Re: [FRnOG] [TECH] Supprimer IPV4 RFC1918 dans un LAN ?

2019-10-28 Par sujet Solarus 



Le 26/10/2019 à 20:45, Denis Fondras a écrit :


Regarde les présentations du déploiement chez T-Mobile. Apparemment ils ont
l'air satisfait.


Ca existe aussi chez Orange. Si vous avez une carte SIM Orange, passez le point 
d'accès Orange World en IPv6 et vous aurez une IPv6 publique et un accès IPv4 
avec un NAT64 uniquement.

Solarus.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Supprimer IPV4 RFC1918 dans un LAN ?

2019-10-26 Par sujet Denis Fondras 
Salut Pierre,

On Sat, Oct 26, 2019 at 03:32:18PM +0200, Pierre Colombier wrote:
> Le truc qui semble le plus intuitif est le NAT-PT où on mappe les 32 bits
> IPv4 dans un prévixe IPv6 mais le problème plus difficile est alors de maper
> aussi les enregistrements DNS A dans des  correspondants.
> 
> Avec tous les efforts de sécurisation de DNS en ce moment, ce genre de
> manipe risque de poser plein d'autres problèmes.
> 

DNSSEC me parait suffisamment peu développé pour que ça fonctionne dans une
majorité de cas 'grand public'.
https://dnssec-name-and-shame.com/ indique que tous les sites à forte visibilité
ne sont pas signés. Si yes clients sont assez geek pour signer leurs domaines,
ils peuvent ajouter une adresse IPv6 :)

> Aparemment le NAT-PT est déconseillé par l'IETF pour cette raison là.
> 
> Sauf que si c'est déconseillé, je n'ai pas trouvé l'alternative recommandée.
> 

Regarde les présentations du déploiement chez T-Mobile. Apparemment ils ont
l'air satisfait.

Denis


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Supprimer IPV4 RFC1918 dans un LAN ?

2019-10-26 Par sujet Vincent Bernat 
 ❦ 26 octobre 2019 15:32 +02, Pierre Colombier :

> Suite à la mise en place de IPv6 dans un LAN, je n'ai plus besoin
> d'IPv4 dans ce réseau.
>
> De ce fait, il m'est pénible de maintenir la dual-stack avec des IPv4
> RFC1918 qui ne servent qu'a accéder à l'internet v4 via un NAT en
> bordure.
>
>
> La question est sans doute ancienne mais je voudrais savoir si il
> existe un moyen de supprimer la stack IPv4 dans le lan tout en gardant
> un NAT 6 vers 4 pour accéder au "vieux" net v4.
>
> Le truc qui semble le plus intuitif est le NAT-PT où on mappe les 32
> bits IPv4 dans un prévixe IPv6 mais le problème plus difficile est
> alors de maper aussi les enregistrements DNS A dans des 
> correspondants.

C'est le rôle de DNS64. Google en fournit un gratuitement avec le
préfixe par défaut. unbound sait faire ça out of the box aussi :

server:
  module-config: "dns64 iterator"
  dns64-prefix: 64:ff9b::/96

Pour le NAT, Tayga est un bricolage, il faut partir sur Jool (dont la
doc explique aussi les possibilités).

> Avec tous les efforts de sécurisation de DNS en ce moment, ce genre de
> manipe risque de poser plein d'autres problèmes.
>
> Aparemment le NAT-PT est déconseillé par l'IETF pour cette raison là.

Cela pose aussi problème aux trucs qui collent les IP en dur. Je ne sais
pas à quel point c'est courant. On cite souvent Skype et Spotify.

> Sauf que si c'est déconseillé, je n'ai pas trouvé l'alternative
> recommandée.

Il y a le 464XLAT, mais cela assume que chaque device sait faire la
partie CLAT. Les téléphones sous Android et iOS savent faire, mais
j'ignore s'ils savent faire en wifi et comment les en persuader. Il va
falloir lire les RFC pour voir si c'est exploitable sur un LAN.
-- 
Avoid unnecessary branches.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/