Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Vincent Bernat]

 ❦ 27 juin 2015 04:23 GMT, Michel Py mic...@arneill-py.sacramento.ca.us :

 Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à
 part qui n'était pas encore vraiment intégré au monde réel.

 Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un
 monde à part qui n'est pas encore vraiment intégré au monde réel.

 La différence, c'est que depuis 15 ans que j'entends des conneries qui
 prédisent le déploiement imminent (une chanson que j'ai chanté
 moi-même) maintenant si je vois pas l'élimination d'IPv4 en 3 ans je
 n'écoute plus le même disque rayé.

 IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à
 IPv4. Comme tout le monde, à part ceux qui ont des milliards à ne pas
 savoir ou les dépenser.

Depuis 15 ans, il y a eu quelques changements :

 - Le top 3 Alexa est accessible en IPv6.
 - Plusieurs FAI (notamment dans le mobile) font de l'IPv6 only et
   utilisent du CGN pour permettre l'IPv4.

La moralité, c'est que pour une part croissante de la population, IPv4
est moins fiable/performant qu'IPv6 et ce n'est pas très grave parce que
ce qui est important est accessible en IPv6.

Du coup, si tu fournis du contenu en IPv4 only, ton service est dégradé
sur cette population. Sony et Microsoft ont collé le support IPv6 dans
la dernière génération de console pour cette raison, pas parce qu'ils
avaient des milliards à ne pas savoir où les dépenser.

Je rebondis un peu tard car c'est une conversation sur le SwiNOG qui m'a
fait penser à ça. UPC Cablecom, le plus gros cablo-opérateur suisse, est
en train de déployer des clients en IPv6 only avec du DS-Lite. Dans les
autres exemples connus, il y a T-Mobile US et Verizon.
-- 
Make sure special cases are truly special.
- The Elements of Programming Style (Kernighan  Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Clement Cavadore]

On Thu, 2015-07-02 at 12:03 +0200, Vincent Bernat wrote:
 
 Je rebondis un peu tard car c'est une conversation sur le SwiNOG qui
 m'a fait penser à ça. UPC Cablecom, le plus gros cablo-opérateur
 suisse, est en train de déployer des clients en IPv6 only avec du
 DS-Lite. Dans les autres exemples connus, il y a T-Mobile US et
 Verizon. 

Il y a aussi Unitymedia en Allemagne, qui fait de l'IPv6 only+DS-Lite,
AFAIK.

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Luc didry]

Le jeudi 2 juillet 2015, 12:51:18 Radu-Adrian Feurdean a écrit :
 On Thu, Jul 2, 2015, at 12:06, Luc didry wrote:
  Le jeudi 2 juillet 2015, 12:03:23 Vincent Bernat a écrit :
   Plusieurs FAI (notamment dans le mobile) font de l'IPv6 only
  
  J'veux bien des noms.
 
 T-Mobile, Verizon Wireless, ATT Mobility.
 Peut-etre d'autres aussi, mais eux ce sont les cas les plus mediatises.

Merci. Ça me rassure : pas de français dans le tas. Ça m'étonnait aussi de pas 
en avoir entendu parler pour les FAI français.
-- 
Luc
http://www.fiat-tux.fr/
Internet n'est pas compliqué, Internet est ce que vous en faites.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Phil Regnauld]

Raphael Mazelier (raph) writes:
 
 
 Le 29/06/15 11:17, Jérôme BERTHIER a écrit :
 
 
 Toutes les fonctionnalités de routage / filtrage sont disponibles pour
 les deux piles donc, si besoin, à part avoir à gérer un nouvel IGP
 (OSPFv3, RIPNG...) pour traiter IPv6, je ne vois pas la différence.
 
 
 Et quand tu utilises IS-IS même pas :)

OSPFv3 fait v4 maintenant (j'adore expliquer ça aux nouveaux: pour v6, 
tu
installes v3 qui fait v4).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[fr...@leccia.fr]

Le 29/06/2015 10:29, Phil Regnauld a écrit :
 Wallace (wallace) writes:
 A part le temps de réflexion de
 comment tu vas subneter ton v6 pour pas te trouver coincer, y a des
 formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet,
 vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en
 sort.
   Oui, et puis bon, même si on se plante, suffit de dessiner un petit
   carré dans le coin supérieur gauche d'une feuille A4, et de se dire
   j'ai besoin de ça dans mon /32 actuellement. Et si ça part en
   carafe, on dessine un deuxième petit carré à côté du premier, on
   écrit (s'il y a la place) tentative no. 2.

   Au pire, demander une deuxième feuille^H^H/32 à RIPE :D

   P.

Le RIPE t’alloue un /32 mais il te sur-réserve le /29 supérieur dans sa
table.  A croire qu'ils ont prévu que certains partent en carafe dès le 
début...:D


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Wallace]

Le 29/06/2015 13:26, Pierre Beyssac a écrit :
 On Mon, Jun 29, 2015 at 12:30:26PM +0200, Damien Fleuriot wrote:
 Avoir une vision technique c'est bien, avoir également la vision financière
 ça permet de relativiser les différents sujets.
 Bingo, c'est exactement ça.

 Pour petit rappel, la vision financière, jusqu'en 1995 en gros,
 c'est que tout était prévu par les telcos avec ATM puis OSI avec
 des vrais réseaux pro facturés au plus près des usages. TCP/IP
 c'était une blague pour que quelques universitaires s'amusent entre
 eux temporairement.

 Malheureusement, les geeks dans un garage ont toujours eu une aussi
 désagréable que répétée tendance à découper en confettis les vrais
 professionnels de la profession. :-P

 Ce n'est peut-être pas une coïncidence complète si 2 des plus grosses
 boites Internet (Google et Facebook) se sont déjà mises à IPv6 sans
 nous faire des cacas nerveux. Il leur manque manifestement la vision
 financière :-P
Pour convaincre les personnes de la direction non technique (on se
demande pourquoi le DSI ou le DT n'ont pas encore fait leur boulot
correctement) et même si je suis anti Apple, pour information toutes les
applications iOS devront sous quelques semaines être compatible ipv6
alors si vous faites dans les applications mobiles ou avez des clients
qui potentiellement en font, vous allez devoir y passer sous peine de
bloquer vos clients et qu'ils aillent tout simplement voir ailleurs.

Un autre point, l'internet des objets est en marche, à mon plus grand
regret pour la vie privée, vient avec le besoin d'interco facile entre
les objets, c'est en autre pour cela que des boites comme Apple force
l'adoption de cette norme.

Les boites qui n'ont pas suivi le courant technologique au bon moment ne
font plus vraiment parti de ce monde, allé un exemple plus parlant la
photo numérique qui a tué les sociétés argentiques qui n'ont pas cru à
cette technologie...

Il me reste des T et des bouchons BNC à la cave ça intéresse quelqu'un
qui serait resté dans les années 90?



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Phil Regnauld]

 On 29/06/2015, at 16.01, Wallace wall...@morkitu.org wrote:
 
 Un autre point, l'internet des objets est en marche, à mon plus grand
 regret pour la vie privée, vient avec le besoin d'interco facile entre
 les objets, c'est en autre pour cela que des boites comme Apple force
 l'adoption de cette norme

Mouais les chercheurs avec qui je bosse ont une vision limitée la dessus. Pour 
eux cest store and forward et v4. Le bout en bout et ne pas se prendre la tête 
avec l'adressage ne sont pas encore sur leur radar. 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[solarus]

 

Le 2015-06-29 15:01, Wallace a écrit : 

 Il me reste des T et des bouchons BNC à la cave ça intéresse quelqu'un qui 
 serait resté dans les années 90?

Rigole, rigole, mais je continue à démonter du matos X.25 / XOT dans les
DAB pour les passer en Full IP. 

Solarus 
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Jérôme BERTHIER]

Bonjour,

Le 27/06/2015 18:51, Frederic Dhieux a écrit :

Pour moi la démarche c'est d'abord de configurer les briques en IPv4 ET
en IPv6 une par une et de pouvoir un jour se dire tiens la chaine est
complète, on peut utiliser le service en IPv6 quand on est en IPv6 sur
un autre end point


+1



Jeune et con depuis un paquet d'années =) En tout cas pas blasé c'est
sûr. Plus concrètement, ça coûte tant que ça de configurer les 2 stacks
sur un équipement quand on l'installe de nos jours ?


Je ne crois pas non plus.

Toutes les fonctionnalités de routage / filtrage sont disponibles pour 
les deux piles donc, si besoin, à part avoir à gérer un nouvel IGP 
(OSPFv3, RIPNG...) pour traiter IPv6, je ne vois pas la différence.


Côté serveur, j'ai l'impression que l'effort est même carrément 
l'inverse. Tous les OS sont de base paramétrés en double pile. Si on ne 
veut pas faire d'IPv6 du tout (même en l'absence de service d'adressage 
global), il faut y travailler pour déconfigurer l'affaire.
Quittes à y passer du temps (même faible) autant le faire pour déployer 
IPv6, non ?


Côté postes client, le plus gênant pour généraliser une connectivité 
IPv6 reste à mon sens les contraintes de traçabilité d'allocation des 
adresses. Comme évoqué dans la discussion, l'utilisation du DUID et sa 
gestion plus ou moins rigoureuse rend difficile l'établissement d'une 
correspondance statique entre machine et IPv6 globale à allouer par DHCPv6.


Bref, j'ai quand même l'impression que ça avance doucement et surement 
mais bon, comme me dit un jour, un DSI auquel je parlais déploiement IPv6 :
bah IPv6 depuis le temps qu'on en parle, si ça servait à quelque chose, 
ça se saurait !


Ceci explique cela ?

A+

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Pierre Beyssac]

On Mon, Jun 29, 2015 at 12:30:26PM +0200, Damien Fleuriot wrote:
 Avoir une vision technique c'est bien, avoir également la vision financière
 ça permet de relativiser les différents sujets.

Bingo, c'est exactement ça.

Pour petit rappel, la vision financière, jusqu'en 1995 en gros,
c'est que tout était prévu par les telcos avec ATM puis OSI avec
des vrais réseaux pro facturés au plus près des usages. TCP/IP
c'était une blague pour que quelques universitaires s'amusent entre
eux temporairement.

Malheureusement, les geeks dans un garage ont toujours eu une aussi
désagréable que répétée tendance à découper en confettis les vrais
professionnels de la profession. :-P

Ce n'est peut-être pas une coïncidence complète si 2 des plus grosses
boites Internet (Google et Facebook) se sont déjà mises à IPv6 sans
nous faire des cacas nerveux. Il leur manque manifestement la vision
financière :-P
-- 
Sent from my FreeBSD server on its IPv6 connection
Pierre Beyssac  p...@fasterix.frmug.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Jérôme BERTHIER]

Le 29/06/2015 11:26, Phil Regnauld a écrit :

Et quand tu utilises IS-IS même pas:)


Quoi un truc même pas IP du tout :-)


OSPFv3 fait v4 maintenant (j'adore expliquer ça aux nouveaux: pour v6, 
tu
installes v3 qui fait v4).


Pour l'anecdote, j'ai bien tenté de remplacer IPv4/OSPFv2 par 
IPv6/OSPFv3 (incluant address family IPv4) mais un vilain bug Cisco de 
redistribution BGP-OSPFv3 m'a coupé dans mon élan :

https://tools.cisco.com/bugsearch/bug/CSCue82043

D'ailleurs, je vois qu'on est nombreux à avoir remonté le problème 
seulement considéré comme Enhancement... :-\


--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-27 4:57 GMT+02:00 Frederic Dhieux frede...@syn.fr:



 Le 26/06/15 19:24, Michel Py a écrit :
  Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon
 temps. En plus, les arguments comme quoi IPv6 va éliminer NAT sont not
 seulement pas étanches, mais carrément faux. Il y a plus de méthodes NAT
 pour V6 que pour v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2
 fois le travail et 3 fois les emmerdes. En plus de devoir administrer
 double stack, va donc poser la question suivante au blaireau qui est au
 téléphone parce qu'il peut pas accéder www.maboite.com : t'essaies
 d'accéder avec IPv4, ou avec IPv6 ?
  Euuuhhh
 

 Est-ce qu'on est vraiment obligé à un moment de faire un truc batard
 entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas
 vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent
 à vivre en parallèle. Après pour le debug c'est potentiellement plus
 chiant, mais à ce jour désactiver IPv6 en cas de problème règle
 rapidement et sans impact le point si on ne veut pas perdre de temps. En
 tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4
 dans 95% des cas.

 Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire
 du NAT entre les 2 du coup ?

  Damien Fleuriot a écrit :
  Concernant le fait que ce soit plus ou moins pénible que du v4,
  c'est tout bête : le v4 c'est déjà en place et maîtrisé ;)
  +1

 C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est
 un peu notre métier aussi d'appréhender les nouvelles technos et de les
 mettre en place.


Faux, fondamentalement.
C'est notre métier d'appréhender les nouvelles technos et de les *évaluer*
, tant dans les gains techniques et économiques qu'elles présentent, mais
aussi dans les risques.
À moins que tu MEP tout et n'importe quoi au gré des sorties, ce dont je
doute ;)

En ce qui concerne mon employeur et son business, non seulement IPv6
n'apporte aucun avantage, mais ça apporte sont lot d'emmerdes !
(géolocalisation, code métier à revoir en partie, pour ne citer que ça).

C'est aussi simple que ça, en fait.
La technologie a été évaluée, et les bénéfices -nuls- ne justifient ni le
risque, ni le coût de la mise en oeuvre.






  +1 En plus, si quelque chose foire pendant que tu fais tes mises à
  jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le
  réseau de prod qui marchait bien avant que tu foutes tes mains dedans

 Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment
 là il ne faut jamais mettre à jour tant que ça tourne et il ne faut
 jamais rien faire évoluer...

 C'est évident aussi qu'on colle pas direct le truc sur la prod la plus
 sensible.



Avoir une vision technique c'est bien, avoir également la vision financière
ça permet de relativiser les différents sujets.

Oui, IPv6 c'est probablement bien.
Non, ça sert à rien, mais alors vraiment *strictement* à rien pour mon
employeur.
Du coup, c'est assez vite plié comme discussion...


Vous faites ce que vous voulez sur vos plateformes, mais ici en tout cas
c'est pas d'actualité, pour le moment.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Phil Regnauld]

Jérôme BERTHIER (jbml) writes:
 
 D'ailleurs, je vois qu'on est nombreux à avoir remonté le problème
 seulement considéré comme Enhancement... :-\

Bin oui, tout le monde est passé à IS-IS depuis.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Raphael Mazelier]

Le 29/06/15 11:17, Jérôme BERTHIER a écrit :



Toutes les fonctionnalités de routage / filtrage sont disponibles pour
les deux piles donc, si besoin, à part avoir à gérer un nouvel IGP
(OSPFv3, RIPNG...) pour traiter IPv6, je ne vois pas la différence.



Et quand tu utilises IS-IS même pas :)

--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Phil Regnauld]

Jérôme BERTHIER (jbml) writes:
 
 Bref, j'ai quand même l'impression que ça avance doucement et
 surement mais bon, comme me dit un jour, un DSI auquel je parlais
 déploiement IPv6 :
 bah IPv6 depuis le temps qu'on en parle, si ça servait à quelque
 chose, ça se saurait !
 
 Ceci explique cela ?

s/un jour/1990/
s/IPv6/IPv4/

:)

Bon, il reste des trucs galères, genre exporter les flux NetFlow
en v6 (pas le *contenu* v6, mais avoir un collecteur v6), sous IOS.

Ou alors statistiques BGP v6 en SNMP, y'a pas toujours les bonnes
MIBs.

Mais on va mettre Cisco en exemple de ce qui se fait de bien non plus :)

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel PIRON]

Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à 
distribuer :


http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/

Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/)

It is very likely that we are already processing a request that we will 
be unable to fulfill.



---
Samuel PIRON


Le 29/06/2015 15:45, fr...@leccia.fr a écrit :

Le 29/06/2015 10:29, Phil Regnauld a écrit : Wallace (wallace) writes: 
A part le temps de réflexion de

comment tu vas subneter ton v6 pour pas te trouver coincer, y a des
formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet,
vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en
sort. Oui, et puis bon, même si on se plante, suffit de dessiner un 
petit

carré dans le coin supérieur gauche d'une feuille A4, et de se dire
j'ai besoin de ça dans mon /32 actuellement. Et si ça part en
carafe, on dessine un deuxième petit carré à côté du premier, on
écrit (s'il y a la place) tentative no. 2.

Au pire, demander une deuxième feuille^H^H/32 à RIPE :D

P.


 Le RIPE t'alloue un /32 mais il te sur-réserve le /29 supérieur dans sa
 table. A croire qu'ils ont prévu que certains partent en carafe dès 
le début... :D


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/ [1]

Links:
--
[1] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-29 17:28 GMT+02:00 Samuel PIRON piron.sam...@neoxis.eu:

 Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à
 distribuer :


 http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/

 Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/)

  It is very likely that we are already processing a request that we will
 be unable to fulfill.



Quitte à jeter un pavé dans la marre, on peut se demander, légitimement, si
IBM, HP, DEC, Ford, Daymler, Apple... ont vraiment besoin de /8s

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 29/06/15 18:30, Damien Fleuriot a écrit :

 Quitte à jeter un pavé dans la marre, on peut se demander, légitimement, si
 IBM, HP, DEC, Ford, Daymler, Apple... ont vraiment besoin de /8s

Bien sûr que non, mais il est bien trop tard pour pleurer là dessus,
pour le cas d'IBM tout leur parc et leurs postes sont adressés avec
depuis des lustres. Il faut arrêter de pleurer sur des erreurs d'il y a
plus de 30 ans (3 ans avant la réservation de 10/8 pour l'usage privé).

C'est toujours plus facile de regarder derrière avec beaucoup de recul,
mais c'est devant que ça se passe.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Julien Richer]

Le 29 juin 2015 15:45, fr...@leccia.fr fr...@leccia.fr a écrit :

 Le RIPE t’alloue un /32 mais il te sur-réserve le /29 supérieur dans sa
 table.  A croire qu'ils ont prévu que certains partent en carafe dès le 
 début...:D



Ce qui est au final très pratique pour faire facilement du 6rd,
sur un /30 par exemple afin d'allouer des /62

proposition initiale :
https://www.ripe.net/participate/policies/proposals/2011-04


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Wallace]

Le 27/06/2015 06:23, Michel Py a écrit :
 Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde 
 à part qui n'est pas encore vraiment intégré au monde réel.
35% de notre trafic DNS et HTTP en v6 c'est déjà un beau jouet pour de
la production
60% pour le trafic mail, oui v4 est minoritaire, faudrait même que je
regarde plus précisément car je suis sur que les mailjet et consorts qui
servent à envoyer que du spam représentent facile plusieurs dizaines en
pourcentage et comme ils ne sont pas v6 si on coupe v4 sur les mails on
sera sans doute gagnant en tranquillité :D
Plus sérieusement comme pour Win XP pour le SNI ou pour la comptabilité
des nav, quand v4 représentera moins de 10% on envisagera vraiment
d'enlever v4 car les 10% restants seront considérés comme des tiers
obsolètes qui n'ont pas su évoluer.


 La différence, c'est que depuis 15 ans que j'entends des conneries qui 
 prédisent le déploiement imminent (une chanson que j'ai chanté moi-même) 
 maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le 
 même disque rayé.
Comme tout le monde l'a déjà dit, déployer une dual stack sur le réseau
ça prend vraiment pas beaucoup de temps. A part le temps de réflexion de
comment tu vas subneter ton v6 pour pas te trouver coincer, y a des
formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet,
vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en
sort.

Pour les serveurs aucune excuse, ajouter une ip fixe v6 si c'est si
coûteux pour toi il est temps de changer de métier.
On n'a pas opté pour l'auto config mais bien pour des ip fixes et ça
marche très bien.
Pour la gestion des ipv6 on s'embête pas chaque serveur a un FQDN en v6
par défaut et v4 si besoin et tous les fqdn dédiés aux services sur ce
serveur sont des cname vers le fqdn du serveur, ce qui donne d'office
tous les services accessibles en v6.

Côté système là faut faire l'effort de faire un bind en v4 et v6 au lieu
de v4 only, alors oui on a galéré y a 5 ans pour trouver les bonnes
options et recompiler les packages qui incluaient pas v6, sur Debian 8
et les dernières Ubuntu même les confs par défaut sont dual stack.
Combien ça m'a coûté? Bizarrement je me suis pas posé la question comme
cela, on sait qu'on est limité en v4 (juste un /22) on voit v4 comme une
rustine temporaire donc pour pouvoir continuer à bosser sous peu v6 ne
pouvait être autre chose que la base.

 IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme 
 tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les 
 dépenser.
Je garderais pas ipv4 aussi longtemps ça c'est évident, les v4 vont
migrer d'ici 2/3 ans sur des équipements qui feront de la redirection
vers v6. Oh j'ai parlé de NAT46!!! De toute façon on a qu'un /22 en ipv4
et au rythme actuel on aura tout utilisé dans 3/4 ans et j'ai pas envie
d'aller engraisser des revendeurs de subnet...
On limite déjà fortement l'usage du v4 mais on pousse tellement nos
clients sur le v6 qu'ils le déploient sur leur réseau et nous remercie
après de plus avoir plein de nat à gérer partout. On a même refuser un
partenariat intéressant parce que l'entreprise en face n'était pas v6,
on a refusé de faire du v4 rfc 1918 avec du nat dans un VPN, on a dit ça
sera v6 ou rien.

Le lendemain le PDG m'appelait pour comprendre notre besoin et notre
façon de travailler. Du coup après avoir fait le calcul de ce qu'il
loupe comme opportunité ils ont mis le v6 dans le top5 des projets IT de
2015 ... oui là ça va avoir un coût pour eux, si ils avaient tout fait
tranquillement avant il ne leur aurait resté que quelques bricoles à
activer ou à tester, pas tout un réseau et une solution à inventer.

 Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je 
 préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, 
 c'étaient des trolls à qui tout le monde donnait des croquettes.
Le vrai troll c'est surtout ceux qui ne déploient pas v6 on va bien
rigoler de ces gens là dans quelque temps :D



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Manu]

Le 29/06/2015 10:23, jenesaisplusqui a écrit :

Le déploiement d'IPv6, c'est un troll usé.


Si y'a troll, c'est donc qu'il y a encore des raisons de troller.

--
Manu Jacquet


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Phil Regnauld]

Wallace (wallace) writes:
 
 A part le temps de réflexion de
 comment tu vas subneter ton v6 pour pas te trouver coincer, y a des
 formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet,
 vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en
 sort.

Oui, et puis bon, même si on se plante, suffit de dessiner un petit
carré dans le coin supérieur gauche d'une feuille A4, et de se dire
j'ai besoin de ça dans mon /32 actuellement. Et si ça part en
carafe, on dessine un deuxième petit carré à côté du premier, on
écrit (s'il y a la place) tentative no. 2.

Au pire, demander une deuxième feuille^H^H/32 à RIPE :D

P.


pgpMPS986lCEK.pgp
Description: PGP signature

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Michel Py, le Sat 27 Jun 2015 00:55:42 +, a écrit :
  Samuel Thibault a écrit :
  Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton 
  mail.
 
 Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
 pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
 j'étais sur le 6bone.

Je faisais un stage pour faire de l'OpenGL sur udp, et au passage j'ai
ajouté le support IPv6 au bidule.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Nicolas Parpandet]

Pour les ronchons d'ipv6, moi je trouve ça super :

* connexion depuis la maison directe sur les IPs des VMs du bureau, plus de 
NAT, juste du PF : comme au début du net
* les PCs du bureau : plus de dhcp, tout en auto-config, ca marche c'est tout...
* l'ipv6 m'a déjà sauvé lorsque la stack ipv4 était HS, j'ai pu reprendre le 
contrôle des serveurs...

Cette année j'ai fais les premiers serveurs en full ipv6, bye bye ipv4, et je 
vais continuer à généraliser doucement,
ce qui m'évitera la double config qui est c'est vrai assez lourde à maintenir. 
Après cisco se fou un peut de notre gueule en ne proposant
pas de màj L3 ipv6 sur d'ancienne gammes et en forçant à renouveler son parc, 
alors que la stack ipv6 est fonctionnelle sur des AIX 4.3 (oui oui 4.3... : 
sortit en 1999)

A+

Nicolas



- Mail original -
De: Pierre Lagoutte pie...@dratech.com
À: frnog@frnog.org
Envoyé: Samedi 27 Juin 2015 06:34:10
Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser 
des adresses déjà allouées

Comme je te comprends.

C'est vrai: dual stack = deux fois plus de pb
Quiconque a déjà essayé d'identifier quel est cet host v6 qui crache ce 
p... de trafic incontinent ?
ou à qui appartient ce DUID mystérieux ?
ou de débiter des âneriesen hexa au tel avec un support
ou simplement de prendre des notes au crayon sur un print de snapshot v6

ne peut que ressentir un certain raz-le-bol et (parfois/souvent) 
souhaiter se retrouver dans l'univers cocoon de v4(ou y revenir au plus 
vite). Usant.
Dommage pour les croyants.
L'automatisme c'est bien, mais c'est surtout en papier.

Vivement v11 ou autre (surtout: moins mal foutu)
Bonne journée à tous
   Pierre


=
Le 27/06/2015 05:12, Frederic Dhieux a écrit :
 Le 27/06/15 02:55, Michel Py a écrit :

 Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
 pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
 j'étais sur le 6bone.
 Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui
 n'était pas encore vraiment intégré au monde réel. Les équipementiers
 balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne
 manquaient pas réellement, c'était plus un truc d'universitaires
 qu'autre chose même. Je me rappelle avoir pesté sur des équipements
 réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4.

 Mais je comprends qu'on puisse être fatigué de se battre pour un truc
 pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage.

 Frederic


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Hello,

Alors pour donner un contexte plus précis, je pense plus à une démarche
interne dans une entreprise qu'à convaincre un client en jouant sa
crédibilité sur un timing impossible à estimer réellement. Egalement je
ne considère pas dans la manoeuvre remplacer IPv4 par IPv6 et mélanger
la communication entre les deux par un NAT tout aussi moche.

Pour moi la démarche c'est d'abord de configurer les briques en IPv4 ET
en IPv6 une par une et de pouvoir un jour se dire tiens la chaine est
complète, on peut utiliser le service en IPv6 quand on est en IPv6 sur
un autre end point

Jeune et con depuis un paquet d'années =) En tout cas pas blasé c'est
sûr. Plus concrètement, ça coûte tant que ça de configurer les 2 stacks
sur un équipement quand on l'installe de nos jours ? Je ne parle pas de
finaliser le projet et d'avoir ISO entre IPv4 et IPv6 ou de se
débarrasser d'IPv4, je parle juste de déployer de la connectivité IPv6
quand on déploie des nouveaux équipements/services pour petit à petit
compléter le puzzle.

L'exemple donné précédemment avec le routeur et le NAT, franchement à
lire les propos on dirait qu'il faut refaire toute l'archi du truc et
que c'est un projet énorme alors que ce n'est pas le cas.

Et quoi qu'on en dise, la pénurie IPv4 a accéléré un peu les choses ces
dernières années auprès d'opérateurs conséquents (aux US par exemple).
Donc en pratique IPv6 va exister de plus en plus mécaniquement. Il ne
faut pas rêver, IPv4 va perdurer pendant des lustres, mais un jour ça
deviendra compliqué de ne pas avoir d'IPv6 et ce sera beaucoup plus
chiant de tout reconfigurer d'un coup plutôt que d'avoir plus que
quelques briques à changer parce que le reste est déjà IPv6 ready.

My 2 cents,
Frederic

P.S. : Après c'est sûr, si j'étais un businessman qui lance une startup
avec une vision qui ne dépasse pas 18 mois, moi aussi j'en aurais rien à
faire.
Le 27/06/15 06:23, Michel Py a écrit :
 Frederic Dhieux a écrit :
 Est-ce qu'on est vraiment obligé à un moment de faire un truc
 batard entre v4 et v6 et de translater de l'un à l'autre ?
 Ben oui, puisque plus personne ne croie plus à IPv6 sera déployé l'année 
 prochaine et on pourra enlever le dual-stack dans 2 ou 3 ans. Le disque est 
 rayé.


 En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 
 dans 95% des cas.
 Tu viens le faire gratos pour mes clients ?


 Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du 
 NAT entre les 2 du coup ?
 Pas moi. Les gens qui croient que IPv6 only avec NAT 466464 çà va remplacer 
 CGN.


 A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne 
 faut jamais rien faire
 évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la 
 plus sensible.
 A mon avis t'as pas encore pris assez de coups de pieds au cul à te battre 
 contre des moulins à vent.


 Mais je comprends qu'on puisse être fatigué de se battre pour un truc 
 pendant 15 ans oui.
 Ben justement je pense que t'es pas assez fatigué. Essaies de ne pas 
 m'expliquer comment être jeune et con. Je suis vieux et con.


 Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à
 part qui n'était pas encore vraiment intégré au monde réel.
 Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde 
 à part qui n'est pas encore vraiment intégré au monde réel.

 La différence, c'est que depuis 15 ans que j'entends des conneries qui 
 prédisent le déploiement imminent (une chanson que j'ai chanté moi-même) 
 maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le 
 même disque rayé.

 IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme 
 tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les 
 dépenser.

 Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je 
 préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, 
 c'étaient des trolls à qui tout le monde donnait des croquettes.

 Michel.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Xavier Beaudouin]

Hello,

 Le 25/06/2015 11:53, Frédéric GANDER a écrit :
 la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y 
 a
 pas bcp d'ipv6
 
 T'as qu'à offrir du peering gratuit en IPv6 si tu veux vraiment le
 promouvoir :-@
 
 Après tout, le peer n'est pas le mal… Vidéo toujours inaccessible en
 IPv4 ou IPv6 soit dit en passant.

Excellente idée :D Je suis quasi sûr que tous les gens qui lisent ce mail 
seraient supra content de promouvoir les services IPv6 de cette façon... 

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 14:38 GMT+02:00 Radu-Adrian Feurdean 
fr...@radu-adrian.feurdean.net:

 On Fri, Jun 26, 2015, at 12:40, Damien Fleuriot wrote:
  Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
  et devoir les firewaller une par une.

 Non et NON et *NON* !

  Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
  coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
  doit être maintenu.

 Tu n'a pas besoin de NAT pour mettre un firewall en coupure.
 Et de memoire sur les firewalls tu peux quand-meme utilises de subnets,
 pas seulement des hosts (en v4 comme en v6 - modulo qu'en v6 utiliser
 des hosts seuls c'est rarement utile).

  Je peux me tromper

 C'est bien le cas ici.

  ce qui me concerne des machines avec des IPv6 directement exposées sans
  NAT/RP c'est un accident qui attend d'arriver.

 Rien ne t'empeche de :
  - ne pas exposer directement des machines ayant une v6 globale (*).
  comme deja preise, tu peux mettre un firewall devant.
  - mettre un RP (en v6) devant des machines toujours en v6

 (*) Faut commencer a assimiler la difference entre une adresse
 publique et une adresse globalement unique. Une adresse globalement
 unique est *generalement* publique, mais ce n'est pas du tout
 obligatoire.



J'entends bien, mais aujourd'hui, pour des raisons qui me sont antérieures,
il n'y a aucun subnet routé par les FW.
Ils assurent le NAT et le RP en v4, mais ils ne routent pas de networks.

Du coup, passer en v6, c'est :
- des changements d'infra
- des risques (erreurs d'implémentation, de manipulation pour le
changement, failles de sécu en v6 (rtadv bonsoir) )
- beaucoup de travail pour finalement pas grand chose (et on en revient
toujours au même problème avec l'ipv6 -.- )

Faudra bien qu'on le fasse un jour hein, mais pour le moment le management
n'y voit aucun intérêt, et honnêtement côté technique non plus; que de
l'inconvénient.


En tout cas, je prends bonne note de la solution privilégiée de router des
subnets via les FW, même si c'est très différent de notre fonctionnement
d'ajd :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 26/06/15 14:52, Samuel Thibault a écrit :

 Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
 (mais garder le firewall bien sûr). Il te faut un subnet séparé
 pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
 RFC1918. Je ne vois aucune difficulté de réflexion.

Pareil, je capte pas où est le chamboulement, mettre une intero v6
publique comme il y a l'IP publique v4 et mettre un subnet public routé
v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au
lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall
avec des règles de translation d'IP quand même à la base non ?)

Je suis en train de pleurer du sang à lire encore des histoires qui
mélangent NAT et sécurité pour justifier de garder une affreuse
rustine qu'est le NAT et de ne pas mettre IPv6.

En gros ce qui change entre IPv4 NAT et IPv6 :
- Le subnet interne derrière la boiboite est non translaté par le firewall
- Le blocage des ports entrants par défaut vers le subnet interne

On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas
bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas
bien configuré au moins rien ne fonctionne...

Frédéric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 15:11 GMT+02:00 Frederic Dhieux frede...@syn.fr:



 Le 26/06/15 14:52, Samuel Thibault a écrit :
 
  Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
  (mais garder le firewall bien sûr). Il te faut un subnet séparé
  pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
  RFC1918. Je ne vois aucune difficulté de réflexion.

 Pareil, je capte pas où est le chamboulement, mettre une intero v6
 publique comme il y a l'IP publique v4 et mettre un subnet public routé
 v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au
 lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall
 avec des règles de translation d'IP quand même à la base non ?)

 Je suis en train de pleurer du sang à lire encore des histoires qui
 mélangent NAT et sécurité pour justifier de garder une affreuse
 rustine qu'est le NAT et de ne pas mettre IPv6.

 En gros ce qui change entre IPv4 NAT et IPv6 :
 - Le subnet interne derrière la boiboite est non translaté par le firewall
 - Le blocage des ports entrants par défaut vers le subnet interne

 On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas
 bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas
 bien configuré au moins rien ne fonctionne...

 Frédéric


En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là le
problème, il n'y en a pas des intercos v4 actuellement.

Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à aucun
moment je n'ai dit que le NAT était la seule solution.
Néanmoins, affirmer que le NAT ne protège pas est une erreur.

Certes il y a des alternatives -comme utiliser des intercos pour router des
préfixes- , mais le NAT apporte, d'une manière différente, un mécanisme de
protection des serveurs de backend.


J'ai l'impression que vous abordez tous le sujet du simple point de vue
d'un admin réseau, qui veut des choses propres et carrées.
Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du
métier; en d'autres termes, on n'a pas toujours le choix.

Je peux vendre à mon employeur 15 jours homme pour tot remettre au
propre dans les whatmille projets, ou 0 jours homme pour conserver
l'existant mais pas d'IPv6.
Vous pensez bien que la discussion va aller assez vite... et pas
nécessairement dans mon sens.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 15:21:20 +0200, a écrit :
 Je peux vendre à mon employeur 15 jours homme pour tot remettre au
 propre dans les whatmille projets, ou 0 jours homme pour conserver
 l'existant mais pas d'IPv6.

On ne parle pas de tout changer, on parle juste de faire à peu
près pareil que l'existant, avec juste un firewall à la place du
NAT/firewall.

 J'ai l'impression que vous abordez tous le sujet du simple point de vue
 d'un admin réseau, qui veut des choses propres et carrées.
 Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du
 métier; en d'autres termes, on n'a pas toujours le choix.

Pour prendre un exemple concret de composition avec l'existant. Pour mes
cours de réseau j'ai demandé à ce qu'on ait de l'IPv6 configuré dans
les salles de TP. La première réaction a bien sûr été pfiou, un
jour oui mais oulala. Et puis j'ai discuté avec l'ingé pendant une
heure, pour lui rappeler qu'ipv6 c'est essentiellement comme ipv4 et
qu'il pouvait juste tout faire presque pareil.

En quelques heures il avait plié la mise en œuvre.
Pour une vingtaine de salles de TP avec 20 postes chacun, plus une
salle serveur, chaque salle NATée séparément en v4. Il a simplement
répliqué sa conf v4 pour le firewall, remplaçant le NAT par du
firewall. De même pour DNS, dhcp, etc. Aucun réel changement
d'infrastructure au final.

À un moment, on passe vraiment plus de temps à troller qu'à juste
s'en occuper.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Michel Py]

 David Ponzone a écrit :
 Zut, moi qui voulais m’auto-approprier le 240/4 et l’annoncer, je peux pas ?

Ben t'est pas le premier à y avoir pensé, pas forcément pour l'annoncer, mais 
tous ceux qui ont essayé te diront que 240/4, c'est certifié iso1664. Trop de 
travail, trop d'incertitudes, trop de trucs que tu peux pas fixer.
Pour des adresses privées, c'est bien plus pratique de détourner 30/8 et autres 
préfixe du même fournisseur ;-)


 Frederic Dhieux a écrit :
 Ca prend du temps à diluer dans les différentes tâches, mais en quelques 
 années c'est
 possible et surtout c'est mieux que de dire trop compliqué, trop long, on 
 arrivera
 jamais à le faire passer et de n'avoir rien commencé 5-10 ans plus tard.

Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. En 
plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas 
étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour v4 
: NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et 3 
fois les emmerdes. En plus de devoir administrer double stack, va donc poser la 
question suivante au blaireau qui est au téléphone parce qu'il peut pas accéder 
www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ?
Euuuhhh


 Damien Fleuriot a écrit :
 Concernant le fait que ce soit plus ou moins pénible que du v4,
 c'est tout bête : le v4 c'est déjà en place et maîtrisé ;)

+1

 Damien Fleuriot a écrit :
 Je peux vendre à mon employeur 15 jours homme pour tot remettre au propre 
 dans les
 whatmille projets, ou 0 jours homme pour conserver l'existant mais pas 
 d'IPv6. Vous pensez
 bien que la discussion va aller assez vite... et pas nécessairement dans mon 
 sens.

+1
En plus, si quelque chose foire pendant que tu fais tes mises à jour, c'est 
forcément ta faute. Pourquoi t'es allé bidouiller sur le réseau de prod qui 
marchait bien avant que tu foutes tes mains dedans

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Michel Py]

 Samuel Thibault a écrit :
 Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton mail.

Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
j'étais sur le 6bone.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Michel Py, le Fri 26 Jun 2015 17:24:22 +, a écrit :
 les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas 
 étanches, mais carrément faux.

Heu, non, IPv6 n'élimine pas NAT, mais permet de s'en passer.

 Il y a plus de méthodes NAT pour V6 que pour v4 : NAT46, NAT64, NAT464, 
 NAT66, et j'en oublie.

La plupart d'entre elles ne sont pas pour V6 mais entre 4 et 6. De
nouveau, rien ne t'oblige à en utiliser. Tu peux bien utiliser le NAT66
qui fonctionne comme le NAT44 dont tu as l'habitude. Tu peux bien ne pas
en utiliser du tout (et c'est vraiment pas plus mal).

Bref, à part de la mauvaise foi, je ne vois rien d'intéressant dans ton
mail.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 26/06/15 19:24, Michel Py a écrit :
 Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. 
 En plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas 
 étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour 
 v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et 
 3 fois les emmerdes. En plus de devoir administrer double stack, va donc 
 poser la question suivante au blaireau qui est au téléphone parce qu'il peut 
 pas accéder www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ?
 Euuuhhh


Est-ce qu'on est vraiment obligé à un moment de faire un truc batard
entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas
vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent
à vivre en parallèle. Après pour le debug c'est potentiellement plus
chiant, mais à ce jour désactiver IPv6 en cas de problème règle
rapidement et sans impact le point si on ne veut pas perdre de temps. En
tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4
dans 95% des cas.

Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire
du NAT entre les 2 du coup ?

 Damien Fleuriot a écrit :
 Concernant le fait que ce soit plus ou moins pénible que du v4,
 c'est tout bête : le v4 c'est déjà en place et maîtrisé ;)
 +1

C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est
un peu notre métier aussi d'appréhender les nouvelles technos et de les
mettre en place.
 +1 En plus, si quelque chose foire pendant que tu fais tes mises à
 jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le
 réseau de prod qui marchait bien avant que tu foutes tes mains dedans 

Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment
là il ne faut jamais mettre à jour tant que ça tourne et il ne faut
jamais rien faire évoluer...

C'est évident aussi qu'on colle pas direct le truc sur la prod la plus
sensible.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 27/06/15 02:55, Michel Py a écrit :

 Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
 pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
 j'étais sur le 6bone.

Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui
n'était pas encore vraiment intégré au monde réel. Les équipementiers
balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne
manquaient pas réellement, c'était plus un truc d'universitaires
qu'autre chose même. Je me rappelle avoir pesté sur des équipements
réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4.

Mais je comprends qu'on puisse être fatigué de se battre pour un truc
pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Michel Py]

 Frederic Dhieux a écrit :
 Est-ce qu'on est vraiment obligé à un moment de faire un truc
 batard entre v4 et v6 et de translater de l'un à l'autre ?

Ben oui, puisque plus personne ne croie plus à IPv6 sera déployé l'année 
prochaine et on pourra enlever le dual-stack dans 2 ou 3 ans. Le disque est 
rayé.


 En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 dans 
 95% des cas.

Tu viens le faire gratos pour mes clients ?


 Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du 
 NAT entre les 2 du coup ?

Pas moi. Les gens qui croient que IPv6 only avec NAT 466464 çà va remplacer 
CGN.


 A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne 
 faut jamais rien faire
 évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la 
 plus sensible.

A mon avis t'as pas encore pris assez de coups de pieds au cul à te battre 
contre des moulins à vent.


 Mais je comprends qu'on puisse être fatigué de se battre pour un truc pendant 
 15 ans oui.

Ben justement je pense que t'es pas assez fatigué. Essaies de ne pas 
m'expliquer comment être jeune et con. Je suis vieux et con.


 Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à
 part qui n'était pas encore vraiment intégré au monde réel.

Ah ouai ouai, et aujourd'hui IPv6 c'est un jouet pour faire mumuse, un monde à 
part qui n'est pas encore vraiment intégré au monde réel.

La différence, c'est que depuis 15 ans que j'entends des conneries qui 
prédisent le déploiement imminent (une chanson que j'ai chanté moi-même) 
maintenant si je vois pas l'élimination d'IPv4 en 3 ans je n'écoute plus le 
même disque rayé.

IPv6 avec 10 ou 15 ans de plus à se taper dual-stack, je reste à IPv4. Comme 
tout le monde, à part ceux qui ont des milliards à ne pas savoir ou les 
dépenser.

Le déploiement d'IPv6, c'est un troll usé. Même un trolldi. Franchement, je 
préférerais le retour de Christine Albanel ou de Michel Riguidel. Au moins, 
c'étaient des trolls à qui tout le monde donnait des croquettes.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Pierre Lagoutte]

Comme je te comprends.

C'est vrai: dual stack = deux fois plus de pb
Quiconque a déjà essayé d'identifier quel est cet host v6 qui crache ce 
p... de trafic incontinent ?

ou à qui appartient ce DUID mystérieux ?
ou de débiter des âneriesen hexa au tel avec un support
ou simplement de prendre des notes au crayon sur un print de snapshot v6

ne peut que ressentir un certain raz-le-bol et (parfois/souvent) 
souhaiter se retrouver dans l'univers cocoon de v4(ou y revenir au plus 
vite). Usant.

Dommage pour les croyants.
L'automatisme c'est bien, mais c'est surtout en papier.

Vivement v11 ou autre (surtout: moins mal foutu)
Bonne journée à tous
  Pierre


=
Le 27/06/2015 05:12, Frederic Dhieux a écrit :

Le 27/06/15 02:55, Michel Py a écrit :


Quand tu auras perdu 15 ans de ta vie as essayer de faire marcher IPv6, on 
pourra en reparler. Tu faisais quoi à propos d'IPv6, il y a 15 ans ? moi 
j'étais sur le 6bone.

Il y a 15 ans IPv6 était un jouet pour faire mumuse, un monde à part qui
n'était pas encore vraiment intégré au monde réel. Les équipementiers
balbutiaient des fonctionnalités incomplètes et buggées, les IPv4 ne
manquaient pas réellement, c'était plus un truc d'universitaires
qu'autre chose même. Je me rappelle avoir pesté sur des équipements
réseaux BGP qui supportaient fièrement IPv6 mais pas BGP4.

Mais je comprends qu'on puisse être fatigué de se battre pour un truc
pendant 15 ans oui. Une pensée pour Nerim, Renater et d'autres au passage.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
 Parce que pour que le firewall fasse office de point de coupure, encore
 faut-il que les bécannes qui sont derrière ne soient joignables que via ce
 dernier ?

Si ce n'est pas le cas, ton réseau a un souci L2, pas L3...

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 15:20 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org:

 Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit :
  Pour le contexte vis-à-vis de l'existant :
 
  [ router ] pub
|
  [ FW ] pub + 1918
|
  [ lb ] 1918
|
  [ web ] 1918

 Et donc:

 [ router ] 2001:db8:0:1::1/64
   |
 [ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64
   |
 [ lb ] 2001:db8:0:2::3/64
   |
 [ web ] 2001:db8:0:2::x/64

 Je ne vois pas de difficulté de conception: on fait comme l'existant,
 juste du NAT en moins.


Dans ce scénario et attendu que le firewall se retrouve en effet en point
de coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6,
quand ils pourraient être en simple v4 ?

Ça permet d'éviter le NAT, tant valable techniquement, ne sera pas
accepté économiquement, ça représente mécaniquement un coût.
J'entends qu'il s'agit d'un coût faible, mais appliqué à chacun de nos
projets et chacune des machines, ça va chiffrer assez vite.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 26/06/15 15:21, Damien Fleuriot a écrit :



 En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là
 le problème, il n'y en a pas des intercos v4 actuellement.

Ah bon ? Ton subnet d'IPv4 publiques c'est quoi ? C'est l'interco IPv4
vers ton bloc client privé IPv4.

 Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à
 aucun moment je n'ai dit que le NAT était la seule solution.
 Néanmoins, affirmer que le NAT ne protège pas est une erreur.

Affirmer aveuglément que le NAT protège c'est une erreur.

 Certes il y a des alternatives -comme utiliser des intercos pour
 router des préfixes- , mais le NAT apporte, d'une manière différente,
 un mécanisme de protection des serveurs de backend.



Mais tu le fais déjà sans le savoir avec le NAT...

 J'ai l'impression que vous abordez tous le sujet du simple point de
 vue d'un admin réseau, qui veut des choses propres et carrées.
 Gardez à l'esprit qu'il faut composer avec l'existant et les
 contraintes du métier; en d'autres termes, on n'a pas toujours le choix.


On est bien sur FRnOG ? L'existant on en a tous et on bosse justement à
l'améliorer. La première chose c'est de maitriser l'existant et la cible
pour aller du point A au point B. Après il y a les contraintes, mais là
manifestement c'est pas vraiment une contrainte, c'est plus une
incompréhension je pense.

 Je peux vendre à mon employeur 15 jours homme pour tot remettre au
 propre dans les whatmille projets, ou 0 jours homme pour conserver
 l'existant mais pas d'IPv6.
 Vous pensez bien que la discussion va aller assez vite... et pas
 nécessairement dans mon sens.

On en revient à ce qu'on dit : Le problème n'est pas technique, le
problème c'est que les gens ont peur de se pencher sur le sujet, au
mieux estiment correctement que ça va prendre du temps, au pire estiment
que c'est un chantier titanesque (ce qui est faux niveau réseau et
système, ce qui peut être vrai niveau BDD et dev)

La réalité c'est qu'en réseau tu peux très facilement implémenter IPv6
en parallèle de ton existant sans impact et donc le faire 1h par ci 1h
par là pour te détendre et finalement arriver au bout d'un an à un
truc qui ressemble à quelque chose sans l'avoir passé comme un vrai
projet chronophage. Tout comme j'estime de mon côté que la bonne
démarche et de se dire qu'à chaque changement d'équipement ou
installation d'un nouveau service, il faut appliquer la mise en place
d'IPv6 dans le processus. C'est pris sur le temps de chaque projet sans
être trop pénalisant et ça ajoute petit à petit les pièces au puzzle.

Et un jour on finit par se rendre compte qu'on a quasiment toutes les
briques en place pour déployer un service IPv6 et que le projet IPv6 ne
semble plus aussi compliqué qu'on ne l'aurait cru.

Le plus gros problème au départ c'était les équipements réseaux,
aujourd'hui c'est de moins en moins le cas après de nombreuses années.
Il reste donc surtout la partie applicative qui freine, mais c'est en
aval du réseau et du système, donc non bloquant pour nous.

Ca prend du temps à diluer dans les différentes tâches, mais en quelques
années c'est possible et surtout c'est mieux que de dire trop
compliqué, trop long, on arrivera jamais à le faire passer et de
n'avoir rien commencé 5-10 ans plus tard.

My 2 cents.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Simon Morvan]

Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot m...@my.gd a écrit :
Je trouve ça très réducteur, le propos sur le NAT.

Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
et
devoir les firewaller une par une.
C'est chiant à maintenir, très chiant.

Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall
en
coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
doit être maintenu.

Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat pour 
protéger toutes les machines derrière avec un ruleset unique.


-- 
Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 13:29 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org:

 Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
  Parce que pour que le firewall fasse office de point de coupure, encore
  faut-il que les bécannes qui sont derrière ne soient joignables que via
 ce
  dernier ?
 
  Router : 2001::1
  FW : 2001::2
 
  Web1 : 2001::a
  Web2 : 2001::b

 Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement
 sur le routeur, et que c'est juste par chance que le trafic, en v4,
 passe par ton Firewall ? Ben c'est effectivement là qu'est le problème,
 mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est
 vraiment très artificiel que NAT te corrige le problème).

  À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
  firewall n'agit pas en point de coupure.

 Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents
 entre ce qui est devant ton firewall et ce qui est derrière. Rien de
 nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un
 firewall.

  Personnellement ça me semble assez chiant à mettre en place (on en
 revient
  au rapport pénibilité-bénéfice d'ipv6 du coup).

 Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en
 v4.


Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de
reverse-proxy qui assurent ça.
En gros ici, on n'a pas de réseau routé par les firewalls.
Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
reverse-proxies qui ont des IPs RFC1918.

Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout
bête : le v4 c'est déjà en place et maîtrisé ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 26/06/15 15:13, Damien Fleuriot a écrit :

 Pour le contexte vis-à-vis de l'existant :

 [ router ] pub
   |
 [ FW ] pub + 1918
   |
 [ lb ] 1918
   |
 [ web ] 1918


 Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs
 publiques.
 LB et web ont des IPs RFC1918.

 Gardez bien en tête qu'il faut composer avec l'existant.

[ router ] interco 1 pub
  |
[ FW ] interco 2 pub (je comprends pas trop le role du routeur avant en fait) + 
subnet client IPv6
  |
[ lb ] subnet client IPv6
  |
[ web ] subnet client IPv6


Tu bloques les ports vers le subnet client en entrée sur le firewall qui
par ailleurs est tout autant un routeur qu'au moment où il faisait du NAT.

Pour moi translater des IPv4 via un NAT, c'est du routage, donc ça ne
change pas grand chose. C'est même plus simple. Au lieu d'avoir une
table de translation NAT on a une table d'états de firewalling.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 15:24:38 +0200, a écrit :
 Dans ce scénario et attendu que le firewall se retrouve en effet en point de
 coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6, quand 
 ils
 pourraient être en simple v4 ?

C'est une autre possibilité, oui.

 Ça permet d'éviter le NAT, tant valable techniquement, ne sera pas accepté
 économiquement, ça représente mécaniquement un coût.

Le NAT en lui-même a un coût, qui n'est pas vraiment négligeable non
plus, et centralisé dans ton firewall qui aura donc plus de mal à passer
à l'échelle.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Raphael Mazelier]

Le 26/06/15 13:05, Damien Fleuriot a écrit :


Parce que pour que le firewall fasse office de point de coupure, encore
faut-il que les bécannes qui sont derrière ne soient joignables que via ce
dernier ?



Ca semble un peu la base oui :)

--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit :
 Pour le contexte vis-à-vis de l'existant :
 
 [ router ] pub
   |
 [ FW ] pub + 1918
   |
 [ lb ] 1918
   |
 [ web ] 1918

Et donc:

[ router ] 2001:db8:0:1::1/64
  |
[ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64
  |
[ lb ] 2001:db8:0:2::3/64
  |
[ web ] 2001:db8:0:2::x/64

Je ne vois pas de difficulté de conception: on fait comme l'existant,
juste du NAT en moins.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 12:40:54 +0200, a écrit :
 Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
 devoir les firewaller une par une.

Pourquoi les firewaller ? Tu peux les firewaller ensemble, comme tu le
faisais en v4.

 Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
 coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
 doit être maintenu.

Il n'y a pas besoin de NATer pour ça, il suffit de firewaller. Vraiment
de la même manière, juste le NAT en moins.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 12:49 GMT+02:00 Raphael Mazelier r...@futomaki.net:



 Le 26/06/15 12:40, Damien Fleuriot a écrit :

 Je trouve ça très réducteur, le propos sur le NAT.

 Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
 devoir les firewaller une par une.
 C'est chiant à maintenir, très chiant.

 Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
 coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
 doit être maintenu.


 Je peux me tromper, vous avez peut-être des solutions alternatives, mais
 en
 ce qui me concerne des machines avec des IPv6 directement exposées sans
 NAT/RP c'est un accident qui attend d'arriver.


 Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu
 n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de
 bordure.

 Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a
 crée un semblant de sécurité du fait des architectures mise en place pour
 contourner le manque d'ipv4. L'architecture courante étant tout les
 serveurs en rcf1918 derrière un firewall, ip publiques portés par le
 firewall et nat sélectif. Une architecture qui marche jusqu’à un certain
 point.



Une approche qui se défend, mais à ce compte là est-ce qu'il y a vraiment
un intérêt à utiliser des IPv6 sur ses serveurs de backend ?

Dans ce genre de scénario, si je comprends bien, tu dois toujours avoir un
équipement qui fait office de reverse proxy (qui lui est annoncé et
joignable).
Cet équipement pourrait tout aussi bien continuer à parler aux backends en
v4, limitant les modifications d'infra.

On en arrive à un stade hybride où l'équipement doit pouvoir parler en v4
et en v6, mais de toutes façons on sera bien obligés de conserver la
compatibilité v4 temporairement le temps de la transition.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit :
 Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de
 reverse-proxy qui assurent ça.

Heu, mais si tu envisages de brancher tes Web1 et Web2 directement
sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le
même réseau que dehors le firewall ? Et donc que tu as un souci L2
déjà, et que c'est juste par chance que ça n'est pas percé.

Sinon, si tu as déjà deux L2 séparés pour en-dehors du firewall
et en-dedans du firewall, eh bien il faut deux subnets, oui. Rien de
nouveau, c'est ainsi en v4 depuis le début :)

 En gros ici, on n'a pas de réseau routé par les firewalls.
 Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
 reverse-proxies qui ont des IPs RFC1918.

En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois
pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je
n'y vois pas d'intérêt par rapport à un bête firewall.

 Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout 
 bête
 : le v4 c'est déjà en place et maîtrisé ;)

Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
(mais garder le firewall bien sûr). Il te faut un subnet séparé
pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
RFC1918. Je ne vois aucune difficulté de réflexion.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

Je trouve ça très réducteur, le propos sur le NAT.

Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
devoir les firewaller une par une.
C'est chiant à maintenir, très chiant.

Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
doit être maintenu.


Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
ce qui me concerne des machines avec des IPv6 directement exposées sans
NAT/RP c'est un accident qui attend d'arriver.


2015-06-25 10:49 GMT+02:00 Nicolas Parpandet n...@1g6.biz:



 Hello,

 Cela existe depuis longtemps, plusieurs groupes français
 ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.),
 mais c'est galère, une partie de yahoo est injoignable par exemple !, et
 du routage spécifique à du être mis en place...

 Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6
 est en cours d'ajout dans le noyaux linux, ca me fait mal lol...

 Nicolas


 - Mail original -
 De: Stephane Bortzmeyer bortzme...@nic.fr
 À: Simon Morvan gar...@zone84.net
 Cc: frnog@frnog.org
 Envoyé: Jeudi 25 Juin 2015 10:35:27
 Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser
 des adresses déjà allouées

 On Thu, Jun 25, 2015 at 10:23:37AM +0200,
  Simon Morvan gar...@zone84.net wrote
  a message of 33 lines which said:

  C'est pour un usage strictement interne et privé, derrière les IPs
  publiques légalement utilisables, on est bien d'accord ?

 Mais cela empêche toute communication avec les boîtes qui ont
 l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 12:56 GMT+02:00 Simon Morvan gar...@zone84.net:



 Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot m...@my.gd a écrit :
 Je trouve ça très réducteur, le propos sur le NAT.
 
 Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
 et
 devoir les firewaller une par une.
 C'est chiant à maintenir, très chiant.
 
 Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall
 en
 coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
 doit être maintenu.

 Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat
 pour protéger toutes les machines derrière avec un ruleset unique.


Parce que pour que le firewall fasse office de point de coupure, encore
faut-il que les bécannes qui sont derrière ne soient joignables que via ce
dernier ?

Router : 2001::1
FW : 2001::2

Web1 : 2001::a
Web2 : 2001::b

À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
firewall n'agit pas en point de coupure.

Personnellement ça me semble assez chiant à mettre en place (on en revient
au rapport pénibilité-bénéfice d'ipv6 du coup).


Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus
simple qui ne me vient pas à l'esprit ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
 Parce que pour que le firewall fasse office de point de coupure, encore
 faut-il que les bécannes qui sont derrière ne soient joignables que via ce
 dernier ?
 
 Router : 2001::1
 FW : 2001::2
 
 Web1 : 2001::a
 Web2 : 2001::b

Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement
sur le routeur, et que c'est juste par chance que le trafic, en v4,
passe par ton Firewall ? Ben c'est effectivement là qu'est le problème,
mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est
vraiment très artificiel que NAT te corrige le problème).

 À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
 firewall n'agit pas en point de coupure.

Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents
entre ce qui est devant ton firewall et ce qui est derrière. Rien de
nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un
firewall.

 Personnellement ça me semble assez chiant à mettre en place (on en revient
 au rapport pénibilité-bénéfice d'ipv6 du coup).

Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en
v4.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 14:52 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org:

 Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit :
  Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme
 de
  reverse-proxy qui assurent ça.

 Heu, mais si tu envisages de brancher tes Web1 et Web2 directement
 sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le
 même réseau que dehors le firewall ? Et donc que tu as un souci L2
 déjà, et que c'est juste par chance que ça n'est pas percé.

 Sinon, si tu as déjà deux L2 séparés pour en-dehors du firewall
 et en-dedans du firewall, eh bien il faut deux subnets, oui. Rien de
 nouveau, c'est ainsi en v4 depuis le début :)

  En gros ici, on n'a pas de réseau routé par les firewalls.
  Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
  reverse-proxies qui ont des IPs RFC1918.

 En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois
 pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je
 n'y vois pas d'intérêt par rapport à un bête firewall.

  Concernant le fait que ce soit plus ou moins pénible que du v4, c'est
 tout bête
  : le v4 c'est déjà en place et maîtrisé ;)

 Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
 (mais garder le firewall bien sûr). Il te faut un subnet séparé
 pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
 RFC1918. Je ne vois aucune difficulté de réflexion.



Pour le contexte vis-à-vis de l'existant :

[ router ] pub
  |
[ FW ] pub + 1918
  |
[ lb ] 1918
  |
[ web ] 1918


Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs
publiques.
LB et web ont des IPs RFC1918.

Gardez bien en tête qu'il faut composer avec l'existant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[David Ponzone]

TROLLDI
Mais non, tous les OS sont sécurisés maintenant, les constructeurs sont 
prudents, surtout sur les Objets Connectés, comme nos futures voitures par 
exemple.
On risque rien!
/TROLLDI


Le 26 juin 2015 à 12:40, Damien Fleuriot m...@my.gd a écrit :

 Je trouve ça très réducteur, le propos sur le NAT.
 
 Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
 devoir les firewaller une par une.
 C'est chiant à maintenir, très chiant.
 
 Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
 coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
 doit être maintenu.
 
 
 Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
 ce qui me concerne des machines avec des IPv6 directement exposées sans
 NAT/RP c'est un accident qui attend d'arriver.
 
 
 2015-06-25 10:49 GMT+02:00 Nicolas Parpandet n...@1g6.biz:
 
 
 
 Hello,
 
 Cela existe depuis longtemps, plusieurs groupes français
 ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.),
 mais c'est galère, une partie de yahoo est injoignable par exemple !, et
 du routage spécifique à du être mis en place...
 
 Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6
 est en cours d'ajout dans le noyaux linux, ca me fait mal lol...
 
 Nicolas
 
 
 - Mail original -
 De: Stephane Bortzmeyer bortzme...@nic.fr
 À: Simon Morvan gar...@zone84.net
 Cc: frnog@frnog.org
 Envoyé: Jeudi 25 Juin 2015 10:35:27
 Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser
 des adresses déjà allouées
 
 On Thu, Jun 25, 2015 at 10:23:37AM +0200,
 Simon Morvan gar...@zone84.net wrote
 a message of 33 lines which said:
 
 C'est pour un usage strictement interne et privé, derrière les IPs
 publiques légalement utilisables, on est bien d'accord ?
 
 Mais cela empêche toute communication avec les boîtes qui ont
 l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Stephane Bortzmeyer]

On Thu, Jun 25, 2015 at 11:53:27AM +0200,
 Xavier Beaudouin k...@oav.net wrote 
 a message of 59 lines which said:

 Exemple simple : en DHCPv6 on doit utiliser un DUID pour faire un
 bail fixe. Soit, mais certains OS (genre celui avec le pomme dedans)
 prends un bail DHCPv6 mais il est incapable de me montrer quel est
 le censored DUID qu'il affiche (meme les logs de dhcpv6 me le
 montre pas).

La solution que j'utilise (brace yourself...) est tcpdump + bc. Je
n'ai pas encore regardé si Wireshark faisait mieux...

Voici ce qu'affiche tcpdump, ce qui permet de recalculer le DUID arès
avoir lu le RFC 3315 :-)

(client ID hwaddr/time type 1 time 1201021431 0019b9e425f9)

Cela donne le DUID 0:1:0:1:47:96:21:f7:0:19:b9:e4:25:f9 (type 1,
Ethernet = 1, temps en hexa, adresse MAC 0019b9e425f9)

 Y a encore des constructeurs qui sortent des machins a moitiés finis
 en IPv6... 

Hélas oui.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 25/06/2015 11:21, Manu a écrit :


Non, y'a pas de cinglés d'IPV4. Désolé, mais la réalité est que non, 
ça n'est pas simple. IPV6 est (un peu) plus compliqué à comprendre 
qu'IPV4. Et l'un dans l'autre, on reste sur l'effort n'en vaut pas la 
chandelle (1).




Hello,

Autant dire que c'est compliqué pour migrer toutes les parties 
applicatives, faire des ALTER sur les bases, de changer du code 
historique et de gérer les 2 en parallèle je comprends, autant dire 
qu'IPv6 en lui même est compliqué je ne vois pas trop par rapport à tout 
ce qu'on apprend continuellement dans le monde IT.


Après c'est toujours le même problème derrière de fond : Personne veut 
consacrer des JH en quantité correcte pour y passer et ça passera 
toujours derrière tout ce qui est pour hier. Là dessus on est bien 
d'accord :)



Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frédéric GANDER]

- Mail original -
 De: David Ponzone david.ponz...@gmail.com
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: Manu m...@formidable-inc.net, frnog@frnog.org
 Envoyé: Jeudi 25 Juin 2015 11:41:54
 Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser 
 des adresses déjà allouées
 
 Je pense que le complexité apparente (je ne sais pas encore si elle
 est réelle) vient du fait qu’il va être impératif de se reposer sur
 les mécanismes d’automatisation d’IPv6.
 
 Par exemple, quand on a un client en ligne (client très final), c’est
 pas toujours très simple de débugguer un problème de connectivité en
 lui faisant trouver l’IPv4 de son PC.
 Mais en IPv6, il va falloir oublier. On va donc se reposer sur le
 côté « on branche et ça marche » d’IPv6  , jusqu’au jour où ça ne va
 plus marcher, parce qu’il y a toujours un jour où ça ne marche plus.
 Les clients finaux sont déjà à un niveau proche de 0 en compétence IP
 (et c’est normal) mais en IPv6, ils vont repartir de 0.
 Mais si on arrive à me convaincre qu’en IPv6, on a plus jamais besoin
 de faire de support client pour des problèmes d’adressage IP, alors
 je suis preneur!
 

mais euh c'est le problème des fai pour l'ipv6 de faire les confs automatiques, 
pour les hébergeur/serveur c'est juste configurer une ip :)
et globalement les conf pour le v4 sont déjà automatiques, Dhcp ca marche 
bien ;)

la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y a 
pas bcp d'ipv6 
mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est sur 
l'ipv6 chez les fai en france c'est pas forcement encore ca.


 Le 25 juin 2015 à 11:32, Frédéric GANDER fgan...@corp.free.fr a
 écrit :
 
  
  
  - Mail original -
  De: Manu m...@formidable-inc.net
  À: frnog@frnog.org
  Envoyé: Jeudi 25 Juin 2015 11:21:46
  Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande
  d'utiliser des adresses déjà allouées
  
  
  
  Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit :
  Les
  cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
  solution simple de passer à IPv6 (on n'est pas vendredi ?)
  
  Non, y'a pas de cinglés d'IPV4. Désolé, mais la réalité est que
  non,
  ça n'est pas simple. IPV6 est (un peu) plus compliqué à
  comprendre
  qu'IPV4. Et l'un dans l'autre, on reste sur l'effort n'en vaut
  pas
  la
  chandelle (1).
  
  
  ya plus de chiffres ? et des lettres ?
  ca match pas la regexp php ?
  
  
  
  
  
  Après, sur le fond concernant la doc Ubuntu, je suis d'accord.
  Soit
  on
  fait pas, soit on fait propre.
  
  M
  (1) non ça n'existe pas.
  
  --
  Manu Jacquet
  
  
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/
  
  
  
  
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/
 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Xavier Beaudouin]

Hello David,

 Je pense que le complexité apparente (je ne sais pas encore si elle est 
 réelle)
 vient du fait qu’il va être impératif de se reposer sur les mécanismes
 d’automatisation d’IPv6.
 
 Par exemple, quand on a un client en ligne (client très final), c’est pas
 toujours très simple de débugguer un problème de connectivité en lui faisant
 trouver l’IPv4 de son PC.
 Mais en IPv6, il va falloir oublier. On va donc se reposer sur le côté « on
 branche et ça marche » d’IPv6  , jusqu’au jour où ça ne va plus marcher, parce
 qu’il y a toujours un jour où ça ne marche plus.
 Les clients finaux sont déjà à un niveau proche de 0 en compétence IP (et 
 c’est
 normal) mais en IPv6, ils vont repartir de 0.
 Mais si on arrive à me convaincre qu’en IPv6, on a plus jamais besoin de faire
 de support client pour des problèmes d’adressage IP, alors je suis preneur!

Oui avec aussi le fait que certains OS n'ont pas encore tous les outils a 
disposition.

Exemple simple : en DHCPv6 on doit utiliser un DUID pour faire un bail fixe. 
Soit, mais certains OS (genre celui avec le pomme dedans) prends un bail DHCPv6 
mais il est incapable de me montrer quel est le censored DUID qu'il affiche 
(meme les logs de dhcpv6 me le montre pas).

De même j'ai des iPad qui prennent un DUID (que j'arrive a retrouver) et 
d'autres non (malgré le fait qu'ils aient la même version OS, etc..).

Même combat avec Android 4.4.x ou la... l'affichage d'un DUID ou avoir simple 
IPv6 qui marche tiens de l'exploit.

Y a encore des constructeurs qui sortent des machins a moitiés finis en IPv6... 

Après que le End user parte avec zero c'est pas si mal non plus. Ca évite au 
support de tomber sur le script kiddy qui a réussi mettre une ip en loopback de 
son Windows de croire qu'il connais tout.

Mais se pencher sur la partie End User n'est pas tout. Je pense que le GROS du 
pb c'est l'offre et les DAF qui n'ont rien compris que faire de la RD sur 
l'IPv6 (qu'on pourras déduire du CIR) actuellement permettra de faire des 
choses innovantes en peu de temps.

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Alexis Lameire]

Heu c'est un peu excessif quand même.

Ce qui bloque aussi c'est la vision d'IPv4. Le fait d'avoir des bloc non
routé sur le nainternet est une vision plus clair pour beaucoup d'user.
Dans le sens d'un porte qui montre bien le dedans du dehors.

Voilà pourquoi certains veulent avoir du nat en ipv6 et l'une des raison
qui rend sa mise en place omplexe. Alors qu'aujourd'hui on a un très bon
support niveau système d'exploitation et équipement reéseau.

alexis


Le 25 juin 2015 11:43, Manu m...@formidable-inc.net a écrit :



 Le 25/06/2015 11:37, Alarig Le Lay a écrit :

 Je trouve qu’au contraire IPv6 est bien plus simple qu’IPv4, surtout
 quand on l’apprend avant IPv4 :p


 Oui, tu as probablement raison sur il ne faudrait même plus enseigner
 ipv4 :)


 --
 Manu Jacquet


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frederic Dhieux]

Le 25/06/2015 11:53, Frédéric GANDER a écrit :


mais euh c'est le problème des fai pour l'ipv6 de faire les confs automatiques, 
pour les hébergeur/serveur c'est juste configurer une ip :)
et globalement les conf pour le v4 sont déjà automatiques, Dhcp ca marche 
bien ;)

la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y a 
pas bcp d'ipv6
mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est sur 
l'ipv6 chez les fai en france c'est pas forcement encore ca.




Pour moi c'est clairement la bascule, le jour où les FAI sont IPv6 et où 
ça générera une vraie part du trafic sur Internet (avec les gros FDC), 
les autres FDC se poseront enfin sérieusement la question et se 
sentiront réellement en retard techniquement.


Un FDC qui met de l'IPv6, ça se sent pas, les FAI ça fait tout de suite 
beaucoup de monde derrière qui bascule.


Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Alexis Lameire]

c'est le jour où il y auras réellement plus d'Ipv4 et que donc de facto
tout ce qui est pas ipv6 compilant se prive d'une partie du net.

Comme dab, il faut être au bord du gouffre pour agir

alexis

Le 25 juin 2015 11:58, Frederic Dhieux frede...@syn.fr a écrit :

 Le 25/06/2015 11:53, Frédéric GANDER a écrit :


 mais euh c'est le problème des fai pour l'ipv6 de faire les confs
 automatiques, pour les hébergeur/serveur c'est juste configurer une ip :)
 et globalement les conf pour le v4 sont déjà automatiques, Dhcp ca
 marche bien ;)

 la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il
 n'y a pas bcp d'ipv6
 mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est
 sur l'ipv6 chez les fai en france c'est pas forcement encore ca.



 Pour moi c'est clairement la bascule, le jour où les FAI sont IPv6 et où
 ça générera une vraie part du trafic sur Internet (avec les gros FDC), les
 autres FDC se poseront enfin sérieusement la question et se sentiront
 réellement en retard techniquement.

 Un FDC qui met de l'IPv6, ça se sent pas, les FAI ça fait tout de suite
 beaucoup de monde derrière qui bascule.

 Frederic



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Nicolas Parpandet]

pour les FAI ipv6 en france :

FREE
OVH
FDN
Nerim
Alice
SFR
Orange : en cours cette année




- Mail original -
De: Frederic Dhieux frede...@syn.fr
À: frnog@frnog.org
Envoyé: Jeudi 25 Juin 2015 11:58:05
Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser 
des adresses déjà allouées

Le 25/06/2015 11:53, Frédéric GANDER a écrit :

 mais euh c'est le problème des fai pour l'ipv6 de faire les confs 
 automatiques, pour les hébergeur/serveur c'est juste configurer une ip :)
 et globalement les conf pour le v4 sont déjà automatiques, Dhcp ca marche 
 bien ;)

 la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y 
 a pas bcp d'ipv6
 mais bon le jour ou les fai vont arrêter de fournir du v4 ... mais c'est sur 
 l'ipv6 chez les fai en france c'est pas forcement encore ca.



Pour moi c'est clairement la bascule, le jour où les FAI sont IPv6 et où 
ça générera une vraie part du trafic sur Internet (avec les gros FDC), 
les autres FDC se poseront enfin sérieusement la question et se 
sentiront réellement en retard techniquement.

Un FDC qui met de l'IPv6, ça se sent pas, les FAI ça fait tout de suite 
beaucoup de monde derrière qui bascule.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Xavier Claude]

Le jeudi 25 juin 2015 20:29:58 David Ponzone a écrit :
 Stéphane,
 
 je parlais pas de leur IP publique externe, mais de leur IP privée interne,
 quand ils se plaignent de ne pas pouvoir imprimer. Le problème dans ce
 métier, c’est qu’il faut commencer par leur prouver que c’est pas la faute
 de l’opérateur si le blaireau (no offense) qui est venu installer la
 nouvelle imprimante de luxe a pris une IP statique qui était déjà attribuée
 à un PC.

Ou qu'ils sont trébuché dans le câble, ou débranché l'AP pour y mettre la 
machine à café. Ou recablé le switch comme il leur semblait que c'était le 
mieux.

 Une fois que c’est prouvé, ils se demmerdent avec leur prestataire
 informatique, mais ils ont tendance à confondre les 2. J’espère avec joie
 qu’IPv6 va régler tout ça (plus de statique), mais je reste un peu
 dubitatif.

Quand je vois que plein d'appareil faut de l'autoconfiguration quand il y les 
flags M/O de mis, je me dis que ça va entraîner des problèmes (bon, ce sera 
des nouveaux problèmes, ça casse la routine).
-- 
Xavier Claude
cont...@xavierclaude.be


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Samuel Thibault]

Stephane Bortzmeyer, le Thu 25 Jun 2015 12:39:39 +0200, a écrit :
 On Thu, Jun 25, 2015 at 11:53:27AM +0200,
  Xavier Beaudouin k...@oav.net wrote 
  a message of 59 lines which said:
 
  Exemple simple : en DHCPv6 on doit utiliser un DUID pour faire un
  bail fixe. Soit, mais certains OS (genre celui avec le pomme dedans)
  prends un bail DHCPv6 mais il est incapable de me montrer quel est
  le censored DUID qu'il affiche (meme les logs de dhcpv6 me le
  montre pas).
 
 La solution que j'utilise (brace yourself...) est tcpdump + bc. Je
 n'ai pas encore regardé si Wireshark faisait mieux...

dhcpdump ne supporte pas encore v6 ? Faudrait mettre un stagiaire
là-dessus, ça serait utile :)
(attention, le code de dhcpdump est horrible à pleurer).

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Wallace]

Le 25/06/2015 11:55, Alexis Lameire a écrit :
 Heu c'est un peu excessif quand même.

 Ce qui bloque aussi c'est la vision d'IPv4. Le fait d'avoir des bloc non
 routé sur le nainternet est une vision plus clair pour beaucoup d'user.
 Dans le sens d'un porte qui montre bien le dedans du dehors.

 Voilà pourquoi certains veulent avoir du nat en ipv6 et l'une des raison
 qui rend sa mise en place omplexe. Alors qu'aujourd'hui on a un très bon
 support niveau système d'exploitation et équipement reéseau.

 alexis
On adresse plus en v4 depuis 2009, tous les serveurs sont forcéments en
v6 par défaut et si besoin de communiquer sur internet on ajoute un v4.
Le gain immédiat, plus de NAT juste des règles FW, l'admin, la
supervision, la sauvegarde c'est juste du bonheur.
Si besoin d'adresser un subnet non routé, qu'est ce qui empêche de
réserver un subnet et le blackholé sur les routeurs et firewall pour en
profiter dans une dmz ou un lan? Pas obligé d'implémenter du NAT

Tout clients confondus, on fait 35% de requêtes DNS et HTTP en v6 preuve
qu'il y a des utilisateurs en face qui font l'effort peut être à leur
insu. Faut dire qu'on pousse aussi certains clients à mettre en place
l'ipv6 pour taper des serveurs sans faire de rebonds ou mettre des
règles de nat. Et ça marche ils sont même super content qu'on leur ai
enlevé cette migration (double stack) qui fait peur.

Au niveau mail on est proche des 60%, sur le moment on se dit super,
après on voit que c'est principalement vers Gmail, Microsoft et Apple
... mais au moins l'ipv4 est devenu minoritaire.




signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[David Ponzone]

Stéphane,

je parlais pas de leur IP publique externe, mais de leur IP privée interne, 
quand ils se plaignent de ne pas pouvoir imprimer.
Le problème dans ce métier, c’est qu’il faut commencer par leur prouver que 
c’est pas la faute de l’opérateur si le blaireau (no offense) qui est venu 
installer la nouvelle imprimante de luxe a pris une IP statique qui était déjà 
attribuée à un PC.
Une fois que c’est prouvé, ils se demmerdent avec leur prestataire 
informatique, mais ils ont tendance à confondre les 2.
J’espère avec joie qu’IPv6 va régler tout ça (plus de statique), mais je reste 
un peu dubitatif.


Le 25 juin 2015 à 12:34, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Thu, Jun 25, 2015 at 11:41:54AM +0200,
 David Ponzone david.ponz...@gmail.com wrote 
 a message of 79 lines which said:
 
 Par exemple, quand on a un client en ligne (client très final),
 c’est pas toujours très simple de débugguer un problème de
 connectivité en lui faisant trouver l’IPv4 de son PC.
 
 « Quelle est votre adresse IP ? » « 192.168.1.2 » « ... »
 
 Personnellement, ce que je fais est de leur demander d'aller voir
 https://www.ripe.net/ ou http://bgp.he.net/ et de me dire ce qui 
 s'affiche.
 
 Mais en IPv6, il va falloir oublier.
 
 La technique ci-dessus marche en IPv6.
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Jérôme Nicolle]

Le 25/06/2015 11:53, Frédéric GANDER a écrit :
 la ou ça traîne c'est qu'en dehors des grands fournisseurs de contenu il n'y 
 a pas bcp d'ipv6 

T'as qu'à offrir du peering gratuit en IPv6 si tu veux vraiment le
promouvoir :-@

Après tout, le peer n'est pas le mal… Vidéo toujours inaccessible en
IPv4 ou IPv6 soit dit en passant.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Jérôme Nicolle]

Le 25/06/2015 10:57, Frédéric GANDER a écrit :
 chiche ? ;)

Tu veux un euro par abonné, c'est ça ?

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Stephane Bortzmeyer]

On Thu, Jun 25, 2015 at 10:23:37AM +0200,
 Simon Morvan gar...@zone84.net wrote 
 a message of 33 lines which said:

 C'est pour un usage strictement interne et privé, derrière les IPs
 publiques légalement utilisables, on est bien d'accord ?

Mais cela empêche toute communication avec les boîtes qui ont
l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
solution simple de passer à IPv6 (on n'est pas vendredi ?)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Xavier Beaudouin]

Hello Stéphane,


 C'est pour un usage strictement interne et privé, derrière les IPs
 publiques légalement utilisables, on est bien d'accord ?
 
 Mais cela empêche toute communication avec les boîtes qui ont
 l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)

Des fois on tombe sur des horreurs. Si utiliser les ip a usage privé est 
courant, des fois par erreurs, ou méconnaissance on se retrouve avec des choses 
historiques.

Apres IPv4 est de toute façon une horreur, mais il existe pas mal de niches 
dans laquelle IPv4 vivra longtemps après qu'on auras buté IPv4 sur l'internet 
public... Par exemple le milieu financier ou les softs sont de toute façon 
développé pour IPv4 ... avec du NAT dans tous les sens...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Simon Morvan]

On 25/06/2015 10:35, Stephane Bortzmeyer wrote:
  C'est pour un usage strictement interne et privé, derrière les IPs
  publiques légalement utilisables, on est bien d'accord ?
 Mais cela empêche toute communication avec les boîtes qui ont
 l'allocation légitime, et cela va faire des cauchemars à déboguer. 
Depuis ces IPs ? On parle des connexions sortantes depuis les containers
vers le monde extérieur. Oh, bin avec une couche de NAT/PAT
supplémentaire ou de proxies, ça va l'faire :)

 Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)
On est bien d'accord :)
D'autant que l'écrasante majorité de ces containers massifs n'ont pas
vraiement besoin de communiquer en v4. Ils peuvent utilement être
derrière un reverse proxy qui leur cause en v6.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frédéric GANDER]

 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)
 

chiche ? ;)

 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Frédéric GANDER]

- Mail original -
 De: Manu m...@formidable-inc.net
 À: frnog@frnog.org
 Envoyé: Jeudi 25 Juin 2015 11:21:46
 Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser 
 des adresses déjà allouées
 
 
 
 Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit :
  Les
  cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
  solution simple de passer à IPv6 (on n'est pas vendredi ?)
 
 Non, y'a pas de cinglés d'IPV4. Désolé, mais la réalité est que
 non,
 ça n'est pas simple. IPV6 est (un peu) plus compliqué à comprendre
 qu'IPV4. Et l'un dans l'autre, on reste sur l'effort n'en vaut pas
 la
 chandelle (1).


ya plus de chiffres ? et des lettres ?
ca match pas la regexp php ?




 
 Après, sur le fond concernant la doc Ubuntu, je suis d'accord. Soit
 on
 fait pas, soit on fait propre.
 
 M
 (1) non ça n'existe pas.
 
 --
 Manu Jacquet
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Manu]

Le 25/06/2015 11:37, Alarig Le Lay a écrit :

Je trouve qu’au contraire IPv6 est bien plus simple qu’IPv4, surtout
quand on l’apprend avant IPv4 :p


Oui, tu as probablement raison sur il ne faudrait même plus enseigner 
ipv4 :)


--
Manu Jacquet


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Alarig Le Lay]

On Thu Jun 25 11:21:46 2015, Manu wrote:
 Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit :
 Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)
 
 Non, y'a pas de cinglés d'IPV4. Désolé, mais la réalité est que non, ça
 n'est pas simple. IPV6 est (un peu) plus compliqué à comprendre qu'IPV4.
 Et l'un dans l'autre, on reste sur l'effort n'en vaut pas la chandelle
 (1).

Je trouve qu’au contraire IPv6 est bien plus simple qu’IPv4, surtout
quand on l’apprend avant IPv4 :p
Le concept de NAT avec des IPs publiques et des IPs privées (qui sont
partout pareilles, mais ce ne sont pas les mêmes) n’est pas simple *du
tout* à comprendre.

-- 
Alarig Le Lay


signature.asc
Description: Digital signature

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[David Ponzone]

Je pense que le complexité apparente (je ne sais pas encore si elle est réelle) 
vient du fait qu’il va être impératif de se reposer sur les mécanismes 
d’automatisation d’IPv6.

Par exemple, quand on a un client en ligne (client très final), c’est pas 
toujours très simple de débugguer un problème de connectivité en lui faisant 
trouver l’IPv4 de son PC.
Mais en IPv6, il va falloir oublier. On va donc se reposer sur le côté « on 
branche et ça marche » d’IPv6  , jusqu’au jour où ça ne va plus marcher, parce 
qu’il y a toujours un jour où ça ne marche plus.
Les clients finaux sont déjà à un niveau proche de 0 en compétence IP (et c’est 
normal) mais en IPv6, ils vont repartir de 0.
Mais si on arrive à me convaincre qu’en IPv6, on a plus jamais besoin de faire 
de support client pour des problèmes d’adressage IP, alors je suis preneur!

Le 25 juin 2015 à 11:32, Frédéric GANDER fgan...@corp.free.fr a écrit :

 
 
 - Mail original -
 De: Manu m...@formidable-inc.net
 À: frnog@frnog.org
 Envoyé: Jeudi 25 Juin 2015 11:21:46
 Objet: Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser 
 des adresses déjà allouées
 
 
 
 Le 25/06/2015 10:35, Stephane Bortzmeyer a écrit :
 Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)
 
 Non, y'a pas de cinglés d'IPV4. Désolé, mais la réalité est que
 non,
 ça n'est pas simple. IPV6 est (un peu) plus compliqué à comprendre
 qu'IPV4. Et l'un dans l'autre, on reste sur l'effort n'en vaut pas
 la
 chandelle (1).
 
 
 ya plus de chiffres ? et des lettres ?
 ca match pas la regexp php ?
 
 
 
 
 
 Après, sur le fond concernant la doc Ubuntu, je suis d'accord. Soit
 on
 fait pas, soit on fait propre.
 
 M
 (1) non ça n'existe pas.
 
 --
 Manu Jacquet
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/