En effet tu peux écrire à ce cher Lorenzo, responsable de la stack network d'Android.
Non content d'avoir travaillé sur SLAAC puis sur rddns, il s'est dit "qu'abuser" du monopole de l'OS serait pas mal pour supprimer DHCPv6. Et tant pis pour ceux qui veulent tracer les terminaux, ils n'ont qu'à faire du zero trust avec un VPN... En entreprise c'est galère, par exemple si tu veux migrer un wifi guest en dual stack pour te faire la main, commencer à tester tes équipements etc. Tu te retrouves vite confronter à ce problème. Si tu as une passerelle "lourde" sur place qui porte le vlan et traque directement les NA et DAD ça passe, mais on sait tous que le déploiement courant en entreprise c'est plutôt un cluster d'authentification centralisé qui gère aussi le guest. Et lui en général il se contente du radius et ensuite fait une corrélation avec les logs d'un proxy transparent. Forcément avec SLAAC ou tu changes d'IP chaque X minute et où rien hormis les ND te permet de suivre ça, c'est perdu. Et Android va plus loin que les téléphones, tu veux passer des imprimantes Lexmark ou des tablettes de réservation de salle de réunion en IPv6 avec une réservation DHCP ? L'éditeur l'intègre parfois lui-même comme Lexmark. Peut-être que les outils de MDM permettront bientôt de tracer un terminal en v6 à partir du moment où il récupère une IP dans ton /32 par exemple, mais ça ne répond pas aux guests qui ne sont pas gérés. L'idéal serait que les AP Wifi remontent instantanément tout changement de Neighbor pour pouvoir continuer à effectuer la corrélation de logs, ou comment forcer la télémétrie pour un truc qui fonctionnait très bien sans. Ou encore collecter les tables de snooping. En 2019 quelqu'un posait la question chez aruba https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=26189#bm595048c3-ffc7-4993-9981-374f189676fa https://www.techrepublic.com/article/androids-lack-of-dhcpv6-support-frustrates-enterprise-network-admins/ https://www.reddit.com/r/ipv6/comments/3wfpn2/i_am_getting_sick_of_lorenzos_attitude_to_ipv6/ 4 ans sur reddit, ça semble un combat perdu, comme quand Google annonce depuis 5 ans qu'ils vont empêcher les surcouches et pousser les MAJ comme n'importe quel OS avec les drivers. (il y'a eu le débat ici même pour les certificats Let's Encrypt qui ne fonctionneront pas sur Android 7) L'immense majorité des opérateurs déploie donc SLAAC sur ses box, sur les Freebox il est même indiqué que si tu bascules en DHCPv6, au revoir Android. Pour résumer, sois corrélation de collecte des logs NDP avec un genre d'arpwatch en temps réel, sois pour le testeur du dimanche, l'assignation d'IPv6 à l'hôte via... roulement de tambours... le serveur radius lui-même https://tools.ietf.org/html/rfc6911#section-2.1 Bref, à l'heure où on nous recommande de logguer les ports et pas seulement les IP sur internet grâce aux merveilleux CGN qui font du partage d'IPv4 entre abonnées (https://tools.ietf.org/html/rfc6302) d'autres nous empêchent de tracer une machine facilement sur nos réseaux corporate.... Jean-Charles BISECCO -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Artur Envoyé : jeudi 12 novembre 2020 22:22 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] IPV6 autoconfiguration stateful Bonsoir à tous, Je regarde actuellement dhcpv6 pour définir un adressage prévisible à l'avance sur un réseau local et permettre un filtrage qui va avec. Si ça marche bien entre un serveur Debian/radvd/wide-dhcpv6 et une machine Windows10 (pas encore testé avec Linux, mais a priori ça doit marcher tout seul), ça ne fonctionne pas du tout avec Android. En faisant quelques recherches j'ai vu que Google ne veut pas de dhcpv6 sur Android (https://www.nullzero.co.uk/android-does-not-support-dhcpv6-and-google-wont-fix-that/). C'est presque vendredi, mais je n'ai pas forcément envie de déclencher une polémique sur 350 posts. La question au-delà de la position de Google, c'est : A votre connaissance, quelle solution pour cette autoconfiguration IPv6 stateful sur Android, svp ? Ou encore, si dhcpv6 n'est pas la solution adaptée, comment pourrait-on mettre en place un filtrage "par terminal" Android en IPv6? Merci par avance. -- Cordialement, Artur --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
