[FRnOG] Re: [FRnOG] Une loi de compatibilité IPv6 ? (ceci n'est pas un troll)
On 11 Dec 2010, at 22:30, Radu-Adrian Feurdean wrote: (1) Claranet: - dual-stack depuis la nuit des temps - www.clara.net has IPv6 address 2001:a88:0:fffa::4 Mon dieu !!! 3 NS sur 3 !!! Mieux que he.net !! La raison pour laquelle tout le monde n'a pas tout ces NS en IPv6 c'est que pour des raison de résilience, il est bon d'avoir un NS en dehors de son réseau, et que la plupart des sociétés qui hostent pour pas cher sont IPv4 only. - peering IPv6 depuis la nuit des temps Oui de l'epoque ou il fallait demontrer (mentir) a RIPE a propos de vos plan de deployment de v6 sur votre reseau. Je me souviens de l'explication a mourir de rire que j'avais du leur donner a l'epoque afin que l'on puisse simplement tester IPv6 en prod. - discussion dans des conditions obscures: - en tant que client, silence radio (comme du cote Claranet) Oui c'est un peu mieux chez nous car on est bien plus petit mais si tu veux IPv6 ça va remonter jusqu'à moi, a moins que ce soit pour du transit. (3) Cogent D'autres T1 sont beaucoup mieux : KPN par exemple, IPv6 en transit c'est dans le questionnaire et les info de connexion sont fournies en même temps de les info v4. Je ne signe pas avec un transitaire que ne me fourni pas dual-stack sans problème. C'est l'une des raisons pourquoi j'ai quitte L3 il y a quelque temps. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] Une loi de compatibilité IPv6 ? (ceci n'est pas un troll)
On Sun, 12 Dec 2010 09:53:15 +, Thomas Mangin thomas.man...@exa-networks.co.uk said: Je me souviens de l'explication a mourir de rire que j'avais du leur donner a l'epoque afin que l'on puisse simplement tester IPv6 en prod. Faudra probablement compiler un best-of :) Oui c'est un peu mieux chez nous car on est bien plus petit mais si tu veux IPv6 ça va remonter jusqu'à moi, a moins que ce soit pour du J'appelle pas ca mieux... J'appelle mieux quand un FAI est capable de fournir de l'IPv6 sans que ca monte jusqu'a un CxO (CTO, CIO, ...) D'autres T1 sont beaucoup mieux : KPN par exemple, IPv6 en transit c'est dans le questionnaire et les info de connexion sont fournies en même Je ne parle pas de transit (avec interco BGP et tout ca). Dans ce cas je parle de connexions end-user (a.k.a. Business internet, l'espece de connexion pour le bureau distant avec 4 sales dedans). Et la KPN c'est eux aussi silence radio. Effectivement, cote transit, c'est pas difficile d'avoir du v6. Soit on le recoit en standard, soit il faut simplement demander au commerical pour avoir le bon formulaire. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Une loi de compatibilité IPv6 ? (ceci n'est pas un troll)
Oui c'est un peu mieux chez nous car on est bien plus petit mais si tu veux IPv6 ça va remonter jusqu'à moi, a moins que ce soit pour du J'appelle pas ca mieux... J'appelle mieux quand un FAI est capable de fournir de l'IPv6 sans que ca monte jusqu'a un CxO (CTO, CIO, ...) Pour ca, il faut plus de quelques requêtes par an :p Je t'assure qu'après plus une par mois, je mettrai en place une procédure :) Au moins le client a une réponse sur le champ :) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Questionnement d'un administrateur système sur l'IPv6
Bonjour à tous, Pour un premier message sur cette liste je vais commencer par me présenter brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui concerne Mac OS X et Mac OS X Server en entreprise ainsi que Xsan (donc consutling pour clients finaux et formations pour les certifs [inutile de relancer le débat sur les certifications]). Je suis cette liste depuis presque un an (premier message reçu le 21 janvier 2010 pour être précis) et je dois dire que tout ce qui est échangé ici est très instructif (sauf le vendredi). Mon premier message n'intervient que maintenant, car jusqu'à lors je n'avais tout simplement rien à dire :-) Aujourd'hui je trouve enfin le temps de m'intéresser et me préparer à l'IPv6. Mon pool de client habituel va de la TPE à la bonne PME mais, n'ayant pas d'administrateur réseau dédié. C'est moi en tant qu'administrateur-système qui remplis ce rôle autant que ce peu. Jusqu'à présent, je n'ai eu aucun problème, ni de sécurité, ni de conception, même pour tout ce qui est lien inter-site pour certains clients. L'arrivée prochaine de l'IPv6 me demande donc un travail à ce niveau pour comprendre ce qu'il sera possible de faire avec et surtout, comment le faire. Avec votre permission, j'aurais donc quelques questions pour ceux d'entre vous qui sont IPv6-aware. Ma première question concerne l'attitude à adopter quant à son utilisation de manière pérenne. Prenons un exemple avec mon client type, à savoir du double WAN avec IP public fixe pour les deux liens Internet. Le routeur s'occupe de faire de la répartition de charge et un peu de QoS pour être certain que les services du type téléphonie ou services essentiels des serveurs passent dans tous les cas. Ce type de cas est très courant chez moi et va regrouper toutes les questions que je me pose actuellement : - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe IPv6, or le réseau a été construit à partir de ce préfixe (service interne, DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le changement de fournisseur ? En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on a moyen de jouer avec ça ? Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du préfixe actuel, est-ce le cas ? Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) Va-t-il falloir revenir au NAT ? (please encore moins celle-là) - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer la répartition de charge sans faire de NAT ? Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à quasiment toutes mes questions, je me demande si elle est réellement viable. Si toutes les PME soucieuses de la qualité de leur connexion commencent à demander des PI il y a des risques de suicide collectif chez les admin-réseaux non ? En espérant que vous puissiez éclairer ma lanterne. (Et si vous pensez que ce n'est pas le lieu pour en discuter, on peut toujours passer en hors liste) Yoann--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
Bonjour Yoann, Le 12/12/10 13:57, Yoann Gini a écrit : Bonjour à tous, Pour un premier message sur cette liste je vais commencer par me présenter brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui concerne Mac OS X et Mac OS X Server en entreprise ainsi que Xsan (donc consutling pour clients finaux et formations pour les certifs [inutile de relancer le débat sur les certifications]). Hmmm, vu la position d'Apple sur les produits serveurs, bon courage pour la suite ;) Ma première question concerne l'attitude à adopter quant à son utilisation de manière pérenne. Prenons un exemple avec mon client type, à savoir du double WAN avec IP public fixe pour les deux liens Internet. Le routeur s'occupe de faire de la répartition de charge et un peu de QoS pour être certain que les services du type téléphonie ou services essentiels des serveurs passent dans tous les cas. Tu as deux types d'agrégation : les load balancers de niveau 5 à 7, qui sont des bidouilles infâmes, et les vrais agrégations qui sont transparentes (niveau 2 ou 3), ou tu as une plage d'adresse pour les deux liens. Si tu as le premier, nombre d'inscrits à la liste seront en mesure de te proposer le deuxième. Ce type de cas est très courant chez moi et va regrouper toutes les questions que je me pose actuellement : - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe IPv6, or le réseau a été construit à partir de ce préfixe (service interne, DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le changement de fournisseur ? Ton LAN peut très bien tourner sur de l'adressage local (fe80::), tout en ayant en plus une ou plusieurs adresses publiques par machine, qui elles sont variables. En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on a moyen de jouer avec ça ? Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du préfixe actuel, est-ce le cas ? Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon nombre d'applications métier développées sous OS X on une gestion du réseau absolument catastrophiques et ne passent pas en v6 (typiquement les serveurs de licence Quark ou de vielles versions de 4D) - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer la répartition de charge sans faire de NAT ? Soit avec une vraie agrégation, soit en NAT66. Pas d'autre alternative, puisque c'est une bidouille crade. Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à quasiment toutes mes questions, je me demande si elle est réellement viable. Si toutes les PME soucieuses de la qualité de leur connexion commencent à demander des PI il y a des risques de suicide collectif chez les admin-réseaux non ? Rares sont les FAI qui, en France, accepteront d'annoncer une PI sur des liens ADSL ou SDSL. Mais ça existe, et c'est la bonne façon de faire. Dans un tel cas, tu as besoin d'un AS et d'une PI, et de deux livraisons de transit v6 en plus d'une petite plage v4 sur chaque lien qui elle sera différente sur les deux, et nattée (le plus petit préfixe annonçable étant /24, et comme il est de plus en plus difficile d'en obtenir un, mieux vaut ne pas perdre de temps à essayer de le demander). En espérant que vous puissiez éclairer ma lanterne. (Et si vous pensez que ce n'est pas le lieu pour en discuter, on peut toujours passer en hors liste) Si j'ai bien une préco dans ce genre de cas : dégager les load balancers à pas cher, et prendre plutôt un vrai FAI. Oui, c'est pas le même budget : de deux forfaits à 30€ tu passera probablement à un récurent mensuel de plusieurs centaines d'euros. Mais si l'objectif est d'avoir un réseau propre, c'est un passage obligatoire. Une fois que le lien est propre, il te faut un routeur assumant les services LAN. DHCP (v4 et v6), DNS et firewalling ne peuvent être gérés avec assez de souplesse par un Mac OS X server sans mettre les mains dans le camboui au point d'en faire une boite noire ressemblant plus à FreeBSD. Donc en fonction de la localisation de tes clients et des débits souhaités, tu peux avoir de 4 à 30 ISP à contacter. En fonction de l'état des réseaux en place, un coup de clean sur les ISP te faciliterai grandement la tâche et rendra l'ensemble maintenable. my2cents -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
On 12/12/2010 01:57 PM, Yoann Gini wrote: - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe IPv6, or le réseau a été construit à partir de ce préfixe (service interne, DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le changement de fournisseur ? En IPv6 tu a plusieurs adresses par interface : typiquement l'adresse globale, l'adresse locale, et l'adresse de lien. Ton adresse globale dépend de ton fournisseur, et elle peut être générée automatiquement par autoconf et/ou dhcp. À noter que l'autoconfiguration est prévue pour permettre la renumérotation des adresses : si tu annonces soudainement un nouveau préfixe, les machines gardent l'ancien préfixe quelques jour et prennent le nouveau aussi, ce qui te laisse un moment pour reconfigurer ton réseau. À noter aussi que le DHCPv6 permet de faire de la délégation de préfixe aux routeurs, mais à priori ça n'est pas très utilisé (implémenté). Ensuite ton adresse locale est composée d'un préfixe pseudo unique (tu peux le générer et le répertorier là par exemple : http://www.sixxs.net/tools/grh/ula/ ). Ce préfixe ne dépend pas de ton fournisseur, et n'est pas routé sur Internet (par contre tu peux le router comme tu veux sur ton réseau). En gros, comme les adresses privées IPv4 sauf qu'en plus le préfixe a très peu de chances d'être le même que celui d'une autre boite. Et puis l'adresse de lien local sert surtout à gérer le côté administratif du protocole, généralement on ne s'embête pas trop avec celle là (et elle n'est pas routable). En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on a moyen de jouer avec ça ? Dans tout OS qui tient la route en théorie oui, à savoir que y'a une privacy extension qui existe et qui permet de générer les IP aléatoirement et de manière temporaire. Tu peux aussi faire une conf statique, d'ailleurs. Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du préfixe actuel, est-ce le cas ? Je ne suis pas sûr de comprendre la question... Une IPv6 c'est 64 bits de préfixe et 64 bits d'identifiant d'interface. Les 64 bits du début sont donnés par le routeur, et les 64 bits de la fin sont au choix de la machine (à condition de ne pas créer une adresse en double). Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) J'aurais tendance à dire qu'il serait préférable de ne pas mettre d'IPv4 du tout dans le réseau et de maintenir la connectivité IPv4 avec du NAT64/DNS64, m'enfin ça c'est du gros extrémisme qui ne marche pas dans tous les cas. (C'est ce qui est utilisé dans le document que j'avais lié y'a quelques temps, http://ripe61.ripe.net/presentations/140-ripe_rome_jari.pdf) Par contre si tu passes en dual-stack, la solution par défaut aujourd'hui, tu va avoir IPv4 et IPv6 qui vont tourner séparément en même temps, en interne comme en externe. Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Càd ? Du NAT en IPv6 ça n'existe pas, et même si ça devait arriver, ça ne serait jamais nécessaire vu le nombre d'adresses disponibles. - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer la répartition de charge sans faire de NAT ? Sur celle là j'vais éviter de dire des conneries... -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
Pour un premier message sur cette liste je vais commencer par me présenter brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui concerne Mac OS X et Mac OS X Server en entreprise OSX a un bon support v6 et apple se sert de v6 pour back to my mac http://www.ietf.org/id/draft-zhu-mobileme-doc-02.txt Curieux que vous n'ayez pas d'info de leur part ! - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe IPv6, or le réseau a été construit à partir de ce préfixe (service interne, DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le changement de fournisseur ? Premièrement vous devriez utiliser un DNS interne pour ne pas utliser les IP directement. Dans ce cas le changement est facile, c'est juste l'ajout de nouvelles IP, et un changement des enregistrement DNS. Mais dans la plupart des cas seules quelques IP sont présentées au net pour les services. Dans le cas d'un applicatif web, personne n'a besoin de savoir les IPs des serveurs SQL, etc. Il est possible de garder les IPs que votre premier FAI vous a fourni, même si elle ne sont alors plus routable globalement, d'ajouter de nouvelles IP au interfaces pour ajouter un accès net (mise a jour de securite, etc.) mais les applications marcheront toujours en interne en utilisant l'adressage du premier FAI. Ceci dit je ne vois aucune raison pour utiliser les IPs dans les applications. En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on a moyen de jouer avec ça ? On peux forcer l'adresse MAC des interfaces sur toutes les OS. C'est très utile quand le fournisseur de service (cable, DSL) ne permet qu'une seule MAC sur le routeur qu'il fournit :) sur MAC OX : sudo ifconfig interface par exemple en0 ether MAC ADDRESS par exemple 00:01:02:03:04:05 Maintenant l'utilisation de l'adresse MAC n'est qu'un option d'auto-configuration, pour des machines qui fournissent des services publiques ce n'est surement pas très judicieux. Router les IP en V6 comme en V4 avec DHCPv6 ou une configuration des machines avec des IPs statiques me parait plus judicieux. L'auto configuration c'est bien pour les cas de plug and play. Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du préfixe actuel, est-ce le cas ? Pardon ? Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) Toutes mes machines publiques on deux IPs (IPv4 et IPv6) je gère toujours mon réseau via v4, mais c'est un choix. Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Il y a des cas ou le NAT peut être utile - c'est la généralisation du NAT chez les particuliers qui fait mal. - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer la répartition de charge sans faire de NAT ? Je ne vois pas de difference avec v4 - pourquoi penses-tu que c'est plus dur en IPV6 ? Comment fais-tu normalement ta répartition de charge ? Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à quasiment toutes mes questions, je me demande si elle est réellement viable. Si toutes les PME soucieuses de la qualité de leur connexion commencent à demander des PI il y a des risques de suicide collectif chez les admin-réseaux non ? Tout le monde n'a pas de service publique. Beaucoup des services sont utilise via DNS, alors un changement c'est un changement le TTL, puis un changement d'IP et voila. Très peu de services utilisent les IP directement de nos jours. Les sociétés qui ont du PI v4 auront du PI v6, pour les autres rien ne change, si NAT peut aider a changer de fournisseur, un bon DHCP et DNS interne peuvent aboutir au même résultat. De plus avec le nombres d'allocations IPv4, car nous avons tous tous plein de petit bout d'IP, et la taille des allocation IPv6, ou on ne sait pas encore comment ne pas gaspiller, on peut espérer que la taille de la table de routage IPv6 sera tellement plus petite que cela n'aura aucune importance. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnemen t d'un administrateur système sur l'IPv6
Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Càd ? Du NAT en IPv6 ça n'existe pas, et même si ça devait arriver, ça ne serait jamais nécessaire vu le nombre d'adresses disponibles. Cela n'existe pas encore, mais on va y arriver. Il y a des usage legitime de NAT meme pour en v6. http://tools.ietf.org/html/draft-iab-ipv6-nat-03 Et cela ne couvre pas le cas ou tu veux faire du transproxying sur une ferme de proxy web, pour cela il te faut NAT ! Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6
Merci pour vos réponses rapides ! Mes questions résultantes à chaque mail dans la suite. Pour un premier message sur cette liste je vais commencer par me présenter brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui concerne Mac OS X et Mac OS X Server en entreprise ainsi que Xsan (donc consutling pour clients finaux et formations pour les certifs [inutile de relancer le débat sur les certifications]). Hmmm, vu la position d'Apple sur les produits serveurs, bon courage pour la suite ;) Je fais de l'OS X Server car ça me permet de passer plus de temps sur les problématiques métier des entreprises (1h/1h30 de l'installation à la connexion des utilisateurs sur les principaux services, c'est confortable). Après s'ils continuent dans cette direction ce n’est pas un problème, un Mac n'est qu'un UNIX, je prendrais juste un jour de plus pour installer un BSD en tant que serveur pour la gestion des clients Ma première question concerne l'attitude à adopter quant à son utilisation de manière pérenne. Prenons un exemple avec mon client type, à savoir du double WAN avec IP public fixe pour les deux liens Internet. Le routeur s'occupe de faire de la répartition de charge et un peu de QoS pour être certain que les services du type téléphonie ou services essentiels des serveurs passent dans tous les cas. Tu as deux types d'agrégation : les load balancers de niveau 5 à 7, qui sont des bidouilles infâmes, et les vrais agrégations qui sont transparentes (niveau 2 ou 3), ou tu as une plage d'adresse pour les deux liens. Auriez-vous des liens à me recommander à ce sujet ? Concernant des produits de ce type et surtout la manière de les utiliser ? En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on a moyen de jouer avec ça ? Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du préfixe actuel, est-ce le cas ? Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon nombre d'applications métier développées sous OS X on une gestion du réseau absolument catastrophiques et ne passent pas en v6 (typiquement les serveurs de licence Quark ou de vielles versions de 4D) Ouais, ça, je connais… Et pourtant il y a de très bonnes docs développeur fournies par Apple à ce niveau (je fais aussi du dev Mac à mes heures) Par contre vous n'êtes pas d'accord avec Rémy ç ce sujet : Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) J'aurais tendance à dire qu'il serait préférable de ne pas mettre d'IPv4 du tout dans le réseau et de maintenir la connectivité IPv4 avec du NAT64/DNS64, m'enfin ça c'est du gros extrémisme qui ne marche pas dans tous les cas. Abstraction faite des problèmes de logiciel interne, n'est-il pas mieux de faire du NAT64 en sortie de réseau plutôt que de gérer le dualstack sur les clients ? - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer la répartition de charge sans faire de NAT ? Soit avec une vraie agrégation, soit en NAT66. Pas d'autre alternative, puisque c'est une bidouille crade. Qu'est-ce que tu appelles une vraie agrégation ? (Ici se font sentir mes lacunes sur le réseau pur) Si j'ai bien une préco dans ce genre de cas : dégager les load balancers à pas cher, et prendre plutôt un vrai FAI. Oui, c'est pas le même budget : de deux forfaits à 30€ tu passera probablement à un récurent mensuel de plusieurs centaines d'euros. Mais si l'objectif est d'avoir un réseau propre, c'est un passage obligatoire. Sur les clients auxquels je pense c'est plus ou moins le cas, fibre chez Completel (on fait ce qu'on peut) ou Orange dans le meilleur des cas et une ADSL au cas où. Dans ces cas-là, l'ADSL n'est qu'en failover, mais la problématique reste la même. Une fois que le lien est propre, il te faut un routeur assumant les services LAN. DHCP (v4 et v6), DNS et firewalling ne peuvent être gérés avec assez de souplesse par un Mac OS X server sans mettre les mains dans le camboui au point d'en faire une boite noire ressemblant plus à FreeBSD. Ça, c'est mon affaire :-) Effectivement la GUI d'administration d'OS X Server est extrêmement limité, mais pas le service web qui permet son fonctionnement, il y a une étape intermédiaire avant de retomber sur FreeBSD Quoi qu'il en soit, il n'y a que le DNS que je gère réellement sur OS X Server, le firewall et le DHCP sont faits par les routeurs la plus part du temps. Ensuite ton adresse locale est composée d'un préfixe pseudo unique (tu peux le générer et le répertorier là par exemple : http://www.sixxs.net/tools/grh/ula/ ). Ce préfixe ne dépend pas de ton fournisseur, et n'est pas routé sur Internet (par
Re: France-IX : Update [was Re: [FRnOG] Calmer les commerciaux de NEO]
Radu-Adrian Feurdean a écrit : France-IX etant bien LIVE (avec pres d'une centaine de membres d'apres la liste de membres, PeeringDB et le rDNS) en non plus au stade de projet, tu peux te renseigner en direct aupres d'eux. Je pensais que le président pouvait répondre à ces questions, ça faisait plus informé/légitime comme réponse. Apres, pour devenir client de la SAS, il me semble que c'est pas si cher que ca (d'apres leurs prix publiques). Ca marche dans l'autre sens ; d'abord tu deviens client de la SAS et ensuite, si tu paies cotise et droit d'entrée, ensuite seulement tu peux devenir membre... si tu es admis. Cf modalités d'admission statutaires, article 7 http://france-ix.fr/wp-content/uploads/2009/11/Statuts-de-lassociation-France-IX.pdf Au fait je me suis offert les statuts de la SAS si ça intéresse quelqu'un, en attendant qu'ils soient publiés sur le site du France-ix ils sont dispo ici : http://fr-ix.fr/statuts-sas-franceix.pdf --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnO G] Questionnement d'un administrateur systè me sur l'IPv6
Auriez-vous des liens à me recommander à ce sujet ? Concernant des produits de ce type et surtout la manière de les utiliser ? http://www.linux-vs.org/ Comment est-il annoncé ce préfixe local ? Il n'est jamais announce. En gros si mon IP local est 2001:0db8::85a3:::ac1f:8001 et que je cherche à contacter 2001:0db8::85a3:030a:0020:ac1f:8001 je pourrais écrire simplement :::030a:0020:ac1f:8001. Est-ce vrai ? (Quelques problèmes quant à savoir quelle source sont valables sur le net à ce sujet) Pas plus que l'on peut écrire .255.254 Quelles sources disent que ::: est un raccourci pour le même netmask ? Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est surtout pour savoir s'il y a un moyen de rendre le changement de préfixe transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de prendre la solution qui nécessite le moins d'action de ma part :-) Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien l'affaire tant que rien n'est route. Actuellement ma répartition de charge se fait sur le routeur, il s'occupe de prendre la connexion WAN la moins occupée et fait le NAT en fonction. Sans NAT et avec deux préfixes différents, comment le routeur va gérer l'histoire ? Si la connexion est émise depuis le client avec le préfixe de la connexion A alors qu'il faut user du B, ça se passe comment ? Rien ne garantit qu'un client ai le même identifiant peu importe le préfixe, si ? Sans NAT les deux FAIs doivent annoncer le même block d'IP, avec le même FAI ca ce fait facilement c'est du routage interne, avec deux FAIs il faut son block PI et BGP. Ceci dit le FAI peut sourcer le block BGP et le router statiquement au client, le client n'est pas force d'utiliser BGP lui même. Thomas
Re: France-IX : Update [was Re: [FRnOG] Calmer les commerciaux de NEO]
2010/12/12 Sylvain Vallerot sylv...@gixe.net Radu-Adrian Feurdean a écrit : France-IX etant bien LIVE (avec pres d'une centaine de membres d'apres la liste de membres, PeeringDB et le rDNS) en non plus au stade de projet, tu peux te renseigner en direct aupres d'eux. Je pensais que le président pouvait répondre à ces questions, ça faisait plus informé/légitime comme réponse. Mais je n'ai pas de problème concernant le fait de communiquer la dessus :) C'est juste que, je ne souhaite pas particulièrement imposer le FranceIx sur la Frnog. J'aurais du en effet envoyer aux membres en cours de signature les informations pour le webcast et l'irc, mais cela a été largement twitté (ou mis en ligne par différents status de réseaux sociaux) Apres, pour devenir client de la SAS, il me semble que c'est pas si cher que ca (d'apres leurs prix publiques). Ca marche dans l'autre sens ; d'abord tu deviens client de la SAS et ensuite, si tu paies cotise et droit d'entrée, ensuite seulement tu peux devenir membre... si tu es admis. Cf modalités d'admission statutaires, article 7 http://france-ix.fr/wp-content/uploads/2009/11/Statuts-de-lassociation-France-IX.pdf Il n'est pas prévu de refuser des membres, loin de la. Nous avons encore des process a améliorer, c'est pour cela que nous avons fais assez rapidement une premiere AG. En gros, on va dire que 99,9% des gens doivent être admis sur le FranceIX. Le refus sera plutôt dans des cas ou des membres estiment qu'ils ne doivent pas payer leur cotisation. Dans certains cas, cela pourra être legitime et cela sera validé, dans le cas ou il n'est vraiment pas normal que ce potentiel futur membre demande la gratuité, il sera effectivement refusé. Si ce dernier revient et décide que finalement il va payer sa cotisation, il sera accepté. Pour parler du cas de Gixe, c'est validé, sans soucis. Il y avait d'ailleurs un cable sous la baie qui a été monté. Tu vas recevoir plusieurs mails pour valider ton inscription ( contrat, signature et toussa) et un autre pour valider le numero du cable, ton ip, les informations pour les sessions avec les 2 RS. Des que j'ai le temps de preparer la video, on la postera. Comme je ne suis pas un pro du montage et de l'encodage, ca risque de prendre un peu de temps, car la video dure 5H Au fait je me suis offert les statuts de la SAS si ça intéresse quelqu'un, en attendant qu'ils soient publiés sur le site du France-ix ils sont dispo ici : http://fr-ix.fr/statuts-sas-franceix.pdf Ne m'en parle pas, ca fait un moment qu'on attendait qu'il n'y a plus de bugs sur le nouveau site. On va bientôt migrer sur le nouveau et tous ces documents seront effectivement disponible.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit : Comment est-il annoncé ce préfixe local ? Il n'est jamais announce. D'après les liens cités précédemment, il est possible de le générer et de l'enregistrer sur une base commune. Comment est-il configuré sur les postes s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) Encore désolé avec mes questions de débutant sur le sujet, si vous avez une documentation L'IPv6 pour les admin système je suis preneur :-) En gros si mon IP local est 2001:0db8::85a3:::ac1f:8001 et que je cherche à contacter 2001:0db8::85a3:030a:0020:ac1f:8001 je pourrais écrire simplement :::030a:0020:ac1f:8001. Est-ce vrai ? (Quelques problèmes quant à savoir quelle source sont valables sur le net à ce sujet) Pas plus que l'on peut écrire .255.254 Quelles sources disent que ::: est un raccourci pour le même netmask ? Justement, ça fait partie des notes que j'ai prises en me renseignant au fils du temps sur l'IPv6. Comme je n'en vois plus mention, je demande histoire de savoir si c'est une fausse info (ce qui semble être le cas) ou une idée abandonnée. Ça me semblait cependant cohérent, dans le sens où une IPv4 ce n’est pas long à taper, un v6 par contre c'est un peu plus chiant. Donc dans le cas où on gère des IP en statique / DHCP, la seule chose à taper serait ce que nous avons configuré, le préfixe étant rajouté par l'hôte. Enfin bon cela semble ne pas exister au final, mauvaise compréhension de ma part, mauvaise source, peut importe, inutile de s'étendre sur ce point :-) Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est surtout pour savoir s'il y a un moyen de rendre le changement de préfixe transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de prendre la solution qui nécessite le moins d'action de ma part :-) Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien l'affaire tant que rien n'est route. Est-ce que l'adresse de link local peut être fournie par DHCP ou être assignée en statique ? Actuellement ma répartition de charge se fait sur le routeur, il s'occupe de prendre la connexion WAN la moins occupée et fait le NAT en fonction. Sans NAT et avec deux préfixes différents, comment le routeur va gérer l'histoire ? Si la connexion est émise depuis le client avec le préfixe de la connexion A alors qu'il faut user du B, ça se passe comment ? Rien ne garantit qu'un client ai le même identifiant peu importe le préfixe, si ? Sans NAT les deux FAIs doivent annoncer le même block d'IP, avec le même FAI ca ce fait facilement c'est du routage interne, avec deux FAIs il faut son block PI et BGP. Ceci dit le FAI peut sourcer le block BGP et le router statiquement au client, le client n'est pas force d'utiliser BGP lui même Ok donc ici sans NAT dans une config IPv6 on perd vraiment en possibilité pour les petits clients ! Les petites structures sans trop de moyens sont friandes de ce genre de solution, 2x30€ par mois sur des providers différents, ça les aides à avoir un internet un peu plus stable sans avoir à absorber des coûts de grosse entreprise sur tout ce qui est matos et gestion. Espérons que le NAT 66 arrive rapidement ! Quand on voit ce qu'il est possible de faire en IPv6 c'est dommage de dire ça, mais malheureusement ça risque de faire perdre en qualité de service aux petites entreprises.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d' un administrateur système sur l'IPv6
On 12/12/2010 14:37, Jérôme Nicolle wrote: Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon nombre d'applications métier développées sous OS X on une gestion du réseau absolument catastrophiques et ne passent pas en v6 (typiquement les serveurs de licence Quark ou de vielles versions de 4D) Tu as un lien ? De ce que j'ai vu, ça n'est ni normalisé, ni implémenté (et pas forcément évident que ça le soit un jour). -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On 12/12/2010 18:55, Yoann Gini wrote: Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit : Il n'est jamais announce. D'après les liens cités précédemment, il est possible de le générer et de l'enregistrer sur une base commune. Comment est-il configuré sur les postes s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) Encore désolé avec mes questions de débutant sur le sujet, si vous avez une documentation L'IPv6 pour les admin système je suis preneur :-) Il y a un quiproquo de vocabulaire: Annoncé = annoncé sur internet, donc routable etc. Les ULAs ne sont pas routables (car elles sont destinées à un usage local uniquement). Donc pas elles ne sont pas annoncées. La base commune n'est là que pour se prémunir d'éventuelles collisions (même si peu probable, si le préfixe choisi est vraiment aléatoire). Si tu parles de l'allocation des adresses locales, radv ou dhcpv6 feront très bien le boulot :). Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est surtout pour savoir s'il y a un moyen de rendre le changement de préfixe transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de prendre la solution qui nécessite le moins d'action de ma part :-) Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien l'affaire tant que rien n'est route. Est-ce que l'adresse de link local peut être fournie par DHCP ou être assignée en statique ? Non, elle est construite à partir de l'adresse MAC et configurée automatiquement. Pour plus d'infos, voir: http://livre.g6.asso.fr/index.php/Main_Page -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
En vrac : * L'adresse link-local (celle de préfixe fe80::) est générée automatiquement, aucun routeur ne l'annonce. Cependant cette adresse est passablement chiante à utiliser (il faut systématiquement préciser le numéro d'interface, ce qui n'est même pas géré par tous les logiciels), n'est pas routable, et n'a pas les avantages de l'ULA, à savoir un préfixe pseudo-unique. Pour ces raisons, il est donc très largement plus pratique d'utiliser des ULA plutôt que des adresses link-local. Les ULA s'utilisent comme les adresses globales, à la différence que personne ne les routes vers Internet. * Les interfaces peuvent avoir plusieurs IP. De ce fait, un routeur peut annoncer plusieurs préfixe à la fois, y compris un préfixe ULA. De même, le DHCPv6 n'attribue pas une adresse, mais une liste d'adresses. D'ailleurs sur ce point là les leases sont passablement plus compliqués qu'avec IPv4... * Pour ton multi-wan, y'a une solution un peu moche que j'vais tester bientôt : faire un tunnel vers un serveur dédié, et l'utiliser pour sortir sur le net. D'ailleurs en théorie ça permet une répartition bien plus équilibrée qu'en utilisant les 2 lignes en round robin (puisqu'on équilibre aussi les paquets entrants). Pour ma part c'est insuffisant à cause de l'assymétrie de mes liens, alors j'vais tenter de faire du multilink ppp (c'est beaucoup plus drôle d'ailleurs). * L'utilisation du NAT64 c'était une blague, faudrait quand même avoir une sacrée paire de couilles pour balancer ça en entreprise... Remarque l'avantage c'est que ça casse automatiquement plein d'applications dont tu ne veux pas, comme le P2P :D -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG ] Questionnement d'un administrateur systè me sur l'IPv6
Le 12/12/10 19:28, Rémy Sanchez a écrit : * Pour ton multi-wan, y'a une solution un peu moche que j'vais tester bientôt : faire un tunnel vers un serveur dédié, et l'utiliser pour sortir sur le net. D'ailleurs en théorie ça permet une répartition bien plus équilibrée qu'en utilisant les 2 lignes en round robin (puisqu'on équilibre aussi les paquets entrants). Pour ma part c'est insuffisant à cause de l'assymétrie de mes liens, alors j'vais tenter de faire du multilink ppp (c'est beaucoup plus drôle d'ailleurs). Waip, alors je faisait ça ya 4 ans, et c'est loin d'être optimal en ML-PPP. Il a du mal a prendre en compte la disparité des débits des liens, tout comme tu l'aurais avec du bonding sur des /dev/tap. La solution a été de décortiquer vtun pour y coller un bout de moteur WRR entre plusieurs sockets. Sauf que niveau stabilité, c'est variable. Par contre, pour le coup, tu peux compresser ce qui passe sur le tunnel, dans ton cas c'est pas anodin (si c'est bien pour MAIZ) -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On 12/12/2010 07:36 PM, Jérôme Nicolle wrote: Waip, alors je faisait ça ya 4 ans, et c'est loin d'être optimal en ML-PPP. Il a du mal a prendre en compte la disparité des débits des liens, tout comme tu l'aurais avec du bonding sur des /dev/tap. Étrange, quand tu regardes la RFC ça explique justement que ça a été écrit pour ce genre de cas... Tu faisais ça avec que logiciel ? Pour l'instant je suis parti sur MPD [1], et concrètement c'est le seul que j'ai trouvé à avoir l'air de gérer ça... Par contre, pour le coup, tu peux compresser ce qui passe sur le tunnel, dans ton cas c'est pas anodin (si c'est bien pour MAIZ) Ouais, plus après mettre un proxy distant et tenter de booster la connexion avec lui (genre jouer avec les paramètres TCP, garder les connexions ouvertes entre le proxy local et le proxy distant, ...). [1] http://mpd.sourceforge.net/ -- Rémy Sanchez http://hyperthese.net signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Que stionnement d'un administrateur système sur l'IPv6
Le 12/12/10 19:50, Rémy Sanchez a écrit : On 12/12/2010 07:36 PM, Jérôme Nicolle wrote: Waip, alors je faisait ça ya 4 ans, et c'est loin d'être optimal en ML-PPP. Il a du mal a prendre en compte la disparité des débits des liens, tout comme tu l'aurais avec du bonding sur des /dev/tap. Étrange, quand tu regardes la RFC ça explique justement que ça a été écrit pour ce genre de cas... Waip, mais dans pppd sous Linux, on a jamais réussi à le faire marcher correctement Tu faisais ça avec que logiciel ? Pour l'instant je suis parti sur MPD [1], et concrètement c'est le seul que j'ai trouvé à avoir l'air de gérer ça... Ah oui, intéressant... Niveau jigue et compression, il s'en sort comment ? Par contre, pour le coup, tu peux compresser ce qui passe sur le tunnel, dans ton cas c'est pas anodin (si c'est bien pour MAIZ) Ouais, plus après mettre un proxy distant et tenter de booster la connexion avec lui (genre jouer avec les paramètres TCP, garder les connexions ouvertes entre le proxy local et le proxy distant, ...). Tu as peu de chance de voir le MTU varier, donc tu peux le fixer aux extrémités du tunnel pour être sur de ne pas fragmenter, ça peut aider. Mais pour rappel, et pour la liste, on est là dans un cas particulier : 150 utilisateurs intensifs derrière deux ADSL 1Mbps et une SDSL du même acabit. Donc aucun produit du marché ne saurait tenir ce taux de contention ;) [1] http://mpd.sourceforge.net/ Merci, tiens moi au jus ;) -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 07:28:22PM +0100, Rémy Sanchez remy.sanc...@hyperthese.net wrote a message of 72 lines which said: Cependant cette adresse est passablement chiante à utiliser (il faut systématiquement préciser le numéro d'interface, ce qui n'est même pas géré par tous les logiciels), Et il n'existe pas de standard pour sa représentation texte, même si la syntaxe fe80::21e:8cff:fe76:29b6%eth0 est assez courante. Pour ces raisons, il est donc très largement plus pratique d'utiliser des ULA plutôt que des adresses link-local. Et c'est indispensable dès qu'on a plus que deux segments Ethernet. * L'utilisation du NAT64 c'était une blague, faudrait quand même avoir une sacrée paire de couilles pour balancer ça en entreprise... Entre les nouveaux réseaux qui n'auront pas du tout d'adresse v4 et les anciens services qui ne se bougent pas pour migrer vers v6, il va donc falloir des greffes urgentes, car on n'aura pas le choix. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 02:13:27PM +, Thomas Mangin thomas.man...@exa-networks.co.uk wrote a message of 17 lines which said: Cela n'existe pas encore, mais on va y arriver. Il y a des usage legitime de NAT meme pour en v6. http://tools.ietf.org/html/draft-iab-ipv6-nat-03 Le RFC est sorti il y a quelques mois, RFC 5902 http://www.bortzmeyer.org/5902.html. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: Questionnement d'un administrateur s ystème sur l'IPv6
Le 12 décembre 2010 20:33, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Sun, Dec 12, 2010 at 07:28:22PM +0100, Rémy Sanchez remy.sanc...@hyperthese.net wrote a message of 72 lines which said: Cependant cette adresse est passablement chiante à utiliser (il faut systématiquement préciser le numéro d'interface, ce qui n'est même pas géré par tous les logiciels), Et il n'existe pas de standard pour sa représentation texte, même si la syntaxe fe80::21e:8cff:fe76:29b6%eth0 est assez courante. Sauf sous windows où c'est %interface_id (juste un numéro, vu qu'eth0 ça n'existe pas :)) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Questionnement d'u n administrateur système sur l'IPv6
Bonsoir à tous. J'hallucine franchement que le cas (trivial) cité par Yohann suscite suscite un thread aussi lourd (ce cas n'aurait-il pas été prévu ?) En tout ca la question est visiblement TRES bonne. Quand un flux sortant utilise un préfixe local ( fe80:: - c'est le plus simple: pourquoi connaîtrait-il la part publique de son adresse v6) sur son adresse source, le routeur de bordure (après sélection - load balancing - de l'interface WAN de sortie) ne peut-il pas lui substituer le préfixe public de cette interface ? plutôt que d'asséner la non-routabilité native de ce flux sur l'Internet. ... je sais c'est du NAT, et donc quelque part Kriminel pour la communauté v6. mais ce serait tellement simple et transparent. Pierre noter que les "A6 records" du bind9 des DNS avaient été construits pour dissocier la part privative de la part publique des adresses v6, mais ils n'ont eu qu'un succès (même académique) super-limité. == Le 12/12/2010 19:28, Rémy Sanchez a écrit : En vrac : * L'adresse link-local (celle de préfixe fe80::) est générée automatiquement, aucun routeur ne l'annonce. Cependant cette adresse est passablement chiante à utiliser (il faut systématiquement préciser le numéro d'interface, ce qui n'est même pas géré par tous les logiciels), n'est pas routable, et n'a pas les avantages de l'ULA, à savoir un préfixe pseudo-unique. Pour ces raisons, il est donc très largement plus pratique d'utiliser des ULA plutôt que des adresses link-local. Les ULA s'utilisent comme les adresses globales, à la différence que personne ne les routes vers Internet. * Les interfaces peuvent avoir plusieurs IP. De ce fait, un routeur peut annoncer plusieurs préfixe à la fois, y compris un préfixe ULA. De même, le DHCPv6 n'attribue pas une adresse, mais une liste d'adresses. D'ailleurs sur ce point là les leases sont passablement plus compliqués qu'avec IPv4... * Pour ton multi-wan, y'a une solution un peu moche que j'vais tester bientôt : faire un tunnel vers un serveur dédié, et l'utiliser pour sortir sur le net. D'ailleurs en théorie ça permet une répartition bien plus équilibrée qu'en utilisant les 2 lignes en round robin (puisqu'on équilibre aussi les paquets entrants). Pour ma part c'est insuffisant à cause de l'assymétrie de mes liens, alors j'vais tenter de faire du multilink ppp (c'est beaucoup plus drôle d'ailleurs). * L'utilisation du NAT64 c'était une blague, faudrait quand même avoir une sacrée paire de couilles pour balancer ça en entreprise... Remarque l'avantage c'est que ça casse automatiquement plein d'applications dont tu ne veux pas, comme le P2P :D attachment: pierre.vcf
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnO G] Re: [FRnOG] Re: [FRnOG] Question nement d'un administrateur système sur l'IP v6
* Pour ton multi-wan, y'a une solution un peu moche que j'vais tester bientôt : faire un tunnel vers un serveur dédié, et l'utiliser pour sortir sur le net. Ca marche tres bien avec GRE en IPv4 . aucunes raison que cela ne marche pas bien en V6 avec une bonne configuration. D'ailleurs en théorie ça permet une répartition bien plus équilibrée qu'en utilisant les 2 lignes en round robin (puisqu'on équilibre aussi les paquets entrants). En pratique les algo de balancing sont par flux, ce qui limite la vitesse maximale, surtout si on n'a que de gros flux, a moins de faire du par packet et dans ce cas il faut de bon buffer et des lignes avec des latences similaire pour ne pas souffrir trop. Pour ma part c'est insuffisant à cause de l'assymétrie de mes liens, alors j'vais tenter de faire du multilink ppp (c'est beaucoup plus drôle d'ailleurs). A moins de controler le LNS qui termine les session PPP : bon courage :p Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnO G] Questionnement d'un administrateur systè me sur l'IPv6
Étrange, quand tu regardes la RFC ça explique justement que ça a été écrit pour ce genre de cas... Waip, mais dans pppd sous Linux, on a jamais réussi à le faire marcher correctement http://vh-net.fr/blog/ Mais pour rappel, et pour la liste, on est là dans un cas particulier : 150 utilisateurs intensifs derrière deux ADSL 1Mbps et une SDSL du même acabit. Donc aucun produit du marché ne saurait tenir ce taux de contention ;) Ce n'est pas la bande passante qui va faire mal, c'est la limite sure le nombre de packet par seconde que le DSLAM donne a chaque ligne. Car plus de machines veut dire plus de requetes DNS et autres, cela compte rapidement pour beaucoup ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Questionnement d'un administrateur syst ème sur l'IPv6
Merci Stephane. On 12 Dec 2010, at 19:34, Stephane Bortzmeyer wrote: On Sun, Dec 12, 2010 at 02:13:27PM +, Thomas Mangin thomas.man...@exa-networks.co.uk wrote a message of 17 lines which said: Cela n'existe pas encore, mais on va y arriver. Il y a des usage legitime de NAT meme pour en v6. http://tools.ietf.org/html/draft-iab-ipv6-nat-03 Le RFC est sorti il y a quelques mois, RFC 5902 http://www.bortzmeyer.org/5902.html. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 03:53:40PM +0100, Yoann Gini yoann.g...@gmail.com wrote a message of 543 lines which said: Existe-t-il un service DHCPv6 pour l'adresse locale ? DHCPv6 est quasiment le même qu'en v4. Il peut annoncer n'importe quelle sorte d'adresse, ULA ou adresses globales. http://www.bortzmeyer.org/3315.html En gros si mon IP local est 2001:0db8::85a3:::ac1f:8001 et que je cherche à contacter 2001:0db8::85a3:030a:0020:ac1f:8001 je pourrais écrire simplement :::030a:0020:ac1f:8001. Est-ce vrai ? (Quelques problèmes quant à savoir quelle source sont valables sur le net à ce sujet) Comme indiqué par Thomas Mangin, non, c'est du n'importe quoi. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: Questionnement d' un administrateur système sur l'IPv6
On 12/12/2010 08:33 PM, Stephane Bortzmeyer wrote: Et il n'existe pas de standard pour sa représentation texte, même si la syntaxe fe80::21e:8cff:fe76:29b6%eth0 est assez courante. Objection, c'est parfaitement standard d'après la RFC 4007, section 11. Elle donne le format suivant : address%zone_id Avec grosso modo zone_id qui est fournit par l'OS. Sous Windows c'est un index numérique, sous Linux le nom d'interface, ... Par contre si j'ai tout compris elle suggère qu'un OS devrait pouvoir choisir une adresse par défaut si l'interface n'est pas spécifiée, or Linux est totalement incapable de faire ça. J'ai compris de travers ou c'est une violation de la RFC ? * L'utilisation du NAT64 c'était une blague, faudrait quand même avoir une sacrée paire de couilles pour balancer ça en entreprise... Entre les nouveaux réseaux qui n'auront pas du tout d'adresse v4 et les anciens services qui ne se bougent pas pour migrer vers v6, il va donc falloir des greffes urgentes, car on n'aura pas le choix. Dans la mesure où tout comme du NAT44 il a besoin d'une IPv4 publique, pour un réseau de type purement utilisateur comme c'est le cas ici je pense que balancer ce genre de solution risque de faire plus de mal qu'autre chose. Par contre sur un réseau tout neuf pourquoi pas, à priori il y a peu de chances de casser les choses. -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 02:39:05PM +0100, Rémy Sanchez remy.sanc...@hyperthese.net wrote a message of 124 lines which said: Ensuite ton adresse locale est composée d'un préfixe pseudo unique [...] En gros, comme les adresses privées IPv4 sauf qu'en plus le préfixe a très peu de chances d'être le même que celui d'une autre boite. RFC 4193 http://www.bortzmeyer.org/4193.html Dans tout OS qui tient la route en théorie oui, à savoir que y'a une privacy extension qui existe et qui permet de générer les IP aléatoirement et de manière temporaire. RFC 4941 http://www.bortzmeyer.org/4941.html --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [FRnOG] Questionnement d'un administrateur sys tème sur l'IPv6
Yoann Gini a écrit: [Dans le cas plus spécifique du multiWAN] Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à quasiment toutes mes questions, Ah, le multihoming IPv6, ça faisait un moment qu'il n'était pas sorti celui-là. C'est bien là le paradoxe de v6, qui a été conçu depuis le départ pour ne PAS avoir de PI, en pariant sur la disponibilité d'une solution de multihoming PA qui marche, que personne n'a été fichu d'inventer (et ce n'est pas faute d'avoir essayé). Rétrospectivement, unes des plus grosses erreurs commises avec IPv6 qui, qui cumulée à d'autres, a conduit à l'état actuel de non déploiement, a été il y a 10 ans de ne pas comprendre la nécessité de donner PI à ceux qui en voulait. Parmi d'autre facteurs, les entreprises on dit pas de PI, pas de v6. je me demande si elle est réellement viable. PI est la seule solution qui marche. Ca fait 15 ans et plus que tout le monde se casse les dents dessus (oui j'ai encore les docs de cette époque). Si toutes les PME soucieuses de la qualité de leur connexion commencent à demander des PI il y a des risques de suicide collectif chez les admin-réseaux non ? C'était effectivement une des grandes craintes de l'époque, qui en fait s'est révélée être principalement du FUD. Aujourd'hui il y a plusieurs raisons qui disent que ce n'est pas du suicide: 1. On a environ 10 ans de retard sur l'idée originale du déploiement, en pendant ces 10 ans la loi de Moore a continué à marcher. Même si plus gros CPU, plus de mémoire et plus gros tuyau n'est pas vraiment une solution, 1 million de routes aujourd'hui ça ne fait peur à personne alors que 20 il y a 10 ans ça faisait peur à tout le monde. Il y a de bonnes raisons d'espérer que la table v6 serait plus petite que la table v4: 2. Au lieu d'allouer une multitude de préfixes longs (le swamp) avec v6 on alloue un préfixe unique plus court (en tout cas on essaie). 3. Une des raisons de la taille de la table est les fusions, acquisitions, séparations et créations d'entités. Avec v6, on part avec un état des choses 20 ans plus récent que v4, donc en théorie moins de préfixes. Bon et dans la lancée du vendredi: troll 4. Vu la vitesse d'adoption de v6, ce n'est pas un problème. 5. Même si c'est du suicide collectif, tous tes concurrents vont mourir en même temps que toi, donc pas de problème non plus. /troll Michel. smime.p7s Description: S/MIME cryptographic signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6
Le 12 déc. 2010 à 20:54, Pierre Lagoutte a écrit : Bonsoir à tous. J'hallucine franchement que le cas (trivial) cité par Yohann suscite suscite un thread aussi lourd (ce cas n'aurait-il pas été prévu ?) En tout ca la question est visiblement TRES bonne. Quand un flux sortant utilise un préfixe local ( fe80:: - c'est le plus simple: pourquoi connaîtrait-il la part publique de son adresse v6) sur son adresse source, le routeur de bordure (après sélection - load balancing - de l'interface WAN de sortie) ne peut-il pas lui substituer le préfixe public de cette interface ? plutôt que d'asséner la non-routabilité native de ce flux sur l'Internet. ... je sais c'est du NAT, et donc quelque part Kriminel pour la communauté v6. mais ce serait tellement simple et transparent. Pierre noter que les A6 records du bind9 des DNS avaient été construits pour dissocier la part privative de la part publique des adresses v6, mais ils n'ont eu qu'un succès (même académique) super-limité. En soi, le fait que l'on puisse à priori se passer du NAT me semble une bonne chose, surtout pour certains services. Mais j'avoue ne pas comprendre comment gérer simplement le multiWAN dans l'histoire. Même avec les éléments de réponses apportés je me vois mal gérer des blocs PI + BGP pour des entreprises de moins de 10 personnes qui ont deux pauvres ADSL. Or elles ont le besoin du multiWAN… Actuellement on rencontre un vrai problème de fiabilité de la connexion chez les clients qui ne peuvent pas dépasser la centaine d'euros par mois de frais de connexion.
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 06:55:27PM +0100, Yoann Gini yoann.g...@gmail.com wrote a message of 191 lines which said: D'après les liens cités précédemment, il est possible de le générer et de l'enregistrer sur une base commune. Comment est-il configuré sur les postes s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) C'est annoncé en DHCP ou en RA, pas en BGP. La plupart des participants à la liste passant leur temps avec BGP, ils comprennent cela lorsqu'on parle d'« annonces ». --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 09:39:22PM +0100, Yoann Gini yoann.g...@gmail.com wrote a message of 96 lines which said: Même avec les éléments de réponses apportés je me vois mal gérer des blocs PI + BGP pour des entreprises de moins de 10 personnes qui ont deux pauvres ADSL. Or elles ont le besoin du multiWAN? Actuellement on rencontre un vrai problème de fiabilité de la connexion chez les clients qui ne peuvent pas dépasser la centaine d'euros par mois de frais de connexion. Le problème est *exactement* le même en IPv4 et en IPv6. Dans les deux cas, la solution propre est PI + AS + BGP. Dans les deux cas, cette solution n'est certainement pas réaliste pour la PME (paperasseries RIR, refus des FAI, compétences nécessaires) et peut-être pas gérable à l'échelle de l'Internet. Dans les deux cas, il n'y a pas de solution de multihoming simple, « scalable », effectivement disponible, etc (pour les curieux : RFC 4960 http://www.bortzmeyer.org/4960.html et RFC 5533 http://www.bortzmeyer.org/5533.html, cette seconde étant spécifique à IPv6). Dans les deux cas, on se rabat donc sur des bricolages divers à coup de NAT ou de load-balancers plus ou moins malins. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Questionnement d'u n administrateur système sur l'IPv6
On 12/12/2010 09:39 PM, Yoann Gini wrote: Même avec les éléments de réponses apportés je me vois mal gérer des blocs PI + BGP pour des entreprises de moins de 10 personnes qui ont deux pauvres ADSL. Or elles ont le besoin du multiWAN… Actuellement on rencontre un vrai problème de fiabilité de la connexion chez les clients qui ne peuvent pas dépasser la centaine d'euros par mois de frais de connexion. Je partage ta douleur... Il reste encore la solution dont je parlais (agréger les liens d'une manière ou d'une autre vers un serveur plus rapide)... Si tu prends un serveur que tu mutualises entre tes clients, ça ne devrait pas revenir trop cher au final. Bonus pour le fait que tu n'a plus qu'une seul IP de sortie, étant donné que le multi-IP pose des problèmes métaphysiques à certains sites (je ne pense pas aux putains de forums phpBB). Soit dit au passage : ça serait quand même vachement intéressant que les opérateurs proposent directement l'agrégation de lien... Je sais pas si certains d'entre vous le font déjà, mais en tout cas à priori c'est demandé. ~ sifflote ~ -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionneme nt d'un administrateur système sur l'IPv6
Soit dit au passage : ça serait quand même vachement intéressant que les opérateurs proposent directement l'agrégation de lien... Je sais pas si certains d'entre vous le font déjà, mais en tout cas à priori c'est demandé. ~ sifflote ~ Oui ... on le fait. MPPP sur plusieurs lignes L2TP .. Le plus dur pour nous a ete de trouver un routeur pas trop cher (ie: pas cisco) pour les clients :) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 08:54:55PM +0100, Pierre Lagoutte pie...@dratech.com wrote a message of 119 lines which said: J'hallucine franchement que le cas (trivial) cité par Yohann suscite suscite un thread aussi lourd (ce cas n'aurait-il pas été prévu ?) Il n'est pas davantage prévu en IPv4, où le problème est exactement le même. Le multihoming des petits sites (i.e. BGPless) a toujours été un cauchemar. Quand un flux sortant utilise un préfixe local ( fe80:: - c'est le plus simple: pourquoi connaîtrait-il la part publique de son adresse v6) sur son adresse source, le routeur de bordure (après sélection - load balancing - de l'interface WAN de sortie) ne peut-il pas lui substituer le préfixe public de cette interface ? plutôt que d'asséner la non-routabilité native de ce flux sur l'Internet. ... je sais c'est du NAT, et donc quelque part Kriminel pour la communauté v6. Ce serait du NAT, mais qui préserverait la connectivité de bout en bout (contrairement au truc le plus courant dans le monde v4 qui n'est même pas du vrai NAT mais du NAPT). Cela me semble une idée tentante. Notez toutefois que c'est un gros changement du modèle de TCP/IP. Si un softphone SIP ne connait pas son adresse publique, comment pourra t-il dire à son pair où envoyer le flux RTP ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le 12/12/10 21:07, Thomas Mangin a écrit : http://vh-net.fr/blog/ Cette solution marche quand tu as deux lignes aux carracteristiques très proches (débit et latence). Sinon, le débit cumulé sera le nombre de lignes * la vitesse de la plus lente, et une différence de latence importante créera une jigue énorme. Ce n'est pas la bande passante qui va faire mal, c'est la limite sure le nombre de packet par seconde que le DSLAM donne a chaque ligne. Car plus de machines veut dire plus de requetes DNS et autres, cela compte rapidement pour beaucoup ... Il y a un resolver avec cache et un proxy en local, justement pour limiter la casse à ce niveau. -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] Re: Questionnement d'un administrateur systèm e sur l'IPv6
Le 12 déc. 2010 à 21:57, Stephane Bortzmeyer a écrit : Dans les deux cas, on se rabat donc sur des bricolages divers à coup de NAT ou de load-balancers plus ou moins malins. Dans les deux cas ? Sauf que si j'ai bien suivi le NAT6 n'existe pas encore réellement ? L'idéal serait d'avoir une ip pour chaque lien sur les clients, plus une ip ULA et une table de correspondance côté routeur en fait. On évite ainsi le NAT, le routeur s'occupe simplement remplacer l'adresse source par la routable de son choix et envoi sur l'interface WAN qui va bien. Enfin bon c'est ma vision simpliste de ce qui pourrait coller à mon besoin, après est-ce que c'est possible ? Est)ce que ça existe déjà ?
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnO G] Re: [FRnOG] Questionnement d'un admi nistrateur système sur l'IPv6
On 12 Dec 2010, at 21:14, Jérôme Nicolle wrote: Le 12/12/10 21:07, Thomas Mangin a écrit : http://vh-net.fr/blog/ Cette solution marche quand tu as deux lignes aux carracteristiques très proches (débit et latence). Sinon, le débit cumulé sera le nombre de lignes * la vitesse de la plus lente, et une différence de latence importante créera une jigue énorme. Nous sommes d'accord ! Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6
On 12/12/2010 10:14 PM, Jérôme Nicolle wrote: Le 12/12/10 21:07, Thomas Mangin a écrit : http://vh-net.fr/blog/ Cette solution marche quand tu as deux lignes aux carracteristiques très proches (débit et latence). Sinon, le débit cumulé sera le nombre de lignes * la vitesse de la plus lente, et une différence de latence importante créera une jigue énorme. Je confirme, vu que les débits sont complètement différents sur chaque ligne (2 ADSL avec une atténuation différente et 1 SDSL), déjà quand on fait du routage en round-robin sur les 3 ça ralenti tout, alors j'veux même pas imaginer avec ce genre de solution... Ce n'est pas la bande passante qui va faire mal, c'est la limite sure le nombre de packet par seconde que le DSLAM donne a chaque ligne. Car plus de machines veut dire plus de requetes DNS et autres, cela compte rapidement pour beaucoup ... Il y a un resolver avec cache et un proxy en local, justement pour limiter la casse à ce niveau. J'allais le dire :) On est pas fou non plus, et puis ça tourne comme ça depuis 5 ans... -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Quest ionnement d'un administrateur système sur l'IP v6
Le 12/12/10 21:11, Rémi Bouhl a écrit : Le 12/12/10, Pierre Lagouttepie...@dratech.com a écrit : noter que les A6 records du bind9 des DNS avaient été construits pour dissocier la part privative de la part publique des adresses v6, mais ils n'ont eu qu'un succès (même académique) super-limité. L'utilisation des @MAC comme partie privée, ajoutée à la plage privée commune à toutes les machines derrière un même accès, ne permet pas d'obtenir le même résultat, à savoir dissocier de façon claire la partie privée de la partie publique dans une adresse? J'imagine qu'on peut dans ce cas déménager chez un autre FAI sans casser le routage interne, en le basant sur les @MAC. N'est-ce pas la meilleure solution, la plus simple, la plus universelle, nécessitant le moins de bidouilles? Je sais, ça fait peur pour la vie privée aux utilisateurs qui, bien évidemment, font tous le tri des cookies et des javascripts pour ne pas être tracés, à tel point que la traçabilité de leur @MAC devient le premier problème :] Tu pars du postulat que les adresses MAC sont uniques... Me semble que ya pas plus d'un mois, il y a justement eu un conflit d'adresses MAC sur un IX parisien justement, Equinix je crois. Deux opérateurs, avec des machines différentes, qui avaient toutes les deux la même MAC sur le même segment ethernet. C'est con, hein ? -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrat eur système sur l'IPv6
Le 12/12/10 22:06, Thomas Mangin a écrit : Soit dit au passage : ça serait quand même vachement intéressant que les opérateurs proposent directement l'agrégation de lien... Je sais pas si certains d'entre vous le font déjà, mais en tout cas à priori c'est demandé. ~ sifflote ~ Oui ... on le fait. MPPP sur plusieurs lignes L2TP .. Le plus dur pour nous a ete de trouver un routeur pas trop cher (ie: pas cisco) pour les clients :) Attends, c'est fréquents en Grande Bretagne, pas en France. En 2006 j'avais trouvé 8 opérateurs proposant ça chez vous, aucun de notre coté du canal... J'ai ptet mal cherché hein, si tu en connais, ça m'intéresse. Coté client, ya pas de miracle : des modems PPPoE (en ethernet) ou des cartes ADSL de chez Traverse. Je vois d'ailleurs qu'ils ont sorti récement pile poil ce qu'il te faut : http://www.traverse.com.au/productview.php?product_id=117, sinon c'est http://www.traverse.com.au/productview.php?product_id=116 -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] RE: [FRnOG] Re: Questionnement d'un administrate ur système sur l'IPv6
Yoann Gini Dans les deux cas ? Oui dans les deux cas. Sauf que si j'ai bien suivi le NAT6 n'existe pas encore rellement ? Ou que l'idee de ce que c'est NAT6 change tous les jours. Il y a nat46, nat64, nat464, on s'y perdrait. L'idal serait d'avoir une ip pour chaque lien sur les clients, plus une ip ULA et une table de correspondance ct routeur en fait. On vite ainsi le NAT, le routeur s'occupe simplement remplacer l'adresse source par la routable de son choix et envoi sur l'interface WAN qui va bien. Enfin bon c'est ma vision simpliste de ce qui pourrait coller mon besoin, aprs est-ce que c'est possible ? Est)ce que a existe dj ? Je l'ai inventee il y a 10 ans cette idee. Et j'etais pas le premier a y penser. http://arneill-py.sacramento.ca.us/mhap/ http://arneill-py.sacramento.ca.us/ipv6mh/ C'est une usine a gaz, oublies. Michel.
[FRnOG] Re: [FRnOG] Re: Questionnement d' un administrateur système sur l'IPv6
Le 12/12/2010 22:11, Stephane Bortzmeyer a crit: On Sun, Dec 12, 2010 at 08:54:55PM +0100, Pierre Lagoutte pie...@dratech.com wrote a message of 119 lines which said: J'hallucine franchement que le cas (trivial) cit par Yohann suscite suscite un thread aussi lourd (ce cas n'aurait-il pas t prvu ?) Il n'est pas davantage prvu en IPv4, o le problme est exactement le mme. Le multihoming des petits sites (i.e. BGPless) a toujours t un cauchemar. On trouve pourtant des solutions multihoming v4 stateful partielles sur les routeurs de bordure d'entre de gamme depuis plusieurs annes (genre Netgear FVX538 ou autres) - sur un site stand-alone, on choisit la meilleure interface WAN pour les flux entrants en lui attribuant une URL dynamique (genre DynDns ou autre), et en reconfigurant rapidement la main en cas de pb majeur sur cette interface - si on dispose d'un hub distant, on y localise le point d'arrive des sessions entrantes, et on lui renvoie la fonction d'quilibrage de charge via deux tunnels IPsec. - les flux sortants sont NATs v4 localement en quilibrant les sessions entre les deux interfaces WAN (tout en prioritisant lgrement l'usage de la moins bonne interface) Je sais que a ne rsout qu'une partie du pb. Cette solution convient bien quand il n'y a pas de sessions entrantes stratgiques sur le site (les cibles de ces sessions sont externalises vers des hosts hors site), mais elle couvre 99.x% du besoin et est dployable cot nul. Je ne comprends pas trs bien pourquoi il serait impossible de faire a (pour commencer) en v6 (sinon que pour adresser ce march, il faudrait qu'il existe) Quand un flux sortant utilise un prfixe local (fe80:: - c'est le plus simple: pourquoi connatrait-il la part publique de son adresse v6) sur son adresse source, le routeur de bordure (aprs slection - load balancing - de l'interface WAN de sortie) ne peut-il pas lui substituer le prfixe public de cette interface ? plutt que d'assner la non-routabilit native de ce flux sur l'Internet. ... je sais c'est du NAT, et donc quelque part Kriminel pour la communaut v6. Ce serait du NAT, mais qui prserverait la connectivit de bout en bout (contrairement au truc le plus courant dans le monde v4 qui n'est mme pas du vrai NAT mais du NAPT). Cela me semble une ide tentante. Notez toutefois que c'est un gros changement du modle de TCP/IP. Si un softphone SIP ne connait pas son adresse publique, comment pourra t-il dire son pair o envoyer le flux RTP ? Je ne trouve effectivement pas judicieux que dans v6 (encore plus que dans v4) tout repose encore sur les hosts Je ne parle videmment pas de transfrer l'interfonctionnement IP sur les NE du core-network mais la configuration des domaines privs a quand mme volu depuis la prhistoire. Avec v6 les pbs y deviennent compliqus rgler, et instables du fait de la faible prennit des logiciels hosts Je ne vois pas bien comment on vitera de "remonter d'un cran vers le coeur du rseau" en s'appuyant davantage sur les routeurs de bordure (qui se sont gnraliss depuis l'invention d'IPng) et pourraient rsoudre bien plus facilement l'intgralit des pbs d'interfonctionnement IP et de migration v4/v6 en vitant d'ennuyer madame Michu. e qui rendrait de plus possible une certification fonctionnelle des quipements. Bon, mais l je rve franchement... Visiblement l'intgration de v6 aux installations du quotidien n'a pas encore de modle comprhensible Il serait temps de lister et rendre lisible les pbs rsoudre, et d'en proposer des solutions simples (ou bien de les traiter compltement dans la plus stricte opacit) Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ attachment: pierre.vcf
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: Questionneme nt d'un administrateur système sur l'IPv6
Le 13 déc. 2010 à 06:05, Pierre Lagoutte a écrit : Visiblement l'intégration de v6 aux installations du quotidien n'a pas encore de modèle compréhensible Il serait temps de lister et rendre lisible les pbs à résoudre, et d'en proposer des solutions simples (ou bien de les traiter complètement dans la plus stricte opacité) J'avoue qu'en postant ici je m'attendais surtout à ce que les problèmes de compréhension que je rencontre soient de ma faute, ce qui fût le cas pour les différents types d'IP. J'en profite pour vous remercier une nouvelle fois pour toutes ces informations. (Si je peux vous rendre la pareille, n'hésitez pas). Par contre, je ne m'attendais pas du tout à buter sur un problème aussi simple que du multi-homed pour les petits… Si certaines personnes souhaitent de l'aide pour proposer des exemples concrets de mise en place de l'IPv6 chez ce type de client je peux tout à fait vous donner les config en place et ce qui est nécessaire. Je dois même avoir un client partant pour faire des tests fonctionnels si Completel propose l’IPv6 sur sa fibre.
[FRnOG] Re: Questionnement d'un adm inistrateur système sur l'IPv6
On Sun, Dec 12, 2010 at 04:01:55PM -0800, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 75 lines which said: Ou que l'idee de ce que c'est NAT6 change tous les jours. Il y a nat46, nat64, nat464, on s'y perdrait. Il faut documenter :-) http://www.bortzmeyer.org/nats.html --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Questionnement d'un administrateur syst ème sur l'IPv6
On 13 Dec 2010, at 06:40, Yoann Gini wrote: Par contre, je ne m'attendais pas du tout à buter sur un problème aussi simple que du multi-homed pour les petits… Cela va changer. C'est dur de trouver un routeur DSL actuellement avec IPv6 mais quand les vendeurs s'y mettrons il ajouteront du NAT dans le lot, c'est quasi-sur. Espérons qu'il y aura un mapping 1:1 IP interne et externe. Je croise les doigts :D Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/