Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juil. 2011 à 03:04, Jérôme Nicolle a écrit : Le 3 juillet 2011 01:58, Yoann Gini yoann.g...@gmail.com a écrit : Le 2 juil. 2011 à 20:19, Michel Py a écrit : Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois S’ils veulent ouvrir en France, je connais quelques clients qui seraient intéressés… Pour info, on est plus à 1 600 € / mois pour du 50 M symétrique chez nous… Heu Michel parlait de produits grand-public il me semble, le genre avec une cretinbox derrière et aucune garantie. En gros, c'est ce que tu as sur des offres FTTx à 30 - 50€ dans quelques endroits précis en France. Au temps pour moi alors, j’ai cru que Michel parlait des offres pro ! 50Mbps symétrique garanti, en offre entreprise, c'est bien vendu entre 1200 et 2000€ par mois en France. C'est pas que ça coûte autant à produire, c'est juste qu'à part sur des zones bien définies, personne ne fait mieux. Alors à quoi bon detruire la valeur du réseau ? Comme je disais, bien que n’ayant jamais bossé côté FAI, je comprends bien la problématique de cout. Mais il ne faut pas oublier le côté client qui lui voit ça : ADSL / Fibre débit Max : entre 30 et 50 € / mois SDSL 2 M : 160 € SDSL 3 M : 240 € et ainsi de suite jusqu’à avoir la SDSL 20 M (même débit descendant que l’ADSL en gros) à 1 000 € / mois Avec une telle grille de tarif, il ne faut pas s’étonner de se retrouver avec des config type ADSL, ADSLx2 ou ADSL + SDSL 1 ou 2 M. La dernière config est justement celle qui intéresse le plus les clients qui comprenne à quoi sert une SDSL, sauf que prendre une SDSL pour l’usage standard de navigation Internet coute très cher, du coup on fini en double avec une ADSL et un routeur mutli-FAI pour arriver à en faire quelque chose d’intéressant. smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juil. 2011 à 05:59, Pierre Lagoutte a écrit : Le 03/07/2011 01:58, Yoann Gini a écrit : les clients standard seront plus orientés sur l’ADSL. ?? pas mal. Excellent projet.!! Mais tu fais ça comment sans NAT+load-balancing ? le client route à l'inspiration du moment ? Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de monde… La solution idéale serait des adresses PI et du multi-homming, sauf que je vois mal les FAI accepter ça sur de l’ADSL grand publique d’une part, et d’autre part les clients ne comprendront pas pourquoi IPv6 fait « moins bien » qu’IPv4 et ne voudront pas faire la migration. À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load balacing / traffic selection entre les deux sans pour autant ruiner le client. smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 2 Jul 2011, at 23:10, Rémy Sanchez wrote: On Saturday 02 July 2011 23:23:13 Thomas Mangin wrote: C'es plutot pour la gateway avec deux uplinks qui peut faire du balancing facilement. Et tu fais ça avec 2 uplinks qui ont des préfixes différents sans NAT66 ? Oui, chaque machine a alors deux IP. Les deux IP sont toutes le deux globales, comme une machine avec deux interfaces et deux IP publiques mais avec une seule interface pour v6. Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail de Yoann explique bien la limite de cette technique. Si c'est un hash par flux, pour les cas simple c'est tout bon, sinon, pas autant. Dans le cas du DC, tu peux alors router créer deux sessions BGP avec routeurs 1 et 2, annoncer des IP de services (installe sur lo0). Si le routeur tombe en rade, tu as alors toujours l'autre. Ca peut remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6) Thomas PGP.sig Description: This is a digitally signed message part
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sat, 2 Jul 2011 11:19:02 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois Si ça c'est trop cher pour une petite société ou un troupeau de 150 étudiants C'est un peu moins evident en France. Je ne parle pas des autres pays europeens, mais de le France. Et entre 100M/10M a 200$/mo et internet jusqu'a 100M a 30$/mo, Jaques Michu, PDG d'une TPE de 19 personnes a vite choisi. Surtout qu'en matiere de FAI il connait pas beaucoup (en regle generale ils sont 5 : les 3, bbox et le cableur). Thomas Mangin a écrit: Le problème est d'expliquer ce que veut dire le 1:1 et 50:1 de contention en bas de la page :D .. Pas difficile c'est ecrit nullepart Encore une fois, ca c'est en France Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Non. Pas envisageable. Il faut que ca marche meme en absence du guru local (le seul capable de demarrer un cmd.exe). Et tout ca sans surcout --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Avant que j'oublie, je pense à ouvrir un MacDo juste en face de l'immeuble à Rémy, est-ce qu'il y a des investisseurs potentiels sur la liste? :-D Yoann Gini a écrit: Pour info, on est plus à 1 600 € / mois pour du 50 M symétrique chez nous… Jérôme Nicolle a écrit: Heu Michel parlait de produits grand-public il me semble, le genre avec une cretinbox derrière et aucune garantie. Tout à fait. Ceci dit nous avons parfois aussi des offres sans crétinbox et avec du débit garanti, dans les même zones de couverture (10Mbps/2Mbps pour environ $100, garanti); en général disons que c'est 2+ fois le prix du non-garanti, et que ça dépasse rarement 20Mbps, pour les raisons que tu décris plus bas. Et en aucun cas ce n'est un prix public listé, dont faut parler au commercial, et le prix et en fonction de la distance, de la gueule du client, de l'âge du capitaine, etc. En gros, c'est ce que tu as sur des offres FTTx à 30 - 50€ dans quelques endroits précis en France. En gros, je suis d'accord. 50Mbps symétrique garanti, en offre entreprise, c'est bien vendu entre 1200 et 2000€ par mois en France. C'est pas que ça coûte autant à produire, Non, mais faut pas rêver non plus, 50Mbps symétrique entreprise pour ça coûte nettement plus que 200€ par mois. c'est juste qu'à part sur des zones bien définies, personne ne fait mieux. Alors à quoi bon detruire la valeur du réseau ? En effet, pourquoi tuer la poule aux oeufs d'or? Comme Thomas le faisait remarquer: Thomas Mangin a écrit: Mais c'est vrai que tout serai mieux si une ligne DSL coutait €300 par mois ... ou pas ! L'accès à l'Internet, c'est un peu comme les automobiles: la marge est dans le haut de gamme. Donc c'est vrai que Mme Michu paie en partie la facture du power user, mais elle n'est pas la seule et l'accès entreprise paie aussi. Donc ne pas oublier que si l'accès grand public à 30€ (que la plupart des lecteurs utilisent et souvent abusent) est dispo, c'est parce que quelqu'un d'autre paie. Michel Py a écrit: Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Radu-Adrian Feurdean a écrit: Non. Pas envisageable. Il faut que ca marche meme en absence du guru local (le seul capable de demarrer un cmd.exe). Et tout ca sans surcout Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si difficile.. Michel Py a écrit : Je ne vois pas ou est ton problème; un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI (dans le préfixe fourni par le FAI ou le tunnel broker). Yoann Gini a écrit: Problème déjà débattu dans le passé. Effectivement, c’est un début de solution, le seul défaut ici (sauf mauvaise compréhension de ma part) c’est que c’est le client qui choisit sa route. Or on aimerait plus que ce soit sur le routeur. Généralement sur le routeur je vais ajouter certaines règles pour que le serveur interne passe toujours par la SDSL ainsi que le SIP par exemple tandis que les clients standard seront plus orientés sur l’ADSL. Ça permet de prendre une SDSL pas trop cher et de contrôler son usage. Je suis complètement d'accord avec toi, tu as le même raisonnement que la plupart des opérateurs d'entreprise. Mais ces décisions on été prises il y a 15 ans et je ne vois pas comment aujourd'hui on pourrait changer ça, surtout qu'il y en a encore plein surtout à L'IETF qui n'ont jamais configuré un routeur ou maintenu un réseau d'entreprise qui continuent à croire qu'ils ont raison. Plus de 1 adresse par PC, ça devient rapidement une usine à gaz et c'est une des raisons primordiales derrière le non-déploiement de v6. Remarque, si IPv6 ne te plait pas, tu peux toujours faire comme moi et la majorité silencieuse: ne pas t'en servir :P Michel.
Re: [FRnOG] Re: [FRnOG] Laissez-nous faire du multi-wan ( était: RFC 6296: IPv6-to-IPv6 Network Prefix Translation)
On Sat, 2 Jul 2011 21:57:37 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Les deux produits sont différent, la LS est un produit non partage, la capacité est la 100% du temps alors que pour l'ADSL ce n'est pas le cas. Ce qu'il faut ce sont des offres pro a 10:1 , 4:1 ou 10:1 moins chère. Ce qu'ils faut c'est de preciser sour *TOUS* les offres, y compris les residentiels, de degre de over-booking. La ca devient tout de suite plus comprehensible pour beaucoup plus de monde. Par contre, comme ma boite ouvre pas mal de filiales dans le monde, je constate que la tendance est plutot a l'inverse, de le cacher, et de noyer tout dans des services a valeur ajoute. Ca me pousse a sortir des specs parfois ridicules, afin d'ecarter tous les offres pseudo-pro. Resultat, des country managers qui ne comprennent pas pourquoi ils doivent payer 10-50 fois plus cher pour une connexion plus lente que ce qu'ils ont a la maison. En meme temps il faut que ca fonctionne comme au siege (deux fibres noires vers la plate-forme de prod). Des gens comme ca on trouve partout, c'est quasiment la norme, mais pas tout le monde est une de mes filiales pour etre domestique. Ceux qui ne le sont pas sont une clientele pour des solutions foireuses, mais qui se vendent bien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 10:01:15 +0200, Yoann Gini yoann.g...@gmail.com said: Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de monde… ... et qui reste foireuse ... Je comprends bien que les utilisateurs aiment des telles merdes, mais en tant que profesionnel faudra un bon jour commencer a leur expliquer ce qu'un ADSL grand-public represente vraiment: un produit pour la maison, dont les utilisateurs vont jouer au foot en bas de l'immeuble ou encore boire une biere au bar du coin quand ca ne marche pas. Si leur business depend d'une facon ou autre d'internet (e-mail, interco avec filiales/partenaire, la myriade d'applis SAAS - RH, compta, ERP, CRM, .)faut serieusement penser a un produit pro (a condition que ces produits le sont vraiment !!!). À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load balacing / traffic selection entre les deux sans pour autant Il me semble que ca existe mais pas forcement chez les grands. Hint: chez certains les produits sont crees par des gens techniques, chez d'autres par des chefs de produits rattaches au marketing. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 3 Jul 2011, at 19:54, Michel Py wrote: Plus de 1 adresse par PC, ça devient rapidement une usine à gaz et c'est une des raisons primordiales derrière le non-déploiement de v6. Je ne suis pas d'accord sur les deux points. Ce n'est pas une usine a gaz d'avoir plus d'une IP par machine. Je suis un grand fan de site-local (que j'ai appelé scope-local avant - duh ! mais j'aurai du dire unique local address). http://en.wikipedia.org/wiki/Unique_local_address - RFC 4193 Est ce n'est pas la raison pour le non-deployment de IPv6 non plus, sur cette liste je mettrai : - pas de connaissance - pas de besoin - pas de temps - inertie de v4 Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 09:31:23 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles que sur IPv4 s'appliquent: - connexion existante : l'addresse utilise a l'ouverture de la connexion est gardee - nouvelle connexion ou protocole connectionless : l'addresse est initialement :: , le noyau decide selon le default gateway utilise pour envoyer le premier SYN. - dans des cas plus rares, l'application peut simuler le comportement statefull sur un protocole stateless. Resume : chaque host fait quasiment le meme boulot que le routeur NAT/NPT, sauf pour la partie detecter un lien down, ou la cooperation avec le routeur concerne est essentielle. Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail Meme probleme sur IPv4, sauf que la les vendeurs de solutions merdique font un exceptionnel boulot de packaging remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6) Ah, comme je suis content de ne pas etre dans ce cas-la. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 11:54:55 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: Radu-Adrian Feurdean a écrit: Non. Pas envisageable. Il faut que ca marche meme en absence du guru local (le seul capable de demarrer un cmd.exe). Et tout ca sans surcout Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si difficile.. Si tu fais ca, le serveur finit comme poste de travail du stagiaire. Donc tu fais en sorte qu'il n'a pas d'ecran et clavier branche par default, donc besoin du guru local (Jaques Michu ne sait pas comment brancher un ecran) . --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si difficile.. Radu-Adrian Feurdean Si tu fais ca, le serveur finit comme poste de travail du stagiaire. Donc tu fais en sorte qu'il n'a pas d'ecran et clavier branche par default, donc besoin du guru local (Jaques Michu ne sait pas comment brancher un ecran) . MDR :-) mais pour ça j'ai l'arme absolue: l'écran su serveur est à 1,30m de haut dans le rack dans le placard, ça décourage les plus coriaces. En plus, c'est un deal bien clair avec le client: toi yen a pas toucher ça. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 12:38:15 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: plus, c'est un deal bien clair avec le client: toi yen a pas toucher ça. Donc, il clique pas sur l'icon sur le desktop :P Donc besoin de guru :P QED (??? CQFD ???) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sunday 03 July 2011 10:31:23 Thomas Mangin wrote: On 2 Jul 2011, at 23:10, Rémy Sanchez wrote: On Saturday 02 July 2011 23:23:13 Thomas Mangin wrote: C'es plutot pour la gateway avec deux uplinks qui peut faire du balancing facilement. Et tu fais ça avec 2 uplinks qui ont des préfixes différents sans NAT66 ? Oui, chaque machine a alors deux IP. Les deux IP sont toutes le deux globales, comme une machine avec deux interfaces et deux IP publiques mais avec une seule interface pour v6. Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail de Yoann explique bien la limite de cette technique. Si c'est un hash par flux, pour les cas simple c'est tout bon, sinon, pas autant. Dans le cas du DC, tu peux alors router créer deux sessions BGP avec routeurs 1 et 2, annoncer des IP de services (installe sur lo0). Si le routeur tombe en rade, tu as alors toujours l'autre. Ca peut remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6) Thomas C'est sûr ça aide pour la résilience, mais quand comme moi tu cherches à grapiller le moindre bit/s que tu peux trouver, ça marche moins bien. Retour à la case NAT66, malheureusement. Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui vend des « dual-adsl aggrégés côté opérateur » (attention, terme marketing inventé à l'instant)... Y'a des protocoles pour faire ça proprement (au moins la RFC 1717), et ça élimine tout besoin de NATxx. Je suppose que c'est lié au fait que y'a qu'une seule prise téléphonique chez les gens normaux. -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Rémy Sanchez a écrit: Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui vend des « dual-adsl aggrégés côté opérateur » (attention, terme marketing inventé à l'instant Faudrait inventer un routeur WiFi triple radio, avec 2 radios dehors comme ça tu peux load-balancer le WiFi du MacDo et celui du Quick :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 20:38:26 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Avec deux IPv6 apprise via RA, tu as deux default gateway ... C'est la que l'OS doit en choisir une .. toujours la meme ? round robin ? Pas oublier position de la lune .. Assez longtemps qu'il a 2 default GW, faut pas compter sur ca. Oui mais l'application connait son IP, est ce la que le routeur blesse Mais tres souvent s'en fout completement. D'ou je me posais il y a quelques temps la question des addresses v6 prefixless : on configure et utilise juste les derniers 64 bits de l'addresse ( ::dead:f00d:cafe:b055 ), au noyau de remplir le reste. Ca a aussi l'avantage d'epargner les pires cauchemards : la re-numerotation. Bref, quasiment du autoconf, mais sans les joies des il faut utiliser 2a00:xxx:yyy:zzz:7d9b:6961:f495:b95d comme serveur DNS... Et avec un petit boost cote noyau pour la partie address correction. Ca fait beaucoup plus user-friendly que beaucoup d'horreurs qui se sont bien glisses dans les specs officiels --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sunday 03 July 2011 21:50:11 Michel Py wrote: Faudrait inventer un routeur WiFi triple radio, avec 2 radios dehors comme ça tu peux load-balancer le WiFi du MacDo et celui du Quick :P Ah, moi j'pensais plutôt au cluster de clef 3G, on a une BS Orange sur la tête. Remarque, on pourrait directement détourner la connexion de la BS... J'suis sûr, ils s'en rendraient même pas compte :3 -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui vend des « dual-adsl aggrégés côté opérateur » Une raison est surement que les FAI ne veulent pas que le client le fasse :p MPPP est une option (nous l'offrons), mais il faut faire attention car si les paires de cuivre ne prennent pas les même ducts, la différence cause des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop de cout du cote debugging ... Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4QyccACgkQA/52wvuLgaEgpwCfbpxL8cXMCCTuEvedxj4R9InX UQ0AoPmH0PxLrj6ipaEcOUSeRgrODcPB =BLYo -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sunday 03 July 2011 21:57:58 Thomas Mangin wrote: MPPP est une option (nous l'offrons), mais il faut faire attention car si les paires de cuivre ne prennent pas les même ducts, la différence cause des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop de cout du cote debugging ... Les mêmes ducts ? C'est quoi cette chose ? -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Les mêmes ducts ? C'est quoi cette chose ? Un anglicisme ... http://en.wikipedia.org/wiki/Duct_(HVAC) C'est ce qui se passe quand j'écris des email en regardant la tele .. (ca et les pluriels, etc.) Le chemin pris par la paire de cuivre entre une résidence et l'échange. Le problème est souvent quand la seconde ligne téléphonique est installe et qu'il n'y a plus de paires libre sur le cuivre installe précédemment dans ce cas l faut mieux installer une troisième ligne et annuler la première après (du mois sur mon ile :P) Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4Q0CgACgkQA/52wvuLgaF8BgCg3pFYFS1T04mocEGBZrIwda// Ev4AmQFuQ5RihP9H91LVdCYZme4lt4t2 =75jC -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Thu, Jun 30, 2011 at 08:11:54PM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 19 lines which said: j'ai décrit en détail ce mécanisme (soumis draft-py-multi6-mhtp-00.txt, qui a évolué en draft-py-mhap-01a.txt). Ni tools.ietf.org, ni le Datatracker ne semblent pouvoir les retrouver. Un URL ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 09:53:49AM +0200, Raphaël Jacquot sxp...@sxpert.org wrote a message of 29 lines which said: j'y vois au moins trois inconvénients Mathieu Goessens a bien répondu à cet über-trollage. J'ajoute : * ca ne sécurise pas mieux que le NAT en v4 Il faudrait lire le RFC qui dit clairement que : 1) Le NAT en v4 ne sécurise guère, 2) NPT v6 ne prétend pas sécuriser mieux que le NAT v4, le RFC dit clairement que NPT v6 ne sécurise pas du tout ! (Ce n'est pas son rôle.) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 09:59:32AM +0200, MM mm...@palpix.com wrote a message of 23 lines which said: ça peut éviter pas mal de bordel si le CPE fait un minimum pour que les réseaux domestiques fuitent, non ? La question est discutée. L'état de l'art est dans le RFC 6092 http://www.bortzmeyer.org/6092.html. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 02:17:03PM +0200, Alain Richard alain.rich...@equation.fr wrote a message of 160 lines which said: un linux implémentant ce RFC. http://code.google.com/p/napt66/ Je ne l'ai pas testé. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 07:20:33AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 18 lines which said: Si tu as une raison valable d'être multihomé, Personnellement, je pense que le droit au multihomage est un droit de l'homme fondamental. Plus sérieusement, pourquoi vouloir limiter cette solution (le multihomage) à ceux qui ont « une raison valable » ? À la maison, je suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une fois, cela m'a sauvé la mise. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 10:19:02AM +0200, Raphaël Jacquot sxp...@sxpert.org wrote a message of 21 lines which said: auquel cas, c'est un firewall configurable par l'utilisateur qu'il faut mettre dans le CPE, et pas ce bricolage de NAT C'est précisement ce que dit le RFC 6296 : il faut traiter l'adressage et la sécurité séparement. NPT (alias NAT66), spécifié dans le RFC 6296, ne traite que l'adressage (et s'en vante). --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 08:28:44AM +0200, Guillaume Barrot guillaume.bar...@gmail.com wrote a message of 44 lines which said: truc comme lisp (lui aussi en draft) Justement, NPTv6 n'est pas en Internet-Draft, le RFC est sorti. Compte-tenu du travail que représente le déploiement de LISP (et surtout de sa fonction de mapping, pour laquelle pas grand'chose n'a été fait), NPTv6, bien plus simple et déployable, lui, de manière unilatérale, a ses chances. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, Jul 03, 2011 at 09:37:46PM +0100, Thomas Mangin thomas.man...@exa-networks.co.uk wrote a message of 8 lines which said: http://tools.ietf.org/id/draft-py-multi6-mhtp-00.txt ? Je n'avais cherché que le plus récent, draft-py-mhap, et rien trouvé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Plus sérieusement, pourquoi vouloir limiter cette solution (le multihomage) à ceux qui ont « une raison valable » ? À la maison, je suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une fois, cela m'a sauvé la mise. Moi aussi je suis multihome, DSL et 3G backup avec les même IPs sur les deux services :p Oui c'est possible d'avoir les réseaux mobile vous donner une terminaison L2TP - c'est juste dur :p Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
C'est pas multihome au sens IP ça. William Gacquer Le 3 juil. 2011 à 22:48, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Plus sérieusement, pourquoi vouloir limiter cette solution (le multihomage) à ceux qui ont « une raison valable » ? À la maison, je suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une fois, cela m'a sauvé la mise. Moi aussi je suis multihome, DSL et 3G backup avec les même IPs sur les deux services :p Oui c'est possible d'avoir les réseaux mobile vous donner une terminaison L2TP - c'est juste dur :p Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, Jul 01, 2011 at 02:07:49PM +0200, Alain Richard alain.rich...@equation.fr wrote a message of 226 lines which said: f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour sécuriser leur accès C'est un fait, mais cela n'empêche pas qu'ils ont tort et sérieusement tort. Je rappelle que Stuxnet n'a même pas eu besoin d'une connexion Internet pour infecter le site visé, alors croire qu'on est protégé par NAT44, alors que la plupart des attaques se font par charge utile et pas par connexion IP de l'extérieur, c'est de l'acte de foi, pas de la science. - est-ce normal docteur que mes postes aient une adresse publique ? Dr-HouseOui/Dr-House Le monde IPv6 serait tellement plus simple si on avait un consensus pour adresser notamment : Pourquoi aurait-on un consensus qu'on n'a pas en IPv4 ? (Et, en IPv4, lorsqu'il existe un consensus, il est souvent foireux, comme lorsque beaucoup d'administrateurs réseaux croient que le NAT les protège. Le consensus des ignorants ne me rassure pas.) Il y a des réseaux différents, des moyens différents, des risques différents, des cahiers des charges différents, il est tout à fait normal que les choix soient différents. C'est pour cela qu'on a besoin d'administrateurs réseaux compétents, capables de faire leur marché dans la boîte à outils existante, et pas de certifiés qui ne savent qu'appuyer sur un bouton. - la sécurité de base, surtout pour la TPE et le particulier La sécurité n'a jamais été un sujet consensuel. http://www.bortzmeyer.org/6092.html --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sat, Jul 02, 2011 at 11:19:02AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 62 lines which said: un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI (dans le préfixe fourni par le FAI ou le tunnel broker). Cela veut dire que le choix de l'adresse IP source (et donc le FAI utilisé) est laissé à l'ordinateur individuel. Pas mal d'administrateurs réseaux préféreraient sans doute que ce choix soit centralisé dans le(s) routeur(s) de sortie, ce que permet NPTv6. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On dim., 2011-07-03 at 21:28 +0200, Radu-Adrian Feurdean wrote: On Sun, 3 Jul 2011 09:31:23 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles que sur IPv4 s'appliquent: - connexion existante : l'addresse utilise a l'ouverture de la connexion est gardee - nouvelle connexion ou protocole connectionless : l'addresse est initialement :: , le noyau decide selon le default gateway utilise pour envoyer le premier SYN. En l'occurrence la question qui était posée c'était « quand on a plusieurs gateway », si j'ai bien compris. C'est la RFC 3484 qui répond à ça : http://tools.ietf.org/html/rfc3484#section-5 En gros quand les deux adresses sont de même portée et de même type, au final, c'est “longest prefix match” (rule 8). Cdt, -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Stephane Bortzmeyer a écrit: 2) NPT v6 ne prétend pas sécuriser mieux que le NAT v4, le RFC dit clairement que NPT v6 ne sécurise pas du tout ! (Ce n'est pas son rôle.) On est bien d'accord, et c'est du en grande partie au fait que les ports ne sont pas utilisés et qu'il n'y a pas d'état. Michel Py a écrit: Si tu as une raison valable d'être multihomé, Personnellement, je pense que le droit au multihomage est un droit de l'homme fondamental. Plus sérieusement, pourquoi vouloir limiter cette solution (le multihomage) à ceux qui ont « une raison valable » ? À la maison, je suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une fois, cela m'a sauvé la mise. Tu devrais lire mes drafts d'il y a 10 ans :P comme objectif officiel on avait 1 milliard de sites multihomés. Je n'avais cherché que le plus récent, draft-py-mhap, et rien trouvé. Celui-là il n'a pas été soumis par le circuit officiel. C'était bien rigolo: on piratait les salles de l'hôtel de l'IETF pour faire no petites réunions du WG non-officiel... http://arneill-py.sacramento.ca.us/ipv6mh/draft-py-mhap-intro-00.txt http://arneill-py.sacramento.ca.us/ipv6mh/draft-py-mhap-01a.txt C'est très mal écrit; le draft en l'état est une collection de copier/coller, je n'ai jamais fini le nouveau draft. A lire vite, plutôt regarder les exemples. En bref: si RFC6296 c'est NAT66, MHAP c'est NAT66-66, la deuxième occurrence étant exactement l'inverse de la première. Avec un voyage dans le temps, RFC6296 aurait été un précurseur de MHAP. Dans le contexte de l'époque: pas encore de ULA et les adresses site-local en train d'être dé-commissionnées, d'ou le choix des adresses géographiques. Autres reliques de cette époque: http://arneill-py.sacramento.ca.us/ipv6mh/ Il y a quelques trucs intéressants, comme le précurseur de GSE (8+8) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 2011-07-03 22:54, Stephane Bortzmeyer wrote: On Fri, Jul 01, 2011 at 02:07:49PM +0200, Alain Richardalain.rich...@equation.fr wrote a message of 226 lines which said: f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour sécuriser leur accès C'est un fait, mais cela n'empêche pas qu'ils ont tort et sérieusement tort. Je rappelle que Stuxnet n'a même pas eu besoin d'une connexion Internet pour infecter le site visé, alors croire qu'on est protégé par NAT44, alors que la plupart des attaques se font par charge utile et pas par connexion IP de l'extérieur, c'est de l'acte de foi, pas de la science. Il est un peu facile cet argument. Si les attaques ne se font pas par connexion IP directe c'est justement parce que le pékin moyen (ou plutôt devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du NAT et ne laisse donc pas passer par défaut les connexions entrantes. À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses publiques non protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce vecteur de transmission. Le principal problème est que, apparemment, il subsiste des gens qui ne comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes offre une sécurité exactement identique à un NAT IPv4 typique, mais avec des inconvénients en moins. Personnellement, je suis un fervent partisan du End-to-End Principle, et par conséquent, je milite pour que ce genre de filtrage de connexions se fasse sur la machine finale, pas sur un nœud du réseau, parce que ça permet d'utiliser un pare-feu applicatif qui est bien mieux placé pour prendre ces décisions qu'une boite noire branchée sur un câble. Et qu'on ne vienne pas me dire que c'est pas Michu-compliant : la configuration par défaut du pare-feu de Windows depuis XP SP2 offre une sécurité au moins équivalente à un NAT. Mais j'imagine que c'est là encore une idée à ranger dans le monde des bisounours. -- Etienne Dechamps / e-t172 - AKE Group Phone: +33 6 23 42 24 82 --- Liste de diffusion du FRnOG http://www.frnog.org/