Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 10/09/2012 12:12 AM, Raphaël Maunier wrote: Mouais, un peu facile de généraliser ! Les très gros gaspillent, OUI, les très petits Aussi car souvent ont besoin d'un /27 mais ont un /24 pour des raisons de routage. Et très franchement, j'en connais plein dans ce cas ! et qui donc force cet état de fait, en filtrant les annonces inférieures a /24, sous pretexte que leurs routeurs hors de prix ne sont pas foutus d'accepter un nombre de routes suffisant pour que le petit soit en mesure d'annoncer la /27 qui lui suffirait ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 9 octobre 2012 00:12, Raphaël Maunier raphael.maun...@jaguar-network.com a écrit : Mouais, un peu facile de généraliser ! Les très gros gaspillent, OUI, les très petits Aussi car souvent ont besoin d'un /27 mais ont un /24 pour des raisons de routage. Et très franchement, j'en connais plein dans ce cas ! Cela n'est pas du aux filtres sur des prefixes /24 par hasard ? Si on avait pas peur d'une table de route 400K routes supportée par les routeurs avec une TCAM au taquet, on arriverait pas à ce genre de situation d'utiliser un /24 alors qu'un /27 suffirait. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Et bien tu sais ce que tu fais ? Tu écris un beau document avec tous les avantages de le faire, tu prends ton bâton de pèlerin / révolutionnaire et au lieu d'écrire sur une ml, tu te déplaces dans tous les événements ripe, Nanog, EPF, GPF, Enog, bla bla et tu fais des présentations sur le sujet. Cela devrait te prendre au bas mot 2 ans avec un succès sur lequel je ne miserais pas 1 cts. C'est bien beau de systématiquement critiquer les gros encore faut-il se donner les moyens de véhiculer ses idées ou convictions. Je l'ai déjà dis mon analyse est que je Pense que les gros n'ont pas d'intérêt à le faire. En l'occurrence, peu importe ou je bosse, si je n'ai pas envie de faire don quichotte, je m'en accommode Si tu en es certain de ton côté, tu fais ce que je te propose plus haut et -- Raphaël Maunier Mob : +33 6.86.86.81.76 skype : rmaunier Sent from my iPad On 9 oct. 2012, at 08:33, Raphaël Jacquot sxp...@sxpert.org wrote: On 10/09/2012 12:12 AM, Raphaël Maunier wrote: Mouais, un peu facile de généraliser ! Les très gros gaspillent, OUI, les très petits Aussi car souvent ont besoin d'un /27 mais ont un /24 pour des raisons de routage. Et très franchement, j'en connais plein dans ce cas ! et qui donc force cet état de fait, en filtrant les annonces inférieures a /24, sous pretexte que leurs routeurs hors de prix ne sont pas foutus d'accepter un nombre de routes suffisant pour que le petit soit en mesure d'annoncer la /27 qui lui suffirait ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 10/09/2012 08:43 AM, Raphaël Maunier wrote: Et bien tu sais ce que tu fais ? Tu écris un beau document avec tous les avantages de le faire, tu prends ton bâton de pèlerin / révolutionnaire et au lieu d'écrire sur une ml, tu te déplaces dans tous les événements ripe, Nanog, EPF, GPF, Enog, bla bla et tu fais des présentations sur le sujet. oué; mais non, c'est trop tard pour ipv4 la. par contre, je suis pres a parier qq centimes qu'on va revoir cette connerie apparaitre avec ipv6 ah non, je n'accepte que les blocs = /32 , mon routeur a pas assez de cam --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 9 oct. 2012, at 08:56, Raphaël Jacquot sxp...@sxpert.org wrote: On 10/09/2012 08:43 AM, Raphaël Maunier wrote: Et bien tu sais ce que tu fais ? Tu écris un beau document avec tous les avantages de le faire, tu prends ton bâton de pèlerin / révolutionnaire et au lieu d'écrire sur une ml, tu te déplaces dans tous les événements ripe, Nanog, EPF, GPF, Enog, bla bla et tu fais des présentations sur le sujet. oué; mais non, c'est trop tard pour ipv4 la. Ben donc tu acceptes cet état de fait et on passe à autre chose comme l'évangélisation d'ipv6 pour de vrai genre dans ... La fonction publique. Tu es bien placé pour prendre ce sujet en main. par contre, je suis pres a parier qq centimes qu'on va revoir cette connerie apparaitre avec ipv6 ah non, je n'accepte que les blocs = /32 , mon routeur a pas assez de cam Cf plus haut : tu peux écrire un doc bla bla pour l'éviter --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Hello, Le 08/10/2012 23:04, Eric ROLLAND a écrit : Le 08/10/12 22:55, Raphaël Maunier - Franceix a écrit : C'est mal de mentir au ripe. Il faut arrêter de penser que de Le fait de devenir LIR est la solution ultime pour avoir des ipv4. Bonsoir Raphael, la liste, Y a t-il des solutions alternatives pour disposer d'un PI routable en V4 ? Hormis de devenir soit même LIR (small) ou de le faire attribuer ses PI par un LIR ? Y a plus de PI IPv4 point, ceux qui en on les gardes jalousement... :) Et puis bon, tout le monde l'avais dit : fin 2012 cay la fin du monde y a plus d'IPv4. Et ca fait plusieurs années qu'on dit : si tu veux pas te payer un mur déploie ipv6... Bon la le mur... il est la... (2cm de toi). Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: LIR or not LIR , that is the question ( was Re: [FRnOG] Re: [TECH] NATv6 dans Linux )
Le 09/10/2012 00:06, Raphaël Maunier a écrit : Cependant demander/bloquer un /22 pour n'utiliser qu'un /24, c'est dommage. Le happy meal AS+PI est devenu Happy meal LIR et franchement c'est mal barré ! Rien ne t'empêche de ne demander qu'un /24 en first last, si ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 09/10/2012 00:26, Radu-Adrian Feurdean a écrit : 2. Inutile Pas du tout ! L'idée est de garder coût que coûte un espace pour les nouveaux entrants, afin qu'ils puissent disposer d'un minimum d'adresses pour monter un nouveau réseau. Quitte à ce que ces nouveaux entrants déploient en priorité des mécanos de transitions, que ce soit du CGN pour de l'accès ou du reverse proxy pour de l'hosting, en ne fournissant par défaut qu'une connectivité v6 native. Garder (et entretenir) un stock d'adresses, c'est indispensable pour maintenir la croissance et l'innovation sur Internet. Et ça va passer par la mise en place d'une justification périodique des allocations. Ca implique aussi qu'on aie dans les 5 ans qui viennent une campagne poussant à la mise en place de process et outils permettant de faciliter la renumérotation au sein des réseaux. Une chose est sûre, ça ne se fera pas en un jour, et 5 ans me semble un minimum avant que des mesures contraignantes soient rendues effectives. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 09/10/2012 00:12, Raphaël Maunier a écrit : Les très gros gaspillent, OUI, Dans des proportions qui sont proprement scandaleuses pour certains. Et la tolérance du RIPE vis à vis de la revente d'espace d'adressage au volume occupé les a incité à aller dans ce ses. les très petits Aussi car souvent ont besoin d'un /27 mais ont un /24 pour des raisons de routage. Et très franchement, j'en connais plein dans ce cas ! C'est évident ! Et il y a plusieurs approches pour reméier à ce problème. J'avais évoqué, dans des threads portant sur LISP il y a quelques mois, l'idée d'avoir un pool orienté stubs multihommés qu'on accepterai d'annoncer en anycast entre plusieurs T2 bien interconnectés. Ces pools pourraient alors être routés entre ces T2, comme un espace d'adressage partagé, en direct ou en passant par un mécano plus robuste comme LISP. Ca réglerai assez bien ce problème sans avoir le moindre impact négatif sur la DFZ, tu ne crois pas ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Et puis bon, tout le monde l'avais dit : fin 2012 cay la fin du monde y a plus d'IPv4. Et ca fait plusieurs années qu'on dit : si tu veux pas te payer un mur déploie ipv6... Bon la le mur... il est la... (2cm de toi). Xavier Le seul problème c'est qu'IPv6 n'est pas une solution contre la pénurie d'IPv4. Avec IPv6, tu as des adresses. Cool. Cependant tant que les utilisateurs qui veulent se connecter à tes ressources sont en v4, tu es obligé de conserver un service en v4. Donc ok, si le monde entier était en v6, on aurait pas de soucis. C'est pas le cas, et quoi qu'on en dise, le problème vient surtout des providers grand public. Si vous connaissez en France un fournisseur d'accès Internet mobile qui tourne IPv6, je suis preneur... C'est pas la faute des terminaux pourtant, tous les smartphones récents sont compatibles v6. Pourtant impossible de creer un service v6 only si tu envisages des eyeballs arrivant via un réseau 3G. Donc en attendant que les providers se bougent, on fait quoi ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Hello, Le 09/10/2012 13:13, Guillaume Barrot a écrit : (...) Le seul problème c'est qu'IPv6 n'est pas une solution contre la pénurie d'IPv4. Avec IPv6, tu as des adresses. Cool. Cependant tant que les utilisateurs qui veulent se connecter à tes ressources sont en v4, tu es obligé de conserver un service en v4. Pour reprendre un certain rapport de stage, on peux faire l'analogie avec le mur de téléphonie : passer de 6 chiffres a 10 chiffres à permis de sauver la mise avec le nombre croissant de postes (terminaux?) clients. J'ai effectivement pensé a ce pb... Tu n'as pas le choix, il te faut des ipv4... et éventuellement mettre des proxy ou du NAT46 (qui existe pas dans les RFC, mais sur certains OS, ... ca existe un peu). Donc ok, si le monde entier était en v6, on aurait pas de soucis. C'est pas le cas, et quoi qu'on en dise, le problème vient surtout des providers grand public. LE problème est qu'on se demande comment faire... Alors qu'on a passé les 10 ans ou on pouvais innover tranquillement. Comme dit quelqu'un qui poste (troll?) içi, le problème du financier qui dit ca nous coute de l'argent pour rien, est le fait du massive fail. Si vous connaissez en France un fournisseur d'accès Internet mobile qui tourne IPv6, je suis preneur... Idem. C'est pas la faute des terminaux pourtant, tous les smartphones récents sont compatibles v6. Pourtant impossible de creer un service v6 only si tu envisages des eyeballs arrivant via un réseau 3G. Donc en attendant que les providers se bougent, on fait quoi ? On les fait chier ou on change pour aller chez des gens qui sont, eux, ipv6 compliant (j'ai pas dit natif ou l'ipv6 de truc est mieux que machin). Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 09/10/2012 08:56, Raphaël Jacquot wrote: par contre, je suis pres a parier qq centimes qu'on va revoir cette connerie apparaitre avec ipv6 ah non, je n'accepte que les blocs = /32 , mon routeur a pas assez de cam Ce serait intéressant que Renater et Swisscom nous expliquent leurs raisons d'ailleurs, je me suis laissé dire que ces deux-là n'acceptaient effectivement pas plus spécifique. Ou d'autres ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 09/10/2012 09:08, Stephane Bortzmeyer wrote: On Mon, Oct 08, 2012 at 07:22:51PM +0200, Sylvain Vallerotsylv...@gixe.net wrote a message of 38 lines which said: Pour ce qui est d'être LIR, 150 euros HT/mois c'est pas la mer à boire De mon expérience avec deux LIR, ce n'est pas la cotisation qui coûte cher, c'est le temps passé à lire et à comprendre des papiers, puis à discuter avec le staff du NCC :-( À moins que tu bosses gratuitement, auquel cas je t'embauche :-) Je bosse gratuitement tu ne te souviens pas ? ;-) Mais le travail de LIR n'use du temps que si l'on s'en sert. Un petit nouveau LIR peut par exemple - investir dans une prestation pour se former - investir dans une presta pour son outillage de LIR - sous-traiter la gestion administrative à un LIR qui a l'habitude pour les quelques (rares) demandes qu'il aura à traiter En tant que LIR je (Opdop) facture les demandes de ressources, la constitution du dossier est un investissement à faire par le demandeur et en plus il faut qu'il bosse pour constituer le dossier avec moi. C'est un choix purement commercial que de masquer ces frais les FAS ou le récurrent d'autres services. Au détriment de la transparence et de l'indépendance, bien souvent. Il me semble raisonnable de penser que le travail réalisé en interne coûte à la longue moins cher que du travail sous-traité à un presta externe aussi, c'est une question de volume. Mais dans tous les cas cela a un coût, LIR ou pas LIR. Le staff du Ripe n'est pas si cruel, avec un peu d'expérience on finit par comprendre ses besoins et on sait les précéder pour constituer en amont (avec dossier bien fait) une demande qui sera conforme et donc rapidement traitée d'une part, durable (au sens développement durable) d'autre part. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Pour reprendre un certain rapport de stage, on peux faire l'analogie avec le mur de téléphonie : passer de 6 chiffres a 10 chiffres à permis de sauver la mise avec le nombre croissant de postes (terminaux?) clients. Pas tellement en fait. Impact limité dans l'espace, un seul opérateur concerné ou presque (en 1996, il n'y avait pas autant d'opérateurs alternatifs que maintenant. Meme sur le mobile, il n'y en avait que 2). Et puis surtout : pas de coexistence entre le plan de num à 8 chiffres et celui à 10 chiffres. C'est une bascule brutale, le 18 octobre 1996 à 23h, point. De plus, le protocole en lui même n'a pas changé, c'est toujours la même SIG avant et après, etc, c'est juste l'identifiant qui a changé. Un peu comme si pour passer d'IPv4 à IPv6, on avait gardé le protocole identique, mais on avait changé le codage des champs d'adresse pour le passer à 128 bits. L'analogie du plan de num ressemble plus au passage des ASN de 32 à 64 bits pour le coup, même si pour les ASN on a encore des vieux routeurs non compatibles. Mais le protocole est le meme, on a juste changé la longueur du champ, pour schématiser grossierement. Passer d'IPv4 à IPv6, c'est bien pire : on change le protocole en entier, mais le fond du problème, c'est qu'il n'y a pas une date pour migrer brutalement de l'un à l'autre, mais une cohabitation entre les deux. Et finalement, ça se réduit à ça. Vu qu'on peut cohabiter, je laisse les autres changer, et moi je changerai que quand je serai obligé (parce que couts, temps, risque etc.). Et comme tout le monde se dit ça, ben ça n'avance pas. Finalement on aurait mieux fait de copier le changement du plan de num, et fixer une date de fin de vie à IPv4 avec bascule obligée ... mais techniquement, c'est quasi impossible à faire. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 09/10/2012 13:30, Sylvain Vallerot a écrit : Ce serait intéressant que Renater et Swisscom nous expliquent leurs raisons d'ailleurs, je me suis laissé dire que ces deux-là n'acceptaient effectivement pas plus spécifique. Ils ne font qu'appliquer http://www.space.net/~gert/RIPE/ipv6-filters.html version stricte, en tout cas pour RENATER -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 09/10/2012 14:27, Jérôme Nicolle wrote: Le 09/10/2012 13:30, Sylvain Vallerot a écrit : Ce serait intéressant que Renater et Swisscom nous expliquent leurs raisons d'ailleurs, je me suis laissé dire que ces deux-là n'acceptaient effectivement pas plus spécifique. Ils ne font qu'appliquer http://www.space.net/~gert/RIPE/ipv6-filters.html version stricte, en tout cas pour RENATER Oui je sais mais ordinairement il ne suffit pas d'une page perso quelque part sur le web pour qu'un opérateur de cette taille applique ce qui est écrit. Surtout quand le reste du monde ou presque fait autrement, que le Ripe (qui semble un poil plus légitime) préconise autre chose, et compte tenu des conséquences opérationnelles hyper lourdes que cela a. Enfin cette page propose aussi une version soft. Mais non, ces deux opérateurs semblent choisir la version hard. La question est donc pourquoi ? Moi ça m'intéresse de comprendre pourquoi un opérateur public qui dispose d'un quasi monopole du secteur éducatif + recherche s'arroge le droit de bousiller la liberté de router tranquillement sur le net et se permet de nuire gravement à la liberté de créer des opérateurs locaux. C'est pas comme si Renater ne disposait pas de moyens colossaux, est-ce une histoire de coûts ou une volonté d'immobilisme, une simple paresse administrative, une nouvelle connerie politicienne ? EtSwisscom a-t-il les mêmes raisons ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Bonjour tous. Existe-t-il un endroit où on puisse trouver toutes les best practices IPv6 qui soient à jour ? C'est ce que je reproche à IPv6; c'est un foutoir innommable; IPv4 en devient plus simple car mieux maitrisé (un comble pour un protocole qui devait tout simplifier !) cdlt, De : Stephane Bortzmeyer bortzme...@nic.fr À : Emmanuel Thierry m...@sekil.fr Cc : frnog@frnog.org Envoyé le : Lundi 8 octobre 2012 12h41 Objet : [FRnOG] Re: [TECH] NATv6 dans Linux On Fri, Oct 05, 2012 at 07:00:32PM +0200, Emmanuel Thierry m...@sekil.fr wrote a message of 28 lines which said: Le minimum legal c'est un /64 (un seul subnet) Euh... Peux-tu définir légal s'il te plait ? Les RFC ? Certainement pas, ils disent même le contraire : http://www.bortzmeyer.org/6164.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 10/8/12 12:46 PM, Surya ARBY a écrit : Bonjour tous. Existe-t-il un endroit où on puisse trouver toutes les best practices IPv6 qui soient à jour ? C'est ce que je reproche à IPv6; c'est un foutoir innommable; IPv4 en devient plus simple car mieux maitrisé (un comble pour un protocole qui devait tout simplifier !) cdlt, Au contraire je trouve, IPv6 est bien plus logique et clair dans son fonctionnement, on peut penser le contraire uniquement parce qu'on utilise IPv4 depuis des lustres avec toutes ses rustines innommables. Il y a quelques fonctionnalités à cerner, mais rien de nécessaire à la mise en place de départ quand on arrive d'IPv4. Qu'est-ce qui te parait foutoiresque dans IPv6 ? Cordialement, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Hello, Le Monday 08 October 2012 à 11:46, Surya ARBY écrivait: Existe-t-il un endroit où on puisse trouver toutes les best practices IPv6 qui soient à jour ? Il n'y a pas longtemps, je suis tombé sur cet état de l'art plutôt complet et en francais (pour changer un peu du blog de Mr Bortzmeyer): http://julien.vaubourg.com/files/lothaire-yarding_ipv6.pdf Si ça peut aider. -- Auré --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On avait présenté un truc simple; des adresses uniques partout; puis après on a rajouté du site local (ha puis finalement depuis la RFC 3879 en fait y en a plus); du natv6 (c'est dans le sujet de ce mail) - on nous avait pas dit que le NAT c'est nul et qu'il y en aura pas en ipv6 pasque y-en-a-plus-besoin ? un coup faut mettre des /64 pour les point-à-point, après des /127 et j'en passe... Ce ne sont que quelques exemples :-) just my two cents cdlt De : Frederic Dhieux frede...@syn.fr À : frnog@frnog.org Envoyé le : Lundi 8 octobre 2012 13h24 Objet : Re: [FRnOG] Re: [TECH] NATv6 dans Linux Le 10/8/12 12:46 PM, Surya ARBY a écrit : Bonjour tous. Existe-t-il un endroit où on puisse trouver toutes les best practices IPv6 qui soient à jour ? C'est ce que je reproche à IPv6; c'est un foutoir innommable; IPv4 en devient plus simple car mieux maitrisé (un comble pour un protocole qui devait tout simplifier !) cdlt, Au contraire je trouve, IPv6 est bien plus logique et clair dans son fonctionnement, on peut penser le contraire uniquement parce qu'on utilise IPv4 depuis des lustres avec toutes ses rustines innommables. Il y a quelques fonctionnalités à cerner, mais rien de nécessaire à la mise en place de départ quand on arrive d'IPv4. Qu'est-ce qui te parait foutoiresque dans IPv6 ? Cordialement, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Si on veut un métier où les choses sont stables et où les best practices ne changent pas, il ne faut peut-être pas être opérateur réseaux... Le problème étant qu'on confie des réseaux à des gens dont ce n'est pas le cœur de métier (tous les métiers autres qu'opérateur en fait); IPv6 ne se limite (malheureusement ?) pas au microcosme des providers télécoms. cdlt, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Si on veut un métier où les choses sont stables et où les best practices ne changent pas, il ne faut peut-être pas être opérateur réseaux... Ouais enfin là, les métiers possibles sont peu nombreux. Même les best practices chez les tailleurs de pierres changent avec le temps ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Bonjour, Le 8 oct. 2012 à 13:37, Surya ARBY a écrit : On avait présenté un truc simple; des adresses uniques partout; puis après on a rajouté du site local (ha puis finalement depuis la RFC 3879 en fait y en a plus); du natv6 (c'est dans le sujet de ce mail) - on nous avait pas dit que le NAT c'est nul et qu'il y en aura pas en ipv6 pasque y-en-a-plus-besoin ? un coup faut mettre des /64 pour les point-à-point, après des /127 et j'en passe... Ce ne sont que quelques exemples :-) La critique est quelque peu facile. On a mis quelques décennies à monter des réseaux de l'ampleur de ce qui existe aujourd'hui en IPv4. Cela a été l'occasion d'avoir une montée en charge bien linéaire, d'introduire au fur et à mesure de nouveaux concepts, de bien ancrer les best-practices, de tester les nouvelles évolutions en lab avant leur déploiement... Alors qu'on déploie en urgence IPv6, il ne faut pas s'attendre à ce que le protocole soit parfait dès sa conception. Il y a beau y avoir eu beaucoup de monde à travailler sur la spécification à l'époque, ils ne peuvent pas avoir prévu tous les cas d'usage dès le départ, ou certains problèmes étaient trop complexes à régler en une traite. C'est assez logique qu'une fois le protocole mis en production, on en rapporte les faiblesses. Je pense que l'on devrait être plutôt être satisfaits que les problèmes rencontrés en prod soient pris en compte. Cela dit il est vrai qu'il y a un vrai besoin de formation auprès des administrateurs réseau sur la maintenance d'un réseau IPv6. A savoir que si des concepts comme DHCPv6 ou NAT66 sont apparus (sans être forcément nécessaires), c'est aussi parce que la tentation est forte de calquer son architecture IPv4 sur son réseau IPv6. Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, Oct 8, 2012, at 02:13 PM, Surya ARBY wrote: Le problème étant qu'on confie des réseaux à des gens dont ce n'est pas le cœur de métier (tous les métiers autres qu'opérateur en fait); IPv6 ne se limite (malheureusement ?) pas au microcosme des providers télécoms. Des gens tres competents dans les reseaux on peut aussi trouver ailleurs que chez les operateurs reseaux, tout comme on peut rouver des nullissimes chez des operateurs. Le seul probleme avec IPv6 c'est que c'est patte blanche sur comment l'utiliser. C'est aussi son grand avantage : ca permet de changer les mauvais habitudes. - les link-local ca part d'une bonne idee, mais il faut imperativement savoir comment NE PAS l'utiliser - les site-local sont utiles pour des reseaux qui ne seront jamais et dans aucun cas connectes a Internet (! AIR GAP !) - le NPT (remplacant du NAT) c'est suppose etre stateless, a voir ce que ca va donner dans quelques annees. - on peut faire du classfull si on veut (ISP/LIR = /32, end-user = /48, LAN = /64) - on peut faire du classless si on veut --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 8 oct. 2012 à 15:58, Radu-Adrian Feurdean a écrit : - les site-local sont utiles pour des reseaux qui ne seront jamais et dans aucun cas connectes a Internet (! AIR GAP !) Les site-local étant dépréciées, je pense que tu parles des ULA ? Dans ce cas, je me permets de reformuler. Elles sont utiles pour les communications en interne. Elles ne changeront pas dans le cas d'un changement d'opérateur et on peut donc baser son adressage interne dessus sans crainte, et réserver les adresses globales pour les communications avec l'extérieur. Cela donne un double adressage au sein du réseau, le DNS et la RFC 6724 faisant le reste du boulot. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le seul probleme avec IPv6 c'est que c'est patte blanche sur comment l'utiliser. C'est aussi son grand avantage : ca permet de changer les mauvais habitudes. C'est aussi ces mauvaises habitudes qui freinent l'adoption d'IPv6. (J'entends encore les y a pas de scopes d'ips privés comme la RFC1918 ? Ben c'est moins sécurisé alors). - les link-local ca part d'une bonne idee, mais il faut imperativement savoir comment NE PAS l'utiliser Même chose en IPv4 si tu utilises le 169.254.x.x. Peu de gens le font, mais est-ce intelligent ? (Ex d'utilisation : heartbeat de cluster, réseau pour VMotion sous vmware, réseau de backup local, voire scopes d'interco entre des routeurs sur un réseau privé etc... Lachez vous sur les commentaires, j'ai tellement peu vu ça déployé que les retours seront forcément intéressants) - les site-local sont utiles pour des reseaux qui ne seront jamais et dans aucun cas connectes a Internet (! AIR GAP !) Ouais, c'est l'équivalent brutal de la RFC1918. On sait comment ça s'est fini, avec du NAT-PAT et des proxys. Je vois déjà les fondus de proxy sortants qui vont sauter sur l'occasion pour adresser tous les sites bureautiques en site-local et proxyfier tout ça pour faire comme avant, parce que c'est sécurisé... Ceux qui ont déjà bossé avec des intégristes Microsoftiens et leurs ISA Servers me comprendront. Sans le lobbying de gens comme ça (la sécurité par l'obscurantisme (c) ), on aurait jamais drafté une RFC pareille... Quand tu veux pas connecter un réseau à Internet, ben tu le connectes pas. En filtrant ses annonces BGP, c'est pas si compliqué à faire si ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 8 oct. 2012 à 17:50, Guillaume Barrot a écrit : Dans ce cas, je me permets de reformuler. Elles sont utiles pour les communications en interne. Elles ne changeront pas dans le cas d'un changement d'opérateur et on peut donc baser son adressage interne dessus sans crainte, et réserver les adresses globales pour les communications avec l'extérieur. Cela donne un double adressage au sein du réseau, le DNS et la RFC 6724 faisant le reste du boulot. Faut pas confondre PI et scopes privés non plus. Si le but est d'être indépendant du service provider, y a les scopes PI. Dis moi tu es riche toi ! :) Pour des PME ce n'est clairement pas envisageable. Par ailleurs je ne parle pas d'être indépendant du provider, je parle de limiter la renumérotation lorsque tu changes de provider, ce qui n'a rien à voir. Un site classique, monohomé, n'a pas nécessairement besoin d'un PI. Mais il peut être intéressé par ne pas avoir à toucher à son adressage interne lorsqu'il va changer de FAI. C'est pour cette raison que les ULA ont été inventées. Et avec 2^41 /48 on a un espace d'adressage plus grand que ce qui peut être alloué par les RIR... Ce système a justement été fait pour qu'il ne soit pas nécessaire de prendre des PIs pour éviter la renumérotation. Les adresses globales doivent être utilisées pour des besoins externes. L'avantage, c'est que dans le cas d'une fusion, voire juste d'un partenariat, un peering entre les deux boites, tu annonces tout ou partie de tes scopes internes sur ce peering, la boite en face fait de même, et pour autant, tu n'as pas fait de NAT, de VPN LAN2LAN ou autres joyeusetés pour que ça marche. Et tu n'as rien changé de tes annonces vers Internet (tes peering sur les IX, tes peerings avec tes transitaires, etc.) Avec des ULA tu ne fais pas de NAT non plus. Tu donnes deux adresses à chaque hôte: une adresse ULA pour les besoins internes, que tu n'auras jamais à changer; une adresse globale pour l'accès à internet, qui si elle change ne te posera pas de problème vu que tu n'as pas basé l'adressage de tes ressources internes avec. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Dis moi tu es riche toi ! :) Pour des PME ce n'est clairement pas envisageable. C'est marrant, je viens de travailler sur un client qui avait un problème équivalent, mais en IPv4. Deux accès Internet, il veut faire du loadbalancing entre les deux. Bon approche a pas d'argent pour me mettre sur un PI : le client a donc décidé d'acheter des boubouates qui font du loadbalancing WAN. Juste après, et avec les nouveau tarifs du RIPE, il s'est rendu compte que ça lui aurait couté moins cher d'obtenir son PI, de monter 2 sessions BGP. Ben ouais 2 boibouates, ça coute pas rien, mais payer une boite de service pour les configurer c'est encore pire... Avec des ULA tu ne fais pas de NAT non plus. Tu donnes deux adresses à chaque hôte: une adresse ULA pour les besoins internes, que tu n'auras jamais à changer; une adresse globale pour l'accès à internet, qui si elle change ne te posera pas de problème vu que tu n'as pas basé l'adressage de tes ressources internes avec. Donc dès que tu fusionnes 2 boites, tu vas adresser une Global Unicast sur toutes les machines ayant besoin de communiquer entre elles, dans les deux boites. Comment tu fais si tu as 1 machine dans un vlan, au milieu de centaines d'autres qui ne sont pas concernées ? Tu déploies un plan d'adressage Global juste pour elle ? Donc dans ton réseau, il n'existe que deux notions : visible depuis tout le net (et firewall devant si c'est pas le cas), ou privé. Mais visible que depuis certains partenaires, sans etre annoncé à tout le web, c'est pas possible ? On en revient à la discussion d'il y a quelques jours : c'est pas parce qu'une boite a obtenue un /8 il y a 25 ans, qu'elle annonce tout le scope sur le net, et inversement, c'est pas parce que tout le scope n'est pas annoncé qu'il n'est pas utilisé... Même principe en IPv6. @Radu : les habitudes ont la vie dure ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 8 oct. 2012 à 17:42, Guillaume Barrot a écrit : - les link-local ca part d'une bonne idee, mais il faut imperativement savoir comment NE PAS l'utiliser Même chose en IPv4 si tu utilises le 169.254.x.x. Peu de gens le font, mais est-ce intelligent ? (Ex d'utilisation : heartbeat de cluster, réseau pour VMotion sous vmware, réseau de backup local, voire scopes d'interco entre des routeurs sur un réseau privé etc... Lachez vous sur les commentaires, j'ai tellement peu vu ça déployé que les retours seront forcément intéressants) Ce n'est pas fait pour être utilisé pour accéder à des services. C'est fait pour des besoins opérationnels: - test de lien - adressage de routeur - protocoles lien-local Plus globalement tout ce qui se fait avant (ou sans avoir besoin de) l'établissement d'un lien L2 opérationnel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 8 oct. 2012 à 18:56, Emmanuel Thierry a écrit : Le 8 oct. 2012 à 17:42, Guillaume Barrot a écrit : - les link-local ca part d'une bonne idee, mais il faut imperativement savoir comment NE PAS l'utiliser Même chose en IPv4 si tu utilises le 169.254.x.x. Peu de gens le font, mais est-ce intelligent ? (Ex d'utilisation : heartbeat de cluster, réseau pour VMotion sous vmware, réseau de backup local, voire scopes d'interco entre des routeurs sur un réseau privé etc... Lachez vous sur les commentaires, j'ai tellement peu vu ça déployé que les retours seront forcément intéressants) Ce n'est pas fait pour être utilisé pour accéder à des services. C'est fait pour des besoins opérationnels: - test de lien - adressage de routeur - protocoles lien-local Plus globalement tout ce qui se fait avant (ou sans avoir besoin de) l'établissement d'un lien L2 opérationnel. Il fallait lire L3 bien entendu ! :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Bonsoir, On 08/10/2012 18:49, Guillaume Barrot wrote: C'est marrant, je viens de travailler sur un client qui avait un problème équivalent, mais en IPv4. Deux accès Internet, il veut faire du loadbalancing entre les deux. Bon approche a pas d'argent pour me mettre sur un PI : le client a donc décidé d'acheter des boubouates qui font du loadbalancing WAN. Juste après, et avec les nouveau tarifs du RIPE, il s'est rendu compte que ça lui aurait couté moins cher d'obtenir son PI, de monter 2 sessions BGP. Ben ouais 2 boibouates, ça coute pas rien, mais payer une boite de service pour les configurer c'est encore pire... Curieux comme j'ai l'impression que ça fait effectivement marrer tout le monde mais pas sur pour les mêmes raisons. En tous cas j'ai une bonne nouvelle pour ton client, il peut encore réparer la plus grosse erreur qu'il ait faite dans toute cette histoire : la première. Pour ce qui est d'être LIR, 150 €HT/mois c'est pas la mer à boire pour être indépendant avec un /22 v4, un /32 v6, un droit de vote, et enfin comprendre où passe réellement son argent. Bonne soirée --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 08/10/12 22:55, Raphaël Maunier - Franceix a écrit : C'est mal de mentir au ripe. Il faut arrêter de penser que de Le fait de devenir LIR est la solution ultime pour avoir des ipv4. Bonsoir Raphael, la liste, Y a t-il des solutions alternatives pour disposer d'un PI routable en V4 ? Hormis de devenir soit même LIR (small) ou de le faire attribuer ses PI par un LIR ? Cordialement, Eric ROLLAND Réseau Artewan AS42929 ORG-ARTE2-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 www.artefact.fr http://www.artefact.fr - Communication interactive www.artewan.fr http://www.artewan.fr - Opérateur de réseaux *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, 2012-10-08 at 23:04 +0200, Eric ROLLAND wrote: Y a t-il des solutions alternatives pour disposer d'un PI routable en V4 ? Hormis de devenir soit même LIR (small) ou de le faire attribuer ses PI par un LIR ? Plus de possibilité d'avoir de PI IPv4 maintenant qu'on est dans le last /8. Les LIR (et le RIPE) ne refilent plus que du PA, maintenant. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 08/10/2012 22:55, Raphaël Maunier - Franceix wrote: Sauf que ce n'est pas fait pour ça ! C'est mal de mentir au ripe. Je n'ai pas la sensation qu'il y ait besoin de mentir au Ripe pour user de la diversité qui peuvent pousser les uns et les autres à en devenir membre. Devenir membre du Ripe est la seule et unique manière d'avoir un droit de vote pour faire porter sa voix quand à la gestion de ces ressources. Et le Ripe (en fait, ses membres) vient clairement de statuer que le fait d'être membre prime sur toute fonction ou tout service qui en découle en instaurant une cotisation unique. Enfin en interdisant l'usage de PI v4 (tout court) et l'usage de PI v6 à tout opérateur réseau ou prestataire de services, le message passé est bien que pour devenir indépendant il faut devenir LIR dès qu'on en a les moyens et l'utilité (et je n'ai jamais, ô grand jamais vu un message du Ripe tendant à décourager quelque opérateur que ce soit à devenir LIR, pour quelque raison que ce soit). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Il faut trouver un Opérateur qui a un bloc genre /21 qui est dédié pour désagréger. Il y a des opérateurs qui acceptent de faire des objets routes sur des allocated-PA et sub-allocated-PA. Ne pas oublier une chose, pour le ripe : on affecte pas des IP pour des problèmes de routage :) -- Raphaël Maunier Sent from my iPad On 8 oct. 2012, at 23:04, Eric ROLLAND roll...@artefact.fr wrote: Le 08/10/12 22:55, Raphaël Maunier - Franceix a écrit : C'est mal de mentir au ripe. Il faut arrêter de penser que de Le fait de devenir LIR est la solution ultime pour avoir des ipv4. Bonsoir Raphael, la liste, Y a t-il des solutions alternatives pour disposer d'un PI routable en V4 ? Hormis de devenir soit même LIR (small) ou de le faire attribuer ses PI par un LIR ? Cordialement, Eric ROLLAND Réseau Artewan AS42929 ORG-ARTE2-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 www.artefact.fr http://www.artefact.fr - Communication interactive www.artewan.fr http://www.artewan.fr - Opérateur de réseaux *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. * --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
LIR or not LIR , that is the question ( was Re: [FRnOG] Re: [TECH] NATv6 dans Linux )
Pourtant Should I become a member? YES: If your organisation needs IPv6 address space and AS Numbers, and/or makes assignments to End Users or customers. RIPE NCC members may also be eligible to receive a one time allocation of a /22 of IPv4 address space from the last /8 of IPv4 address space. See the online application form for more information. NO: If you need a small amount of IPv6 addresses and don't make assignments to End Users or customers. See how to request Independent Resources for information on how to get IPv6 addresses without becoming a member. Puis : http://www.ripe.net/lir-services/resource-management/direct-assignments -- Raphaël Maunier Mob : +33 6.86.86.81.76 skype : rmaunier Sent from my iPad On 8 oct. 2012, at 23:13, Sylvain Vallerot sylv...@gixe.net wrote: On 08/10/2012 22:55, Raphaël Maunier - Franceix wrote: Sauf que ce n'est pas fait pour ça ! C'est mal de mentir au ripe. Je n'ai pas la sensation qu'il y ait besoin de mentir au Ripe pour user de la diversité qui peuvent pousser les uns et les autres à en devenir membre. Devenir membre du Ripe est la seule et unique manière d'avoir un droit de vote pour faire porter sa voix quand à la gestion de ces ressources. Et le Ripe (en fait, ses membres) vient clairement de statuer que le fait d'être membre prime sur toute fonction ou tout service qui en découle en instaurant une cotisation unique. Enfin en interdisant l'usage de PI v4 (tout court) et l'usage de PI v6 à tout opérateur réseau ou prestataire de services, le message passé est bien que pour devenir indépendant il faut devenir LIR dès qu'on en a les moyens et l'utilité (et je n'ai jamais, ô grand jamais vu un message du Ripe tendant à décourager quelque opérateur que ce soit à devenir LIR, pour quelque raison que ce soit). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, Oct 8, 2012, at 10:55 PM, Raphaël Maunier - Franceix wrote: Sauf que ce n'est pas fait pour ça ! C'est mal de mentir au ripe. Il faut arrêter de penser que de Le fait de devenir LIR est la solution ultime pour avoir des ipv4. Je peux comprendre que ne pas devenir LIR peut arranger le business de certains (dont ton employeur et le mien - quoi-que..), mais devenir LIR ca a *toujours* ete le moyen d'avoir des IP qui ne dependent pas d'un upstream particulier. Il me semble aussi que RIPE a toujours pousse les gens qui cherchait l'independence par rapport aux transitaires a devenir LIR (comme par exemple l'inutile statut des DAU). Aujourd'hui la situation est plus tendue, mais les grandes lignes n'ont pas eu l'air d'avoir change. Ou alors je me trompe quelque-part ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, Oct 8, 2012, at 11:04 PM, Eric ROLLAND wrote: Y a t-il des solutions alternatives pour disposer d'un PI routable en V4 ? Hormis de devenir soit même LIR (small) ou de le faire attribuer ses PI par un LIR ? Avoir des infra aux US, LatAm ou Afrique. Enfin. remplir les criteres d'ARIN, LACNIC ou AFRINIC.. ... ce qui revient un peu au meme chose, sauf le fait que ces RIRs ne sont pas en phase terminale. Ah, plus de PI en Europe . LIR (forcement small, mais ca ne compte plus) ou aller ailleurs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 08/10/12 23:13, Raphaël Maunier a écrit : Il faut trouver un Opérateur qui a un bloc genre /21 qui est dédié pour désagréger. Il y a des opérateurs qui acceptent de faire des objets routes sur des allocated-PA et sub-allocated-PA. *Ce n'est pas trolldi et c'est la fin du PI ?* Ce petit alexandrin de début de semaine me met de bonne humeur. Rien que de savoir qu'on a des PI gérés par Gitoyen(reloaded) et qu'on échappé à l'IPcalypse avant tout monde fini de me contenter. J'ai bien noté la réponse de Clément : plus de PI, que des PA. Les ressources se raréfient, on a le pic IPV4 juste avant le pic de pétrole. Ca va peut-etre pousser au déploiement du V6 tout ca, sauf si l'apocalypse se vérifie le 21/12/12. Cordialement, Eric ROLLAND Réseau Artewan AS42929 ORG-ARTE2-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 www.artefact.fr http://www.artefact.fr - Communication interactive www.artewan.fr http://www.artewan.fr - Opérateur de réseaux *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, Oct 8, 2012, at 11:13 PM, Raphaël Maunier wrote: Ne pas oublier une chose, pour le ripe : on affecte pas des IP pour des problèmes de routage :) Ca c'est chez RIPE. Chez certains LIR, un /24 avec son objet route se vendent pour trois fois rien vive l'AW .. Les interesses peuvent me contacter en prive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: LIR or not LIR , that is the question ( was Re: [FRnOG] Re: [TECH] NATv6 dans Linux )
On 08/10/2012 23:24, Raphaël Maunier wrote: Pourtant Should I become a member? NO: If you need a small amount of IPv6 addresses and don't make assignments to End Users or customers. See how to request Independent Resources for information on how to get IPv6 addresses without becoming a member. Ce qui n'est qu'une manière d'aiguiller les opérateurs qui ne s'intéressent qu'à avoir des IPv6, maisn'exclut pas par exemple - ceux qui ont besoin d'adresses v4 indépendantes (devenir LIR a toujours été un moyen d'en obtenir, éventuellement sous le statut de micro LIR) - ceux qui veulent devenir membres pour voter - ceux qui ne sont pas éligibles au PI ipv6 - ceux qui utilisaient par exemle DNSMON ou NRTM etdoivent aujourd'hui devenir membres pour continuer à utiliser ces services... Enfin ces recommandations semblent plus indicatives qu'autre chose (les admins du Ripe ont-ils fini de digérer le vote de l'assemblée ?) Puis : http://www.ripe.net/lir-services/resource-management/direct-assignments Et pourtant Axel Pawlik a posté tout à l'heure : The RIPE NCC will contact Direct Assignment Users and non-members who pay fees for RIPE NCC services to begin the process of inviting them to become RIPE NCC members. Restent... les PI ipv6 et on sait comme elles sont restreintes. Donc je continue à penser que la tendance est bel et bien à un fort accroissement du nombre de LIRs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Et bien, qu'ils affectent leurs @ip pour rien et mettre en danger le business pour 3,5 euros ! Quand ils ne pourront plus affecter d'ip et voir les clients aller ailleurs, le ménage de ce genre de fournisseurs ne pourra être que bénéfique aux opérateurs qui font de l'éducation de clients et n'abusent pas ( ou plus car prise de conscience ) des procédures Ripe. Donc qu'ils vendent des services low cost de fourniture de /24 d'ip, le ménage sera fait rapidement ! La fenêtre de tir pour des ventes d'ip est relativement court. Les solutions techniques ( comme le sujet de départ ) sont la ( ou le seront ) pour aider les gens à limiter l'utilisation souvent abusive ou non maîtrisée des @ipv4. Pour info, le prix varie en fonction de la taille du bloc, un /16 se vend plus cher à l'ip qu'un simple /24, donc si vous voulez vendre vos IP, size does matter :) -- Raphaël Maunier Sent from my iPad On 8 oct. 2012, at 23:36, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Mon, Oct 8, 2012, at 11:13 PM, Raphaël Maunier wrote: Ne pas oublier une chose, pour le ripe : on affecte pas des IP pour des problèmes de routage :) Ca c'est chez RIPE. Chez certains LIR, un /24 avec son objet route se vendent pour trois fois rien vive l'AW .. Les interesses peuvent me contacter en prive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Mouais, un peu facile de généraliser ! Les très gros gaspillent, OUI, les très petits Aussi car souvent ont besoin d'un /27 mais ont un /24 pour des raisons de routage. Et très franchement, j'en connais plein dans ce cas ! -- Raphaël Maunier Sent from my iPad On 8 oct. 2012, at 23:48, Jérôme Nicolle jer...@ceriz.fr wrote: Le 08/10/2012 22:55, Raphaël Maunier - Franceix a écrit : C'est mal de mentir au ripe. Il faut arrêter de penser que de Le fait de devenir LIR est la solution ultime pour avoir des ipv4. Je pense au contraire que c'est une excellente chose ! Après tout, c'est avec une floppée de nouveaux membres contraints à se limiter à un espace d'adressage minuscule qu'on a une chance, enfin, de voir le RIPE prendre des décisions contraignante pour remettre au pas les plus gros gaspilleurs de la ressource. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, Oct 8, 2012, at 11:56 PM, Raphaël Maunier wrote: Et bien, qu'ils affectent leurs @ip pour rien et mettre en danger le business pour 3,5 euros ! Ceux qui font ca ils le font parce-que le business est ailleurs. On verra dans 5 ans (??? voir moins ???) s'ils ont eu raison ou non. En tout cas ce n'est pas avec du transit qu'ils arrivent a vivre aujourd'hui. Pour demain, leur mot d'ordre c'est on verra. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Mon, Oct 8, 2012, at 11:48 PM, Jérôme Nicolle wrote: des décisions contraignante pour remettre au pas les plus gros gaspilleurs de la ressource. 1. Trop tard 2. Inutile Par contre, rien de mieux que le gaspillage de v4 en periode de crise pour pousser l'implementation d'IPv6. Et tant pis pour les victimes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Puisqu'on est vendredi, signalons également une nouveauté dans la version 3.6 du noyau Linux : 127.0.0.0/8 est désormais routable ! Le message du commit (sur http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=d0daebc3d622f95db181601cb0c4a0781f74f758 ) explique tout bien : Routing of 127/8 is tradtionally forbidden, we consider packets from that address block martian when routing and do not process corresponding ARP requests. This is a sane default but renders a huge address space practically unuseable. Voilà un palliatif concret à la raréfaction des IPv4 disponibles ! -- Théophile Helleboid --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Fri, Oct 5, 2012 at 1:25 PM, Théophile Helleboid chti...@gmail.com wrote: Puisqu'on est vendredi, signalons également une nouveauté dans la version 3.6 du noyau Linux : 127.0.0.0/8 est désormais routable ! This is a sane default but renders a huge address space practically unuseable. J'ai une question idiote, tant qu'on est vendredi. Dans ce même kernel, est-ce que la classe E est assignable et routable ? Quitte à faire, hein.. :) -- Aurélien Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Il existait déjà une autre mise en oeuvre de NAT66 pour Linux http://nfnat66.sourceforge.net/. J'ignore pourquoi c'est celle-ci qui a été intégrée dans le noyau officiel. Probablement car la version intégrée est plus élégante (notamment la gestion du NAT par un core de code indépendant du protocole). Et certainement aussi car il est plus simple de faire rentrer un patch quand on est un ancien et régulier contributeur à netfilter/noyau. -- Florent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le nat ne devrait pas disparaitre avec l'IPv6 et transformé en routage + firewall? Le 5 octobre 2012 15:28, Florent Fourcot fr...@flo.fourcot.fr a écrit : Il existait déjà une autre mise en oeuvre de NAT66 pour Linux http://nfnat66.sourceforge.net/. J'ignore pourquoi c'est celle-ci qui a été intégrée dans le noyau officiel. Probablement car la version intégrée est plus élégante (notamment la gestion du NAT par un core de code indépendant du protocole). Et certainement aussi car il est plus simple de faire rentrer un patch quand on est un ancien et régulier contributeur à netfilter/noyau. -- Florent. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Linux ne fait pas de distinctions entre mauvais et bons admin. /dredi Le 5 octobre 2012 16:04, jean rave jeanr...@gmail.com a écrit : Le nat ne devrait pas disparaitre avec l'IPv6 et transformé en routage + firewall? Le 5 octobre 2012 15:28, Florent Fourcot fr...@flo.fourcot.fr a écrit : Il existait déjà une autre mise en oeuvre de NAT66 pour Linux http://nfnat66.sourceforge.net/. J'ignore pourquoi c'est celle-ci qui a été intégrée dans le noyau officiel. Probablement car la version intégrée est plus élégante (notamment la gestion du NAT par un core de code indépendant du protocole). Et certainement aussi car il est plus simple de faire rentrer un patch quand on est un ancien et régulier contributeur à netfilter/noyau. -- Florent. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
jean rave, le Fri 05 Oct 2012 16:04:47 +0200, a écrit : Le nat ne devrait pas disparaitre avec l'IPv6 et transformé en routage + firewall? C'est expliqué sur la page de Sétphane: http://www.bortzmeyer.org/6296.html Il y a des situations où ça reste utile, juste pas pour masquerader, et du coup ça enlève la majeure partie des emmerdements du NAT. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 5 octobre 2012 16:09, Thomas Barandon t.baran...@gmail.com a écrit : Linux ne fait pas de distinctions entre mauvais et bons admin. Troll unleashed. Je pense qu'on est à peu près tous d'accord : l'adressage avec des IPs publique évite bien des problèmes et est plus propre et que le NAT n'est ni un mécanisme de sécurité, ni parfait lorsqu'on se tasse derrière une FAI-box qui NAT faute d'avoir assez d'IP publiques. Mais le problème ici, c'est que certains se sont habitués au NAT44 et du coup ils veulent du NAT66. On peut aussi imaginer des cas où des réseaux te fournissent 1 IPv6. Dans ce cas tu fais quoi si tu veux avoir un réseau derrière ? Bah tu NAT66... bêtement et hontesement, non ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
J'ai une question idiote, tant qu'on est vendredi. Dans ce même kernel, est-ce que la classe E est assignable et routable ? Quitte à faire, hein.. :) Assignable oui, à condition d'utiliser la commande ip et pas ifconfig (qui refuse ces adresses). Routable également, sans conditions particulières. Et d'ailleurs le premier routeur que je traverse accepte ces paquets, ils ne disparaissent du traceroute qu'au second. -- Florent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On 2012-10-05 16:17, Jérémie Marguerie wrote: On peut aussi imaginer des cas où des réseaux te fournissent 1 IPv6. Dans ce cas tu fais quoi si tu veux avoir un réseau derrière ? Bah tu NAT66... bêtement et hontesement, non ? c'est pas un peu debile de faire ca ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Attribuer 1 ipV6 à chaque connexion est une erreur, il faut au moins attribuer un /122 Si le client veut exploiter un minimum l'ipv6 il faut qu'il puisse utiliser des adresses. Il faut oublier les limitations de l'ipv4 Il est vrai quand on se lance sur l'ipv6 on est tenté d'utiliser du nat, mais à l'usage on se complique la vie le nat66 c'est la mal Le 5 octobre 2012 16:32, sxpert sxp...@sxpert.org a écrit : On 2012-10-05 16:17, Jérémie Marguerie wrote: On peut aussi imaginer des cas où des réseaux te fournissent 1 IPv6. Dans ce cas tu fais quoi si tu veux avoir un réseau derrière ? Bah tu NAT66... bêtement et hontesement, non ? c'est pas un peu debile de faire ca ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 5 octobre 2012 16:17, Jérémie Marguerie jere...@marguerie.org a écrit : Le 5 octobre 2012 16:09, Thomas Barandon t.baran...@gmail.com a écrit : Linux ne fait pas de distinctions entre mauvais et bons admin. Troll unleashed. On peut aussi imaginer des cas où des réseaux te fournissent 1 IPv6. Dans ce cas tu fais quoi si tu veux avoir un réseau derrière ? Bah tu NAT66... bêtement et hontesement, non ? c'est déjà la pénurie ? :) ou peu être nat66 d'un réseau ipv6 privé vers 1 ipv6 public :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
2012/10/5 Florent Fourcot fr...@flo.fourcot.fr: J'ai une question idiote, tant qu'on est vendredi. Dans ce même kernel, est-ce que la classe E est assignable et routable ? Quitte à faire, hein.. :) Assignable oui, à condition d'utiliser la commande ip et pas ifconfig (qui refuse ces adresses). Cool :) Je me suis fait tromper par mon ifconfig, alors :) -- Aurélien Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 5 octobre 2012 16:43, Pascal Rullier pas...@rullier.net a écrit : ou peu être nat66 d'un réseau ipv6 privé vers 1 ipv6 public :) Mais là encore, pourquoi s'embêter à utiliser un adressage privé (et tous les emmerdes qui arrivent avec) alors qu'on a des plages d'adressage si grandes ? -- Jérémie MARGUERIE Étudiant à l'EPITA, ing3 SRS, r...@acu.epita.fr Everybody loves MitM jokes. Well, everybody except Alice and Bob that is... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Fri, 5 Oct 2012 16:17:02 +0200, Jérémie Marguerie jere...@marguerie.org wrote: Mais le problème ici, c'est que certains se sont habitués au NAT44 et du coup ils veulent du NAT66. On peut aussi imaginer des cas où des réseaux te fournissent 1 IPv6. Dans ce cas tu fais quoi si tu veux avoir un réseau derrière ? Bah tu NAT66... bêtement et hontesement, non ? Pour protéger des LAN IPv6 en adressage public il faut déployer RA-Guard plus une véritable solution de firewall statefull. Ce qu'on aurait toujours dû faire si il avait existé des IPv4 en quantités suffisantes. Se croire en sécurité avec un NAT... , autant se protéger des météorites avec un panneau en carton. Cordialement, Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 5 octobre 2012 16:48, Solarus sola...@ultrawaves.fr a écrit : Se croire en sécurité avec un NAT... , autant se protéger des météorites avec un panneau en carton. Certains y croient... Certains vendent des panneaux en carton... Les premiers achètent les panneaux des 2ièmes :) Ne sabote pas le bussiness... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Bonjour, On Fri, Oct 05, 2012 at 04:15:13PM +0200, Samuel Thibault wrote: jean rave, le Fri 05 Oct 2012 16:04:47 +0200, a écrit : Le nat ne devrait pas disparaitre avec l'IPv6 et transformé en routage + firewall? C'est expliqué sur la page de Sétphane: http://www.bortzmeyer.org/6296.html Il y a des situations où ça reste utile, juste pas pour masquerader, et du coup ça enlève la majeure partie des emmerdements du NAT. Oui!, typiquement quand on a plusieurs serveurs load-balancés et qu'on souhaite qu'ils partagent les mêmes IPs source en sortie et/ou assigner des IPs source différentes en fonction du service tapé en sortie (http, smtp, ...). Ça permet de ne pas ajouter des proxies en sortie quand une simple règle netfilter fait l'affaire. Sylvain signature.asc Description: Digital signature
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Fri, Oct 5, 2012, at 04:41 PM, jean rave wrote: Attribuer 1 ipV6 à chaque connexion est une erreur, il faut au moins attribuer un /122 Le minimum legal c'est un /64 (un seul subnet) Le minimum syndical c'est un /60 Un /56 pour home-users/very small business devra pas poser des problemes a quasiment personne. Pour les ayatollahs c'est /48 ou rien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Bonjour, Le 5 oct. 2012 à 18:49, Radu-Adrian Feurdean a écrit : On Fri, Oct 5, 2012, at 04:41 PM, jean rave wrote: Attribuer 1 ipV6 à chaque connexion est une erreur, il faut au moins attribuer un /122 Le minimum legal c'est un /64 (un seul subnet) Euh... Peux-tu définir légal s'il te plait ? Les RFC ? Le RIPE ? La loi ? Merci ! Le minimum syndical c'est un /60 Un /56 pour home-users/very small business devra pas poser des problemes a quasiment personne. Pour les ayatollahs c'est /48 ou rien. Pour ceux qui ont reçu un minimum légal /64 et qui veulent le redécouper, en pratique c'est plutôt /96 ! ;) Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
On Fri, Oct 5, 2012, at 07:00 PM, Emmanuel Thierry wrote: Euh... Peux-tu définir légal s'il te plait ? Les RFC ? Le RIPE ? La loi ? RFC (notamment 4291), autres standards dependant des /64 (SLAAC co), les reccomandations de la communaute (qui vont parfois jusqu'a /64 or die). --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Bonsoir, Stephane Bortzmeyer bortzme...@nic.fr : [...] Il existait déjà une autre mise en oeuvre de NAT66 pour Linux http://nfnat66.sourceforge.net/. J'ignore pourquoi c'est celle-ci qui a été intégrée dans le noyau officiel. L'auteur de nfnat66 a signalé une première réalisation en juillet 2011, il n'a pas inclus de patch pour intégrer son code et il n'est pas réapparu depuis. Le code retenu a été l'objet de plusieurs itérations de la part d'un contributeur régulier. -- Ueimor --- Liste de diffusion du FRnOG http://www.frnog.org/