Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Frederic Dhieux]

Hello,


Le 03/10/16 à 13:21, Pierre Colombier a écrit :
> Le problème avec IPV6, c'est surtout les mauvaises habitudes prises
> avec le nat depuis 15 ans.
>

Pour moi c'est surtout un problème de cible et de motivation. Ce qui me
semble être négligé, ce sont les différents niveaux sur lesquels il faut
travailler la question et leur motivation.

Favoriser les site IPv6 dans le référencement ferait faire un bond dans
le déploiement d'IPv6 en 6 mois déjà, donner un équivalent du CIR
(l'ARCEP si tu nous lis) aux sociétés qui sont IPv6 motiverait également
la démarche en France, avoir des discounts sur les prix des services
réseaux IPv6 (IXP, transit, etc) serait un autre point. Avoir tous les
FAI en IPv6, c'est une étape qu'on a longtemps attendu mais on y arrive.
Ca va jouer un rôle je pense, même si on ne verra pas un chamboulement
du jour au lendemain. Et pourquoi pas des peering policy plus souple
pour IPv6 ?

La complexité technique est différente selon les boîtes (sécu, presta,
historique, etc) et certains semblent oublier que toutes les structures
n'ont pas la même inertie, mais je ne pense pas que le plus gros frein
soit là au final (surtout depuis le temps que ça dure). C'est toujours
pareil, dans une société il y a une quantité d'efforts pour mener X
projets à bien. Après c'est un problème de charge, de priorités, de
motivation et de moyens. La motivation dans les équipes techniques ne me
semblent pas être le plus gros frein au final (pour les compétences, ça
n'est pas pire que sur d'autres sujets).

Il n'y a bien que pour les gens du réseau que le passage à IPv6 est une
évidence et c'est bien là le plus gros problème je pense. Je pense que
beaucoup d'admins se sentent un peu seuls quand il s'agit de pousser
IPv6 en interne.

> Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en
> IPv6, c'est le carnage...
>

Bien que ça me fasse vomir, saigner de partout, je préfère encore voir
une boîte mettre une IPv6 en frontal avec un NAT interne derrière que
rien du tout. C'est moche, ça me donne envie de baffer très fort, mais
si ça aide à changer les mentalités pour qu'un jour un mec de son côté
en regardant "Internet" se dise "merde tout le monde est en IPv6 et je
fais pas sérieux à pas l'avoir", bah amenez les bassines.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Jonathan Leroy]

Le 3 octobre 2016 à 14:29, Nicolas Gaudin
 a écrit :
> Personnellement, si j'étais client je ne serais pas ravi que mon prestataire
> active IPv6 sans me demander mon avis au préalable

Seulement sur les nouveaux serveurs, pas de modif des systèmes existants.
Suivant ton raisonnement il faut demander expressément à chaque client
si il souhaite ou non activer IPv6 ? On est pas sortis de l'auberge
comme on dit :)

> et encore moins s'il le
> maintenait en place malgré ma demande expresse de le désactiver.

Ah mais si il y a une raison *valable* de le désactiver, pas de souci.
Mais tout ceux qui ont voulu le désactiver jusqu'ici le souhaitaient
par principe plus qu'autre chose.


> Comme l'évoquait Pierre Colombier, activer un réseau en IPv6 peut créer des
> brèches de sécurité qui resteront insoupçonnées si celui qui le gère ne le
> fait pas en pleine connaissance.

Sauf que dans mon cas je gère l'infra de A à Z et que donc je connais
les conséquences des changements que je met en place.


> Je n'appelle pas ça "maîtriser" quand sa gestion dépend d'un unique
> prestataire.

Le métier de mes clients, c'est de vendre des sacs, des cartes de
voeux et des casques de motos. Ce qu'ils veulent, c'est que leur site
soit UP toute l'année. Le côté technique ils s'en foutent tant que ça
marche :)

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Nicolas Gaudin]

> Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
> j'installe pour mes clients ou moi.
> Résultat ? Plus de 90 % de mon parc est en dual-stack.
> La plupart des clients n'ont pas vu de différence et ne sont probablement
> même pas au courant de l'existence d'IPv6.
> En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
> désactiver IPv6.
> Je ne l'ai jamais fait : on regarde ce qui ne fonctionne pas et on fixe.

Personnellement, si j'étais client je ne serais pas ravi que mon prestataire
active IPv6 sans me demander mon avis au préalable et encore moins s'il le
maintenait en place malgré ma demande expresse de le désactiver.
Comme l'évoquait Pierre Colombier, activer un réseau en IPv6 peut créer des
brèches de sécurité qui resteront insoupçonnées si celui qui le gère ne le
fait pas en pleine connaissance.
IPv6, c'est l'avenir (ça fait plus de 15 ans qu'on le dit, paraît-il...)
mais encore faut-il le maîtriser et avoir connaissance de son état de
déploiement sur son réseau.
Je n'appelle pas ça "maîtriser" quand sa gestion dépend d'un unique
prestataire.
Mais ça n'est que mon avis...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Baptiste Jonglez]

On Mon, Oct 03, 2016 at 02:11:05PM +0200, Olivier Benghozi wrote:
> L'adressage interne de la boite que personne n'a envie de changer selon 
> l'adressage des liens externes, c'est un problème clairement généralisé.
> Du coup on va immanquablement voir du NPTv6 lorsque l'IPv6 se retrouvera en 
> entreprise.

Ou pas, le double adressage IPv6 public + privé (ULA¹) sert justement à ça.

L'adressage en ULA est stable et peut servir en interne, tandis que
l'adressage public peut changer mais c'est pas bien grave
(autoconfiguration des postes via RA/DHCPv6).

OpenWRT fait déjà ça par défaut, le routeur distribue des IPv6 en ULA +
des IPv6 publiques quand le WAN a une connectivité IPv6.

¹ https://en.wikipedia.org/wiki/Unique_local_address

> > Le 3 oct. 2016 à 13:21, Pierre Colombier  a écrit :
> > 
> > Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec le 
> > nat depuis 15 ans.
> > 
> > Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en IPv6, 
> > c'est le carnage...
> > 
> > Et il y en a combien des comme ça ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: PGP signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Olivier Benghozi]

L'adressage interne de la boite que personne n'a envie de changer selon 
l'adressage des liens externes, c'est un problème clairement généralisé.
Du coup on va immanquablement voir du NPTv6 lorsque l'IPv6 se retrouvera en 
entreprise.

> Le 3 oct. 2016 à 13:21, Pierre Colombier  a écrit :
> 
> Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec le 
> nat depuis 15 ans.
> 
> Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en IPv6, 
> c'est le carnage...
> 
> Et il y en a combien des comme ça ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Pierre Colombier]

Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec 
le nat depuis 15 ans.


Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en 
IPv6, c'est le carnage...


Et il y en a combien des comme ça ?


On 03/10/2016 12:29, Jonathan Leroy wrote:

Le 3 octobre 2016 à 10:09, Wallace  a écrit :

Quand je pense que Nérim premier FAI nationnal à proposer de l'ipv6 tout
début 2000 j'étais super content de cette connexion même s'il y avait
peu d'usages. Mais c'est cette possibilité qui m'a fait développer le v6
côté hosting pour pouvoir de chez moi aller sur des serveurs derrières
des nat multiples en v4 avec juste quelques règles de filtrage en v6.

Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
j'installe pour mes clients ou moi. Résultat ? Plus de 90 % de mon
parc est en dual-stack. La plupart des clients n'ont pas vu de
différence et ne sont probablement même pas au courant de l'existence
d'IPv6.

En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
désactiver IPv6. Je ne l'ai jamais fait : on regarde ce qui ne
fonctionne pas et on fixe.

Bref, activer IPv6 ne m'a pas pris plus de temps et ne m'a pas coûté
plus d'argent.
OK je ne gère pas mon AS et n'ai X k€ de matos réseau à renouveler,
mais c'est aussi le cas de la plupart des personnes concernées (admin
sys et devs).

C'est une question de volonté. Ceux qui en 2016 sortent encore le coup
de "ça coûte du temps et de l'argent" ne veulent juste pas bosser :)



Quand on voit comment Google avec Chrome va rendre le http obsolète en
mettant des warning partout parce que c'est pas chiffré pour des sites
où rien n'est sensible, ils devraient faire pareil en v6 ça ferait
bouger les services marketing pour pas avoir de warning sur leurs sites :P

Depuis 6 mois j'adopte la même stratégie pour HTTPS qu'avec IPv6 :
everywhere, sans demander au client.
Ça marche très bien.

Pour IPv6 ce n'est pas côté Chrome que ça va se jouer, mais côté
Google Search. Un beau jour Google va décréter que IPv6 > IPv4 dans
leurs algos et tout les clients vont vouloir une IPv6.

Comme quoi, parfois, les GAFA ça a du bon :)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Jonathan Leroy]

Le 3 octobre 2016 à 12:45, Arthur Darcet  a écrit :
> https://cloud.google.com/compute/docs/networking
> Google Cloud ne supporte simplement pas l'IPv6.
>
> Donc non, ce n'est pas qu'une question de volonté, et non, tout ne supporte
> pas d'avoir une dual stack

Je ne vois pas vraiment en quoi ça remet en cause mon message.
Un choix a été fait chez Google, comme chez AWS (mais ça commence à
changer), de considérer IPv6 comme un gadget non prioritaire.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Jonathan Leroy]

Le 3 octobre 2016 à 10:09, Wallace  a écrit :
> Quand je pense que Nérim premier FAI nationnal à proposer de l'ipv6 tout
> début 2000 j'étais super content de cette connexion même s'il y avait
> peu d'usages. Mais c'est cette possibilité qui m'a fait développer le v6
> côté hosting pour pouvoir de chez moi aller sur des serveurs derrières
> des nat multiples en v4 avec juste quelques règles de filtrage en v6.

Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
j'installe pour mes clients ou moi. Résultat ? Plus de 90 % de mon
parc est en dual-stack. La plupart des clients n'ont pas vu de
différence et ne sont probablement même pas au courant de l'existence
d'IPv6.

En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
désactiver IPv6. Je ne l'ai jamais fait : on regarde ce qui ne
fonctionne pas et on fixe.

Bref, activer IPv6 ne m'a pas pris plus de temps et ne m'a pas coûté
plus d'argent.
OK je ne gère pas mon AS et n'ai X k€ de matos réseau à renouveler,
mais c'est aussi le cas de la plupart des personnes concernées (admin
sys et devs).

C'est une question de volonté. Ceux qui en 2016 sortent encore le coup
de "ça coûte du temps et de l'argent" ne veulent juste pas bosser :)


> Quand on voit comment Google avec Chrome va rendre le http obsolète en
> mettant des warning partout parce que c'est pas chiffré pour des sites
> où rien n'est sensible, ils devraient faire pareil en v6 ça ferait
> bouger les services marketing pour pas avoir de warning sur leurs sites :P

Depuis 6 mois j'adopte la même stratégie pour HTTPS qu'avec IPv6 :
everywhere, sans demander au client.
Ça marche très bien.

Pour IPv6 ce n'est pas côté Chrome que ça va se jouer, mais côté
Google Search. Un beau jour Google va décréter que IPv6 > IPv4 dans
leurs algos et tout les clients vont vouloir une IPv6.

Comme quoi, parfois, les GAFA ça a du bon :)

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Wallace]

Bien vu cette analyse des deux sites, effectivement faut penser à tout.





signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Wallace]

Le 01/10/2016 à 14:31, Philippe Bourcier a écrit :
>
> Pour rappel, le plus gros frein au v6 à l'époque c'était les bases de
> Geoloc IP (ie: GeoIP).
> Là aussi les choses ont changé depuis... les bases GeoIP sont
> désormais toutes dispo en IPv6.
Et encore ce n'est pas un frein pour tout le monde...

Le frein de l'implémentation de certains protocoles d'adresses v6 n'est
pas non plus un frein, d'autres techniques existent et marchent depuis
longtemps.
Quand je pense que Nérim premier FAI nationnal à proposer de l'ipv6 tout
début 2000 j'étais super content de cette connexion même s'il y avait
peu d'usages. Mais c'est cette possibilité qui m'a fait développer le v6
côté hosting pour pouvoir de chez moi aller sur des serveurs derrières
des nat multiples en v4 avec juste quelques règles de filtrage en v6.

>
> Le seul frein qu'il reste n'est donc plus technique, côté content,
> mais financier, ie:
> Pourquoi dépenser du temps, donc de l'argent à s'occuper de :
>  - la partie DNS,
>  - la partie code,
>  - la partie LB,
>  - la partie monitoring,
> ... en doublant à chaque fois toutes les entrées (donc doublement des
> coûts de maintenance).
>
> Quand on parle de centaines d'IPs/VHosts, ca devient du gros projet...
> hors, tant qu'il n'y a pas d'accès v6-only et qu'il y aura des
> passerelles entre les deux mondes, aucune raison opérationnelle,
> financière et rationnelle de le faire. C'est purement un projet qui
> peut être poussé par les équipes comme "un truc fun à faire", mais ce
> sera impossible de le faire passer en prio par rapport à des projets
> "business".
Le v6 only arrive très rapidement, c'est déjà une réalité en Afrique et
ça comment à en parler sérieusement en Asie (combien de milliard de
personnes là bas déjà?)
>
> Conclusion : Il va falloir être patient... mais ce n'est pas grave, on
> l'a déjà été.
En Europe oui malheureusement. Après chacun fait comme il veut, mais je
préfère imposer cela à ma boite et pas être à la traine que de subir en
force.
Quand on voit comment Google avec Chrome va rendre le http obsolète en
mettant des warning partout parce que c'est pas chiffré pour des sites
où rien n'est sensible, ils devraient faire pareil en v6 ça ferait
bouger les services marketing pour pas avoir de warning sur leurs sites :P
>
> ps: Je note aussi que chez moi j'ai du couper IPv6 sur mon PC, car
> certains sites ou CDNs ne font visiblement pas le même monitoring sur
> leur service v6 que v4 et du coup certaines pages n'ont pas la même
> dispo en v6 qu'en v4. Donc faire du v6, bien, mais pas n'importe
> comment, merci :) D'ailleurs, monitorez-vous vos peerings v6, vos
> smokepings v6 autant que les v4 ? Je dis ça... je dis rien :)
J'ai une réaction très brutale dans ce cas là comme pour les sites qui
bloquent ceux avec bloqueur de pub, ce n'est pas moi qui m'adapte en
virant v6 ou le adblock, je banni ce site et vais trouver l'information
ailleurs tout simplement. Et dingue ça marche super bien et on trouve
d'autres sites bien mieux fait et dans l'esprit du gratuit du web des
années 90 et début 2000 où tout le monde partageait l'info sans
rétribution. Ca fait pas mal d'années que les sites des grands médias
n'ont pas vu de connexion de ma part et je m'en porte pas plus mal.

Sinon oui la supervision doit se faire pour chaque stack, c'est le seul
endroit où j'ai vu le coût d'exploitation grimper, chaque supervision
d'un nouvel élément doit être dupliqué et forcé sur chaque protocole.
Mais au final comme ça s'est fait depuis le début, c'est 10 sec de
perdus pour chaque nouvel élément à superviser, c'est pas un drame, une
pause café me coûte plus cher.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Solarus]

Le 01/10/2016 à 23:51, Radu-Adrian Feurdean a écrit :
>
>> Voir même une incitation ou une prime pour ceux qui poussent leurs
>> clients PA à utiliser IPv6.
> Comment ?
>
Par exemple Gandi, qui propose IPv6 par défaut sur ses VM IaaS et fait
payer les IPv4 en option.

Le LIR qui file un /23 et un /32 IPv6 il peut aussi inciter son client à
déployer IPv6, ça lui évitera (un peu) de chialer pour réclamer des
nouvelles IPv4.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Solarus]

Le 01/10/2016 à 23:51, Radu-Adrian Feurdean a écrit :
> On Sat, Oct 1, 2016, at 09:56, Solarus wrote:
>> Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :)
>>
>> La seule solution est de taper là ou ça fait mal : sur les attributions
>> d’IPv4. Les RIR et notamment le RIPE développent des politiques
>> d’affectation IPv4 si l’AS prend également des préfixes IPv6.
>
> Comment ? Surtout quand tu as la partie operationelle d'une cote, l'IT
> interne (celui qui gere le PC du comptable et du RH, mais surtout le
> serveur exchange) d'une autre cote, et le marketing (qui a pouvoir de
> vie et de mort sur le site web) d'une encore autre cote. Mention
> speciale quand l'IT interne et le marketing n'utilisent pas les services
> de la partie operationelle et ont chacun ses propres prestataires
> (serveur mail et web sur des AS autres que celui de la societe
> elle-meme).
>
On est tout au courant des problèmes réels ou imaginaires qui bloquent
le déploiement d’IPv6, mais en quoi ce sont des excuses valables ?
C’est justement le boulot des gens comme nous, ingénieurs et technicien
réseaux de faire fonctionner ce qui doit fonctionner, et d’essayer de
foutre du plomb dans la cervelle des décideurs.
Ça fait depuis 1996 qu’on en parle, depuis 2006 qu’on en déploie
sérieusement, ça fait beaucoup de temps pour les pleurnicheries et les
reculades.

Moi clairement je m’en fous, c’est pas moi qui galère à trouver des IPv4
pour mes clients, je vais plutôt prendre un paquet de pop corn et
regarder une série sur Netflix en IPv6 pendant que des petites boites
d’hosting mettront la clé sous la porte au profit des gros qui auront
acheté des IPv4 au marché noir.

C’est là où le régulateur à foiré, et c’est très bien qu’il essaye de
rattraper son retard.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Radu-Adrian Feurdean]

On Sat, Oct 1, 2016, at 15:54, Kirth Gersen wrote:
> correctement fait appel a encore pas de mal de choses en IPv4...y compris
> chez orange.fr
> 
> donc c'est plus compliqué que ca.
> 
> résultat avec IPvFoo:

En effet. Parce-que d'un autre cote, pour des sites IPv4-only, "zero
espoir de migration", on peut trouver l'inverse.
On parlait du www.leboncoin.fr. Des que j'arrive sur une page avec de la
pub je tombe sur:

97.media.tumblr.com
2606:2800:234:1449:ee7:690:1f7d:ce7
googleads.g.doubleclick.net 2a00:1450:4007:80e::2002
media-akam.licdn.com2a02:26f0:2d:486::25ea
pagead2.googlesyndication.com   2a00:1450:4007:80e::2002
rpt.cedexis.com 2a00:dd80:3c::4f1

Toujours avec IPvFoo.

Si seulement quelqu'un avait du temps pour faire un argumentaire "PRO
v6" a partir de ca 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Radu-Adrian Feurdean]

On Sat, Oct 1, 2016, at 13:56, Denis Fondras wrote:
> > Support inexistant chez Microsoft Azure. 
> >
> 
> C'est pas la panacée mais c'est un bon début :
> https://azure.microsoft.com/en-us/documentation/articles/load-balancer-ipv6-overview/

Effectivement. Je cite:

Limitations

You cannot add IPv6 load balancing rules in the Azure portal. The
rules can only be created through the template, CLI, PowerShell.
You may not upgrade existing VMs to use IPv6 addresses. You must
deploy new VMs.
A single IPv6 address can be assigned to a single network interface
in each VM.
The public IPv6 addresses cannot be assigned to a VM. They can only
be assigned to a load balancer.
The VMs with the IPv6 addresses cannot be members of an Azure Cloud
Service. They can be connected to an Azure Virtual Network (VNet)
and communicate with each other over their IPv4 addresses.

Je m'arrete la, plus la peine de continuer


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Radu-Adrian Feurdean]

On Sat, Oct 1, 2016, at 09:56, Solarus wrote:
> Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :)
> 
> La seule solution est de taper là ou ça fait mal : sur les attributions
> d’IPv4. Les RIR et notamment le RIPE développent des politiques
> d’affectation IPv4 si l’AS prend également des préfixes IPv6.

Euh, essayons de ne pas ouvrir le sujet ! Croyez-moi c'est beaucoup plus
complique.
Deja bien comprendre la distinction entre RIPE et RIPE NCC et le mode de
fonctionnement de chacune. Participer a toutes les RIPE meeting est un
pre-requis pour y arriver.
Apres, cote politiques, bonne chance. Ca ne suffit pas d'avoir juste une
vague idee de ce qu'il faut faire, il faut sortir un texte clair, sans
ambiguite. En anglais :).
Il faut aussi convaincre pas mal de monde (dont certains peuvent ne pas
etre d'accord) et etre au courant de ce qui se fait ailleurs.
Faut aussi bien comprendre les facons d'abuser le systeme et les portes
arrieres (dont certaines sont faites pour etre utilises de bonne foi
aussi).
Et tout ca, ca consomme du temps en quantite. Tu peux meme avoir a faire
avec des gens qui sont payes pour veiller que les politiques en cours ne
sont pas contraires avec les interets de leur boites..

> Il faut renforcer ces politiques en exigeant que ces préfixes soient
> effectivement annoncés et déployés a minima sur les services principaux
> de l’entité qui gère l’AS.

Comment ? Surtout quand tu as la partie operationelle d'une cote, l'IT
interne (celui qui gere le PC du comptable et du RH, mais surtout le
serveur exchange) d'une autre cote, et le marketing (qui a pouvoir de
vie et de mort sur le site web) d'une encore autre cote. Mention
speciale quand l'IT interne et le marketing n'utilisent pas les services
de la partie operationelle et ont chacun ses propres prestataires
(serveur mail et web sur des AS autres que celui de la societe
elle-meme).

> Voir même une incitation ou une prime pour ceux qui poussent leurs
> clients PA à utiliser IPv6.

Comment ?

> C’est un peu extrême et ça risque de fâcher pas mal de monde, mais la
> plaisanterie a assez duré.

Ca risque surtout a ne pas marcher comme prevu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Radu-Adrian Feurdean]

On Sat, Oct 1, 2016, at 09:49, Alexandre Archambault wrote:
> ---
> $ host www.fcc.gov
> www.fcc.gov is an alias for www.fcc.gov.edgekey.net.
> www.fcc.gov.edgekey.net is an alias for e4909.dscb.akamaiedge.net.
> e4909.dscb.akamaiedge.net has address 23.205.93.97
> e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1ab::132d
> e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1a9::132d
> ---
> 
> C'est pourtant pas compliqué, non ?

Complique ou pas depend entierement du "prestataire en charge".
Ce n'est pas le meme chose quelqu'un comme Akamai (dans l'exemple du
FCC.gov) avec les boites qui existent uniquement pour repondre aux
appels d'offres (et qui s'assurent que la moindre demande d'evolution
est cherement payee).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Kirth Gersen]

faut se méfier des apparences aussi. le site orange.fr a 
peut-etre sa page principale en IPv6 mais celle-ci pour afficher correctement 
fait appel a encore pas de mal de choses en IPv4...y compris chez 
orange.fr

donc c'est plus compliqué que ca.

résultat avec IPvFoo:

www.orange.fr 2a01:c9c0:b3:3000::73
all.orfr.adgtw.orangeads.fr 
193.252.149.167

assistance.orange.fr   193.252.133.9

boutique.orange.fr   79.99.35.99

c.orange.fr 193.252.122.51

c.woopic.com   81.52.142.226

cdn.adgtw.orangeads.fr   193.252.133.109

encrypted-tbn1.gstatic.com   
2a00:1450:400c:c0b::71

hp5.a.woopic.com   2a01:c9c0:a3:8::71

hp5.b.woopic.com   2a01:c9c0:b3:3000::74

hp5.d.woopic.com   2a01:c9c0:a3:8::71

iapref.orange.fr   80.12.255.80

mdsp.orange.fr   194.250.131.65

media.pns.orange.fr 81.52.142.240

proxymedia.woopic.com 193.252.122.108

pushinternet.woopic.com 193.252.122.44

s.gstat.orange.fr 193.252.148.221

statsv6.woopic.com   193.252.122.43

tags.tiqcdn.com 68.232.35.180

test-ds.woopic.com   2a01:c9c0:b3:170::43

test-v4.woopic.com   193.252.122.43

test-v6.woopic.com   2a01:c9c0:b3:170::43

vra.outbrain.com   104.85.41.231

vrp.outbrain.com   64.202.112.26

vrt.outbrain.com   64.202.112.26

www.googletagservices.com 
2a00:1450:4007:80e::2002


www.mediapeo3.com 79.99.33.235

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[David Ponzone]

Alexandre,

Autant que je sache, mon iPhone est full-ipv6 quand je suis sur un réseau WIFI 
IPv6 (en tout cas c’est ce que me disent différents sites de test).
Quand je suis en 4G, là, IPv4 only (peut-être que l’IOS ne supporte pas le 
dual-stack en LTE) et c’est donc Orange le responsable.
Est-ce qu’un opérateur mobile en France a déployé de l’IPv6 et le protocole de 
coeur de réseau qui va bien pour parler au monde IPv4 ?

De plus, Apple contrait toutes les applications de l’AppStore à être IPv6-aware 
depuis quelques mois.
Et à priori, Apple privilégie l’IPv6 au niveau perfs depuis aussi quelques 
mois, que ça soit sur IOS ou sur MacOS.



> Le 1 oct. 2016 à 09:55, Alexandre Archambault  a écrit :
> 
> 
> 
> Le 30/09/2016 à 16:11, David Ponzone a écrit :
>> http://www.arcep.fr/uploads/tx_gspublication/rapport-gvt-transition-IPv6-sept2016.pdf
>>  
>> 
>> 
>> Ils n’ont pas raté le fait que les gros sites gouvernementaux français ne 
>> soient pas encore en v6 :)
> 
> Saluons le gros travail de pédagogie qui a été fait, en sachant
> s'entourer pour pouvoir monter en compétence sur le sujet. Ca fait
> plaisir de voir une AAI clairement dans son rôle d'éclaireur, une
> mission qui était jusqu'à présent un peu en jachère car à faible ROI.
> 
> Un regret toutefois, le rapport passe complètement à côté du principal
> levier : IPv6 deviendra la norme, notamment sur le mobile, le jour où
> Apple / Android ainsi que le p0rn le décideront (et on s'en rapproche
> pour les premiers, les seconds suivront le jour où ils percuteront que
> ça permettra de résoudre leurs petits problèmes de monétisation des
> contenus)
> 
> -- 
> Alec,
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Philippe Bourcier]

Re,


Mais bon quand on voit que les positions d'il y a quelques années au
FRNOG sur l'adoption d'IPv6, cela n'a pas changé pour certains :
host www.leboncoin.fr
www.leboncoin.fr has address 193.164.196.82
www.leboncoin.fr has address 193.164.197.82

La raison était évidente : ça ne rapporte rien et ça va coûter ...


Pour rappel, le plus gros frein au v6 à l'époque c'était les bases de 
Geoloc IP (ie: GeoIP).
Là aussi les choses ont changé depuis... les bases GeoIP sont désormais 
toutes dispo en IPv6.


Le seul frein qu'il reste n'est donc plus technique, côté content, mais 
financier, ie:

Pourquoi dépenser du temps, donc de l'argent à s'occuper de :
 - la partie DNS,
 - la partie code,
 - la partie LB,
 - la partie monitoring,
... en doublant à chaque fois toutes les entrées (donc doublement des 
coûts de maintenance).


Quand on parle de centaines d'IPs/VHosts, ca devient du gros projet... 
hors, tant qu'il n'y a pas d'accès v6-only et qu'il y aura des 
passerelles entre les deux mondes, aucune raison opérationnelle, 
financière et rationnelle de le faire. C'est purement un projet qui peut 
être poussé par les équipes comme "un truc fun à faire", mais ce sera 
impossible de le faire passer en prio par rapport à des projets 
"business".


Conclusion : Il va falloir être patient... mais ce n'est pas grave, on 
l'a déjà été.


ps: Je note aussi que chez moi j'ai du couper IPv6 sur mon PC, car 
certains sites ou CDNs ne font visiblement pas le même monitoring sur 
leur service v6 que v4 et du coup certaines pages n'ont pas la même 
dispo en v6 qu'en v4. Donc faire du v6, bien, mais pas n'importe 
comment, merci :) D'ailleurs, monitorez-vous vos peerings v6, vos 
smokepings v6 autant que les v4 ? Je dis ça... je dis rien :)



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Denis Fondras]

> Support inexistant chez Microsoft Azure. 
>

C'est pas la panacée mais c'est un bon début :
https://azure.microsoft.com/en-us/documentation/articles/load-balancer-ipv6-overview/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Vincent Bernat]

 ❦  1 octobre 2016 11:49 CEST, Wallace  :

> Alors que d'autres ont évolués enfin malgré la pléthore de v4 à leur
> disposition :
> host www.orange.fr
> d.hpc.gtm.fti.net has address 193.252.122.103
> d.hpc.gtm.fti.net has IPv6 address 2a01:c9c0:b3:3000::4

Enfin. Ça date quand même pas mal (juin 2013 plus quelques jours autour
de juin 2012). Cela n'en fait pas un exemple, mais c'est loin d'être le
plus mauvais élève en la matière. Il a fallu attendre par exemple le
support d'ECMP pour IPv6 dans Linux (contribué par 6wind, fin 2012) et
il a fallu ensuite implémenter le support d'ECMP en IPv6 dans
Quagga. Aujourd'hui encore, pas de support ECMP (sans patch) pour IPv6
chez Quagga sous Linux. BIRD a eu ce support (partiel) le mois dernier.

D'autre part, support parcellaire d'IPv6 chez AWS. Support inexistant
chez Google Compute Engine. Support inexistant chez Microsoft Azure. Ça
ne justifie pas d'attendre sans rien faire, mais ça devrait quand même
donner un indice que c'est pas aussi simple que d'aller coller quelques
IPv6 sur des interfaces.
-- 
Make input easy to prepare and output self-explanatory.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Solarus]

Le 01/10/2016 à 09:49, Alexandre Archambault a écrit :
> Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une
> entrée IPv6 serait un bon début.
Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :)

La seule solution est de taper là ou ça fait mal : sur les attributions
d’IPv4. Les RIR et notamment le RIPE développent des politiques
d’affectation IPv4 si l’AS prend également des préfixes IPv6.

Il faut renforcer ces politiques en exigeant que ces préfixes soient
effectivement annoncés et déployés a minima sur les services principaux
de l’entité qui gère l’AS.
Voir même une incitation ou une prime pour ceux qui poussent leurs
clients PA à utiliser IPv6.

C’est un peu extrême et ça risque de fâcher pas mal de monde, mais la
plaisanterie a assez duré.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Wallace]

Le 01/10/2016 à 10:00, Xavier Beaudouin a écrit :
> Hello,
>
>> Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une
>> entrée IPv6 serait un bon début.
>>
>> ---
>> $ host www.fcc.gov
>> www.fcc.gov is an alias for www.fcc.gov.edgekey.net.
>> www.fcc.gov.edgekey.net is an alias for e4909.dscb.akamaiedge.net.
>> e4909.dscb.akamaiedge.net has address 23.205.93.97
>> e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1ab::132d
>> e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1a9::132d
>> ---
>>
>> C'est pourtant pas compliqué, non ?
>>
> Excellente idée... Et surtout que bon n'importe que soft DNS sais faire de 
> l'IPv6 et qu'il ne faut pas non plus monter une usine à gaz pour faire :
> - du dual stack v6 : tous les OS le font
> - faire tourner du bind/knotdns/djdns/pdns en ipv6 et ipv4
> - meme des LB d'il y a 6 ans savent faire du LB ipv6 de base (après je ne dis 
> pas qu'il y a des bugs, mais pas insurmontables).
>
> Le mail en ipv6 est "peut-être" difficile, le web, heu... varnish / nginx 
> savent très bien faire un reverse proxy pour mettre devant vos appliances en 
> mousse... :p
>
> Donc en 2016 : no excuses.
>
> Xavier
>
En mail avec les gros fournisseurs du GAFAM les serveurs discutent à 65%
en IPv6, on avait déjà bien halluciné d'obtenir plus de 50% de trafic
mail en v6 y a 4 ans.
Est-ce que cela a été dur, à vrai dire on y pense depuis longtemps et on
a prit la décision de rendre v6 tous nos serveurs, le v4 est déjà
optionnel chez nous.
Du coup une fois qu'on a documenté comment déployé correctement les
applications pour qu'elles écoutent en v6 le plus gros travaille est fait.

Mais bon quand on voit que les positions d'il y a quelques années au
FRNOG sur l'adoption d'IPv6, cela n'a pas changé pour certains :
host www.leboncoin.fr
www.leboncoin.fr has address 193.164.196.82
www.leboncoin.fr has address 193.164.197.82

La raison était évidente : ça ne rapporte rien et ça va coûter ...

Alors que d'autres ont évolués enfin malgré la pléthore de v4 à leur
disposition :
host www.orange.fr
d.hpc.gtm.fti.net has address 193.252.122.103
d.hpc.gtm.fti.net has IPv6 address 2a01:c9c0:b3:3000::4



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Aurelien Beaujean]

Le Saturday 01 October 2016 a 09:49, Alexandre Archambault ecrivait:
> Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une
> entrée IPv6 serait un bon début.

Les intéressés, ceux même qui prônent IPv6 dans tous les sens, ne
semblent pas sensible à cet argument et préfèrent se cacher derrière des
trolls.

On a longtemps rejeté la faute de l'adoption d'IPv6 aux FAI, mais le
monde semble découvrir aujourd'hui que c'est un soucis d'OS / logiciel
et de contenu...

-- 
Auré


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Frédéric GANDER]

euh les droid direct internet en v6 ?
pas la bonne idée du siècle

ta batterie va pas aimer 
et tes données non plus (quota forfait / donnée sur le tel)
et la radio encore moins




- Mail original -
> De: "Alexandre Archambault" <a...@free.fr>
> À: frnog@frnog.org
> Envoyé: Samedi 1 Octobre 2016 09:55:00
> Objet: Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6
> 
> 
> 
> Le 30/09/2016 à 16:11, David Ponzone a écrit :
> > http://www.arcep.fr/uploads/tx_gspublication/rapport-gvt-transition-IPv6-sept2016.pdf
> > <http://www.arcep.fr/uploads/tx_gspublication/rapport-gvt-transition-IPv6-sept2016.pdf>
> > 
> > Ils n’ont pas raté le fait que les gros sites gouvernementaux
> > français ne soient pas encore en v6 :)
> 
> Saluons le gros travail de pédagogie qui a été fait, en sachant
> s'entourer pour pouvoir monter en compétence sur le sujet. Ca fait
> plaisir de voir une AAI clairement dans son rôle d'éclaireur, une
> mission qui était jusqu'à présent un peu en jachère car à faible ROI.
> 
> Un regret toutefois, le rapport passe complètement à côté du
> principal
> levier : IPv6 deviendra la norme, notamment sur le mobile, le jour où
> Apple / Android ainsi que le p0rn le décideront (et on s'en rapproche
> pour les premiers, les seconds suivront le jour où ils percuteront
> que
> ça permettra de résoudre leurs petits problèmes de monétisation des
> contenus)
> 
> --
> Alec,
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Xavier Beaudouin]

Hello,

> 
> Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une
> entrée IPv6 serait un bon début.
> 
> ---
> $ host www.fcc.gov
> www.fcc.gov is an alias for www.fcc.gov.edgekey.net.
> www.fcc.gov.edgekey.net is an alias for e4909.dscb.akamaiedge.net.
> e4909.dscb.akamaiedge.net has address 23.205.93.97
> e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1ab::132d
> e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1a9::132d
> ---
> 
> C'est pourtant pas compliqué, non ?
> 

Excellente idée... Et surtout que bon n'importe que soft DNS sais faire de 
l'IPv6 et qu'il ne faut pas non plus monter une usine à gaz pour faire :
- du dual stack v6 : tous les OS le font
- faire tourner du bind/knotdns/djdns/pdns en ipv6 et ipv4
- meme des LB d'il y a 6 ans savent faire du LB ipv6 de base (après je ne dis 
pas qu'il y a des bugs, mais pas insurmontables).

Le mail en ipv6 est "peut-être" difficile, le web, heu... varnish / nginx 
savent très bien faire un reverse proxy pour mettre devant vos appliances en 
mousse... :p

Donc en 2016 : no excuses.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Alexandre Archambault]

Le 30/09/2016 à 16:11, David Ponzone a écrit :
> http://www.arcep.fr/uploads/tx_gspublication/rapport-gvt-transition-IPv6-sept2016.pdf
>  
> 
> 
> Ils n’ont pas raté le fait que les gros sites gouvernementaux français ne 
> soient pas encore en v6 :)

Saluons le gros travail de pédagogie qui a été fait, en sachant
s'entourer pour pouvoir monter en compétence sur le sujet. Ca fait
plaisir de voir une AAI clairement dans son rôle d'éclaireur, une
mission qui était jusqu'à présent un peu en jachère car à faible ROI.

Un regret toutefois, le rapport passe complètement à côté du principal
levier : IPv6 deviendra la norme, notamment sur le mobile, le jour où
Apple / Android ainsi que le p0rn le décideront (et on s'en rapproche
pour les premiers, les seconds suivront le jour où ils percuteront que
ça permettra de résoudre leurs petits problèmes de monétisation des
contenus)

-- 
Alec,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Alexandre Archambault]

Le 30/09/2016 à 16:51, Clement Cavadore a écrit :

> On Fri, 2016-09-30 at 16:47 +0200, Xavier Beaudouin wrote:
>> Déjà :
>> $ host www.arcep.fr
>> www.arcep.fr has address 81.200.191.17
>>
>> Voila... voila...
> Hello,
> 
> Ca a été admis en direct par S.Soriano à l'AG FranceIX...
> 
> En même temps, ils ont compris ce que c'était que les "problématiques de
> migration vers IPv6", en y étant eux même confrontés... :-)

Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une
entrée IPv6 serait un bon début.

---
$ host www.fcc.gov
www.fcc.gov is an alias for www.fcc.gov.edgekey.net.
www.fcc.gov.edgekey.net is an alias for e4909.dscb.akamaiedge.net.
e4909.dscb.akamaiedge.net has address 23.205.93.97
e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1ab::132d
e4909.dscb.akamaiedge.net has IPv6 address 2a02:26f0:ff:1a9::132d
---

C'est pourtant pas compliqué, non ?


-- 
Alec,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Clement Cavadore]

Hello,

Ca a été admis en direct par S.Soriano à l'AG FranceIX...

En même temps, ils ont compris ce que c'était que les "problématiques de
migration vers IPv6", en y étant eux même confrontés... :-)

On Fri, 2016-09-30 at 16:47 +0200, Xavier Beaudouin wrote:
> Déjà :
> $ host www.arcep.fr
> www.arcep.fr has address 81.200.191.17
> 
> Voila... voila...
> 
> - Mail original -
> > De: "David Ponzone" 
> > À: frnog-m...@frnog.org
> > Envoyé: Vendredi 30 Septembre 2016 16:11:53
> > Objet: [FRnOG][MISC] Rapport ARCEP sur problème IPv6
> 
> > http://www.arcep.fr/uploads/tx_gspublication/rapport-gvt-transition-IPv6-sept2016.pdf
> > 
> > 
> > Ils n’ont pas raté le fait que les gros sites gouvernementaux français ne 
> > soient
> > pas encore en v6 :)
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Xavier Beaudouin]

Déjà :
$ host www.arcep.fr
www.arcep.fr has address 81.200.191.17

Voila... voila...

- Mail original -
> De: "David Ponzone" 
> À: frnog-m...@frnog.org
> Envoyé: Vendredi 30 Septembre 2016 16:11:53
> Objet: [FRnOG][MISC] Rapport ARCEP sur problème IPv6

> http://www.arcep.fr/uploads/tx_gspublication/rapport-gvt-transition-IPv6-sept2016.pdf
> 
> 
> Ils n’ont pas raté le fait que les gros sites gouvernementaux français ne 
> soient
> pas encore en v6 :)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/