Bonjour, Page 57 Jordi parle des mécanismes de transition, ça n'est pas vraiment pour remplacer le NAT.
Dans un premier temps pour déployer du v6, on utilisait généralement des tunnels Maintenant ça se répand pour économiser des v4 en les partageant, y compris sur des abonnées fixes, via d'autres mécanismes plus performants. Free a inversé son 6rd en 4rd pour partager les IPv4 entre 4 abonnés Le MAP T ou E est étudié par Bouygues pour son réseau fixe grand public SFR semble faire du NAT444 avec la box (1re fois le NAT de RFC1918 comme partout, seconde fois avec le préfixe 100.64/10 RFC6598 et un Carrier Grade NAT centralisé) Un opérateur mobile faisait déjà du NAT44 en central, il fait maintenant du NAT64 avec les mêmes équipements et NAT finalement moins de sessions qu'avant vu que certaines s'établissent dès lors en IPv6 (coucou Orange et Bouygues) Android fait du XLAT464 dans l'OS, l'iPhone le propose en tethering ainsi que dans la gestion des URL dans webkit afin d'éviter de casser des URL IPv4 en dur, de mêmes webkit sait valider un certificat TLS avec une IPv4 au travers de NAT64 (inutile en temps normal puisqu’on utilise le nom de domaine) Reste le problème de DNSEC, et le futur proche problème de DoH (un Firefox Android qui ferait du DoH casserait le DNS64 nécessaire au NAT64) https://lafibre.info/ipv6/ipv6-iphonex/msg689355/#msg689355 Tout cela est de la salade interne d'ISP pour économiser les IPv4 d'une part, et éviter le surcout du dual stack de bout en bout. Mais in fine on arrive à des cas où v6 est natif et v4 non, preuve de la considérable avancée du sujet. Pour en revenir au sujet du NAT, un client lamba particulier a besoin qu'un logiciel puisse s'ouvrir un port si besoin sans intervention manuelle (skype, torrent, jeu en ligne,...) On le fait avec de l'UPnP et sa partie NAT-PMP, PCP le remplace et supporte l'ouverture de port IPv6. Cette dernière n'est plus un port forward, mais une véritable ACL dynamique Bien évidemment on doit avoir des routeurs domestiques qui bloquent par défaut le trafic entrant en dehors des besoins UPnP et de certains messages ICMP. Là-dessus, mention spéciale à Free, qui a mis 10 années à implémenter un FW dans la feebox ! Et ne permet toujours pas d'ouvrir un port en IPv6 -_- La livebox le permet, mais l'implémentation actuelle est boguée. https://lafibre.info/orange-internet/firewall-ipv6-livebox/ La seule translation utile en IPv6, c'est NPTv6, pour changer le préfixe à la volée Typiquement changer le /56 attribué par son opérateur sur un petit site, car on ne veut pas tout reparamétrer si on change d'opérateur, où parce qu'on utilise l'adressage privé IPv6 en interne et non du global. Ou encore, pour une grande entreprise, avec son propre préfixe, permettre à la solution SD-WAN ou autre d'utiliser le préfixe de l'opérateur pour faire du Local BreakOut vers internet histoire d'aller plus vite vers son CRM ou sa suite bureautique préférée en SaaS. Un problème majeur d'IPv6 pour les particuliers et les PME, est qu'il n'est pas facile de reproduire la configuration manuelle IPv4 dans le LAN pour un serveur, une imprimante... "récupère le préfixe opérateur dynamiquement, mais ensuite assigne le reste de ton IPv6 avec ces bits que j'ai choisis sur la portion 65 à 128e bit" Au mieux on peut faire du DHCP, mais Android ne le gère pas, on peut aussi utiliser l'adresse EUI-64 à partir de la mac en désactivant les privacy extension, mais si on change de carte bah... On peut enfin utiliser du privé pour le lan et laisser de l'assignation automatique pour sortir vers internet, mais ça représente plus de travail et peut être source de comportement indésirable notamment avec DNS... L'idéal serait donc un jour que chaque entreprise puisse annoncer son propre /48 de site directement vers l'opérateur et internet, et donc de faire du peering. Utopiste, mais qui sait... JC Bisecco -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Michel Py Envoyé : lundi 11 mai 2020 03:53 À : 'Pierre Emeriaud' <petrus...@gmail.com> Cc : frnog@frnog.org Objet : RE: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE Je fais d'une Pierre deux coups :P ou de deux Pierres un coup :P > Pierre Lagoutte a écrit : > Hallucinant... On en est à discuter du réalisme d'une proposition > "d'extension" et "rétrocompatible".... > pourquoi a-t-on oublié le sens des mots ??? une "extension" n'est > JAMAIS rétrocompatible, sauf si elle a été prévue comme telle à la > conception, auquel cas, ce n'est pas une "extension", c'est un "phasage". Exactement, mais c'est trop tard pour en parler. Mea culpa, il y a 20 ans j'avais pas vu çà. > Nous sommes en train de discuter d'un franc délire: > - OUI, IPv6 est une catastrophe > - OUI nous avons besoin d'une évolution de l'ARCHITECTURE de > l'internet réellement COMPATIBLE > IPv4 (au moins au niveau des installations terminales; même s'il faut > sacrifier des vieilles lunes comme l'adressage de bout-en-bout), car il me > semble bien parti pour l'éternité. Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute façon. Il y a 20 ans, quand je croyais encore à IPv6, il y avait un vague consensus que faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en sommes aujourd'hui, écrit par Monsieur IPv6 lui-même : https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types de NAT différents, dont aucun ne marche ? > - Mais nous n'avons surtout pas besoin d'une bidouille comme cet > IPv4+, qui n'est pas compatible de grand chose, et génèrera des tonnes > d’embêtement. Attention de ne pas généraliser la merde à 32bits-et-demi de Elad Chohen et le reste. Même si la probabilité d'une évolution d'IPv4 avec "juste" plus de bits est improbable, çà reste une possibilité. > Pierre Emeriaud a écrit : > Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a plus > de nat, on va tous se faire pirater. Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P Ceci étant dit, et même si çà fait des lustres que çà ne fait plus grand-chose, NAT continue à emmerder la vie de tout le monde, bien ou mal. Impossible de faire sans, et en fait le pare-feu "diode" que NAT procure à toutes ces merdasses IoT qui ont du code écrit avec les pieds, c'est pas si pire. La caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté IPv6 directement accessible de l'extérieur, çà me fait carrément peur. Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que la même merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
