Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le jeudi 2 juillet 2015, 12:51:18 Radu-Adrian Feurdean a écrit : > On Thu, Jul 2, 2015, at 12:06, Luc didry wrote: > > Le jeudi 2 juillet 2015, 12:03:23 Vincent Bernat a écrit : > > > Plusieurs FAI (notamment dans le mobile) font de l'IPv6 only > > > > J'veux bien des noms. > > T-Mobile, Verizon Wireless, AT&T Mobility. > Peut-etre d'autres aussi, mais eux ce sont les cas les plus mediatises. Merci. Ça me rassure : pas de français dans le tas. Ça m'étonnait aussi de pas en avoir entendu parler pour les FAI français. -- Luc http://www.fiat-tux.fr/ Internet n'est pas compliqué, Internet est ce que vous en faites. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
On Thu, 2015-07-02 at 12:03 +0200, Vincent Bernat wrote: > > Je rebondis un peu tard car c'est une conversation sur le SwiNOG qui > m'a fait penser à ça. UPC Cablecom, le plus gros cablo-opérateur > suisse, est en train de déployer des clients en IPv6 only avec du > DS-Lite. Dans les autres exemples connus, il y a T-Mobile US et > Verizon. Il y a aussi Unitymedia en Allemagne, qui fait de l'IPv6 only+DS-Lite, AFAIK. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le jeudi 2 juillet 2015, 12:03:23 Vincent Bernat a écrit : > Plusieurs FAI (notamment dans le mobile) font de l'IPv6 only J'veux bien des noms. -- Luc http://www.fiat-tux.fr/ Internet n'est pas compliqué, Internet est ce que vous en faites. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
❦ 27 juin 2015 04:23 GMT, Michel Py : >> Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à >> part qui n'était pas encore vraiment intégré au monde réel. > > Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un > monde à part qui n'est pas encore vraiment intégré au monde réel. > > La différence, c'est que depuis 15 ans que j'entends des conneries qui > prédisent le déploiement "imminent" (une chanson que j'ai chanté > moi-même) maintenant si je vois pas l'élimination d'IPv4 en 3 ans je > n'écoute plus le même disque rayé. > > IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à > IPv4. Comme tout le monde, à part ceux qui ont des milliards à ne pas > savoir ou les dépenser. Depuis 15 ans, il y a eu quelques changements : - Le top 3 Alexa est accessible en IPv6. - Plusieurs FAI (notamment dans le mobile) font de l'IPv6 only et utilisent du CGN pour permettre l'IPv4. La moralité, c'est que pour une part croissante de la population, IPv4 est moins fiable/performant qu'IPv6 et ce n'est pas très grave parce que ce qui est "important" est accessible en IPv6. Du coup, si tu fournis du contenu en IPv4 only, ton service est dégradé sur cette population. Sony et Microsoft ont collé le support IPv6 dans la dernière génération de console pour cette raison, pas parce qu'ils avaient des milliards à ne pas savoir où les dépenser. Je rebondis un peu tard car c'est une conversation sur le SwiNOG qui m'a fait penser à ça. UPC Cablecom, le plus gros cablo-opérateur suisse, est en train de déployer des clients en IPv6 only avec du DS-Lite. Dans les autres exemples connus, il y a T-Mobile US et Verizon. -- Make sure special cases are truly special. - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29 juin 2015 15:45, fr...@leccia.fr a écrit : > > Le RIPE t’alloue un /32 mais il te sur-réserve le /29 supérieur dans sa > table. A croire qu'ils ont prévu que certains "partent en carafe" dès le > début...:D > Ce qui est au final très pratique pour faire facilement du 6rd, sur un /30 par exemple afin d'allouer des /62 proposition initiale : https://www.ripe.net/participate/policies/proposals/2011-04 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29/06/15 18:30, Damien Fleuriot a écrit : > > Quitte à jeter un pavé dans la marre, on peut se demander, légitimement, si > IBM, HP, DEC, Ford, Daymler, Apple... ont vraiment besoin de /8s Bien sûr que non, mais il est bien trop tard pour pleurer là dessus, pour le cas d'IBM tout leur parc et leurs postes sont adressés avec depuis des lustres. Il faut arrêter de pleurer sur des erreurs d'il y a plus de 30 ans (3 ans avant la réservation de 10/8 pour l'usage privé). C'est toujours plus facile de regarder derrière avec beaucoup de recul, mais c'est devant que ça se passe. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-29 17:28 GMT+02:00 Samuel PIRON : > Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à > distribuer : > > > http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/ > > Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/) > > It is very likely that we are already processing a request that we will >> be unable to fulfill. >> > Quitte à jeter un pavé dans la marre, on peut se demander, légitimement, si IBM, HP, DEC, Ford, Daymler, Apple... ont vraiment besoin de /8s --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à distribuer : http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/ Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/) It is very likely that we are already processing a request that we will be unable to fulfill. --- Samuel PIRON Le 29/06/2015 15:45, fr...@leccia.fr a écrit : Le 29/06/2015 10:29, Phil Regnauld a écrit : Wallace (wallace) writes: A part le temps de réflexion de comment tu vas subneter ton v6 pour pas te trouver coincer, y a des formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet, vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en sort. Oui, et puis bon, même si on se plante, suffit de dessiner un petit carré dans le coin supérieur gauche d'une feuille A4, et de se dire "j'ai besoin de ça dans mon /32 actuellement". Et si ça part en carafe, on dessine un deuxième petit carré à côté du premier, on écrit (s'il y a la place) "tentative no. 2". Au pire, demander une deuxième feuille^H^H/32 à RIPE :D P. Le RIPE t'alloue un /32 mais il te sur-réserve le /29 supérieur dans sa table. A croire qu'ils ont prévu que certains "partent en carafe" dès le début... :D --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
> On 29/06/2015, at 16.01, Wallace wrote: > > Un autre point, l'internet des objets est en marche, à mon plus grand > regret pour la vie privée, vient avec le besoin d'interco facile entre > les objets, c'est en autre pour cela que des boites comme Apple force > l'adoption de cette norme Mouais les chercheurs avec qui je bosse ont une vision limitée la dessus. Pour eux cest store and forward et v4. Le bout en bout et ne pas se prendre la tête avec l'adressage ne sont pas encore sur leur radar. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29/06/2015 10:29, Phil Regnauld a écrit : > Wallace (wallace) writes: >> A part le temps de réflexion de >> comment tu vas subneter ton v6 pour pas te trouver coincer, y a des >> formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet, >> vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en >> sort. > Oui, et puis bon, même si on se plante, suffit de dessiner un petit > carré dans le coin supérieur gauche d'une feuille A4, et de se dire > "j'ai besoin de ça dans mon /32 actuellement". Et si ça part en > carafe, on dessine un deuxième petit carré à côté du premier, on > écrit (s'il y a la place) "tentative no. 2". > > Au pire, demander une deuxième feuille^H^H/32 à RIPE :D > > P. Le RIPE t’alloue un /32 mais il te sur-réserve le /29 supérieur dans sa table. A croire qu'ils ont prévu que certains "partent en carafe" dès le début...:D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 2015-06-29 15:01, Wallace a écrit : > Il me reste des T et des bouchons BNC à la cave ça intéresse quelqu'un qui > serait resté dans les années 90? Rigole, rigole, mais je continue à démonter du matos X.25 / XOT dans les DAB pour les passer en Full IP. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29/06/2015 13:26, Pierre Beyssac a écrit : > On Mon, Jun 29, 2015 at 12:30:26PM +0200, Damien Fleuriot wrote: >> Avoir une vision technique c'est bien, avoir également la vision financière >> ça permet de relativiser les différents sujets. > Bingo, c'est exactement ça. > > Pour petit rappel, la vision financière, jusqu'en 1995 en gros, > c'est que tout était prévu par les telcos avec ATM puis OSI avec > des vrais réseaux pro facturés "au plus près des usages". TCP/IP > c'était une blague pour que quelques universitaires s'amusent entre > eux temporairement. > > Malheureusement, les geeks dans un garage ont toujours eu une aussi > désagréable que répétée tendance à découper en confettis les vrais > professionnels de la profession. :-P > > Ce n'est peut-être pas une coïncidence complète si 2 des plus grosses > boites Internet (Google et Facebook) se sont déjà mises à IPv6 sans > nous faire des cacas nerveux. Il leur manque manifestement la vision > financière :-P Pour convaincre les personnes de la direction non technique (on se demande pourquoi le DSI ou le DT n'ont pas encore fait leur boulot correctement) et même si je suis anti Apple, pour information toutes les applications iOS devront sous quelques semaines être compatible ipv6 alors si vous faites dans les applications mobiles ou avez des clients qui potentiellement en font, vous allez devoir y passer sous peine de bloquer vos clients et qu'ils aillent tout simplement voir ailleurs. Un autre point, l'internet des objets est en marche, à mon plus grand regret pour la vie privée, vient avec le besoin d'interco facile entre les objets, c'est en autre pour cela que des boites comme Apple force l'adoption de cette norme. Les boites qui n'ont pas suivi le courant technologique au bon moment ne font plus vraiment parti de ce monde, allé un exemple plus parlant la photo numérique qui a tué les sociétés argentiques qui n'ont pas cru à cette technologie... Il me reste des T et des bouchons BNC à la cave ça intéresse quelqu'un qui serait resté dans les années 90? signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
On Mon, Jun 29, 2015 at 12:30:26PM +0200, Damien Fleuriot wrote: > Avoir une vision technique c'est bien, avoir également la vision financière > ça permet de relativiser les différents sujets. Bingo, c'est exactement ça. Pour petit rappel, la vision financière, jusqu'en 1995 en gros, c'est que tout était prévu par les telcos avec ATM puis OSI avec des vrais réseaux pro facturés "au plus près des usages". TCP/IP c'était une blague pour que quelques universitaires s'amusent entre eux temporairement. Malheureusement, les geeks dans un garage ont toujours eu une aussi désagréable que répétée tendance à découper en confettis les vrais professionnels de la profession. :-P Ce n'est peut-être pas une coïncidence complète si 2 des plus grosses boites Internet (Google et Facebook) se sont déjà mises à IPv6 sans nous faire des cacas nerveux. Il leur manque manifestement la vision financière :-P -- Sent from my FreeBSD server on its IPv6 connection Pierre Beyssac p...@fasterix.frmug.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-27 4:57 GMT+02:00 Frederic Dhieux : > > > Le 26/06/15 19:24, Michel Py a écrit : > > Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon > temps. En plus, les arguments comme quoi IPv6 va éliminer NAT sont not > seulement pas étanches, mais carrément faux. Il y a plus de méthodes NAT > pour V6 que pour v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 > fois le travail et 3 fois les emmerdes. En plus de devoir administrer > double stack, va donc poser la question suivante au blaireau qui est au > téléphone parce qu'il peut pas accéder www.maboite.com : t'essaies > d'accéder avec IPv4, ou avec IPv6 ? > > Euuuhhh > > > > Est-ce qu'on est vraiment obligé à un moment de faire un truc batard > entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas > vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent > à vivre en parallèle. Après pour le debug c'est potentiellement plus > chiant, mais à ce jour désactiver IPv6 en cas de problème règle > rapidement et sans impact le point si on ne veut pas perdre de temps. En > tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 > dans 95% des cas. > > Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire > du NAT entre les 2 du coup ? > > >> Damien Fleuriot a écrit : > >> Concernant le fait que ce soit plus ou moins pénible que du v4, > >> c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) > > +1 > > C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est > un peu notre métier aussi d'appréhender les nouvelles technos et de les > mettre en place. > Faux, fondamentalement. C'est notre métier d'appréhender les nouvelles technos et de les *évaluer* , tant dans les gains techniques et économiques qu'elles présentent, mais aussi dans les risques. À moins que tu MEP tout et n'importe quoi au gré des sorties, ce dont je doute ;) En ce qui concerne mon employeur et son business, non seulement IPv6 n'apporte aucun avantage, mais ça apporte sont lot d'emmerdes ! (géolocalisation, code métier à revoir en partie, pour ne citer que ça). C'est aussi simple que ça, en fait. La technologie a été évaluée, et les bénéfices -nuls- ne justifient ni le risque, ni le coût de la mise en oeuvre. > > +1 En plus, si quelque chose foire pendant que tu fais tes mises à > > jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le > > réseau de prod qui marchait bien avant que tu foutes tes mains dedans > > Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment > là il ne faut jamais mettre à jour tant que ça tourne et il ne faut > jamais rien faire évoluer... > > C'est évident aussi qu'on colle pas direct le truc sur la prod la plus > sensible. > Avoir une vision technique c'est bien, avoir également la vision financière ça permet de relativiser les différents sujets. Oui, IPv6 c'est probablement bien. Non, ça sert à rien, mais alors vraiment *strictement* à rien pour mon employeur. Du coup, c'est assez vite plié comme discussion... Vous faites ce que vous voulez sur vos plateformes, mais ici en tout cas c'est pas d'actualité, pour le moment. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Jérôme BERTHIER (jbml) writes: > > D'ailleurs, je vois qu'on est nombreux à avoir remonté le problème > seulement considéré comme "Enhancement"... :-\ Bin oui, tout le monde est passé à IS-IS depuis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29/06/2015 11:26, Phil Regnauld a écrit : >Et quand tu utilises IS-IS même pas:) Quoi un truc même pas IP du tout :-) OSPFv3 fait v4 maintenant (j'adore expliquer ça aux nouveaux: pour v6, tu installes v3 qui fait v4). Pour l'anecdote, j'ai bien tenté de remplacer IPv4/OSPFv2 par IPv6/OSPFv3 (incluant address family IPv4) mais un vilain bug Cisco de redistribution BGP->OSPFv3 m'a coupé dans mon élan : https://tools.cisco.com/bugsearch/bug/CSCue82043 D'ailleurs, je vois qu'on est nombreux à avoir remonté le problème seulement considéré comme "Enhancement"... :-\ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Raphael Mazelier (raph) writes: > > > Le 29/06/15 11:17, Jérôme BERTHIER a écrit : > > > > >Toutes les fonctionnalités de routage / filtrage sont disponibles pour > >les deux piles donc, si besoin, à part avoir à gérer un nouvel IGP > >(OSPFv3, RIPNG...) pour traiter IPv6, je ne vois pas la différence. > > > > Et quand tu utilises IS-IS même pas :) OSPFv3 fait v4 maintenant (j'adore expliquer ça aux nouveaux: pour v6, tu installes v3 qui fait v4). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Jérôme BERTHIER (jbml) writes: > > Bref, j'ai quand même l'impression que ça avance doucement et > surement mais bon, comme me dit un jour, un DSI auquel je parlais > déploiement IPv6 : > "bah IPv6 depuis le temps qu'on en parle, si ça servait à quelque > chose, ça se saurait !" > > Ceci explique cela ? s/un jour/1990/ s/IPv6/IPv4/ :) Bon, il reste des trucs galères, genre exporter les flux NetFlow en v6 (pas le *contenu* v6, mais avoir un collecteur v6), sous IOS. Ou alors statistiques BGP v6 en SNMP, y'a pas toujours les bonnes MIBs. Mais on va mettre Cisco en exemple de ce qui se fait de bien non plus :) P. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29/06/15 11:17, Jérôme BERTHIER a écrit : Toutes les fonctionnalités de routage / filtrage sont disponibles pour les deux piles donc, si besoin, à part avoir à gérer un nouvel IGP (OSPFv3, RIPNG...) pour traiter IPv6, je ne vois pas la différence. Et quand tu utilises IS-IS même pas :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Bonjour, Le 27/06/2015 18:51, Frederic Dhieux a écrit : Pour moi la démarche c'est d'abord de configurer les briques en IPv4 ET en IPv6 une par une et de pouvoir un jour se dire "tiens la chaine est complète, on peut utiliser le service en IPv6 quand on est en IPv6 sur un autre end point" +1 Jeune et con depuis un paquet d'années =) En tout cas pas blasé c'est sûr. Plus concrètement, ça coûte tant que ça de configurer les 2 stacks sur un équipement quand on l'installe de nos jours ? Je ne crois pas non plus. Toutes les fonctionnalités de routage / filtrage sont disponibles pour les deux piles donc, si besoin, à part avoir à gérer un nouvel IGP (OSPFv3, RIPNG...) pour traiter IPv6, je ne vois pas la différence. Côté serveur, j'ai l'impression que l'effort est même carrément l'inverse. Tous les OS sont de base paramétrés en double pile. Si on ne veut pas faire d'IPv6 du tout (même en l'absence de service d'adressage global), il faut y travailler pour déconfigurer l'affaire. Quittes à y passer du temps (même faible) autant le faire pour déployer IPv6, non ? Côté postes client, le plus gênant pour généraliser une connectivité IPv6 reste à mon sens les contraintes de traçabilité d'allocation des adresses. Comme évoqué dans la discussion, l'utilisation du DUID et sa gestion plus ou moins rigoureuse rend difficile l'établissement d'une correspondance statique entre machine et IPv6 globale à allouer par DHCPv6. Bref, j'ai quand même l'impression que ça avance doucement et surement mais bon, comme me dit un jour, un DSI auquel je parlais déploiement IPv6 : "bah IPv6 depuis le temps qu'on en parle, si ça servait à quelque chose, ça se saurait !" Ceci explique cela ? A+ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 29/06/2015 10:23, jenesaisplusqui a écrit : Le déploiement d'IPv6, c'est un troll usé. Si y'a troll, c'est donc qu'il y a encore des raisons de troller. -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Wallace (wallace) writes: > > A part le temps de réflexion de > comment tu vas subneter ton v6 pour pas te trouver coincer, y a des > formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet, > vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en > sort. Oui, et puis bon, même si on se plante, suffit de dessiner un petit carré dans le coin supérieur gauche d'une feuille A4, et de se dire "j'ai besoin de ça dans mon /32 actuellement". Et si ça part en carafe, on dessine un deuxième petit carré à côté du premier, on écrit (s'il y a la place) "tentative no. 2". Au pire, demander une deuxième feuille^H^H/32 à RIPE :D P. pgpMPS986lCEK.pgp Description: PGP signature
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 27/06/2015 06:23, Michel Py a écrit : > Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde > à part qui n'est pas encore vraiment intégré au monde réel. 35% de notre trafic DNS et HTTP en v6 c'est déjà un beau jouet pour de la production 60% pour le trafic mail, oui v4 est minoritaire, faudrait même que je regarde plus précisément car je suis sur que les mailjet et consorts qui servent à envoyer que du spam représentent facile plusieurs dizaines en pourcentage et comme ils ne sont pas v6 si on coupe v4 sur les mails on sera sans doute gagnant en tranquillité :D Plus sérieusement comme pour Win XP pour le SNI ou pour la comptabilité des nav, quand v4 représentera moins de 10% on envisagera vraiment d'enlever v4 car les 10% restants seront considérés comme des tiers obsolètes qui n'ont pas su évoluer. > > La différence, c'est que depuis 15 ans que j'entends des conneries qui > prédisent le déploiement "imminent" (une chanson que j'ai chanté moi-même) > maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le > même disque rayé. Comme tout le monde l'a déjà dit, déployer une dual stack sur le réseau ça prend vraiment pas beaucoup de temps. A part le temps de réflexion de comment tu vas subneter ton v6 pour pas te trouver coincer, y a des formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet, vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en sort. Pour les serveurs aucune excuse, ajouter une ip fixe v6 si c'est si coûteux pour toi il est temps de changer de métier. On n'a pas opté pour l'auto config mais bien pour des ip fixes et ça marche très bien. Pour la gestion des ipv6 on s'embête pas chaque serveur a un FQDN en v6 par défaut et v4 si besoin et tous les fqdn dédiés aux services sur ce serveur sont des cname vers le fqdn du serveur, ce qui donne d'office tous les services accessibles en v6. Côté système là faut faire l'effort de faire un bind en v4 et v6 au lieu de v4 only, alors oui on a galéré y a 5 ans pour trouver les bonnes options et recompiler les packages qui incluaient pas v6, sur Debian 8 et les dernières Ubuntu même les confs par défaut sont dual stack. Combien ça m'a coûté? Bizarrement je me suis pas posé la question comme cela, on sait qu'on est limité en v4 (juste un /22) on voit v4 comme une rustine temporaire donc pour pouvoir continuer à bosser sous peu v6 ne pouvait être autre chose que la base. > > IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme > tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les > dépenser. Je garderais pas ipv4 aussi longtemps ça c'est évident, les v4 vont migrer d'ici 2/3 ans sur des équipements qui feront de la redirection vers v6. Oh j'ai parlé de NAT46!!! De toute façon on a qu'un /22 en ipv4 et au rythme actuel on aura tout utilisé dans 3/4 ans et j'ai pas envie d'aller engraisser des revendeurs de subnet... On limite déjà fortement l'usage du v4 mais on pousse tellement nos clients sur le v6 qu'ils le déploient sur leur réseau et nous remercie après de plus avoir plein de nat à gérer partout. On a même refuser un partenariat intéressant parce que l'entreprise en face n'était pas v6, on a refusé de faire du v4 rfc 1918 avec du nat dans un VPN, on a dit ça sera v6 ou rien. Le lendemain le PDG m'appelait pour comprendre notre besoin et notre façon de travailler. Du coup après avoir fait le calcul de ce qu'il loupe comme opportunité ils ont mis le v6 dans le top5 des projets IT de 2015 ... oui là ça va avoir un coût pour eux, si ils avaient tout fait tranquillement avant il ne leur aurait resté que quelques bricoles à activer ou à tester, pas tout un réseau et une solution à inventer. > > Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je > préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, > c'étaient des trolls à qui tout le monde donnait des croquettes. Le vrai troll c'est surtout ceux qui ne déploient pas v6 on va bien rigoler de ces gens là dans quelque temps :D signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Pour les ronchons d'ipv6, moi je trouve ça super : * connexion depuis la maison directe sur les IPs des VMs du bureau, plus de NAT, juste du PF : comme au début du net * les PCs du bureau : plus de dhcp, tout en auto-config, ca marche c'est tout... * l'ipv6 m'a déjà sauvé lorsque la stack ipv4 était HS, j'ai pu reprendre le contrôle des serveurs... Cette année j'ai fais les premiers serveurs en full ipv6, bye bye ipv4, et je vais continuer à généraliser doucement, ce qui m'évitera la double config qui est c'est vrai assez lourde à maintenir. Après cisco se fou un peut de notre gueule en ne proposant pas de màj L3 ipv6 sur d'ancienne gammes et en forçant à renouveler son parc, alors que la stack ipv6 est fonctionnelle sur des AIX 4.3 (oui oui 4.3... : sortit en 1999) A+ Nicolas - Mail original - De: "Pierre Lagoutte" À: frnog@frnog.org Envoyé: Samedi 27 Juin 2015 06:34:10 Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées Comme je te comprends. C'est vrai: "dual stack" = "deux fois plus de pb" Quiconque a déjà essayé d'identifier quel est cet host v6 qui crache ce p... de trafic incontinent ? ou à qui appartient ce DUID mystérieux ? ou de débiter des âneriesen hexa au tel avec un support ou simplement de prendre des notes au crayon sur un print de snapshot v6 ne peut que ressentir un certain raz-le-bol et (parfois/souvent) souhaiter se retrouver dans l'univers cocoon de v4(ou y revenir au plus vite). Usant. Dommage pour les croyants. L'automatisme c'est bien, mais c'est surtout en papier. Vivement v11 ou autre (surtout: moins mal foutu) Bonne journée à tous Pierre = Le 27/06/2015 05:12, Frederic Dhieux a écrit : > Le 27/06/15 02:55, Michel Py a écrit : > >> Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on >> pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi >> j'étais sur le 6bone. > Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui > n'était pas encore vraiment intégré au monde réel. Les équipementiers > balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne > manquaient pas réellement, c'était plus un truc d'universitaires > qu'autre chose même. Je me rappelle avoir pesté sur des équipements > réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4. > > Mais je comprends qu'on puisse être fatigué de se battre pour un truc > pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage. > > Frederic > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Hello, Alors pour donner un contexte plus précis, je pense plus à une démarche interne dans une entreprise qu'à convaincre un client en jouant sa crédibilité sur un timing impossible à estimer réellement. Egalement je ne considère pas dans la manoeuvre remplacer IPv4 par IPv6 et mélanger la communication entre les deux par un NAT tout aussi moche. Pour moi la démarche c'est d'abord de configurer les briques en IPv4 ET en IPv6 une par une et de pouvoir un jour se dire "tiens la chaine est complète, on peut utiliser le service en IPv6 quand on est en IPv6 sur un autre end point" Jeune et con depuis un paquet d'années =) En tout cas pas blasé c'est sûr. Plus concrètement, ça coûte tant que ça de configurer les 2 stacks sur un équipement quand on l'installe de nos jours ? Je ne parle pas de finaliser le projet et d'avoir ISO entre IPv4 et IPv6 ou de se débarrasser d'IPv4, je parle juste de déployer de la connectivité IPv6 quand on déploie des nouveaux équipements/services pour petit à petit compléter le puzzle. L'exemple donné précédemment avec le routeur et le NAT, franchement à lire les propos on dirait qu'il faut refaire toute l'archi du truc et que c'est un projet énorme alors que ce n'est pas le cas. Et quoi qu'on en dise, la pénurie IPv4 a accéléré un peu les choses ces dernières années auprès d'opérateurs conséquents (aux US par exemple). Donc en pratique IPv6 va exister de plus en plus mécaniquement. Il ne faut pas rêver, IPv4 va perdurer pendant des lustres, mais un jour ça deviendra compliqué de ne pas avoir d'IPv6 et ce sera beaucoup plus chiant de tout reconfigurer d'un coup plutôt que d'avoir plus que quelques briques à changer parce que le reste est déjà IPv6 ready. My 2 cents, Frederic P.S. : Après c'est sûr, si j'étais un businessman qui lance une startup avec une vision qui ne dépasse pas 18 mois, moi aussi j'en aurais rien à faire. Le 27/06/15 06:23, Michel Py a écrit : >> Frederic Dhieux a écrit : >> Est-ce qu'on est vraiment obligé à un moment de faire un truc >> batard entre v4 et v6 et de translater de l'un à l'autre ? > Ben oui, puisque plus personne ne croie plus à "IPv6 sera déployé l'année > prochaine et on pourra enlever le dual-stack dans 2 ou 3 ans". Le disque est > rayé. > > >> En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 >> dans 95% des cas. > Tu viens le faire gratos pour mes clients ? > > >> Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du >> NAT entre les 2 du coup ? > Pas moi. Les gens qui croient que "IPv6 only" avec NAT 466464 çà va remplacer > CGN. > > >> A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne >> faut jamais rien faire >> évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la >> plus sensible. > A mon avis t'as pas encore pris assez de coups de pieds au cul à te battre > contre des moulins à vent. > > >> Mais je comprends qu'on puisse être fatigué de se battre pour un truc >> pendant 15 ans oui. > Ben justement je pense que t'es pas assez fatigué. Essaies de ne pas > m'expliquer comment être jeune et con. Je suis vieux et con. > > >> Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à >> part qui n'était pas encore vraiment intégré au monde réel. > Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde > à part qui n'est pas encore vraiment intégré au monde réel. > > La différence, c'est que depuis 15 ans que j'entends des conneries qui > prédisent le déploiement "imminent" (une chanson que j'ai chanté moi-même) > maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le > même disque rayé. > > IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme > tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les > dépenser. > > Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je > préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, > c'étaient des trolls à qui tout le monde donnait des croquettes. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Michel Py, le Sat 27 Jun 2015 00:55:42 +, a écrit : > > Samuel Thibault a écrit : > > Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton > > mail. > > Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on > pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi > j'étais sur le 6bone. Je faisais un stage pour faire de l'OpenGL sur udp, et au passage j'ai ajouté le support IPv6 au bidule. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Comme je te comprends. C'est vrai: "dual stack" = "deux fois plus de pb" Quiconque a déjà essayé d'identifier quel est cet host v6 qui crache ce p... de trafic incontinent ? ou à qui appartient ce DUID mystérieux ? ou de débiter des âneriesen hexa au tel avec un support ou simplement de prendre des notes au crayon sur un print de snapshot v6 ne peut que ressentir un certain raz-le-bol et (parfois/souvent) souhaiter se retrouver dans l'univers cocoon de v4(ou y revenir au plus vite). Usant. Dommage pour les croyants. L'automatisme c'est bien, mais c'est surtout en papier. Vivement v11 ou autre (surtout: moins mal foutu) Bonne journée à tous Pierre = Le 27/06/2015 05:12, Frederic Dhieux a écrit : Le 27/06/15 02:55, Michel Py a écrit : Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi j'étais sur le 6bone. Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui n'était pas encore vraiment intégré au monde réel. Les équipementiers balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne manquaient pas réellement, c'était plus un truc d'universitaires qu'autre chose même. Je me rappelle avoir pesté sur des équipements réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4. Mais je comprends qu'on puisse être fatigué de se battre pour un truc pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
> Frederic Dhieux a écrit : > Est-ce qu'on est vraiment obligé à un moment de faire un truc > batard entre v4 et v6 et de translater de l'un à l'autre ? Ben oui, puisque plus personne ne croie plus à "IPv6 sera déployé l'année prochaine et on pourra enlever le dual-stack dans 2 ou 3 ans". Le disque est rayé. > En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 dans > 95% des cas. Tu viens le faire gratos pour mes clients ? > Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du > NAT entre les 2 du coup ? Pas moi. Les gens qui croient que "IPv6 only" avec NAT 466464 çà va remplacer CGN. > A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne > faut jamais rien faire > évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la > plus sensible. A mon avis t'as pas encore pris assez de coups de pieds au cul à te battre contre des moulins à vent. > Mais je comprends qu'on puisse être fatigué de se battre pour un truc pendant > 15 ans oui. Ben justement je pense que t'es pas assez fatigué. Essaies de ne pas m'expliquer comment être jeune et con. Je suis vieux et con. > Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à > part qui n'était pas encore vraiment intégré au monde réel. Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde à part qui n'est pas encore vraiment intégré au monde réel. La différence, c'est que depuis 15 ans que j'entends des conneries qui prédisent le déploiement "imminent" (une chanson que j'ai chanté moi-même) maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le même disque rayé. IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les dépenser. Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, c'étaient des trolls à qui tout le monde donnait des croquettes. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 27/06/15 02:55, Michel Py a écrit : > Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on > pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi > j'étais sur le 6bone. Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui n'était pas encore vraiment intégré au monde réel. Les équipementiers balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne manquaient pas réellement, c'était plus un truc d'universitaires qu'autre chose même. Je me rappelle avoir pesté sur des équipements réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4. Mais je comprends qu'on puisse être fatigué de se battre pour un truc pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26/06/15 19:24, Michel Py a écrit : > Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. > En plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas > étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour > v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et > 3 fois les emmerdes. En plus de devoir administrer double stack, va donc > poser la question suivante au blaireau qui est au téléphone parce qu'il peut > pas accéder www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ? > Euuuhhh > Est-ce qu'on est vraiment obligé à un moment de faire un truc batard entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent à vivre en parallèle. Après pour le debug c'est potentiellement plus chiant, mais à ce jour désactiver IPv6 en cas de problème règle rapidement et sans impact le point si on ne veut pas perdre de temps. En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 dans 95% des cas. Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du NAT entre les 2 du coup ? >> Damien Fleuriot a écrit : >> Concernant le fait que ce soit plus ou moins pénible que du v4, >> c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) > +1 C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est un peu notre métier aussi d'appréhender les nouvelles technos et de les mettre en place. > +1 En plus, si quelque chose foire pendant que tu fais tes mises à > jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le > réseau de prod qui marchait bien avant que tu foutes tes mains dedans Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne faut jamais rien faire évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la plus sensible. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
> Samuel Thibault a écrit : > Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton mail. Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi j'étais sur le 6bone. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Michel Py, le Fri 26 Jun 2015 17:24:22 +, a écrit : > les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas > étanches, mais carrément faux. Heu, non, IPv6 n'élimine pas NAT, mais permet de s'en passer. > Il y a plus de méthodes NAT pour V6 que pour v4 : NAT46, NAT64, NAT464, > NAT66, et j'en oublie. La plupart d'entre elles ne sont pas "pour V6" mais "entre 4 et 6". De nouveau, rien ne t'oblige à en utiliser. Tu peux bien utiliser le NAT66 qui fonctionne comme le NAT44 dont tu as l'habitude. Tu peux bien ne pas en utiliser du tout (et c'est vraiment pas plus mal). Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton mail. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
> David Ponzone a écrit : > Zut, moi qui voulais m’auto-approprier le 240/4 et l’annoncer, je peux pas ? Ben t'est pas le premier à y avoir pensé, pas forcément pour l'annoncer, mais tous ceux qui ont essayé te diront que 240/4, c'est certifié iso1664. Trop de travail, trop d'incertitudes, trop de trucs que tu peux pas fixer. Pour des adresses privées, c'est bien plus pratique de détourner 30/8 et autres préfixe du même "fournisseur" ;-) > Frederic Dhieux a écrit : > Ca prend du temps à diluer dans les différentes tâches, mais en quelques > années c'est > possible et surtout c'est mieux que de dire "trop compliqué, trop long, on > arrivera > jamais à le faire passer" et de n'avoir rien commencé 5-10 ans plus tard. Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. En plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et 3 fois les emmerdes. En plus de devoir administrer double stack, va donc poser la question suivante au blaireau qui est au téléphone parce qu'il peut pas accéder www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ? Euuuhhh > Damien Fleuriot a écrit : > Concernant le fait que ce soit plus ou moins pénible que du v4, > c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) +1 > Damien Fleuriot a écrit : > Je peux vendre à mon employeur 15 jours homme pour tot remettre au propre > dans les > whatmille projets, ou 0 jours homme pour conserver l'existant mais pas > d'IPv6. Vous pensez > bien que la discussion va aller assez vite... et pas nécessairement dans mon > sens. +1 En plus, si quelque chose foire pendant que tu fais tes mises à jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le réseau de prod qui marchait bien avant que tu foutes tes mains dedans Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 15:21:20 +0200, a écrit : > Je peux vendre à mon employeur 15 jours homme pour tot remettre au > propre dans les whatmille projets, ou 0 jours homme pour conserver > l'existant mais pas d'IPv6. On ne parle pas de tout changer, on parle juste de faire à peu près pareil que l'existant, avec juste un firewall à la place du NAT/firewall. > J'ai l'impression que vous abordez tous le sujet du simple point de vue > d'un admin réseau, qui veut des choses propres et carrées. > Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du > métier; en d'autres termes, on n'a pas toujours le choix. Pour prendre un exemple concret de composition avec l'existant. Pour mes cours de réseau j'ai demandé à ce qu'on ait de l'IPv6 configuré dans les salles de TP. La première réaction a bien sûr été "pfiou, un jour oui mais oulala". Et puis j'ai discuté avec l'ingé pendant une heure, pour lui rappeler qu'ipv6 c'est essentiellement comme ipv4 et qu'il pouvait juste tout faire presque pareil. En quelques heures il avait plié la mise en œuvre. Pour une vingtaine de salles de TP avec 20 postes chacun, plus une salle serveur, chaque salle NATée séparément en v4. Il a simplement répliqué sa conf v4 pour le firewall, remplaçant le NAT par du firewall. De même pour DNS, dhcp, etc. Aucun réel changement d'infrastructure au final. À un moment, on passe vraiment plus de temps à troller qu'à juste s'en occuper. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26/06/15 15:21, Damien Fleuriot a écrit : > > > > En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là > le problème, il n'y en a pas des intercos v4 actuellement. > Ah bon ? Ton subnet d'IPv4 publiques c'est quoi ? C'est l'interco IPv4 vers ton bloc client privé IPv4. > Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à > aucun moment je n'ai dit que le NAT était la seule solution. > Néanmoins, affirmer que le NAT ne protège pas est une erreur. > Affirmer aveuglément que le NAT protège c'est une erreur. > Certes il y a des alternatives -comme utiliser des intercos pour > router des préfixes- , mais le NAT apporte, d'une manière différente, > un mécanisme de protection des serveurs de backend. > > Mais tu le fais déjà sans le savoir avec le NAT... > J'ai l'impression que vous abordez tous le sujet du simple point de > vue d'un admin réseau, qui veut des choses propres et carrées. > Gardez à l'esprit qu'il faut composer avec l'existant et les > contraintes du métier; en d'autres termes, on n'a pas toujours le choix. > On est bien sur FRnOG ? L'existant on en a tous et on bosse justement à l'améliorer. La première chose c'est de maitriser l'existant et la cible pour aller du point A au point B. Après il y a les contraintes, mais là manifestement c'est pas vraiment une contrainte, c'est plus une incompréhension je pense. > Je peux vendre à mon employeur 15 jours homme pour tot remettre au > propre dans les whatmille projets, ou 0 jours homme pour conserver > l'existant mais pas d'IPv6. > Vous pensez bien que la discussion va aller assez vite... et pas > nécessairement dans mon sens. > On en revient à ce qu'on dit : Le problème n'est pas technique, le problème c'est que les gens ont peur de se pencher sur le sujet, au mieux estiment correctement que ça va prendre du temps, au pire estiment que c'est un chantier titanesque (ce qui est faux niveau réseau et système, ce qui peut être vrai niveau BDD et dev) La réalité c'est qu'en réseau tu peux très facilement implémenter IPv6 en parallèle de ton existant sans impact et donc le faire 1h par ci 1h par là pour te "détendre" et finalement arriver au bout d'un an à un truc qui ressemble à quelque chose sans l'avoir passé comme un vrai projet chronophage. Tout comme j'estime de mon côté que la bonne démarche et de se dire qu'à chaque changement d'équipement ou installation d'un nouveau service, il faut appliquer la mise en place d'IPv6 dans le processus. C'est pris sur le temps de chaque projet sans être trop pénalisant et ça ajoute petit à petit les pièces au puzzle. Et un jour on finit par se rendre compte qu'on a quasiment toutes les briques en place pour déployer un service IPv6 et que le projet IPv6 ne semble plus aussi compliqué qu'on ne l'aurait cru. Le plus gros problème au départ c'était les équipements réseaux, aujourd'hui c'est de moins en moins le cas après de nombreuses années. Il reste donc surtout la partie applicative qui freine, mais c'est en aval du réseau et du système, donc non bloquant pour "nous". Ca prend du temps à diluer dans les différentes tâches, mais en quelques années c'est possible et surtout c'est mieux que de dire "trop compliqué, trop long, on arrivera jamais à le faire passer" et de n'avoir rien commencé 5-10 ans plus tard. My 2 cents. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 15:24:38 +0200, a écrit : > Dans ce scénario et attendu que le firewall se retrouve en effet en point de > coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6, quand > ils > pourraient être en simple v4 ? C'est une autre possibilité, oui. > "Ça permet d'éviter le NAT", tant valable techniquement, ne sera pas accepté > économiquement, ça représente mécaniquement un coût. Le NAT en lui-même a un coût, qui n'est pas vraiment négligeable non plus, et centralisé dans ton firewall qui aura donc plus de mal à passer à l'échelle. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 15:20 GMT+02:00 Samuel Thibault : > Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit : > > Pour le contexte vis-à-vis de l'existant : > > > > [ router ] pub > > | > > [ FW ] pub + 1918 > > | > > [ lb ] 1918 > > | > > [ web ] 1918 > > Et donc: > > [ router ] 2001:db8:0:1::1/64 > | > [ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64 > | > [ lb ] 2001:db8:0:2::3/64 > | > [ web ] 2001:db8:0:2::x/64 > > Je ne vois pas de difficulté de conception: on fait comme l'existant, > juste du NAT en moins. > Dans ce scénario et attendu que le firewall se retrouve en effet en point de coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6, quand ils pourraient être en simple v4 ? "Ça permet d'éviter le NAT", tant valable techniquement, ne sera pas accepté économiquement, ça représente mécaniquement un coût. J'entends qu'il s'agit d'un coût faible, mais appliqué à chacun de nos projets et chacune des machines, ça va chiffrer assez vite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 15:11 GMT+02:00 Frederic Dhieux : > > > Le 26/06/15 14:52, Samuel Thibault a écrit : > > > > Et en v6, tu peux mettre en place la même infra, juste le NAT en moins > > (mais garder le firewall bien sûr). Il te faut un subnet séparé > > pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé > > RFC1918. Je ne vois aucune difficulté de réflexion. > > Pareil, je capte pas où est le chamboulement, mettre une intero v6 > publique comme il y a l'IP publique v4 et mettre un subnet public routé > v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au > lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall > avec des règles de translation d'IP quand même à la base non ?) > > Je suis en train de pleurer du sang à lire encore des histoires qui > mélangent NAT et sécurité pour justifier de garder une affreuse > "rustine" qu'est le NAT et de ne pas mettre IPv6. > > En gros ce qui change entre IPv4 NAT et IPv6 : > - Le subnet interne derrière la boiboite est non translaté par le firewall > - Le blocage des ports entrants par défaut vers le subnet interne > > On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas > bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas > bien configuré au moins rien ne fonctionne... > > Frédéric En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là le problème, il n'y en a pas des intercos v4 actuellement. Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à aucun moment je n'ai dit que le NAT était la seule solution. Néanmoins, affirmer que le NAT ne protège pas est une erreur. Certes il y a des alternatives -comme utiliser des intercos pour router des préfixes- , mais le NAT apporte, d'une manière différente, un mécanisme de protection des serveurs de backend. J'ai l'impression que vous abordez tous le sujet du simple point de vue d'un admin réseau, qui veut des choses propres et carrées. Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du métier; en d'autres termes, on n'a pas toujours le choix. Je peux vendre à mon employeur 15 jours homme pour tot remettre au propre dans les whatmille projets, ou 0 jours homme pour conserver l'existant mais pas d'IPv6. Vous pensez bien que la discussion va aller assez vite... et pas nécessairement dans mon sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26/06/15 15:13, Damien Fleuriot a écrit : > > Pour le contexte vis-à-vis de l'existant : > > [ router ] pub > | > [ FW ] pub + 1918 > | > [ lb ] 1918 > | > [ web ] 1918 > > > Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs > publiques. > LB et web ont des IPs RFC1918. > > Gardez bien en tête qu'il faut composer avec l'existant. [ router ] interco 1 pub | [ FW ] interco 2 pub (je comprends pas trop le role du routeur avant en fait) + subnet client IPv6 | [ lb ] subnet client IPv6 | [ web ] subnet client IPv6 Tu bloques les ports vers le subnet client en entrée sur le firewall qui par ailleurs est tout autant un routeur qu'au moment où il faisait du NAT. Pour moi translater des IPv4 via un NAT, c'est du routage, donc ça ne change pas grand chose. C'est même plus simple. Au lieu d'avoir une table de translation NAT on a une table d'états de firewalling. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit : > Pour le contexte vis-à-vis de l'existant : > > [ router ] pub > | > [ FW ] pub + 1918 > | > [ lb ] 1918 > | > [ web ] 1918 Et donc: [ router ] 2001:db8:0:1::1/64 | [ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64 | [ lb ] 2001:db8:0:2::3/64 | [ web ] 2001:db8:0:2::x/64 Je ne vois pas de difficulté de conception: on fait comme l'existant, juste du NAT en moins. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 14:52 GMT+02:00 Samuel Thibault : > Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit : > > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme > de > > reverse-proxy qui assurent ça. > > Heu, mais si tu envisages de brancher tes Web1 et Web2 directement > sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le > même réseau que "dehors le firewall" ? Et donc que tu as un souci L2 > déjà, et que c'est juste par chance que ça n'est pas percé. > > Sinon, si tu as déjà deux L2 séparés pour "en-dehors du firewall" > et "en-dedans du firewall", eh bien il faut deux subnets, oui. Rien de > nouveau, c'est ainsi en v4 depuis le début :) > > > En gros ici, on n'a pas de réseau routé par les firewalls. > > Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux > > reverse-proxies qui ont des IPs RFC1918. > > En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois > pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je > n'y vois pas d'intérêt par rapport à un bête firewall. > > > Concernant le fait que ce soit plus ou moins pénible que du v4, c'est > tout bête > > : le v4 c'est déjà en place et maîtrisé ;) > > Et en v6, tu peux mettre en place la même infra, juste le NAT en moins > (mais garder le firewall bien sûr). Il te faut un subnet séparé > pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé > RFC1918. Je ne vois aucune difficulté de réflexion. > Pour le contexte vis-à-vis de l'existant : [ router ] pub | [ FW ] pub + 1918 | [ lb ] 1918 | [ web ] 1918 Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs publiques. LB et web ont des IPs RFC1918. Gardez bien en tête qu'il faut composer avec l'existant. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26/06/15 14:52, Samuel Thibault a écrit : > > Et en v6, tu peux mettre en place la même infra, juste le NAT en moins > (mais garder le firewall bien sûr). Il te faut un subnet séparé > pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé > RFC1918. Je ne vois aucune difficulté de réflexion. Pareil, je capte pas où est le chamboulement, mettre une intero v6 publique comme il y a l'IP publique v4 et mettre un subnet public routé v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall avec des règles de translation d'IP quand même à la base non ?) Je suis en train de pleurer du sang à lire encore des histoires qui mélangent NAT et sécurité pour justifier de garder une affreuse "rustine" qu'est le NAT et de ne pas mettre IPv6. En gros ce qui change entre IPv4 NAT et IPv6 : - Le subnet interne derrière la boiboite est non translaté par le firewall - Le blocage des ports entrants par défaut vers le subnet interne On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas bien configuré au moins rien ne fonctionne... Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit : > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de > reverse-proxy qui assurent ça. Heu, mais si tu envisages de brancher tes Web1 et Web2 directement sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le même réseau que "dehors le firewall" ? Et donc que tu as un souci L2 déjà, et que c'est juste par chance que ça n'est pas percé. Sinon, si tu as déjà deux L2 séparés pour "en-dehors du firewall" et "en-dedans du firewall", eh bien il faut deux subnets, oui. Rien de nouveau, c'est ainsi en v4 depuis le début :) > En gros ici, on n'a pas de réseau routé par les firewalls. > Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux > reverse-proxies qui ont des IPs RFC1918. En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je n'y vois pas d'intérêt par rapport à un bête firewall. > Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout > bête > : le v4 c'est déjà en place et maîtrisé ;) Et en v6, tu peux mettre en place la même infra, juste le NAT en moins (mais garder le firewall bien sûr). Il te faut un subnet séparé pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé RFC1918. Je ne vois aucune difficulté de réflexion. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 14:38 GMT+02:00 Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net>: > On Fri, Jun 26, 2015, at 12:40, Damien Fleuriot wrote: > > Avoir des machines en full IPv6 routable, c'est les exposer sur le net, > > et devoir les firewaller une par une. > > Non et NON et *NON* ! > > > Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en > > coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles > > doit être maintenu. > > Tu n'a pas besoin de NAT pour mettre un firewall en coupure. > Et de memoire sur les firewalls tu peux quand-meme utilises de subnets, > pas seulement des hosts (en v4 comme en v6 - modulo qu'en v6 utiliser > des hosts seuls c'est rarement utile). > > > Je peux me tromper > > C'est bien le cas ici. > > > ce qui me concerne des machines avec des IPv6 directement exposées sans > > NAT/RP c'est un accident qui attend d'arriver. > > Rien ne t'empeche de : > - ne pas exposer directement des machines ayant une v6 "globale" (*). > comme deja preise, tu peux mettre un firewall devant. > - mettre un RP (en v6) devant des machines toujours en v6 > > (*) Faut commencer a assimiler la difference entre une adresse > "publique" et une adresse "globalement unique". Une adresse "globalement > unique" est *generalement* publique, mais ce n'est pas du tout > obligatoire. > J'entends bien, mais aujourd'hui, pour des raisons qui me sont antérieures, il n'y a aucun subnet routé par les FW. Ils assurent le NAT et le RP en v4, mais ils ne routent pas de networks. Du coup, passer en v6, c'est : - des changements d'infra - des risques (erreurs d'implémentation, de manipulation pour le changement, failles de sécu en v6 (rtadv bonsoir) ) - beaucoup de travail pour finalement pas grand chose (et on en revient toujours au même problème avec l'ipv6 -.- ) Faudra bien qu'on le fasse un jour hein, mais pour le moment le management n'y voit aucun intérêt, et honnêtement côté technique non plus; que de l'inconvénient. En tout cas, je prends bonne note de la solution privilégiée de router des subnets via les FW, même si c'est très différent de notre fonctionnement d'ajd :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 13:29 GMT+02:00 Samuel Thibault : > Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit : > > Parce que pour que le firewall fasse office de point de coupure, encore > > faut-il que les bécannes qui sont derrière ne soient joignables que via > ce > > dernier ? > > > > Router : 2001::1 > > FW : 2001::2 > > > > Web1 : 2001::a > > Web2 : 2001::b > > Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement > sur le routeur, et que c'est juste par chance que le trafic, en v4, > passe par ton Firewall ? Ben c'est effectivement là qu'est le problème, > mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est > vraiment très artificiel que NAT te "corrige" le problème). > > > À moins de subnetter, 2001::a est joignable directement via 2001::1 , le > > firewall n'agit pas en point de coupure. > > Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents > entre ce qui est devant ton firewall et ce qui est derrière. Rien de > nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un > firewall. > > > Personnellement ça me semble assez chiant à mettre en place (on en > revient > > au rapport pénibilité-bénéfice d'ipv6 du coup). > > Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en > v4. > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de reverse-proxy qui assurent ça. En gros ici, on n'a pas de réseau routé par les firewalls. Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux reverse-proxies qui ont des IPs RFC1918. Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit : > Parce que pour que le firewall fasse office de point de coupure, encore > faut-il que les bécannes qui sont derrière ne soient joignables que via ce > dernier ? > > Router : 2001::1 > FW : 2001::2 > > Web1 : 2001::a > Web2 : 2001::b Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement sur le routeur, et que c'est juste par chance que le trafic, en v4, passe par ton Firewall ? Ben c'est effectivement là qu'est le problème, mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est vraiment très artificiel que NAT te "corrige" le problème). > À moins de subnetter, 2001::a est joignable directement via 2001::1 , le > firewall n'agit pas en point de coupure. Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents entre ce qui est devant ton firewall et ce qui est derrière. Rien de nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un firewall. > Personnellement ça me semble assez chiant à mettre en place (on en revient > au rapport pénibilité-bénéfice d'ipv6 du coup). Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en v4. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit : > Parce que pour que le firewall fasse office de point de coupure, encore > faut-il que les bécannes qui sont derrière ne soient joignables que via ce > dernier ? Si ce n'est pas le cas, ton réseau a un souci L2, pas L3... Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 12:49 GMT+02:00 Raphael Mazelier : > > > Le 26/06/15 12:40, Damien Fleuriot a écrit : > >> Je trouve ça très réducteur, le propos sur le NAT. >> >> Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et >> devoir les firewaller une par une. >> C'est chiant à maintenir, très chiant. >> >> Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en >> coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles >> doit être maintenu. >> >> >> Je peux me tromper, vous avez peut-être des solutions alternatives, mais >> en >> ce qui me concerne des machines avec des IPv6 directement exposées sans >> NAT/RP c'est un accident qui attend d'arriver. >> >> > Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu > n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de > bordure. > > Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a > crée un semblant de sécurité du fait des architectures mise en place pour > contourner le manque d'ipv4. L'architecture courante étant tout les > serveurs en rcf1918 derrière un firewall, ip publiques portés par le > firewall et nat sélectif. Une architecture qui marche jusqu’à un certain > point. Une approche qui se défend, mais à ce compte là est-ce qu'il y a vraiment un intérêt à utiliser des IPv6 sur ses serveurs de backend ? Dans ce genre de scénario, si je comprends bien, tu dois toujours avoir un équipement qui fait office de reverse proxy (qui lui est annoncé et joignable). Cet équipement pourrait tout aussi bien continuer à parler aux backends en v4, limitant les modifications d'infra. On en arrive à un stade hybride où l'équipement doit pouvoir parler en v4 et en v6, mais de toutes façons on sera bien obligés de conserver la compatibilité v4 "temporairement" le temps de la transition. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26/06/15 13:05, Damien Fleuriot a écrit : Parce que pour que le firewall fasse office de point de coupure, encore faut-il que les bécannes qui sont derrière ne soient joignables que via ce dernier ? Ca semble un peu la base oui :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 12:56 GMT+02:00 Simon Morvan : > > > Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot a écrit : > >Je trouve ça très réducteur, le propos sur le NAT. > > > >Avoir des machines en full IPv6 routable, c'est les exposer sur le net, > >et > >devoir les firewaller une par une. > >C'est chiant à maintenir, très chiant. > > > >Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall > >en > >coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles > >doit être maintenu. > > Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat > pour protéger toutes les machines derrière avec un ruleset unique. > > Parce que pour que le firewall fasse office de point de coupure, encore faut-il que les bécannes qui sont derrière ne soient joignables que via ce dernier ? Router : 2001::1 FW : 2001::2 Web1 : 2001::a Web2 : 2001::b À moins de subnetter, 2001::a est joignable directement via 2001::1 , le firewall n'agit pas en point de coupure. Personnellement ça me semble assez chiant à mettre en place (on en revient au rapport pénibilité-bénéfice d'ipv6 du coup). Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus simple qui ne me vient pas à l'esprit ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot a écrit : >Je trouve ça très réducteur, le propos sur le NAT. > >Avoir des machines en full IPv6 routable, c'est les exposer sur le net, >et >devoir les firewaller une par une. >C'est chiant à maintenir, très chiant. > >Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall >en >coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles >doit être maintenu. Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat pour protéger toutes les machines derrière avec un ruleset unique. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Damien Fleuriot, le Fri 26 Jun 2015 12:40:54 +0200, a écrit : > Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et > devoir les firewaller une par une. Pourquoi les firewaller ? Tu peux les firewaller ensemble, comme tu le faisais en v4. > Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en > coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles > doit être maintenu. Il n'y a pas besoin de NATer pour ça, il suffit de firewaller. Vraiment de la même manière, juste le NAT en moins. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Mais non, tous les OS sont sécurisés maintenant, les constructeurs sont prudents, surtout sur les Objets Connectés, comme nos futures voitures par exemple. On risque rien! Le 26 juin 2015 à 12:40, Damien Fleuriot a écrit : > Je trouve ça très réducteur, le propos sur le NAT. > > Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et > devoir les firewaller une par une. > C'est chiant à maintenir, très chiant. > > Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en > coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles > doit être maintenu. > > > Je peux me tromper, vous avez peut-être des solutions alternatives, mais en > ce qui me concerne des machines avec des IPv6 directement exposées sans > NAT/RP c'est un accident qui attend d'arriver. > > > 2015-06-25 10:49 GMT+02:00 Nicolas Parpandet : > >> >> >> Hello, >> >> Cela existe depuis longtemps, plusieurs groupes français >> ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.), >> mais c'est galère, une partie de yahoo est injoignable par exemple !, et >> du routage spécifique à du être mis en place... >> >> Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6 >> est en cours d'ajout dans le noyaux linux, ca me fait mal lol... >> >> Nicolas >> >> >> - Mail original - >> De: "Stephane Bortzmeyer" >> À: "Simon Morvan" >> Cc: frnog@frnog.org >> Envoyé: Jeudi 25 Juin 2015 10:35:27 >> Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser >> des adresses déjà allouées >> >> On Thu, Jun 25, 2015 at 10:23:37AM +0200, >> Simon Morvan wrote >> a message of 33 lines which said: >> >>> C'est pour un usage strictement interne et privé, derrière les IPs >>> publiques "légalement" utilisables, on est bien d'accord ? >> >> Mais cela empêche toute communication avec les boîtes qui ont >> l'allocation légitime, et cela va faire des cauchemars à déboguer. Les >> cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la >> solution simple de passer à IPv6 (on n'est pas vendredi ?) >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 26/06/15 12:40, Damien Fleuriot a écrit : Je trouve ça très réducteur, le propos sur le NAT. Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et devoir les firewaller une par une. C'est chiant à maintenir, très chiant. Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles doit être maintenu. Je peux me tromper, vous avez peut-être des solutions alternatives, mais en ce qui me concerne des machines avec des IPv6 directement exposées sans NAT/RP c'est un accident qui attend d'arriver. Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de bordure. Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a crée un semblant de sécurité du fait des architectures mise en place pour contourner le manque d'ipv4. L'architecture courante étant tout les serveurs en rcf1918 derrière un firewall, ip publiques portés par le firewall et nat sélectif. Une architecture qui marche jusqu’à un certain point. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Je trouve ça très réducteur, le propos sur le NAT. Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et devoir les firewaller une par une. C'est chiant à maintenir, très chiant. Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles doit être maintenu. Je peux me tromper, vous avez peut-être des solutions alternatives, mais en ce qui me concerne des machines avec des IPv6 directement exposées sans NAT/RP c'est un accident qui attend d'arriver. 2015-06-25 10:49 GMT+02:00 Nicolas Parpandet : > > > Hello, > > Cela existe depuis longtemps, plusieurs groupes français > ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.), > mais c'est galère, une partie de yahoo est injoignable par exemple !, et > du routage spécifique à du être mis en place... > > Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6 > est en cours d'ajout dans le noyaux linux, ca me fait mal lol... > > Nicolas > > > - Mail original - > De: "Stephane Bortzmeyer" > À: "Simon Morvan" > Cc: frnog@frnog.org > Envoyé: Jeudi 25 Juin 2015 10:35:27 > Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser > des adresses déjà allouées > > On Thu, Jun 25, 2015 at 10:23:37AM +0200, > Simon Morvan wrote > a message of 33 lines which said: > > > C'est pour un usage strictement interne et privé, derrière les IPs > > publiques "légalement" utilisables, on est bien d'accord ? > > Mais cela empêche toute communication avec les boîtes qui ont > l'allocation légitime, et cela va faire des cauchemars à déboguer. Les > cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > solution simple de passer à IPv6 (on n'est pas vendredi ?) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Hello, > Le 25/06/2015 11:53, Frédéric GANDER a écrit : >> la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y >> a >> pas bcp d'ipv6 > > T'as qu'à offrir du peering gratuit en IPv6 si tu veux vraiment le > promouvoir :-@ > > Après tout, "le peer n'est pas le mal"… Vidéo toujours inaccessible en > IPv4 ou IPv6 soit dit en passant. Excellente idée :D Je suis quasi sûr que tous les gens qui lisent ce mail seraient supra content de promouvoir les services IPv6 de cette façon... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 11:53, Frédéric GANDER a écrit : > la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y > a pas bcp d'ipv6 T'as qu'à offrir du peering gratuit en IPv6 si tu veux vraiment le promouvoir :-@ Après tout, "le peer n'est pas le mal"… Vidéo toujours inaccessible en IPv4 ou IPv6 soit dit en passant. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 10:57, Frédéric GANDER a écrit : > chiche ? ;) Tu veux un euro par abonné, c'est ça ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le jeudi 25 juin 2015 20:29:58 David Ponzone a écrit : > Stéphane, > > je parlais pas de leur IP publique externe, mais de leur IP privée interne, > quand ils se plaignent de ne pas pouvoir imprimer. Le problème dans ce > métier, c’est qu’il faut commencer par leur prouver que c’est pas la faute > de l’opérateur si le blaireau (no offense) qui est venu installer la > nouvelle imprimante de luxe a pris une IP statique qui était déjà attribuée > à un PC. Ou qu'ils sont trébuché dans le câble, ou débranché l'AP pour y mettre la machine à café. Ou recablé le switch comme il leur semblait que c'était le mieux. > Une fois que c’est prouvé, ils se demmerdent avec leur prestataire > informatique, mais ils ont tendance à confondre les 2. J’espère avec joie > qu’IPv6 va régler tout ça (plus de statique), mais je reste un peu > dubitatif. Quand je vois que plein d'appareil faut de l'autoconfiguration quand il y les flags M/O de mis, je me dis que ça va entraîner des problèmes (bon, ce sera des nouveaux problèmes, ça casse la routine). -- Xavier Claude cont...@xavierclaude.be --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 11:55, Alexis Lameire a écrit : > Heu c'est un peu excessif quand même. > > Ce qui bloque aussi c'est la vision d'IPv4. Le fait d'avoir des bloc non > routé sur le nainternet est une vision plus clair pour beaucoup d'user. > Dans le sens d'un porte qui montre bien le dedans du dehors. > > Voilà pourquoi certains veulent avoir du nat en ipv6 et l'une des raison > qui rend sa mise en place omplexe. Alors qu'aujourd'hui on a un très bon > support niveau système d'exploitation et équipement reéseau. > > alexis On adresse plus en v4 depuis 2009, tous les serveurs sont forcéments en v6 par défaut et si besoin de communiquer sur internet on ajoute un v4. Le gain immédiat, plus de NAT juste des règles FW, l'admin, la supervision, la sauvegarde c'est juste du bonheur. Si besoin d'adresser un subnet non routé, qu'est ce qui empêche de réserver un subnet et le blackholé sur les routeurs et firewall pour en profiter dans une dmz ou un lan? Pas obligé d'implémenter du NAT Tout clients confondus, on fait 35% de requêtes DNS et HTTP en v6 preuve qu'il y a des utilisateurs en face qui font l'effort peut être à leur insu. Faut dire qu'on pousse aussi certains clients à mettre en place l'ipv6 pour taper des serveurs sans faire de rebonds ou mettre des règles de nat. Et ça marche ils sont même super content qu'on leur ai enlevé cette migration (double stack) qui fait peur. Au niveau mail on est proche des 60%, sur le moment on se dit super, après on voit que c'est principalement vers Gmail, Microsoft et Apple ... mais au moins l'ipv4 est devenu minoritaire. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Stephane Bortzmeyer, le Thu 25 Jun 2015 12:39:39 +0200, a écrit : > On Thu, Jun 25, 2015 at 11:53:27AM +0200, > Xavier Beaudouin wrote > a message of 59 lines which said: > > > Exemple simple : en DHCPv6 on doit utiliser un DUID pour faire un > > bail fixe. Soit, mais certains OS (genre celui avec le pomme dedans) > > prends un bail DHCPv6 mais il est incapable de me montrer quel est > > le DUID qu'il affiche (meme les logs de dhcpv6 me le > > montre pas). > > La solution que j'utilise (brace yourself...) est tcpdump + bc. Je > n'ai pas encore regardé si Wireshark faisait mieux... dhcpdump ne supporte pas encore v6 ? Faudrait mettre un stagiaire là-dessus, ça serait utile :) (attention, le code de dhcpdump est horrible à pleurer). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
pour les FAI ipv6 en france : FREE OVH FDN Nerim Alice SFR Orange : en cours cette année - Mail original - De: "Frederic Dhieux" À: frnog@frnog.org Envoyé: Jeudi 25 Juin 2015 11:58:05 Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées Le 25/06/2015 11:53, Frédéric GANDER a écrit : > > mais euh c'est le problème des fai pour l'ipv6 de faire les confs > automatiques, pour les hébergeur/serveur c'est juste configurer une ip :) > et globalement les conf pour le v4 sont déjà "automatiques", Dhcp ca marche > bien ;) > > la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y > a pas bcp d'ipv6 > mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est sur > l'ipv6 chez les fai en france c'est pas forcement encore ca. > > Pour moi c'est clairement la bascule, le jour où les FAI sont IPv6 et où ça générera une vraie part du trafic sur Internet (avec les gros FDC), les autres FDC se poseront enfin sérieusement la question et se sentiront réellement en retard techniquement. Un FDC qui met de l'IPv6, ça se sent pas, les FAI ça fait tout de suite beaucoup de monde derrière qui bascule. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
c'est le jour où il y auras réellement plus d'Ipv4 et que donc de facto tout ce qui est pas ipv6 compilant se prive d'une partie du net. Comme dab, il faut être au bord du gouffre pour agir alexis Le 25 juin 2015 11:58, Frederic Dhieux a écrit : > Le 25/06/2015 11:53, Frédéric GANDER a écrit : > >> >> mais euh c'est le problème des fai pour l'ipv6 de faire les confs >> automatiques, pour les hébergeur/serveur c'est juste configurer une ip :) >> et globalement les conf pour le v4 sont déjà "automatiques", Dhcp ca >> marche bien ;) >> >> la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il >> n'y a pas bcp d'ipv6 >> mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est >> sur l'ipv6 chez les fai en france c'est pas forcement encore ca. >> >> >> > Pour moi c'est clairement la bascule, le jour où les FAI sont IPv6 et où > ça générera une vraie part du trafic sur Internet (avec les gros FDC), les > autres FDC se poseront enfin sérieusement la question et se sentiront > réellement en retard techniquement. > > Un FDC qui met de l'IPv6, ça se sent pas, les FAI ça fait tout de suite > beaucoup de monde derrière qui bascule. > > Frederic > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 11:53, Frédéric GANDER a écrit : mais euh c'est le problème des fai pour l'ipv6 de faire les confs automatiques, pour les hébergeur/serveur c'est juste configurer une ip :) et globalement les conf pour le v4 sont déjà "automatiques", Dhcp ca marche bien ;) la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y a pas bcp d'ipv6 mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est sur l'ipv6 chez les fai en france c'est pas forcement encore ca. Pour moi c'est clairement la bascule, le jour où les FAI sont IPv6 et où ça générera une vraie part du trafic sur Internet (avec les gros FDC), les autres FDC se poseront enfin sérieusement la question et se sentiront réellement en retard techniquement. Un FDC qui met de l'IPv6, ça se sent pas, les FAI ça fait tout de suite beaucoup de monde derrière qui bascule. Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Heu c'est un peu excessif quand même. Ce qui bloque aussi c'est la vision d'IPv4. Le fait d'avoir des bloc non routé sur le nainternet est une vision plus clair pour beaucoup d'user. Dans le sens d'un porte qui montre bien le dedans du dehors. Voilà pourquoi certains veulent avoir du nat en ipv6 et l'une des raison qui rend sa mise en place omplexe. Alors qu'aujourd'hui on a un très bon support niveau système d'exploitation et équipement reéseau. alexis Le 25 juin 2015 11:43, Manu a écrit : > > > Le 25/06/2015 11:37, Alarig Le Lay a écrit : > >> Je trouve qu’au contraire IPv6 est bien plus simple qu’IPv4, surtout >> quand on l’apprend avant IPv4 :p >> > > Oui, tu as probablement raison sur "il ne faudrait même plus enseigner > ipv4" :) > > > -- > Manu Jacquet > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Hello David, > Je pense que le complexité apparente (je ne sais pas encore si elle est > réelle) > vient du fait qu’il va être impératif de se reposer sur les mécanismes > d’automatisation d’IPv6. > > Par exemple, quand on a un client en ligne (client très final), c’est pas > toujours très simple de débugguer un problème de connectivité en lui faisant > trouver l’IPv4 de son PC. > Mais en IPv6, il va falloir oublier. On va donc se reposer sur le côté « on > branche et ça marche » d’IPv6 , jusqu’au jour où ça ne va plus marcher, parce > qu’il y a toujours un jour où ça ne marche plus. > Les clients finaux sont déjà à un niveau proche de 0 en compétence IP (et > c’est > normal) mais en IPv6, ils vont repartir de 0. > Mais si on arrive à me convaincre qu’en IPv6, on a plus jamais besoin de faire > de support client pour des problèmes d’adressage IP, alors je suis preneur! Oui avec aussi le fait que certains OS n'ont pas encore tous les outils a disposition. Exemple simple : en DHCPv6 on doit utiliser un DUID pour faire un bail fixe. Soit, mais certains OS (genre celui avec le pomme dedans) prends un bail DHCPv6 mais il est incapable de me montrer quel est le DUID qu'il affiche (meme les logs de dhcpv6 me le montre pas). De même j'ai des iPad qui prennent un DUID (que j'arrive a retrouver) et d'autres non (malgré le fait qu'ils aient la même version OS, etc..). Même combat avec Android 4.4.x ou la... l'affichage d'un DUID ou avoir simple IPv6 qui marche tiens de l'exploit. Y a encore des constructeurs qui sortent des machins a moitiés finis en IPv6... Après que le End user parte avec zero c'est pas si mal non plus. Ca évite au support de tomber sur le script kiddy qui a réussi mettre une ip en loopback de son Windows de croire qu'il connais tout. Mais se pencher sur la partie End User n'est pas tout. Je pense que le GROS du pb c'est l'offre et les DAF qui n'ont rien compris que faire de la "R&D" sur l'IPv6 (qu'on pourras déduire du CIR) actuellement permettra de faire des choses innovantes en peu de temps. /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
- Mail original - > De: "David Ponzone" > À: "Frédéric GANDER" > Cc: "Manu" , frnog@frnog.org > Envoyé: Jeudi 25 Juin 2015 11:41:54 > Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser > des adresses déjà allouées > > Je pense que le complexité apparente (je ne sais pas encore si elle > est réelle) vient du fait qu’il va être impératif de se reposer sur > les mécanismes d’automatisation d’IPv6. > > Par exemple, quand on a un client en ligne (client très final), c’est > pas toujours très simple de débugguer un problème de connectivité en > lui faisant trouver l’IPv4 de son PC. > Mais en IPv6, il va falloir oublier. On va donc se reposer sur le > côté « on branche et ça marche » d’IPv6 , jusqu’au jour où ça ne va > plus marcher, parce qu’il y a toujours un jour où ça ne marche plus. > Les clients finaux sont déjà à un niveau proche de 0 en compétence IP > (et c’est normal) mais en IPv6, ils vont repartir de 0. > Mais si on arrive à me convaincre qu’en IPv6, on a plus jamais besoin > de faire de support client pour des problèmes d’adressage IP, alors > je suis preneur! > mais euh c'est le problème des fai pour l'ipv6 de faire les confs automatiques, pour les hébergeur/serveur c'est juste configurer une ip :) et globalement les conf pour le v4 sont déjà "automatiques", Dhcp ca marche bien ;) la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y a pas bcp d'ipv6 mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est sur l'ipv6 chez les fai en france c'est pas forcement encore ca. > Le 25 juin 2015 à 11:32, Frédéric GANDER a > écrit : > > > > > > > ----- Mail original ----- > >> De: "Manu" > >> À: frnog@frnog.org > >> Envoyé: Jeudi 25 Juin 2015 11:21:46 > >> Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande > >> d'utiliser des adresses déjà allouées > >> > >> > >> > >> Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit : > >>> Les > >>> cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > >>> solution simple de passer à IPv6 (on n'est pas vendredi ?) > >> > >> Non, y'a pas de "cinglés" d'IPV4. Désolé, mais la réalité est que > >> non, > >> ça n'est pas "simple". IPV6 est (un peu) plus compliqué à > >> comprendre > >> qu'IPV4. Et l'un dans l'autre, on reste sur "l'effort n'en vaut > >> pas > >> la > >> chandelle" (1). > > > > > > ya plus de chiffres ? et des lettres ? > > ca match pas la regexp php ? > > > > > > > > > >> > >> Après, sur le fond concernant la doc Ubuntu, je suis d'accord. > >> Soit > >> on > >> fait pas, soit on fait propre. > >> > >> M > >> (1) non ça n'existe pas. > >> > >> -- > >> Manu Jacquet > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > >> > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 11:21, Manu a écrit : Non, y'a pas de "cinglés" d'IPV4. Désolé, mais la réalité est que non, ça n'est pas "simple". IPV6 est (un peu) plus compliqué à comprendre qu'IPV4. Et l'un dans l'autre, on reste sur "l'effort n'en vaut pas la chandelle" (1). Hello, Autant dire que c'est compliqué pour migrer toutes les parties applicatives, faire des ALTER sur les bases, de changer du code historique et de gérer les 2 en parallèle je comprends, autant dire qu'IPv6 en lui même est compliqué je ne vois pas trop par rapport à tout ce qu'on apprend continuellement dans le monde IT. Après c'est toujours le même problème derrière de fond : Personne veut consacrer des JH en quantité correcte pour y passer et ça passera toujours derrière tout ce qui est "pour hier". Là dessus on est bien d'accord :) Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 11:37, Alarig Le Lay a écrit : Je trouve qu’au contraire IPv6 est bien plus simple qu’IPv4, surtout quand on l’apprend avant IPv4 :p Oui, tu as probablement raison sur "il ne faudrait même plus enseigner ipv4" :) -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Je pense que le complexité apparente (je ne sais pas encore si elle est réelle) vient du fait qu’il va être impératif de se reposer sur les mécanismes d’automatisation d’IPv6. Par exemple, quand on a un client en ligne (client très final), c’est pas toujours très simple de débugguer un problème de connectivité en lui faisant trouver l’IPv4 de son PC. Mais en IPv6, il va falloir oublier. On va donc se reposer sur le côté « on branche et ça marche » d’IPv6 , jusqu’au jour où ça ne va plus marcher, parce qu’il y a toujours un jour où ça ne marche plus. Les clients finaux sont déjà à un niveau proche de 0 en compétence IP (et c’est normal) mais en IPv6, ils vont repartir de 0. Mais si on arrive à me convaincre qu’en IPv6, on a plus jamais besoin de faire de support client pour des problèmes d’adressage IP, alors je suis preneur! Le 25 juin 2015 à 11:32, Frédéric GANDER a écrit : > > > - Mail original - >> De: "Manu" >> À: frnog@frnog.org >> Envoyé: Jeudi 25 Juin 2015 11:21:46 >> Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser >> des adresses déjà allouées >> >> >> >> Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit : >>> Les >>> cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la >>> solution simple de passer à IPv6 (on n'est pas vendredi ?) >> >> Non, y'a pas de "cinglés" d'IPV4. Désolé, mais la réalité est que >> non, >> ça n'est pas "simple". IPV6 est (un peu) plus compliqué à comprendre >> qu'IPV4. Et l'un dans l'autre, on reste sur "l'effort n'en vaut pas >> la >> chandelle" (1). > > > ya plus de chiffres ? et des lettres ? > ca match pas la regexp php ? > > > > >> >> Après, sur le fond concernant la doc Ubuntu, je suis d'accord. Soit >> on >> fait pas, soit on fait propre. >> >> M >> (1) non ça n'existe pas. >> >> -- >> Manu Jacquet >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
On Thu Jun 25 11:21:46 2015, Manu wrote: > Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit : > >Les > >cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > >solution simple de passer à IPv6 (on n'est pas vendredi ?) > > Non, y'a pas de "cinglés" d'IPV4. Désolé, mais la réalité est que non, ça > n'est pas "simple". IPV6 est (un peu) plus compliqué à comprendre qu'IPV4. > Et l'un dans l'autre, on reste sur "l'effort n'en vaut pas la chandelle" > (1). Je trouve qu’au contraire IPv6 est bien plus simple qu’IPv4, surtout quand on l’apprend avant IPv4 :p Le concept de NAT avec des IPs publiques et des IPs privées (qui sont partout pareilles, mais ce ne sont pas les mêmes) n’est pas simple *du tout* à comprendre. -- Alarig Le Lay signature.asc Description: Digital signature
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
- Mail original - > De: "Manu" > À: frnog@frnog.org > Envoyé: Jeudi 25 Juin 2015 11:21:46 > Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser > des adresses déjà allouées > > > > Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit : > > Les > > cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > > solution simple de passer à IPv6 (on n'est pas vendredi ?) > > Non, y'a pas de "cinglés" d'IPV4. Désolé, mais la réalité est que > non, > ça n'est pas "simple". IPV6 est (un peu) plus compliqué à comprendre > qu'IPV4. Et l'un dans l'autre, on reste sur "l'effort n'en vaut pas > la > chandelle" (1). ya plus de chiffres ? et des lettres ? ca match pas la regexp php ? > > Après, sur le fond concernant la doc Ubuntu, je suis d'accord. Soit > on > fait pas, soit on fait propre. > > M > (1) non ça n'existe pas. > > -- > Manu Jacquet > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit : Les cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la solution simple de passer à IPv6 (on n'est pas vendredi ?) Non, y'a pas de "cinglés" d'IPV4. Désolé, mais la réalité est que non, ça n'est pas "simple". IPV6 est (un peu) plus compliqué à comprendre qu'IPV4. Et l'un dans l'autre, on reste sur "l'effort n'en vaut pas la chandelle" (1). Après, sur le fond concernant la doc Ubuntu, je suis d'accord. Soit on fait pas, soit on fait propre. M (1) non ça n'existe pas. -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
> cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > solution simple de passer à IPv6 (on n'est pas vendredi ?) > chiche ? ;) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Hello Stéphane, >> C'est pour un usage strictement interne et privé, derrière les IPs >> publiques "légalement" utilisables, on est bien d'accord ? > > Mais cela empêche toute communication avec les boîtes qui ont > l'allocation légitime, et cela va faire des cauchemars à déboguer. Les > cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > solution simple de passer à IPv6 (on n'est pas vendredi ?) Des fois on tombe sur des horreurs. Si utiliser les ip "a usage privé" est courant, des fois par erreurs, ou méconnaissance on se retrouve avec des choses historiques. Apres IPv4 est de toute façon une horreur, mais il existe pas mal de niches dans laquelle IPv4 vivra longtemps après qu'on auras buté IPv4 sur l'internet "public"... Par exemple le milieu financier ou les softs sont de toute façon développé pour IPv4 ... avec du NAT dans tous les sens... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
On 25/06/2015 10:35, Stephane Bortzmeyer wrote: >> > C'est pour un usage strictement interne et privé, derrière les IPs >> > publiques "légalement" utilisables, on est bien d'accord ? > Mais cela empêche toute communication avec les boîtes qui ont > l'allocation légitime, et cela va faire des cauchemars à déboguer. Depuis ces IPs ? On parle des connexions sortantes depuis les containers vers le monde extérieur. Oh, bin avec une couche de NAT/PAT supplémentaire ou de proxies, ça va l'faire :) > Les > cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la > solution simple de passer à IPv6 (on n'est pas vendredi ?) On est bien d'accord :) D'autant que l'écrasante majorité de ces containers massifs n'ont pas vraiement besoin de communiquer en v4. Ils peuvent utilement être derrière un reverse proxy qui leur cause en v6. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Hello, Cela existe depuis longtemps, plusieurs groupes français ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.), mais c'est galère, une partie de yahoo est injoignable par exemple !, et du routage spécifique à du être mis en place... Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6 est en cours d'ajout dans le noyaux linux, ca me fait mal lol... Nicolas - Mail original - De: "Stephane Bortzmeyer" À: "Simon Morvan" Cc: frnog@frnog.org Envoyé: Jeudi 25 Juin 2015 10:35:27 Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées On Thu, Jun 25, 2015 at 10:23:37AM +0200, Simon Morvan wrote a message of 33 lines which said: > C'est pour un usage strictement interne et privé, derrière les IPs > publiques "légalement" utilisables, on est bien d'accord ? Mais cela empêche toute communication avec les boîtes qui ont l'allocation légitime, et cela va faire des cauchemars à déboguer. Les cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la solution simple de passer à IPv6 (on n'est pas vendredi ?) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
