Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
Hello Michel et la liste.. > Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute façon. > Il > y a 20 ans, quand je croyais encore à IPv6, il y avait un vague consensus que > faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en sommes > aujourd'hui, écrit par Monsieur IPv6 lui-même : > https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet > Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types de NAT > différents, dont aucun ne marche ? Parce que reproduire le NAT c'est essayer de se rassurer des techniques largement déployées partout et que les nouveau "ops" n'ont vu que ça. Certains font partie des dinos, qui avaient en réseau interne et sans firewall dans les années 90 leur réseau interne et a poil sur le net. Ca fait science fiction ? bah oui les firewall n'existaient a peine, ssh était a ses début et les seules protections étaient ... les ACL sur un cisco 2500 (quand on les mettais). [...] >> Pierre Emeriaud a écrit : >> Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a plus >> de >> nat, on va tous se faire pirater. > > Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P > > Ceci étant dit, et même si çà fait des lustres que çà ne fait plus > grand-chose, > NAT continue à emmerder la vie de tout le monde, bien ou mal. Impossible de > faire sans, et en fait le pare-feu "diode" que NAT procure à toutes ces > merdasses IoT qui ont du code écrit avec les pieds, c'est pas si pire. La > caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté IPv6 > directement accessible de l'extérieur, çà me fait carrément peur. Ah ce putain de firewall diode... Heureusement qu'on ne charge pas le accu lithium qu'avec une diode, sinon on en aurais des VE qui exploseraient a 250KVA de charge... (Juste pour donner une idée de la betise du NAT). > Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que la même > merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé. Idem, mon IOT est dans un vlan ipv4 only, avec pas de sortie autorisée sauf quelques devices prévu avec des bonne ACL (par exemple j'ai un peu relouté netatmo pour avoir la liste des ips de leur cloud). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
euh... Y'a que moi que ça fait tiquer vos truc de "j'ai une ip publique==je peux initier une connexion depuis le net sur votre device" Dans toute les box et autre routeurs que j'ai eu entre les mains y'a une petite case "IPv6 WAN to LAN". Et ça fait un bout de temps que j'ai pas vu de device qui gère pas la RFC4941 (mais ça dois forcement exister :-) ). Cordialement/Best Regards, Rémi Desgrange On May 11 2020, at 8:26 am, Stéphane Rivière wrote: > > https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet > > Pour un newbie like me, synthèse intéressante. > Ah j'avais loupé çà. NAT > > == Sécurité, tout le monde le sait :P +1000 > Ceci étant dit, et même si çà > > fait des lustres que çà ne fait plus grand-chose, NAT continue à emmerder > > la vie de tout le monde, bien ou mal. Impossible de faire sans, et en fait > > le pare-feu "diode" que NAT procure à toutes ces merdasses IoT qui ont du > > code écrit avec les pieds, c'est pas si pire. Parce ce que mettre le souk > > dans ton intranet, voire mater et ressortir tranquille car ton NAT "diode" > > n'est pas un "diac" (deux diodes têtes-bêches) et laisse tout partir, c'est > > cool ;) ? >La caméra ou le thermomètre achetés pour 20€ sur banggood ou > > wish connecté IPv6 directement accessible de l'extérieur, çà me fait > > carrément peur. Bien au chaud dans le NAT, c'est... mieux ? Imho, le NAT, > > c'est juste un truc qui devrait pas exister. On vit très bien sans NAT. > > Non, correction, on vit mieux, beaucoup mieux sans cette aberration. Il > > suffit d'avoir fait je job, avec un FW sur chaque entité. On fait bien ça > > depuis toujours pour nos VM exposées... Le généraliser est juste mettre > > l'ensemble au niveau. Là où je te rejoins : - C'est pas demain la veille > > que les NAT et ipv4 vont disparaître, au moins dans les intranet, afin > > d'amortir le matériel ; - Oui, la communication de bout en bout. > > Nécessairement, et de ce point de vue uniquement, l'intérêt d'ipV6 sera un > > peu tempéré. -- Be Seeing You Number Six --- Liste > > de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
> https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet Pour un newbie like me, synthèse intéressante. > Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P +1000 > Ceci étant dit, et même si çà fait des lustres que çà ne fait plus > grand-chose, NAT continue à emmerder la vie de tout le monde, bien ou mal. > Impossible de faire sans, et en fait le pare-feu "diode" que NAT procure à > toutes ces merdasses IoT qui ont du code écrit avec les pieds, c'est pas si > pire. Parce ce que mettre le souk dans ton intranet, voire mater et ressortir tranquille car ton NAT "diode" n'est pas un "diac" (deux diodes têtes-bêches) et laisse tout partir, c'est cool ;) ? >La caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté >IPv6 directement accessible de l'extérieur, çà me fait carrément peur. Bien au chaud dans le NAT, c'est... mieux ? Imho, le NAT, c'est juste un truc qui devrait pas exister. On vit très bien sans NAT. Non, correction, on vit mieux, beaucoup mieux sans cette aberration. Il suffit d'avoir fait je job, avec un FW sur chaque entité. On fait bien ça depuis toujours pour nos VM exposées... Le généraliser est juste mettre l'ensemble au niveau. Là où je te rejoins : - C'est pas demain la veille que les NAT et ipv4 vont disparaître, au moins dans les intranet, afin d'amortir le matériel ; - Oui, la communication de bout en bout. Nécessairement, et de ce point de vue uniquement, l'intérêt d'ipV6 sera un peu tempéré. -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
❦ 11 mai 2020 01:53 +00, Michel Py: > Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute > façon. Il y a 20 ans, quand je croyais encore à IPv6, il y avait un > vague consensus que faire IPv6 avec NAT çà ne marcherait jamais. > Regardons ou nous en sommes aujourd'hui, écrit par Monsieur IPv6 > lui-même : > https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet > Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types > de NAT différents, dont aucun ne marche ? T'as loupé quelque chose. Il décrit des mécanismes qui ont chacun leur avantage et inconvénient. Cela n'a aucun impact sur le trafic pur IPv6 qui est n'est concerné par aucun de ces mécanismes. Ces mécanismes sont une réalité pour de nombreux ISP qui n'ont pas l'air eu d'avoir ton mémo sur le fait qu'IPv6 ne marchera jamais. Et ils sont la principale motivation pour inciter les content providers à passer à IPv6, vu qu'ils ont tous un impact sur la qualité. >> - Mais nous n'avons surtout pas besoin d'une bidouille comme cet IPv4+, qui >> n'est pas compatible de grand chose, et génèrera des tonnes d’embêtement. > > Attention de ne pas généraliser la merde à 32bits-et-demi de Elad > Chohen et le reste. Même si la probabilité d'une évolution d'IPv4 avec > "juste" plus de bits est improbable, çà reste une possibilité. Non. Comme indiqué par Kavé, cela nécessite d'introduire une nouvelle famille et cela impacte absolument toutes les couches, des applications aux ASIC. Personne n'a envie de faire ça pour quelques bits supplémentaires alors que le travail est fait pour IPv6. D'ailleurs, il n'y a que des propositions farfelues sur le sujet. -- Watch out for off-by-one errors. - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
Je fais d'une Pierre deux coups :P ou de deux Pierres un coup :P > Pierre Lagoutte a écrit : > Hallucinant... On en est à discuter du réalisme d'une proposition > "d'extension" et "rétrocompatible" > pourquoi a-t-on oublié le sens des mots ??? une "extension" n'est JAMAIS > rétrocompatible, sauf si elle > a été prévue comme telle à la conception, auquel cas, ce n'est pas une > "extension", c'est un "phasage". Exactement, mais c'est trop tard pour en parler. Mea culpa, il y a 20 ans j'avais pas vu çà. > Nous sommes en train de discuter d'un franc délire: > - OUI, IPv6 est une catastrophe > - OUI nous avons besoin d'une évolution de l'ARCHITECTURE de l'internet > réellement COMPATIBLE > IPv4 (au moins au niveau des installations terminales; même s'il faut > sacrifier des vieilles > lunes comme l'adressage de bout-en-bout), car il me semble bien parti pour > l'éternité. Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute façon. Il y a 20 ans, quand je croyais encore à IPv6, il y avait un vague consensus que faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en sommes aujourd'hui, écrit par Monsieur IPv6 lui-même : https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types de NAT différents, dont aucun ne marche ? > - Mais nous n'avons surtout pas besoin d'une bidouille comme cet IPv4+, qui > n'est pas compatible de grand chose, et génèrera des tonnes d’embêtement. Attention de ne pas généraliser la merde à 32bits-et-demi de Elad Chohen et le reste. Même si la probabilité d'une évolution d'IPv4 avec "juste" plus de bits est improbable, çà reste une possibilité. > Pierre Emeriaud a écrit : > Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a plus > de nat, on va tous se faire pirater. Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P Ceci étant dit, et même si çà fait des lustres que çà ne fait plus grand-chose, NAT continue à emmerder la vie de tout le monde, bien ou mal. Impossible de faire sans, et en fait le pare-feu "diode" que NAT procure à toutes ces merdasses IoT qui ont du code écrit avec les pieds, c'est pas si pire. La caméra ou le thermomètre achetés pour 20€ sur banggood ou wish connecté IPv6 directement accessible de l'extérieur, çà me fait carrément peur. Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que la même merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
Le dim. 10 mai 2020 à 06:34, Michel Py a écrit : > > > Pierre Emeriaud a écrit : > > FUD. > > Pierre excuse moi, mais en termes de FUD le miracle IPv6 qu'on nous conte > depuis 20+ années bat tous les records. Mon point concernait la sécurité. IPv6 la boite de pandore, oulala y'a plus de nat, on va tous se faire pirater. > Bon, le IPv4+ d'Elad Cohen c'est à mourir de rire, changer le monde entier > pour passer de 32 bits à 32 bits-et-demi c'est du Elad Cohen pur porc (!) > mais en terme de FUD, IPv6 est le champion du monde toutes catégories. > La stratégie de déploiement d'IPv6 est entièrement basée sur la FUD, et j'en > sais quelque chose : j'en ai écrit une partie, il y a longtemps. > Le principal problème d'IPv6, c'est dual-stack pendant 35 ans ou 40 ans. > Dual-stack, c'est 2 fois le boulot et 3 fois les emmerdes, çà fait 20 ans que > tout le monde le sait, donc faudrait un peu arrêter de nous briser les > couilles avec la FUD qui a 20 ans d'âge. Pour la grande majorité des lecteurs > de cette liste, tout le monde a compris que dans 10 ans on va encore avoir > IPv4; toi et moi on a discuté de ce sujet plusieurs fois, je suis un peu > surpris par ta dernière contrib. Je me trimbale encore du x25/XoT, du frame et de l'atm en plus de l'ip et de l'ipv6. Et même du dlsw pour du sna chez certains clients. Le dual^wmillefeuille de protocoles, je vois ce que ça peut donner. Et quand je vois qu'on n'en n'a toujours pas fini avec ces vieux protocoles, j'imagine très bien combien d'années encore il va falloir se trimbaler ipv4. De toute façon aujourd'hui, combien de réseau d'opérateurs pourraient fonctionner sans ipv4 ? Accroche toi au cable, j'enlève ldp... > IPv4 ne va pas mourir. Si je pouvais lire dans l'avenir, je dirais qu'il y a > encore 10% ou 20% de chances qu'une forme d'IPv4+ (certainement pas la merde > que nous propose Cohen) puisse voir le jour. IPv4+ j'y crois pas. Aujourd'hui je suis obligé de me palucher des vieux tromblons genre esr10k pour les vieux protocoles, c'est plus supporté, c'est pas ça (ou les futures vieilleries) qui va me permettre d'utiliser une variante incompatible d'ipv4. > Moi, je ne suis pas pressé. En fait, je suis en train de regarder le marché > pour savoir si je devrais acheter un /24 pour la maison. Je suis con, j'en ai > eu plusieurs dans les mains de la mare que j'aurais pu garder. J'ai rajouté ce mois-ci de l'ipv4 à mon as perso, parce que bon... hein. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
> Radu-Adrian Feurdean a écrit : > Tu n'as jamais pense de vraiment livrer gratuitement "un bouton sur > l'interface, la, en dessous de celui-ci"? > Juste le bouton, qui ne fait rien histoire d'expliquer avec des exemples > pourquoi le devis... :-D > Pierre Emeriaud a écrit : > FUD. Pierre excuse moi, mais en termes de FUD le miracle IPv6 qu'on nous conte depuis 20+ années bat tous les records. Bon, le IPv4+ d'Elad Cohen c'est à mourir de rire, changer le monde entier pour passer de 32 bits à 32 bits-et-demi c'est du Elad Cohen pur porc (!) mais en terme de FUD, IPv6 est le champion du monde toutes catégories. La stratégie de déploiement d'IPv6 est entièrement basée sur la FUD, et j'en sais quelque chose : j'en ai écrit une partie, il y a longtemps. Le principal problème d'IPv6, c'est dual-stack pendant 35 ans ou 40 ans. Dual-stack, c'est 2 fois le boulot et 3 fois les emmerdes, çà fait 20 ans que tout le monde le sait, donc faudrait un peu arrêter de nous briser les couilles avec la FUD qui a 20 ans d'âge. Pour la grande majorité des lecteurs de cette liste, tout le monde a compris que dans 10 ans on va encore avoir IPv4; toi et moi on a discuté de ce sujet plusieurs fois, je suis un peu surpris par ta dernière contrib. Les mecs (et les nanas), arrêtez de vous branler avec IPv6. J'étais sur le 6bone, il y a 20 ans j'avais même incorporé IPv6 dans la classe de réseau que j'enseignais à l'Université de Californie, çà fait 20 ans que la FUD dure, faudrait arrêter la connerie. IPv4 ne va pas mourir. Si je pouvais lire dans l'avenir, je dirais qu'il y a encore 10% ou 20% de chances qu'une forme d'IPv4+ (certainement pas la merde que nous propose Cohen) puisse voir le jour. Moi, je ne suis pas pressé. En fait, je suis en train de regarder le marché pour savoir si je devrais acheter un /24 pour la maison. Je suis con, j'en ai eu plusieurs dans les mains de la mare que j'aurais pu garder. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
On Sat, May 9, 2020, at 21:05, Oliver varenne wrote: > du temps, il faut chiffrer" on me répond "mais.. c'est juste un bouton > a ajouter sur l'interface, la, en dessous de celui-là, c'est tout! Tu n'as jamais pense de vraiment livrer gratuitement "un bouton sur l'interface, la, en dessous de celui-ci"? Juste le bouton, qui ne fait rien histoire d'expliquer avec des exemples pourquoi le devis... --- Liste de diffusion du FRnOG http://www.frnog.org/