RE : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Quand je vois des clients qui arrivent chez moi pour monter un MPLS avec des plans privés en 200.0.0.0/8 ou en 198.0.0.0/8 je me dis que y'a encore du boulot d'éducation à faire en IPV4 avant de tenter quoique ce soit en IPv6. Ce genre de pratique ca risque de donner de drôles de choses en IPv6. My two cents de Noël, bonnes fêtes à tous. Raphael Durand Damien Fleuriot m...@my.gd a écrit : Et c'est très bien. Tu as un besoin: te connecter en ssh sur une machine sans monter de VPN Tu as une réponse: rendre cette machine joignable en ip6. Très bien. Maintenant, *moi* j'ai un autre besoin, et une autre réponse, également adaptée: Mon besoin: que mes clients puissent joindre mes services en ip6 Ma réponse: des frontaux qui parlent ip6. Je n'ai absolument pas besoin de changer l'adressage interne pour ça, notre boîte à nous a encore plein de place avec les adresses privées ;) 2011/12/24 Guillaume Barrot guillaume.bar...@gmail.com: Ouais la mienne deja. Deuxio je suis bien content de pouvoir faire un ssh direct d'une machine de n'importe ou sans avoir a monter une saloperie de vpn parce que la sécurité par l'obscurantisme tout ca. Et ca en v4 prive + nat, c'est juste drôle... Le 23 déc. 2011 17:07, Surya ARBY arbysu...@yahoo.fr a écrit : Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] Re: [TECH] Re: Recherche switch L2 supportant RA-guard
Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. De : Stephane Bortzmeyer bortzme...@nic.fr À : Jérôme Nicolle jer...@ceriz.fr Cc : frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 16h59 Objet : [FRnOG] Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 02:31:10PM +0100, Jérôme Nicolle jer...@ceriz.fr wrote a message of 21 lines which said: - à minima : les ACL pour bloquer tout le trafic IPv6 d'ici à ce que la sécu soit au point Pour IPv4, je connais une technique qui permet de bloquer tout le trafic, le temps que la sécurité d'IPv4 soit au point. On la nomme unplug en anglais. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Le 23/12/2011 17:07, Surya ARBY a écrit : Sur un LAN interne ça sert à quelque chose IPv6 ? A utiliser des services en IPv6 ? A moins que LAN interne = Accès externes en HTTP Only via proxy... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Quel est l'impact business de rester en ipv4 en local et passer par une translation pour les flux sortants, et idem (sur des load balancers) pour les flux entrants vers les serveurs ? Sans doute aucun. Rester en v4 ça coute moins cher. De : Simon Morvan gar...@zone84.net À : Surya ARBY arbysu...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard Le 23/12/2011 17:07, Surya ARBY a écrit : Sur un LAN interne ça sert à quelque chose IPv6 ? A utiliser des services en IPv6 ? A moins que LAN interne = Accès externes en HTTP Only via proxy... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
+1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Une mailing-list, ça sert aussi à débattre, c'est le cas ici. Merci également de modérer tes propos, tes ça sert à rien et autres bordel c'est peut être très bien avec tes potes, mais avec des parfaits étrangers c'est particulièrement malvenu. On 12/23/11 5:18 PM, Jean Barbezat wrote: Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Tres cher Damien, Je crois que ce sujet est taggué TECH pas MISC. Donc on reste sur le sujet (technique) pas sur la discussion de comptoir sur l'opportunite (ou pas) de l'adoption (ou pas) d'IPv6 dans des lieux fictifs (ou pas) ou des foules s'enthousiasment (ou pas) sur la pertinence et le cout eventuel - et ces salauds de DSI, je ne comprends pas ce qui est si dur a comprendre la dedans. My 5-cents-oh-mon-dieu-c'est-pas-beaucoup-je-vois-pas-pourquoi-tu-payes-pas-plus-parce-que-la-vraiment-avec-l-inflation-et-en-plus-y-a-plus-de-saison-ma-bonne-dame. J'en resterai la - mes excuses si mon agacement t'agace :) 2011/12/24 Damien Fleuriot m...@my.gd: Une mailing-list, ça sert aussi à débattre, c'est le cas ici. Merci également de modérer tes propos, tes ça sert à rien et autres bordel c'est peut être très bien avec tes potes, mais avec des parfaits étrangers c'est particulièrement malvenu. On 12/23/11 5:18 PM, Jean Barbezat wrote: Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On est tout à fait sur du TECHnique, on parle de l'intérêt TECHnique (ou pas) de migrer (ou pas) du LAN (ou pas) sur du v6 (ou pas). On 12/23/11 5:40 PM, Jean Barbezat wrote: Tres cher Damien, Je crois que ce sujet est taggué TECH pas MISC. Donc on reste sur le sujet (technique) pas sur la discussion de comptoir sur l'opportunite (ou pas) de l'adoption (ou pas) d'IPv6 dans des lieux fictifs (ou pas) ou des foules s'enthousiasment (ou pas) sur la pertinence et le cout eventuel - et ces salauds de DSI, je ne comprends pas ce qui est si dur a comprendre la dedans. My 5-cents-oh-mon-dieu-c'est-pas-beaucoup-je-vois-pas-pourquoi-tu-payes-pas-plus-parce-que-la-vraiment-avec-l-inflation-et-en-plus-y-a-plus-de-saison-ma-bonne-dame. J'en resterai la - mes excuses si mon agacement t'agace :) 2011/12/24 Damien Fleuriot m...@my.gd: Une mailing-list, ça sert aussi à débattre, c'est le cas ici. Merci également de modérer tes propos, tes ça sert à rien et autres bordel c'est peut être très bien avec tes potes, mais avec des parfaits étrangers c'est particulièrement malvenu. On 12/23/11 5:18 PM, Jean Barbezat wrote: Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 17:09:15 +0100, Damien Fleuriot m...@my.gd said: +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Tes utilisateurs internes, eux ils se connectent comment a ton fronal ? Les utilisateurs des autres boites qui font comme toi, eux ils se connectent coment a ton frontal ? Certainement pas en IPv6, parce-que toi, comme tous les autres comme toi, vous avez oublie que les deux cote d'une connexion doivent etre en IPv6. S'arreter aux frontaux externes c'est juste du foutage de gueule. Vaut mieux ne rien faire, la ua moins les choses sont claires. Tu peux dire que tu as fait ton devoir de passage en v6 quand tu as 100% des equipements qui peuvent communiquer entre eux, et avec l'exterieur en v6. Evidamment, il y en a tres peu qui sont arrives la. Donc les prochains qui s'imaginent v6 ready parce-que leur www est passe en v6, merci de s'abstenir. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Radu, Le 23 décembre 2011 18:43, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Pas d'accord. Commencer par les frontaux est une bonne chose pour plein de raisons : - Plus il y a de services joignables, plus ça justifie le déploiement au niveau accès et end-user - C'est un bon moyen de tester et se rendre compte qu'on est pas encore prêt (appli PHP codée avec les pieds avec des cookies hashés sur l'IPv4...) - Mieux vaut faire rentrer IPv6 dans l'entreprise par la grande porte publique (WwW) que par la petite porte qui pique (teredo) - Une fois que les teletubbies de la DSI commencent à comprendre ils pourront se dire ah cool, on pourrait faire pareil partout sur le LAN Bref, c'est un bon début, c'est à mon avis par là qu'il faut commencer, et surtout ne pas critiquer ceux qui _pour l'instant_ en restent là. De mon point de vue parano-idealo-technophile, par contre, il faut sérieusement se sortir les doigts du cul : les frontaux devraient déjà être accessibles depuis juin dernier et là on doit se pencher sur la sécurité du LAN avant même d'envisager d'y déployer le dual-stack. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On 23 Dec 2011, at 18:43, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Fri, 23 Dec 2011 17:09:15 +0100, Damien Fleuriot m...@my.gd said: +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Ah bah si, je t'assure que c'est comme ça que ça marche. Je fournis un service, je le sers over ipv6, problème réglé. Tes utilisateurs internes, eux ils se connectent comment a ton fronal ? Les utilisateurs des autres boites qui font comme toi, eux ils se connectent coment a ton frontal ? Certainement pas en IPv6, parce-que toi, comme tous les autres comme toi, vous avez oublie que les deux cote d'une connexion doivent etre en IPv6. De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as pas compris la problématique a laquelle je souhaite répondre. Avant de monter sur tes grands chevaux et de te la jouer comme un ouf, intègre la notion qu'il s'agit de 2 problématiques différentes dont on parle la. D'un coté, fournir un service over ipv6. D'un autre, permettre a mes propres utilisateurs d'accéder a des services over ipv6. Il s'agit de 2 métiers différents et dans les grandes structures c'est géré par des équipes différentes. S'arreter aux frontaux externes c'est juste du foutage de gueule. Vaut mieux ne rien faire, la ua moins les choses sont claires. Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur science sur des sujets qu'ils connaissent pas. Tu connais mon archi ? Non. J'ai un métier, c'est rendre le service disponible. Une fois qu'il l'est, la mécanique interne ne concerne en rien le client. Tu peux dire que tu as fait ton devoir de passage en v6 quand tu as 100% des equipements qui peuvent communiquer entre eux, et avec l'exterieur en v6. Evidamment, il y en a tres peu qui sont arrives la. Cf ci-dessus. J'ai aucune intention de rendre mes machines internes capables de communiquer entre elles en ip6 parce que je n'en ai pas *besoin*. Alors non, je vais pas passer pour un bouffon en soumettent l'idée a ma direction, et en leur demandant du temps homme et du nouveau matos. Donc les prochains qui s'imaginent v6 ready parce-que leur www est passe en v6, merci de s'abstenir. Encore une fois, cf ci-dessus. Tu connais pas mon archi alors viens pas me donner de leçons. J'ai pas besoin que les machines derrière mes load balancers soient en ip6. J'ai pas besoin que mes DB soient en ip6, j'ai pas besoin que mes serveurs de log soient en ip6. Tu sais pourquoi ? Parce qu'en interne j'ai encore masse d'IPs privées disponibles. Sérieux faut arrêter de critiquer sur des infras qu'on connait pas, c'en est presque énervant. Je réponds sur un ton un peu agressif j'en suis conscient, je suis dans ce genre la, quand on me prend de haut a base de tu fais de la merde sans avoir la moindre notion de la problématique a laquelle je réponds. J'attends ton argumentation sur le fait que je doive absolument passer mes machines internes en ip6 alors qu'elles ne verront *jamais* arriver une requête depuis une IP publique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Pour rebondir là dessus, j'ai eu une discussion avec Cisco là dessus avant-hier, il semble qu'énormément de besoins ipv6 pour les entreprises (je parle pas des telcos) trouvent leur solution dans ces solutions de translations sur les load balancers (VIP v6, interne v4). Outre le besoin lui même et la manière d'y répondre, dans des environnements justement exposés sur internet, migrer toute l'infra serveur c'est pas ce qu'il y a de plus simple. Le temps m'a appris que moins on est intrusif et moins les exploitants doivent toucher, mieux on se porte. De : Damien Fleuriot m...@my.gd À : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 20h29 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On 23 Dec 2011, at 18:43, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Fri, 23 Dec 2011 17:09:15 +0100, Damien Fleuriot m...@my.gd said: +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Ah bah si, je t'assure que c'est comme ça que ça marche. Je fournis un service, je le sers over ipv6, problème réglé. Tes utilisateurs internes, eux ils se connectent comment a ton fronal ? Les utilisateurs des autres boites qui font comme toi, eux ils se connectent coment a ton frontal ? Certainement pas en IPv6, parce-que toi, comme tous les autres comme toi, vous avez oublie que les deux cote d'une connexion doivent etre en IPv6. De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as pas compris la problématique a laquelle je souhaite répondre. Avant de monter sur tes grands chevaux et de te la jouer comme un ouf, intègre la notion qu'il s'agit de 2 problématiques différentes dont on parle la. D'un coté, fournir un service over ipv6. D'un autre, permettre a mes propres utilisateurs d'accéder a des services over ipv6. Il s'agit de 2 métiers différents et dans les grandes structures c'est géré par des équipes différentes. S'arreter aux frontaux externes c'est juste du foutage de gueule. Vaut mieux ne rien faire, la ua moins les choses sont claires. Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur science sur des sujets qu'ils connaissent pas. Tu connais mon archi ? Non. J'ai un métier, c'est rendre le service disponible. Une fois qu'il l'est, la mécanique interne ne concerne en rien le client. Tu peux dire que tu as fait ton devoir de passage en v6 quand tu as 100% des equipements qui peuvent communiquer entre eux, et avec l'exterieur en v6. Evidamment, il y en a tres peu qui sont arrives la. Cf ci-dessus. J'ai aucune intention de rendre mes machines internes capables de communiquer entre elles en ip6 parce que je n'en ai pas *besoin*. Alors non, je vais pas passer pour un bouffon en soumettent l'idée a ma direction, et en leur demandant du temps homme et du nouveau matos. Donc les prochains qui s'imaginent v6 ready parce-que leur www est passe en v6, merci de s'abstenir. Encore une fois, cf ci-dessus. Tu connais pas mon archi alors viens pas me donner de leçons. J'ai pas besoin que les machines derrière mes load balancers soient en ip6. J'ai pas besoin que mes DB soient en ip6, j'ai pas besoin que mes serveurs de log soient en ip6. Tu sais pourquoi ? Parce qu'en interne j'ai encore masse d'IPs privées disponibles. Sérieux faut arrêter de critiquer sur des infras qu'on connait pas, c'en est presque énervant. Je réponds sur un ton un peu agressif j'en suis conscient, je suis dans ce genre la, quand on me prend de haut a base de tu fais de la merde sans avoir la moindre notion de la problématique a laquelle je réponds. J'attends ton argumentation sur le fait que je doive absolument passer mes machines internes en ip6 alors qu'elles ne verront *jamais* arriver une requête depuis une IP publique. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/23 Jérôme Nicolle jer...@ceriz.fr: Radu, Le 23 décembre 2011 18:43, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Pas d'accord. Commencer par les frontaux est une bonne chose pour plein de raisons : - Plus il y a de services joignables, plus ça justifie le déploiement au niveau accès et end-user - C'est un bon moyen de tester et se rendre compte qu'on est pas encore prêt (appli PHP codée avec les pieds avec des cookies hashés sur l'IPv4...) Dans mon propre cas, ce n'est pas mon problème. Il s'agit d'une problématique pour les devs, pas pour moi à l'exploitation réseau ;) Je comprends bien néanmoins que ça s'inscrit dans une problématique globale. - Mieux vaut faire rentrer IPv6 dans l'entreprise par la grande porte publique (WwW) que par la petite porte qui pique (teredo) - Une fois que les teletubbies de la DSI commencent à comprendre ils pourront se dire ah cool, on pourrait faire pareil partout sur le LAN Dans notre propre cas, je ne vois pas l'intérêt ? Dans un premier temps j'ai une seule problématique à laquelle répondre, rendre mes services joignables en v6 Pour ce faire je n'ai besoin que des firewalls et des load balancers, qui soient capables de faire de l'ip6. Dans un second temps, permettre à mes utilisateurs de joindre des services en v6. Pour se faire, soit je leur file à tous une IP6, soit je les fais sortir avec l'IP6 des proxies/firewalls. C'est certes moins propre et on retombe dans des mécanismes de pseudo-NAT comme on a pu avoir en v4, n'empêche que le coût de déploiement, tant humain que matériel, n'est en rien comparable. Bref, c'est un bon début, c'est à mon avis par là qu'il faut commencer, et surtout ne pas critiquer ceux qui _pour l'instant_ en restent là. De mon point de vue parano-idealo-technophile, par contre, il faut sérieusement se sortir les doigts du cul : les frontaux devraient déjà être accessibles depuis juin dernier et là on doit se pencher sur la sécurité du LAN avant même d'envisager d'y déployer le dual-stack. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
C'est exactement ce que l'on va faire, Keep It Simple Stupid. Encore une fois je n'ai aucun intérêt à avoir mes bases de données en ip6 vu que seuls les serveurs internes y accèdent. Pourquoi j'irais perdre du temps à mettre de l'ip6 dessus ? Comment je justifie auprès de ma direction le coût humain et matériel de cette approche ? 2011/12/23 Surya ARBY arbysu...@yahoo.fr: Pour rebondir là dessus, j'ai eu une discussion avec Cisco là dessus avant-hier, il semble qu'énormément de besoins ipv6 pour les entreprises (je parle pas des telcos) trouvent leur solution dans ces solutions de translations sur les load balancers (VIP v6, interne v4). Outre le besoin lui même et la manière d'y répondre, dans des environnements justement exposés sur internet, migrer toute l'infra serveur c'est pas ce qu'il y a de plus simple. Le temps m'a appris que moins on est intrusif et moins les exploitants doivent toucher, mieux on se porte. De : Damien Fleuriot m...@my.gd À : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 20h29 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On 23 Dec 2011, at 18:43, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Fri, 23 Dec 2011 17:09:15 +0100, Damien Fleuriot m...@my.gd said: +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Ah bah si, je t'assure que c'est comme ça que ça marche. Je fournis un service, je le sers over ipv6, problème réglé. Tes utilisateurs internes, eux ils se connectent comment a ton fronal ? Les utilisateurs des autres boites qui font comme toi, eux ils se connectent coment a ton frontal ? Certainement pas en IPv6, parce-que toi, comme tous les autres comme toi, vous avez oublie que les deux cote d'une connexion doivent etre en IPv6. De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as pas compris la problématique a laquelle je souhaite répondre. Avant de monter sur tes grands chevaux et de te la jouer comme un ouf, intègre la notion qu'il s'agit de 2 problématiques différentes dont on parle la. D'un coté, fournir un service over ipv6. D'un autre, permettre a mes propres utilisateurs d'accéder a des services over ipv6. Il s'agit de 2 métiers différents et dans les grandes structures c'est géré par des équipes différentes. S'arreter aux frontaux externes c'est juste du foutage de gueule. Vaut mieux ne rien faire, la ua moins les choses sont claires. Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur science sur des sujets qu'ils connaissent pas. Tu connais mon archi ? Non. J'ai un métier, c'est rendre le service disponible. Une fois qu'il l'est, la mécanique interne ne concerne en rien le client. Tu peux dire que tu as fait ton devoir de passage en v6 quand tu as 100% des equipements qui peuvent communiquer entre eux, et avec l'exterieur en v6. Evidamment, il y en a tres peu qui sont arrives la. Cf ci-dessus. J'ai aucune intention de rendre mes machines internes capables de communiquer entre elles en ip6 parce que je n'en ai pas *besoin*. Alors non, je vais pas passer pour un bouffon en soumettent l'idée a ma direction, et en leur demandant du temps homme et du nouveau matos. Donc les prochains qui s'imaginent v6 ready parce-que leur www est passe en v6, merci de s'abstenir. Encore une fois, cf ci-dessus. Tu connais pas mon archi alors viens pas me donner de leçons. J'ai pas besoin que les machines derrière mes load balancers soient en ip6. J'ai pas besoin que mes DB soient en ip6, j'ai pas besoin que mes serveurs de log soient en ip6. Tu sais pourquoi ? Parce qu'en interne j'ai encore masse d'IPs privées disponibles. Sérieux faut arrêter de critiquer sur des infras qu'on connait pas, c'en est presque énervant. Je réponds sur un ton un peu agressif j'en suis conscient, je suis dans ce genre la, quand on me prend de haut a base de tu fais de la merde sans avoir la moindre notion de la problématique a laquelle je réponds. J'attends ton argumentation sur le fait que je doive absolument passer mes machines internes en ip6 alors qu'elles ne verront *jamais* arriver une requête depuis une IP publique. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 20:29:41 +0100, Damien Fleuriot m...@my.gd said: Ah bah si, je t'assure que c'est comme ça que ça marche. Je fournis un service, je le sers over ipv6, problème réglé. Je comprends mieux pourquoi on aura jamais un vrai Internet base sur IPv6. Et moi j'etais con a croire que c'est juste des DSI et autres top-level manages paniques qui rendent ca non-implementable. Bah non, les techos avec un champs de vision de 1.73 mm c'est une autre partie du probleme. De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as pas compris la problématique a laquelle je souhaite répondre. Si : afficher un quelque-chose en v6 pour dire que c'est fait. Avant de monter sur tes grands chevaux et de te la jouer comme un ouf, intègre la notion qu'il s'agit de 2 problématiques différentes dont on parle la. D'un coté, fournir un service over ipv6. D'un autre, permettre a mes propres utilisateurs d'accéder a des services over ipv6. Non ce n'est pas 2 problematiques differents. C'est au pire 2 etapes differents pour resoudre le meme probleme. géré par des équipes différentes. D'ou le probleme. Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur science sur des sujets qu'ils connaissent pas. Tu connais mon archi ? Non. Non, mais tu est content d'avoir mis un frontal v6 devant toute une quelque-chose qui marche qu'en v4. OK, de temps en temps ca arrive. Mais le pire des choses, tu est content d'avoir regle le probleme. J'ai un métier, c'est rendre le service disponible. Une fois qu'il l'est, la mécanique interne ne concerne en rien le client. Tu vends ca au client, OK. Mais comme je l'ai deja dit, essaie de faire plus avant d'en parler ici. J'ai aucune intention de rendre mes machines internes capables de communiquer entre elles en ip6 parce que je n'en ai pas *besoin*. Prennons les choses a l'inverse: as-tu besoin d'IPv4 Tu connais pas mon archi alors viens pas me donner de leçons. Non, mai j'ai juste pu apprendre qu'elle n'est nullement compatible v6. J'ai pas besoin que les machines derrière mes load balancers soient en ip6. Tu ne fais que confirmer ce que je dis : tu regle un probleme avec un coup de peinture. Tu sais pourquoi ? Parce qu'en interne j'ai encore masse d'IPs privées disponibles. Effectivement. Avec un /8, un /12 et un /16 pour tout le monde, plus de probleme de penurie (enfin dans 99% des cas). D'ailleurs ca sert a quoi l'IPv6 ? Sérieux faut arrêter de critiquer sur des infras qu'on connait pas, c'en est presque énervant. Je ne critique tes infras, je critique l'approche de la personne qui les gere sans avoir la moindre notion de la problématique a laquelle je réponds. Si tu viens de le dire, confirmer, et re-confirmer: afficher une ettiquete style IPv6 ready. Sans l'etre, evidamment. J'attends ton argumentation sur le fait que je doive absolument passer mes machines internes en ip6 alors qu'elles ne verront *jamais* arriver une requête depuis une IP publique. Je vais probablement me fatiguer un de ces jours libres et faire un reponse plus general sur le sujet. Il va falloir le faire --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 16:12:00 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. Ca fait pas si longtemps que ca (moins de 15 ans), avoir des reseaux 100% IP (v4) etait aussi impossible. Aujourd'hui on y est. Si migrer un tel reseau est tres difficile, dire a partir d'aujourd'hui rien ne passe en prod sans v6 c'est nettement moins. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Discussion fort intéressante mais au combien inefficace (chacun son rythme de déploiement, quand on voit que l'injection SQL de milliers de CMS découverte y a plus de 10 ans est tjs codée par les mêmes pignouffes qui sortent de la même école, et qu'on leur a tjs pas dit qu'il fallait utiliser mysql_escapestring(), je me demande combien de temps va durer ou plutot survivre IPv4). Perso, mon annonce de préfixe /32 IPv6 s’arrête à l'interface Null0 du routeur du seul opérateur qui veut bieen peerer avec moi en IPv6 ( ce qui n'est pas le cas sur les 2 autres) Donc en bref, cela ne sert à rien d'aller plus loin tant que je n'aurais pas 1 voir 2 autres opérateurs en peer BGP sur IPv6 (parce sinon on m'engueulera quand ca tombera d'un côté). Pire, tant que le DNS de ma boite saura pas résoudre les milliers de ndd en IPv6, résolus en IPv4 today, je ne vois pas pourquoi je me presserai à le faire sur l'infra réseau. C'est pas question d'avoir une vision d'1,73mm, c'est question que chaque chose en son temps. Et que pour l'instant, les 2 seuls raisons que je vois : - Le commercial, c'est aujourd'hui lui qui fait tourner boutique, et celui pour lequel tout le monde baisse son pantalon quand on lui présente un contrat de qq centaines / milliers d'euros Et oui c'est bien lui qui me dit que le Cloud c'est génial (alors que ca fait 10 ans qu'il a mis à l'assimiler), il a pas encore compris IPv6 j'en profite le temps qu'il me laisse tranquille avec ca, et qu'il me demande pas 25.000 pubs sur le site con-mercial de la boite ou on arrive a vendre des AS comme des Asynchronous System (alors j'ose même pas imaginer ce que donnerait une présentation d'un hextet et des avtages d'ipv6). - Pourquoi je m'emmerderai à passer du temps a faire des VS IPv6, du routage BGP IPv6, du firewalling IPv6, et changer les sysconfig/networking des milliers de machines alors que les opérateurs sont en train de nous faire du CGN pour faire du NAT de NAT ??? si pas de clients, pas de bussiness, pas d'utilité (trouvé moi un seul DSI qui dira je veux l'hébergement 2 fois plus chers parce qu'ils sont IPv6 ready et pas seulement ready par un logo) Bref, quand les opérateurs et les admins sys/réseau/sécu (et dans cet ordre là) auraient fait leur boulot, on pourra parler d'un déploiement IPv6 ... Quand on voit que les IPv6 day, en particulier chez FB, c'est mettre des LB qui font des VS en IPv6 mais avec du forwarding vers un serveur qui n'a qu'une adresse IPv4, je me dis que j'ai encore au moins un an devant moi ! Noyeux Joel a frnog ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/23 Surya ARBY arbysu...@yahoo.fr Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Autre considération : à se regarder en chiens de faïence, ça risque peu de progresser. L'Internet actuel (limitons nous à la L3) a cela de particulier qu'il n'a pas été bâti uniquement par les industriels, ie. avec quelques motivations autres que commerciales. Espérer la même dynamique pour la migration vers un autre Internet (toujours la limitation L3, qu'on ne joue pas trop sur les mots), c'est illusoire pour deux raisons : l'inertie due à l'ampleur de l'existant, l'inertie due intérêts (industriels) dans l'existant. Le reste de la question se résume (presque) à choisir entre tenir à la barraque ou bâtir le château. Sans assez de monde à se salir les mains, le château ne verra pas le jour ; une fois bâti par contre, le droit d'entrée devient considérable. Je ne veux pas jouer les Pascal, mais à supposer que le château s'élève, je préfèrerais être du bon côté des remparts (malheureusement, je n'ai pas le réseau pour prêter la main). Quelqu'un me rappelle comment on arrive du switch L2 à une prise de bec sur IPv6 ? On n'est pourtant pas sur [MISC]. On Sat, 2011-12-24 at 00:20 +0100, Fabien VINCENT wrote: Discussion fort intéressante mais au combien inefficace (chacun son rythme de déploiement, quand on voit que l'injection SQL de milliers de CMS découverte y a plus de 10 ans est tjs codée par les mêmes pignouffes qui sortent de la même école, et qu'on leur a tjs pas dit qu'il fallait utiliser mysql_escapestring(), je me demande combien de temps va durer ou plutot survivre IPv4). Perso, mon annonce de préfixe /32 IPv6 s’arrête à l'interface Null0 du routeur du seul opérateur qui veut bieen peerer avec moi en IPv6 ( ce qui n'est pas le cas sur les 2 autres) Donc en bref, cela ne sert à rien d'aller plus loin tant que je n'aurais pas 1 voir 2 autres opérateurs en peer BGP sur IPv6 (parce sinon on m'engueulera quand ca tombera d'un côté). Pire, tant que le DNS de ma boite saura pas résoudre les milliers de ndd en IPv6, résolus en IPv4 today, je ne vois pas pourquoi je me presserai à le faire sur l'infra réseau. C'est pas question d'avoir une vision d'1,73mm, c'est question que chaque chose en son temps. Et que pour l'instant, les 2 seuls raisons que je vois : - Le commercial, c'est aujourd'hui lui qui fait tourner boutique, et celui pour lequel tout le monde baisse son pantalon quand on lui présente un contrat de qq centaines / milliers d'euros Et oui c'est bien lui qui me dit que le Cloud c'est génial (alors que ca fait 10 ans qu'il a mis à l'assimiler), il a pas encore compris IPv6 j'en profite le temps qu'il me laisse tranquille avec ca, et qu'il me demande pas 25.000 pubs sur le site con-mercial de la boite ou on arrive a vendre des AS comme des Asynchronous System (alors j'ose même pas imaginer ce que donnerait une présentation d'un hextet et des avtages d'ipv6). - Pourquoi je m'emmerderai à passer du temps a faire des VS IPv6, du routage BGP IPv6, du firewalling IPv6, et changer les sysconfig/networking des milliers de machines alors que les opérateurs sont en train de nous faire du CGN pour faire du NAT de NAT ??? si pas de clients, pas de bussiness, pas d'utilité (trouvé moi un seul DSI qui dira je veux l'hébergement 2 fois plus chers parce qu'ils sont IPv6 ready et pas seulement ready par un logo) Bref, quand les opérateurs et les admins sys/réseau/sécu (et dans cet ordre là) auraient fait leur boulot, on pourra parler d'un déploiement IPv6 ... Quand on voit que les IPv6 day, en particulier chez FB, c'est mettre des LB qui font des VS en IPv6 mais avec du forwarding vers un serveur qui n'a qu'une adresse IPv4, je me dis que j'ai encore au moins un an devant moi ! Noyeux Joel a frnog ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/23 Surya ARBY arbysu...@yahoo.fr Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 +
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/23 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, 23 Dec 2011 20:29:41 +0100, Damien Fleuriot m...@my.gd said: Ah bah si, je t'assure que c'est comme ça que ça marche. Je fournis un service, je le sers over ipv6, problème réglé. Je comprends mieux pourquoi on aura jamais un vrai Internet base sur IPv6. Et moi j'etais con a croire que c'est juste des DSI et autres top-level manages paniques qui rendent ca non-implementable. Bah non, les techos avec un champs de vision de 1.73 mm c'est une autre partie du probleme. De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as pas compris la problématique a laquelle je souhaite répondre. Si : afficher un quelque-chose en v6 pour dire que c'est fait. Tu interprètes de travers, du coup tu fais des assertions fondées sur une interprétation faussée, et tu arrives à un résultat faussé. Le but recherché:- permettre aux clients de mon employeur d'accéder à nos services over ip6 Pour ce faire, je n'ai *pas* besoin de full v6, j'ai simplement besoin que les loadbalancers (et les firewalls frontaux) parlent en v6.Une fois la requête arrivée sur les LB, le reste du processing est invisible pour le client, et encore heureux ! Pourquoi voudrais-tu que j'expose mes serveurs de backend en ip6 alors que de toutes façons ils n'ont *pas* vocation à être interrogés directement ? Si c'est juste pour avoir du v6 partout je vois pas l'intérêt, je peux *pas* défendre ça ni devant mon DSI, ni devant le comité de pilotage de la boîte. Un but NON recherché et que tu penses que je devrais atteindre:- permettre à mes utilisateurs d'accéder à des ressources over ip6 Ce n'est *pas* ce que je veux faire pour le moment, ça sera mis en place courant 2012, on a d'ailleurs du matos de commandé pour ça.Mais ce n'est *pas* ce dont je parle depuis le début.Il s'agit, encore une fois, d'une problématique à part ! Avant de monter sur tes grands chevaux et de te la jouer comme un ouf, intègre la notion qu'il s'agit de 2 problématiques différentes dont on parle la. D'un coté, fournir un service over ipv6. D'un autre, permettre a mes propres utilisateurs d'accéder a des services over ipv6. Non ce n'est pas 2 problematiques differents. C'est au pire 2 etapes differents pour resoudre le meme probleme. Tu confonds complètement. Que les clients de ma boîte puissent accéder à nos services en ip6, ça requiert:- que je rende mes services disponibles en ip6, c'est dans mon périmètre.- que lesdits clients aient de la connectivité ip6, ce n'est *pas* dans mon périmètre puisque ça peut être n'importe quel internaute. Toi, pour une raison qui m'échappe, tu pars du principe que mes propres utilisateurs devraient pouvoir aussi faire du v6.C'est un sujet à part ! Le fait que mes utilisateurs restent limités à du v4 pour le moment ne m'empêche pas de rendre nos services joignables en v6 ! géré par des équipes différentes. D'ou le probleme. Ce n'est pas un problème, justement, c'est un problème seulement dans ta vision des choses. Ta vision de il faut être full ip6 de bout à bout sinon c'est pas bien. Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur science sur des sujets qu'ils connaissent pas. Tu connais mon archi ? Non. Non, mais tu est content d'avoir mis un frontal v6 devant toute une quelque-chose qui marche qu'en v4. OK, de temps en temps ca arrive. Mais le pire des choses, tu est content d'avoir regle le probleme. Je sais pas, j'ai l'impression que tu vois la transition vers ip6 avec un oeil perfectionniste et qu'il faut absolument avoir du full v6 partout. Réponds à cette question: à quelle fin ?Si la réponse est pour que ça soit propre, je trouve que c'est une mauvaise raison.Si la réponse est l'autoconfiguration des postes, ça n'est pas un argument pertinent dans mon cas, il s'agit de serveurs, évidemment tous configurés de manière statique. Quelle problématique ça règlerait que *toutes* mes machines, y compris mes serveurs de backend qui sont invisibles au reste du monde, soient en v6 ?Je comprends pas pourquoi tu essayes de m'imposer du v6 de bout en bout, je comprends pas le *gain* pour ma société. Au lieu de communiquer en interne en v4, je communiquerais en v6.Gain: nulCoût: monstrueux (renumber tous mes subnets, reconfigurer toutes les machines, changer tout le matériel de switching) Ca passera jamais auprès de ma DSI et ils auront bien raison.Comment je fais moi, pour justifier le coût d'un full v6:- sans aucun gain mesurable- ne répondant à *aucune* problématique (encore une fois je n'ai PAS besoin que mes serveurs se parlent en v6 en interne !) J'ai un métier, c'est rendre le service disponible. Une fois qu'il l'est, la mécanique interne ne concerne en rien le client. Tu vends ca au client, OK. Mais comme je l'ai deja dit, essaie de faire plus avant d'en parler ici. cf ci-dessus, donne moi une bonne raison de faire du full v6 *en interne* ! Il n'y a absolument aucun gain, alors non, je n'ai pas
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Ouais la mienne deja. Deuxio je suis bien content de pouvoir faire un ssh direct d'une machine de n'importe ou sans avoir a monter une saloperie de vpn parce que la sécurité par l'obscurantisme tout ca. Et ca en v4 prive + nat, c'est juste drôle... Le 23 déc. 2011 17:07, Surya ARBY arbysu...@yahoo.fr a écrit : Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/23 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? Sans proxy ? Quel intérêt ? Un proxy ça t'apporte du cache (performances, réduction de l'utilisation de la bande passante), du contrôle d'accès, et même un certain niveau de sécurité une fois couplé à un antivirus. Pourquoi je voudrais me débarrasser de mes proxies ??? Si tu parlais de *reverse* proxies, ils sont tout aussi défendables ! Mes loadbalancers, qui finalement sont des reverse proxies hein, ils apportent: - offloading gzip - offloading SSL - filtrage layer 7 - flexibilité ! (suppression/ajout d'une machine dans le pool de backend sans que les clients ne voient rien, c'est quand même le pied, notamment pour les maintenances). Pourquoi je voudrais me débarrasser d'eux aussi ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. Je suis curieux, développe un peu ? La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. Ca a ses avantages, notamment tous ceux que j'ai cités plus haut concernant les proxies et rproxies. Ca a également d'autres avantages tels qu'un meilleur contrôle de son périmètre et une sécurité accrue, à mon sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/24 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, 23 Dec 2011 16:12:00 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. Ca fait pas si longtemps que ca (moins de 15 ans), avoir des reseaux 100% IP (v4) etait aussi impossible. Aujourd'hui on y est. Si migrer un tel reseau est tres difficile, dire a partir d'aujourd'hui rien ne passe en prod sans v6 c'est nettement moins. Tu réponds à quel besoin avec cette politique ? --- Liste de diffusion du FRnOG http://www.frnog.org/
