Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Yoann Gini

Le 3 juil. 2011 à 03:04, Jérôme Nicolle a écrit :

 Le 3 juillet 2011 01:58, Yoann Gini yoann.g...@gmail.com a écrit :
 
 Le 2 juil. 2011 à 20:19, Michel Py a écrit :
 
 Voici ce que je peux avoir:
 
 Comcast Extreme 105
 Downloads up to 105Mbps, uploads up to 10Mbps.
 $199.95 par mois
 
 Surewest
 Downloads Up to 50 Mbps / Uploads up to 50 Mbps
 261.99 par mois
 
 S’ils veulent ouvrir en France, je connais quelques clients qui seraient 
 intéressés…
 
 Pour info, on est plus à 1 600 € / mois pour du 50 M symétrique chez nous…
 
 Heu Michel parlait de produits grand-public il me semble, le genre
 avec une cretinbox derrière et aucune garantie. En gros, c'est ce que
 tu as sur des offres FTTx à 30 - 50€ dans quelques endroits précis en
 France.

Au temps pour moi alors, j’ai cru que Michel parlait des offres pro !

 50Mbps symétrique garanti, en offre entreprise, c'est bien vendu entre
 1200 et 2000€ par mois en France. C'est pas que ça coûte autant à
 produire, c'est juste qu'à part sur des zones bien définies, personne
 ne fait mieux. Alors à quoi bon detruire la valeur du réseau ?

Comme je disais, bien que n’ayant jamais bossé côté FAI, je comprends bien la 
problématique de cout. Mais il ne faut pas oublier le côté client qui lui voit 
ça :

ADSL / Fibre débit Max : entre 30 et 50 € / mois
SDSL 2 M : 160 €
SDSL 3 M : 240 €

et ainsi de suite jusqu’à avoir la SDSL 20 M (même débit descendant que l’ADSL 
en gros) à 1 000 € / mois

Avec une telle grille de tarif, il ne faut pas s’étonner de se retrouver avec 
des config type ADSL, ADSLx2 ou ADSL + SDSL 1 ou 2 M.

La dernière config est justement celle qui intéresse le plus les clients qui 
comprenne à quoi sert une SDSL, sauf que prendre une SDSL pour l’usage standard 
de navigation Internet coute très cher, du coup on fini en double avec une ADSL 
et un routeur mutli-FAI pour arriver à en faire quelque chose d’intéressant.

smime.p7s
Description: S/MIME cryptographic signature


Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Yoann Gini

Le 3 juil. 2011 à 05:59, Pierre Lagoutte a écrit :

 
 
 Le 03/07/2011 01:58, Yoann Gini a écrit :
 
 les clients standard seront plus orientés sur l’ADSL.
 
 ?? pas mal.
 Excellent projet.!!  Mais tu fais ça comment sans NAT+load-balancing ? le 
 client route à l'inspiration du moment ?

Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire 
cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de 
monde…

La solution idéale serait des adresses PI et du multi-homming, sauf que je vois 
mal les FAI accepter ça sur de l’ADSL grand publique d’une part, et d’autre 
part les clients ne comprendront pas pourquoi IPv6 fait « moins bien » qu’IPv4 
et ne voudront pas faire la migration.

À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL 
(avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load 
balacing / traffic selection entre les deux sans pour autant ruiner le client.

smime.p7s
Description: S/MIME cryptographic signature


Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin

On 2 Jul 2011, at 23:10, Rémy Sanchez wrote:

 On Saturday 02 July 2011 23:23:13 Thomas Mangin wrote:
 C'es plutot pour la gateway avec deux uplinks qui peut faire du balancing
 facilement.
 
 Et tu fais ça avec 2 uplinks qui ont des préfixes différents sans NAT66 ?


Oui, chaque machine a alors deux IP. Les deux IP sont toutes le deux globales, 
comme une machine avec deux interfaces et deux IP publiques mais avec une seule 
interface pour v6.
Le seul truc est que je ne sais pas comment la machine va choisir son IP pour 
les connections sortantes .. 

Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB 
cela dépend de comment l'OS gère ses connexions sortantes. le mail de Yoann 
explique bien la limite de cette technique. Si c'est un hash par flux, pour les 
cas simple c'est tout bon, sinon, pas autant.

Dans le cas du DC, tu peux alors router créer deux sessions BGP avec routeurs 1 
et 2, annoncer des IP de services (installe sur lo0).
Si le routeur tombe en rade, tu as alors toujours l'autre. Ca peut remplacer 
HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6)

Thomas





PGP.sig
Description: This is a digitally signed message part


RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sat, 2 Jul 2011 11:19:02 -0700, Michel Py
mic...@arneill-py.sacramento.ca.us said:

 Voici ce que je peux avoir:
 
 Comcast Extreme 105
 Downloads up to 105Mbps, uploads up to 10Mbps.
 $199.95 par mois  
 
 Surewest
 Downloads Up to 50 Mbps / Uploads up to 50 Mbps
 261.99 par mois
 
 Si ça c'est trop cher pour une petite société ou un troupeau de 150
 étudiants

C'est un peu moins evident en France. Je ne parle pas des autres pays
europeens, mais de le France.

Et entre 100M/10M a 200$/mo et internet jusqu'a 100M a 30$/mo, Jaques
Michu, PDG d'une TPE de 19 personnes a vite choisi. Surtout qu'en
matiere de FAI il connait pas beaucoup (en regle generale ils sont 5 :
les 3, bbox et le cableur).

  Thomas Mangin a écrit:
  Le problème est d'expliquer ce que veut dire le 1:1 et
  50:1 de contention en bas de la page :D ..

Pas difficile c'est ecrit nullepart
Encore une fois, ca c'est en France

  Si le câble est en rade (ça arrive quand même pas tous les jours),
  je change le Default Gateway dans DHCP, tout le monde fait un
  release/renew et rame sur le T1 en attendant que le câble revienne.

Non. Pas envisageable. Il faut que ca marche meme en absence du guru
local (le seul capable de demarrer un cmd.exe). Et tout ca sans
surcout
---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Michel Py
Avant que j'oublie, je pense à ouvrir un MacDo juste en face de l'immeuble à 
Rémy, est-ce qu'il y a des investisseurs potentiels sur la liste?  :-D

 Yoann Gini a écrit:
 Pour info, on est plus à 1 600 € / mois pour
 du 50 M symétrique chez nous…

 Jérôme Nicolle a écrit:
 Heu Michel parlait de produits grand-public il me semble,
 le genre avec une cretinbox derrière et aucune garantie.

Tout à fait. Ceci dit nous avons parfois aussi des offres sans crétinbox et 
avec du débit garanti, dans les même zones de couverture (10Mbps/2Mbps pour 
environ $100, garanti); en général disons que c'est 2+ fois le prix du 
non-garanti, et que ça dépasse rarement 20Mbps, pour les raisons que tu décris 
plus bas. Et en aucun cas ce n'est un prix public listé, dont faut parler au 
commercial, et le prix et en fonction de la distance, de la gueule du client, 
de l'âge du capitaine, etc.


 En gros, c'est ce que tu as sur des offres FTTx à 30
 - 50€ dans quelques endroits précis en France.

En gros, je suis d'accord.


 50Mbps symétrique garanti, en offre entreprise, c'est bien
 vendu entre 1200 et 2000€ par mois en France. C'est pas que
 ça coûte autant à produire,

Non, mais faut pas rêver non plus, 50Mbps symétrique entreprise pour ça coûte 
nettement plus que 200€ par mois. 


 c'est juste qu'à part sur des zones bien définies, personne ne
 fait mieux. Alors à quoi bon detruire la valeur du réseau ?

En effet, pourquoi tuer la poule aux oeufs d'or?
Comme Thomas le faisait remarquer:

 Thomas Mangin a écrit:
 Mais c'est vrai que tout serai mieux si une ligne DSL
 coutait €300 par mois ... ou pas !

L'accès à l'Internet, c'est un peu comme les automobiles: la marge est dans le 
haut de gamme. Donc c'est vrai que Mme Michu paie en partie la facture du power 
user, mais elle n'est pas la seule et l'accès entreprise paie aussi. Donc ne 
pas oublier que si l'accès grand public à 30€ (que la plupart des lecteurs 
utilisent et souvent abusent) est dispo, c'est parce que quelqu'un d'autre paie.


 Michel Py a écrit:
 Si le câble est en rade (ça arrive quand même pas tous les jours),
 je change le Default Gateway dans DHCP, tout le monde fait un
 release/renew et rame sur le T1 en attendant que le câble revienne.

 Radu-Adrian Feurdean a écrit:
 Non. Pas envisageable. Il faut que ca marche meme en absence
 du guru local (le seul capable de demarrer un cmd.exe). Et tout
 ca sans surcout

Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si 
difficile..


 Michel Py a écrit :
 Je ne vois pas ou est ton problème; un hôte IPv6 peut avoir
 plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI
 IPv6, et chaque PC a une adresse pour chaque FAI (dans le
 préfixe fourni par le FAI ou le tunnel broker).

 Yoann Gini a écrit:
 Problème déjà débattu dans le passé. Effectivement, c’est
 un début de solution, le seul défaut ici (sauf mauvaise
 compréhension de ma part) c’est que c’est le client qui
 choisit sa route. Or on aimerait plus que ce soit sur le
 routeur. Généralement sur le routeur je vais ajouter
 certaines règles pour que le serveur interne passe
 toujours par la SDSL ainsi que le SIP par exemple tandis
 que les clients standard seront plus orientés sur l’ADSL.
 Ça permet de prendre une SDSL pas trop cher et de
 contrôler son usage.

Je suis complètement d'accord avec toi, tu as le même raisonnement que la 
plupart des opérateurs d'entreprise. Mais ces décisions on été prises il y a 15 
ans et je ne vois pas comment aujourd'hui on pourrait changer ça, surtout qu'il 
y en a encore plein surtout à L'IETF qui n'ont jamais configuré un routeur ou 
maintenu un réseau d'entreprise qui continuent à croire qu'ils ont raison. Plus 
de 1 adresse par PC, ça devient rapidement une usine à gaz et c'est une des 
raisons primordiales derrière le non-déploiement de v6.

Remarque, si IPv6 ne te plait pas, tu peux toujours faire comme moi et la 
majorité silencieuse: ne pas t'en servir :P


Michel.



Re: [FRnOG] Re: [FRnOG] Laissez-nous faire du multi-wan ( était: RFC 6296: IPv6-to-IPv6 Network Prefix Translation)

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sat, 2 Jul 2011 21:57:37 +0100, Thomas Mangin
thomas.man...@exa-networks.co.uk said:

 Les deux produits sont différent, la LS est un produit non partage, la
 capacité est la 100% du temps alors que pour l'ADSL ce n'est pas le cas.
 Ce qu'il faut ce sont des offres pro a 10:1 , 4:1 ou 10:1 moins chère.

Ce qu'ils faut c'est de preciser sour *TOUS* les offres, y compris les
residentiels, de degre de over-booking. La ca devient tout de suite plus
comprehensible pour beaucoup plus de monde.

Par contre, comme ma boite ouvre pas mal de filiales dans le monde, je
constate que la tendance est plutot a l'inverse, de le cacher, et de
noyer tout dans des services a valeur ajoute. Ca me pousse a sortir
des specs parfois ridicules, afin d'ecarter tous les offres
pseudo-pro.

Resultat, des country managers qui ne comprennent pas pourquoi ils
doivent payer 10-50 fois plus cher pour une connexion plus lente que ce
qu'ils ont a la maison. En meme temps il faut que ca fonctionne comme
au siege (deux fibres noires vers la plate-forme de prod).

Des gens comme ca on trouve partout, c'est quasiment la norme, mais pas
tout le monde est une de mes filiales pour etre domestique. Ceux qui
ne le sont pas sont une clientele pour des solutions foireuses, mais qui
se vendent bien.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sun, 3 Jul 2011 10:01:15 +0200, Yoann Gini yoann.g...@gmail.com
said:

 Bah justement, c’est que je disais, sans le NAT je suis incapable de
 refaire cette config qui marche très bien en IPv4 et qui est utilisé par
 beaucoup de monde…

... et qui reste foireuse ...
Je comprends bien que les utilisateurs aiment des telles merdes, mais en
tant que profesionnel faudra un bon jour commencer a leur expliquer ce
qu'un ADSL grand-public represente vraiment:
un produit pour la maison, dont les utilisateurs vont jouer au foot en
bas de l'immeuble ou encore boire une biere au bar du coin quand ca ne
marche pas. Si leur business depend d'une facon ou autre d'internet
(e-mail, interco avec filiales/partenaire, la myriade d'applis SAAS -
RH, compta, ERP, CRM, .)faut serieusement penser a un produit pro
(a condition que ces produits le sont vraiment !!!).

 À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL +
 SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique
 et du load balacing / traffic selection entre les deux sans pour autant

Il me semble que ca existe mais pas forcement chez les grands.
Hint: chez certains les produits sont crees par des gens techniques,
chez d'autres par des chefs de produits rattaches au marketing.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin
On 3 Jul 2011, at 19:54, Michel Py wrote:

 Plus de 1 adresse par PC, ça devient rapidement une usine à gaz et c'est une 
 des raisons primordiales derrière le non-déploiement de v6.

Je ne suis pas d'accord sur les deux points.

Ce n'est pas une usine a gaz d'avoir plus d'une IP par machine. Je suis un 
grand fan de site-local (que j'ai appelé scope-local avant - duh ! mais j'aurai 
du dire unique local address).
http://en.wikipedia.org/wiki/Unique_local_address - RFC 4193

Est ce n'est pas la raison pour le non-deployment de IPv6 non plus, sur cette 
liste je mettrai :
 - pas de connaissance
 - pas de besoin
 - pas de temps
 - inertie de v4

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sun, 3 Jul 2011 09:31:23 +0100, Thomas Mangin
thomas.man...@exa-networks.co.uk said:

 Le seul truc est que je ne sais pas comment la machine va choisir son IP
 pour les connections sortantes .. 

Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles
que sur IPv4 s'appliquent:
 - connexion existante : l'addresse utilise a l'ouverture de la
 connexion est gardee
 - nouvelle connexion ou protocole connectionless : l'addresse est
 initialement :: , le noyau decide selon le default gateway utilise pour
 envoyer le premier SYN.
 - dans des cas plus rares, l'application peut simuler le comportement
 statefull sur un protocole stateless.

Resume : chaque host fait quasiment le meme boulot que le routeur
NAT/NPT, sauf pour la partie detecter un lien down, ou la cooperation
avec le routeur concerne est essentielle.

 Donc je suis sur que cela peut aider pour la résilience, maintenant pour
 le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail

Meme probleme sur IPv4, sauf que la les vendeurs de solutions merdique
font un exceptionnel boulot de packaging

 remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6)

Ah, comme je suis content de ne pas etre dans ce cas-la.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sun, 3 Jul 2011 11:54:55 -0700, Michel Py
mic...@arneill-py.sacramento.ca.us said:

  Radu-Adrian Feurdean a écrit:
  Non. Pas envisageable. Il faut que ca marche meme en absence
  du guru local (le seul capable de demarrer un cmd.exe). Et tout
  ca sans surcout
 
 Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas
 si difficile..

Si tu fais ca, le serveur finit comme poste de travail du
stagiaire.
Donc tu fais en sorte qu'il n'a pas d'ecran et clavier branche par
default, donc besoin du guru local (Jaques Michu ne sait pas comment
brancher un ecran) .

---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Michel Py
 Bah tu mets un raccourci sur le bureau du serveur,
 c'est quand même pas si difficile..

 Radu-Adrian Feurdean
 Si tu fais ca, le serveur finit comme poste de travail du
 stagiaire. Donc tu fais en sorte qu'il n'a pas d'ecran
 et clavier branche par default, donc besoin du guru local
 (Jaques Michu ne sait pas comment brancher un ecran) .

MDR :-) mais pour ça j'ai l'arme absolue: l'écran su serveur est à 1,30m de 
haut dans le rack dans le placard, ça décourage les plus coriaces. En plus, 
c'est un deal bien clair avec le client: toi yen a pas toucher ça.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin
 Le seul truc est que je ne sais pas comment la machine va choisir son IP
 pour les connections sortantes .. 
 
 Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles
 que sur IPv4 s'appliquent:
 - connexion existante : l'addresse utilise a l'ouverture de la
 connexion est gardee

Pour les response (ACK), oui le choix est clair :)

 - nouvelle connexion ou protocole connectionless : l'addresse est
 initialement :: , le noyau decide selon le default gateway utilise pour
 envoyer le premier SYN.

Avec deux IPv6 apprise via RA, tu as deux default gateway ... 
C'est la que l'OS doit en choisir une .. toujours la meme ? round robin ? ...

 - dans des cas plus rares, l'application peut simuler le comportement
 statefull sur un protocole stateless.

Je suis perdu.

 Resume : chaque host fait quasiment le meme boulot que le routeur
 NAT/NPT, sauf pour la partie detecter un lien down, ou la cooperation
 avec le routeur concerne est essentielle.

Oui mais l'application connait son IP, est ce la que le routeur blesse ...

 Donc je suis sur que cela peut aider pour la résilience, maintenant pour
 le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail
 
 Meme probleme sur IPv4, sauf que la les vendeurs de solutions merdique
 font un exceptionnel boulot de packaging

LOL - voir ci-dessus .. :)

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sun, 3 Jul 2011 12:38:15 -0700, Michel Py
mic...@arneill-py.sacramento.ca.us said:

 plus, c'est un deal bien clair avec le client: toi yen a pas toucher ça.

Donc, il clique pas sur l'icon sur le desktop :P Donc besoin de guru :P
QED (??? CQFD ???)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Rémy Sanchez
On Sunday 03 July 2011 10:31:23 Thomas Mangin wrote:
 On 2 Jul 2011, at 23:10, Rémy Sanchez wrote:
  On Saturday 02 July 2011 23:23:13 Thomas Mangin wrote:
  C'es plutot pour la gateway avec deux uplinks qui peut faire du
  balancing facilement.
  
  Et tu fais ça avec 2 uplinks qui ont des préfixes différents sans NAT66 ?
 
 Oui, chaque machine a alors deux IP. Les deux IP sont toutes le deux
 globales, comme une machine avec deux interfaces et deux IP publiques mais
 avec une seule interface pour v6. Le seul truc est que je ne sais pas
 comment la machine va choisir son IP pour les connections sortantes ..
 
 Donc je suis sur que cela peut aider pour la résilience, maintenant pour le
 LB cela dépend de comment l'OS gère ses connexions sortantes. le mail de
 Yoann explique bien la limite de cette technique. Si c'est un hash par
 flux, pour les cas simple c'est tout bon, sinon, pas autant.
 
 Dans le cas du DC, tu peux alors router créer deux sessions BGP avec
 routeurs 1 et 2, annoncer des IP de services (installe sur lo0). Si le
 routeur tombe en rade, tu as alors toujours l'autre. Ca peut remplacer
 HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6)
 
 Thomas

C'est sûr ça aide pour la résilience, mais quand comme moi tu cherches à 
grapiller le moindre bit/s que tu peux trouver, ça marche moins bien. Retour à 
la case NAT66, malheureusement.

Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui 
vend des « dual-adsl aggrégés côté opérateur » (attention, terme marketing 
inventé à l'instant)... Y'a des protocoles pour faire ça proprement (au 
moins la RFC 1717), et ça élimine tout besoin de NATxx. Je suppose que c'est 
lié au fait que y'a qu'une seule prise téléphonique chez les gens normaux.

-- 
Rémy Sanchez


signature.asc
Description: This is a digitally signed message part.


RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Michel Py
 Rémy Sanchez a écrit:
 Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi
 y'a personne qui vend des « dual-adsl aggrégés côté opérateur »
 (attention, terme marketing inventé à l'instant

Faudrait inventer un routeur WiFi triple radio, avec 2 radios dehors comme ça 
tu peux load-balancer le WiFi du MacDo et celui du Quick :P

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Radu-Adrian Feurdean
On Sun, 3 Jul 2011 20:38:26 +0100, Thomas Mangin
thomas.man...@exa-networks.co.uk said:

 Avec deux IPv6 apprise via RA, tu as deux default gateway ... 
 C'est la que l'OS doit en choisir une .. toujours la meme ? round robin ?

Pas oublier position de la lune ..
Assez longtemps qu'il a 2 default GW, faut pas compter sur ca.

 Oui mais l'application connait son IP, est ce la que le routeur blesse

Mais tres souvent s'en fout completement.

D'ou je me posais il y a quelques temps la question des addresses v6
prefixless : on configure et utilise juste les derniers 64 bits de
l'addresse ( ::dead:f00d:cafe:b055 ), au noyau de remplir le reste.
Ca a aussi l'avantage d'epargner les pires cauchemards : la
re-numerotation.

Bref, quasiment du autoconf, mais sans les joies des il faut utiliser
2a00:xxx:yyy:zzz:7d9b:6961:f495:b95d comme serveur DNS... Et avec un
petit boost cote noyau pour la partie address correction. 
Ca fait beaucoup plus user-friendly que beaucoup d'horreurs qui se
sont bien glisses dans les specs officiels
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Rémy Sanchez
On Sunday 03 July 2011 21:50:11 Michel Py wrote:
 Faudrait inventer un routeur WiFi triple radio, avec 2 radios dehors comme
 ça tu peux load-balancer le WiFi du MacDo et celui du Quick :P

Ah, moi j'pensais plutôt au cluster de clef 3G, on a une BS Orange sur la 
tête. Remarque, on pourrait directement détourner la connexion de la BS... 
J'suis sûr, ils s'en rendraient même pas compte :3

-- 
Rémy Sanchez


signature.asc
Description: This is a digitally signed message part.


Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

 Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne 
 qui 
 vend des « dual-adsl aggrégés côté opérateur »

Une raison est surement que les FAI ne veulent pas que le client le fasse :p

MPPP est une option (nous l'offrons), mais il faut faire attention car si les 
paires de cuivre ne prennent pas les même ducts, la différence cause des 
problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop 
de cout du cote debugging ...

Thomas

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (Darwin)

iEYEARECAAYFAk4QyccACgkQA/52wvuLgaEgpwCfbpxL8cXMCCTuEvedxj4R9InX
UQ0AoPmH0PxLrj6ipaEcOUSeRgrODcPB
=BLYo
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Rémy Sanchez
On Sunday 03 July 2011 21:57:58 Thomas Mangin wrote:
 MPPP est une option (nous l'offrons), mais il faut faire attention car si
 les paires de cuivre ne prennent pas les même ducts, la différence cause
 des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus
 souvent, trop de cout du cote debugging ...

Les mêmes ducts ? C'est quoi cette chose ?

-- 
Rémy Sanchez


signature.asc
Description: This is a digitally signed message part.


Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

 Les mêmes ducts ? C'est quoi cette chose ?

Un anglicisme ... http://en.wikipedia.org/wiki/Duct_(HVAC)
C'est ce qui se passe quand j'écris des email en regardant la tele .. (ca et 
les pluriels, etc.)

Le chemin pris par la paire de cuivre entre une résidence et l'échange. Le 
problème est souvent quand la seconde ligne téléphonique est installe et qu'il 
n'y a plus de paires libre sur le cuivre installe précédemment dans ce cas l 
faut  mieux installer une troisième ligne et annuler la première après (du mois 
sur mon ile :P)

Thomas
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (Darwin)

iEYEARECAAYFAk4Q0CgACgkQA/52wvuLgaF8BgCg3pFYFS1T04mocEGBZrIwda//
Ev4AmQFuQ5RihP9H91LVdCYZme4lt4t2
=75jC
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Thu, Jun 30, 2011 at 08:11:54PM -0700,
 Michel Py mic...@arneill-py.sacramento.ca.us wrote 
 a message of 19 lines which said:

 j'ai décrit en détail ce mécanisme (soumis
 draft-py-multi6-mhtp-00.txt, qui a évolué en draft-py-mhap-01a.txt).

Ni tools.ietf.org, ni le Datatracker ne semblent pouvoir les
retrouver. Un URL ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 09:53:49AM +0200,
 Raphaël Jacquot sxp...@sxpert.org wrote 
 a message of 29 lines which said:

 j'y vois au moins trois inconvénients

Mathieu Goessens a bien répondu à cet über-trollage. J'ajoute :

 * ca ne sécurise pas mieux que le NAT en v4

Il faudrait lire le RFC qui dit clairement que :

1) Le NAT en v4 ne sécurise guère,
2) NPT v6 ne prétend pas sécuriser mieux que le NAT v4, le RFC dit
clairement que NPT v6 ne sécurise pas du tout ! (Ce n'est pas son
rôle.)

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 09:59:32AM +0200,
 MM mm...@palpix.com wrote 
 a message of 23 lines which said:

 ça peut éviter pas mal de bordel si le CPE fait un minimum pour que
 les réseaux domestiques fuitent, non ?

La question est discutée. L'état de l'art est dans le RFC 6092
http://www.bortzmeyer.org/6092.html.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 02:17:03PM +0200,
 Alain Richard alain.rich...@equation.fr wrote 
 a message of 160 lines which said:

 un linux implémentant ce RFC.

http://code.google.com/p/napt66/

Je ne l'ai pas testé.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 07:20:33AM -0700,
 Michel Py mic...@arneill-py.sacramento.ca.us wrote 
 a message of 18 lines which said:

 Si tu as une raison valable d'être multihomé, 

Personnellement, je pense que le droit au multihomage est un droit de
l'homme fondamental.

Plus sérieusement, pourquoi vouloir limiter cette solution (le
multihomage) à ceux qui ont « une raison valable » ? À la maison, je
suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une
fois, cela m'a sauvé la mise.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 10:19:02AM +0200,
 Raphaël Jacquot sxp...@sxpert.org wrote 
 a message of 21 lines which said:

 auquel cas, c'est un firewall configurable par l'utilisateur qu'il
 faut mettre dans le CPE, et pas ce bricolage de NAT

C'est précisement ce que dit le RFC 6296 : il faut traiter l'adressage
et la sécurité séparement. NPT (alias NAT66), spécifié dans le RFC
6296, ne traite que l'adressage (et s'en vante).
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 08:28:44AM +0200,
 Guillaume Barrot guillaume.bar...@gmail.com wrote 
 a message of 44 lines which said:

 truc comme lisp (lui aussi en draft)

Justement, NPTv6 n'est pas en Internet-Draft, le RFC est
sorti. Compte-tenu du travail que représente le déploiement de LISP
(et surtout de sa fonction de mapping, pour laquelle pas grand'chose
n'a été fait), NPTv6, bien plus simple et déployable, lui, de manière
unilatérale, a ses chances.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Sun, Jul 03, 2011 at 09:37:46PM +0100,
 Thomas Mangin thomas.man...@exa-networks.co.uk wrote 
 a message of 8 lines which said:

 http://tools.ietf.org/id/draft-py-multi6-mhtp-00.txt ?

Je n'avais cherché que le plus récent, draft-py-mhap, et rien trouvé.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin
 Plus sérieusement, pourquoi vouloir limiter cette solution (le
 multihomage) à ceux qui ont « une raison valable » ? À la maison, je
 suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une
 fois, cela m'a sauvé la mise.

Moi aussi je suis multihome, DSL et 3G backup avec les même IPs sur les deux 
services :p
Oui c'est possible d'avoir les réseaux mobile vous donner une terminaison L2TP 
- c'est juste dur :p

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet William Gacquer
C'est pas multihome au sens IP ça.

William Gacquer

Le 3 juil. 2011 à 22:48, Thomas Mangin thomas.man...@exa-networks.co.uk a 
écrit :

 Plus sérieusement, pourquoi vouloir limiter cette solution (le
 multihomage) à ceux qui ont « une raison valable » ? À la maison, je
 suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une
 fois, cela m'a sauvé la mise.
 
 Moi aussi je suis multihome, DSL et 3G backup avec les même IPs sur les deux 
 services :p
 Oui c'est possible d'avoir les réseaux mobile vous donner une terminaison 
 L2TP - c'est juste dur :p
 
 Thomas---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 02:07:49PM +0200,
 Alain Richard alain.rich...@equation.fr wrote 
 a message of 226 lines which said:

 f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour 
 sécuriser leur accès

C'est un fait, mais cela n'empêche pas qu'ils ont tort et sérieusement
tort. Je rappelle que Stuxnet n'a même pas eu besoin d'une connexion
Internet pour infecter le site visé, alors croire qu'on est protégé
par NAT44, alors que la plupart des attaques se font par charge utile
et pas par connexion IP de l'extérieur, c'est de l'acte de foi, pas de
la science.

 - est-ce normal docteur que mes postes aient une adresse publique ?

Dr-HouseOui/Dr-House

 Le monde IPv6 serait tellement plus simple si on avait un consensus
 pour adresser notamment :

Pourquoi aurait-on un consensus qu'on n'a pas en IPv4 ? (Et, en IPv4,
lorsqu'il existe un consensus, il est souvent foireux, comme lorsque
beaucoup d'administrateurs réseaux croient que le NAT les protège. Le
consensus des ignorants ne me rassure pas.) Il y a des réseaux
différents, des moyens différents, des risques différents, des cahiers
des charges différents, il est tout à fait normal que les choix soient
différents. C'est pour cela qu'on a besoin d'administrateurs réseaux
compétents, capables de faire leur marché dans la boîte à outils
existante, et pas de certifiés qui ne savent qu'appuyer sur un
bouton.

 - la sécurité de base, surtout pour la TPE et le particulier

La sécurité n'a jamais été un sujet consensuel. 
http://www.bortzmeyer.org/6092.html

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Sat, Jul 02, 2011 at 11:19:02AM -0700,
 Michel Py mic...@arneill-py.sacramento.ca.us wrote 
 a message of 62 lines which said:

 un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN
 pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI
 (dans le préfixe fourni par le FAI ou le tunnel broker).

Cela veut dire que le choix de l'adresse IP source (et donc le FAI
utilisé) est laissé à l'ordinateur individuel. Pas mal
d'administrateurs réseaux préféreraient sans doute que ce choix soit
centralisé dans le(s) routeur(s) de sortie, ce que permet NPTv6.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Yves-Alexis Perez
On dim., 2011-07-03 at 21:28 +0200, Radu-Adrian Feurdean wrote:
 On Sun, 3 Jul 2011 09:31:23 +0100, Thomas Mangin
 thomas.man...@exa-networks.co.uk said:
 
  Le seul truc est que je ne sais pas comment la machine va choisir son IP
  pour les connections sortantes .. 
 
 Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles
 que sur IPv4 s'appliquent:
  - connexion existante : l'addresse utilise a l'ouverture de la
  connexion est gardee
  - nouvelle connexion ou protocole connectionless : l'addresse est
  initialement :: , le noyau decide selon le default gateway utilise pour
  envoyer le premier SYN. 

En l'occurrence la question qui était posée c'était « quand on a
plusieurs gateway », si j'ai bien compris. C'est la RFC 3484 qui répond
à ça : http://tools.ietf.org/html/rfc3484#section-5

En gros quand les deux adresses sont de même portée et de même type, au
final, c'est “longest prefix match” (rule 8).

Cdt,
-- 
Yves-Alexis
---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Michel Py
 Stephane Bortzmeyer a écrit:
 2) NPT v6 ne prétend pas sécuriser mieux que le NAT v4,
 le RFC dit clairement que NPT v6 ne sécurise pas du tout !
 (Ce n'est pas son rôle.)

On est bien d'accord, et c'est du en grande partie au fait que les ports ne 
sont pas utilisés et qu'il n'y a pas d'état.


 Michel Py a écrit:
 Si tu as une raison valable d'être multihomé, 

 Personnellement, je pense que le droit au multihomage
 est un droit de l'homme fondamental. Plus sérieusement,
 pourquoi vouloir limiter cette solution (le multihomage)
 à ceux qui ont « une raison valable » ? À la maison, je
 suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et,
 plus d'une fois, cela m'a sauvé la mise.

Tu devrais lire mes drafts d'il y a 10 ans :P comme objectif officiel on avait 
1 milliard de sites multihomés.


 Je n'avais cherché que le plus récent, draft-py-mhap, et rien trouvé.

Celui-là il n'a pas été soumis par le circuit officiel.
C'était bien rigolo: on piratait les salles de l'hôtel de l'IETF pour faire no 
petites réunions du WG non-officiel...
http://arneill-py.sacramento.ca.us/ipv6mh/draft-py-mhap-intro-00.txt
http://arneill-py.sacramento.ca.us/ipv6mh/draft-py-mhap-01a.txt

C'est très mal écrit; le draft en l'état est une collection de copier/coller, 
je n'ai jamais fini le nouveau draft. A lire vite, plutôt regarder les exemples.
En bref: si RFC6296 c'est NAT66, MHAP c'est NAT66-66, la deuxième occurrence 
étant exactement l'inverse de la première. Avec un voyage dans le temps, 
RFC6296 aurait été un précurseur de MHAP.

Dans le contexte de l'époque: pas encore de ULA et les adresses site-local en 
train d'être dé-commissionnées, d'ou le choix des adresses géographiques.

Autres reliques de cette époque:
http://arneill-py.sacramento.ca.us/ipv6mh/
Il y a quelques trucs intéressants, comme le précurseur de GSE (8+8)

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet e-t172

On 2011-07-03 22:54, Stephane Bortzmeyer wrote:

On Fri, Jul 01, 2011 at 02:07:49PM +0200,
  Alain Richardalain.rich...@equation.fr  wrote
  a message of 226 lines which said:


f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour sécuriser 
leur accès


C'est un fait, mais cela n'empêche pas qu'ils ont tort et sérieusement
tort. Je rappelle que Stuxnet n'a même pas eu besoin d'une connexion
Internet pour infecter le site visé, alors croire qu'on est protégé
par NAT44, alors que la plupart des attaques se font par charge utile
et pas par connexion IP de l'extérieur, c'est de l'acte de foi, pas de
la science.


Il est un peu facile cet argument. Si les attaques ne se font pas par 
connexion IP directe c'est justement parce que le pékin moyen (ou plutôt 
devrais-je dire « victime moyenne ») a une box de FAI qui, justement, 
fait du NAT et ne laisse donc pas passer par défaut les connexions 
entrantes.


À l'époque ou la plupart des gens avaient une adresse publique sur leur 
PC, les attaques se faisaient bien par connexion directe (exemple : 
Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses 
publiques non protégées, je te parie ma chemise que la vermine va de 
nouveau exploiter ce vecteur de transmission.


Le principal problème est que, apparemment, il subsiste des gens qui ne 
comprennent pas qu'un simple pare-feu qui filtre les connexions 
entrantes offre une sécurité exactement identique à un NAT IPv4 typique, 
mais avec des inconvénients en moins.


Personnellement, je suis un fervent partisan du End-to-End Principle, et 
par conséquent, je milite pour que ce genre de filtrage de connexions se 
fasse sur la machine finale, pas sur un nœud du réseau, parce que ça 
permet d'utiliser un pare-feu applicatif qui est bien mieux placé pour 
prendre ces décisions qu'une boite noire branchée sur un câble. Et qu'on 
ne vienne pas me dire que c'est pas Michu-compliant : la configuration 
par défaut du pare-feu de Windows depuis XP SP2 offre une sécurité au 
moins équivalente à un NAT. Mais j'imagine que c'est là encore une idée 
à ranger dans le monde des bisounours.


--
Etienne Dechamps / e-t172 - AKE Group
Phone: +33 6 23 42 24 82
---
Liste de diffusion du FRnOG
http://www.frnog.org/