On 13/02/2024 04:35, Maximus . wrote:
Non, je ne fais pas de "l’internet". Je ne travaille pas chez des opérateurs
tiers 1 2 3 4...
Je travaille juste dans le SI d’une entreprise, et je suis inscrit à titre
perso sur cette liste pour avoir des news sur ce qu’il se passe.
Mon job aujourd’hui, c’est juste de faire en sorte que les machines
communiquent entre elles et avec internet.
On s’est intéressé à l’IPv6 car ça proposait un truc intéressant, la
disparition du NAT. Et vu le nombre de serveurs, ce n’est pas toujours simple
les VIP IPv4.
On n'est pas des surdoués à développer et maintenir un linux qui permet de
faire exactement ce que je veux. Donc on utilise un routeur qui nous aide avec
du clic-clic.
Et on fait un peu de CLI pour les fonctions qui ne sont pas dispo, mais on
n’est pas capable de plus.
Pour conf de la délégation, jusqu’à récemment, y’avait rien en clic-clic. Donc
sur les sites avec 1 accès principal, et 1 backup, ça fonctionne, du NAT en v6.
Entendu. Bien sûr, c'est pardonnable si tu ne fais pas de l'Internet,
encore plus si tu es admin-sys, on est souvent le dernier maillon de la
chaine. Ça reste quand même l'affaire de tout le corps de métier, à mon
avis (voir la discussion parallèle sur l'enseignement de l'IPv6 en France).
Pour les ULA, je ne sais si vous ne l’avez pas remarqué, mais un PC Windows
adressé en ULA va préférer utiliser la couche IPv4. Quelle utilité de faire de
l’IPv6 alors ?
Tests réalisés y’a déjà un petit moment, ça a peut-être changé aujourd’hui. Si
c’est le cas, je serais heureux de l’apprendre.
C'est une regrettable conséquence de la RFC 6724. C'est un problème qui
est apparu en 2012 et qui n'était pas là avant. Une sacrée régression.
Ceci-dit, si tu contrôle les machines de ton parc, tu peux parfaitement
modifier les règles de sélection d'adresse pour placer les ULA avant les
IPv4. Je ne connais pas Windows, mais je ne serais pas surpris que ça
soit modifiable facilement avec une GPO (peut-être même en clic-clic,
mais je ne suis pas sûr).
Pour le choix du WAN qui dépends de l’hôte source, c’est juste qu’on ne fait
pas de routage asymétrique. On n'est pas propriétaire de nos IP, pas d’AS, pas
de BGP.
Si un PC avec une IPv6 de l’opérateur 1 sort sur le réseau de l’opérateur 2, 2
options :
- l’opérateur détruit le paquet, car c’est pas du tout ce que le client est
sensé avoir ;
- l’opérateur laisse passer, mais sur le chemin retour, le paquet arrive par
l’accès de l’autre opérateur, et on a dit pas de routage asymétrique, donc
détruit.
Il ne faut surtout pas faire ça. D'ailleurs tout bon FAI devrait
interdire d'émettre des IPs dont il n'est pas responsable (et donc qu'il
n'anonce pas), donc ça ne devrait même pas fonctionner.
La solution à ça est la même que pour l'IPv4, pas de magie : c'est le
NAT (mais attention, tous les NATs ne se valent pas).
À ma connaissance, je ne vois pas comment fonctionne cette histoire de NAT 1:1
sur Fortigate. Si c’est ça qu’il faut faire, je vais me renseigner pour voir
comment configurer ça.
Mais vu la fin de la ligne, ou alors je n’ai pas compris, ça n’a pas l’air
d’être la bonne solution.
La balle dans le pied c'est si on avait choisi le NAT IPv4-esque. Ce que
j'appelle "NAT 1:1" c'est le NTPv6 : sur tous les préfixes du réseau
(ceux du WAN (normalement des GUA), et celui du LAN (un ULA dans notre
cas)), la partie hôte de l'adresse est la même. Ainsi le NAT est
entièrement sans état et a simplement besoin de connaître la valeur et
la taille de chaque préfixe.
Je profite juste de la discussion pour faire évoluer mes connaissances, par
exemple avec l’histoire de NAT 1:1.
Et je te félicite !
De mon point de vue aujourd’hui, si on peut faire fonctionner la double-stack,
sans avoir à inventer la roue, car l’IPv6 est censé être l’adressage du futur,
on essaye.
Si ce n’est pas possible d’avoir les mêmes fonctionnalités, ben tant pis...
Je suis bien d'accord. Mais il ne faut pas dire que ça ne marche pas. Je
trouve aussi que le dual-stack est très difficile à mettre en place, là
où un réseau IPv4 simple ou un réseau IPv6 avec NAT64 et DNS64 sont bien
plus simples à mettre en place. Mais, tu dois le deviner, le réseau
uniquement IPv6 c'est pas possible, ne serait-ce que à cause des
imprimantes (:
Car l’IPv4 est encore obligatoire. Aux Antilles, certains opérateurs ne
proposent même pas l’IPv6. La 5G est là, mais pas l’IPv6. Et pas le petit
opérateur local, c’est chez l’agrume (opérateur national Français, la filiale
Antilles).
Si vous voulez les captures d’écrans, y’en a pour 5 minutes.
Même constat sur les abonnements maison. Chez l’agrume, y’a de l’IPv6, mais pas
les autres.
Ça on est bien d'accord que c'est pas normal. Eux, ils font de
l'Internet, et ils n'ont aucune excuse.
- Léo
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
