Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 24/09/2014 08:05, Raphael Maunier a écrit : En pratique, l’utilisation d’IPv6 reste très anecdotique en entreprise, je dirais meme quasi nul ! Disons que l'utilisation assumée reste très anecdotique. Le fait est que tous les systèmes récents ont une pile IPv6 active par défaut donc qu'il y a surement du trafic v6 sur la plupart des réseaux locaux... Par exemple, sauf erreur de ma part, tout OS Windows récent parlera à son contrôleur de domaine en v6 quitte à utiliser une encapsulation 6to4.. Bref que les entreprises en veuillent ou non, IPv6 est déjà dans les murs, il reste à le traiter convenablement.. Jérôme smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Je vous invite à me slaper bien fort si la suite de ce message est un gros amont de bullshit. Il est vrai qu'ipV6 gagnerais à se développer sur le nainternet, manque de bloc, anycast et toutitquenti. Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Après, il est vrai que niveau front-office, je pense que de proposer les services externe en IPv6 peut se faire relativement simplement. Cordialement Alexis Lameire Le 25 septembre 2014 10:06, Jérôme BERTHIER jerome.berth...@inria.fr a écrit : Le 24/09/2014 08:05, Raphael Maunier a écrit : En pratique, l’utilisation d’IPv6 reste très anecdotique en entreprise, je dirais meme quasi nul ! Disons que l'utilisation assumée reste très anecdotique. Le fait est que tous les systèmes récents ont une pile IPv6 active par défaut donc qu'il y a surement du trafic v6 sur la plupart des réseaux locaux... Par exemple, sauf erreur de ma part, tout OS Windows récent parlera à son contrôleur de domaine en v6 quitte à utiliser une encapsulation 6to4.. Bref que les entreprises en veuillent ou non, IPv6 est déjà dans les murs, il reste à le traiter convenablement.. Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 25/09/2014 10:22, Alexis Lameire a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... C'est un des arguments courant du non passage à ipv6 sur des réseaux dit privés. La réponse est simple : tu firewall ou tu ne route pas. Tu peux même faire comme dans les grosses boites du CAC, aucun sortie sur Internet pour le back office, passage obligatoire par des proxys. Rien ne t'oblige à exposer l'ensemble de ton range v6 sur Internet. Pour la notation : on s'y fait très vite, surtout si tu as bien penser ton plan d'adressage. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Le 25 sept. 2014 à 10:22, Alexis Lameire a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. 1/ Ça ne me dérange pas de laisser visible mon IPv6 temporaire générée toutes les n minutes. Qui est au passage la seule adresse que j'utilise pour me connecter en IPv6 de mes ordinateurs à mes comptes mails, services web, etc (au passage, je n'ai rien configuré, c'est par défaut sous Mac OS X, Ubuntu et d'autres distributions Linux, Windows) 2/ Ça ne me dérange pas non plus de laisser un attaquant itérer sur l'espace de 2^64 adresses IPv6 de mon subnet IPv6 (pour l'instant il y a des heuristiques pour faciliter le parcours en se basant sur le fait que la génération utilise les adresses MAC mais c'est bientôt fini du fait des travaux à l'IETF). A titre de comparaison, l'ordre de grandeur pour le parcours de l'Internet IPv4 (~2^32 adresses) sur une connexion fibre 10G est de 45 minutes : [http://events.ccc.de/congress/2013/Fahrplan/events/5533.html] . Je vous laisse inférer le temps nécessaire pour un parcours de 2^64 adresses. 3/ Enfin ma box est accessible via une adresse PREFIX::1 mais rien n'oblige à utiliser une adresse aussi simple pour adresser un routeur, et même rien n'oblige à adresser un routeur, lequel peut très bien s'accommoder de n'avoir que des adresses link-local sur ses interfaces (bon, ça pose problème si on veut l'administrer) Dans tout ça, où est le besoin de masquer le réseau interne ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Alexis Lameire, le Thu 25 Sep 2014 10:22:06 +0200, a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. Non. Vraiment. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. C'est n'est pas lié à IPv6. Si tu veux vraiment faire comme en IPv4, tu peux te faire du NAT en IPv6 aussi. Mais quelle protection du NAT apporte-t-il par rapport à un firewall ? (dont j'ose supposer que tu en as déjà un) De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Samuel Thibault, le Thu 25 Sep 2014 12:41:32 +0200, a écrit : De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. (avec le même problème quand il s'agira de fusionner avec une autre boîte, si tu ne le prends pas unique comme recommandé). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Je m'excuse de ne pas avoir été clair, je ne fais juste que signaler des éléments qui sont des frein, je ne suis pas forcément d'accord avec tout les éléments, en particulier le NAT, dans la plupart des boites sérieuses c'est proxy only + firewall, donc le NAT voilà. Après l'espace d'adressage étendue, c'est sur que sa facilite les merge de boite voilà voilà Cordialement Alexis Lameire Le 25 septembre 2014 12:47, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Samuel Thibault, le Thu 25 Sep 2014 12:41:32 +0200, a écrit : De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. (avec le même problème quand il s'agira de fusionner avec une autre boîte, si tu ne le prends pas unique comme recommandé). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Je reviens à la question initiale Il parait qu'il y a des cas de figure ou l'on peut légitimement réserver un bloc sans le router, hors des blocs réservés En IPv4 la question parait raisonnable, mais il suffit de raisonner en IPv6 pour se rappeler que toutes les RFC citées sont des verrues destinées à contourner la limite imposée par un encodage en 32bit et une gestion calamiteuses des affectations de bloc par l'IANA au début des années 80-90 (un /8 au service des pensions UK, WTF !) Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Exemple type : interco SIP entre opérateurs. T'as pas forcément envie de mettre ça dans la DFZ, pour autant si tu le fais en RFC1918, t'es mort y aura toujours un opérateur pour utiliser ton bloc ailleurs. RFC3330 ? Oui bon, mais là encore tout opérateur digne de ce nom a adressé son lab dans ce bloc, comme ça c'est routable sur son backbone, mais surtout pas annoncé dans la DFZ RFC je sais pas quoi = tu trouveras toujours un mec qui l'utilise, légitimement pour des besoins internes, vu que c'est pas overlapable par définition, donc utilisable en interne sans demander l'affectation du bloc. Prends le 37.49.232.0/21 (Lan FranceIX) : il est forcément routé dans la DFZ. Imagine un IX pour autre chose que du flux Internet (voip est un bon exemple car des intercos existent en SS7, mais un projet d'IX pour de la VOIP, pour remplacer tout ça, sera un vrai sujet à l'avenir), tu n'as pas forcément envie que depuis la DFZ tu puisses joindre les intercos VoiP opérateurs. On raisonne avec un seul layer d'IX, de transit ou de peering (Internet) hors c'est tout à fait logique d'imaginer des layers dédiés à des usages différents (ex : un IX d'annonce de routes multicast pour de la TVIP directement depuis les chaines TV, sur des groupes multicast public, un IX Voice, etc...). Le 25 septembre 2014 13:46, Alexis Lameire alexis.lame...@gmail.com a écrit : Bonjour, Je m'excuse de ne pas avoir été clair, je ne fais juste que signaler des éléments qui sont des frein, je ne suis pas forcément d'accord avec tout les éléments, en particulier le NAT, dans la plupart des boites sérieuses c'est proxy only + firewall, donc le NAT voilà. Après l'espace d'adressage étendue, c'est sur que sa facilite les merge de boite voilà voilà Cordialement Alexis Lameire Le 25 septembre 2014 12:47, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Samuel Thibault, le Thu 25 Sep 2014 12:41:32 +0200, a écrit : De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. (avec le même problème quand il s'agira de fusionner avec une autre boîte, si tu ne le prends pas unique comme recommandé). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Le 25 sept. 2014 à 14:12, Guillaume Barrot a écrit : Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Je pense que la bonne dénomination est routables sur Internet, à la différence des RFC1918 qui sont non routables sur Internet [/grammar_nazi] Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Thu, Sep 25, 2014, at 14:25, Emmanuel Thierry wrote: Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Je pense que la bonne dénomination est routables sur Internet, à la différence des RFC1918 qui sont non routables sur Internet Non, la definition correcte est globalement uniques, contrairement aux RFC1918, qui ne sont PAS globalement uniques, et qu'il convient de ne pas annoncer sur Internet (mais ils sont bien routables sur Internet, et annonces de temps en temps a cause de gens qui ont oublie de faire ce qu'il faut. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
En tant qu’opérateur BtoB, tu dois effectivement prôner l’utilisation d’IPv6 et éduquer tes clients. Tu t’efforces également d’éduquer les nouveaux clients, de faire du lobbying pour tes clients existants en passant du temps à faire de la communication technique. Je l’ai fais dans un précédent job, comme par exemple par défaut affecter un bloc IPv6 et en l’indiquant au client. Cela a eu plusieurs avantages comme : - Une meilleure place dans les rankings d’opérateurs, - Une bonne réputation ( tech compétents ) - Rajouter du blabla dans le discours des commerciaux - … En pratique, l’utilisation d’IPv6 reste très anecdotique en entreprise, je dirais meme quasi nul ! Je ne crois pas que cela changement rapidement et qu’on est bien barré pour s’y coller encore qq années sur un status qu’il s’agit d’un protocole du “futur” alors que c’est maintenant :) Depuis le temps que je vois la lente, lente et … lente progression d’IPv6, je commence à penser que ce sera une utilisation brutale que nous allons avoir. Un “géant” va basculer du jour au lendemain des nouveaux services en IPv6 avec plus de fonctionnalités qu’IPv4, et l’aura planifié avec qq grand Eyeballs et bam, les autres suivront rapidement. Il y a des gens compétents dans toutes les entreprises qui maitrisent ce protocol, et leur direction verra enfin une motivation autre que le ROI ( genre survivre ) pour affecter des ressources sur son implémentation. Pour ce qui est de la récupération de blocs historique, on va récupérer effectivement qq blocs ( on a tous vu des réseaux de gros industriels avec des ip publiques sur les imprimantes et bien sur dans un gros /16 ), mais bon c’est un épiphénomène comparativement à ce que nous consommons et allons consommer dans les prochaines … semaines :) ! Donc, Le Nainternet saura s’adapter en tres peu de temps le jour ou… Zero inquietude ! ( bon il y aura un peu de casse, mais pas grand chose ) Raphael On 24 Sep 2014, at 01:20, Christophe t...@stuxnet.org wrote: Bonsoir, Le 23/09/2014 14:15, Stephane Bortzmeyer a écrit : Non. Laissons IPv4 tranquille, aucune raison de persécuter les malheureux qui l'utilisent encore, et occupons-nous du protocole d'aujourd'hui (IPv6). Voila une remarque constructive. Pour ma part, ce n'est pas comme si je tentais de prôner la bonne parole autour de moi depuis plus de 5 ans, et que tout le monde s'en fout ... (et je ne suis pas admin réseaux de formation) Pire, même encore maintenant, je suis convaincu que bon nombre d'admin sys/réseaux, ne se sont même pas penchés sur la question. Et quand je vois ce qui peut encore se vendre sur le Web comme étant des routeurs, ça me fout réellement la chair de poule. Loin de moi l'idée du terme evangelist (Beurk). Je m’intéresse seulement de toute part à ce qu'est Internet, et tiens à ce qu'il reste tel que les concepteurs l'ont imaginé au départ ; Un échange de données entre deux points du réseau. A mon sens, c'est juste ce qu'on demande au Réseau des réseaux peut importe ce qu'il y transite et de quelle façon. Ces tentatives désespérées de vouloir à tout prix conserver IPv4 ne font que reculer, reculer, reculer, pour sauter dans un gouffre sans fond à un moment donné, étant donné le nombre de rustines déjà conséquentes (et les problématiques qui vont avec) mises en place pour le conserver, et ça ne date pas d'hier. Je ne dirais jamais assez que le commerce a pris le pas sur la technique. La tendance est bien malheureusement que la technique doit se plier au commerce, que les intermédiaires sont entre deux feux, et n'ont probablement pas les moyens de s'investir dans ce genre d'évolutions. Sauf qu'à un moment donné, la technique prendra nécessairement le pas. Quand le commerce obtiendra des réponses négatives systématiques à la majorité de leur demande, le commerce prendra conscience probablement trop tard que les alertes soulevées par la technique dans le passé deviennent (très) problématiques et que cela va vite nuire au chiffre. L'anticipation est à mon sens le maître mot, surtout en ce qui concerne ce sujet qui est encore considéré pour beaucoup, comme une lubie de Geek fondamentalement asocial. (autant je pouvais le concevoir il y a 5 ans ... mais maintenant ?) Aucune attaque contre qui que se soit dans ces remarques ; Le monde des opérateurs est de loin bien plus évolué dans ce domaine que mon simple jugement de ce qu'il se passe d'une manière générale. Reste que je suis connecté en IPv6 à titre personnel depuis déjà bien des années, et qu'il me semble totalement inconcevable, à ce jour de passer à côté. A bientôt. Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y a des exceptions, mais comme les DSI disent : non on a pas que ça a faire de jouer avec l'IPv6... Jusqu'au jour ou : merde ! y a un client qui m'as envoyé chier car mon soft payé 2Md€ ne marche pas sur ipv6. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. Et côté ipv4 ? Oui vous avez raison, faut pas s’en occuper. Sauf que les gros LIR ont de la réserve et donc un Orange se permet encore de filer un /29 à n’importe quel client SDSL de base (d’après ce que je sais). Et une fois qu’ils auront épuisé tout, ils auront encore des moyens de libérer des blocs peu ou pas utilisés en interne. Les petits (et les moyens dans une moindre mesure) LIR par contre, ils vont l’avoir dans l’os eux: pas de réserve de chacal pour l’hiver. D’autant plus que je pense que la croissance en nouveaux clients des petits est plus forte que chez les gros LIR. On va donc arriver à une jolie situation où le gros LIR va devenir commercialement plus fort parce qu’il aura encore des v4, alors que le petit ne pourra plus proposer que du v6 en annonçant que certaines ressources pourraient être inaccessibles. Ou alors NAT64 et tout le merdier technique, ou alors recours juridique ou au régulateur (où est-il d’ailleurs ?). Oui je suis un peu pessimiste. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. Côté 3G/4G, on en est où ? Nul part je parie :) Le 24 sept. 2014 à 10:56, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y a des exceptions, mais comme les DSI disent : non on a pas que ça a faire de jouer avec l'IPv6... Jusqu'au jour ou : merde ! y a un client qui m'as envoyé chier car mon soft payé 2Md€ ne marche pas sur ipv6. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Hello David, Le 24 sept. 2014 à 11:34, David Ponzone david.ponz...@gmail.com a écrit : Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. C'est Work in progress (comme la pub intel avec la barre de progression)... ETA inconnue :) Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pourtant c'est pas compliqué, déjà s'ils avaient leur DNS en IPv6 ca serait déjà un début... Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. +1 (...) Oui je suis un peu pessimiste. Je suis d'accord avec toi. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. +1 Côté 3G/4G, on en est où ? Nul part je parie :) v0x avais fait un joli speech la dessus a une frnog. En gros les soft sur téléphone sont tellement habitué aux 2000 couches de NAT que d'avoir une ip sans NAT ne sert a rien. Ceci dit ca augmente la complexité du codes de ces applis c'est sûr. Donc pour la 3/4G, rien, et ils vont rien proposer... De toute façon tout le monde s'en tappe... (et puis quand la 3/4G sera vraiment utilisable a 100% du temps, les poules auront des dents...mais c'est que mon avis perso). Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Généralement je suis assez remonte contre le régulateur pour lequel j'ai un certain nombre de griefs dont celui de foutre le bordel dans une industrie dont il a démontré a maintes et maintes reprises qu'il ne comprend finalement pas grand choses... C'est un point de vue personnel qui n'engage que moi bien entendu. Ce caveat mis a part, le régulateur n'est pas la tout simplement parcequ'en ce qui concerne le Nainternet ce n'est pas dans son domaine d'intervention. Combien de fois avons nous parle ici même du sujet j'ai un AS mais je suis pas déclaré opérateur? La question des ressources IP au contraire du plan de num est sous contrôle d'une boîte privée qui en délégué la gestion régionale a des associations. Remettre la main sur cette compétence que d'aucuns pourraient considérer comme régalienne est assez improbable. Donc a moins d'une décision unilatérale du propriétaire des ip du monde qui reviendrait a dire la 01/01/2020 par exemple on éteins la lumière sur v4, même avec ça je ne sais pas comment la chose pourrait être menée à bien. Bref tant qu'on aura des DSI qui gèrent des budgets au lieu de gérer leurs SI, v4 est très loin de mourir! Le 24 sept. 2014 à 11:34, David Ponzone david.ponz...@gmail.com a écrit : Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. Et côté ipv4 ? Oui vous avez raison, faut pas s’en occuper. Sauf que les gros LIR ont de la réserve et donc un Orange se permet encore de filer un /29 à n’importe quel client SDSL de base (d’après ce que je sais). Et une fois qu’ils auront épuisé tout, ils auront encore des moyens de libérer des blocs peu ou pas utilisés en interne. Les petits (et les moyens dans une moindre mesure) LIR par contre, ils vont l’avoir dans l’os eux: pas de réserve de chacal pour l’hiver. D’autant plus que je pense que la croissance en nouveaux clients des petits est plus forte que chez les gros LIR. On va donc arriver à une jolie situation où le gros LIR va devenir commercialement plus fort parce qu’il aura encore des v4, alors que le petit ne pourra plus proposer que du v6 en annonçant que certaines ressources pourraient être inaccessibles. Ou alors NAT64 et tout le merdier technique, ou alors recours juridique ou au régulateur (où est-il d’ailleurs ?). Oui je suis un peu pessimiste. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. Côté 3G/4G, on en est où ? Nul part je parie :) Le 24 sept. 2014 à 10:56, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y a des exceptions, mais comme les DSI disent : non on a pas que ça a faire de jouer avec l'IPv6... Jusqu'au jour ou : merde ! y a un client qui m'as envoyé chier car mon soft payé 2Md€ ne marche pas sur ipv6. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Euh, j’ai jamais dit que je parlais de l’ARCEP :) Le RIPE est censé être le gendarme des IP non ? Mais par faute de moyens je pense, ils ne le font pas (pas vraiment). Pourquoi les gros (et moyens) LIR se permettent depuis des années de filer des /29 à des clients SDSL sans même se poser la question de leur besoin réel ? Tant que c’est en dessous de leur assignment window, personne ne leur dit rien. L’abus (ou incompétence) technique devient un avantage commercial. Le 24 sept. 2014 à 13:04, Sebastien Lesimple slesim...@laposte.net a écrit : Généralement je suis assez remonte contre le régulateur pour lequel j'ai un certain nombre de griefs dont celui de foutre le bordel dans une industrie dont il a démontré a maintes et maintes reprises qu'il ne comprend finalement pas grand choses... C'est un point de vue personnel qui n'engage que moi bien entendu. Ce caveat mis a part, le régulateur n'est pas la tout simplement parcequ'en ce qui concerne le Nainternet ce n'est pas dans son domaine d'intervention. Combien de fois avons nous parle ici même du sujet j'ai un AS mais je suis pas déclaré opérateur? La question des ressources IP au contraire du plan de num est sous contrôle d'une boîte privée qui en délégué la gestion régionale a des associations. Remettre la main sur cette compétence que d'aucuns pourraient considérer comme régalienne est assez improbable. Donc a moins d'une décision unilatérale du propriétaire des ip du monde qui reviendrait a dire la 01/01/2020 par exemple on éteins la lumière sur v4, même avec ça je ne sais pas comment la chose pourrait être menée à bien. Bref tant qu'on aura des DSI qui gèrent des budgets au lieu de gérer leurs SI, v4 est très loin de mourir! Le 24 sept. 2014 à 11:34, David Ponzone david.ponz...@gmail.com a écrit : Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. Et côté ipv4 ? Oui vous avez raison, faut pas s’en occuper. Sauf que les gros LIR ont de la réserve et donc un Orange se permet encore de filer un /29 à n’importe quel client SDSL de base (d’après ce que je sais). Et une fois qu’ils auront épuisé tout, ils auront encore des moyens de libérer des blocs peu ou pas utilisés en interne. Les petits (et les moyens dans une moindre mesure) LIR par contre, ils vont l’avoir dans l’os eux: pas de réserve de chacal pour l’hiver. D’autant plus que je pense que la croissance en nouveaux clients des petits est plus forte que chez les gros LIR. On va donc arriver à une jolie situation où le gros LIR va devenir commercialement plus fort parce qu’il aura encore des v4, alors que le petit ne pourra plus proposer que du v6 en annonçant que certaines ressources pourraient être inaccessibles. Ou alors NAT64 et tout le merdier technique, ou alors recours juridique ou au régulateur (où est-il d’ailleurs ?). Oui je suis un peu pessimiste. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. Côté 3G/4G, on en est où ? Nul part je parie :) Le 24 sept. 2014 à 10:56, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Wed, Sep 24, 2014, at 13:11, David Ponzone wrote: Le RIPE est censé être le gendarme des IP non ? Non. RIPE NCC est une association (enregistre, statut legal) dont le but est de mettre en ouvre les politiques mise en place par la communaute RIPE. Pas plus. RIPE (sans NCC, la communaute) n'existe pas juridiquement, toute personne ayant acces a Internet et a l'email etant libre de se joindre a la fete. C'est elle qui a le pouvoir de decision. Si ca resemble un peu a l'anarchie, faut se souvenir juste que ca fait plus de 20 and que CA MARCHE comme ca Mais par faute de moyens je pense, ils ne le font pas (pas vraiment). Pourquoi les gros (et moyens) LIR se permettent depuis des années de filer des /29 à des clients SDSL sans même se poser la question de leur besoin réel ? Parce qu'ils peuvent, et parce-que la communaute n'a pas considere jusqu'a maintenant que ca soit un probleme. Et aussi parce-que les gros ont les ressources de payer de gens a veiller pour que ca ne change pas. Rappel: la RIPE NCC GM de Nov 2011, ou ils ont quand-meme reussi a faire passer le mode de facturation meme montant pour tous, peu importe la taille. Ils n'etait pas tous seuls, et contrairement aux petits, ils votaient dans un beaucoup plus grand pourcentage. L’abus (ou incompétence) technique devient un avantage commercial. Ca, un peu partout. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 24/09/2014 14:17, Radu-Adrian Feurdean wrote: RIPE (sans NCC, la communaute) n'existe pas juridiquement, toute personne ayant acces a Internet et a l'email etant libre de se joindre a la fete. C'est elle qui a le pouvoir de decision. Si ca resemble un peu a l'anarchie, faut se souvenir juste que ca fait plus de 20 and que CA MARCHE comme ca C'est pas de l'anarchie, c'est une société (au sens large) dont les membres ont un droit de vote. Et c'est qui les membres, ce sont les LIR, c'est nous, tous, là, qui lisons FRNog. Alors au lieu de nous plaindre ouin le Ripe fait pas son boulot, il aurait fallu lire les listes où la marchandisation des ressources de numérotation a été discutée, et venir voter aux assemblées pour dire non aux résolutions qui depuis plusieurs années abandonnent la ressource publique au secteur privé. Aujourd'hui non pas le Ripe, mais les LIR qui ont voté, ont décidé que les réseaux dont ils se servaient plus, ils pourraient les vendre sur un marché de pair à pair, et que les petits qui auraient besoin d'adresses pour survivre ils mourraient la gueule ouverte si ils avaient pas les moyens de se faire vendre des ressources qui devraient encore être publiques. Cette abdication c'est la nôtre, pas celle du Ripe. Rappel: la RIPE NCC GM de Nov 2011, ou ils ont quand-meme reussi a faire passer le mode de facturation meme montant pour tous, peu importe la taille. Ils n'etait pas tous seuls, et contrairement aux petits, ils votaient dans un beaucoup plus grand pourcentage. Mais ça c'est logique : s'il y avait proportionnalité des cotisations alors les petits n'auraient plus la moindre chance de représentation puisque le Ripe deviendrait financièrement dépendant des gros. La cotisation égale pour tous ça veut dire que les petits pourraient faire changer les règles, si seulement ils se sortaient les doigts. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) iF4EAREIAAYFAlQivs8ACgkQJBGsD8mtnRESlAD/Untf/FrgR9QBo67ihzyUUMnw 88mGdiTZPKL4L8fRNZsBAKwbJiH/dqACe5GC8bHWn6kyg45q+2iWAfKGpnqu3u2V =SzFC -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 24/09/2014 11:34, David Ponzone a écrit : Autant que je sache, Orange n’est toujours pas prêt. Ils sont prêts. La preuve : ça marche déjà chez Orange Pologne. Seulement tant que personne ne les y contraint, ils ne feront pas le rollout en France. C'est du travail non payé, tu comprends... Un peu l'opposé du régulateur en somme, qui lui fait du non-travail bien payé d'argent public. Jusqu'à preuve du contraire, bien entendu. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Pour les ignorants comme moi, tu peux rappeler rapidement ce que sont les ERX car je ne trouve pas d’informations sur le RIPE, à part des histoires de transfert de vieux blocs depuis ARIN ou le RIPE vers le RIR local (AFRINIC par exemple). Le 22 sept. 2014 à 22:46, Jérôme Nicolle jer...@ceriz.fr a écrit : Bonjour à tous, Avec la raréfaction des ressources IPv4, on commence à être un paquet à lorgner sur des /16 ERX qui n'ont jamais été annoncés de mémoire de RIS. Il parait qu'il y a des cas de figure ou l'on peut légitimement réserver un bloc sans le router, hors des blocs réservés (RFC 990, 1700, 1918, 2544, 3068, 3927, 5737, 5771, 6333, 6598 et 6890). On m'a cité, en vrac : - Pour des VPN [non publics] - Pour des réseaux privés susceptibles de s'interconnecter à d'autres réseaux [non publics] - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 et doit s'interconnecter Bref, que des cas de réseaux non connectés à Internet (par définition, puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Le problème de base est celui de l'unicité de l'adresse. Le registre global d'Internet est bien géré et permet de garantir qu'un bloc n'est pas assigné deux fois. Autant utiliser un registre existant, non ? Mais ça, c'était avant. Là, il y a pénurie. Un réseau d'entreprise, d'administration ou de recherche, n'a pas forcement vocation à _faire partie_ d'Internet. Mais on va bien volontiers s'y interconnecter pour bénéficier de quelques services présents sur ce dernier. Deux possibilités : - NAT : dans ce cas le masquage d'adresses publiques par des adresses du réseau privé est un problème bien réel dans certains réseaux qui ont numéroté au pif sans respecter les RFC. - Passerelles applicatives : les proxy sont parfaits pour lier le web, le mail, la voix et bien d'autres services dès lors qu'ils sont nommés au moyen d'un espace sans collision, c'est à dire par DNS et non par adresses littérales. Alors, si le resolver interne ne connait pas la zone, il répond l'adresse d'un proxy qui lui résout via la racine correspondante. J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine de confiance intégrale dans l'ensemble du réseau, puisqu'on peut déployer RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux proxy, de bout en bout dans un environnement contrôlé bien plus facilement qu'on ne le ferait sur Internet. Il est donc techniquement facile d'interconnecter les services de deux réseaux, mais pas possible simplement d'interconnecter les réseaux eux-même. C'est presque heureux puisqu'on va souvent, dans le cas de l'interconnexion de deux réseaux, vouloir contrôler un peu ce qui passe de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un réseau bien conçu, avec adressage et nommage donc, sera facile à renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le concept de séparation de l'adresse logique et physique : LISP (RFC 6830). Du coup, la fusion de deux réseaux dont les adressages peuvent être en collision passe logiquement par une étape préalable (voir qui aurait du avoir lieu bien avant) : virer les adresses en dur, tout nommer sur le DNS. C'est d'ailleurs une recommandation forte, à défaut d'être considéré comme obligatoire, pour le déploiement d'IPv6 en entreprise. De la même façon, la tenue d'un registre des allocations, du genre avec génération dynamique des zones DNS, s'impose rapidement. Le tableau excel montre trop vite ses limites. C'est une bonne pratique pour tout administrateur réseau, privé ou public, non ? (un appeau à commercial efficient-IP est caché dans ce paragraphe, saurez vous le trouver ?) Reste le cas de l'historique : Avant, il n'y avait pas de NAT. Avant, les proxy étaient chers. Avant, il y avait plein d'adresses. Mais ça... On ne change pas quelque chose qui marche. C'est d'ailleurs bien une des raisons pour lesquelles IPv6 peine à arriver sur le LAN. Depuis ces allocations, on peut légitimement se demander si tout le reste du réseau n'a pas été refait de fond en combles, et que seul l'adressage reste un vestige d'une époque bénie. Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous contrat de maintenance, donc qu'on ne peut plus les utiliser dans une entreprise sérieuse, non ? Du coup, quand on me dit qu'il est normal d'adresser un LAN _non connecté à Internet_ avec des IP publiques, que dois-je en déduire ? Bref, ces ERX et autres reliquats, on vote tous pour leur destruction à la prochaine AG du RIPE ? @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Et donc le problème est que le RIPE ne sait pas qui utilise exactement quoi dans un /16 de ce genre, c’est ça ? Si j’en crois RIPEDB d’ailleurs: # whois -h whois.ripe.net -M 158.156.0.0/16 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the -B flag. % Information related to '158.156.155.0/24AS8220' route: 158.156.155.0/24 descr: CDCGROUPNET origin: AS8220 mnt-by: COLT-FR-MNT source: RIPE # Filtered % Information related to '158.156.162.0/24AS8220' route: 158.156.162.0/24 descr: Route Object origin: AS8220 mnt-by: COLT-FR-MNT source: RIPE # Filtered % Information related to '158.156.172.0/24AS8220' route: 158.156.172.0/24 descr: CDCGROUPNET origin: AS8220 mnt-by: COLT-FR-MNT source: RIPE # Filtered % Information related to '158.156.182.0/24AS8220' route: 158.156.182.0/24 descr: CDCGROUPNET origin: AS8220 mnt-by: COLT-FR-MNT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.75 (DB-1) Hmmm si cela signifie que la CDC n’utilise que 4 /24 dans le /16, c’est effectivement un problème :) Sinon, je vois un lien dans l’enregistrement inetnum du /16: http://www.ripe.net/projects/erx/erx-ip/network-158.html donc je clique dessus naïvement et paf, 404…. C’est pas gagné-gagné. Le 23 sept. 2014 à 10:31, Jérôme Nicolle jer...@ceriz.fr a écrit : Salut David, Le 23/09/2014 07:58, David Ponzone a écrit : Pour les ignorants comme moi, tu peux rappeler rapidement ce que sont les ERX car je ne trouve pas d’informations sur le RIPE, à part des histoires de transfert de vieux blocs depuis ARIN ou le RIPE vers le RIR local (AFRINIC par exemple). Pas de souci. Les ERX sont peu documentés vu que les transferts ont eu lieu il y a un bail maintenant. Ce sont bien les transferts de blocs historiques qui sont enregistrés ERX à l'IANA. Ces enregistrements ont tous été délégués à l'ARIN qui les a ensuite délégué aux RIR appropriés, avec la charge de contractualiser et mettre à jour les infos. Exemple : NetRange: 158.156.0.0 - 158.156.255.255 CIDR: 158.156.0.0/16 OriginAS: NetName:RIPE-ERX-158-156-0-0 NetHandle: NET-158-156-0-0-1 Parent: NET-158-0-0-0-0 NetType:Early Registrations, Transferred to RIPE NCC Comment:These addresses have been further assigned to users in Comment:the RIPE NCC region. Contact information can be found in Comment:the RIPE database at http://www.ripe.net/whois ... C'est donc l'ARIN qui a répondu en disant que le bloc est de la responsabilité du RIPE. Le whois interoge donc le RIPE dans la foulée, ce qui donne : inetnum:158.156.0.0 - 158.156.255.255 status: LEGACY remarks:For information on status: attribute read https://www.ripe.net/data-tools/db/faq/faq-status-values-legacy-resources remarks: remarks:This inetnum has been transfered as part of the ERX. remarks:It was present in both the ARIN and RIPE databases, so remarks:the information from both databases has been merged. remarks:If you are the mntner of this object, please update it remarks:to reflect the correct information. remarks: remarks:Please see the information for this process: remarks:http://www.ripe.net/projects/erx/erx-ip/network-158.html ... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, 2014-09-23 at 11:24 +0200, David Ponzone wrote: Hmmm si cela signifie que la CDC n’utilise que 4 /24 dans le /16, c’est effectivement un problème :) Ca signifie juste que la CDC n'utilise que 4 /24 *publiquement*, dans ce /16, et ca n'indique pas que le reste n'est pas/plus utilisé en interne. C'est pareil chez EDF par exemple, ils ont l'équivalent (de mémoire) d'un /13 en blocs PI, dont seulement un pouillème se retrouve annoncé dans la DFZ Internet... Le problème avec ce genre de raisonnements, c'est que pour leur éviter de se faire emmerder, ils (les titulaires de blocs du marais/erx/legacy/whatever) pourraient juste se contenter d'annoncer la route, sans pour autant l'utiliser de facon effective... et continuer de l'utiliser en privé. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Mon, Sep 22, 2014, at 22:46, Jérôme Nicolle wrote: - Pour des VPN [non publics] - Pour des réseaux privés susceptibles de s'interconnecter à d'autres réseaux [non publics] - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 et doit s'interconnecter Bref, que des cas de réseaux non connectés à Internet (par définition, Les gens ont tendance a confondre publiquement accessible sur Internet avec globallement unique. Les adresses aloues par les RIR (et avant eux par IANA directement) n'ont pas necessairement vocation a etre publiques. Leur vocation est celle d'etre globallement uniques. Permier pas sera donc d'arreter de parler IP publique / IP prive ici meme. puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Par ignorance ? Parce-qu'a la base Internet n'etait pas juste le reseau du porn, spam, warez, malware et DoS, mais une interconnexion de plusieurs reseaux. De nos jour, l'aspect interconnexion etre reseaux ne partageant pas les meme politiques a ete un peu oubliee. Ah, tiens, si on mettait les serveurs DNS/AD de la bien-aimee zone .local dans une des reseaux suivants: - 192.36.148.0/24 - 192.112.36.0/24 - 192.5.5.0/24 (joli !!!) - 192.228.79.0/24 - plein d'autres reseaux commencant par 192.petit numero Huh quoi ? 192.*.*.* c'etait pas tout reserve pour des IP privees ??? Le problème de base est celui de l'unicité de l'adresse. Le registre global d'Internet est bien géré et permet de garantir qu'un bloc n'est pas assigné deux fois. Autant utiliser un registre existant, non ? Mais ça, c'était avant. Là, il y a pénurie. Penurie de quoi ? D'adresses RFC1918 ? C'est hyper-rare. Parce-que le reflexe a la mode aujourd'hui, c'est de mettre systematiquement et sans possibilite d'appel des RFC1918 partout. Le NAT c'est bien-sur le holy grail, meme pour des services qui doivent etre accessibles depuis l'internet par design. - NAT : dans ce cas le masquage d'adresses publiques par des adresses du réseau privé est un problème bien réel dans certains réseaux qui ont numéroté au pif sans respecter les RFC. Parfois aussi dans d'autres qui respectent au moins le RFC1918. - Passerelles applicatives : les proxy sont parfaits pour lier le web, le mail, la voix et bien d'autres services dès lors qu'ils sont nommés au moyen d'un espace sans collision, c'est à dire par DNS et non par Notre produit fait tout (sauf les choses auxquelles le marketing n'a pas pense. Expliquer aussi SSH au marketing que le sans le trafic marque rouge-danger dans l'IDP/IPS/FWNG (coucou PaloAlto) il y a des gens (dont les marketeux eux-memes) qui vont au pole emploi. J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine de confiance intégrale dans l'ensemble du réseau, puisqu'on peut déployer RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux proxy, de bout en bout dans un environnement contrôlé bien plus facilement qu'on ne le ferait sur Internet. ??? Il est donc techniquement facile d'interconnecter les services de deux réseaux, mais pas possible simplement d'interconnecter les réseaux eux-même. Quoi qu'il arrive, ca finit toujours par la casse des bien detestees addresses publiques^Wglobalement uniques. de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un réseau bien conçu, avec adressage et nommage donc, sera facile à renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le concept de séparation de l'adresse logique et physique : LISP (RFC 6830). On ne doit pas vivre sur la meme planete. Sur la mienne, le permier consultat externe qui passe (et qui a forcement raison, parce-qu'il est consultant) va expliquer les bien-faits des addresses IP en dur et de l'addressage RFC1918, meme pour des services qui DOIVENT etre exposes a des tiers. avoir lieu bien avant) : virer les adresses en dur, tout nommer sur le DNS. C'est d'ailleurs une recommandation forte, à défaut d'être considéré comme obligatoire De ce cote de l'univers, il y a plutot le DSI qui decrete on touche rien; ca fait 10 ans que ca marche comem ca et c'est tres bien. pour le déploiement d'IPv6 en entreprise. IPvquoi ? Dans la meme serie: 640K should be enough for everyone. Mon reseau IPX repond a tous nos besoins. Je vois pas l'interet de l'IP. En plus ,de nos jours on m'explique que Il va falloir attendre longtemps avant qu'un client (TPE/PME) demande de l'IPv6, et que donc pas besoin. Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous contrat de maintenance, donc qu'on ne peut plus les utiliser dans une entreprise sérieuse, non ? La machine, oui,ok. Par contre l'appli qui tourne dessus, c'est parfois une totalement autre histoire. Du coup, quand on me dit qu'il est normal d'adresser un LAN _non connecté à Internet_ avec des IP publiques, que dois-je en déduire ? non
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 23/09/14 13:11, Radu-Adrian Feurdean a écrit : Bref, ces ERX et autres reliquats, on vote tous pour leur destruction à la prochaine AG du RIPE ? Non. Yep, tout ça ressemble à une énième chasse aux sorcières en période de pénurie... Je rebondis là dessus du coup. Si les gens mettaient plus d'énergie à déployer IPv6 qu'à chercher des méthodes pour continuer en IPv4, on serait déjà dans le futur. Alors on va dire que beaucoup n'ont pas de problème en IPv4 et ne vont pas faire l'effort de déployer IPv6 et qu'à cause d'eux les autres doivent bien trouver des solutions, mais bon le jour où ces gens se sentiront un peu seuls et derniers de la classe, ça se passera peut-être mieux aussi. Au passage, pas merci aux FAIs qui devraient être les moteurs dans l'histoire parce que leurs eyeballs ont de la valeur pour basculer vers IPv6 aussi, pas juste pour le peering. D'ailleurs comme l'argent est souvent le facteur bloquant, l'état devrait favoriser les FAIs qui fournissent de l'IPv6 aux français et pénaliser les FAIs qui ne le font pas. Le combat se situe là pour moi, les fournisseurs de contenu suivront plus facilement derrière et les gens qui ont besoin de plus d'IPs sont souvent dans ces 2 secteurs. Bien sûr je prends l'exemple de la France, mais ça s'applique à l'Europe tout aussi bien. Avec ces axes on pourrait avancer : - L'Etat/Europe subventionne un peu les FAIs qui fournissent IPv6 et mettent une amende à ceux en retard - Les FAIs refusent de peerer avec les gens qui ne font pas de trafic IPv6 Ca bougerait surement un peu plus de cette manière et on éviterait de bricoler IPv4 continuellement parce que passer à IPv6 n'est pas important pour le business. Les IX pourraient aussi jouer un rôle en offrant une tarification plus avantageuse aux gens qui décident de peerer sur les RS IPv6, pourquoi pas... C'est un peu subjectif et difficile à défendre, mais ça montre un certain engagement. Après y'aura toujours des gens pour tricher et juste monter la session et annoncer un préfixe, mais a contrario ça donne aussi rapidement l'impression qu'IPv6 s'est généralisé et qu'on y arrive. Peut-être ce genre de discussion pourrait être à creuser plus que comment on peut récupérer des IPv4 non ? My 2 cents, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, 2014-09-23 at 13:55 +0200, Frederic Dhieux wrote: Je rebondis là dessus du coup. Si les gens mettaient plus d'énergie à déployer IPv6 qu'à chercher des méthodes pour continuer en IPv4, on serait déjà dans le futur. +1000 Pour moi, il faut laisser les vieux blocs où ils sont. Et surtout ne pas chercher à les récupérer/réutiliser pour donner un énième sursis à IPv4. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, Sep 23, 2014, at 13:11, Radu-Adrian Feurdean wrote: Les gens ont tendance a confondre publiquement accessible sur Internet avec globallement unique. ... puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Par ignorance ? Parce-qu'a la base Internet n'etait pas juste le reseau du porn, spam, warez, malware et DoS, mais une interconnexion de plusieurs reseaux. De nos jour, l'aspect interconnexion etre reseaux ne partageant pas les meme politiques a ete un peu oubliee. Pour clarifier un peu mes propos, imaginez un instant une entite (boite, administration, .), qui n'a variment rien a faire de l'Internet (le vrai), mais qui doit s'interconnecter avec quelques centaines (voire milliers) d'entites externes. Une partie de ces entites sont de taille comparable, voire parfois superieure. Traduction barbare : mon 10.10.10.1 doit parler avec ton 10.10.10.2 x 1000. Bien-sur dans chaque cas, il y a X adresses d'un cote qui doivent communiquer avec Y adresses de l'autre, et que bien-sur, ca se passe pas dans un seul endroit, mais dans plusieurs. Les autres entites connectes ne veulement pas se parler entre eux non-plus (ou pas via l'entite a laquelle se conenctent tous). Les interconnectes etant divers et varies, certains peuvent bien vouloir interconnecter toute ou une partie de leur infra au vrai Internet, certains non. On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. Voila comment on peut arriver a utiliser des adresses globalement uniques (aussi connues sur le nom IPs publiques) pour des reseaux qui ne sont pas visibles sur le vrai Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Remarque c’est pas con si tu veux augmenter ta productivité: tu numérotes en interne avec les IP de Facebook :) Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, Sep 23, 2014, at 14:33, Clement Cavadore wrote: - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Meme le cas d'ecole, de memoire est bien reel: le 51/8 de la secu britannique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonsoir, Le 23/09/2014 14:15, Stephane Bortzmeyer a écrit : Non. Laissons IPv4 tranquille, aucune raison de persécuter les malheureux qui l'utilisent encore, et occupons-nous du protocole d'aujourd'hui (IPv6). Voila une remarque constructive. Pour ma part, ce n'est pas comme si je tentais de prôner la bonne parole autour de moi depuis plus de 5 ans, et que tout le monde s'en fout ... (et je ne suis pas admin réseaux de formation) Pire, même encore maintenant, je suis convaincu que bon nombre d'admin sys/réseaux, ne se sont même pas penchés sur la question. Et quand je vois ce qui peut encore se vendre sur le Web comme étant des routeurs, ça me fout réellement la chair de poule. Loin de moi l'idée du terme evangelist (Beurk). Je m’intéresse seulement de toute part à ce qu'est Internet, et tiens à ce qu'il reste tel que les concepteurs l'ont imaginé au départ ; Un échange de données entre deux points du réseau. A mon sens, c'est juste ce qu'on demande au Réseau des réseaux peut importe ce qu'il y transite et de quelle façon. Ces tentatives désespérées de vouloir à tout prix conserver IPv4 ne font que reculer, reculer, reculer, pour sauter dans un gouffre sans fond à un moment donné, étant donné le nombre de rustines déjà conséquentes (et les problématiques qui vont avec) mises en place pour le conserver, et ça ne date pas d'hier. Je ne dirais jamais assez que le commerce a pris le pas sur la technique. La tendance est bien malheureusement que la technique doit se plier au commerce, que les intermédiaires sont entre deux feux, et n'ont probablement pas les moyens de s'investir dans ce genre d'évolutions. Sauf qu'à un moment donné, la technique prendra nécessairement le pas. Quand le commerce obtiendra des réponses négatives systématiques à la majorité de leur demande, le commerce prendra conscience probablement trop tard que les alertes soulevées par la technique dans le passé deviennent (très) problématiques et que cela va vite nuire au chiffre. L'anticipation est à mon sens le maître mot, surtout en ce qui concerne ce sujet qui est encore considéré pour beaucoup, comme une lubie de Geek fondamentalement asocial. (autant je pouvais le concevoir il y a 5 ans ... mais maintenant ?) Aucune attaque contre qui que se soit dans ces remarques ; Le monde des opérateurs est de loin bien plus évolué dans ce domaine que mon simple jugement de ce qu'il se passe d'une manière générale. Reste que je suis connecté en IPv6 à titre personnel depuis déjà bien des années, et qu'il me semble totalement inconcevable, à ce jour de passer à côté. A bientôt. Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
il y a des cas ou il est légitime d'avoir des ip publiques et ou elles ne sont pas annoncées sur internet exemple : grx - Mail original - De: Jérôme Nicolle jer...@ceriz.fr À: frnog-m...@frnog.org frnog@frnog.org Envoyé: Lundi 22 Septembre 2014 22:46:34 Objet: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ? Bonjour à tous, Avec la raréfaction des ressources IPv4, on commence à être un paquet à lorgner sur des /16 ERX qui n'ont jamais été annoncés de mémoire de RIS. Il parait qu'il y a des cas de figure ou l'on peut légitimement réserver un bloc sans le router, hors des blocs réservés (RFC 990, 1700, 1918, 2544, 3068, 3927, 5737, 5771, 6333, 6598 et 6890). On m'a cité, en vrac : - Pour des VPN [non publics] - Pour des réseaux privés susceptibles de s'interconnecter à d'autres réseaux [non publics] - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 et doit s'interconnecter Bref, que des cas de réseaux non connectés à Internet (par définition, puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Le problème de base est celui de l'unicité de l'adresse. Le registre global d'Internet est bien géré et permet de garantir qu'un bloc n'est pas assigné deux fois. Autant utiliser un registre existant, non ? Mais ça, c'était avant. Là, il y a pénurie. Un réseau d'entreprise, d'administration ou de recherche, n'a pas forcement vocation à _faire partie_ d'Internet. Mais on va bien volontiers s'y interconnecter pour bénéficier de quelques services présents sur ce dernier. Deux possibilités : - NAT : dans ce cas le masquage d'adresses publiques par des adresses du réseau privé est un problème bien réel dans certains réseaux qui ont numéroté au pif sans respecter les RFC. - Passerelles applicatives : les proxy sont parfaits pour lier le web, le mail, la voix et bien d'autres services dès lors qu'ils sont nommés au moyen d'un espace sans collision, c'est à dire par DNS et non par adresses littérales. Alors, si le resolver interne ne connait pas la zone, il répond l'adresse d'un proxy qui lui résout via la racine correspondante. J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine de confiance intégrale dans l'ensemble du réseau, puisqu'on peut déployer RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux proxy, de bout en bout dans un environnement contrôlé bien plus facilement qu'on ne le ferait sur Internet. Il est donc techniquement facile d'interconnecter les services de deux réseaux, mais pas possible simplement d'interconnecter les réseaux eux-même. C'est presque heureux puisqu'on va souvent, dans le cas de l'interconnexion de deux réseaux, vouloir contrôler un peu ce qui passe de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un réseau bien conçu, avec adressage et nommage donc, sera facile à renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le concept de séparation de l'adresse logique et physique : LISP (RFC 6830). Du coup, la fusion de deux réseaux dont les adressages peuvent être en collision passe logiquement par une étape préalable (voir qui aurait du avoir lieu bien avant) : virer les adresses en dur, tout nommer sur le DNS. C'est d'ailleurs une recommandation forte, à défaut d'être considéré comme obligatoire, pour le déploiement d'IPv6 en entreprise. De la même façon, la tenue d'un registre des allocations, du genre avec génération dynamique des zones DNS, s'impose rapidement. Le tableau excel montre trop vite ses limites. C'est une bonne pratique pour tout administrateur réseau, privé ou public, non ? (un appeau à commercial efficient-IP est caché dans ce paragraphe, saurez vous le trouver ?) Reste le cas de l'historique : Avant, il n'y avait pas de NAT. Avant, les proxy étaient chers. Avant, il y avait plein d'adresses. Mais ça... On ne change pas quelque chose qui marche. C'est d'ailleurs bien une des raisons pour lesquelles IPv6 peine à arriver sur le LAN. Depuis ces allocations, on peut légitimement se demander si tout le reste du réseau n'a pas été refait de fond en combles, et que seul l'adressage reste un vestige d'une époque bénie. Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous contrat de maintenance, donc qu'on ne peut plus les utiliser dans une entreprise sérieuse, non ? Du coup, quand on me dit qu'il est normal d'adresser un LAN _non connecté à Internet_ avec des IP publiques, que dois-je en déduire ? Bref, ces ERX et autres reliquats, on vote tous pour leur destruction à la prochaine AG du RIPE ? @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
