Journal Nouveautés ipv6 chez Free

Posté par  (site web personnel) .
Étiquettes : aucune
0
16
mar.
2008
Aujourd'hui après avoir rebooté ma freebox pour prendre en compte un changement dans la configuration DHCP, j'ai eu une surprise : J'avais 2 ipv6 sur mes machines.

Free a donc visiblement commencé à annoncer des préfixes sur leur /26 (2a01:e00::/26 FR-PROXAD-20080121 qui va remplacer le /32 précedent, 2a01:5d8::/32 FR-PROXAD-20071108).

La bonne nouvelle c'est un petit changement dans les préfixes annoncés, même si ca reste des /64 :

2a01:5d8:52e5:d052::/64 (ancien)

2a01:e35:2e5d:520::/64 (nouveau)


Donc l'ipv4 a été décalée de 4 bits vers la gauche, ce qui signifie qu'il y a maintenant un /60 par ipv4 !

Un test rapide par un copain indique que tout le /60 est bien routé vers ma freebox.

Il reste à savoir comment ça sera géré, mais ça va faire plaisir aux gens qui ont un routeur derrière la freebox.

  • # C'est de l'hébreux

    Posté par  . Évalué à 6.

    et c'est malheureux poru moi; Certes, je sais à quoi ça sers, MAIS j'ignore encore tout du protocole (d'un point de vue sysadmin).
    N'y a t'il pas de la documentation CLAIRE sur l'ipv6 ?
    Ca m'agace de pas comprendre quelque dont j'aurais besoin plus tard

    • [^] # Re: C'est de l'hébreux

      Posté par  (site web personnel) . Évalué à 6.

      Tu veux savoir quoi ?
      Tu as une "documentation claire" sur l'ipv4 a me filer que je sache ce que tu veux sur l'ipv6 ?

    • [^] # Re: C'est de l'hébreux

      Posté par  . Évalué à 3.

      Si tu parles anglais je ne saurais trop te conseiller http://www.3com.com/other/pdfs/infra/corpinfo/en_US/501302.p(...)

      Il y a à peu près tout ce que l'on a besoin de savoir pour utiliser un réseau IP fournit par un provider petit ou gros. Bon après pour monter son propre réseau à partir de rien c'est le Pujolle.

      • [^] # Re: C'est de l'hébreux

        Posté par  . Évalué à 4.

        Le Pujolle personnellement je trouve qu'il est vraiment pas terrible, trop axé sur des technos dépassées, un peu trop bref sur un certain nombre de protocoles, trop orienté description statique et pas assez dynamique, bref j'aime pas.

        Sur de l'IPv6, le livre du G6 a maintenant été transformé en wiki très bien : http://livre.point6.net/index.php/Accueil

        Pour les réseaux en général, il y a un livre vraiment génial et malheureusement méconnu (et donc pas super facile à trouver) : Réseaux Internet téléphonie multimédia de D. Hardy, G. Malleux, N. Mereur. C'est un bouquin exceptionnel rédigé par 70 personnes de France Télécom R&D et Cisco. Il date de 2003 et il est encore en avance sur pas mal de point, notamment ce qui concerne la convergence.

        • [^] # Re: C'est de l'hébreux

          Posté par  . Évalué à 2.

          Le Pujolle personnellement je trouve qu'il est vraiment pas terrible, trop axé sur des technos dépassées, un peu trop bref sur un certain nombre de protocoles, trop orienté description statique et pas assez dynamique, bref j'aime pas.

          Le Pujolle a pour bout d'expliquer aux gens qui veulent devenir FAI, ou équivalent en terme de connexions réseau, dans quoi il mettent les pides. dans cette optique il est très très bien fait. parce que les technos "dépassées" ce sont encore elles qui forment l'ossature de de 80% du net à l'heure actuelle.

          • [^] # Re: C'est de l'hébreux

            Posté par  . Évalué à 2.

            Je suis dans une formation de télécoms, j'ai beaucoup de contacts dans les ISP et je suis en apprentissage chez un intégrateur. Je trouve pas que le Pujolle soit particulièrement bien adapté. Je me sers essentiellement du Hardy et al.

  • # Vieux

    Posté par  (site web personnel) . Évalué à 2.

    Ah ben en fait ca avait été discuté sur p.f.a.d il y a une semaine :)

    Message-ID: <47d17408$0$24110$426a74cc@news.free.fr>

  • # J'ai toujours pas compris pourquoi...

    Posté par  (site web personnel) . Évalué à 2.

    ... On attribue un /64 aux gens?
    Si j'ai bien compris (j'ai encore du mal avec IPv6...), ca fait que tu peux brancher 2^64 trucs différents chez toi?
    un /96 n'aurait pas été amplement suffisant à vie? Ca fait quand meme 4 milliard de machines possibles avec les 32 bits qu'il reste, allez au pire avec des trucs de routage qui bouffe plein d'adresses quelques millions (ce qu'on a sur terre actuellement avec IPv4!).
    Pourquoi "manger" aussi vite l'espace d'adressage IPv6 public?

    • [^] # Re: J'ai toujours pas compris pourquoi...

      Posté par  (site web personnel) . Évalué à 6.

      Parce que ca permet l'autoconfiguration, ca te créée une ipv6 en fonction de la MAC de ta machine.
      Et puis avoir quasiment que des adresses inutilisées ca limite l'efficacité des scans :)

      • [^] # Re: J'ai toujours pas compris pourquoi...

        Posté par  (site web personnel) . Évalué à 2.

        Merci pour l'explication.
        Je recentre la question alors : pourquoi pas un /80 alors? L'adresse MAC étant sur 48 bits et à priori unique au monde (ou au moins chez toi, il faut espérer! Sinon autres problèmes...)

        • [^] # Re: J'ai toujours pas compris pourquoi...

          Posté par  (site web personnel) . Évalué à 3.

          Parce que tu te limites à une carte ethernet :)

          L'identifiant d'interface fait 64 bits, et dans le cas d'ethernet il est commun de le baser sur les 48 bits de la MAC (mais windows est aléatoire). Dans le cas d'une interface ppp ou autre virtuelle, tu n'as pas de mac.

          http://livre.point6.net/index.php/Identifiant_d'interface

          • [^] # Re: J'ai toujours pas compris pourquoi...

            Posté par  . Évalué à 4.

            Donc ya des oufs qui se sont dit :

            pour gérer les 3 interfaces ppp que 10% des utilisateurs d'IPv6 utiliseront, empressons nous de multiplier l'espace d'adressage des adresses MAC par... 65536

            En fait les designeurs devaient avoir peur de vraiment résoudre le problème du manque d'adresses, alors ils ont décidé de gaspiller l'espace le plus possible histoire de retrouver du travail dans 20 ans :P

            • [^] # Re: J'ai toujours pas compris pourquoi...

              Posté par  . Évalué à 7.

              Le problème ici n'est pas le manque d'IP. mais l'autoconfiguration des interfaces qui doit ce passer sans aucune ressource exterieur. Et pour cela, il ne faut pas de collision d'adresse. Si le système est bien pensée, l'on peut brancher tout les interfaces disponibles de ce monde et bien plus encore sans collision sur le même réseau local. C'est à dire que toutes les interfaces auront chacune une IPv6 locale unique. C'est la raison qu'en IPv6 l'on dispose d'une plage d'adresse pour un réseau aussi importante.

              Un petit point pour bien commencer en IPv6. Il faut penser interface et non ordinateur ou routeur. C'est même une philosophie d'IPv6.

              • [^] # Re: J'ai toujours pas compris pourquoi...

                Posté par  . Évalué à 0.

                Il faut penser interface et non ordinateur ou routeur

                A priori un réseau ne sert pas seulement à connecter des ordinateurs et des équipements actifs de réseaux.

          • [^] # Re: J'ai toujours pas compris pourquoi...

            Posté par  . Évalué à 5.

            il est commun de le baser sur les 48 bits de la MAC (mais windows est aléatoire)

            Pour utiliser une valeur aleatoire plutot que l'adresse MAC sous linux:
            echo 2 > /proc/sys/net/ipv6/conf/default/use_tempaddr

        • [^] # Re: J'ai toujours pas compris pourquoi...

          Posté par  . Évalué à 5.

          parceque l'ipv6 ne se base pas sur l'adresse MAC en tant que tel, quand il a été concu, mais plutot sur un "identifitant universelle", qui consiste, pour les adresses mac à prendre les trois premiers octets (MSB) de ton adresse MAC; concaténé 0xFFFE, puis concaténé les trois derniers octets.

          Tu pourrais aussi utiliser ipv6 au dessus d'autre chose qu'un ethernet (exemple con : un réseau de capteur )

          • [^] # Re: J'ai toujours pas compris pourquoi...

            Posté par  . Évalué à 9.

            Et transformer l'adresse MAC en 48 bit permet aussi de ne pas avoir de conflit si un autre périph se base sur un adresse à 48 bits aussi, il suffit de changer les bits que l'on ajoute et la façon d'agencer les bits.

            Le but de ceci est de permettre l'auto-configuration (adresse locale privée) puis la configuration (adresse internet public) de l'interface quelque soit le ou les protocoles de liaisons utilisées. Ce qui permet en gros de facilement envoyer un broadcast sur le réseau malgrès qu'il eu des bridges, des liaisons ppp et 58 réseaux physiques différents.

    • [^] # Re: J'ai toujours pas compris pourquoi...

      Posté par  . Évalué à 2.

      Tout objet électrique pourra être branché sur le réseau, comptez vos appareil électriques, douilles d'ampoules, prises électriques, sans oublier les multiprises...

      Ensuite, si j'ai bien compris la philosophie, tout objet "individualisable" pourrait être adressé directement sur le réseau et avoir son adresse IP, dans un ordinateur, cela fait du monde entre la mémoire; les disques, les cartes, les manettes de jeu, l'écran...

      Alors, même si 2^64 peut paraît important, cela pourrait ne pas être de trop.

  • # toujours pas de firewall ?

    Posté par  (site web personnel) . Évalué à 2.

    l'ipv6 c est bien mais sans firewall c est pas top.

    avec l'ipv4 y'avait le NAT qui permettait de proteger notre réseau privé ... mais avec l'ipv6 y'a rien ...

    a quand le firewall ipv6 dans la freebox ?

    • [^] # Re: toujours pas de firewall ?

      Posté par  . Évalué à 10.

      La freebox est par défaut (= comme ça chez 90% des gens qui n'ont jamais osé changer) en mode bridge, donc ton ordi est "directement" connecté au net, sans NAT. Pourtant, ça a l'air de déranger personne. Et tu sais quoi ? C'est peut-être justement parce que c'est ce que tout le monde veut, et que si on pouvait connecter plusieurs bécanes derrière sa freebox sans NAT, ce serait génial : c'est ce qu'offre IPv6.

      • [^] # Re: toujours pas de firewall ?

        Posté par  . Évalué à 5.

        ce que tu dis, et ce qu'il dit n'est pas du tout incompatible :
        il dit "il est possible d'avoir un firewall basique sur ipv4 par le biais du NAT. Ca serait bien d'avoir aussi un firewall pour ipv6 au niveau de la freebox".

        jusqu'ici mettre un firewall en "tête de pont" est tout a fait courant.

        Tu dis "Le nat n'est pas activé par défaut". Ce qui est vrai, mais n'empeche pas qu'il existe. Et avoir un VRAI firewall sur sa freebox serait un plus intéressant, non ?

        • [^] # Re: toujours pas de firewall ?

          Posté par  . Évalué à 4.

          Oui ça serait effectivement intéressant : je ne savais pas que Free ne proposait aucune option "basique" pour interdire les connexions entrantes par exemple. C'est vrai que ça pourrait être utile.

          • [^] # Re: toujours pas de firewall ?

            Posté par  . Évalué à 2.

            Y'a le blocage du ping je crois, et puis, bah c'est tout.

            • [^] # Re: toujours pas de firewall ?

              Posté par  . Évalué à 5.

              Dans le genre truc bien inutile ....
              Je vois bien un kevin raconter "Ouai, j'ai bloqué les ping vers ma connexion, comme ca je suis invisible depuis le réseau !"...

    • [^] # Re: toujours pas de firewall ?

      Posté par  (site web personnel) . Évalué à 2.

      Une autre question qui me trote : les firewalls et autres anti-virus de l'os de redmond sont-ils suffisaments testés avec IPv6 pour être considéré comme fiable? Le gèrent-t-ils seulement?

      Pour l'instant, je ne mettrais personne sous Windows en IPv6, pas avant 2 ans je dirais. Mais si certains ont des retours, cela m'intéresse.

    • [^] # Re: toujours pas de firewall ?

      Posté par  . Évalué à 3.

      Je suis t'a fait d'accord avec toi (et je comprend pas ton moinsage).
      Il faut mieux mettre un firewall sur le point d'entrée que se reposer sur la configuration de chaque machine (d'autant plus qu'on peut vouloir autoriser des données à circuler sur le réseau local, sans qu'elles en sortent).

      Au passage avec l'ipv6 on nous vante la fin les problème propre au nat. Mais bon par exemple pour sip, si le routeur a un parfeu qui bloque les flux entrant qu'on soit en ipv4 ou ipv6, on aura toujours besoin de truc comme stun ?

      • [^] # Re: toujours pas de firewall ?

        Posté par  . Évalué à 7.

        C'est pour ça que l'IETF demande de bien réfléchir à cette politique maintenant quasi universel de filtrer l'entrant et de faire de se reposer sur des capacités stateful pour ouvrir les ports qui vont bien à la suite d'une connexion sortante.

        Si, comme l'espère l'IETF (et moi), IPv6 permet de rétablir la transparence d'adresse (que certains pourront assimiler à la net neutrality), il faut repenser un certain nombre de façon de faire. Alors ça peut passer par des configurations types sur ta freebox (et hop, je coche VoIP et c'est parti) ou du hole punching ou je sais pas quoi mais ce sera clairement pas trivial.


        http://www.ietf.org/rfc/rfc4924.txt
        http://www.ietf.org/rfc/rfc2775.txt

      • [^] # Re: toujours pas de firewall ?

        Posté par  . Évalué à 4.

        SIP utilise le p2p pour gagner en latence en évitant de passer par un ou plusieurs serveurs. Cela marche très bien avec des IP publics ou des adresses NATées bien configurées. Mais pose des problèmes dès qu'il y un firewall, ce qui notament le cas pour la NAT.
        Maintenant les latences diminuent doucement, plus doucement que l'augmentation des débits, c'est dommage. Mais les fibrés doivent gagner pas mal je pense. Quand la latence sera partout basse, SIP sera un protocole utilisant mille remèdes pour rien.

        J'annonce pas la mort de SIP, il est trop implémenter chez les industriels pour mourir comme ça. Mais son champs d'action se limitera aux réseaux privés tout en restant aussi galère ^^. Les connexions client<->serveur<->serveur<->client (comme XMPP par exmple)sont bien plus adaptés aujourd'hui avec les performances allant croissantes. Elles permettent une gestion plus fine de la sécurité (contrôle d'accès, authentification, etc...). Ce mode de connexion client<->serveur<->serveur<->client devrait être utiliser partout où il y a communication entre deux clients, je pense notament aux emails (ce qui éviterai pas mal de spams ou de tentative de pishing) et à la VoIP/ToIP/MoIP.

        Jabber est la bonne voie ^^.

        • [^] # Re: toujours pas de firewall ?

          Posté par  . Évalué à 2.

          tu parle bien de SIP et non pas de SKYPE ?
          C'est la première fois que j'entend dire que SIP repose sur du P2P .

          • [^] # Re: toujours pas de firewall ?

            Posté par  . Évalué à 2.

            Bin SKYPE ou SIP, c'est pareil. Et il ne faut pas entendre p2p comme emule mais bien comme pair à pair.

            SIP ne sert qu'à initier une connexion RTP entre les deux clients voir une connexion client-serveur-client en passant par stun soit en dialogant directement entre les deux clients soit en passant par un ou deux serveurs avant. On se retrouve bien à la fin avec une connexion pair à pair. Skype utilise le même principe.

            Il est vrai que SIP en lui même n'est pas du pair à pair, mais il permet bien d'établir une connexion p2p en RTP.

          • [^] # Re: toujours pas de firewall ?

            Posté par  (site web personnel) . Évalué à 3.

            SIP, comme Skype, n'utilisent le coeur du réseau que pour la signalisation, et laisse la voix passer de client (peer) à client (--> P2P)
            Skype : Voix et Signalisation en P2P
            SIP : Voix par P2P, signalisation centralisée.

            SIP et une peu comme Bittorrent : faut un truc central, mais le contenu n'est pas centralisé.
            Skype est comme Kamdelia (le reseau décentralisé d'Emule) : pas besoin de truc central (juste que Skype controle le P2P de signalisation quand même...)

            • [^] # Re: toujours pas de firewall ?

              Posté par  . Évalué à 2.

              SIP ... ne traite pas les données!
              C'est RTP qui le fait.
              SIP = Session Initiation Protocol .
              C'est la partie signalisation seulement.

              Le fait est que SIP passe justement par des serveurs pour trouver les clients, et qu'ensuites ils établissent un/des canal(ux) RTP/RTCP entre eux.

              • [^] # Re: toujours pas de firewall ?

                Posté par  (site web personnel) . Évalué à 3.

                Oui, je parlais de SIP vu par Mr tout le monde : "le truc pour appeler".
                et Mr tout le monde, son objectif est d'appeler, pas d'initier la communication :).
                Et dans ce sens, SIP "permet" (mot mieux adapté?) la partie "data" d'être en P2P (par RTP etc...), tu ne vois pas la donnée (ta parole) passer par un serveur.

        • [^] # Re: toujours pas de firewall ?

          Posté par  (site web personnel) . Évalué à 3.

          Les connexions client<->serveur<->serveur<->client (comme XMPP par exmple)sont bien plus adaptés aujourd'hui avec les performances allant croissantes.

          Tu penses sérieusement que passer par deux nœuds supplémentaires permet de réduire la latence?
          Par design, client<->client (P2P) est plus rapide que client<->serveur<->serveur<->client, rien qu'en regardant le dessin!

          Le P2P est bien plus adapté aujourd'hui qu'un truc centralisé.

          • [^] # Re: toujours pas de firewall ?

            Posté par  . Évalué à 1.

            suffit que tu ais un lien de peering entre les deux serveurs, et que chacun des clients aient une grosse connection sur leur serveur respectif, mais une petite entre eux, et le design plus rapide "rien qu'en regardant le dessin" est plus lent en réalité.

            • [^] # Re: toujours pas de firewall ?

              Posté par  (site web personnel) . Évalué à 2.

              C'est du design réseau, plus du design protocolaire...
              IP est basé sur l'utilisation de plusieurs routes en prenant la plus rapide pour arriver où tu veux, dans le sens du P2P et non pas centralisé.

          • [^] # Re: toujours pas de firewall ?

            Posté par  . Évalué à 3.

            Non biensûr, passer par des noeuds supplémentaire augmente la latence entre deux pairs. Mais la latence diminuant, on peut se permettre de passer par des noeuds supplémentaire pour gagner en sécurité et autres. On n'a pas vraiment besoin de latence 0 même si c'est l'idéal.

            En entreprise, on passe souvent par des serveurs en DMZ pour réguler le trafic à la sortie du lan (Proxy, smtp ...). Pour le firewall, à la sortie du LAN, la régle est simple, on ne laisse passer que le trafic pour ces serveurs. Je ne parle ici que du niveau firewall puisque c'est le sujet mais l'on gagne sur d'autre point.

            Le p2p est utilisé ici pour gagner en latence. Le deuxième avantage du p2p est de gagner en débit. Un serveur ne pouvant en général pas gérer le débit maximum que peuvent produire un nombre important de client (500 clients 20Mb pouvant par exemple saturer un serveur en 10Gb). Pour ce cas, le p2p sera toujours plus rapide que cette solution, les débits clients augmentant de façon plus ou moins parallèle que ceux des serveurs.

            • [^] # Re: toujours pas de firewall ?

              Posté par  . Évalué à 5.

              Pour commencer, SIP propose d'établir une session RTP entre 2 pairs et de faire en sorte que cette session RTP passe par aucun ou quelques ou tous les serveurs qui ont été contactés lors l'établissement de la connexion. Donc dire que SIP est mal conçu c'est être à côté de la plaque car il a été conçu pour justement s'adapter à tous les cas.

              Ensuite, quelle est la meilleure architecture pour SIP ? Avec ou sans serveurs intermédiaires ? Bhen ça dépend. Je peux vous trouver autant de cas qui nécessitent de passer par des serveurs intermédiaires (parcage d'appel, MéVo, transcodage, passerelles vers RTC, ...) que de cas qui nécessitent de passer par du direct poste à poste (économie BP si serveur hors site, gestion des services par les postes eux-mêmes, éviter de surcharger les serveurs centraux, ...). Internet n'est pas le seul réseau informatique au monde. Les réseaux en entreprise peuvent regrouper des centaines de milliers de machines également, avoir des architectures et des besoins très différents.

  • # En parlant d'IPv6....

    Posté par  (site web personnel) . Évalué à 2.

    En parlant d'IPv6, dernièrement Free a ouvert son service de télésite (sorte de site-web basique accessible via la Freebox) mais il nécessite que le site soit hébergé en IPv6.

    Je sais que l'on peut héberger son site sur sa machine perso vu que le réseau Free est en IPv6 mais ça m'embête de laisser ma machine allumée tout le temps. J'ai bien un serveur Nat (Synology DS-106J) qui peut héberger le site mais il ne supporte pas IPv6 ( http://www.synology.com/enu/forum/viewtopic.php?f=21&t=3(...) ).

    J'ai configuré la Freebox en mode routeur pour rediriger le port 80 vers mon serveur Nat mais si ça marche en IPv4, ce n'est pas le cas en IPv6. Est-ce dû au fait que la Freebox ne fait plus routeur en IPv6 ou parce que le fait de passer d'IPv6 du coté Internet à IPv4 pour communiquer avec mon serveur Natpose problème ?

    Sinon, connaissez-vous un hébergeur IPv6 gratos ? J'ai bien essayé la gateway de sixxs.org mais parfois la connexion est mauvaise et Free désactive le télésite.

    Merci

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Re: En parlant d'IPv6....

      Posté par  . Évalué à 2.

      C'est du GPL, tu peux recompiler avec le support IPv6, non ?

      • [^] # Re: En parlant d'IPv6....

        Posté par  (site web personnel) . Évalué à 1.

        Euh... Oui (http://www.synology.com/enu/gpl/index.php) mais au niveau paramétrage du kernel, je préfère éviter de faire des conneries. Et j'aimerais bien que ça marche out-of-the-box.

        L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # Tiens...

    Posté par  . Évalué à 4.

    Je viens de voir que OVH dispose enfin de la possiblité de mettre des DNS en AAAA. Hop, une petite minute plus tard, mon site est compatible ^^ :
    $ host snarky.fr
    snarky.fr has address 88.191.59.121
    snarky.fr has IPv6 address 2a01:e0b:1:59:240:63ff:feec:1a24


    Et puis, pour être certain que ça fonctionne, j'ai fait une simple page qui affiche l'IP de celui qui navigue : http://snarky.fr/ip.php

    L'année 2008 sera l'année de l'IPv6.

    • [^] # Re: Tiens...

      Posté par  (site web personnel) . Évalué à -1.

      Ton site est hébergé chez un hébergeur IPv6 ? Parce qu'OVH ne fait pas d'IPv6 en mutualisé :(

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

      • [^] # Re: Tiens...

        Posté par  (site web personnel) . Évalué à 4.

        Non, mais les serveurs dédiés OVH ont tous une adresse IPv6 d'office. En l'occurrence, un rapide whois indique que son site est hébergé sur un serveur dédié Dédibox, qui lui aussi donne des adresses IPv6 à tout le monde.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.