire la grande majorité, mais pas pour les autres !

    Foutaises, on peut faire pas mal de choses avec ce truc, et s’auto-heberger ne veut pas dire avoir un hébergement dans le pire endroit (ha le problème de connexion quand on est en vacances loin de la maison…), l'auto-hébergement existe aussi chez un hébergeur (ce n'est pas le lieux qui compte, et il y a plein de VPS à pas cher)

    Donc bon au final ça concerne que peu de monde impacté, même des "non basiques" (un truc fou, il y a des gens un peu "idiots" qui regardent si leur matos supporte IPv6, par exemple).


    tu voudrais faire passer les gens ayant des problèmes avec IPv4 pour ridicules que tu ne t'y prendrais pas autrement. Il n'y a plus d'adresses IPv4, il faut faire avec, on passe à IPv6 et si tu ou ton voisin n'a pas fait attention, une petite auto-critique (absente du journal, toujours la faute de l'autre) est de ne pas avoir vérifié la compatibilité IPv6.

    Je n'ai pas compris un truc : avec ce partage, connais-tu la plage de ports pour toi? Si oui, c'est réglé, tu peux faire un serveur HTTP (ou le truc de ta caméra) sur autre chose que le port 80 (ou le port pour ta caméra), donc tu prends un autre port (et que ce soit "pas joli" n'est pas important, chez toi c'est pas assez stable pour que tu mette un site pour d'autres, donc ça va). Si non, bon un peu plus gênant certes.

    Ps : bon, sinon LinuxFr toujours pas dispo en IPv6, ça fait sourire pour des gens sensés être en avance sur les autres, cordonnier mal chaussé :) (après, hébergement gratos et bénévoles, certes)

    • [^] # Re: Ha la mauvaise foi...

      Posté par  . Évalué à 5. Dernière modification le 31 janvier 2018 à 21:35.

      Ce n'est pas comme si ça faisait pas plus de 15 ans que les DNS dynamiques existaient et que toute personne sensée utilise plutôt que de retenir son IP, même fixe.

      Par contre avec IPv6 on passe d'un nom de domaine qui suffit pour tout un LAN à un nom de domaine par objet connecté (sachant que les objets connectés qui sont compatible DDNS ne sont déjà pas nombreux et en réalité ils ne sont compatible qu'avec les 3 acteurs principaux (donc pas de netlib.re et autre fournisseur associatif)). Sauf a fixer les IP via routeur et passer par un load balancer /proxy bien entendu.

      • [^] # Re: Ha la mauvaise foi...

        Posté par  . Évalué à 3.

        Aujourd'hui, on a une machine qui à une IP publique et qui redirige les requêtes vers des machines qui ont des IP uniquement sur un LAN. Si je ne m'abuse, le système à base de ports, ce n'est pas IPv4 qui l'implémente, mais TCP et UDP? Qui, il me semble, sont encore utilisables sur IPv6, donc à priori, je ne vois pas ce qui empêche d'utiliser le même système de redirection de ports quand c'est utile? Tel que j'ai compris les choses, toutes les machines peuvent avoir une IP en IPv6, mais ça ne veut pas dire qu'elles doivent être accessibles de l'extérieur?

        Sinon, je suppose qu'il est aussi toujours possible d'utiliser des sous-domaines?

        Sauf a fixer les IP via routeur

        Tu veux dire, de la même façon que, de nos jours, on fixe les ports (et les IPv4) pour rediriger les paquets vers une machine pré-définie?

        • [^] # Re: Ha la mauvaise foi...

          Posté par  . Évalué à 2.

          donc à priori, je ne vois pas ce qui empêche d'utiliser le même système de redirection de ports quand c'est utile?

          Un des buts d'IPv6, si je ne m'abuse, est d'éviter de dépendre d'un NAT.
          Donc oui on peut le ré-utiliser, mais il est censé ne plus être obligatoire.
          Par contre très clairement, vu la sécurité en carton de l'IOT et des caméras de surveillance, je conseil vivement de passer par ce système (frontend) + isolation des machines.

          Tu veux dire, de la même façon que, de nos jours, on fixe les ports (et les IPv4) pour rediriger les paquets vers une machine pré-définie?

          Ouaip.

          Vu que ARP ne semble plus utilisable en IPv6, comment vérifier si une machine est sur le LAN?
          En IPv4 j'utilise l'astuce suivante : pinger la machine puis vérifier la correspondance dns la table arp soit

          ipLAN="192.168.1.42" # IP Lan of the machine
          macLan="00:00:00:00:00:00" # mac address
          
              # check machine is on LAN
          ping $ipLAN -c 2 >> /dev/null 2>&1
          macRecover=$(arp -n | grep -i -o $macLan)
          if [ "$macRecover" == "$macLan" ]; then
                          echo "local/LAN"
          else
                          echo "Tor/WAN"
          fi
          
        • [^] # Re: Ha la mauvaise foi...

          Posté par  (site web personnel, Mastodon) . Évalué à 6.

          En IPv4 on utilise le NAT. On s'est habitués mais c'est une astuce moche pour économiser les IPs.

          En IPv6, on pourrait aussi faire du NAT mais ce n'est pas nécessaire puisque chaque machine a une IP publique et qu'il y a largement assez d'IPs pour tout le monde.

          Donc oui, il vaut mieux nommer ses machines (camera.chezmoi.com, ordinateur.chezmoi.com, …) plutêt que de retenir que la caméra IP c'est le port 6928, l'aquarium c'est 4519, etc. Une fois que tu as ton nom de domaine, créer des sous-domaines ne coûte pas cher. Et si tu tiens vraiemnt à utiliser des numéros, tu peux toujours faire p6928.chezmoi.com, etc.

          • [^] # Re: Ha la mauvaise foi...

            Posté par  (site web personnel) . Évalué à 1.

            Donc oui, il vaut mieux nommer ses machines (camera.chezmoi.com, ordinateur.chezmoi.com, …) plutêt que de retenir que la caméra IP c'est le port 6928, l'aquarium c'est 4519, etc. Une fois que tu as ton nom de domaine, créer des sous-domaines ne coûte pas cher. Et si tu tiens vraiemnt à utiliser des numéros, tu peux toujours faire p6928.chezmoi.com, etc.

            Est-ce que ça veut dire qu'il faut publier tout ça dans les DNS et donc rendre publique les adresses ipv6 de tes objets connectés ?

            Si oui, ça me semble poser un gros problème de sécurité des données personnelles.

            • [^] # Re: Ha la mauvaise foi...

              Posté par  . Évalué à 6.

              Est-ce que ça veut dire qu'il faut publier tout ça dans les DNS

              En quoi? De toute façon si tu veux y accéder de l'extérieur, tu dois bien publier un moyen d'accès, que tu filtreras par un outil adapté… que ce soient des ports ou des IP+port, je ne vois pas la différence pour la sécurité des données personnelles.
              L'important, c'est que ton routeur ou ton firewall fasse son boulot et ne laisse personne accéder à des machines privées de ton réseau, mais ça c'est aussi vrai pour IPv4.

              Ou alors, je n'ai pas compris un truc.

            • [^] # Re: Ha la mauvaise foi...

              Posté par  . Évalué à 5. Dernière modification le 01 février 2018 à 18:52.

              Est-ce que ça veut dire qu'il faut publier tout ça dans les DNS et donc rendre publique les adresses ipv6 de tes objets connectés ?

              Un DNS ne peut pas être interrogé pour savoir quels domaines il héberge.
              Sauf à activer volontairement cette fonction, et à ne pas filtrer l'origine des demandes.

              Il y avait un moyen avec DNSSEC, mais c'est réglé avec la version actuelle.

    • [^] # Re: Ha la mauvaise foi...

      Posté par  (Mastodon) . Évalué à 10.

      l'auto-hébergement existe aussi chez un hébergeur

      Du coup, ça ne s'appelle plus un auto-hébergement, mais un hébergement tout court…

      • [^] # Re: Ha la mauvaise foi...

        Posté par  . Évalué à 6. Dernière modification le 01 février 2018 à 12:08.

        On peut aussi entendre ce terme comme "utiliser des services gérés par soi-même" par opposition à "utiliser des services gérés par une entité externe". Dans ce cas peu importe que ce soit sur un serveur à la maison ou chez un prestataire qui se contente alors de fournir un serveur physique ou virtuel.

    • [^] # Re: Ha la mauvaise foi...

      Posté par  (site web personnel) . Évalué à 6.

      Ps : bon, sinon LinuxFr toujours pas dispo en IPv6, ça fait sourire pour des gens sensés être en avance sur les autres, cordonnier mal chaussé :) (après, hébergement gratos et bénévoles, certes)

      Il peut être intéressant d'avoir un mot des admins pour expliquer pourquoi ce n'est pas fait, car beaucoup de sites webs et d'autres services ne sont pas compatibles IPv6.

      Est-ce que cela demande un gros travail pour eux (et forcément pas prioritaire) ? Peut être que c'est leur hébergeur qui ne le propose pas, du moins pas gracieusement. Ou peut être autre chose (juste une option à activer mais qui n'a pas été fait car pas sensibles à la question). Ou pire, l'hébergeur n'est pas prêt du tout pour ce genre de services.

      Cela pourrait donner une explication sur l'absence d'IPv6 sur autant de sites web.

      • [^] # Re: Ha la mauvaise foi...

        Posté par  (site web personnel) . Évalué à 2.

        Peut être que c'est leur hébergeur qui ne le propose pas,

        De tête et sans vouloir dire de bêtise, c'était la raison invoquée pour la baie où ils sont (et comme c'est gratuit, pas facile de râler que ce n'est pas à jour techniquement, c'est logique que le gratuit ai du matos recyclé et/ou qu'aucun admin routeur ne veuille passer du temps à activer la fonctionnalité puis se taper les problèmes potentiels qui en découlent).

        Mais juste qu'avec le temps, ça fait tache par rapport aux conseils donnés par les moules locales :).

        Cela pourrait donner une explication sur l'absence d'IPv6 sur autant de sites web.

        C'est une explication pour les sites hébergés gracieusement, par contre pour les hébergé en payant, la seule explication est la flemme (chef : "ça apporte du fric? donc pas pas de temps dessus", ce qui est compréhensible de toutes façons les gens sans IPv4 passent par un pont donc on perd personne… Pas facile d'argumenter le besoin à part "best practices" peu écouté en dehors des passionnés)
        Le problème avec la migration vers IPv6 est qu'il y a plein de bidouilles pour que ça marche en IPv4 quand même (bien et pas bien en même temps, classique).

      • [^] # Re: Ha la mauvaise foi...

        Posté par  (site web personnel) . Évalué à 10.

        Il peut être intéressant d'avoir un mot des admins pour expliquer pourquoi ce n'est pas fait

        Manque de bras. On aurait bien besoin de renforts pour faire tourner le site, que ce soit des contributions ponctuelles sur le code, filer des coups de main dans l'espace de rédaction (aider à finaliser des dépêches oubliées ou coordonner des efforts sur les dépêches récurrentes comme le noyau linux), mais aussi sur la partie administration système. Pour l'admin sys, c'est plus compliqué, car donner un accès à nos serveurs implique d'avoir bien plus confiance dans la personne, mais si quelqu'un est motivé pour contribuer, on peut en discuter pour mettre en place une entrée progressive.

        Est-ce que cela demande un gros travail pour eux (et forcément pas prioritaire) ?

        Ce n'est pas très prioritaire. Par exemple, on n'utilise pas des versions récentes des distributions Debian et Ubuntu sur nos serveurs et ça paraît plus urgent de faire ça avant d'avoir des trous de sécurité que de mettre en place de l'IPv6.

        Pour la question de la masse de travail, je crois que l'on n'y a pas réfléchi. La première étape serait de contacter la fondation Free (notre hébergeur) pour savoir ce qu'ils en pensent.

    • [^] # Re: Ha la mauvaise foi...

      Posté par  . Évalué à 4.

      Et sinon le copier/coller ça marche pas mal (autant IPv4 que v6, perso j'ai autre chose à retenir que mon IPv4).

      Et dans toutes les IPv6 qu'on te donne, il y en a au moins quelques unes qui sont aussi faciles sinon plus à retenir que des adresses IPv4 (par exemple celles avec plein de zéros ou celles à base de deadbeef et de baddecaf).

      *splash!*

  • # Pour le support technique incompétent

    Posté par  . Évalué à 10.

    • [^] # Re: Pour le support technique incompétent

      Posté par  (site web personnel) . Évalué à 9.

      Très bonne illustration ! Cela ressemble un peu à mon appel chez Free. Pourtant, je dois dire que la compétence du support de Free s'est considérablement améliorée ces dernières années. Je pense même que le niveau est très bon.
      Le problème dans mon cas est la mauvaise communication :

      • dans l'entreprise, car les deux personnes ignoraient le problème.
      • vers les usagers, car le panneau de configuration de la Freebox aurait dû :
        • soit m'avertir des ports qui m'étaient attribués,
        • soit afficher un message disant que la configuration des ports n'était pas accessible,
        • soit me proposer de passer à l'adresse IP Full-Stack.
      • [^] # Re: Pour le support technique incompétent

        Posté par  . Évalué à 3.

        je ne sais pas depuis combien de temps c'est disponible, mais ça semble le cas maintenant (afficher ports affectés, demander full-stack) :
        demander ipv4 full-stack

        via ce site, j'ai aussi découvert qu'on pouvait consulter/récupérer au format texte toutes la config de sa freebox (y compris les débits et le journal des connexion/déconnexion…)
        mes infos freebox

        Envoyé depuis mon Archlinux

        • [^] # Re: Pour le support technique incompétent

          Posté par  (site web personnel) . Évalué à 4.

          demander ipv4 full-stack

          Oui, c'est bien mais que veut dire full-stack ? Où est la définition ?
          Et rien ne m'indique que ma liaison IPV4 est bridée.
          Le texte de busyspider aurait dû être sur le site de Free et être communiqué à chaque heureux nouveau bénéficiaire d'une IPV4 coupée en quatre.

          Le lien "mes infos freebox" me dit : Ressource non trouvée
          La ressource que vous essayez de consulter n'existe pas, ou n'existe plus

          • [^] # Re: Pour le support technique incompétent

            Posté par  . Évalué à 1.

            d'accord avec toi sur la mauvaise communication, je suis tombé sur cette info en cherchant autre chose (par hasard donc)

            à propos de la page qui n'existe pas, c'est curieux, tu as cliqué sur le lien depuis une connexion free ou bien tu te trouves en Chine derrière grande muraille ?

            (je suis en freebox v5, pas la révolution)

            Envoyé depuis mon Archlinux

            • [^] # Re: Pour le support technique incompétent

              Posté par  . Évalué à 0. Dernière modification le 01 février 2018 à 16:33.

              "Le délai d’attente est dépassé
              Le serveur à l’adresse mafreebox.freebox.fr met trop de temps à répondre.
              Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus tard ;
              Si vous n’arrivez à naviguer sur aucun site, vérifiez la connexion au réseau de votre ordinateur ;
              Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy, assurez-vous que Firefox est autorisé à accéder au Web.
              "

            • [^] # Re: Pour le support technique incompétent

              Posté par  (site web personnel) . Évalué à 3.

              à propos de la page qui n'existe pas, c'est curieux, tu as cliqué sur le lien depuis une connexion free ou bien tu te trouves en Chine derrière grande muraille ?

              Je suis près de Bordeaux avec une Freebox 4k en full-stack. Le lien ne fonctionne pas sur ma Freebox 4k.
              Je pense qu'il y a une spécificité par rapport à la V5.

    • [^] # Re: Pour le support technique incompétent

      Posté par  . Évalué à 5.

      Certaines boîtes du vrai monde annonce la conformité xkcd 806, ce qui n'est pas une mince affaire.

  • # pas de firewall IPv6 sur la Freebox

    Posté par  . Évalué à 9.

    J'ai moi aussi une IPv4 partagée, et j'ai juste bougé mes serveurs sur des ports dans la bonne plage, tout roule.

    Je serais bien passé en IPv6 sauf que la Freebox ne fait pas du tout de firewall en IPv6. Pour mes ordinateurs, je m'en fiche, je sais configurer leur firewall. Mais pour le reste sur lequel on a presqu'aucun moyen de configurer, c'est un peu risqué je trouve. Même s'il est peu probable que quelqu'un devine leur IP IPv6 publique, je n'ai pas très envie de les laisser accessibles sur Internet. Quand on voit toutes les failles dans les objets connectés, sans aucun correctif de sécurité, ca donne pas très envie…

    Ca serait quand même plus simple que la Freebox centralise le firewall plutot que nous laisser espérer pouvoir le configurer sur chacun des terminaux derrière…

    • [^] # Re: pas de firewall IPv6 sur la Freebox

      Posté par  . Évalué à 7. Dernière modification le 01 février 2018 à 01:00.

      Même s'il est peu probable que quelqu'un devine leur IP IPv6 publique…

      Attention quand même : il y a pas besoin de deviner si on est malin. Le service NTP de nombreux équipements est souvent ntp.pool.org , il suffit que des personnes mal intentionnées rejoignent le pool et ils pourront récolter des ipv6 publique.
      -> En fait ça a déjà été fait

  • # Les buzzwords

    Posté par  (site web personnel) . Évalué à 2.

    J'étais un peu surpris de ne pas les trouver sur la page :

    Debian Consultant @ DEBAMAX

  • # (rien)

    Posté par  . Évalué à 7. Dernière modification le 01 février 2018 à 02:53.

    (edit: non, rien)

  • # IPv6 ça commence à avancer

    Posté par  . Évalué à 3.

  • # Firewall

    Posté par  . Évalué à 1.

    Une fois la transition en IPv6 effectué, est-ce qu'il sera toujours nécessaire de passer par la box pour accéder aux équipements du réseau local depuis l'extérieur ?

    • [^] # Re: Firewall

      Posté par  . Évalué à 2.

      La box est un routeur, c'est elle qui fait passerelle vers ton sous-réseau, donc oui.

      • [^] # Re: Firewall

        Posté par  . Évalué à 3. Dernière modification le 02 février 2018 à 10:09.

        Il y a un mode bridge sur la Freebox (et peut-être sur les autres box aussi). Mais les trames passent forcément par la box quand même.

  • # GAFAM

    Posté par  . Évalué à 7.

    Pour forcer tous les sites et FAI du monde à passer en 1 mois à l'IPv6, c'est simple. Il suffit que les GAFAM disent "On s'est tous mis d'accord, dans 1 mois on supprime tous nos services en IPv4, on passe en full IPv6 only. Vous avez 30 jours. Feu !".

    Et voilà un problème de réglé.

    Plus sérieusement, je pense qu'il faudrait faire comme avec Flash ou HTTPS : que les navigateurs se mettent peu à peu à supporter de moins en moins IPv4 tout en laissant une option activable dans "about:config". Ca vaudrait vraiment la peine de voir comment on pourrait pousser une telle demande auprès de Chrome et Firefox.

    • [^] # Re: GAFAM

      Posté par  . Évalué à 10.

      Pour forcer tous les sites et FAI du monde à passer en 1 mois à l'IPv6, c'est simple. Il suffit que les GAFAM disent "On s'est tous mis d'accord, dans 1 mois on supprime tous nos services en IPv4, on passe en full IPv6 only. Vous avez 30 jours. Feu !".

      Ou les sites de porn.

      *splash!*

      • [^] # Re: GAFAM

        Posté par  . Évalué à 4.

        Ça a existé mais ça n'a pas si bien marché que ça https://dyn.com/blog/ipv6-is-for-porn/

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: GAFAM

          Posté par  . Évalué à 2.

          C'est pas la même chose. Là ils créent un nouveau site accessible uniquement en v6, que potentiellement personne ne connaît (je n'en avais pas entendu parler et pourtant j'en cherche du porn) et tous les sites que tout le monde connaît restent accessibles en v4. Pour que ça marche il aurait fallu faire une énoooooooooormecmb communication autour et encore je sais pas si ça aurait été suffisant.

          *splash!*

        • [^] # Re: GAFAM

          Posté par  . Évalué à 4.

          La partie sur LISP est intéressante, les gens qui ont fait IPv6 voulaient minimiser les différences avec IPv4 pour faciliter la transition, mais certains pensaient que justement il fallait en profiter pour introduire de nouveaux concepts. Aujourd'hui il y a des gens qui pensent qu'il fallait justement de nouveaux concepts qui auraient joué le rôle de "killer feature" pour pousser les acteurs à adopter IPv6 (parce que le nombre d'IP dispo, c'est pas une killer feature, en tout cas pas pour ceux qui vendent de l'internet).

          *splash!*

          • [^] # Re: GAFAM

            Posté par  . Évalué à 7.

            Aujourd'hui il y a des gens qui pensent qu'il fallait justement de nouveaux concepts qui auraient joué le rôle de "killer feature" pour pousser les acteurs à adopter IPv6

            Si tu avais eu une killer feature en IPv6, les gens intéressés l'auraient backporté en IPv4.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: GAFAM

              Posté par  . Évalué à 2.

              Bah si tu crées une nouvelle IPv4 avec une séparation identificateur-localisateur et qu'à côté il ya une IPv6 avec séparation identificateur-localisateur standardisée par l'IETF, quitte à faire une transition coûteuse ils vont plutôt choisir la seconde.

              *splash!*

              • [^] # Re: GAFAM

                Posté par  . Évalué à 4.

                Mais pourquoi la version IPv4 ne serait pas standardisé par l'IETF ? Regarde les auteurs de la RFC de LISP, des types de Cicso. Si les les clients de Cisco ont besoin d'une version IPv4, et que ce n'était pas prévu, ils l'auraient ajouté. L'IETF est suivi parce qu'elle suit la demande des utilisateurs. Et quand il n'y a pas de norme, ça ne dérange personne de faire autrement. Par exemple, ça fait quelques temps que le draft du wpad a expiré, ça ne dérange personne d'avoir quand même la fonctionnalité dans les navigateurs.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: GAFAM

                Posté par  . Évalué à 3.

                et qu'à côté il ya une IPv6 avec séparation identificateur-localisateur standardisée par l'IETF

                Ça s'appelle Mobile IPv6 https://tools.ietf.org/html/rfc6275, ça a en plus été porté sur IPv4 (mais forcément, c'est moins bien fait), et ça n'intéresse que peu de monde. Donc non, compter sur une « killer feature » ne fonctionne pas.

                • [^] # Re: GAFAM

                  Posté par  . Évalué à 5.

                  Le problème intéresse du monde. Mais, comme d'habitude, on préfère le résoudre en bidouillant au niveau 4 plutôt qu'en refaisant le niveau 3. C'est le problème d'IP, c'est la couche critique sur le réseau, tout les équipements sur le chemin, quelque soit le chemin, doivent être compatible. Niveau 2 tu peux jouer car ça se passe localement, niveau 4 tu peux jouer car se passe entre le client et le serveur. Mais le N3 ….

                  Pour le problème en question, il y a donc une solution du coté de MultiPath TCP : http://blog.multipath-tcp.org/blog/html/index.html qui est en autre utilisé par iOS11, Siri en particulier, il me semble.

                  Il faut donc non seulement trouver une killer-feature de niveau 3 mais en plus qui ne soit pas contournable en bidouillant (plus ou moins facilement ou proprement) le niveau 4. C'est pas pour rien que pour compenser la pénurie d'adresse, on fait du NAT, c'est moche, mais c'est plus facile à déployer ….

                  Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

  • # deux

    Posté par  . Évalué à -4.

    deux gros reproches plus une remarque à l'auteur de l'article :

    a) sur un sujet aussi pointu techniquement, on consulte pas la hotline. La hotline, c'est pour les problèmes courants et ordinaires, donc ils parlent pas tous IPv4, encore moins IPv6; certains ne savent d'ailleurs pas ce qu'est une redirection de port ou autre notion jargoniques de l'administration réseau. Mais l'objectif de la freebox, c'est pas d'administrer son réseau, mais bien de consommer de l'internet.

    b) forcer le passage à l'ipv6… .en 2030 ou 2040, on en reparlera… je plaisante pas, renater était déjà ipv6 compatible en 2000 et pourtant la plupart des universités publiques francaises ne l'implantent pas dans leurs réseaux éducatifs.
    ipv6 restera sans doute un gadget à mon sens au moins jusqu'en 2025..
    forcer les gafam à utiliser l'ipv6 ?
    soit leur faire perdre une partie significative de leur activité commerciale, donc de leur CA, donc foutre des gens sur le carreau, potentiellement. Tout ca pour satisfaire trois geeks/nerds qui veulent du v6. L'enjeu en vaut-il vraiment la chandelle?
    je suis pro ipv6, mais les réseaux resteront probablement full-ipv4 jusqu'en 2030, sinon ca aurait déjà sacrément basculé sur l'ipv6 (on exclut ici de ce raisonnement les entités spécialistes de l'IT, tels les FAI/GAFAM, regardez tf1, aprr, veolia, etc.. tout ce qui n'est pas IT/Telco/numérique de coeur de métier, bien entendu)

    c) parité des opérateurs?
    pourquoi free, free et uniquement free?
    je trouve surprenant qu'un post soit consacré uniquement à un seul opérateur, alors qu'il y a quatre gros en france.

    • [^] # Re: deux

      Posté par  (site web personnel) . Évalué à 7. Dernière modification le 03 février 2018 à 23:27.

      deux gros reproches plus une remarque à l'auteur de l'article :

      Finalement, il n'y en a pas deux mais trois ! ;-)

      J'aurais pu faire mieux en y passant plusieurs jours ou semaines. Certes, mais mon but était de lancer des commentaires sur la fin des IPV4. Je pense que le résultat est atteint car les commentaires ont été d'une grande qualité et sont restés centrés sur le sujet. J'ai ainsi appris beaucoup de choses que je n'aurais pas appris seul. Cet aspect collaboratif est à la base des progrès effectués par les logiciels libres.

      Vu que la Freebox n'assurait plus le service qu'elle était censé faire, il était normal de contacter la hotline, il n'y a pas d'autre choix.

      Pourquoi Free ? C'est parce que j'ai découvert le problème avec Free lors du passage ADSL à FO. Je pense que c'est l'existence d'un serveur http sur ma machine qui m'a valu de conserver une IPV4 complète.
      J'aurais pu me renseigner sur les autres opérateurs oui, mais "tkr" aurait pu le faire aussi…
      L'article que j'ai fait bénévolement n'est pas destiné à être publié dans une revue mais sur Linuxfr.org, c'est assez différent.

      J'espère avoir répondu aux trois points et j'engage tous lecteurs de Linuxfr à participer en postant des commentaires pertinents (les humoristiques sont aussi appréciés) et en écrivant des articles.

    • [^] # Re: deux

      Posté par  . Évalué à 5.

      J'imagine que le post n'est consacré qu'à Free car l'auteur n'a été confronté à ce cas qu'avec son FAI perso et n'a pas cherché à aller vérifier chez les autres FAI. Ce qui se comprend, c'est un témoignage personnel, pas un article dans une revue commerciale qui aurait pour but de faire un panorama de la situation. Tu es le bienvenu si tu souhaites faire ce travail ;)

    • [^] # Re: deux

      Posté par  . Évalué à 6.

      forcer les gafam à utiliser l'ipv6 ?

      Ils ont pas besoin qu’on les forces, il le font déjà. Dans mon ancienne boite, pour tous les clients où on a déployé IPv6, on voyait globalement une répartition 50-50 avec IPv4 grâce à Youtube et Facebook.

      C’est les autres qu’il faut convaincre.

    • [^] # Re: deux

      Posté par  . Évalué à 7.

      sur un sujet aussi pointu techniquement, on consulte pas la hotline

      Du coup, on consulte qui ? Et je vais mettre une restriction, "on consulte qui chez l'opérateur en question ?" pour éviter que la réponse soit "google", et qu'après tout c'est bien eux qui vendent un service, et qui devraient pouvoir répondre aux questions à propos de ce service.

      Parce qu'il me semble que tu nous as juste dit qui ne pas appeler, mais que tu n'as pas proposé d'alternative.

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # comment ça fonctionne ce truc déjà ?

    Posté par  . Évalué à 3. Dernière modification le 03 février 2018 à 23:53.

    Bonsoir,

    Personnellement ce qui me gène dans son adoption pour mon usage personnel, c'est que je n'ai toujours pas compris comment ça fonctionne.

    J'avais tenté il y a quelques années de me farcir un cours qui traitait de ce sujet mais j'avoue que j'avais abandonné la chose.
    Et dernièrement je me suis retrouvé bloqué sur un pb lié à l'IPv6 et comme j'ai toujours eu dans l'idée comprendre plus ou moins comment ca fonctionne; question : connaitriez vous un site qui l'explique assez simplement ?

    D’ailleurs impossible de remettre la sourie sur ce site web où j'avais trouver ce cours. C'était un site en français, traitant de pas mal de sujet orientés réseaux (le NAT par exemple)dans les tons beiges et dans un "design" assez vieillot. La remarque qui va suivre n'est pas un reproche, il est bien comme il l'est; dans le genre de linufr.org ^
    Quelqu'un voit du quel je veux parler ?

    PS: par exemple, je sais que les machines peuvent s'auto configurer en IPv6 en ce basant sur leur adresse MAC mais j'avais pas trop compris comment elles font sur un réseaux local ( avec hyperviseur). Idem pour la question de comment gérer les par feu. Et il y a aussi cette histoire de vie privé, qui m'avait fait dire : "bon on refuse tout le trafique IPv6 pour l'instant et on verra plus tard.

    • [^] # Re: comment ça fonctionne ce truc déjà ?

      Posté par  . Évalué à 2.

      Il y a une initiation + mini certif ipv6 chez hurricane electric (en anglais).
      C'est avec ça que j'ai pigé l'ipv6 mais il faut avoir de bonnes bases en réseau/ipv4…

    • [^] # Re: comment ça fonctionne ce truc déjà ?

      Posté par  (site web personnel, Mastodon) . Évalué à -5.

      Ben, d'abord, la plupart des utilisat·eur·rice·s ne comprennent pas IPv4, et cela ne les empêche pas de dormir. Donc, qu'ielles ne comprennent pas IPv6 n'est pas trop grave.

      Ensuite, pour ce·ux·lles qui ont besoin de comprendre (administrat·eur·rice réseaux, par exemple) IPv6 n'est pas un autre protocole, c'est une nouvelle version du même protocole, donc ça s'apprend comme IPv4, les concepts de base sont les mêmes (datagrammes, adresses, préfixes, routage, (in-)sécurité, etc).

      L'autoconfiguration fondée sur l'adresse MAC est officiellement fortement déconseillée depuis 2012 http://www.bortzmeyer.org/6724.html mais, en pratique, Ubuntu, Windows et quelques autres ne l'utilisait déjà plus par défaut.

      Pour les pare-feux, comme indiqué plus haut, c'est comme en IPv4.

      Et pour l'histoire de vie privée, c'est 99 % de FUD http://www.bortzmeyer.org/7721.html

      • [^] # Re: comment ça fonctionne ce truc déjà ?

        Posté par  . Évalué à 2.

        Je me mange une 500 quand je répond au commentaire précédent donc je tente ma chance ici.


        Personnellement ce qui me gène dans son adoption pour mon usage personnel, c'est que je n'ai toujours pas compris comment ça fonctionne.

        Si tu comprends déjà le fonctionnement d’IPv4, il ne te reste pas un gros chemin à parcourir (la notation, l’usage ICMPv6, etc).

        Dans la vie de tous les jours, pas besoin d’être un expert pour faire fonctionner IPv6 sur un LAN.

        connaitriez vous un site qui l'explique assez simplement ?

        Une recherche sur ton moteur de recherche préféré ?

        Sinon tu as Lothaire Yarding.

        Et il y a aussi cette histoire de vie privé, qui m'avait fait dire : "bon on refuse tout le trafique IPv6 pour l'instant et on verra plus tard.

        Tu bloque aussi les ports 53/udp, 53/tcp, 80/tcp et 443/tcp ? C’est les pires niveau vie privée.

      • [^] # Re: comment ça fonctionne ce truc déjà ?

        Posté par  . Évalué à 2.

        Pour les pare-feux, comme indiqué plus haut, c'est comme en IPv4.

        Ça n’est pas tout à fait vrai, en IPv4 il est courant de n’autoriser que les echo-request en ICMP tandis qu’en IPv6 il y a une tétrachier de types/options à autoriser.

        Par exemple sur Mikrotik ça ressemble à ça (ça se porte facilement pour iptables) :

        # INPUT
        add action=accept chain=input-icmpv6 icmp-options=1:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=2:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=3:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=4:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=128:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=129:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=130:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=accept chain=input-icmpv6 icmp-options=131:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=accept chain=input-icmpv6 icmp-options=132:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=133:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=134:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=135:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=136:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=141:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=142:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 icmp-options=143:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=148:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:255 icmp-options=149:0-255 protocol=icmpv6
        add action=accept chain=input-icmpv6 hop-limit=equal:1 icmp-options=151:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=accept chain=input-icmpv6 hop-limit=equal:1 icmp-options=152:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=accept chain=input-icmpv6 hop-limit=equal:1 icmp-options=153:0-255 protocol=icmpv6 src-address=fe80::/10
        add action=drop chain=input-icmpv6 log-prefix="[IPv6][INPUT]"
        
        # FORWARD
        add action=accept chain=forward-icmpv6 icmp-options=1:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=2:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=3:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=4:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=128:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=129:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=144:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=145:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=146:0-255 protocol=icmpv6
        add action=accept chain=forward-icmpv6 icmp-options=147:0-255 protocol=icmpv6
        add action=drop chain=forward-icmpv6 log-prefix="[IPv6][FORWARD]"
        

        À noté que beaucoup de parefeux ont déjà ces règles de base (UFW, le parefeu de JunOS).

    • [^] # Re: comment ça fonctionne ce truc déjà ?

      Posté par  . Évalué à 3.

      D’ailleurs impossible de remettre la sourie sur ce site web où j'avais trouver ce cours. C'était un site en français, traitant de pas mal de sujet orientés réseaux (le NAT par exemple)dans les tons beiges et dans un "design" assez vieillot. La remarque qui va suivre n'est pas un reproche, il est bien comme il l'est; dans le genre de linufr.org ^

      Le livre du G6 ?
      http://livre.g6.asso.fr/
      C'est vaguement beige, un peu vieillot (et pas très à jour), par contre ça ne traite pas d'autre chose que d'IPv6. Mais c'est une très bonne source d'information.

  • # La fin d'ipv4 vraiment ?

    Posté par  . Évalué à 3.

    La fin des IPv4 est très proche ! Les ennuis aussi…

    Ben justement, dans les faits j'ai pas l'impression. Les hébergeurs en distribuent toujours à la pelle, tu peux en avoir avec n'importe quel vps à 3€ / mois.

    Free est spécialiste des bidouillages pour économiser des bouts de chandelle, je me rappelle du bridage du P2P en 2006 pour économiser de la bande passante (plus rien ne passait à part HTTP/HTTPS).

    • [^] # Re: La fin d'ipv4 vraiment ?

      Posté par  . Évalué à 5. Dernière modification le 04 février 2018 à 01:07.

      Free est spécialiste des bidouillages pour économiser des bouts de chandelle

      Si on ne leur distribue plus d'IPv4, c'est bien plus que ça ! C'est tout simplement l'impossibilité de vendre de nouvelles lignes. C'est un problème critique pour un FAI !

      je me rappelle du bridage du P2P en 2006 pour économiser de la bande passante (plus rien ne passait à part HTTP/HTTPS)

      Tu as un lien ? Dans ma mémoire c'était un bridage sur le protocole d'eMule et ils utilisaient de la DPI pour ça. Un simple brouillage du protocole permettait de passer outre le bridage. C'est la première fois que j'entends un bridage de la part d'un FAI français qui aurait été fait sur tout ce qui n'était pas HTTP/HTTPS ! Ca m'étonne beaucoup.

      EDIT :

      Ben justement, dans les faits j'ai pas l'impression. Les hébergeurs en distribuent toujours à la pelle, tu peux en avoir avec n'importe quel vps à 3€ / mois.

      J'imagine que ça doit provenir de blocs d'IPs gigantesques complètement sous utilisés et attribués à l'époque à des entités qui n'utilisent encore aujourd'hui que quelques pourcents du blocs, et donc qu'ils louent une partie des blocs pour se faire un business. Ce qu'il n'est pas forcément possible de faire quand on est un FAI j'imagine, ça doit poser des contraintes différentes, ne serait-ce que pour des questions de souveraineté (pas sûr qu'un FAI français ait envie de louer des IPs d'un concurrent américain et donc d'en être dépendant). J'en sais rien exactement, mais j'imagine bien un truc comme ça.

      • [^] # Re: La fin d'ipv4 vraiment ?

        Posté par  (site web personnel) . Évalué à 5.

        Rien n'empêche Free d'acheter ou de louer des ipv4. Contrairement à ce qu'on pourrait croire, il y en a plein des disponible. Et de nombreux brokers sont sur l'affaire.

        Le problème est que le RIPE et ses petits copains des autres continents n'en ont plus à distribuer. Il faut donc payer fort cher pour quelque chose qui était jusqu'alors gratuit.

      • [^] # Re: La fin d'ipv4 vraiment ?

        Posté par  . Évalué à 2.

        Tu as un lien ? Dans ma mémoire c'était un bridage sur le protocole d'eMule et ils utilisaient de la DPI pour ça. Un simple brouillage du protocole permettait de passer outre le bridage. C'est la première fois que j'entends un bridage de la part d'un FAI français qui aurait été fait sur tout ce qui n'était pas HTTP/HTTPS ! Ca m'étonne beaucoup.

        C'était un effet collatéral. J'utilisais pas mal IRC et les newsgroup et durant cette période ça déconnectait sans arrêt. Il n'y a que le web qui fonctionnait bien. Tout est revenu à la normale quand ils ont abandonné l'idée.

        Un peu HS mais je songe en ce moment à les quitter car même avec la fibre je me tape des vidéo en 240p le soir sur Youtube et des pull infinis pour les images docker. Si leur fibre devient comme leur réseau mobile ça va pas être vivable.

        • [^] # Re: La fin d'ipv4 vraiment ?

          Posté par  . Évalué à 1.

          Pareil en ce qui concerne la fibre chez Free et YouTube de mon côté. Je suis sur Paris, toi aussi ? Ca me le fait pour YouTube mais aussi pour Twitch et j'imagine que Netflix ça doit pas être mieux. En revanche je n'ai pas constaté de problème pour les images Docker, mais je les utilise plutôt en journée, il va falloir que je teste le soir car je m'en sers pas mal.

          En gros le problème commence à 19h et ça redevient potable vers 1h~1h30 du matin.

          Quand je pense que ces problèmes de bande passante pourraient être résolus si les fournisseurs de contenus utilisaient des technologies P2P pour diffuser leurs flux… S'il n'était pas aussi illégal de rediffuser en temps réel du contenu vidéo que de supporter du pédoterrorisme, je monterais un portail tout bête qui balancerait en P2P les flux temps réel de ces gros fournisseurs de contenus, juste pour désengorger les nœuds de nos chers FAI.

          • [^] # Re: La fin d'ipv4 vraiment ?

            Posté par  . Évalué à 3.

            Pareil en ce qui concerne la fibre chez Free et YouTube de mon côté. Je suis sur Paris, toi aussi ?

            Non je suis à Nantes.
            Sosh me fait de l’œil, j'ai déjà le mobile chez eux et en prenant l'offre fibre le coût final ne changerait pas. Par contre je risque de perdre pas mal de fonctions geek style l'ip fixe, l'ip6, le stmp sortant…

            • [^] # Re: La fin d'ipv4 vraiment ?

              Posté par  . Évalué à 2.

              je risque de perdre pas mal de fonctions geek style l'ip fixe, l'ip6, le stmp sortant…

              Un p’tit VPN chez un FAI associatif, et tous ces soucis seront réglés d’un seul coup ;)

  • # Sécurité

    Posté par  . Évalué à 1.

    L'information que tu donnes sur Free notamment est utile en revanche quand je vois que toi ou ton voisin avez recherché à accéder à vos caméras via un port je me suis dit mais c'est pas très sécurisé tout ça. Pourquoi ne pas utiliser un VPN pour ça et pour autre chose ? ça évite également d'ouvrir des dizaines de ports sur internet, en plus quand on voit le rythme de mise à jour de certain produit (comme des caméras), ça fait peur.

    de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

    • [^] # Re: Sécurité

      Posté par  . Évalué à 1. Dernière modification le 05 février 2018 à 16:39.

      Utiliser un VPN avec les caméras bon marché n'est pas toujours possible. Que se soit car c'est mal implémenté voir pas du tout ou encore pire, pour Foscam, d'avoir la WEBUI complètement inaccessible (car utilisant des technos supprimées de tout les navigateurs).
      Il faut aussi avoir un VPN qui suit (la camera HD à ma disposition tourne à plus de 1,3 Mo/s en journée, de quoi tuer un RPI 1 dédié a OpenVPN (déjà testé))

      Par contre clairement rendre accessible depuis internet une caméra bon marché/facile à cracker c'est de la stupidité voir de la malhonnêteté.

      • [^] # Re: Sécurité

        Posté par  . Évalué à 3.

        En même temps un Rpi c'est très limité surtout pour un VPN, un petit apu2c4 sous OPNSense fonctionne très bien, je visualise 4 caméras (2 Axis en 1280x800 et 2 Mobotix en 640x480). Ensuite pour les caméras le mieux étant de baisser la qualité pour de la "consultation rapide" surtout si on en a plusieurs.

        de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

        • [^] # Re: Sécurité

          Posté par  . Évalué à 1. Dernière modification le 05 février 2018 à 17:19.

          apu2c4

          Ça m'a l'air fort similaire. (outre le fait que c'est AMD et fort chers comparé à un Odroid XU4)
          Quels sont ses avantages/particularité face aux autres ?

          En même temps un Rpi c'est très limité surtout pour un VPN

          C'est surtout lié a OpenVPN qui, en 2018, n'est toujours pas multithread. (le hack étant de faire tourner plusieurs instance et de répartir les clients sur ces instances, ceci afin de profiter d'un max de coeur mais c'est pas du tout optimisé vu qu'une instance peut saturer un coeur pendant que les autres coeurs glandent)

          Ensuite pour les caméras le mieux étant de baisser la qualité pour de la "consultation rapide" surtout si on en a plusieurs.

          C'est toujours triste de diminuer la qualité ^ ^ (surtout en outdoor)

          PS : si tu as testé des Axis (voir aussi Mobotix) sur ZoneMinder, ça pourrait être intéressant de partager ton expérience sur le forum de linuxfr ou de ZM (cette marque coûte vachement chers donc pas eu l'occas de l'essayer)

          • [^] # Re: Sécurité

            Posté par  . Évalué à 1.

            A la base la discussion portait sur un un Rpi et un Rpi c'est une carte réseau en 10/100Mb en USB, pas folichon niveau performance surtout que ça fait chuter rapidement le CPU. Un apu2c4 est difficilement comparable à un odroid puisque l'odroid ne dispose que d'une seul carte réseau alors que l'apu2c4 en a 3 pour être utilisé plutôt comme un routeur (sans parler des extensions, module wifi, 4g, ssd).

            de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

          • [^] # Re: Sécurité

            Posté par  . Évalué à 1.

            Tout est géré par camtrace car pas eu le temps de véritablement tester zoneminder.

            Si tu veux plus d'info j'ai une Mobotix Q24, une M12 et pour Axis c'est une 3014 et une P3344 si ma mémoire est bonne.

            J'ai tellement changer de chose dans la maison ces derniers temps que j'ai beaucoup de chose en chantier, mon petit serveur hp (test de proxmox et openmediavault), mon routeur sur opnsense, moin point d'accès wifi que j'attend, mon serveur distant, les caméras… et je dois changer de switch :)

            de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

      • [^] # Re: Sécurité

        Posté par  (Mastodon) . Évalué à 1. Dernière modification le 05 février 2018 à 17:36.

        Vous en faites quoi de vos cameras HD ? C'est pour surveiller votre chat et savoir s'il dort sur votre lit au lieu de son panier ? J'vois pas trop dans quel cas de figure j'aurais besoin de regarder des cameras à distance, en live. Si je suis cambriolé, ben les cameras vont pas arrêter le cambrioleur et personne n'est 24h/24 devant son téléphone à vérifier qu'il n'y a personne dans son salon.

        • [^] # Re: Sécurité

          Posté par  . Évalué à 0. Dernière modification le 05 février 2018 à 17:53.

          C'est pour surveiller votre chat

          Et surveiller ces gamelles ^ ^

          Si je suis cambriolé, ben les cameras vont pas arrêter le cambrioleur et personne n'est 24h/24 devant son téléphone à vérifier qu'il n'y a personne dans son salon.

          Quand tu as subis plusieurs vols avec effraction c'est pratique/rassurant d'avoir des yeux dans la maison les jours où tu te retrouve seul :)
          Note que quasi toutes les cameras sont capable d'envoyer des notifications à minima par mail avec ou sans pièce-jointe (enjoy big data pour gmail). Idem pour les serveurs (qui peuvent même agir).

        • [^] # Re: Sécurité

          Posté par  . Évalué à 2.

          Personnellement je me suis plus lancé dans le la domotique pour m'amuser un peu. De nos jours tu as des notifications performantes, tu peux ajouter des détection, des zonages, etc… pas besoin d'avoir les yeux rivés sur les caméras.

          de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

          • [^] # Re: Sécurité

            Posté par  (Mastodon) . Évalué à 2. Dernière modification le 05 février 2018 à 21:21.

            Ce que je veux dire c'est que la caméra n'empêchera pas le délit/crime et voir ce qui se passe en live non plus.

            L'intérêt des alertes ok je le vois, mais dans ce cas-là t'as de toute façon intérêt à ce que les dernières minutes filmées par tes caméras soient de toute manière bufferisées sur un espace externe à ton domicile. Parce que bon si le cambrioleur embarque tout ton matos informatique, la nas et la caméra tu l'as un peu dans le c… et pas grand chose à mettre sous la dent des forces de polices. Du coup si tu peux accéder aux vidéos sur un vps ou stockage dans le cloud, t'as pas vraiment besoin de te connecter en direct à la caméra (et prendre des risques niveau sécurité) à mon humble avis

            • [^] # Re: Sécurité

              Posté par  . Évalué à 2.

              Ce que je veux dire c'est que la caméra n'empêchera pas le délit/crime et voir ce qui se passe en live non plus.

              C'est pourtant ce que vendent pas mal d'entreprises de protection de domicile/usine/etc. Ils installent de quoi surveiller les locaux, et lors d'un incident ils jettent un oeil (ou une oreille, beaucoup de systèmes sont uniquement haut-parleur + microphone). Ça leur permet d'appeler la police avec efficacité « Bonjour, société Machin. L'appartement situé au 43 rue Truc, 2ème étage gauche est en train d'être cambriolé ».
              Bon ok, la réponse est souvent « ouais, on va envoyer une patrouille » et elle arrive 15 minutes après (les mecs sont à l'intérieur depuis 5 minutes déjà). Mais bon c'est nettement mieux que rien.

              La HD est pratique lorsque le cambrioleur se fait pincer en dehors du bâtiment. Ça permet de vérifier que ces habits sont identiques. Il faut également la couleur, le images en « infra-rouge » étant très peu pratiques car monochromes (mais encore une fois, c'est mieux que rien).

              • [^] # Re: Sécurité

                Posté par  . Évalué à 0.

                Bon ok, la réponse est souvent « ouais, on va envoyer une patrouille » et elle arrive 15 minutes après (les mecs sont à l'intérieur depuis 5 minutes déjà). Mais bon c'est nettement mieux que rien.

                Si t'as un contrat avec une vraie boite de télésurveillance, ils ont une liaison spéciale avec les forces de l'ordre et sont écoutés systématiquement. De plus, les télésurveilleurs proposent généralement d'intervenir directement eux-mêmes.

                A noter, que le temps moyen d'un télésurveilleur pour se rendre compte qu'un de ses clients se fait cambrioler est plutôt de l'ordre de quelques dizaines de seconde (parfois avant même l'effraction en fonction des technologies employées).

            • [^] # Re: Sécurité

              Posté par  . Évalué à 2.

              Il est certain que si ton NAS est posé sur ton bureau c'est light. Moi en revanche je te met au défit de trouver le miens dans un délais moyen de cambriolage. Et puis bon, il faut déjà tomber sur un cambrioleur geek qui sait ce qu'est un NAS ;)

              de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

            • [^] # Re: Sécurité

              Posté par  . Évalué à 1.

              La pratique chez les professionnels est plutôt de planquer le serveur dans les bâtiments (faux-plafond, gaine technique…), le cambrioleur ne perdra pas de temps à essayer de la chercher ou alors il est pas futé, parce que tu peux perdre beaucoup de temps à chercher le serveur qui n'est peut être mème pas accessible directement sans démonter quelque chose.

              Quelque chose qui se repend de plus en plus aussi, c'est l'interpellation vocal. Beaucoup de caméras permettent de diffuser du son et un cambrioleur non avisé peut facilement prendre peur et abandonner le cambriolage s'il pense quelqu'un va débarquer sous peu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.