Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le 15 juin 2010 à 12:09, Pierre-Yves Maunier a écrit: Personnellement chez Neotelecoms (AS8218), ça nous a pas pris tant de temps que ça pour mettre en prod l'IPv6 sur tout le réseau et nous en sommes très contents, ça marche bien et l'adressage est simplicime (bien plus qu'en ipv4 après avoir compris ). Le problème se situe chez nous au niveau applicatif. Pour le meilleur ou pour le pire, les développeurs stoquent des @ IP dans les bases de données. A ma connaissance, ni mysql, ni php ont un type ipv6. C'est là le principal problème, à mon avis. D'autre part, au niveau du client: quand la connectivité ipv6 n'est pas parfaite, les clients (navigateurs web par exemple) ont un timeout plutôt long avant de fallback en ipv4 (quand ils le font). Enfin, il me semble que chez la plupart des fournisseurs de serveurs dédiés grand public, l'option ipv6 se trouve plutôt inutilisable dans la pratique. PS: l'as35070 annonce de l'ipv6, mais rien de très visible pour les clients. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le 15 juin 2010 12:49, Xavier Nicollet nicol...@jeru.org a écrit : Le 15 juin 2010 à 12:09, Pierre-Yves Maunier a écrit: Personnellement chez Neotelecoms (AS8218), ça nous a pas pris tant de temps que ça pour mettre en prod l'IPv6 sur tout le réseau et nous en sommes très contents, ça marche bien et l'adressage est simplicime (bien plus qu'en ipv4 après avoir compris ). Le problème se situe chez nous au niveau applicatif. Pour le meilleur ou pour le pire, les développeurs stoquent des @ IP dans les bases de données. A ma connaissance, ni mysql, ni php ont un type ipv6. C'est là le principal problème, à mon avis. D'autre part, au niveau du client: quand la connectivité ipv6 n'est pas parfaite, les clients (navigateurs web par exemple) ont un timeout plutôt long avant de fallback en ipv4 (quand ils le font). Enfin, il me semble que chez la plupart des fournisseurs de serveurs dédiés grand public, l'option ipv6 se trouve plutôt inutilisable dans la pratique. PS: l'as35070 annonce de l'ipv6, mais rien de très visible pour les clients. -- Xavier Nicollet Je suis d'accord, j'ai de la chance de ne faire que du réseau et donc d'avoir quasiment 0 applicatif à gérer. Mais bon comment veux tu tester efficacement ton applicatif ipv6 si t'as pas d'ipv6 sur ton réseau. L'initiative de mon mail était surtout au moins d'activier ipv6 sur le réseau dans un premier temps afin d'avoir les fondations pour bosser sur l'applicatif tranquillement et pas tout faire d'un coup. Si les gens activent ipv6 et commencent à gueuler auprès de leurs fournisseurs d'applications/appliance en disant qu'ipv6 ça ne marche pas, ils vont commencer à faire des choses. Le truc c'est que beaucoup de personnes attendent que quelqu'un d'autre le fasse, et si tout le monde pense ça, on n'est pas sortit. -- Pierre-Yves Maunier
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Hello, On Tue, 2010-06-15 at 12:49 +0200, Xavier Nicollet wrote: Le problème se situe chez nous au niveau applicatif. Comme chez beaucoup de monde, malheureusement... Déployer de l'IPv6 dans un backbone, en contexte de FSI, c'est pas très compliqué, et tend à se généraliser un peu partout. Mais de là à rendre tous les services dispo en IPv6, c'est encore bien difficile, surtout s'il y a du loadbalancing, ou des applis métier non développées en interne. PS: l'as35070 annonce de l'ipv6, mais rien de très visible pour les clients. Idem... Facile d'avoir 4 * d'un point de vue LIR... mais ca ne veut pas dire que ca suit vraiment, derrière... -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Mon avis : les réseaux ne pouvant plus obtenir de plage v4 vont, de fait, devoir passer à IPv6 si ce n'est pas encore le cas. Ca va surtout augmenter le nombre de passerelle v4-to-v6 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Ca prend encore moins de temps avec un HOWTO :) http://thomas.mangin.com/#tag:link_ipv6_on_juniper Et pour les curieux : https://www.linx.net/ipv6 https://sites.google.com/site/ipv6implementors/2010/agenda Le plus dur est de définir sa politique d'allocation d'IP ;) Apres ça c'est de configurer 6to4 pour tester le réseau de l'extérieur mais c'est vraiment pas la mer a boire. Pour les serveurs, sur linux - toutes version - l'initialisation des interfaces IPv6 c'est pas encore génial mais ça marche bien. Thomas On 15 Jun 2010, at 11:09, Pierre-Yves Maunier wrote: Bonjour à tous, tout d'abord avant de commencer j'aimerais que cette discussion autour d'IPv6 soit constructive et que tout ceux qui veulent troller attendent le FrNOG autour d'un café/bière. Essayons de garder cette liste pour ce qu'elle est sensée être. Petit lexique pour ceux qui ne connaitraient pas (définitions volontairement grossières et courtes pour résumer le principal) : - RIR : Regional Internet Registry : Autorité gérant les ressources internet au niveau d'un continent (ex: Le Ripe gère les attributions des numéros d'AS et des ipv4/ipv6 pour la région Europe). - RIPE : Réseaux IP Européens - LIR : Local Internet Registry : Entreprise pouvant demander des ressources internet à un RIR pour les affecter à ses clients. - PA : Provider Aggregatable : Adresses IPs appartenant à un LIR - PI : Provider Independant : Adresses IPs appartenant au end-user Lors du dernier Ripe Meeting nous avons eu droit à quelques stats sur IPv4/IPv6 et voici un petit résumé accompagné de mes commentaires. IPv6 Ripeness http://labs.ripe.net/content/ipv6-ripeness Le ripe a sortit des stats concernant l'utilisation de l'ipv6 chez ses LIR. Une note est donné à chaque LIR en fonction des critère suivants : - 1 étoile pour avoir une allocation IPv6 - 1 étoile pour avoir ce bloc visible dans la table de routage - 1 étoile pour avoir un objet route6 dans la base du RIPE - 1 étoile pour avoir des serveurs reverse dns enregistrés pour le bloc Au 28 avril seulement 8% des 6748 LIRs avaient 4 étoiles et 72% n'ont tout simplement aucune étoile. Si vous regardez cette vidéo : http://labs.ripe.net/node/252/ on voit l'évolution du rating IPv6 Ripeness depuis 2004 par pays dépendant du RIPE. Une version haute définition du dernier état de cette vidéo se trouve ici : http://labs.ripe.net/userfiles/v6-ripeness.png La France reste en retrait alors que nous avons tout de même un ISP (je parle grand public donc je ne cite pas Nerim) qui propose de l'IPv6 aux abonnés, je pense qu'avoir du contenu IPv6 en France ne serait donc pas inutile. Demander un bloc IPv6 aujourd'hui, l'annoncer, faire un objet route ça prend 20 minutes, et on rajoute 10/15 minutes pour créer les objets ip6.arpa et la configuration du serveur DNS pour les reverse. Bref pas grand chose pour activer IPv6 sur le réseau. Après bien sûr il y a la politique de routage v4 à transposer en v6 je pense que le plus long est là au niveau réseau mais rien d'insurmontable. Un point avantageux de l'IPv6 est indéniablement l'adressage, beaucoup plus propre qu'en v4 si on le fait correctement dès le début. (il est facile de dédier un bloc pour telle ou telle utilisation au lieu de grapiller des /25 et autres par ci par là). Personnellement chez Neotelecoms (AS8218), ça nous a pas pris tant de temps que ça pour mettre en prod l'IPv6 sur tout le réseau et nous en sommes très contents, ça marche bien et l'adressage est simplicime (bien plus qu'en ipv4 après avoir compris ). IPv4 Exhaustion La partie que j'aime :-) Tout le monde va dire, mais ouais on nous rabat les oreilles depuis 15 ans qu'on arrive à la fin des IPv4 et c'est toujours pas le cas. D'autres vont dire que CIDR/NAT ont permis de gagner quelques années. Bien sûr, mais le NAT c'est pas du vrai internet, le device n'a pas son IP unique sur le réseau et la communication end-to-end n'est pas optimale. Des chiffres qui datent de mai 2010 : - 18 blocs /8 sont encore à allouer aux RIR (Ripe, Arin, Lacnic, Apnic, Afrinic) - Cela représente 7% de l'IPv4 total (18/255) - le RIPE utilise un /8 en 4 mois Si on rajoute les autres RIRs, l'estimation avant qu'il ne reste plus d'IPv4 serait aux alentours du dernier trimestre 2011 soit à peine plus d'un an. Bien sur d'ici là les procédures d'attributions d'IPv4 vont se durcir et on devrait gagner quelques mois. Vous allez me dire qu'il faut récupérer les /16 et /8 alloués aux entreprises il y a 15 ans qui ne sont pas annoncés. Ces blocs ne sont pas tellement représentatifs et cela ne ferais que repousser l'inévitable de quelques mois à peine. Pour ceux qui lisent un peu les docs du RIPE : (exemple PI assignement http://www.ripe.net/ripe/docs/ripe-490.html) - au 31 décembre 2009 les assignements PA/PI du RIPE servaient à couvrir les besoins en adresses à 2 ans Si on lit le
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le mardi 15 juin 2010 à 12:34, Clement Cavadore écrivait: Hello, On Tue, 2010-06-15 at 12:49 +0200, Xavier Nicollet wrote: Le problème se situe chez nous au niveau applicatif. Comme chez beaucoup de monde, malheureusement... Déployer de l'IPv6 dans un backbone, en contexte de FSI, c'est pas très compliqué, et tend à se généraliser un peu partout. Mais de là à rendre tous les services dispo en IPv6, c'est encore bien difficile, surtout s'il y a du loadbalancing, ou des applis métier non développées en interne. Même sans attaquer les gros applicatifs, rien que faire fonctionner correctement les MX et zones DNS associées des clients me fait me sentir tout pas bien. L'IPv6 est dans les cartons chez nous depuis une bonne année, on essaye de faire vite pour pouvoir utiliser le v6 pour décembre mais ce n'est pas évident. Nombre d'equipements / appliances / daemons ne gèrent pas l'IPv6 est considérable. Et je ne parle même pas des OS. Activer et annoncer notre v6, c'est un temps négligeable face au ressources necessaires pour passer la partie système F. -- Se tromper est humain, mais pour vraiment mettre le bordel, il faut y ajouter un ordinateur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
L'initiative de mon mail était surtout au moins d'activier ipv6 sur le réseau dans un premier temps afin d'avoir les fondations pour bosser sur l'applicatif tranquillement et pas tout faire d'un coup. Quand je vois des initiatives comme NAT64 et DNS64, je me dis qu'on n'est pas prêt d'avoir du v6 partout. Je suis tout à fait d'accord avec toi quand tu dis que les nouveaux arrivant ne devront monter un réseau v6 only par nécessité, mais pour la partie accès aux ressources en v4 ils ne pourront pas faire pression sur les anciens. Ils n'auront pas d'autre solution alors que de se tourner vers des passerelles NAT64/DNS64. Les années qui viennent vont être fnu :) Si les gens activent ipv6 et commencent à gueuler auprès de leurs fournisseurs d'applications/appliance en disant qu'ipv6 ça ne marche pas, ils vont commencer à faire des choses. Il faut que les gros clients fassent pression alors. Et les gros sont ceux qui ont le plus de boulot pour migrer, donc qui ont le temps de préparation le plus long et qui finalement migreront en dernier. Oui, j'ai une vision fataliste de la chose :) Le truc c'est que beaucoup de personnes attendent que quelqu'un d'autre le fasse, et si tout le monde pense ça, on n'est pas sortit. +1 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Même sans attaquer les gros applicatifs, rien que faire fonctionner correctement les MX et zones DNS associées des clients me fait me sentir tout pas bien. Pour MX le seul problème c'est le cote anti-spam et faire en sorte que les backend répondent correctement quand des IPv6 arrivent dans les champs. Pour le DNS c'est vraiment pas dur. J'ai mes DNS en v4 et v6 - cela ne cause aucun probleme thomas-mangins-computer:~ thomas$ whois exa-networks.co.uk | grep ns ns1.exa-networks.co.uk82.219.4.195 2a02:b80:0:6:35:a:0:1 ns2.exa-networks.co.uk82.219.4.196 2a02:b80:0:6:35:a:0:2 ns3.exa-networks.co.uk87.106.64.17 Je n'ai pas encore publie un pour nos MX mais cela ne serait tarder. Pour le site web, allez je posterai vendredi pour annoncer que le record DNS est la ! L'IPv6 est dans les cartons chez nous depuis une bonne année, on essaye de faire vite pour pouvoir utiliser le v6 pour décembre mais ce n'est pas évident. Nombre d'equipements / appliances / daemons ne gèrent pas l'IPv6 est considérable. Et je ne parle même pas des OS. Je suis d'accord avec les load balancers et autre firewalls, mais il y a encore du temps pour finir la migration. Pour les OS .. le support est la, a moins que tu parles du routeur DSL du client ou la c'est la galère. Activer et annoncer notre v6, c'est un temps négligeable face au ressources necessaires pour passer la partie système J'ai pas encore fini mais pour nous je dirai que c'est 1/4 reseau 3/4 applicatif car il ya bcp plus de serveurs que de routeurs. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Thomas Mangin wrote: Je suis d'accord avec les load balancers et autre firewalls, mais il y a encore du temps pour finir la migration. Pour les OS .. le support est la, a moins que tu parles du routeur DSL du client ou la c'est la galère. D'ailleurs, une fois résolu ce problème de routeur *DSL, ça marche étonamment bien. L'un de mes clients utilise une ligne ADSL Nerim avec un routeur un peu évolué, et leurs postes de travail communiquent tous les jours en v6, sans même qu'ils ne s'en rendent compte. C'est essentiellement du traffic Google. En fait, j'ai l'impression que la seule chose côté client pour laquelle on n'a pas la possibilité de faire de l'IPv6 pour le moment, c'est tout ce qui touche à la voix sur IP. -- Francois Tigeot, Zefyris http://www.zefyris.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
En fait, j'ai l'impression que la seule chose côté client pour laquelle on n'a pas la possibilité de faire de l'IPv6 pour le moment, c'est tout ce qui touche à la voix sur IP. Non, SIP en v6 ca marche aussi et c'est plutôt content car le v6 n'a pas de NAT pour casser RTP. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Thomas Mangin wrote: En fait, j'ai l'impression que la seule chose côté client pour laquelle on n'a pas la possibilité de faire de l'IPv6 pour le moment, c'est tout ce qui touche à la voix sur IP. Non, SIP en v6 ca marche aussi et c'est plutôt content car le v6 n'a pas de NAT pour casser RTP. Je suis d'accord sur ce point, mais à ce jour je ne connais pas d'opérateur qui commercialise des services de téléphonie v6 en France. Ni de téléphones d'ailleurs. -- Francois Tigeot, Zefyris http://www.zefyris.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le mardi 15 juin 2010 à 12:24, Thomas Mangin écrivait: Pour MX le seul problème c'est le cote anti-spam et faire en sorte que les backend répondent correctement quand des IPv6 arrivent dans les champs. Pour le DNS c'est vraiment pas dur. J'ai mes DNS en v4 et v6 - cela ne cause aucun probleme faut que je remette la main sur le cas que j'ai eu quand j'ai mis un tunnel v6 sur mon serveur. C'etait le bordel, le simple fait de coller la connectivité en v6 a provoqué des effets de bords dans tout les sens. Je suis d'accord avec les load balancers et autre firewalls, mais il y a encore du temps pour finir la migration. Faut de nouvelles licences, du nouveau hardware (c'est le souci qu'on as avec Crossbeam/Checkpoint), les appliances ACE s'en sortent mais pas nos cartes ACE (cool :/) je te passes les palanquées de scripts clients blindés d'iptables et d'IPv4 tout partout. Pour les OS .. le support est la, a moins que tu parles du routeur DSL du client ou la c'est la galère. je penche plus aux trucs historique des clients. J'ai encore un SCO en prod, on ne doit plus avoir de NT4 mais du 2000. Idem, pas mal de clients (comprendre les décideurs préssés, bien corporate et bien inconscent de la technique refusant tout evo technique) on des machins qui ne devrait deja plus exister depuis plus de 5 ans. Je suis hébergeur, je ne peux pas forcement pousser le client sur un argument technique à tout changer même (surtout :/ ) quand j'ai raison Notre pool de clients regarde le cout, l'impact pour lui (impact en matiere de perte de chiffre ) et peut être, si il a du temps, et que t'as un argument imparable, il regardera peut être la recommendation technique. c'est pour cela que c'est pas *evident* T'imagines pas a quel point j'ai envie de tout passé en v6, mais bon, on me dit dans l'oreillette t'es pas chef Activer et annoncer notre v6, c'est un temps négligeable face au ressources necessaires pour passer la partie système J'ai pas encore fini mais pour nous je dirai que c'est 1/4 reseau 3/4 applicatif car il ya bcp plus de serveurs que de routeurs. pour notre activité, on est 1% reseau, 99% systeme. J'ai même des applis métier dont l'éditeur t'explique que le passage a v6 n'est pas prévu a court terme F. -- If your computer speaks English it was probably made in Japan. -- Alan Perlis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On 06/15/2010 12:34 PM, Clement Cavadore wrote: On Tue, 2010-06-15 at 12:49 +0200, Xavier Nicollet wrote: Le problème se situe chez nous au niveau applicatif. Comme chez beaucoup de monde, malheureusement... Déployer de l'IPv6 dans un backbone, en contexte de FSI, c'est pas très compliqué, et tend à se généraliser un peu partout. Mais de là à rendre tous les services dispo en IPv6, c'est encore bien difficile, surtout s'il y a du loadbalancing, ou des applis métier non développées en interne. Et il faut prendre en compte tous les services dont les protections sont basées sur des listes d'IPs (que ce soit pour lister les abuseurs avec des RBL ou des listes locales, ou juste pour limiter le nombre de connexions simultanées ou consécutives). Vu le nombre d'IPv6s accessible à un utilisateur final, ces listes d'IPs sont tout simplement inutilisable telles quelles. On peut probablement limiter la complexité en agrégeant les informations par /64 mais ça laisse encore beaucoup d'agrégats (2^64 à comparer aux 2^26 ou 2^27 agrégats que je pourrais probablement gérer avec un serveur sévèrement burné dans le cadre de la blackliste sur les MXes de Free). François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
J'ai même des applis métier dont l'éditeur t'explique que le passage a v6 n'est pas prévu a court terme Très bien pour leur compétition :) Pour le reste, je ne suis pas en désaccord, c'est du boulot mais pour le moment personne n'a besoin d'une conversion a 100% de tous les clients (y a encore des gens en appletalk et autre truc antédiluvien cela ne gène pas) mais assez pour faire boule de neige. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Quid des solutions comme A10 networks ? : http://www.a10networks.com/products/axseries-ipv.php Personnellement, je pense que nous allons encore avoir de l'IPv4 pendant un bon moment et ce type de solution me semble très intéressante pour connecter une infra existante (NAT IPv4...) sur de l'interco IPv6 (et réciproquement). La preuve, il suffit de regarder le nombre de produits (box ADSL...) qui sortent avec une double stack : ex: admin sur l'IPv6 pour l'ISP et NAT IPv4 pour les clients. Bon maintenant c'est juste ma vision, comprehension de la chose :) Connaissez vous d'autre produit que celui ci-dessus ? Yacine. On Tue, 2010-06-15 at 13:57 +0200, Snarf wrote: Le mardi 15 juin 2010 à 12:24, Thomas Mangin écrivait: Pour MX le seul problème c'est le cote anti-spam et faire en sorte que les backend répondent correctement quand des IPv6 arrivent dans les champs. Pour le DNS c'est vraiment pas dur. J'ai mes DNS en v4 et v6 - cela ne cause aucun probleme faut que je remette la main sur le cas que j'ai eu quand j'ai mis un tunnel v6 sur mon serveur. C'etait le bordel, le simple fait de coller la connectivité en v6 a provoqué des effets de bords dans tout les sens. Je suis d'accord avec les load balancers et autre firewalls, mais il y a encore du temps pour finir la migration. Faut de nouvelles licences, du nouveau hardware (c'est le souci qu'on as avec Crossbeam/Checkpoint), les appliances ACE s'en sortent mais pas nos cartes ACE (cool :/) je te passes les palanquées de scripts clients blindés d'iptables et d'IPv4 tout partout. Pour les OS .. le support est la, a moins que tu parles du routeur DSL du client ou la c'est la galère. je penche plus aux trucs historique des clients. J'ai encore un SCO en prod, on ne doit plus avoir de NT4 mais du 2000. Idem, pas mal de clients (comprendre les décideurs préssés, bien corporate et bien inconscent de la technique refusant tout evo technique) on des machins qui ne devrait deja plus exister depuis plus de 5 ans. Je suis hébergeur, je ne peux pas forcement pousser le client sur un argument technique à tout changer même (surtout :/ ) quand j'ai raison Notre pool de clients regarde le cout, l'impact pour lui (impact en matiere de perte de chiffre ) et peut être, si il a du temps, et que t'as un argument imparable, il regardera peut être la recommendation technique. c'est pour cela que c'est pas *evident* T'imagines pas a quel point j'ai envie de tout passé en v6, mais bon, on me dit dans l'oreillette t'es pas chef Activer et annoncer notre v6, c'est un temps négligeable face au ressources necessaires pour passer la partie système J'ai pas encore fini mais pour nous je dirai que c'est 1/4 reseau 3/4 applicatif car il ya bcp plus de serveurs que de routeurs. pour notre activité, on est 1% reseau, 99% systeme. J'ai même des applis métier dont l'éditeur t'explique que le passage a v6 n'est pas prévu a court terme F. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Et il faut prendre en compte tous les services dont les protections sont basées sur des listes d'IPs (que ce soit pour lister les abuseurs avec des RBL ou des listes locales, ou juste pour limiter le nombre de connexions simultanées ou consécutives). C'est vrai que les RBLs telles quelles ce n'est pas applicable a IPv6, maintenant bloquer par /64 et insérer/vérifier que l'IP network c'est une solution facile a mettre en place. Vu le nombre d'IPv6s accessible à un utilisateur final, ces listes d'IPs sont tout simplement inutilisable telles quelles. Trouver le /64 d'une IPv6 c'est pas dur a faire ! mais c'est vrai que cela demandera un changement des systèmes. On peut probablement limiter la complexité en agrégeant les informations par /64 mais ça laisse encore beaucoup d'agrégats (2^64 à comparer aux 2^26 ou 2^27 agrégats que je pourrais probablement gérer avec un serveur sévèrement burné dans le cadre de la blackliste sur les MXes de Free). C'est bcp moins car la plupart des IPv6 ne sont pas alloue et d'ici qu'elles le soient le prix de la mémoire/cpu aura encore chute. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On Tue, 15 Jun 2010 12:38:52 +0200, Benjamin BILLON bbil...@splio.fr said: Ca va surtout augmenter le nombre de passerelle v4-to-v6 Et voila comment on touche le mal. Chez nous, on a deploye du v6 assez rapidement. Ca incluait obtenir l'allocation chez RIPE, monter le v6 sur le backbone (tres petit, il faut reconnaitre), mettre en place les objets reverse delagation et route6, activer les reponses pour l'ip6.arpa et monter les transits v6. La, rien de plus simple je dirai. = 4 etoiles dans 2 mois (juillet et aout) en sans prendre du temps aux autres activites. Partie simple finie, mais pas game over, loin de ca.. En deuxieme phase, c'etait mettre en place de la facon la plus transparente (lire invisible) le v6 sur le reseau du siege social (plus de 150 personnes, dont plus d'1/3 sous vista/7/linux). La ca commence a etre un peu plus complique, car on commence a toucher a des choses critiques. Derniere nouvelle de mes collegues de l'IT interne sont par contre tres inquietantes. Si je comptais me faire la vie simple, avec du v6 natif par tout (pas de v6 natif = pas de v6 du tout = obsolete a court/moyen terme), je decouvre que dans le monde de l'IT d'entreprise (M$FT) on parle quasiment que des tunnels, avec des usines a gaz a mettre derriere, avec comme raison le fait connecter au reseau v6 des choses bientot obsoletes. Je trouve quand-meme assez delirant de parler de passerelles 4-to-6 dans un reseau qu'on maitrise et qui migre tranquilement mais surement vers du v6 natif. Je ne me souviens pas avoir vu des pasarelles IPX-to-IP a l'epoque, et les something else-to-IP, c'etait des cas assez restreint et rare. La regle etait speak IP or die soon. Pourquoi pas le meme chose avec le v6 ? OK, je comprends pour les endroits ou le v6 n'est pas vraiment pret d'arriver a court terme (je pense aux filiales lointaines, connectes via des ISP retrograds par exemple), mais pousser les tunnels dans une reseau v6 natif ? Autre chose qui complique un peu la vie, le suport v6 dans les produits de securite. Le firewall v6 est bien la - OK. Par contre d'autres fonctionalites comme le SSL-VPN (access distant securise en general) on les attend encore. D'autres choses tout betes, comme l'interface de config des regles v6 c'est encore assrez plein de bugs. On essaye aussi me mettre un max de choses de management IT en v6. La encore une fois, il y a des choses qui connaisent pas le v6 (les interfaces web/telnet/ssh des baies de disque/SAN au tout hazard). Les switch Dell qui trainent encore dans notre reseau, pareil, ils sont pas aware. Quand aux Cisco, bonjour les MAJ d'IOS pour les semi-recents (avant 11/2009) - pas evident sans $martNet; et les reboot pour tous sauf les tout derniers (merci Cisco pour l'histoire de sdm prefer dual..) = entre une fenetre de maintenance pendant laquelle de peux rebooter du matos reseau et une coupure electrique, je ne suis pas sur laquelle arrivera en premier. Et on arrive finalement au coeur de metier (non, je parle pas encore d'envoi d'emails) - offrir les services actuells over IPv6. Pour nous c'est le DNS, du FTP/FTPS/SFTP et un nombre d'applications web (l'envoi d'emails je le vois comme le dernier chose a basculer sur v6). La, pas question de passer en v6 sans l'accord de la haute direction. Et devinez quoi, pour leur majorite ils ne savent meme pas ce qu'est l'IPv6, ou l'epuisement des v4. Pour le faire passer, il me faut un business case, et pour l'instant il n'y a aucun. Je suis quand-meme content du fait que si un jour il se reveillent, je pourai repondre (si je serai toujours dans la boite) l'infra est prete - yaka verifier cote applicatif, mais ca c'est les dev, pas nous. Apres, parmi les choses qui freinent la generalisation du v6, ce sont les hebergeurs (dont certains grand/populaires presents sur la liste) qui crien haut et fort on offre des services v6, mais ni leur DNS ni leur site web principal ne presentent d'addresse v6. Octave, une explication en ce qui conerne OVH ? troll Il y a aussi Cogent avec leur service beta v6, qui n'offre pas de connectivite totale, mais meme eux sont en train de s'ameliorer. Je les ai vu passer de ~55% de routes a 70% de routes aujourd'hui, donc ca avance :) /troll -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On Tue, 15 Jun 2010 12:24:12 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Pour MX le seul problème c'est le cote anti-spam et faire en sorte que les backend répondent correctement quand des IPv6 arrivent dans les champs. Pour le DNS c'est vraiment pas dur. J'ai mes DNS en v4 et v6 - cela ne cause aucun probleme thomas-mangins-computer:~ thomas$ whois exa-networks.co.uk | grep ns ns1.exa-networks.co.uk82.219.4.195 2a02:b80:0:6:35:a:0:1 ns2.exa-networks.co.uk82.219.4.196 2a02:b80:0:6:35:a:0:2 ns3.exa-networks.co.uk87.106.64.17 Je n'ai pas encore publie un pour nos MX mais cela ne serait tarder. Pour le site web, allez je posterai vendredi pour annoncer que le record DNS est la ! Il a fallu quand-meme cette discussion pour passer a l'acte ! Je suis d'accord avec les load balancers et autre firewalls, mais il y a encore du temps pour finir la migration. Si on regarde d'un peu plus pres, on se rend comtpe qu'il y a quand-meme des produits qui savent le fair plus ou moins. De plus en plus meme F5 avec OS de 2008 sait faire du v6 en standard. Sait meme faire un VIP v6 sur des serveurs reels v4 Activer et annoncer notre v6, c'est un temps négligeable face au ressources necessaires pour passer la partie système J'ai pas encore fini mais pour nous je dirai que c'est 1/4 reseau 3/4 applicatif car il ya bcp plus de serveurs que de routeurs. Faire router du v6 sur son reseau c'est presque du passe-temps. Passer en v6 les services, c'est totalement autre chose - rien a voir. Quand je vois 1/4 reseau, je suppose qu'il s'agit d'un reseau assez complexe, et que la partie reseau inclut aussi l'access administratif sur les quipements (rebooter les $witch ci$co). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Pour le site web, allez je posterai vendredi pour annoncer que le record DNS est la ! Il a fallu quand-meme cette discussion pour passer a l'acte ! Ahahaha :D Non, je veux simplement montrer a la liste que même sans planning on peut trouver le peu de temps nécessaire a faire des changements. La machine en question n'a meme pas encore d'IP en v6 (nos autres serveurs web par contre sont deja dual-stack). J'ai commence notre migration il y a un an ? On n'a pas fini, on en fait un peu ici et la (et c'est vraiment pas une priorite) le reseau est fait, on fait le reste quand on a le temps/l'envie. Faire router du v6 sur son reseau c'est presque du passe-temps. Passer en v6 les services, c'est totalement autre chose - rien a voir. Pourquoi ? Quand je vois 1/4 reseau, je suppose qu'il s'agit d'un reseau assez complexe, et que la partie reseau inclut aussi l'access administratif sur les quipements (rebooter les $witch ci$co). Nos systèmes sont toujours principalement en v4, seulement la partie touchant les clients a besoin d'etre change. Pourquoi se compliquer la vie ? Ajouter une IP secondaire sur une machine et faire en sorte de le deamon bind en v6 c'est pas super dur :) L'exemple d'un LB v6 avec des backend v4 est bon. Tu peux présenter tes services a des client v6 sans avoir besoin de tout changer. Tout ce qui est neuf est dual stack, le reste on migre au fur et a mesure. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On Tue, 15 Jun 2010 14:16:07 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Nos systèmes sont toujours principalement en v4, seulement la partie touchant les clients a besoin d'etre change. Pourquoi se compliquer la vie ? Ajouter une IP secondaire sur une machine et faire en sorte de le deamon bind en v6 c'est pas super dur :) Approche differente en effet. Comme chez nous le passage des services ca risque d'attendre encore quelque temps, je prefere avoir en interne un reseau le plus 6-compliant possible. J'espere que ca aidera le jour ou je vais devoir expliquer qu'il faut passer les services en v6. Il y a deja des VIP chez nous qui ne savent pas ce qu'est v6, mais leur poste est en dual-stack et ils peuvent naviguer en v6 (s'il y avait juste sur quoi naviguer). D'ailleurs j'ai du mal a voir une justification pour l'IPv6 lui-meme si c'est pas pour *TOUT* passer en v6 a terme. En meme temps je comprends un peu mieux d'ou vient le concept de tunnels partout. L'exemple d'un LB v6 avec des backend v4 est bon. Tu peux présenter tes services a des client v6 sans avoir besoin de tout changer. Tout ce qui est neuf est dual stack, le reste on migre au fur et a mesure. Ca c'est bien pour exposer en v6 des services dont l'appli ne fonctionne qu'en v4. En attendant d'arriver la un jour, je risque d'arriver plutot dans la situation inverse (avoir tout l'interne en v6, et exposer l'externe en v4 seulement). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Ca c'est bien pour exposer en v6 des services dont l'appli ne fonctionne qu'en v4. En attendant d'arriver la un jour, je risque d'arriver plutot dans la situation inverse (avoir tout l'interne en v6, et exposer l'externe en v4 seulement). C'est aussi mon but mais je prends l'approche pragmatique - un problème a la fois vers v6 :) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Pierre-Yves Maunier a écrit : Demander un bloc IPv6 aujourd'hui, l'annoncer, faire un objet route ça prend 20 minutes, Effectivement et on rajoute 10/15 minutes pour créer les objets ip6.arpa et la configuration du serveur DNS pour les reverse. Bref pas grand chose pour activer IPv6 sur le réseau. Faut que les DNS répondent en IPv6, non ? Donc ca veut dire que qu'il faut *vraiment* déployer IPv6 sur le réseau (en tout cas du BB jusqu'aux serveurs DNS). En ce qui nous concerne, le problème c'est nos FW/répartiteur de charge. C'est du LVS, et quand je lis la doc, je me dis que c'est vachement trop en béta pour le passer en prod. Qlq'un a des retours d'expérience sur LVS en dual stack IPv6/IPv4 en prod ? ps: merci pour ce topic intéressant ! ps2: ca serait cool un atelier IPv6, non ? genre un peu plus interactif/concret qu'une conf. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le 15 juin 2010 18:55, Maxime KURKDJIAN maxun...@choisyclub.org a écrit : Pierre-Yves Maunier a écrit : Demander un bloc IPv6 aujourd'hui, l'annoncer, faire un objet route ça prend 20 minutes, Effectivement et on rajoute 10/15 minutes pour créer les objets ip6.arpa et la configuration du serveur DNS pour les reverse. Bref pas grand chose pour activer IPv6 sur le réseau. Faut que les DNS répondent en IPv6, non ? Non pas forcément, t'es serveurs peuvent-être en v4 only dans un premier temps (au moins pour que tu puisse gérer tes reverse dns sans avoir à déployer ipv6 partout). -- Pierre-Yves Maunier
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On 15 juin 2010, at 12:49, Xavier Nicollet wrote: Le 15 juin 2010 à 12:09, Pierre-Yves Maunier a écrit: Personnellement chez Neotelecoms (AS8218), ça nous a pas pris tant de temps que ça pour mettre en prod l'IPv6 sur tout le réseau et nous en sommes très contents, ça marche bien et l'adressage est simplicime (bien plus qu'en ipv4 après avoir compris ). Le problème se situe chez nous au niveau applicatif. Pour le meilleur ou pour le pire, les développeurs stoquent des @ IP dans les bases de données. A ma connaissance, ni mysql, ni php ont un type ipv6. troll faut utiliser un vrai SGBD... http://www.postgresql.org/docs/8.4/interactive/datatype-net-types.html /troll --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On Tue, 15 Jun 2010 18:55:46 +0200, Maxime KURKDJIAN maxun...@choisyclub.org said: Faut que les DNS répondent en IPv6, non ? Donc ca veut dire que qu'il faut *vraiment* déployer IPv6 sur le réseau (en tout cas du BB jusqu'aux serveurs DNS). Non, pas forcement. Tu peux servir deszones ip6.arpa ou des entrees sur du v4. Et concernant les deploiement sur la backbone, ils peuvent ne pas se faire tous d'un seul coup, mais de facon graduelle (les parties qui vont vers les DNS en permier). En ce qui nous concerne, le problème c'est nos FW/répartiteur de charge. C'est du LVS, et quand je lis la doc, je me dis que c'est vachement trop en béta pour le passer en prod. J'ai commence a travailler avec LVS avant-meme que ca soit utilisable (2001). Quelques bug-reports, patch contibues et releases plus tard on etait finalement arrive a remplacer avec succes des boitiers noires de marque. Comme pour toute nouvelle technologie, encore plus du libre, faut bien qu'il y a des gens qui testent et contribuent ou donnent leur feed-back avant les autres pour que ca marche. Si les test en prod sont generalement pas bien-venus, faut aussi profiter du fait que l'IPv6 n'est pas encore pris au serieux partout. Ca peut etre aussi sur des boitiers differents :) Tiens, si j'aurai du temps cet ete, c'est un bon sujet a occuper le temps ps2: ca serait cool un atelier IPv6, non ? genre un peu plus interactif/concret qu'une conf. Faire sur une journee entiere (c'est deja tres dense) et completer avec un tel atelier IPv6. Pour cette fois je suppose que c'est plus possible(trop tard), mais c'est une bonne idee pour la prochaine fois. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le 15/06/2010 14:45, Radu-Adrian Feurdean a écrit : Autre chose qui complique un peu la vie, le suport v6 dans les produits de securite. Le firewall v6 est bien la - OK. Par contre d'autres fonctionalites comme le SSL-VPN (access distant securise en general) on les attend encore. Le VPN-SSL ce n'est pas justement là pour palier aux problèmes qui vont avec NAT-T ? Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On Tue, 15 Jun 2010 20:46:41 +0200, Denis F. xx...@ledeuns.net said: Le 15/06/2010 14:45, Radu-Adrian Feurdean a écrit : Autre chose qui complique un peu la vie, le suport v6 dans les produits de securite. Le firewall v6 est bien la - OK. Par contre d'autres fonctionalites comme le SSL-VPN (access distant securise en general) on les attend encore. Le VPN-SSL ce n'est pas justement là pour palier aux problèmes qui vont avec NAT-T ? Les firewalls a la con aussi... surtout ??? -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Jun 15, 2010, at 10:22 PM, Radu-Adrian Feurdean wrote: On Tue, 15 Jun 2010 20:46:41 +0200, Denis F. xx...@ledeuns.net said: Le 15/06/2010 14:45, Radu-Adrian Feurdean a écrit : Autre chose qui complique un peu la vie, le suport v6 dans les produits de securite. Le firewall v6 est bien la - OK. Par contre d'autres fonctionalites comme le SSL-VPN (access distant securise en general) on les attend encore. IPSeC ? natif dans IPv6 ? c'est pas de la sécurité ? Le VPN-SSL ce n'est pas justement là pour palier aux problèmes qui vont avec NAT-T ? Les firewalls a la con aussi... surtout ??? -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (Darwin) iEYEARECAAYFAkwX4cEACgkQbd20JnyNpPQHhwCdEH9WShFlLgyFv0YUua3AKSxr HxcAnRSExdHrODVbyyAtoO1WvEpH/7e0 =Be/a -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
On Tue, 15 Jun 2010 22:25:36 +0200, Sebastien Gioria s...@gioria.org said: IPSeC ? natif dans IPv6 ? c'est pas de la sécurité ? Un firewall avec un admin (a la) con ca reste un firewall avec un admin (a la) con, peu importe si ca filtre du v4 ou du v6. Et l'IPSEC standard pour faire du secure remote access il y a des progres a faire. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/