Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Thomas Trupel via frnog]

si ton OS détecte que tu as une stack IPv6 fonctionnelle et que ton
DNS résout IPv6 (et pour http, que ton serveur répond en IPv6, si
non ca fallback en IPv4 au bout de quelques secondes), alors c'est
toujours IPv6 qui sera utilisé, même si ca résout aussi en IPv4(IPv6
est toujours prioritaire sur IPv4).

Ce n'est pas vrai non plus. Cela dépend de la configuration du système
d'exploitation (et, parfois, de l'application). La configuration par
défaut est souvent de privilégier IPv6 mais c'est modifiable (même sur
Windows !)


Salut,

En complément : https://www.rfc-editor.org/rfc/rfc6724#section-6

En lisant l'algorithme de sélection de l'adresse IP de destination, j'ai 
réalisé que, depuis le début, je ne comprenais pas vraiment le 
fonctionnement du round-robin DNS (lorsque, à chaque requête, le serveur 
DNS renvoie une liste d'adresses IP dans un ordre aléatoire). Cette RFC 
est donc très importante à mes yeux.


Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> Effectivement. systemd a bien rééquilibré la balance :-D
;>

Avec snap en embuscade puis un vi/emacs pour se détendre,

> Si tu as l'intention de préparer un couscoussier, j'ai ce qu'il faut :-D
> https://rb.gy/2k2lr
;))) Merci pour ce souvenir.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Toussaint OTTAVI]

Le 27/06/2023 à 11:55, Stéphane Rivière a écrit :

Sauf peut-être par les chamailleries Windows-Linux :-D

Aujourd'hui, même ça ne marche plus...


Effectivement. systemd a bien rééquilibré la balance :-D



Cette liste est bien vivante et amis, évangélistes et précurseurs, soyez
sereins, l'ipv6 vaincra, c'est une certitude :)


Si tu as l'intention de préparer un couscoussier, j'ai ce qu'il faut :-D
https://rb.gy/2k2lr
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> S'il y a en effet une caractéristique indiscutable d'IPv6, c'est sa
> capacité trollesque rarement atteinte :-D 
+1000

> Sauf peut-être par les chamailleries Windows-Linux :-D
Aujourd'hui, même ça ne marche plus...

> La question de fond qui me vient à l'esprit est : "Pourquoi IPv6 ne
> parvient-il pas à s'imposer naturellement, de par ses qualités
> intrinsèques ?"
Parce qu'on aurait du passer d'abord par la maj ipv5 ? --> [/]

> Est-que çà a trollé comme çà lorsque IPv4 a pris progressivement le
> pas sur les IPX, Netbeui et autres joyeusetés ? Je n'en ai pas souvenir !
C'est vrai ça, c'était un soulagement plutôt... Et n'oublions pas X25 !
(même pas totalement mort, on l'a encore dans la voiture sous forme de
misérables trames unproto - enfin les radioamateurs au moins).


Cette liste est bien vivante et amis, évangélistes et précurseurs, soyez
sereins, l'ipv6 vaincra, c'est une certitude :)

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Rostan Nawer KEZAL via frnog]

Hello,

Je pop de nulle part parce que c'est exactement le sujet sur lequel je
travaille là maintenant tout de suite.
En terme de complexité certaines infra peuvent avoir l'air simple, surtout
lorsqu'on parle de webapp.
Je pense que c'est un raccourci qui peut être dangereux, beaucoup d'éditeur
ont migré leurs compute sur du public cloud avec des infrastructure as code
complexe et des relations entres les espaces de ces providers complexes
également.
Avoir un front dual-stack ça veut dire savoir gérer de la v6 dans le
backend et là, on demande a des dev de comprendre des problématiques
network.

Peut-être que nous, jean des réseaux, on a raté cette transmission de
compétences aux dev ?

Conclusion de ce que je veux dire : Si la v6 est absente de votre roadmap
il y a un problème, si vous l'avez prévu et que c'est long, c'est normal.



Je retourne écrire mes machins d'ipv6 moi, bonne journée,
++

Le mar. 27 juin 2023 à 10:57, Xavier Beaudouin via frnog 
a écrit :

> Hello Stéphane,
>
> >> Et je me trompe aussi sans doute sur l'attention que Stephane porte
> >> sur les difficultés de mises en œuvre de l'IPv6…
> >
> > IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
> > prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
> > souvient que des bons moments.
>
> Difficultés ? Où ça ? D'ajouter une ip a un serveur et une gateway ?
> De laisser passer un peu d'ICMP ? (qu'on devrai faire aussi en IPv4
> pour le pMTUd ?).
>
> De lire des docs ? Voire même mettre un  dans une zone DNS ?
>
> Alors en 2000 lors de l'expé 6bone, j'veux bien que ça soit difficile
> mais en 2023 n'être pas foutus capable de sortir un service en IPv6
> natif et se casser les pieds a déployer NAT, PAT, etc...
>
> Alors oui (là aussi je troll) on ne trouve peu de documentations pour
> faire de l'IPv6 avec docker, mais il faudrait faire le métier de
> sysadmin : gérer l'infra et la déployer correctement. Pas juste un
> click sur une interface et laisser le trucs se débrouiller tout seul.
>
> En 2023, avoir au moins :
> - des DNS dual stack
> - un service web dual stack (coucou les impots...)
> - au moins UN mx dual stack
> - au moins un relay smtp dual stack
>
> C'est le minimum. Que vos backends soient en IPv4 ce n'est pas le
> problème, les front doivent être en dual.
>
> Aller je laisse trolldi en avance continuer...
>
> Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
--

Rostan KEZAL

Network Engineer

| rostan.ke...@adevinta.com  
| FSM Paris, 85 rue du Faubourg Saint-Martin, 75010 Paris
| Découvrez leboncoin Groupe  !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Xavier Beaudouin via frnog]

Hello Stéphane,

>> Et je me trompe aussi sans doute sur l'attention que Stephane porte
>> sur les difficultés de mises en œuvre de l'IPv6…
> 
> IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
> prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
> souvient que des bons moments.

Difficultés ? Où ça ? D'ajouter une ip a un serveur et une gateway ?
De laisser passer un peu d'ICMP ? (qu'on devrai faire aussi en IPv4 
pour le pMTUd ?).

De lire des docs ? Voire même mettre un  dans une zone DNS ?

Alors en 2000 lors de l'expé 6bone, j'veux bien que ça soit difficile
mais en 2023 n'être pas foutus capable de sortir un service en IPv6 
natif et se casser les pieds a déployer NAT, PAT, etc...

Alors oui (là aussi je troll) on ne trouve peu de documentations pour
faire de l'IPv6 avec docker, mais il faudrait faire le métier de 
sysadmin : gérer l'infra et la déployer correctement. Pas juste un
click sur une interface et laisser le trucs se débrouiller tout seul.

En 2023, avoir au moins :
- des DNS dual stack
- un service web dual stack (coucou les impots...)
- au moins UN mx dual stack
- au moins un relay smtp dual stack

C'est le minimum. Que vos backends soient en IPv4 ce n'est pas le 
problème, les front doivent être en dual.

Aller je laisse trolldi en avance continuer...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
> ai pas besoin, je m'en fous »
Selon l'éthique objectiviste, l’égoïsme peut être une vertu.

> D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
> comme Google, sont toutes en faillite.

Coming-out : on n'est pas google, ni netflix, ni free. Ces gens ont un
intérêt à utiliser ipv6, et ils le font ! Quoi de plus normal ?

>> Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
>> libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans
> Yakafokon. J'attends la spec'
> https://www.bortzmeyer.org/ipv6-compatibilite.html

Tu sais très bien de quoi je veux parler :)

Après, je comprends très bien ton point de vue, que je respecte. Mais
est-il utile d'user de ces stratagèmes sémantiques ?

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 07:37:58PM +0200,
 Laurent Barme <5...@barme.fr> wrote 
 a message of 29 lines which said:

> Etre simplement confronté aux conséquences de la mise en œuvre de
> l'IPv6, en tant qu'administrateur de serveurs que l'on défend contre
> les pirates par exemple.

C'est vrai, je ne gère aucun serveur, et mon employeur non
plus. J'avoue. Et il n'y a jamais aucun pirate qui passe, c'est vrai
aussi.

> Et je me trompe aussi sans doute sur l'attention que Stephane porte
> sur les difficultés de mises en œuvre de l'IPv6…

IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
souvient que des bons moments.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 09:04:52PM +0200,
 Mathieu Poussin  wrote 
 a message of 44 lines which said:

> > "Comme Orange et Bouygues privilégient manifestement l'IPv6 quand
> > il y en a une déclarée…"
> 
> C'est pas comme ca que ca marche.

En effet (c'était même incroyable comme analyse technique, sur une
liste d'opérateurs réseau) mais :

> si ton OS détecte que tu as une stack IPv6 fonctionnelle et que ton
> DNS résout IPv6 (et pour http, que ton serveur répond en IPv6, si
> non ca fallback en IPv4 au bout de quelques secondes), alors c'est
> toujours IPv6 qui sera utilisé, même si ca résout aussi en IPv4(IPv6
> est toujours prioritaire sur IPv4).

Ce n'est pas vrai non plus. Cela dépend de la configuration du système
d'exploitation (et, parfois, de l'application). La configuration par
défaut est souvent de privilégier IPv6 mais c'est modifiable (même sur
Windows !)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 09:15:35PM +0200,
 Laurent Barme <5...@barme.fr> wrote 
 a message of 40 lines which said:

> Sauf qu'il y a 2^64 IPv6/64 et seulement 2^32 IPv4 et je doute qu'un
> pirate se contente d'un seul IPv6/64 (un et pas une car il s'agit
> d'un subnet) : il y a plus de potentiel d'attaque en IPv6 qu'en
> IPv4.

C'est d'ailleurs pour cela que les organisations qui utilisent IPv6 en
prod depuis 15, 10 ou 5 ans (au lieu de chouiner sur FRnog), ont
*beaucoup* moins d'attaques en IPv6 qu'en IPv4.

Non, en vrai, les pirates sont aussi flemmards et aussi routiniers
qu'une bonne partie des admins réseau. Ils continuent à utiliser les
vieux trucs qui marchent pour eux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Toussaint OTTAVI]

Le 26/06/2023 à 16:37, Stéphane Rivière a écrit :

à la place d'une guerre qui a commencé il y a 30 ans et dont les accords
de paix ne sont pas encore effectifs.


S'il y a en effet une caractéristique indiscutable d'IPv6, c'est sa 
capacité trollesque rarement atteinte :-D Sauf peut-être par les 
chamailleries Windows-Linux :-D On se croirait presque sur une tribune 
politique, avec les "pour", les "contre", chacun essayant de faire 
valoir sa position avec des arguments parfois contestables, et souvent 
irréconciliables...


La question de fond qui me vient à l'esprit est : "Pourquoi IPv6 ne 
parvient-il pas à s'imposer naturellement, de par ses qualités 
intrinsèques ?"


Est-que çà a trollé comme çà lorsque IPv4 a pris progressivement le pas 
sur les IPX, Netbeui et autres joyeusetés ? Je n'en ai pas souvenir !


En ce qui me concerne, je passerai probablement à IPv6 quand les deux 
conditions seront réunies : cela résoudra un de mes problèmes, et 
j'aurai le temps ;-) Pour l'instant, ce n'est pas le cas ! C'est juste 
un ressenti personnel, et je n'entends l'imposer à personne ! Je n'ai 
pas fait une grande école, et je ne suis pas une multinationale 
d'Internet, donc, j'avoue assez humblement que l'intérêt existentiel de 
migrer vers IPv6, tout comme celui d'empêcher les vaches de flatuler 
pour sauver l'humanité, ne m'apparaît pas. Et ensuite, je suis Corse, 
donc je suis génétiquement flemmard :-) On verra çà après la sieste 
sieste :-D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Christophe Moille]

Le lundi 26 juin 2023 à 17:23:52 (+0200), Laurent Barme a écrit :
> 
> Comme Stéphane (Rivière) et Frank, je me suis heurté à des
> dysfonctionnements vicieux qui se sont résolus en désactivant l'IPv6. Et non
> seulement l'IPv6 est la source de plein d'emm*rdes mais en plus c'est un
> danger potentiel pour la sécurité et une menace pour la vie privée.

Remplace ipv6 par numérique et la proposition garde tout son sens.

> Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé,
> pas du tout même :-)

-- 
Transparency is for those who carry out public duties and exercise public 
power. Privacy is for everyone else.
- Glenn Greenwald, journaliste politique et avocat


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 19:06, Laurent Barme wrote:


Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :

On 26/06/2023 18:32, Laurent Barme wrote:



…


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 
si on est vraiment pas content). Par contre je ne vois pas où est le 
danger. Si c'est une question de taille de table de blocage, tu ne 
peux de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6, 
entre autre en raison du point suivant (les extensions de "vie privée" 
IPv6).


2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un 
peu plus quand même question taille de table de blocage.


En effet, c'est possible. Mais je pense que ça dépend moins du nombre 
d'adresses disponibles que du nombre d'attaquants actifs. Un /64 en IPv6 
c'est souvent l'équivalent d'un /32 en IPv4. Le problème de taille de la 
table de blocage se pose SI les attaquants ont accès à plus de /64 IPv6 
qu'ils n'auraient accès à des /32 IPv4. Et dans ce cas, en effet, il 
faudrait faire des règles de blocages intelligentes ou carrément faire 
du DPI. Je n'ai jamais été exposé à ces problèmes donc je ne me rend pas 
compte de la "chance" que ça arrive. Mais des solutions existent, donc 
la (grande) taille de l’espace d'adressage me semble être un argument 
peu recevable pour justifier de ne pas utiliser l'IPv6.


Pour ce qui concerne la menace que je perçois pour la vie privée 
c'est lié à l'identification plus précise de l'utilisateur dont le 
poste n'est pas (un peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des 
équipements dans une "maison" étaient tous derrière une unique IPv4 
publique. Et je ne vois pas en quoi les extensions de vie privée de 
l'IPv6 (pour le SLAAC), qui émulent plus ou moins le même niveau de 
"""protection""" que le type de NAT IPv4 sus-mentionné, ne répondent 
pas au besoin. On peut certes mieux identifier une machine sur une 
session donnée, mais, pour Windows en tous cas, au prochain 
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse 
faire mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être 
désactivé, le NAT non. De plus, si entre deux redémarrage sous Windows, 
l'IPv6 reste constante alors, le port du NAT change à chaque nouvelle 
requête.


Pour moi, si le comportement par défaut ne respecte pas la vie-privée, 
c'est un problème logiciel. À l'époque de la RFC 4941 on aurait pu dire 
que c'est un problème humain (de configuration), mais désormais la 
recommandation de NE PAS faire de cette option un comportement pas 
défaut a été retiré (RFC 8981). Linux est un assez mauvais élève par 
défaut, mais les solutions user-land sont très bonnes. Windows est 
curieusement un bon élève par défaut : activé et changement toutes les 
24h ou à chaque redémarrage.


Si l'utilisateur veut désactiver les options de "vie privée", qu'on le 
laisse faire !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 18:39, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:

Stephane (Borrtzmeyer) est prescripteur et pas acteur


Si Bortzmeyer n'est pas acteur, que faut-il faire pour l'être ?

Etre simplement confronté aux conséquences de la mise en œuvre de l'IPv6, en 
tant qu'administrateur de serveurs que l'on défend contre les pirates par exemple.


Cela dit, il n'y a aucune critique sous entendue par le fait d'être prescripteur 
plutôt qu'acteur, il en faut dans chaque catégorie. Et je me trompe aussi sans 
doute sur l'attention que Stephane porte sur les difficultés de mises en œuvre 
de l'IPv6…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :

On 26/06/2023 18:32, Laurent Barme wrote:



…


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si on 
est vraiment pas content). Par contre je ne vois pas où est le danger. Si 
c'est une question de taille de table de blocage, tu ne peux de toute façon 
pas bloquer moins qu'un /64 dans un bloc IPv6, entre autre en raison du point 
suivant (les extensions de "vie privée" IPv6).


2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un peu plus 
quand même question taille de table de blocage.


Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à 
l'identification plus précise de l'utilisateur dont le poste n'est pas (un 
peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des équipements dans 
une "maison" étaient tous derrière une unique IPv4 publique. Et je ne vois pas 
en quoi les extensions de vie privée de l'IPv6 (pour le SLAAC), qui émulent 
plus ou moins le même niveau de """protection""" que le type de NAT IPv4 
sus-mentionné, ne répondent pas au besoin. On peut certes mieux identifier une 
machine sur une session donnée, mais, pour Windows en tous cas, au prochain 
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse faire 
mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être désactivé, 
le NAT non. De plus, si entre deux redémarrage sous Windows, l'IPv6 reste 
constante alors, le port du NAT change à chaque nouvelle requête.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 18:32, Laurent Barme wrote:


Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:
l'IPv6 est [...] un danger potentiel pour la sécurité et une menace 
pour la vie privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)

Il n'y a pas de "vendredi" pour moi (je bosse tous les jours).


Merci :)

Si tu as des archives, tu peux retrouver la discussion suite à mon 
message sur le sujet le 26/04/21 08:45. Tiens, cela fait moins 
de 10 ans, Denis n'est pas encore complétement sorti de son hibernation 
:-).


Elles sont parties en cold-storage, et les archives en ligne ne semblent 
pas remonter si loin :/


Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il 
faudrait bloquer. En ce sens, l'échange cité ci-dessus m'a permis de 
prendre sereinement la décision de bloquer les IPv6 par /64.


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si 
on est vraiment pas content). Par contre je ne vois pas où est le 
danger. Si c'est une question de taille de table de blocage, tu ne peux 
de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6, entre 
autre en raison du point suivant (les extensions de "vie privée" IPv6).


Pour ce qui concerne la menace que je perçois pour la vie privée c'est 
lié à l'identification plus précise de l'utilisateur dont le poste n'est 
pas (un peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des équipements 
dans une "maison" étaient tous derrière une unique IPv4 publique. Et je 
ne vois pas en quoi les extensions de vie privée de l'IPv6 (pour le 
SLAAC), qui émulent plus ou moins le même niveau de """protection""" que 
le type de NAT IPv4 sus-mentionné, ne répondent pas au besoin. On peut 
certes mieux identifier une machine sur une session donnée, mais, pour 
Windows en tous cas, au prochain redémarrage l'adresse IPv6 aura changé. 
Je ne pense pas qu'on puisse faire mieux au niveau de la couche IP.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 17:23, Laurent Barme wrote:

Stephane (Borrtzmeyer) est prescripteur et pas acteur


Si Bortzmeyer n'est pas acteur, que faut-il faire pour l'être ?

Est-ce que moi je le suis ? En tant que simple consommateur d'Internet 
(je n'ai pas d'AS ni de réseau publique) est-ce que activer l'IPv6 sur 
mes machines hébergées "dans le cloud", configurer mes quelques réseaux 
privés correctement pour que ça "juste marche(TM)" en IPv6 et développer 
la compatibilité des applications (lorsque c'est nécessaire) ne fait pas 
de moi un acteur ? Est-ce qu'il faut forcément être un AS pour prétendre 
au titre d'acteur ? Si oui, je ne comprend pas comment l'Internet tout 
court a pu exister (notons que je n'étais pas né). L'échelle était 
certes plus petite qu'aujourd'hui, mais si à l'époque on a réussi en 
partant de rien, je ne vois pas comment aujourd'hui on ne pourrait pas 
réussir en partant de quelque-chose de similaire. Les APIs sur nos OS 
sont déjà prêtes (même si ça reste un peu le bordel pour certains), il 
nous manque juste le réseau.


Et puis il faut rester cohérent sur les critiques qu'on fait à l'IPv6. 
Si c'est un problème d'inertie, pourquoi est-ce que Google y arrive et 
pas les PMEs (ou "artisans") ? Si c'est une question de moyens, pourquoi 
Twitter n'y arrive pas, mais que Ungleich y arrive ? Et si c'est une 
question de lacunes, comment ça se fait que des réseaux (privés) 
dual-stack comme pur-IPv6 existent et tournent correctement ?
Si ce n'est ni une question d'inertie, ni une question de taille, ni une 
question de moyens, ni une question technique, qu'est-ce qu'il reste ? 
Le facteur humain ? Je ne veux pas en arriver à ce "point godwin de 
l'IPv6" un peu facile, mais franchement je vois pas ce que ça peut être 
d'autre que "la flemme".


Je veux bien qu'on ait des problèmes d'IPv6 ; rien qu'à mon échelle j'en 
ai rencontré une pelletée. Je blame en partie Linux et en partie les 
applications que j'utilise, mais surtout je me blame moi pour ne pas 
avoir pris le temps de considérer l'IPv6 comme ce que c'est : Un 
protocole différent, qui demande à ré-apprendre une partie du réseau, et 
qui, par sa nouveauté (si on peut encore dire ça) est encore mal intégré 
dans nos écosystèmes techniques.


Enfin, je ne comprend pas ceux pour qui l'IPv6 donne de l'urticaire 
alors que le NAT ne leur en donne pas.


My-2ct-qui-valent-moins-que-2ct


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:
l'IPv6 est [...] un danger potentiel pour la sécurité et une menace pour la 
vie privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)

Il n'y a pas de "vendredi" pour moi (je bosse tous les jours).

Si tu as des archives, tu peux retrouver la discussion suite à mon message sur 
le sujet le 26/04/21 08:45. Tiens, cela fait moins de 10 ans, Denis 
n'est pas encore complétement sorti de son hibernation :-).


Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il faudrait 
bloquer. En ce sens, l'échange cité ci-dessus m'a permis de prendre sereinement 
la décision de bloquer les IPv6 par /64.


Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à 
l'identification plus précise de l'utilisateur dont le poste n'est pas (un peu) 
masqué par une IP publique partagée.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 11:50:06AM +,
 Louis Poidevin via frnog  wrote 
 a message of 105 lines which said:

> En faisant des recherches sur l'état de l'art des infrastructures
> mail, j'ai remarqué que très peu de domaines d'entreprise supportent
> la réception de mail en IPv6.

La preuve qu'IPv6 marche mieux qu'IPv4 :

% ping -c 3 2409  
PING 2409 (0.0.9.105) 56(84) bytes of data.

--- 2409 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2027ms


% ping -c 3 2409::
PING 2409::(2409::) 56 data bytes
64 bytes from 2409::: icmp_seq=1 ttl=52 time=136 ms
64 bytes from 2409::: icmp_seq=2 ttl=52 time=136 ms
64 bytes from 2409::: icmp_seq=3 ttl=52 time=136 ms

--- 2409:: ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 135.946/135.952/135.957/0.004 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 17:23, Laurent Barme wrote:

l'IPv6 est [...] un danger potentiel pour la sécurité et une menace pour la vie 
privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Denis Fondras]

Le Mon, Jun 26, 2023 at 05:23:52PM +0200, Laurent Barme a écrit :
> danger potentiel pour la sécurité et une menace pour la vie privée.
> 

Qui a activé la Delorean ?
Ca doit bien faire 10 ans que je n'avais pas lu ce FUD :) 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est 
qu'il est prescripteur et pas acteur…


Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements 
vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 est 
la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour la 
sécurité et une menace pour la vie privée.


Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas du 
tout même :-)


Le 26/06/2023 à 17:09, Frank ALEXIS a écrit :

Heu oui en même temps GG ils n’ont quand même pas la même force de frappe
et les ressources que nous autres pauvres artisans qui gèrent déjà le
critique en live et le miraculeux dans 2h …

Le pragmatisme c’est aussi comprendre que la réalité dépasse la fiction du
full ipv6 « parce que c’est RFC 19765 » et que c’est comme ça qu’il faut
faire dans le BisounoursWorld

Si c’était facile, stable et que tout marche si bien, on aurait tous nos
bobox/routeurs/grille pains en v6 mais c’est pas le cas et ce prendre la
tête dans une PME pour faire plaisir à un truc imbuvable qui ne marche même
pas partout et sur tous les services … what else ?

My 2 cts sous 39° qui fait fondre les neurones

Frank


Le lun. 26 juin 2023 à 16:42, Stephane Bortzmeyer  a
écrit :


On Mon, Jun 26, 2023 at 04:37:29PM +0200,
  Stéphane Rivière  wrote
  a message of 35 lines which said:


La vraie raison de la non adoption d'ipv6 n'est même pas la flemme
mais le pragmatisme.

Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
ai pas besoin, je m'en fous »


Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
coûter de l'argent et créer des anomalies.

D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
comme Google, sont toutes en faillite.


Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans

Yakafokon. J'attends la spec'
https://www.bortzmeyer.org/ipv6-compatibilite.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Frank ALEXIS]

Heu oui en même temps GG ils n’ont quand même pas la même force de frappe
et les ressources que nous autres pauvres artisans qui gèrent déjà le
critique en live et le miraculeux dans 2h …

Le pragmatisme c’est aussi comprendre que la réalité dépasse la fiction du
full ipv6 « parce que c’est RFC 19765 » et que c’est comme ça qu’il faut
faire dans le BisounoursWorld

Si c’était facile, stable et que tout marche si bien, on aurait tous nos
bobox/routeurs/grille pains en v6 mais c’est pas le cas et ce prendre la
tête dans une PME pour faire plaisir à un truc imbuvable qui ne marche même
pas partout et sur tous les services … what else ?

My 2 cts sous 39° qui fait fondre les neurones

Frank


Le lun. 26 juin 2023 à 16:42, Stephane Bortzmeyer  a
écrit :

> On Mon, Jun 26, 2023 at 04:37:29PM +0200,
>  Stéphane Rivière  wrote
>  a message of 35 lines which said:
>
> > La vraie raison de la non adoption d'ipv6 n'est même pas la flemme
> > mais le pragmatisme.
>
> Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
> ai pas besoin, je m'en fous »
>
> > Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
> > coûter de l'argent et créer des anomalies.
>
> D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
> comme Google, sont toutes en faillite.
>
> > Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
> > libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans
>
> Yakafokon. J'attends la spec'
> https://www.bortzmeyer.org/ipv6-compatibilite.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 04:37:29PM +0200,
 Stéphane Rivière  wrote 
 a message of 35 lines which said:

> La vraie raison de la non adoption d'ipv6 n'est même pas la flemme
> mais le pragmatisme.

Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
ai pas besoin, je m'en fous »

> Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
> coûter de l'argent et créer des anomalies.

D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
comme Google, sont toutes en faillite.

> Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
> libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans

Yakafokon. J'attends la spec'
https://www.bortzmeyer.org/ipv6-compatibilite.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> I've been advocating that a few major routers should simply drop all
> IPv4 for one minute at noon UTC. Next month, make it two minutes. IPv6
> adoption would skyrocket.

Cette manie des totalitaires d'user de la force pour imposer leurs
idéologies est fascinante (C) Spock.

La vraie raison de la non adoption d'ipv6 n'est même pas la flemme mais
le pragmatisme.

Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
coûter de l'argent et créer des anomalies.

Suis agnostique. Quand faudra y passer, on agira. En attendant, il y a
une TDL infinie de trucs plus importants à régler.

Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans
à la place d'une guerre qui a commencé il y a 30 ans et dont les accords
de paix ne sont pas encore effectifs.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 11:57:56AM +,
 Louis Poidevin  wrote 
 a message of 69 lines which said:

> La vraie si possible. ^^

Lu sur Ycombinator :

I've been advocating that a few major routers should simply drop all
IPv4 for one minute at noon UTC. Next month, make it two minutes. IPv6
adoption would skyrocket.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Gwenaël Oberlinger]

Bonjour,

Pour les services mails je n'en ai aucune idée (j'avoue être en ipv4 only
aussi car l'intérêt de l'ipv6 me semble faible, donc c'est aussi un côté
flemme à gérer -une des vraies raison ;) ? - :D ).

Par contre, l'ipv6 à pas mal d'inconvénients sur certains services
notamment ceux qui gèrent du gratuit limité sans compte (donc via IP
principalement), ce n'est pas le top pour gérer ça mais si rien
d'impossible pour autant.

La grosse limitation à mon niveau (ayant besoin de quasi 1Tbps de BP),
c'était surtout les réseaux ipv6.   Il y a encore 2-3ans, c'était une cata,
des soucis de débit à droite ou gauche, des réseaux ipv6 saturés parfois et
des tunnels différents selon la geoc même chez le même FAI. On arrivait
dans un délire de plaintes d'utilisateurs pour débit faible, et la cause
c'était l'ipv6.

Malgré tout, en 2023, cela s'est considérablement amélioré, merci les
upgrades en 100G (et +) un peu partout. On envisage de proposer l'ipv6 l'an
prochain, en test.

Le dual stack reste malgré tout obligatoire, l'ipv6 only c'est bien entendu
suicidaire. Beaucoup de FAI n'ont pas l'ipv6 (celui avec lequel j'écris ces
lignes n'a pas l'ipv6 par exemple).

Du coup le côté "ça libère de l'ipv4" et permet de progresser vers
l'utopique ipv6 only à l'horizon 2100 (troll :D)) est hélas pas trop
possible pour le moment.

Mais je pense que la vraie raison générale reste aussi un côté flemme, ça
marche en ipv4, donc pourquoi changer. Une réalité.  En général, la plupart
des boîtes ont déjà leurs ranges IP donc tant qu'il y'a de la dispo ils ne
vont pas se faire chier.

Et puis quand tu commences à avoir moins d'ip dispo en général les gens
trouvent d'autre solution... comme un reverse proxy général (une IP) qui va
renvoyer vers pleins d'app interne (en ip privée) etc etc.



On Mon, 26 Jun 2023 at 15:54, Stephane Bortzmeyer  wrote:

> On Mon, Jun 26, 2023 at 11:50:06AM +,
>  Louis Poidevin via frnog  wrote
>  a message of 105 lines which said:
>
> > Ma question est donc la suivante : connaissez-vous les raisons pour
> > lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
> > à l'IPv4 uniquement ?
>
> Il faut une réponse bienveillante ou bien il faut la vraie ? :-)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 

*Cordialement / Best regards,Gwenaël OBERLINGER*
--
Uptobox.com CTO / Vulnerator
Phone: (+33) 6 29 65 35 52
https://twitter.com/starouille

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 11:50:06AM +,
 Louis Poidevin via frnog  wrote 
 a message of 105 lines which said:

> Ma question est donc la suivante : connaissez-vous les raisons pour
> lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
> à l'IPv4 uniquement ?

Il faut une réponse bienveillante ou bien il faut la vraie ? :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/