Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
> > Oui, cela étant dit, il y a des résolveurs publics avec DNS64, y compris chez > google https://developers.google.com/speed/public-dns/docs/dns64 - donc si tu > utilises 64:ff9b::/96 pour ton NAT64 qui semble être le plus courant, > l’utilisateur a toujours le “choix” d’utiliser d’autres DNS. Tu peux mettre du DSTNAT sur le CPE client pour renvoyer les requêtes sur ton DNS64. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
io, > On 27 Jan 2023, at 22:35, Pierre Colombier via frnog wrote: > > Et puis un usager reste libre d'utiliser le résolveur de son choix. Ou alors > d'avoir une application qui au lieu d'employer la résolution de nom > configurée du réseau fait du DOH sur Cloudflare qui ne sera pas au courant > qu'il faut générer des dans le bon préfixe. Oui, cela étant dit, il y a des résolveurs publics avec DNS64, y compris chez google https://developers.google.com/speed/public-dns/docs/dns64 - donc si tu utilises 64:ff9b::/96 pour ton NAT64 qui semble être le plus courant, l’utilisateur a toujours le “choix” d’utiliser d’autres DNS. Il y a aussi un service dont j’ai oublié le nom qui répond des IPv6 publiques et fait le nat lui même (on est d’accord, en terme de sécu/privacy c’est 0 mais ça dépanne). ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
. On 28/01/2023 01:35, Pierre Colombier via frnog wrote: merci pour vos réponses. Sur le plan technique c'est à peu près ce à quoi je m'attendais. [...] DNSSEC ? Toutes les considérations sont évaluées dans le RFC (informationnel) 8683 [1] qui donne des directives sur le déploiement de NAT64/464XLAT. La section 4 couvre les cas à considérer pour DNSSEC. 1. https://www.rfc-editor.org/rfc/rfc8683.html Et puis un usager reste libre d'utiliser le résolveur de son choix. Ou alors d'avoir une application qui au lieu d'employer la résolution de nom configurée du réseau fait du DOH sur Cloudflare qui ne sera pas au courant qu'il faut générer des dans le bon préfixe. Un usager c'est (un peu) comme un cours d'eau. Il cherchera toujours des voies de contournement. Du coup j'ai de sérieux doutes sur le fait que ça puisse se faire de façon vraiment transparente et c'est sur ce point que les lumières de la liste m'intéressent. Tout dépend du contexte où l'on se trouve.. car au final tout dépendra du type de réseau, des contraintes, objectifs et des utilisateurs. Mais il y a toujours une approche possible avec ses avantages et inconvénients. -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
merci pour vos réponses. Sur le plan technique c'est à peu près ce à quoi je m'attendais. mais un pb qui m'interpelle avec le DNS64 c'est que c'est en quelque sorte un résolveur menteur. Et certes, c'est pour la bonne cause, mais il n’empêche que même si c'est pas malicieux, ça peut quand même être mal perçu voir générer des alertes de sécurité. est-ce qu'on modifie aussi les enregistrement spf avec des ip4: dedans ? DNSSEC ? Et puis un usager reste libre d'utiliser le résolveur de son choix. Ou alors d'avoir une application qui au lieu d'employer la résolution de nom configurée du réseau fait du DOH sur Cloudflare qui ne sera pas au courant qu'il faut générer des dans le bon préfixe. Du coup j'ai de sérieux doutes sur le fait que ça puisse se faire de façon vraiment transparente et c'est sur ce point que les lumières de la liste m'intéressent. Le 27/01/2023 à 12:48, Willy Manga a écrit : Bonjour, On 27/01/2023 14:24, Pierre Colombier via frnog wrote: Bonjour, j'aimerai savoir si certains d'entre vous on déjà essayé de passer un LAN en ipv6 seul avec un nat 6to4 sur la gateway (voir encore plusieurs sauts plus loin) pour aller consulter les sites qui sont uniquement accessibles en v4 ? Si possible il faudrait raccourcir le nombre de sauts (au moins avec la passerelle NAT64); c'est au moins ce que peut permettre IPv6 dans certains contextes. Et si oui, comment gérez vous la problématique du DNS64 ? (C'est à dire fournir les records dans le préfixe 6to4 pour les sites qui n'ont que du A.) Plusieurs résolveurs l'implémentent soit en se servant d'un préfixe generique prevue ( 64:ff9b::/96 ) ou bien en choisissant un /96 dans son propre bloc. Mais bien sur ceci n'est qu'à usage interne. Ici: unbound,bind mais powerdns-recursor et knot-resolver font aussi l'affaire. Pour simplifier, l'hôte envoie une requête , le résolveur constate qu'elle n'existe pas et 'fabrique' une réponse en en se servant du préfixe configuré plus haut. L'hôte se servira donc de cette adresse factice pour échanger à l'aide de la passerelle NAT64. Et finalement avec quel niveau de succès et/ou d'emmerdement ? Tant que la resource à distance s'identifie avec un nom complètement qualifié, ça juste marche. Sinon il faut envisager une autre technique de transition du genre 464XLAT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
Bonjour, Comme dit précédemment, le NAT64 et le DNS64 est utilisé côté réseau pour rendre accessible des ressources v4 sur un réseau v6 only. Seulement ces mécanismes ne marchent que dans le cas où tu cherches à accéder à une ressource v4 par son nom de domaine. Si le terminal cherche à accéder à une IPv4 littéral, il faut des mécanismes de translation comme le 464XLAT par exemple (implémenté sur pas mal de smartphone, mais pas sur énormément de routeur). Une discussion avec une liste de routeurs 4G possédant un mécanisme 464XLAT est dispo sur lafibre.info, si je la retrouve je partagerai ! Cordialement, Cédric LE ROY --- Original Message --- Le vendredi 27 janvier 2023 à 14:29, Willy Manga a écrit : > . > > On 27/01/2023 17:08, Rémi Desgrange wrote: > > > En 2020, pendant le confinement, j’avais des collègues qui avaient des > > cartes SIM Bouygues dans des box 4G (je n’ai plus le modèle). A ce > > moment-là, je ne sais pas si des choses ont changé, si les box étaient mal > > configurées, il n’avait pas d’ipv4. Certains des mécanismes déjà décrits > > dans le thread étaient mis en œuvres. Je sais que l’accès à github en ssh > > ne fonctionnait pas. Est-ce que la peinture n'était pas fraiche côté > > Bouygues, était-ce une mauvaise conf du routeur 4G ? Je ne sais pas, mais > > peut-être que ça vaut le coup de vérifier que les autres protocoles > > fonctionnent. > > > > En tout cas par ici, acceder a github fonctionne sans pb depuis un poste > IPv6-only > > http://paste.debian.net/1268641/ > > > > -- > Willy Manga > @ongolaboy > https://ongola.blogspot.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
io, > On 27 Jan 2023, at 14:29, Willy Manga wrote: > > En tout cas par ici, acceder a github fonctionne sans pb depuis un poste > IPv6-only > > http://paste.debian.net/1268641/ > Oui parce qu’il y a clairement un nat64 chez l’opérateur… github n’a pas d’ipv6, malheureusement. ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
. On 27/01/2023 17:08, Rémi Desgrange wrote: En 2020, pendant le confinement, j’avais des collègues qui avaient des cartes SIM Bouygues dans des box 4G (je n’ai plus le modèle). A ce moment-là, je ne sais pas si des choses ont changé, si les box étaient mal configurées, il n’avait pas d’ipv4. Certains des mécanismes déjà décrits dans le thread étaient mis en œuvres. Je sais que l’accès à github en ssh ne fonctionnait pas. Est-ce que la peinture n'était pas fraiche côté Bouygues, était-ce une mauvaise conf du routeur 4G ? Je ne sais pas, mais peut-être que ça vaut le coup de vérifier que les autres protocoles fonctionnent. En tout cas par ici, acceder a github fonctionne sans pb depuis un poste IPv6-only http://paste.debian.net/1268641/ -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
Bonjour, On 27/01/2023 14:24, Pierre Colombier via frnog wrote: Bonjour, j'aimerai savoir si certains d'entre vous on déjà essayé de passer un LAN en ipv6 seul avec un nat 6to4 sur la gateway (voir encore plusieurs sauts plus loin) pour aller consulter les sites qui sont uniquement accessibles en v4 ? Si possible il faudrait raccourcir le nombre de sauts (au moins avec la passerelle NAT64); c'est au moins ce que peut permettre IPv6 dans certains contextes. Et si oui, comment gérez vous la problématique du DNS64 ? (C'est à dire fournir les records dans le préfixe 6to4 pour les sites qui n'ont que du A.) Plusieurs résolveurs l'implémentent soit en se servant d'un préfixe generique prevue ( 64:ff9b::/96 ) ou bien en choisissant un /96 dans son propre bloc. Mais bien sur ceci n'est qu'à usage interne. Ici: unbound,bind mais powerdns-recursor et knot-resolver font aussi l'affaire. Pour simplifier, l'hôte envoie une requête , le résolveur constate qu'elle n'existe pas et 'fabrique' une réponse en en se servant du préfixe configuré plus haut. L'hôte se servira donc de cette adresse factice pour échanger à l'aide de la passerelle NAT64. Et finalement avec quel niveau de succès et/ou d'emmerdement ? Tant que la resource à distance s'identifie avec un nom complètement qualifié, ça juste marche. Sinon il faut envisager une autre technique de transition du genre 464XLAT -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
Hello, > On 27 Jan 2023, at 11:24, Pierre Colombier via frnog wrote: > > Bonjour, j'aimerai savoir si certains d'entre vous on déjà essayé de passer > un LAN en ipv6 seul avec un nat 6to4 sur la gateway (voir encore plusieurs > sauts plus loin) pour aller consulter les sites qui sont uniquement > accessibles en v4 ? > > Et si oui, comment gérez vous la problématique du DNS64 ? (C'est à dire > fournir les records dans le préfixe 6to4 pour les sites qui n'ont que du > A.) une simple option dans les bind qui servent de resolvers internes. > Et finalement avec quel niveau de succès et/ou d'emmerdement ? Oui, en fait, NAT64 c’est pas suffisant. Il faut aussi faire du NAT464 si tu veux pouvoir joindre les trucs qui n’ont pas de nom de domaine… sinon c’est cool. ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Appel aux retour d'expérience LAN ipv6 single stack.
Bonjour, j'aimerai savoir si certains d'entre vous on déjà essayé de passer un LAN en ipv6 seul avec un nat 6to4 sur la gateway (voir encore plusieurs sauts plus loin) pour aller consulter les sites qui sont uniquement accessibles en v4 ? Et si oui, comment gérez vous la problématique du DNS64 ? (C'est à dire fournir les records dans le préfixe 6to4 pour les sites qui n'ont que du A.) Et finalement avec quel niveau de succès et/ou d'emmerdement ? --- Liste de diffusion du FRnOG http://www.frnog.org/
