Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Thu, 2019-08-15 at 20:33 +0200, Radu-Adrian Feurdean wrote: > Demandez a vos stagiaires de tester du v6-Only. D'ailleurs c'est en déployant de l'IPv6 only que l'on s’aperçoit que souvent le support IPv6 n'est pas aussi fonctionnel que celui IPv4... Quelques exemples: - Téléphone SNOM 821: pas de default gateway IPv6, donc si le serveur HTTP & SIP n'est pas dans le même LAN, impossible d'utiliser le téléphone - Téléphone Cisco: pas de support IPv6 dans le firmware livré d'usine, donc il faut mettre à la main le firmware à jour en IPv4 si on souhaite déployer le téléphone dans un environnement IPv6 only - Imprimante multi-fonction EPSON: on peut tout faire en IPv6 sauf utiliser le scanner (j'ai jamais compris pourquoi EPSON n'avait pas implémenté l'IPv6 dans la partie scanner) Les constructeurs sont demandeur des remontés de bugs ou des ratés dans leur implémentation IPv6. J'avais remonté à l'époque à Supermicro que l'adresse IPv6 statique configurée manuellement pour l'IPMI n'était pas conservée lors d'un reset du module IPMI. Ils l'ont fixé et ce même pour des cartes mères qui n'était plus commercialisées. -- Nicolas DEFFAYET --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
En fait le problème, c’est que vous ne regardez que le problème côté opérateur. Moi faire du v6 et le livrer au client c’est pas plus Un soucis que ça ! Par contre aujourd’hui ce sont les intégrateurs (non opérateurs) qui sont perdu et encore plus si il y a deux opérateurs chez le meme client. J’aimerais bien avoir un partenaire qui me demande du v6 pour ses clients, aujourd’hui ils en ont peur. Julien OHAYON Directeur Technique APPLIWAVE Tel : 09.71.18.71.11 > Le 15 août 2019 à 20:36, Radu-Adrian Feurdean > a écrit : > >> On Wed, Aug 14, 2019, at 21:10, Julien OHAYON wrote: >> Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va >> bien rigoler :D > > Tu peux filer les adresses en DHCP, mais la route par default reste en RA. > Oui, la conf statique reste possible, mais pa conseille. DHCP ou SLAAC par > tout, y compris les imprimantes, voire meme les serveurs. > Ah, on parle d'imprimantes ? Genre les HP (les moins cheres) qui marchent > mieux en IPv6 qu'en IPv4 ? > > Ca me confirme que tout le monde qui crie "IPv6 pas marche pour mon use-case" > n'ont pas pris le temps pour voir comment ca fonctionne. Je veux bien qu'il y > a peut-etre un deficit de documentation "rapide", mais il faut arreter de > dire que ca ne marche pas. Essayez ! Essayez sur vos client mauvais-payeurs > (comme ca ca pose pas de probleme si ca pas marche le temps d'apprendre). > Demandez a vos stagiaires de tester du v6-Only. Faites quelque-chose, mais > faites-le, arretez de juste dire que ca ne marche pas apres 5 min de lecture > d'une doc qui date de mathusalem. > > C'est clair que ce n'est pas sur FRnOG qui tu vas arriver a apprendre l'IPv6 > avec tous ses details. On va te repondre a des questions precises et ciblees, > mais pour tout t'apprendre, on va peut-etre te demander des $$$. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Dans ce cas à quand à wiki FrNog :-) IPv6 est un bon sujet de départ. Richard Le jeu. 15 août 2019 à 19:35, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Wed, Aug 14, 2019, at 21:10, Julien OHAYON wrote: > > Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va > > bien rigoler :D > > Tu peux filer les adresses en DHCP, mais la route par default reste en RA. > Oui, la conf statique reste possible, mais pa conseille. DHCP ou SLAAC par > tout, y compris les imprimantes, voire meme les serveurs. > Ah, on parle d'imprimantes ? Genre les HP (les moins cheres) qui marchent > mieux en IPv6 qu'en IPv4 ? > > Ca me confirme que tout le monde qui crie "IPv6 pas marche pour mon > use-case" n'ont pas pris le temps pour voir comment ca fonctionne. Je veux > bien qu'il y a peut-etre un deficit de documentation "rapide", mais il faut > arreter de dire que ca ne marche pas. Essayez ! Essayez sur vos client > mauvais-payeurs (comme ca ca pose pas de probleme si ca pas marche le temps > d'apprendre). Demandez a vos stagiaires de tester du v6-Only. Faites > quelque-chose, mais faites-le, arretez de juste dire que ca ne marche pas > apres 5 min de lecture d'une doc qui date de mathusalem. > > C'est clair que ce n'est pas sur FRnOG qui tu vas arriver a apprendre > l'IPv6 avec tous ses details. On va te repondre a des questions precises et > ciblees, mais pour tout t'apprendre, on va peut-etre te demander des $$$. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Wed, Aug 14, 2019, at 21:10, Julien OHAYON wrote: > Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va > bien rigoler :D Tu peux filer les adresses en DHCP, mais la route par default reste en RA. Oui, la conf statique reste possible, mais pa conseille. DHCP ou SLAAC par tout, y compris les imprimantes, voire meme les serveurs. Ah, on parle d'imprimantes ? Genre les HP (les moins cheres) qui marchent mieux en IPv6 qu'en IPv4 ? Ca me confirme que tout le monde qui crie "IPv6 pas marche pour mon use-case" n'ont pas pris le temps pour voir comment ca fonctionne. Je veux bien qu'il y a peut-etre un deficit de documentation "rapide", mais il faut arreter de dire que ca ne marche pas. Essayez ! Essayez sur vos client mauvais-payeurs (comme ca ca pose pas de probleme si ca pas marche le temps d'apprendre). Demandez a vos stagiaires de tester du v6-Only. Faites quelque-chose, mais faites-le, arretez de juste dire que ca ne marche pas apres 5 min de lecture d'une doc qui date de mathusalem. C'est clair que ce n'est pas sur FRnOG qui tu vas arriver a apprendre l'IPv6 avec tous ses details. On va te repondre a des questions precises et ciblees, mais pour tout t'apprendre, on va peut-etre te demander des $$$. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Thu, 2019-08-15 at 08:57 +0200, Denis Fondras wrote: Hello, > OpenVPN n'est pas configurable en IPv6-only : "The field IPv4 Tunnel > network is > required.". Le support IPv6 only dans OpenVPN est prévu pour la version 2.5. Plus de détail concernant la feature request: https://community.openvpn .net/openvpn/ticket/208 -- Nicolas DEFFAYET --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
> On 15 Aug 2019, at 08:57, Denis Fondras wrote: > >> On Thu, Aug 15, 2019 at 12:59:57AM +0200, Wallace wrote: >> Tu penses à un usage en particulier? >> > > La HA ne fonctionne pas correctement en IPv6, les RA sont envoyés depuis > l'équipement en standby. > > OpenVPN n'est pas configurable en IPv6-only : "The field IPv4 Tunnel network > is > required.". > > Et la crême de la crême, j'ai arrêté de vouloir faire du v6 avec pfSense après > ça : quand tu essaies d'ajouter une IPv6, par exemple 2001:db8::/64, "The > network address cannot be used for this VIP". Du coup c’est vraiment lié à la GUI. Quelqu’un a essayé avec OPNSense? — Nico --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Thu, Aug 15, 2019 at 12:59:57AM +0200, Wallace wrote: > Tu penses à un usage en particulier? > La HA ne fonctionne pas correctement en IPv6, les RA sont envoyés depuis l'équipement en standby. OpenVPN n'est pas configurable en IPv6-only : "The field IPv4 Tunnel network is required.". Et la crême de la crême, j'ai arrêté de vouloir faire du v6 avec pfSense après ça : quand tu essaies d'ajouter une IPv6, par exemple 2001:db8::/64, "The network address cannot be used for this VIP". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
L'imprimante c'est tellement le cas ultime dans les boites, même les dernières installées chez des clients ne gèrent pas v6 only voir pour certaines ne gèrent pas du tout le dual stack. Clairement pour ce dual wan, le natv6 ne me dérange pas, c'est crade mais de toute façon les postes utilisateurs sont pas censés avoir du flux entrant qui est déjà filtré. Le 14/08/2019 à 21:09, Julien OHAYON a écrit : > Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va bien > rigoler :D > > Julien OHAYON > Directeur Technique > APPLIWAVE > > Tel : 09.71.18.71.11 > >> Le 14 août 2019 à 21:07, Alarig Le Lay a écrit : >> >> Je l’ai fait chez moi quand je commençais le réseau et que j’avais un >> tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien. >> >>> On mer. 14 août 18:51:56 2019, Julien OHAYON wrote: >>> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui >>> a deux préfix et le DNS derrière. >>> >>> >>> Julien OHAYON >>> Directeur Technique >>> APPLIWAVE >>> >>> Tel : 09.71.18.71.11 >>> Le 14 août 2019 à 20:49, Hugues Voiturier a écrit : Non, elle choisit celui qui a la plus grosse préférence par le RA ;-) > On 14 Aug 2019, at 20:48, Julien OHAYON wrote: > > Et donc ton app source choisi un préfix au hasard ? > > Julien OHAYON > Directeur Technique > APPLIWAVE > > Tel : 09.71.18.71.11 > >>> Le 14 août 2019 à 20:41, Denis Fondras a écrit : >>> >>> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: >>> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur >>> Tweeter ! >>> >>> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas >>> annoncer ton subnet) ! >>> >>> Ça va être tellement drôle cette belle régression par rapport à v4 (je >>> parle pas du nat on sait tous que c’est de la merde mais ça permet de >>> palier à certaines choses) >>> >> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et >> quand >> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu >> réduis la >> lifetime à 0. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Le 14/08/2019 à 20:26, Denis Fondras a écrit : > Je dois vraiment être une guenille alors. Chez moi pfSense est loin, mais > alors > très très loin, d'être au point côté IPv6. Et quand tu contactes les devs pour > faire un rapport de bug, "Ah? IPv6 ? Y'a des bugs, EWONTFIX". Tu penses à un usage en particulier? Après faut dire qu'on fait IPv6 en prioritaire sur tous nos équipements / serveurs / services depuis 2010, le v4 est optionnel donc même au début on faisait en sorte de reverse tcp / udp les applications qui n'étaient pas encore capable de bind en v6. Sur PFsense à ma connaissance on a pas de bricole comme cela depuis quelques versions. Et effectivement tous n'est pas en dual stack genre le lien vers les switchs pour le 802.1X ça doit être le dernier point non migré sur les configs en place. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Tout était sur le même VLAN à l’époque, donc oui. Et même aujourd’hui avec des VLANs, c’est toujours le cas pour ce qui est à la maison. Sur mon infra en DC c’est de l’adressage statique parce que j’avais pas besoin de faire des RAs du tout, donc je n’allais pas non plus m’amuser à en faire pour le fun. Chez moi le radvd était déjà là. On mer. 14 août 19:09:29 2019, Julien OHAYON wrote: > Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on > va bien rigoler :D > > Julien OHAYON > Directeur Technique > APPLIWAVE > > Tel : 09.71.18.71.11 > > > Le 14 août 2019 à 21:07, Alarig Le Lay a écrit : > > > > Je l’ai fait chez moi quand je commençais le réseau et que j’avais un > > tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien. > > > >> On mer. 14 août 18:51:56 2019, Julien OHAYON wrote: > >> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui > >> a deux préfix et le DNS derrière. > >> > >> > >> Julien OHAYON > >> Directeur Technique > >> APPLIWAVE > >> > >> Tel : 09.71.18.71.11 > >> > >>> Le 14 août 2019 à 20:49, Hugues Voiturier a > >>> écrit : > >>> > >>> Non, elle choisit celui qui a la plus grosse préférence par le RA ;-) > >>> > On 14 Aug 2019, at 20:48, Julien OHAYON wrote: > > Et donc ton app source choisi un préfix au hasard ? > > Julien OHAYON > Directeur Technique > APPLIWAVE > > Tel : 09.71.18.71.11 > > >> Le 14 août 2019 à 20:41, Denis Fondras a écrit : > >> > >> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: > >> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur > >> Tweeter ! > >> > >> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas > >> annoncer ton subnet) ! > >> > >> Ça va être tellement drôle cette belle régression par rapport à v4 (je > >> parle pas du nat on sait tous que c’est de la merde mais ça permet de > >> palier à certaines choses) > >> > > > > Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et > > quand > > ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu > > réduis la > > lifetime à 0. > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > >>> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va bien rigoler :D Julien OHAYON Directeur Technique APPLIWAVE Tel : 09.71.18.71.11 > Le 14 août 2019 à 21:07, Alarig Le Lay a écrit : > > Je l’ai fait chez moi quand je commençais le réseau et que j’avais un > tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien. > >> On mer. 14 août 18:51:56 2019, Julien OHAYON wrote: >> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui a >> deux préfix et le DNS derrière. >> >> >> Julien OHAYON >> Directeur Technique >> APPLIWAVE >> >> Tel : 09.71.18.71.11 >> >>> Le 14 août 2019 à 20:49, Hugues Voiturier a >>> écrit : >>> >>> Non, elle choisit celui qui a la plus grosse préférence par le RA ;-) >>> On 14 Aug 2019, at 20:48, Julien OHAYON wrote: Et donc ton app source choisi un préfix au hasard ? Julien OHAYON Directeur Technique APPLIWAVE Tel : 09.71.18.71.11 >> Le 14 août 2019 à 20:41, Denis Fondras a écrit : >> >> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: >> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur >> Tweeter ! >> >> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas >> annoncer ton subnet) ! >> >> Ça va être tellement drôle cette belle régression par rapport à v4 (je >> parle pas du nat on sait tous que c’est de la merde mais ça permet de >> palier à certaines choses) >> > > Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et > quand > ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu > réduis la > lifetime à 0. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Je l’ai fait chez moi quand je commençais le réseau et que j’avais un tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien. On mer. 14 août 18:51:56 2019, Julien OHAYON wrote: > Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui a > deux préfix et le DNS derrière. > > > Julien OHAYON > Directeur Technique > APPLIWAVE > > Tel : 09.71.18.71.11 > > > Le 14 août 2019 à 20:49, Hugues Voiturier a > > écrit : > > > > Non, elle choisit celui qui a la plus grosse préférence par le RA ;-) > > > >> On 14 Aug 2019, at 20:48, Julien OHAYON wrote: > >> > >> Et donc ton app source choisi un préfix au hasard ? > >> > >> Julien OHAYON > >> Directeur Technique > >> APPLIWAVE > >> > >> Tel : 09.71.18.71.11 > >> > Le 14 août 2019 à 20:41, Denis Fondras a écrit : > > On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: > Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur > Tweeter ! > > Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas > annoncer ton subnet) ! > > Ça va être tellement drôle cette belle régression par rapport à v4 (je > parle pas du nat on sait tous que c’est de la merde mais ça permet de > palier à certaines choses) > > >>> > >>> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et > >>> quand > >>> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu > >>> réduis la > >>> lifetime à 0. > >>> > >>> > >>> --- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Non, elle choisit celui qui a la plus grosse préférence par le RA ;-) > On 14 Aug 2019, at 20:48, Julien OHAYON wrote: > > Et donc ton app source choisi un préfix au hasard ? > > Julien OHAYON > Directeur Technique > APPLIWAVE > > Tel : 09.71.18.71.11 > >> Le 14 août 2019 à 20:41, Denis Fondras a écrit : >> >>> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: >>> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur >>> Tweeter ! >>> >>> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer >>> ton subnet) ! >>> >>> Ça va être tellement drôle cette belle régression par rapport à v4 (je >>> parle pas du nat on sait tous que c’est de la merde mais ça permet de >>> palier à certaines choses) >>> >> >> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et quand >> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu >> réduis la >> lifetime à 0. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui a deux préfix et le DNS derrière. Julien OHAYON Directeur Technique APPLIWAVE Tel : 09.71.18.71.11 > Le 14 août 2019 à 20:49, Hugues Voiturier a écrit > : > > Non, elle choisit celui qui a la plus grosse préférence par le RA ;-) > >> On 14 Aug 2019, at 20:48, Julien OHAYON wrote: >> >> Et donc ton app source choisi un préfix au hasard ? >> >> Julien OHAYON >> Directeur Technique >> APPLIWAVE >> >> Tel : 09.71.18.71.11 >> Le 14 août 2019 à 20:41, Denis Fondras a écrit : On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter ! Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer ton subnet) ! Ça va être tellement drôle cette belle régression par rapport à v4 (je parle pas du nat on sait tous que c’est de la merde mais ça permet de palier à certaines choses) >>> >>> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et >>> quand >>> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu >>> réduis la >>> lifetime à 0. >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Et donc ton app source choisi un préfix au hasard ? Julien OHAYON Directeur Technique APPLIWAVE Tel : 09.71.18.71.11 > Le 14 août 2019 à 20:41, Denis Fondras a écrit : > >> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: >> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter >> ! >> >> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer >> ton subnet) ! >> >> Ça va être tellement drôle cette belle régression par rapport à v4 (je parle >> pas du nat on sait tous que c’est de la merde mais ça permet de palier à >> certaines choses) >> > > Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et quand > ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu réduis > la > lifetime à 0. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote: > Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter ! > > Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer > ton subnet) ! > > Ça va être tellement drôle cette belle régression par rapport à v4 (je parle > pas du nat on sait tous que c’est de la merde mais ça permet de palier à > certaines choses) > Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et quand ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu réduis la lifetime à 0. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Wed, Aug 14, 2019 at 07:51:15PM +0200, Wallace wrote: > En se contentant du niveau 3 on fait du v4/v6 en firewall et VPN (IPSec > et OpenVPN) très bien avec PFSense. > > On sait même faire du natv6 : malheureusement utile quand il y a un dual > wan de deux opérateurs différents et quand une personne a du v6 chez lui > et a donc besoin de v6 dans le vpn sinon une partie du trafic ne passe > par par le vpn. Si le fw est en dual wan ipv6 il faut qu'on utilise un > troisième subnet interne que l'on nat en sortie en fonction de la > gateway prioritaire. Si vous avez d'autres solutions je suis preneur. > > Sinon tout le reste fonctionne bien, l'inspection du trafic, le dns, > dhcp, syslog, ... tout cela en v6 sans soucis. > Je dois vraiment être une guenille alors. Chez moi pfSense est loin, mais alors très très loin, d'être au point côté IPv6. Et quand tu contactes les devs pour faire un rapport de bug, "Ah? IPv6 ? Y'a des bugs, EWONTFIX". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter ! Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer ton subnet) ! Ça va être tellement drôle cette belle régression par rapport à v4 (je parle pas du nat on sait tous que c’est de la merde mais ça permet de palier à certaines choses) https://twitter.com/julienohayon/status/1159423579047518208?s=21 NPT serait un début de solution, mais est-ce assez implémenté ? Clairement non. Julien OHAYON Directeur Technique APPLIWAVE Tel : 09.71.18.71.11 Le 14 août 2019 à 19:53, Wallace mailto:wall...@morkitu.org>> a écrit : En se contentant du niveau 3 on fait du v4/v6 en firewall et VPN (IPSec et OpenVPN) très bien avec PFSense. On sait même faire du natv6 : malheureusement utile quand il y a un dual wan de deux opérateurs différents et quand une personne a du v6 chez lui et a donc besoin de v6 dans le vpn sinon une partie du trafic ne passe par par le vpn. Si le fw est en dual wan ipv6 il faut qu'on utilise un troisième subnet interne que l'on nat en sortie en fonction de la gateway prioritaire. Si vous avez d'autres solutions je suis preneur. Sinon tout le reste fonctionne bien, l'inspection du trafic, le dns, dhcp, syslog, ... tout cela en v6 sans soucis. Le 03/08/2019 à 23:06, Denis Fondras a écrit : Bonjour, Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... Denis --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
En se contentant du niveau 3 on fait du v4/v6 en firewall et VPN (IPSec et OpenVPN) très bien avec PFSense. On sait même faire du natv6 : malheureusement utile quand il y a un dual wan de deux opérateurs différents et quand une personne a du v6 chez lui et a donc besoin de v6 dans le vpn sinon une partie du trafic ne passe par par le vpn. Si le fw est en dual wan ipv6 il faut qu'on utilise un troisième subnet interne que l'on nat en sortie en fonction de la gateway prioritaire. Si vous avez d'autres solutions je suis preneur. Sinon tout le reste fonctionne bien, l'inspection du trafic, le dns, dhcp, syslog, ... tout cela en v6 sans soucis. Le 03/08/2019 à 23:06, Denis Fondras a écrit : > Bonjour, > > Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes > fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... > > Denis > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: Re : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Bonjour > Bonjour, > > Je suis à la recherche de références de firewalls ""NG"" proposant les > mêmes > fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... > > Fortinet, PaloAlto Networks, SophosNG (ex Astaro) était déjà bien fichu il y a plusieurs années. Mes 2 cents. -- Stephane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Sun, Aug 4, 2019, at 12:43, Guillaume Tournat wrote: > FortiGate (de Fortinet), full dual stack > > Ils sont enfin depuis cette année accepté par l’ANSSI pour leur qualification Modulo leur SSL-VPN qui est aux dernieres nouvelles strictement mono-stack : soit v4 soit v6. Je ne suis pas sur non plus que les fonctionalites sont 100% identiques entre les deux address-families, mais la partie v6 est assez complete. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On dim. 4 août 18:23:35 2019, Xavier Beaudouin wrote: > Le NAT est une des raison pourquoi on se faire avec de l'IPv4 > alors qu'on aurais dû mettre ce truc à la casse bien avant Totalement d’accord. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Hello, > IPv6 support : > > the following are the main features that are unavailable for IPv6 traffic: > * IPv6 address translation(NATv6) C'est très bien. Arrêtez avec le NAT et IPv6... Le NAT ne protège pas un réseau, il rajoute juste une putain de couche de complexification relou, surtout en cas de merging de boites. Le NAT est une des raison pourquoi on se faire avec de l'IPv4 alors qu'on aurais dû mettre ce truc à la casse bien avant Ne continions pas dans cette lancée avec le v6 et prennons de bonnes bases... (surtout que avec un /48 au mini on peux quand même faire de belles choses). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
On Sun, Aug 04, 2019 at 10:56:01AM +0200, Alarig Le Lay wrote: > pf ? :p > pfNG :D On Sun, Aug 04, 2019 at 10:59:58AM +0200, Stephane Branchoux wrote: > À ma connaissance , Le firewall Stormshield ne propose pas encore les memes > fonctionnalités v4/V6 , en particulier pour la partie proxy web et donc > filtrage d’url. > Tout à fait, Stormshield est disqualifié (de même que Clavister) https://documentation.stormshield.eu/SNS/v3/en/Content/PDF/ReleaseNotesSNS/sns-en-release_notes-v3.9.0.pdf " IPv6 support : the following are the main features that are unavailable for IPv6 traffic: * IPv6 address translation(NATv6) * Application inspections (Antivirus,Antispam,HTTP cache,URL filtering,SMTP filtering,FTP filtering and SSL filtering) * Use of the explicit proxy * DNS cache * SSL VPN portal tunnels * SSL VPN tunnels * Radius or Kerberos authentication * Vulnerability management * Modem interfaces (especially PPPoE modems). " On Sun, Aug 04, 2019 at 12:41:21PM +0200, Guillaume Tournat wrote: > FortiGate (de Fortinet), full dual stack > Ils sont enfin depuis cette année accepté par l’ANSSI pour leur qualification > Merci, je vais regarder ça. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
FortiGate (de Fortinet), full dual stack Ils sont enfin depuis cette année accepté par l’ANSSI pour leur qualification > Le 4 août 2019 à 10:59, Stephane Branchoux > a écrit : > > Bonjour , > > À ma connaissance , Le firewall Stormshield ne propose pas encore les memes > fonctionnalités v4/V6 , en particulier pour la partie proxy web et donc > filtrage d’url. > Ils le promettent pour très bientôt avec les nouvelles moutures en version 4 > > Bonne journée > >> Le 4 août 2019 à 10:45, "anton...@casimu.net" a écrit : >> >> Salut, >> >> Stormshield ? >> Firewalls français qui a toutes les certifs ANSSI EAL4+ etc... >> >> Antonino. >> >> >> Message original >> Objet : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé >> De : Denis Fondras >> À : frnog-t...@frnog.org >> Cc : >> >> Bonjour, >> >> Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes >> fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... >> >> Denis >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Bonjour , À ma connaissance , Le firewall Stormshield ne propose pas encore les memes fonctionnalités v4/V6 , en particulier pour la partie proxy web et donc filtrage d’url. Ils le promettent pour très bientôt avec les nouvelles moutures en version 4 Bonne journée > Le 4 août 2019 à 10:45, "anton...@casimu.net" a écrit : > > Salut, > > Stormshield ? > Firewalls français qui a toutes les certifs ANSSI EAL4+ etc... > > Antonino. > > > ---- Message original > Objet : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé > De : Denis Fondras > À : frnog-t...@frnog.org > Cc : > > Bonjour, > > Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes > fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... > > Denis > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Salut, On sam. 3 août 23:06:31 2019, Denis Fondras wrote: > Bonjour, > > Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes > fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... pf ? :p -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Salut, Stormshield ? Firewalls français qui a toutes les certifs ANSSI EAL4+ etc... Antonino. Message original Objet : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépasséDe : Denis Fondras À : frnog-tech@frnog.orgCc : Bonjour,Je suis à la recherche de références de firewalls ""NG"" proposant les mêmesfonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare...Denis---Liste de diffusion du FRnOGhttp://www.frnog.org/
[FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
Bonjour, Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare... Denis --- Liste de diffusion du FRnOG http://www.frnog.org/