Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janv. 2013 à 16:38, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote: ou autrement dit, la sécurité globale d'un site repose sur la sécurité de l'ensemble des périphériques utilisant le réseau. Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une mauvaise idee heu désolé, mais je crois que tu n'as pas compris que ma remarque était ironique : c'est effectivement assez inepte de penser que la securité peut être maitrisée sur les feuilles. A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, tablettes, téléphones, machines à café, ...) !!! Your device, your security. Dans un cotexte BYOD c'est meme pas mal comme concept. Mais ca reste ingerable/difficilement gerable. Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques de securite a la con sur *mon* *device* (ma propriete perso). Ils veulent de la secu, ils me filent leur device. Ouais, la réalité aujourd'hui en entreprise est qu'un nombre important de personnes ont des iBidule ou autres AndroMachin, et qu'ils se connectent au réseau via généralement le wifi. C'est une réalité aujourd'hui en entreprises, poussée au départ par les utilisateurs, et parfois même par l'entreprise elle-même pour ses utilisateurs non sédentaires. Je ne parle même pas des imprimantes et photocopieurs qui désormais se payent le luxe d'ouvrir des ports en UPNP et de se mettre à jour automatiquement sur internet. Donc le problème n'est pas de savoir si on veut ou pas du BYOD, et si oui d'uniformiser celui-ci sur un seul modèle de périphérique. Le BYOD existe déjà, et par nature, va continuer à croitre dans la plus parfaite hétérogénéité. Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est obligatoire. Un firewall pour proteger entre eux des devices sur le meme subnet on-link ?!?!?!?!?!?!?!?! Le premier travail d'un firewall est d'empêcher les sessions entrant ou sortante non souhaitée entre internet et les LANs. Ensuite dans une entreprise avec un firewall, il est rare que toutes les machines soit sur le même LAN, donc il y a un possible passage par le firewall entre LANs. Enfin au sein d'un même LAN, il existe des technologies de limitation également en on-link (Wifi Guest avec isolation des postes entre eux, appliance de contrôe Wifi, ou technologies NAC 802.1X). Je n'ai donc jamais dis qu'il ne fallait pas gérer de la sécurité au niveau du device, mais qu'il en faut au niveau de l'accès internet (firewall) + politique de sécurité au niveau des devices, compléter par une éventuelle politique de sécurité plus poussée (802.1X, VLAN wifi isolé, DMZ, ...). Mon propos est juste de dire que se basé uniquement sur une politique de sécurité au niveau device me semble une inepsie. Le minimum étant plutôt au niveau firewall + device. Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise... T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de non-techniques. Tu decris exactement le raison pour lequel la securite *par* *device* a un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne l'ai pas dit sufisamment de fois). Ingérable, on est d'accord, donc une politique de sécurité basée sur ce principe est également ingérable, ce qui n'est pas loin de signifier inexistante... Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, Jan 22, 2013, at 19:10, Fabien Dedenon wrote: 16ms via ams avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ? Si, mais ca reste toujours moins bien que 2ms avec 100% des paquets (ce qu'on devrait avoir normalement). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, Le 15 janv. 2013 à 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit : ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 d'ailleurs c'est pas une atteinte à la net neutralité ca ? de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) - Mail original - De: Alain Richard alain.rich...@equation.fr À: Frédéric GANDER fgan...@corp.free.fr Cc: Liste FRnoG frnog@frnog.org Envoyé: Mardi 22 Janvier 2013 10:33:51 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base ( RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, Le 15 janv. 2013 à 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit : ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 d'ailleurs c'est pas une atteinte à la net neutralité ca ? de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du sujet... Le 22/01/13 10:39, Frédéric GANDER a écrit : euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) -- Baptiste MALGUY NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B 3B71 96D8 6328 0B2F 0EA1 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-22 10:33, Alain Richard wrote: Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22/01/13, sxpertsxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
firewall intermédiaire qui peut très bien être dans la box (configurable) si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le veuille ou non un firewall stateful qui deny toutes les connections entrantes qui n'ont pas de state ou de règle pour laisser passer. Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit : On 2013-01-22 10:33, Alain Richard wrote: Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-22 11:19, Rémi Bouhl wrote: Le 22/01/13, sxpertsxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. si tu avais suivi, t'aurais vu que maxime sait qu'il manque un bout de GUI pour permettre de router les 7 autres blocs affectés a l'utilisateur --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Rémi Bouhl, le Tue 22 Jan 2013 11:19:22 +0100, a écrit : Le 22/01/13, sxpertsxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. J'ai cru lire qu'ils avaient étendu à un /60 (ou du moins commencé à le faire en 2008). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-22 11:21, Guillaume Leclanche wrote: firewall intermédiaire qui peut très bien être dans la box (configurable) si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le veuille ou non un firewall stateful qui deny toutes les connections entrantes qui n'ont pas de state ou de règle pour laisser passer. si tu parles de la bidouille utilisée partout pour multiplier les ipv4 non disponibles en quantité suffisante, ce n'est pas du NAT, mais du PAT. de nos jours, vu le fonctionnement des malwares, qui attaquent de l'intérieur en utilisant diverses failles java, flash, navigateur ou humaines (cliquez sur le document machin dans le mail), ca n'amene absolument aucune sécurité. le NAT lui meme, c'est a dire qu'on fait correspondre des addresses 1 pour 1 n'amene pas plus de sécurité. au mieux, il ne sert qu'a obscurcir l'architecture interne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On ne se débarrassera donc jamais de la rustine NAT parce que les gens ne se fatigueront jamais à faire les choses normalement et proprement et auront toujours en tête que sécu simple = NAT :( monde de merde Frederic Le 1/22/13 11:21 AM, Guillaume Leclanche a écrit : firewall intermédiaire qui peut très bien être dans la box (configurable) si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le veuille ou non un firewall stateful qui deny toutes les connections entrantes qui n'ont pas de state ou de règle pour laisser passer. Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit : On 2013-01-22 10:33, Alain Richard wrote: Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit : On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. Facile quoi :) -- Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread : la possibilite de mettre son propre equipement a la place de la box. Bon on peut le faire en mettant son netgear/etc derriere la box en bridge, ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne (qos, marge de bruit etc. En meme temps c'est exactement la volonte des FAI). Rappelons que la box est dans un contexte grand public ou il est rare de trouver des vlans et/ou des dmz puisqu'il est interdit par les operateurs d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit : Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit : On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. Facile quoi :) Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 supportés. Bref ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 12:21, Frederic Gabut fga...@nautile.fr a écrit : Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit : Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit : On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. Facile quoi :) Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 supportés. Bref ! c'est pas un peu gros un /56 par abonné ? Juste un /120 suffirait pour son usage domestique. Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4) Quand je vois du /64 juste pour une liaison ptp ... rah... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, 22 Jan 2013 13:10:26 +0100, Pascal Rullier pas...@rullier.net wrote: c'est pas un peu gros un /56 par abonné ? Juste un /120 suffirait pour son usage domestique. Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4) Quand je vois du /64 juste pour une liaison ptp ... rah... Faire du /120 sur IPv6 nécessite de faire de l'adressage manuel ou du DHCPv6, mais la plupart des équipements fonctionnent avec de l'autoconfiguration utilisant sur l'adresse MAC. Compte tenu de la taille de l'adresse MAC, le préfixe le plus grand nécessaire à ces méthodes est un /64. Il y a également un intérêt à pouvoir découper plusieurs /64 dans un préfixe plus petit (/48,/56) pour pouvoir définir plusieurs zones d'autoconfiguration. Quand les plutoniens n'auront plus assez d'IPv6 pour se connecter à InterPlaNet , on pourra se préoccuper de la pénurie d'IPv6. ;) -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
- Mail original - De: Baptiste Malguy bapti...@malguy.net À: frnog@frnog.org Envoyé: Mardi 22 Janvier 2013 11:13:37 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du sujet... pourtant ce c'est que ca voulait dire je désactive l'ipv6 car j'ai une ip publique non firewaller sur internet alors que en ipv4 avec le nat actif par defaut je suis proteger Le 22/01/13 10:39, Frédéric GANDER a écrit : euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) -- Baptiste MALGUY NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B 3B71 96D8 6328 0B2F 0EA1 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Bonjour, On Tue, 22 Jan 2013 15:24:51 +0100 Paul Rolland (ポール・ロラン) rol+fr...@witbe.net wrote: Bonjour, On Tue, 22 Jan 2013 11:15:21 +0100 sxpert sxp...@sxpert.org wrote: la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free propose de configurer des filtres sur IPv4. Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du parametrage de Nat, pas des acls :( Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait quand meme pas etre si complique que ca... Ca, par contre, ca reste vrai :) Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Il n'est pas question ici de débattre si le NAT est ou n'est pas une sécurisation. Lisez la RFC6092 : Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service et arrêter d'incendier le monde avec la position extrême disant qu'IPv6 ne doit faire que du routage transparent, c'est une des raisons principales qui a freiné l'adoption d'IPv6. A+ Merci de lire la RFC6092 Le 22 janv. 2013 à 10:39, Frédéric GANDER fgan...@corp.free.fr a écrit : euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
ou autrement dit, la sécurité globale d'un site repose sur la sécurité de l'ensemble des périphériques utilisant le réseau. A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, tablettes, téléphones, machines à café, ...) !!! Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est obligatoire. Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise... A+ Le 22 janv. 2013 à 11:15, sxpert sxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 15:38, Paul Rolland rol+fr...@witbe.net a écrit : Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du parametrage de Nat, pas des acls :( Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT est somme toute celle d'un firewall stateful avec des règles assez basiques : FORWARD accepté de *interne vers externe*. FORWARD accepté de *externe vers externe* Si *connexion déjà établie*. Donc en somme, si une box avec ipv6 met en place ce genre de règles de firewall, l'utilisateur est aussi protégé que via du NAT (on bloque les connexions entrantes non sollicitées, ça suffit à la plupart des gens). Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les applications le nécessitant ne soient pas bloquées. Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut paramètrer son firewall en suivant les demandent de NAT traversal émisent via UPNP Internet Gateway Device Protocol. Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du DNAT, rien n'empêche de changer les règles de firewall insérées. Du coup : * IPv4 + NAT + UPNP * IPv6 + Firewall + UPNP Et le tour est joué, non ? On peut déjà faire du port forwarding sur le NAT des box avec l'interface du FAI, rajouter une option ipv4/ipv6 et de toucher soit au NAT, soit d'ouvrir bêtement le port (vers une destination, un masque, ou vers tout le sous-réseau) fait l'affaire. J'ai loupé quelque chose ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote: ou autrement dit, la sécurité globale d'un site repose sur la sécurité de l'ensemble des périphériques utilisant le réseau. Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une mauvaise idee A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, tablettes, téléphones, machines à café, ...) !!! Your device, your security. Dans un cotexte BYOD c'est meme pas mal comme concept. Mais ca reste ingerable/difficilement gerable. Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques de securite a la con sur *mon* *device* (ma propriete perso). Ils veulent de la secu, ils me filent leur device. Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est obligatoire. Un firewall pour proteger entre eux des devices sur le meme subnet on-link ?!?!?!?!?!?!?!?! Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise... T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de non-techniques. Tu decris exactement le raison pour lequel la securite *par* *device* a un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne l'ai pas dit sufisamment de fois). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/2013 12:35, Radu-Adrian Feurdean a écrit : J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free avait resorti comme la premiere destination (mieux que Renater, HE.net ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route potable qui ne sortait pas de la France. Et ca, malgre 4 transitaires + He.net (meilleure route, mais +16ms via Amsterdam). 16ms via ams avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ? + --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 19:10, Gunther Ozerito gozer...@gmail.com a écrit : De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca facilite le developpement de backdoor, les hackerz du monde entier vous remercie. Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie de devoir faire le port forwarding à la main. Pense à bien dimensionner ton support client, parce qu'il va morfler dès les premiers jours. N'oublions pas que la sécurité est un compromis et que ce que tu peux mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur youtube et facebook. Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les requêtes ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie de devoir faire le port forwarding à la main. C'est pas parce qu'un protocole est utile qu'il est parfait, sans defaut et bien implementé. La preuve, on est oblige de le completer par PCP pour gerer le CGN et autres. Basé sur du broadcast, donc non routable, pas d'authent, affectation automatique des ports meme s'ils sont deja utilisés, pas d'encryption ... Bref du tout bon quoi. Meme Bonjour est mieux pensé, c'est dire. Bon donc une nouvelle version d'UPnP serait pas du luxe. Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les requêtes ? La meilleure des plateforme de DPI, les CGV de l'operateur. Le FAI n'est pas responsable de la securité des équipements connectés a la box == demerden sie et installez un antivirus, firewall et/ou mettez votre OS a jour. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Hello, Le 16 janv. 2013 à 22:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.com a écrit : Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat d'un bloc IPv4 au marché noir. De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et certains opérateurs jouent même la rétention dans ce sens... Y a mieux, créer une pseudo boite en afrique (choose your country) et la rattacher à la maison mère en France. Une fois que tu as ton joli subnet (pleiiin d'ip, vu que l'afrique a moins besoin de l'internet que les pays du nord) tu monte ton subnet sur ton AS europeen et tu l'utilise en France par exemple. Voici quelques nouveautés qui emmergent depuis 2012... Pas besoin de racheter au marché noir, il suffit de faire comme toutes les ressources des pays qui en cours de développement : les utiliser pour un besoin que le pays en question n'as pas (ou tout simplement se servir sans concessions). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc orchestré par Google et Facebook pour embeter les providers français (sourcehttp://reflets.info/fleur-pellerin-annonce-la-mise-a-mort-de-la-neutralite-du-net/ ) Elle a progressé en 6 mois hein :-) Maintenant elle quitte la table *avant* de dire quelque chose. Et après elle fait une commission pour enterrer proprement les choses :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-17 14:26, Stephen wrote: Tu es sûr de vouloir absolument de l'accès avec IP dynamique où il est interdit d'y héberger un serveur ? http://support.google.com/fiber/bin/answer.py?hl=enanswer=2659981topic=2440874ctx=topic Unless you have a written agreement with Google Fiber permitting you do so, you should not host any type of server using your Google Fiber connection ca se voit que c'est pas des tech qui ont écrit les clauses d'utilisations, par natures abusives... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 17/01/2013 14:26, Stephen a écrit : Tu es sûr de vouloir absolument de l'accès avec IP dynamique où il est interdit d'y héberger un serveur ? http://support.google.com/fiber/bin/answer.py?hl=enanswer=2659981topic=2440874ctx=topic Unless you have a written agreement with Google Fiber permitting you do so, you should not host any type of server using your Google Fiber connection En même temps, ils vont pas fournir 1Gbps pour que tu les utilises en plus ! Monde de bisounours ... Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Thu, 17 Jan 2013 14:36:47 +0100, sxpert sxp...@sxpert.org wrote: Unless you have a written agreement with Google Fiber permitting you do so, you should not host any type of server using your Google Fiber connection ca se voit que c'est pas des tech qui ont écrit les clauses d'utilisations, par natures abusives... Clauses abusives ou pas, elles sont écrites. La seule volonté de Google à travers ses accès est de capter des clients pour ses propres serveurs et services, d'où l'interdiction d'héberger soit même des serveurs. Si cette restriction était mise en oeuvre, ce ne serait effctivement pas un vrai accès Internet, mais un accès data. C'est plus probabalement un problème lié à la réputation de l'AS et des IP Google face au reste de l'Internet.(SMTP port 25, toussa toussa). Donc non à mon avis ce n'est pas qu'un simple caprice de commercial. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 17/01/13, Solarussola...@ultrawaves.fr a écrit : C'est plus probabalement un problème lié à la réputation de l'AS et des IP Google face au reste de l'Internet.(SMTP port 25, toussa toussa). Bof, non, ça ça se résout habituellement à coup de blocages du port 25, éventuellement non désactivable si on est féroce. Quand on interdit aussi les ports 80, 443, 22 et compagnie, c'est qu'on a une autre idée derrière la tête (du genre, empêcher les clients-du-FAI-Google de porter atteinte au business de l'hébergeur-Google, ou comment l'intégration verticale est une menace pour la neutralité du réseau). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 17/01/2013 15:41, Solarus wrote: Clauses abusives ou pas, elles sont écrites. Je sais pas comment ça se passe aux states, mais en France une clause écrite mais abusive devient réputée non écrite. Rien que le terme m'amuse. On 17/01/2013 15:48, Rémi Bouhl wrote: Quand on interdit aussi les ports 80, 443, 22 et compagnie, c'est qu'on a une autre idée derrière la tête (du genre, empêcher les clients-du-FAI-Google de porter atteinte au business de l'hébergeur-Google, ou comment l'intégration verticale est une menace pour la neutralité du réseau). Oui c'est intéressant de voir comment petit à petit le masque tombe alors que d'un côté Google lance une pétition pour la neutralité du net, de l'autre ils répriment leurs propres abonnés. https://www.google.com/intl/fr/takeaction/ « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..] Unissons nos forces pour qu'Internet reste libre et ouvert. » WTF !? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 17 janv. 2013, at 17:44, Sylvain Vallerot sylv...@gixe.net wrote: Oui c'est intéressant de voir comment petit à petit le masque tombe alors que d'un côté Google lance une pétition pour la neutralité du net, de l'autre ils répriment leurs propres abonnés. https://www.google.com/intl/fr/takeaction/ « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..] Unissons nos forces pour qu'Internet reste libre et ouvert. » WTF !? le phénomène de la main droite qui sait pas trop ce que fait la main gauche ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 17 janvier 2013 18:44, Raphaël Jacquot sxp...@sxpert.org a écrit : On 17 janv. 2013, at 17:44, Sylvain Vallerot sylv...@gixe.net wrote: Oui c'est intéressant de voir comment petit à petit le masque tombe alors que d'un côté Google lance une pétition pour la neutralité du net, de l'autre ils répriment leurs propres abonnés. https://www.google.com/intl/fr/takeaction/ « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..] Unissons nos forces pour qu'Internet reste libre et ouvert. » WTF !? le phénomène de la main droite qui sait pas trop ce que fait la main gauche ? Ils ne parlent pas du même Internet, ils parlent sans doute de celui des autres D'ailleurs pourquoi interdire le hosting @home avec une capa comme cela ? du simple serveur de jeu, ou mail ou whatever ? Parce le FAI est aussi un hébergeur de services, donc il se tirerait une balle dans le pied, par contre, pour pousser des données ou utiliser du cloud intranet, oui, mais pour héberger, non... Cet internet là ressemble, hélas, de plus en plus à une TV en flux descendant seulement où le client zappe, choisit de la VOD sélectionnée, gobe, jete car il ne peut pas stocker, et passe à la caisse en fin de mois de plus en plus con...sommateur que consomm...acteur... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Pascal Rullier wrote: Le 17 janvier 2013 18:44, Raphaël Jacquot a écrit : le phénomène de la main droite qui sait pas trop ce que fait la main gauche ? Surtout que j'ai lu un interview de Vint Cerf qui disait qu'il poussait le projet Fiber Kansas City. Ce qui ne veut pas dire qu'il ait écrit les CGU. Ils ne parlent pas du même Internet, ils parlent sans doute de celui des autres L'offre se présente comme « A Different kind of Internet ». En France, ils pourraient vendre ça comme de l'« Internet par Google ». D'ailleurs pourquoi interdire le hosting @home avec une capa comme cela ? du simple serveur de jeu, ou mail ou whatever ? Pour pouvoir déployer du CGN sans restreindre le service justement. Si un client demande à ouvrir un port, on peut lui répondre que c'est interdit par le contrat. Et Hop, pas besoin de changer les CGS en cours de fonctionnement. Google a intérêt à interdire les jeux, comme ça tu vas sur Internet et tu vois leur pubs. Parce le FAI est aussi un hébergeur de services, donc il se tirerait une balle dans le pied, par contre, pour pousser des données ou utiliser du cloud intranet, oui, mais pour héberger, non... Bah, en dehors de Google, tu n'as besoin de rien. ya le mail, le réseau social, les vidéos de chatons, les films, les livres. Pour le nouvel arrivant en Internet, ça fait déjà beaucoup. Sauf s'il veut du pr0n. Cet internet là ressemble, hélas, de plus en plus à une TV en flux descendant seulement où le client zappe, choisit de la VOD sélectionnée, gobe, jete car il ne peut pas stocker, et passe à la caisse en fin de mois de plus en plus con...sommateur que consomm...acteur... Pire, l'offre de base est gratuite (or frais de construction de ligne, $300 de mémoire). Donc la FCC va ptet pas râler, vu que c'est limite une offre sociale (genre la collectivité prend en charge les FAS ?), on va pas demander du service top-niveau non plus. Pour ceux qui payent le Gigabit+TV à $120/mo, c'est une autre affaire. -- Cyprien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 16 janv. 2013, at 08:56, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: c'est sur avec la stratégie d'ouvrir les domaines ipv6 en fonction des ip source des dns recursif on est un peut entrain de refaire le fichier hosts ca va pas favoriser le déploiement Ca c'est fini depuis 6 mois deja. Ce qui me faite penser : test stats IPv6 ne datent pas d'il y a 1-2 ans par hasard ? le CCC annonce qu'il est possible qu'il n'y ait pas d'IPV4 dans le réseau pour le congres de l'an prochain... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote: Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une volonté de l'hébergeur. public bashing Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard, mais en plus est une option (produit apart) payante. Pire encore, dans le service standard ils disent nous pouvons attaquer une origine en v6, mais on l'expose cote client uniquement en v4. Si vous voulez une exposition client en v6, il faut acheter le produit ZXZXZXZXZX en plus. Je m'attendais a mieux pour le prix que ca coute... /public bashing --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
C'est de notoriete publique que la ligne conductrice d'Akamai est tant qu'il y a des cons pour acheter, moi je vends, non ? Le 16 janv. 2013 09:20, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote: Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une volonté de l'hébergeur. public bashing Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard, mais en plus est une option (produit apart) payante. Pire encore, dans le service standard ils disent nous pouvons attaquer une origine en v6, mais on l'expose cote client uniquement en v4. Si vous voulez une exposition client en v6, il faut acheter le produit ZXZXZXZXZX en plus. Je m'attendais a mieux pour le prix que ca coute... /public bashing --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, 2013-01-16 at 09:20 +0100, Radu-Adrian Feurdean wrote: public bashing Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard, mais en plus est une option (produit apart) payante. Pire encore, dans le service standard ils disent nous pouvons attaquer une origine en v6, mais on l'expose cote client uniquement en v4. Si vous voulez une exposition client en v6, il faut acheter le produit ZXZXZXZXZX en plus. Je m'attendais a mieux pour le prix que ca coute... /public bashing Sérieusement ?!? Mais comment on peut être aussi #@%! -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
- Mail original - De: Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À: Frédéric GANDER fgan...@corp.free.fr Cc: Liste FRnoG frnog@frnog.org Envoyé: Mercredi 16 Janvier 2013 08:47:35 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà On Tue, Jan 15, 2013, at 17:14, Frédéric GANDER wrote: quand tu as plus de 2 millions de mec qui ont du v6 potentiellement à la maison et que tu fais 20gbit/s de v6 j'appel pas ca un succès foudroyant au niveau du contenu Augmente ta capa vers Google (Youtube). Ils doivent une conne source de contenu en v6, et ca marche super-mal de chez vous (en v4 comme en v6). Ameliore aussi ta collectivité v6 *EN FRANCE*. dit pas n'importe quoi, augmenter la capa vers youtube n'impacte pas le ratio v4/v6 et augmenter la connectivité v6 en france par rapport au v4, n'augmentera pas l'usage du v6 par rapport au v4. Si ton problème c'est de peerer tu peux toujours prendre un paid peering heim, mais non tu n'en as pas besoin vu que tu bosses chez un tier 1 revendeur exclusif de level3 dans un monde mineral sans chaise désuette. Tu vas quand-meme pas commencer a te plaindre que ton traffic n'augmente pas au-dela de 100% de ta capacite, hein ? je me plains pas, je constate que l'evolution de l'ipv6 les 6 dernières années se fait plus doucement que le v4 son %tage dans le réseau ne progresse pas. Commence donc par mettre le site web de ta boite en v6 ca augmentera le traffic ipv6. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, 16 Jan 2013 09:20:37 +0100, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: public bashing Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard, mais en plus est une option (produit apart) payante. Pire encore, dans le service standard ils disent nous pouvons attaquer une origine en v6, mais on l'expose cote client uniquement en v4. Si vous voulez une exposition client en v6, il faut acheter le produit ZXZXZXZXZX en plus. Je m'attendais a mieux pour le prix que ca coute... /public bashing A ce propos on peut critiquer les clients d'Akamai qui lui achetent de l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est réglé. On se retrouve par exemple avec www.bing.com qui possède des entrées sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie les www n'a pas accès à Bing. C'est bête hein ? ;) -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
De toute façon, il aura pas accès à grand chose donc, bing ou pas , comment dire :) Envoyé de mon iPhone Le 16 janv. 2013 à 09:42, Solarus sola...@ultrawaves.fr a écrit : On Wed, 16 Jan 2013 09:20:37 +0100, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: public bashing Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard, mais en plus est une option (produit apart) payante. Pire encore, dans le service standard ils disent nous pouvons attaquer une origine en v6, mais on l'expose cote client uniquement en v4. Si vous voulez une exposition client en v6, il faut acheter le produit ZXZXZXZXZX en plus. Je m'attendais a mieux pour le prix que ca coute... /public bashing A ce propos on peut critiquer les clients d'Akamai qui lui achetent de l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est réglé. On se retrouve par exemple avec www.bing.com qui possède des entrées sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie les www n'a pas accès à Bing. C'est bête hein ? ;) -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
(plein de choses sur CGN, etc...) Enfin ce qui me fait marrer avec nous y voilà, c'est quand même le concept d'attentisme de tous les acteurs. Dans un certain job, j'ai entendu : on n'as pas migré les serveurs de mails en IPv6 car la solution insert constructeur propriétaire n'est pas compatible IPv6 et n'as pas encore de projet pour sortir un boite noire IPv6 compliant. Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui écoute le port 53 (tcp/udp) elle est ou la complexité ? Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas loin de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6. Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ? Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du réseau, et c'est plus compliqué en Edge sur les CPE. Quand on voit que l'évolution des requêtes DNS a un peu poussé... Et qu'il n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on peux quand même se dire que la stratégie de l'échec est la. Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6. Maintenant, reprenons le coup des serveurs de mails. Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont pas compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté les solutions non IPv6 compliant par la fenêtre pour prendre des outils opensource (qui en passant sont _aussi_ utilisé dans des boites noires, comme Barracuda, et encore c'est un exemple), histoire de ne pas se compliquer l'existence. Quand on voit le world ipv6 launch qui parle de mettre les eyeballs en ipv6, je suis franchement septique, vu la complexité en terme de changement d'une infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y arrive pas sur des services _simples_ ? Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne se sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le monde se regarde et attendent que les autres bougent. Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres opérateurs... c'est un peu autre chose. Dommage. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Beau discours d'une personne technique qui ne gère pas des budgets de x millions d'euros ( sans vouloir être condescendant ). Les grosses boites ont bien plus de problématiques à gérer que ça. La technique pour la technique osef, la technique pour ce que ça apporte en $$$ ou en économie sur son budget sur x années ok! De plus, pour recruter des ingénieurs en ce moment c'est la misère, soit on voit des mecs complètements incompétents, soit des mecs sans exp qui demandent des salaires délirants ! Ça fait 2 ans que c'est comme ça, et a priori, c'est pas demain que ça va se résoudre. Donc clairement, ce n'est pas un pb technique. Ça fait des années qu'on vous le répète tous. C'est pour cela qu'il faut les land comme Fred a organisé avec Telecom ParisTech et il faut encore et encore des ppt avec des chiffres et des $$$ ! Raphael Envoyé de mon iPhone Le 16 janv. 2013 à 09:52, Xavier Beaudouin k...@oav.net a écrit : (plein de choses sur CGN, etc...) Enfin ce qui me fait marrer avec nous y voilà, c'est quand même le concept d'attentisme de tous les acteurs. Dans un certain job, j'ai entendu : on n'as pas migré les serveurs de mails en IPv6 car la solution insert constructeur propriétaire n'est pas compatible IPv6 et n'as pas encore de projet pour sortir un boite noire IPv6 compliant. Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui écoute le port 53 (tcp/udp) elle est ou la complexité ? Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas loin de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6. Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ? Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du réseau, et c'est plus compliqué en Edge sur les CPE. Quand on voit que l'évolution des requêtes DNS a un peu poussé... Et qu'il n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on peux quand même se dire que la stratégie de l'échec est la. Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6. Maintenant, reprenons le coup des serveurs de mails. Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont pas compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté les solutions non IPv6 compliant par la fenêtre pour prendre des outils opensource (qui en passant sont _aussi_ utilisé dans des boites noires, comme Barracuda, et encore c'est un exemple), histoire de ne pas se compliquer l'existence. Quand on voit le world ipv6 launch qui parle de mettre les eyeballs en ipv6, je suis franchement septique, vu la complexité en terme de changement d'une infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y arrive pas sur des services _simples_ ? Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne se sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le monde se regarde et attendent que les autres bougent. Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres opérateurs... c'est un peu autre chose. Dommage. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-16 09:52, Xavier Beaudouin wrote: Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas loin de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6. j'espere que t'as upgrade ton bind depuis, parce que sinon, tu risques quelques soucis ;-) Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du réseau, et c'est plus compliqué en Edge sur les CPE. deux choses: * comme disait qqun plus tot, les fournisseurs de routeurs qui réclament des sous en plus pour avoir un vrai support ipv6 * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, Jan 16, 2013, at 1:49, Pierre-Yves Maunier wrote: Si ça passe derrière du NAT, je vois pas pourquoi ça passerait pas derrière du CGN tant que tu bouffes pas 40 000 ports. UPNP / ouverture de ports a la demande ? Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en Mme Michu a souvent un mari ou un fils qui peut vouloir utiliser le NAT/PAT ou des serveurs de je ne sais pas quoi en local. Meme si aujourd'hui les choses ont du avancer (dans la mauvaise direction), j'entendais le meme discours avec la fameuse Mme Michu il y a plusieurs annees, quand les solutions VPN etait nettement moins NAT-friendly (et le SSL-VPN nettement moins deploye), et les corporate users (dont certains *TRES* mobiles) ralaient nettement plus souvent qu'aujourd'hui a cause du VPN qui ne passe pas ici ou la. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janv. 2013 à 10:06, Raphaël Maunier - Jaguar Network a écrit : Donc clairement, ce n'est pas un pb technique. Ça fait des années qu'on vous le répète tous. C'est pour cela qu'il faut les land comme Fred a organisé avec Telecom ParisTech et il faut encore et encore des ppt avec des chiffres et des $$$ ! D'ailleurs je pense qu'on en proposera d'autres ! Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janv. 2013 à 08:14, Raphaël Jacquot sxp...@sxpert.org a écrit : depuis le temps qu'on leur dit qu'une adresse ip ne represente pas un abonné. on peut aussi prendre en compte http://ec.europa.eu/taxation_customs/resources/documents/taxation/vat/how_vat_works/e-services/com_2012_763_fr.pdf Sauf que cette disposition vise avant tout les fournisseurs de services commerciaux en ligne opérant sur plusieurs marchés nationaux et non spécifiquement les fournisseurs d'accès. Et qu'il n'est nullement imposé de conserver l'IP en tant que telle. Juste à minima 2 éléments parmi ceux mentionnés à l'article 24 octies. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, Jan 16, 2013, at 9:31, Guillaume Barrot wrote: C'est de notoriete publique que la ligne conductrice d'Akamai est tant qu'il y a des cons pour acheter, moi je vends, non ? Et malhereusement les cons achetent parce-que la concurrence n'est pas toujours au niveau. Il y a environ un an, on avais essaye de voir des alternatives moins cheres a Akamai. Dans le cahier de charges il y avait SSL service, available in LatAm and APAC regions. Option for China appreciated. Le nettoyage des candidats commencait avec ca, et il etait tres rapide. Meme si on a pas arrive a voir tout le monde, les resultats etait quand-meme decevants. On peut ne pas aimer la politique commerciale d'Akamai, mais cote service on peut pas leur reprocher beaucoup de choses (probablement rien si on a un buget tres large). Ils offrent des bons services, ils n'ont pas beaucoup de concurrence, et en consequence ils le font payer tres tres cher (et de que tu commences a parler tu payes encore). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, Jan 16, 2013, at 9:42, Solarus wrote: A ce propos on peut critiquer les clients d'Akamai qui lui achetent de l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est réglé. On se retrouve par exemple avec www.bing.com qui possède des entrées sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie les www n'a pas accès à Bing. C'est bête hein ? ;) De memoire, tous les CDN fonctionnent comme ca. Et si tu veux que ton site soit accessible sans le www. tu fais pointer le A en question vers quelque-chose qui fait un HTTP redirect. C'est comme ca que bing fonctionne, et c'est comme ca que je faisais quand j'etais client Akamai (chez qui tu as un forfait sur le nombre de hostnames sur lesquels tu exposes ton site - wildcard pas accepte). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, Jan 16, 2013, at 9:52, Xavier Beaudouin wrote: Maintenant, reprenons le coup des serveurs de mails. Des solutions qui permettent de faire plusieurs millions d'emails par jour, il n'y a pa tant que ca, et ils ont commence a supporter l'IPv6 que recemment. Et meme avec du support IPv6, il reste la question des blacklists qui est nettement moins simple en v6. OK, j'avait une vue claire que sur la partie envoi, mais d'autres qui gerent des volumes similaires (voir superieures) en entree doivent avoir quasiment les memes problemes. Par contre, 100% d'accord sur la partie DNS. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, 16 Jan 2013 11:31:50 +0100, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: De memoire, tous les CDN fonctionnent comme ca. Et si tu veux que ton site soit accessible sans le www. tu fais pointer le A en question vers quelque-chose qui fait un HTTP redirect. C'est comme ca que bing fonctionne, et c'est comme ca que je faisais quand j'etais client Akamai (chez qui tu as un forfait sur le nombre de hostnames sur lesquels tu exposes ton site - wildcard pas accepte). Rien n'empêche le double adressage vers la redirection donc ? Je suis peut-être utopiste mais c'est important de penser aux clients en IPv6-only, parce que sinon je vais manquer d'adresses pour mon frigo connecté. ;) -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, Jan 16, 2013, at 9:39, Frédéric GANDER wrote: Si ton problème c'est de peerer tu peux toujours prendre un paid peering heim, mais non tu n'en as pas besoin vu que tu bosses chez un tier 1 revendeur exclusif de level3 dans un monde mineral sans chaise désuette. Je ne parle pas uniquement de la situation dans ma boite d'aujourd'hui. (apart la reference tier-1, tu decris pas mal l'environnement). Chez $job[-1], si en v4 la situation etait pas facile mais maitrisable, il n'y avait pas de moyen de garder le traffic IPv6 vers Free en France. J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free avait resorti comme la premiere destination (mieux que Renater, HE.net ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route potable qui ne sortait pas de la France. Et ca, malgre 4 transitaires + He.net (meilleure route, mais +16ms via Amsterdam). A l'epoque Free n'etait pas joignable en v6 via Cogent. On voyait a l'epoque juste du transit TATA (generalement sature), transit Level3-IPv6 a Londres, peering HE.net a Amsterdam et du ?? IIJ a New-York (tout le traffic vers Tinet etait force par la-bas). Dans des telles conditions, ca donnait pas envie de laisser le v6 active sur la partie contenu. IPv6 c'est bien, mais pas quand ca degrade le service de facon systematique. D'ailleurs, ton pay-peering c'est dans quel range de prix pour des petits debits (maxi 1G) ? Commence donc par mettre le site web de ta boite en v6 ca augmentera le traffic ipv6. Pas possible de toucher au monde mineral :) C'est prevu pour la prochaine boite (si tout se passe bien et sans avancer des dates). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/13, Xavier Beaudouink...@oav.net a écrit : Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres opérateurs... c'est un peu autre chose. Dommage. Peut-être que les autres opérateurs ont une infra plus complexe ? Tant qu'on fait juste de l'Internet, ce n'est effectivement pas si galère de passer en dual-stack. Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains ports, de bricoler le réseau pour en faire autre chose que de l'Internet, IPv6 complique les choses. Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le CGN permet au contraire de les brider un peu plus. Économiquement et politiquement, le vent souffle dans la direction du CGN, pas du retour à un vrai Internet (une machine = une adresse publique) permis par IPv6. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Bonjour, Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le CGN permet au contraire de les brider un peu plus. Économiquement et politiquement, le vent souffle dans la direction du CGN Cela est complètement faux, le CGN n'est pas un choix contre IPv6 mais un moyen de gagner du temps pour passer en IPv6. Les investissements en temps et argent pour passer en v6 sont important, de ce fait certains opérateurs veulent gagner du temps. Mais la finalité est v6. Fabien Le 16 janv. 2013 à 14:48, Rémi Bouhl remibo...@gmail.com a écrit : Le 16/01/13, Xavier Beaudouink...@oav.net a écrit : Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres opérateurs... c'est un peu autre chose. Dommage. Peut-être que les autres opérateurs ont une infra plus complexe ? Tant qu'on fait juste de l'Internet, ce n'est effectivement pas si galère de passer en dual-stack. Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains ports, de bricoler le réseau pour en faire autre chose que de l'Internet, IPv6 complique les choses. Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le CGN permet au contraire de les brider un peu plus. Économiquement et politiquement, le vent souffle dans la direction du CGN, pas du retour à un vrai Internet (une machine = une adresse publique) permis par IPv6. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/2013 08:56, Radu-Adrian Feurdean a écrit : C'est un peu moins evident, mais IPv6 sous XP ca existe bel et bien. Avec une stack IPv6 et surtout ICMPv6 tellement mal codée qu'elle s'effondre avec des trucs aussi cons que du RA-flood. Je persiste à refuser de déployer IPv6 sur des OS aussi vieux, c'est trop dangereux pour les équipes en charge de supporter la bureautique. (En fait sur des parcs installés aussi vieux, les switchs sont rarement à même de supporter une politique de sécurité qui permettrait de colmater les brèches. Les chantiers sont donc trop gros et coûteux pour la plupart des clients, vu l'intérêt quasi nul d'IPv6 sur un LAN d'entreprise) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-16 15:23, Fabien Delmotte wrote: Bonjour, Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le CGN permet au contraire de les brider un peu plus. Économiquement et politiquement, le vent souffle dans la direction du CGN Cela est complètement faux, le CGN n'est pas un choix contre IPv6 mais un moyen de gagner du temps pour passer en IPv6. ca aussi c'est faux c'est une solution bancale pour pérenniser l'usage d'ipv4, histoire de * pas s'emmerder a remplacer les vieux equipements hors d'age dans les réseaux existants * faire en sorte de continuer a conserver des consommateurs, et non des citoyens à meme de participer. d'ailleurs, il en est de meme du déploiement de solutions fibre optique dont les débits sont assymétriques. c'etait peut etre valable quand on avait que du cuivre avec une bande passante limitée, et le choix commercial qui a été fait à l'époque de privilégier le débit descendant, mais ca ne justifie plus du tout pour la fibre optique. http://www.mail-archive.com/ip@v2.listbox.com/msg08608.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15/01/2013 17:45, Guillaume Barrot a écrit : Par contre pour le CGN vu qu'il y aura surement un impact juridique (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui marchaient avant qui marchent plus apres), voire economique (nouveau forfaits premium pour conserver une ip publique dediee), la clairement y aura atteinte a la neutralite du net... Pas d'accord. A partir du moment ou tu as une connectivité propre (v6 public routé) mais, par compatibilité et malgré la pénurie, le maintient d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il veut sur l'IPv6. Tant que tous les paquets d'au moins un des protocoles sont transportés sans discrimination, et que les quelques dégradations de service sur l'autre ne sont pas clairement ciblés pour discriminer certains services, c'est plutôt positif comme démarche... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janvier 2013 14:48, Rémi Bouhl remibo...@gmail.com a écrit : Le 16/01/13, Xavier Beaudouink...@oav.net a écrit : Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres opérateurs... c'est un peu autre chose. Dommage. Peut-être que les autres opérateurs ont une infra plus complexe ? Tant qu'on fait juste de l'Internet, ce n'est effectivement pas si galère de passer en dual-stack. Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains ports, de bricoler le réseau pour en faire autre chose que de l'Internet, IPv6 complique les choses. donc si je lis bien, + le fai priorise les paquets, filtre, bricole, cela devient difficile de mettre en place ipv6 avec le même niveau de services Donc ceux qui se plaignent le + pour déployé ipv6, sont ceux qui bricolent le + Intéressant... :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Wed, Jan 16, 2013, at 15:30, Jérôme Nicolle wrote: Avec une stack IPv6 et surtout ICMPv6 tellement mal codée qu'elle s'effondre avec des trucs aussi cons que du RA-flood. On parle d'un systeme lance il y a 10 ans, donc .. vu l'intérêt quasi nul d'IPv6 sur un LAN d'entreprise) J'entendais le meme chose sur l'IP (v4) il y a moins de 15 ans (avec des irresistibles qui le faisait encore debut 2001). Il y avait les reseaux d'entreprise avec des fileservers Novell (IPX/SPX) et l'Internet etait vu comme un outil a perdre du temps et rien faire. Autrement, vu la securite de beaucoup de reseaux d'entreprise (proche de 0), activer IPv6 a fonctionalite egale (toujours zero securite) est super-simple et sans effet secondaire. Sinon, j'ai vu aussi des auditeurs securite qui n'etait meme pas capable de se rendre compte qu'il y a du v6 sur un reseau d'entreprise. De ce point de vue, on peut meme dire que le deployer augmente la securite (par obscurite). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/2013 10:31, sxpert a écrit : * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6... des noms ! -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On avait pas un ou deux FAI qui proposait ça à l'époque ? Le Wed, 16 Jan 2013 15:46:04 +0100, Clement Cavadore clem...@cavadore.net a écrit: Hello, On 01/16/2013 03:36 PM, Jérôme Nicolle wrote: Pas d'accord. A partir du moment ou tu as une connectivité propre (v6 public routé) mais, par compatibilité et malgré la pénurie, le maintient d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il veut sur l'IPv6. Tant que tous les paquets d'au moins un des protocoles sont transportés sans discrimination, et que les quelques dégradations de service sur l'autre ne sont pas clairement ciblés pour discriminer certains services, c'est plutôt positif comme démarche... Ce que je trouverais extraordinairement fair, ca serait de faire un système qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) juste sur demande (et désactivée par défaut), gratuitement. Ainsi, toutes les madame michu auraient leur acces a fesseplouc et autres youtube, et tous les geeks seraient contents. Et les FAI auraient plein de pool IP disponibles pour leurs CGN... Mais bon, on peut rêver... :) -- --- Refuznik --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
-Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Clement Cavadore Ce que je trouverais extraordinairement fair, ca serait de faire un système qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) juste sur demande (et désactivée par défaut), gratuitement. Ainsi, toutes les madame michu auraient leur acces a fesseplouc et autres youtube, et tous les geeks seraient contents. Et les FAI auraient plein de pool IP disponibles pour leurs CGN... Mais bon, on peut rêver... :) -- Clément Cavadore --- C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels la société pour laquelle je bosse a pu participer, jusqu'à présent. Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à Facebook, Youtube, son email, etc. Plus elle achètera du matériel et des applications IPv6 ready, pour peu qu'il y'en ait, plus elle migrera sans même sans rendre compte. Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur suffit d'en faire la demande. Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP pour les CGN, dès que la RFC sera disponible (http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06). Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose la question... Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir technique de rédiger des RFC, ou encore pour contrôler tout ce que font leurs clients, mais pour éviter les complaintes que l'on peut lire tout aux long de ce thread Sachant qu'en plus faire du CGN/DS-Lite/6rd/NAT64/etc. en soi est une tache couteuse en termes de ressources techniques (HW, CPU, etc). Donc l'aspect contrôle est fait bien ailleurs par d'autres solutions dites DPI (http://fr.wikipedia.org/wiki/Deep_packet_inspection) rendues obligatoires par notre cher gouvernement, mais aussi utilisées bien souvent pour tout ce qui est ciblage publicitaire Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Manuel MARTINEZ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/13, Manuel Martinezmmarti...@a10networks.com a écrit : C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels la société pour laquelle je bosse a pu participer, jusqu'à présent. Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à Facebook, Youtube, son email, etc. Plus elle achètera du matériel et des applications IPv6 ready, pour peu qu'il y'en ait, plus elle migrera sans même sans rendre compte. Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur suffit d'en faire la demande. Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP pour les CGN, dès que la RFC sera disponible (http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06). Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose la question... Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir technique de rédiger des RFC, ou encore pour contrôler tout ce que font leurs clients, mais pour éviter les complaintes que l'on peut lire tout aux long de ce thread Heureux de vous lire ! Pour ma part, mes derniers contacts avec deux opérateurs proposant des solutions alternatives (WiFi et satellite) en zone blanche m'ont donné la vision d'un monde affreux où : - IPv6 n'existe pas, - le CGN est tellement acceptable qu'il n'est mentionné dans aucun document public, il faut contacter le service commercial et poser des questions précises pour espérer savoir ce qu'on achète, - il est normal que des ports soient bloqués, - il faut gentiment demander pour se faire rediriger le port X ou Y (sans pour autant disposer d'une IPv4 publique, donc faire la demande pour CHAQUE redirection). D'où ma tentation de hurler de rage quand le CGN est évoqué :) Au sujet de la transparence : les opérateurs avec lesquels vous travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine de mentionner cette particularité dans leur CGU, AVANT achat ? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 16/01/2013 01:49, Pierre-Yves Maunier wrote: Après, le peer-to-peer ne représente plus grand chose en terme de trafic d'après les dernières stats que j'ai vues. Et alors !? Si un réseau eyeball peut confirmer mais je suis sûr que la majorité de leur trafic c'est http, https, nntp et nntps. Et le reste quoi, c'est pas grand public alors on réutilise les ports ? Il va être beau l'internet de demain si les FAI raisonnent tous comme ça. C'est gravissime d'envisager de réduire internet à quelques protocoles. Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en entrant pour faire tourner son serveur web à la maison. Donc du moment qu'elle peut aller sur voici.fr, regarder des vidéos de chats qui dansent et envoyer des photos par mail. Mme Michu et son fils utiliseront demain des protocoles dont personne n'a idée, et s'ils ne peuvent plus le faire normalement ils le feront via des VPN chiffrés, et les FAI deviendront de simples vendeurs de tuyaux adieu la valeur ajoutée et l'internet selon Clémentine. Autrement dit les FAI peuvent essayer de réduire internet au minimum mais internet c'est le peuple et le peuple leur marchera dessus c'est tout bonnement le sens de l'histoire. Les politiques ne sont pas capables encore de prendre le recul pour comprendre ça, mais ici tout de même... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 16/01/2013 20:52, Sylvain Vallerot wrote: C'est gravissime d'envisager de réduire internet à quelques protocoles. Hum, je me suis un peu emporté il est clair que dans une stratégie de survie (genre on a pas le choix y'a plus de v4) MAIS que le v6 est déployé derrière pour du full internet il faut bien envisager ce genre de possibilité. Reste que considérer comme admissible la disparition de pans entiers d'internet en supprimant la possibilité d'héberger des serveurs ou de mettre en place des protocols p2p me choque complètement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 16/01/2013 10:31, sxpert wrote: deux choses: * comme disait qqun plus tot, les fournisseurs de routeurs qui réclament des sous en plus pour avoir un vrai support ipv6 * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6... Et les transitaires qui demander 1500 €HT de FAS pour configurer une session en v6 sur la livraison BGP ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 15/01/2013 17:25, Guillaume Barrot wrote: Et ben tout ça c'est GENIAL. Hé hé, doux rêveur ou adepte de la stratégie du choc ? http://fr.wikipedia.org/wiki/La_Strat%C3%A9gie_du_choc --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janvier 2013 21:02, Sylvain Vallerot sylv...@gixe.net a écrit : On 16/01/2013 20:52, Sylvain Vallerot wrote: C'est gravissime d'envisager de réduire internet à quelques protocoles. Hum, je me suis un peu emporté il est clair que dans une stratégie de survie (genre on a pas le choix y'a plus de v4) MAIS que le v6 est déployé derrière pour du full internet il faut bien envisager ce genre de possibilité. Reste que considérer comme admissible la disparition de pans entiers d'internet en supprimant la possibilité d'héberger des serveurs ou de mettre en place des protocols p2p me choque complètement. Sans aller jusqu'à supprimer des protocoles comme le P2P (gourmand en terme de ports), le fait qu'il soit beaucoup moins utilisé devrait au contraire permettre de ne pas le supprimer en passant dans un CGN, où le nombre de ports par client est limité. C'est comme ça que j'ai interprété la remarque en tous cas. Y. (plus lecteur que participant ici...) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 16 janv. 2013, at 21:08, Sylvain Vallerot sylv...@gixe.net wrote: On 16/01/2013 10:31, sxpert wrote: deux choses: * comme disait qqun plus tot, les fournisseurs de routeurs qui réclament des sous en plus pour avoir un vrai support ipv6 * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6... Et les transitaires qui demander 1500 €HT de FAS pour configurer une session en v6 sur la livraison BGP ? ca se justifie, pour payer les licences ipv6 pour leur routeurs extorquées par les fabricants cités au 1. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janvier 2013 16:20, Refuznikster refuzniks...@gmail.com a écrit : Ce que je trouverais extraordinairement fair, ca serait de faire un système qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) juste sur demande (et désactivée par défaut), gratuitement. Naaain. Erreur systeme. Les gens du marketing passe par là et dise quoi un truc gratuit alors qu'on pourrait marketer ça en 'offre premium', et faire payer à l'outrecuidant la monopolisation d'une ressource. Et paf. C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une ressource tellement abondante que tu peux en donner des paquets de publiques aux MIT pour que tous les postes, les badgeuses et les imprimantes soient dans le /8 public, à une situation où c'est devenu tellement rare que plusieurs abonnées vont devoir en partager une. Du coup, qui dit rareté, dit économie qui va avec : et vas y que je te revends des scopes, et vas y que je fais payer l'IP publique dédiée. Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci les écoles de marketing. -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.com a écrit : Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat d'un bloc IPv4 au marché noir. De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et certains opérateurs jouent même la rétention dans ce sens... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 16/01/2013 22:31, Guillaume Barrot wrote: Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc orchestré par Google et Facebook pour embeter les providers français (sourcehttp://reflets.info/fleur-pellerin-annonce-la-mise-a-mort-de-la-neutralite-du-net/ ) Elle a progressé en 6 mois hein :-) Maintenant elle quitte la table *avant* de dire quelque chose. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/2013 22:20, Guillaume Barrot a écrit : Le 16 janvier 2013 16:20, Refuznikster refuzniks...@gmail.com a écrit : Ce que je trouverais extraordinairement fair, ca serait de faire un système qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) juste sur demande (et désactivée par défaut), gratuitement. Naaain. Erreur systeme. Les gens du marketing passe par là et dise quoi un truc gratuit alors qu'on pourrait marketer ça en 'offre premium', et faire payer à l'outrecuidant la monopolisation d'une ressource. Et paf. C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une ressource tellement abondante que tu peux en donner des paquets de publiques aux MIT pour que tous les postes, les badgeuses et les imprimantes soient dans le /8 public, à une situation où c'est devenu tellement rare que plusieurs abonnées vont devoir en partager une. Du coup, qui dit rareté, dit économie qui va avec : et vas y que je te revends des scopes, et vas y que je fais payer l'IP publique dédiée. Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci les écoles de marketing. Ben c'est pas trop les marketeux qui sont responsable de cet état de fait. (enfin presque) C'est le marché qui veut ça. Ressource rares = prix en hausse. Si un client veut absolument du v4, vu qu'on à droit qu'à un /22, ben c'est payant, voir même payant à un niveau dissuasif. v6 c'est la norme, v4 c'est de la rustine pour bras cassés et on préfèrera accompagner dans une migration (payante) que de patcher dans tous les sens. Personne ne s'offusque des incompatibilités (ou des usines à gaz à monter) engendrées par des versions disparates de Windaube dans un même domaine... Sinon le client peut toujours aller voir du coté de chez Octave ou d'autres, mais nous ne pouvons pas jouer à ce jeu là. Ressources limitées = décisions de gestion brutus... Tough luck --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janv. 2013 à 22:22, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.commailto:mmarti...@a10networks.com a écrit : Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour espérer recruter encore des clients... Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat d'un bloc IPv4 au marché noir. De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et certains opérateurs jouent même la rétention dans ce sens... Ouh là ben il me semble qu'un bon CGN ça coûte dans les 200k$... donc bien moins que des blocs d'IPv4 Par contre, c'est sûr que s'il vous faut du €isco, c'est pas le même prix ;-) Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16 janv. 2013 à 18:21, Rémi Bouhl remibo...@gmail.com a écrit : Au sujet de la transparence : les opérateurs avec lesquels vous travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine de mentionner cette particularité dans leur CGU, AVANT achat ? Ça dépend, malheureusement pas tous La plupart de ceux que je connais sont aux US et au Japon. Ils vendent cela comme une offre IPv6 avant tout, et ne rentrent pas dans des débats d'architecture ou de protocole. La plupart des utilisateurs sont agréablement surpris de constater que manifestement il est toujours possible d'accéder à une grande partie de l'Internet IPv4... Enfin de nombreux CGN 44 sont déployés sur les nouvelles architectures LTE. Pour le coup peu de gens se plaignent puisque la SNAT se fait de manière courante sur les réseaux mobiles, et que seule la performance les intéresse... Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus logique. Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6 conservee. Le 16 janv. 2013 15:39, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 15/01/2013 17:45, Guillaume Barrot a écrit : Par contre pour le CGN vu qu'il y aura surement un impact juridique (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui marchaient avant qui marchent plus apres), voire economique (nouveau forfaits premium pour conserver une ip publique dediee), la clairement y aura atteinte a la neutralite du net... Pas d'accord. A partir du moment ou tu as une connectivité propre (v6 public routé) mais, par compatibilité et malgré la pénurie, le maintient d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il veut sur l'IPv6. Tant que tous les paquets d'au moins un des protocoles sont transportés sans discrimination, et que les quelques dégradations de service sur l'autre ne sont pas clairement ciblés pour discriminer certains services, c'est plutôt positif comme démarche... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
(Attention, vous avez positionné le reply-to en dehors de la liste) Le 17/01/13, Guillaume Barrotguillaume.bar...@gmail.com a écrit : Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus logique. Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6 conservee. Neutralité du net legacy entravée pour des impératifs techniques, mais neutralité du net du futur conservée, et c'est ça qui compte. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Et voilà, Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6, les opérateurs semblent décidés à mettre en place un gros NAT pour tout le monde. L'opération est actuellement en test chez plusnet au Royaume-Uni : http://community.plus.net/forum/index.php/topic,110652.0.html Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau des opérateurs ? Le manque de services accessibles ? -- Jimmy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, 15 Jan 2013 15:32:01 +0100, Jimmy Thrasibule thrasibule.ji...@gmail.com wrote: Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau des opérateurs ? Le manque de services accessibles ? 1°) Cisco et Juniper n'inclue pas IPv6 dans toutes les licenses 2°) Certains matos, les box notamment ne sont pas toutes compatibles en IPv6 3°) Ca coute cher en ressources humaines et en efforts (ressource rare chez les dirigeants). 4°) C'est réclamé par moins de 1% des consommateurs 5°) IPv4 ça marche, même avec du NAT444 and so on... Le manque de déploiement d'IPv6 est effectivement plus inquiétant que le CGN. IPv4 est un protocole obsolète qui survit grâce à nombres de rustines, comptez pas sur moi pour le pleurer. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 2013-01-15 15:32, Jimmy Thrasibule a écrit : Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6, les opérateurs semblent décidés à mettre en place un gros NAT pour tout le monde. SVP expliquez-moi comment déployer IPv6 permettrait d'éviter de déployer un CGN. Merci, Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Bonjour, Le problème n'est pas vraiment au niveau des opérateurs, déployer IPv6 dans son coeur de réseau c'est relativement simple. En livrer jusqu'à ses abonnés c'est un peu plus compliqué mais faisable. Par contre si tu n'as pas assez d'IPv4 pour tes abonnés et que tu ne leur donnes que de l'IPv6 et pas d'IPv4, il ne pourront pas accéder à +90% de l'internet. C'est pas tout d'avoir des eyeball en IPv6, s'il n'y a pas de contenu en IPv6 ça ne marche pas terrible. Certains diront, suffit de mettre du NAT64/DNS64 mais ça ne suffit pas, par exemple skype ne marchera pas dans ce genre de configuration. Il va falloir donner encore des IPv4 aux abonnés pendant un certain temps en dual stack (avec des IPv4 CGNisées) avec des IPv6 pour faire face à la pénurie. On a eu droit à RFC1918, CIDR, NAT pour retarder cette pénurie. Et maintenant qu'il n'y plus d'IPv4, il y a CGN. Malheureusement, nous n'avons pas trop le choix. Le 15 janvier 2013 15:32, Jimmy Thrasibule thrasibule.ji...@gmail.com a écrit : Et voilà, Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6, les opérateurs semblent décidés à mettre en place un gros NAT pour tout le monde. L'opération est actuellement en test chez plusnet au Royaume-Uni : http://community.plus.net/forum/index.php/topic,110652.0.html Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau des opérateurs ? Le manque de services accessibles ? -- Jimmy --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
il n'y a pas de contenu ipv6 c'est la faute à la pub coupons la pub A+ - Mail original - De: Jimmy Thrasibule thrasibule.ji...@gmail.com À: frnog@FRnOG.org frnog@frnog.org Envoyé: Mardi 15 Janvier 2013 15:32:01 Objet: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Et voilà, Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6, les opérateurs semblent décidés à mettre en place un gros NAT pour tout le monde. L'opération est actuellement en test chez plusnet au Royaume-Uni : http://community.plus.net/forum/index.php/topic,110652.0.html Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau des opérateurs ? Le manque de services accessibles ? -- Jimmy --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 2013-01-15 16:20, Frédéric GANDER a écrit : il n'y a pas de contenu ipv6 Google? Facebook? YouTube? etc. etc. etc. C'est pas du contenu ça? En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic sur IPv6 du jour au lendemain. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janvier 2013 16:20, Frédéric GANDER fgan...@corp.free.fr a écrit : il n'y a pas de contenu ipv6 c'est la faute à la pub coupons la pub ah voila la justification... couper la pub pour développer les contenus ipv6... même la pub n'est pas en ipv6 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janv. 2013 à 16:23, Simon Perreault a écrit : Le 2013-01-15 16:20, Frédéric GANDER a écrit : il n'y a pas de contenu ipv6 Google? Facebook? YouTube? etc. etc. etc. C'est pas du contenu ça? En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic sur IPv6 du jour au lendemain. Malheureusement: impots.gouv.fr service-public.fr et surtout: www.redressement-productif.gouv.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janvier 2013 16:23, Simon Perreault simon.perrea...@viagenie.ca a écrit : Google? Facebook? YouTube? etc. etc. etc. C'est pas du contenu ça? En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic sur IPv6 du jour au lendemain. Là tu prêches un convaincu je crois :) Cela dit, pour un ISP, activer IPv6 c'est comme faire décoller un avion: y'a toute une série de petites loupiotes qui doivent passer au vert avant d'y aller. Et leur nombre dépend de la taille de l'ISP et du matos utilisé. Une fois que tout est au vert, ce sont presque tous les clients de l'ISP qui peuvent être activés, ou en tous cas par phases successives. Le NAT pour IPv4 reste obligatoire pour fournir accès à l'internet IPv4 de toute façon, en cas de manque d'adresses dans les réserves d'IP publiques de l'ISP. Et ne pas croyez que ça fasse plaisir aux ISPs de déployer du CGNAT plutôt que de se contenter d'IPv6... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 2013-01-15 16:37, Guillaume Leclanche a écrit : En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic sur IPv6 du jour au lendemain. Là tu prêches un convaincu je crois :) Ouais, j'étais d'ailleurs très surpris de voir un @corp.free.fr dire qu'il n'y a pas de contenu IPv6! Cela dit, pour un ISP, activer IPv6 c'est comme faire décoller un avion: y'a toute une série de petites loupiotes qui doivent passer au vert avant d'y aller. Et leur nombre dépend de la taille de l'ISP et du matos utilisé. Une fois que tout est au vert, ce sont presque tous les clients de l'ISP qui peuvent être activés, ou en tous cas par phases successives. Exact. Mais l'argument il n'y a pas de contenu IPv6 ne tient plus la route depuis quelques temps déjà. Le NAT pour IPv4 reste obligatoire pour fournir accès à l'internet IPv4 de toute façon, en cas de manque d'adresses dans les réserves d'IP publiques de l'ISP. Et ne pas croyez que ça fasse plaisir aux ISPs de déployer du CGNAT plutôt que de se contenter d'IPv6... Au moins, en déployant IPv6, ça peut te permettre d'acheter un plus petit CGN... Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15/01/2013 16:26, Pascal Rullier a écrit : même la pub n'est pas en ipv6 Raison de plus pour y passer... ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
-Message d'origine- De : p...@maunier.fr [mailto:p...@maunier.fr] De la part de Pierre-Yves Maunier Par contre si tu n'as pas assez d'IPv4 pour tes abonnés et que tu ne leur donnes que de l'IPv6 et pas d'IPv4, il ne pourront pas accéder à +90% de l'internet. Un CGN ça permet justement d'éviter ça. Certains diront, suffit de mettre du NAT64/DNS64 mais ça ne suffit pas, par exemple skype ne marchera pas dans ce genre de configuration. DS-Lite ou 6rd sont compatibles avec (quasiment) tout protocole, et avec skype notamment. Il va falloir donner encore des IPv4 aux abonnés pendant un certain temps en dual stack (avec des IPv4 CGNisées) avec des IPv6 pour faire face à la pénurie. DS-Lite permet de ne plus allouer d'IPv4 publiques directement à chaque utilisateur, mais une IPv6 uniquement. Pierre-Yves Maunier --- My two cents :-) Manuel MARTINEZ pub Vendeur de CGNs /pub --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
ba j'aitester.com (40% du parc avec ipv6 activé) et ba non ca grimpe pas des masses ;) et le motif de certain sites web pour ne pas mettre plus de contenu v6 : oui mais les outils de géomarketing et de ciblage ne marche pas en v6 - Mail original - De: Simon Perreault simon.perrea...@viagenie.ca À: frnog@frnog.org Envoyé: Mardi 15 Janvier 2013 16:23:37 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Le 2013-01-15 16:20, Frédéric GANDER a écrit : il n'y a pas de contenu ipv6 Google? Facebook? YouTube? etc. etc. etc. C'est pas du contenu ça? En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic sur IPv6 du jour au lendemain. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
- Mail original - De: Simon Perreault simon.perrea...@viagenie.ca À: Guillaume Leclanche guilla...@leclanche.net Cc: Liste FRnoG frnog@frnog.org Envoyé: Mardi 15 Janvier 2013 16:41:35 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Le 2013-01-15 16:37, Guillaume Leclanche a écrit : En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic sur IPv6 du jour au lendemain. Là tu prêches un convaincu je crois :) Ouais, j'étais d'ailleurs très surpris de voir un @corp.free.fr dire qu'il n'y a pas de contenu IPv6! quand tu as plus de 2 millions de mec qui ont du v6 potentiellement à la maison et que tu fais 20gbit/s de v6 j'appel pas ca un succès foudroyant au niveau du contenu donc comme depuis 2007 le v6 ne décolle pas et que l'utilisateur / les site web / le cloud fait tout dans une connexion tcp port 80 ou 443 en v4, il va bien falloir dans un virage se résigner à faire du nat. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 2013-01-15 17:08, Frédéric GANDER a écrit : ba j'aitester.com (40% du parc avec ipv6 activé) et ba non ca grimpe pas des masses ;) et le motif de certain sites web pour ne pas mettre plus de contenu v6 : oui mais les outils de géomarketing et de ciblage ne marche pas en v6 Mon point ce n'est pas qu'il y a beaucoup de sites en v6. Mon point c'est que les sites importants sont en v6. Juste en considérant Google+Facebook+YouTube, ça peut faire une grande proportion du trafic d'un ISP. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 2013-01-15 17:14, Frédéric GANDER a écrit : quand tu as plus de 2 millions de mec qui ont du v6 potentiellement à la maison et que tu fais 20gbit/s de v6 j'appel pas ca un succès foudroyant au niveau du contenu Le potentiellement est suspect. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
il faut donc faire un adblock de pub en ipv4 only ça forcera le contenu à passer en ipv6 ? ;) bon j'arrête ;) - Mail original - De: Laurent lpo...@free.fr À: frnog@frnog.org Envoyé: Mardi 15 Janvier 2013 16:44:24 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Le 15/01/2013 16:26, Pascal Rullier a écrit : même la pub n'est pas en ipv6 Raison de plus pour y passer... ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Petit exemple de cas bloquant le passage de clients en v6. Sur une archi on a des reverses proxy en v4/v6 derrière en toute logique à quoi bon gaspiller des v4, donc les n serveurs web / mysql sont en v6 only et une route pour aller chercher le NAT64 pour les requêtes sur des serveurs v4 only. Tout marche très bien, mais on a rencontré des soucis sur des choses assez communes sur les sites web comme par exemple Wordpress. Le plugins antispam Akismet cherche des ip v4 alors que le serveur devrait résoudre une ip nat64 dans ces cas là. Et cela ne se fait pas car Akismet utilise une ancienne fonction de résolution dns qui ne gère pas les réponses ipv6. On a prévenu l'équipe du plugin qui nous ont dit qu'ils sont au courant mais n'envisage pas de changer car c'est soit disant trop sensible, ... donc on a forké le plugin pour nos clients en changeant la résolution. Depuis cela fonctionne et les sites ne se font pas spammé de plusieurs centaines de message par jour. Bref voilà un exemple parmi tant d'autres qui montre le temps perdu. Je parle même pas des progiciels où je les refuse à présent si on doit désactiver l'ipv6 pour que ça marche vu qu'on sauvegarde et on supervise les composants matériels en ipv6 only (vive les règles de nat en moins). signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 15 janvier 2013 15:32, Jimmy Thrasibule thrasibule.ji...@gmail.com a écrit : Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau des opérateurs ? Le manque de services accessibles ? Comme dit précédemment, il ne faut pas confondre - mise en place d'IPv6 - gestion de la pénurie d'IPv4 Pour accéder à du contenu en IPv4, les opérateurs doivent fournir une connectivité v4 aux clients : - cas onirique : un bloc v4 par abonné, ce qui lui permet d'avoir une v4 publique / device connecté (ie, la même chose qu'en v6) - soit une IP publique / personne, et Nat locale sur la box == cas général des années 2000 - soit un scope privé + CGN, ou une IP privée, nat local sur la box + CGN (donc plusieurs abonnés partage la même IP publique dans les deux cas) Maintenant, le CGN est-ce mal ? Ok, beaucoup de services à la con ne marcheront pas (Skype, des jeux online). Ok, plein de contraintes légales géniales, du genre logguer les plateforme de CGN pour les réquisitions judiciaires (et hop du cout caché) Ok, cela rajoute un équipement au mieux niveau 4, au pire niveau 7 si on a des ALG pour certains protocoles, donc un point de rupture capacitaire, un spof, et probablement de la latence. Ok, définitivement, plus personne ne pourra héberger de contenu chez lui, car on ne peut que très difficilement partager un port 80 entre plusieurs abonnés. Et ben tout ça c'est GENIAL. En effet, quel meilleur moyen de pousser IPv6 que de rendre IPv4 tout pourri ? Les jeux marchent pas en CGN ? == les plateformes de jeux évolueront du coup beaucoup plus vite en v6 Skype marche pas en CGN ? On parie qu'on aura une release IPv6 ready en quelques mois ? Les grosses plateformes de contenues (youtube, facebook, etc) sont déjà v6 ready, donc pour eux pas de soucis. Bref, les premiers à en pâtir seront les plateformes de contenus qui n'auront pas évoluées, et on peut là aussi parier que si on se prend des pannes en cascade, 50 ms de latence, ou des rupture capacitaires chez les opérateurs, eh ben beaucoup de contenus évolueront en v6, y compris la pub. Enfin, vu le bordel à mettre en place une plateforme de CGN (cout de la plateforme, dimensionnement, positionnement, dimensionnement des scopes etc), et les couts cachés (monstre infernal à mettre en place juste pour gérer les logs, et pouvoir répondre à la Gendarmerie en cas de requisition judiciaire c'est telle personne qui a fait ça et non, ça fait partie de la liste des 200 personnes là), on peut aussi parier que comme par hasard, il coutera à peine plus cher de déployer CGN pour v4 et IPv6 en parallèle, donc beaucoup de FAI franchiront le cap à ce moment là. Dans certains cas, IPv6 est même un prérequis à la mise en place d'une plateforme de CGN pour IPv4 (DS-lite). Que du bonheur quoi ! G. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
- Mail original - De: Simon Perreault simon.perrea...@viagenie.ca À: frnog@frnog.org Envoyé: Mardi 15 Janvier 2013 17:17:50 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Le 2013-01-15 17:14, Frédéric GANDER a écrit : quand tu as plus de 2 millions de mec qui ont du v6 potentiellement à la maison et que tu fais 20gbit/s de v6 j'appel pas ca un succès foudroyant au niveau du contenu Le potentiellement est suspect. avec xp ca va pas marcher des masse ni en utilisant 8.8.8.8 (tien google ne fait pas de v6 pour lui meme ? ) c'est sur avec la stratégie d'ouvrir les domaines ipv6 en fonction des ip source des dns recursif on est un peut entrain de refaire le fichier hosts ca va pas favoriser le déploiement Simon --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/