Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Tue, Jan 22, 2013, at 19:10, Fabien Dedenon wrote:

> 16ms via ams  avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ?

Si, mais ca reste toujours moins bien que 2ms avec 100% des paquets (ce
qu'on devrait avoir normalement).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

Le 22 janv. 2013 à 16:38, Radu-Adrian Feurdean  
a écrit :

> On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote:
>> ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
>> l'ensemble des périphériques utilisant le réseau.
> 
> Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une
> mauvaise idee
> 

heu désolé, mais je crois que tu n'as pas compris que ma remarque était 
ironique : c'est effectivement assez inepte de penser que la securité peut être 
maitrisée sur les feuilles.

>> A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
>> sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
>> photocopieurs, tablettes, téléphones, machines à café, ...) !!!
> 
> Your device, your security. Dans un cotexte BYOD c'est meme pas mal
> comme concept. Mais ca reste ingerable/difficilement gerable.
> Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques
> de securite a la con sur *mon* *device* (ma propriete perso). Ils
> veulent de la secu, ils me filent leur device.
> 

Ouais, la réalité aujourd'hui en entreprise est qu'un nombre important de 
personnes ont des iBidule ou autres AndroMachin, et qu'ils se connectent au 
réseau via généralement le wifi.

C'est une réalité aujourd'hui en entreprises, poussée au départ par les 
utilisateurs, et parfois même par l'entreprise elle-même pour ses utilisateurs 
non sédentaires.

Je ne parle même pas des imprimantes et photocopieurs qui désormais se payent 
le luxe d'ouvrir des ports en UPNP et de se mettre à jour automatiquement sur 
internet.

Donc le problème n'est pas de savoir si on veut ou pas du BYOD, et si oui 
d'uniformiser celui-ci sur un seul modèle de périphérique. Le BYOD existe déjà, 
et par nature, va continuer à croitre dans la plus parfaite hétérogénéité.

>> Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
>> obligatoire.
> 
> Un firewall pour proteger entre eux des devices sur le meme subnet
> "on-link" ?!?!?!?!?!?!?!?!
> 

Le premier travail d'un firewall est d'empêcher les sessions entrant ou 
sortante non souhaitée entre internet et les LANs. 

Ensuite dans une entreprise avec un firewall, il est rare que toutes les 
machines soit sur le même LAN, donc il y a un possible passage par le firewall 
entre LANs.

Enfin au sein d'un même LAN, il  existe des technologies de limitation 
également  en on-link (Wifi Guest avec isolation des postes entre eux, 
appliance de contrôe Wifi, ou technologies NAC 802.1X).

Je n'ai donc jamais dis qu'il ne fallait pas gérer de la sécurité au niveau du 
device, mais qu'il en faut au niveau de l'accès internet (firewall) +  
politique de sécurité au niveau des devices, compléter par une éventuelle 
politique de sécurité plus poussée (802.1X, VLAN wifi isolé, DMZ, ...).

Mon propos est juste de dire que se basé uniquement sur une politique de 
sécurité au niveau device me semble une inepsie. Le minimum étant plutôt au 
niveau firewall + device.

>> 
>> Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
>> je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans 
>> l'entreprise...
> 
> T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
> non-techniques.
> 
> Tu decris exactement le raison pour lequel la securite *par* *device* a
> un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
> l'ai pas dit sufisamment de fois).
> 


Ingérable, on est d'accord, donc une politique de sécurité basée sur ce 
principe est également ingérable, ce qui n'est pas loin de signifier 
inexistante...

Cordialement,
 
-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Gunther Ozerito]

> Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
> de devoir faire le port forwarding à la main.

C'est pas parce qu'un protocole est utile qu'il est parfait, sans defaut et
bien implementé.
La preuve, on est oblige de le completer par PCP pour gerer le CGN et
autres. Basé sur du broadcast, donc non routable, pas d'authent,
affectation automatique des ports meme s'ils sont deja utilisés, pas
d'encryption ... Bref du tout bon quoi.
Meme Bonjour est mieux pensé, c'est dire.

Bon donc une nouvelle version d'UPnP serait pas du luxe.

> Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
> et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
> requêtes ?
>

La meilleure des plateforme de DPI, les CGV de l'operateur. "Le FAI n'est
pas responsable de la securité des équipements connectés a la box" ==>
demerden sie et installez un antivirus, firewall et/ou mettez votre OS a
jour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérémie Marguerie]

Le 22 janvier 2013 19:10, Gunther Ozerito  a écrit :
> De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
> facilite le developpement de backdoor, les hackerz du monde entier vous
> remercie.

Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
de devoir faire le port forwarding à la main.
Pense à bien dimensionner ton support client, parce qu'il va morfler
dès les premiers jours.

N'oublions pas que la sécurité est un compromis et que ce que tu peux
mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas
au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur
youtube et facebook.

Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
requêtes ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

> T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
> non-techniques.
>
> Tu decris exactement le raison pour lequel la securite *par* *device* a
> un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
> l'ai pas dit sufisamment de fois).
>

+1.

La secu dans la majorite des boites FR, c'est une enorme blague.

Je te deploierai un SRX 5800 en entree de sites mais je laisse tous les PCs
users sous WinXP parce que l'appli metier lourde est pas compatible Seven
(parlons de MacOs ou Linux hein).
"Byod ? Mais comment je vais gerer ca dans mon Active Directory moi ?" Et
boum debut de l'intoxication commerciale des vendeurs de solution clef en
main, car c'est clair que les pki, x509, eap-tls, 802.1x, profils ldap et
extension radius c'est sorti hier. Non mais faudrait que l'equipe reseau et
systeme collaborent, alors que c'est tellement plus simple de bosser en
mode "demande d'ouverture de flux" sur un monstre a 3000 regles ...
Et alors le portail web ... "ah ben je comprends pas, jne sql injection,
alors que j'avais bien tout filtré sauf le tcp80 en entrée ... Oh ben flute
alors, mes données ...".

Je serais terroriste, plutot que de m'emmerder avec des explosifs, je
montrais une SSII dans la secu moi. Plus de degats, sans l'inconvenient de
l'attaque kamikaze...
La culture sur brulis, y a que ca de vrai !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Gunther Ozerito]

Il parait evident que
Externe : le mal absolu truffe de virus, de malware, de failles et de
hacker pour les utiliser.
Interne : bien cache derriere son firewall, aucun risque.

Donc on s'ennuie a gerer les ACLs mais on conserve la possibilite de passer
le wifi en wep ou pire.

De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
facilite le developpement de backdoor, les hackerz du monde entier vous
remercie.

De plus avec un message du type "avec mon gros firewall je suis bien a
l'abris, pas besoin de mettre a jour mon OS, mon antivirus (mon quoi ?) et
mon firewall personnel", on va pas responsabiliser les internautes.
"Mettre a jour Java ? Mais pourquoi donc ?".

De plus dans ce cas, la compromission d'un device dans la zone inside et
hop par rebond je prends la totale, du NAS au frigo magique connecté.
Ca me fait penser a ces serveurs Apache tous ports ouverts derriere un
firewall overkill, la ou une regle iptable locale serait plus efficace.

Aux fans de RFC sur la securite par l'obscurantisme, relisez la vieille BCP
38 / rfc 2827 qui date de 2000.
J'aime a penser qu'on peut la resumer par "avant de firewaller dans le
reseau, commencer par firewaller les sources et destinations potentielles
avec un filtrage local".

Moi je dis la box de Madame Michu faut qu'elle embarque un moteur IPS,
antivirus, antispam, et de l'analyse de code java et javascript a la volée.
Juste au cas ou.
Le 22 janv. 2013 15:52, "Alain Richard"  a
écrit :

> ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
> l'ensemble des périphériques utilisant le réseau.
>
> A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
> sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
> photocopieurs, tablettes, téléphones, machines à café, ...) !!!
>
> Donc le déploiement d'un firewall en entreprise n'est pas une option,
> c'est obligatoire.
>
> Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
> je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans
> l'entreprise...
>
> A+
>
> Le 22 janv. 2013 à 11:15, sxpert  a écrit :
>
> > la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
> > c'est à dire les machines connectées, ou dans un firewall intermédiaire
> > si vous préférez cette méthode.
>
> --
> Alain RICHARD 
> EQUATION SA 
> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
> E-Liance, Opérateur des entreprises et collectivités,
> Liaisons Fibre optique, SDSL et ADSL 
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Fabien Dedenon]

Le 16/01/2013 12:35, Radu-Adrian Feurdean a écrit :

J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free
avait resorti comme la premiere destination (mieux que Renater, HE.net
ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route
"potable" qui ne sortait pas de la France. Et ca, malgre 4 transitaires
+ He.net (meilleure route, mais +16ms via Amsterdam).


16ms via ams  avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ?

+


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote:
> ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
> l'ensemble des périphériques utilisant le réseau.

Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une
mauvaise idee

> A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
> sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
> photocopieurs, tablettes, téléphones, machines à café, ...) !!!

Your device, your security. Dans un cotexte BYOD c'est meme pas mal
comme concept. Mais ca reste ingerable/difficilement gerable.
Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques
de securite a la con sur *mon* *device* (ma propriete perso). Ils
veulent de la secu, ils me filent leur device.

> Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
> obligatoire.

Un firewall pour proteger entre eux des devices sur le meme subnet
"on-link" ?!?!?!?!?!?!?!?!

> Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
> je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans 
> l'entreprise...

T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
non-techniques.

Tu decris exactement le raison pour lequel la securite *par* *device* a
un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
l'ai pas dit sufisamment de fois).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérémie Marguerie]

Le 22 janvier 2013 15:38, Paul Rolland  a écrit :
> Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
> parametrage de Nat, pas des acls :(

Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT
est somme toute celle d'un firewall stateful avec des règles assez
basiques :

FORWARD accepté de *interne vers externe*.
FORWARD accepté de *externe vers externe* Si *connexion déjà établie*.

Donc en somme, si une box avec ipv6 met en place ce genre de règles de
firewall, l'utilisateur est aussi protégé que via du NAT (on bloque
les connexions entrantes non sollicitées, ça suffit à la plupart des
gens).
Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les
applications le nécessitant ne soient pas bloquées.

Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut
paramètrer son firewall en suivant les demandent de "NAT traversal"
émisent via UPNP Internet Gateway Device Protocol.
Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du
DNAT, rien n'empêche de changer les règles de firewall insérées.

Du coup :
 * IPv4 + NAT + UPNP
 * IPv6 + Firewall + UPNP

Et le tour est joué, non ?

On peut déjà faire du port forwarding sur le NAT des box avec
l'interface du FAI, rajouter une option "ipv4/ipv6" et de toucher soit
au NAT, soit d'ouvrir bêtement le port (vers une destination, un
masque, ou vers tout le sous-réseau) fait l'affaire.

J'ai loupé quelque chose ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

ou autrement dit, la sécurité globale d'un site repose sur la sécurité de 
l'ensemble des périphériques utilisant le réseau.

A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité 
faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, 
tablettes, téléphones, machines à café, ...) !!!

Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
obligatoire.

Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je 
vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise...

A+

Le 22 janv. 2013 à 11:15, sxpert  a écrit :

> la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
> c'est à dire les machines connectées, ou dans un firewall intermédiaire
> si vous préférez cette méthode.

-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

Il n'est pas question ici de débattre si le NAT est ou n'est pas une 
sécurisation.

Lisez la RFC6092 : "Recommended Simple Security Capabilities in Customer 
Premises Equipment (CPE) for Providing Residential IPv6 Internet Service"

et arrêter d'incendier le monde avec la position extrême disant qu'IPv6 ne doit 
faire que du routage transparent, c'est une des raisons principales qui a 
freiné l'adoption d'IPv6.

A+


Merci de lire la RFC6092 
Le 22 janv. 2013 à 10:39, Frédéric GANDER  a écrit :

> euh car le nat c'est de la securite ?
> et bientot on va me dire qu'un firewall regle les pb de securite ?
> 
> nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
> end sans passer par des machines qui triturent les paquets
> et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
> du nat alors ;)

-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[ポール・ロラン]

Bonjour,

On Tue, 22 Jan 2013 15:24:51 +0100
Paul Rolland (ポール・ロラン)  wrote:

> Bonjour,
> 
> On Tue, 22 Jan 2013 11:15:21 +0100
> sxpert  wrote:
> 
> > la box n'est qu'un routeur. le firewalling est a faire dans les 
> > feuilles,
> 
> Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free
> propose de configurer des filtres sur IPv4.
Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
parametrage de Nat, pas des acls :(
 
> Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait
> quand meme pas etre si complique que ca...
Ca, par contre, ca reste vrai :)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[ポール・ロラン]

Bonjour,

On Tue, 22 Jan 2013 11:15:21 +0100
sxpert  wrote:

> la box n'est qu'un routeur. le firewalling est a faire dans les 
> feuilles,

Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free
propose de configurer des filtres sur IPv4.

Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait
quand meme pas etre si complique que ca...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frédéric GANDER]

- Mail original -
> De: "Baptiste Malguy" 
> À: frnog@frnog.org
> Envoyé: Mardi 22 Janvier 2013 11:13:37
> Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
> 
> Je n'ai pas vu le mot "NAT" dans le message d'Alain, en dehors du
> sujet...

pourtant ce c'est que ca voulait dire

"je désactive l'ipv6 car j'ai une ip publique non firewaller sur internet alors 
que en ipv4 avec le nat actif par defaut je suis proteger"

> 
> 
> Le 22/01/13 10:39, Frédéric GANDER a écrit :
> > euh car le nat c'est de la securite ?
> > et bientot on va me dire qu'un firewall regle les pb de securite ?
> > 
> > nb : un des premier but d'ipv6 c'était de garantir une connectivite
> > end to end sans passer par des machines qui triturent les paquets
> > et la tout le monde veux remettre du statefull firewall ? bon ba on
> > va faire du nat alors ;)
> 
> 
> 
> --
> Baptiste MALGUY
> NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F
> 0EA1
> OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473
> 6EC2
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Tue, 22 Jan 2013 13:10:26 +0100, Pascal Rullier 
wrote:

> c'est pas un peu gros un /56 par abonné ?
> Juste un /120 suffirait pour son usage domestique.
> Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
> qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
> à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
> Quand je vois du /64 juste pour une liaison ptp ... rah...

Faire du /120 sur IPv6 nécessite de faire de l'adressage manuel ou du
DHCPv6, mais la plupart des équipements fonctionnent avec de
l'autoconfiguration utilisant sur l'adresse MAC.
Compte tenu de la taille de l'adresse MAC, le préfixe le plus grand
nécessaire à ces méthodes est un /64.

Il y a également un intérêt à pouvoir découper plusieurs /64 dans un
préfixe plus petit (/48,/56) pour pouvoir définir plusieurs zones
d'autoconfiguration.

Quand les plutoniens n'auront plus assez d'IPv6 pour se connecter à
InterPlaNet , on pourra se préoccuper de la pénurie d'IPv6. ;)

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Pascal Rullier]

Le 22 janvier 2013 12:21, Frederic Gabut  a écrit :
>
> Le 22 janv. 2013 à 12:02, Frederic Gabut  a écrit :
>
>>
>> Le 22 janv. 2013 à 11:28, Solarus  a écrit :
>>
>>> On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
>>> wrote:
>>>
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
>>> Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
>>> fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
>>> solution de Free).
>>
>> 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
>> Facile quoi :)
>
> Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
> coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
> supportés. Bref !
>

c'est pas un peu gros un /56 par abonné ?
Juste un /120 suffirait pour son usage domestique.
Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
Quand je vois du /64 juste pour une liaison ptp ... rah...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frederic Gabut]

Le 22 janv. 2013 à 12:02, Frederic Gabut  a écrit :

> 
> Le 22 janv. 2013 à 11:28, Solarus  a écrit :
> 
>> On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
>> wrote:
>> 
>>> Le choix de Free de se restreindre à un /64 par abonné complique les
>>> choses si on veut mettre un FW intermédiaire tout en profitant de
>>> l'auto-configuration.
>> Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
>> fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
>> solution de Free).
> 
> 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
> Facile quoi :)

Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
supportés. Bref ! 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

>
> si on considère que la box ne doit rien faire, à la limite on revient au
> bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
> qui fait dhcp + nat44 + RAs derrière.
>

Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread :
la possibilite de mettre son propre equipement a la place de la box.
Bon on peut le faire en mettant son netgear/etc derriere la box en bridge,
ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne
(qos, marge de bruit etc. En meme temps c'est exactement la volonte des
FAI).

Rappelons que la box est dans un contexte grand public ou il est rare de
trouver des vlans et/ou des dmz puisqu'il est "interdit" par les operateurs
d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frederic Gabut]

Le 22 janv. 2013 à 11:28, Solarus  a écrit :

> On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
> wrote:
> 
>> Le choix de Free de se restreindre à un /64 par abonné complique les
>> choses si on veut mettre un FW intermédiaire tout en profitant de
>> l'auto-configuration.
> Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
> fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
> solution de Free).

6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
Facile quoi :)

-- 
Frederic

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frederic Dhieux]

On ne se débarrassera donc jamais de la rustine NAT parce que les gens
ne se fatigueront jamais à faire les choses normalement et proprement et
auront toujours en tête que "sécu simple" = "NAT" :(

"monde de merde"

Frederic

Le 1/22/13 11:21 AM, Guillaume Leclanche a écrit :
> firewall intermédiaire qui peut très bien être dans la box (configurable)
>
> si on considère que la box ne doit rien faire, à la limite on revient au
> bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
> qui fait dhcp + nat44 + RAs derrière.
>
> Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
> veuille ou non un firewall stateful qui deny toutes les connections
> entrantes qui n'ont pas de state ou de règle pour laisser passer.
>
>
> Le 22 janvier 2013 11:15, sxpert  a écrit :
>
>> On 2013-01-22 10:33, Alain Richard wrote:
>>
>>> Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
>>> l'utilisateur de faire du firewalling ou de la sécurité de base
>>> (RFC6092).
>>>
>>> Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
>>> nombre d'utilisateurs conscients des enjeux de sécurité désactivent
>>> donc l'IPv6 de la freebox alors même qu'ils seraient content
>>> d'utiliser IPv6...
>>>
>>> Cordialement,
>>>
>>>
>> la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
>> c'est à dire les machines connectées, ou dans un firewall intermédiaire
>> si vous préférez cette méthode.
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-22 11:21, Guillaume Leclanche wrote:
firewall intermédiaire qui peut très bien être dans la box 
(configurable)


si on considère que la box ne doit rien faire, à la limite on revient 
au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un 
truc

qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


si tu parles de la bidouille utilisée partout pour multiplier les ipv4 
non

disponibles en quantité suffisante, ce n'est pas du NAT, mais du PAT.

de nos jours, vu le fonctionnement des malwares, qui attaquent de 
l'intérieur
en utilisant diverses failles java, flash, navigateur ou humaines 
(cliquez sur
le document machin dans le mail), ca n'amene absolument aucune 
sécurité.


le NAT lui meme, c'est a dire qu'on fait correspondre des addresses 1 
pour 1
n'amene pas plus de sécurité. au mieux, il ne sert qu'a obscurcir 
l'architecture

interne


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
wrote:

> Le choix de Free de se restreindre à un /64 par abonné complique les
> choses si on veut mettre un FW intermédiaire tout en profitant de
> l'auto-configuration.
> 
Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
solution de Free).

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Samuel Thibault]

Rémi Bouhl, le Tue 22 Jan 2013 11:19:22 +0100, a écrit :
> Le 22/01/13, sxpert a écrit :
> 
> > la box n'est qu'un routeur. le firewalling est a faire dans les
> > feuilles,
> > c'est à dire les machines connectées, ou dans un firewall intermédiaire
> > si vous préférez cette méthode.
> 
> Le choix de Free de se restreindre à un /64 par abonné complique les
> choses si on veut mettre un FW intermédiaire tout en profitant de
> l'auto-configuration.

J'ai cru lire qu'ils avaient étendu à un /60 (ou du moins commencé à le
faire en 2008).

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-22 11:19, Rémi Bouhl wrote:

Le 22/01/13, sxpert a écrit :


la box n'est qu'un routeur. le firewalling est a faire dans les
feuilles,
c'est à dire les machines connectées, ou dans un firewall 
intermédiaire

si vous préférez cette méthode.


Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


si tu avais suivi, t'aurais vu que maxime sait qu'il manque un bout de
GUI pour permettre de router les 7 autres blocs affectés a 
l'utilisateur



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Leclanche]

firewall intermédiaire qui peut très bien être dans la box (configurable)

si on considère que la box ne doit rien faire, à la limite on revient au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


Le 22 janvier 2013 11:15, sxpert  a écrit :

> On 2013-01-22 10:33, Alain Richard wrote:
>
>> Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
>> l'utilisateur de faire du firewalling ou de la sécurité de base
>> (RFC6092).
>>
>> Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
>> nombre d'utilisateurs conscients des enjeux de sécurité désactivent
>> donc l'IPv6 de la freebox alors même qu'ils seraient content
>> d'utiliser IPv6...
>>
>> Cordialement,
>>
>>
> la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
> c'est à dire les machines connectées, ou dans un firewall intermédiaire
> si vous préférez cette méthode.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Rémi Bouhl]

Le 22/01/13, sxpert a écrit :

> la box n'est qu'un routeur. le firewalling est a faire dans les
> feuilles,
> c'est à dire les machines connectées, ou dans un firewall intermédiaire
> si vous préférez cette méthode.

Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-22 10:33, Alain Richard wrote:

Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
l'utilisateur de faire du firewalling ou de la sécurité de base
(RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
nombre d'utilisateurs conscients des enjeux de sécurité désactivent
donc l'IPv6 de la freebox alors même qu'ils seraient content
d'utiliser IPv6...

Cordialement,



la box n'est qu'un routeur. le firewalling est a faire dans les 
feuilles,

c'est à dire les machines connectées, ou dans un firewall intermédiaire
si vous préférez cette méthode.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Baptiste Malguy]

Je n'ai pas vu le mot "NAT" dans le message d'Alain, en dehors du sujet...


Le 22/01/13 10:39, Frédéric GANDER a écrit :
> euh car le nat c'est de la securite ?
> et bientot on va me dire qu'un firewall regle les pb de securite ?
> 
> nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
> end sans passer par des machines qui triturent les paquets
> et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
> du nat alors ;)



-- 
Baptiste MALGUY
NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F 0EA1
OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473 6EC2



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frédéric GANDER]

euh car le nat c'est de la securite ?
et bientot on va me dire qu'un firewall regle les pb de securite ?

nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end 
sans passer par des machines qui triturent les paquets
et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du 
nat alors ;)


- Mail original -
> De: "Alain Richard" 
> À: "Frédéric GANDER" 
> Cc: "Liste FRnoG" 
> Envoyé: Mardi 22 Janvier 2013 10:33:51
> Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
> 
> Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
> l'utilisateur de faire du firewalling ou de la sécurité de base (
> RFC6092).
> 
> 
> Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
> nombre d'utilisateurs conscients des enjeux de sécurité désactivent
> donc l'IPv6 de la freebox alors même qu'ils seraient content
> d'utiliser IPv6...
> 
> 
> Cordialement,
> 
> 
> 
> 
> 
> 
> 
> Le 15 janv. 2013 à 17:35, Frédéric GANDER < fgan...@corp.free.fr > a
> écrit :
> 
> 
> ipv6 activé par défaut sur toute les box v6 depuis janvier 2011
> 
> d'ailleurs c'est pas une atteinte à la net neutralité ca ?
> de forcer l'utilisateur un choix de protocol pour surfer sur
> l'int[er|ra]net ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> 
> --
> 
> 
> Alain RICHARD < mailto:alain.rich...@equation.fr >
> EQUATION SA < http://www.equation.fr/ >
> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
> E-Liance, Opérateur des entreprises et collectivités,
> Liaisons Fibre optique, SDSL et ADSL < http://www.e-liance.fr >
> 
> 
> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à 
l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre 
d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la 
freebox alors même qu'ils seraient content d'utiliser IPv6...

Cordialement,



Le 15 janv. 2013 à 17:35, Frédéric GANDER  a écrit :

> ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 
> 
> d'ailleurs c'est pas une atteinte à la net neutralité ca ?
> de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Cyprien Nicolas]

Pascal Rullier wrote:

Le 17 janvier 2013 18:44, Raphaël Jacquot a écrit :

le phénomène de la main droite qui sait pas trop ce que fait la
main gauche ?


Surtout que j'ai lu un interview de Vint Cerf qui disait qu'il poussait
le projet Fiber Kansas City. Ce qui ne veut pas dire qu'il ait écrit les
CGU.


Ils ne parlent pas du même Internet, ils parlent sans doute de celui
des autres


L'offre se présente comme « A Different kind of Internet ». En France,
ils pourraient vendre ça comme de l'« Internet par Google ».


D'ailleurs pourquoi interdire le hosting @home avec une capa comme
cela ? du simple serveur de jeu, ou mail ou whatever ?


Pour pouvoir déployer du CGN sans restreindre le service justement. Si
un client demande à ouvrir un port, on peut lui répondre que c'est
interdit par le contrat. Et Hop, pas besoin de changer les CGS en cours
de fonctionnement.

Google a intérêt à interdire les jeux, comme ça tu vas sur Internet et
tu vois leur pubs.


Parce le FAI est aussi un hébergeur de services, donc il se tirerait
une balle dans le pied, par contre, pour pousser des données ou
utiliser du cloud intranet, oui, mais pour héberger, non...


Bah, en dehors de Google, tu n'as besoin de rien. ya le mail, le réseau
social, les vidéos de chatons, les films, les livres. Pour le nouvel
arrivant en Internet, ça fait déjà beaucoup. Sauf s'il veut du pr0n.


Cet internet là ressemble, hélas, de plus en plus à une TV en flux
descendant seulement où le client zappe, choisit de la VOD
sélectionnée, gobe, jete car il ne peut pas stocker, et passe à la
caisse en fin de mois de plus en plus con...sommateur que
consomm...acteur...


Pire, l'offre de base est gratuite (or frais de construction de ligne,
$300 de mémoire). Donc la FCC va ptet pas râler, vu que c'est limite une
offre sociale (genre la collectivité prend en charge les FAS ?), on va
pas demander du service top-niveau non plus.

Pour ceux qui payent le Gigabit+TV à $120/mo, c'est une autre affaire.

--
Cyprien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Pascal Rullier]

Le 17 janvier 2013 18:44, Raphaël Jacquot  a écrit :
>
> On 17 janv. 2013, at 17:44, Sylvain Vallerot  wrote:
>
>> Oui c'est intéressant de voir comment petit à petit le masque tombe alors
>> que d'un côté Google lance une pétition pour la neutralité du net, de
>> l'autre ils répriment leurs propres abonnés.
>>
>> https://www.google.com/intl/fr/takeaction/
>>
>> « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..]
>> Unissons nos forces pour qu'Internet reste libre et ouvert. »
>>
>> WTF !?
>
> le phénomène de la main droite qui sait pas trop ce que fait la main gauche ?

Ils ne parlent pas du même Internet, ils parlent sans doute de celui des autres

D'ailleurs pourquoi interdire le hosting @home avec une capa comme cela ?
du simple serveur de jeu, ou mail ou whatever ?
Parce le FAI est aussi un hébergeur de services, donc il se tirerait une balle
dans le pied, par contre, pour pousser des données ou utiliser du
cloud intranet, oui,
mais pour héberger, non...

Cet internet là ressemble, hélas, de plus en plus à une TV
en flux descendant seulement
où le client zappe, choisit de la VOD sélectionnée,
gobe, jete car il ne peut pas stocker, et passe à la caisse en fin de mois
de plus en plus con...sommateur que consomm...acteur...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Jacquot]

On 17 janv. 2013, at 17:44, Sylvain Vallerot  wrote:

> Oui c'est intéressant de voir comment petit à petit le masque tombe alors
> que d'un côté Google lance une pétition pour la neutralité du net, de
> l'autre ils répriment leurs propres abonnés.
> 
> https://www.google.com/intl/fr/takeaction/
> 
> « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..]
> Unissons nos forces pour qu'Internet reste libre et ouvert. »
> 
> WTF !?

le phénomène de la main droite qui sait pas trop ce que fait la main gauche ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sylvain Vallerot]

On 17/01/2013 15:41, Solarus wrote:

Clauses abusives ou pas, elles sont écrites.


Je sais pas comment ça se passe aux states, mais en France une clause
écrite mais abusive devient "réputée non écrite". Rien que le terme m'amuse.


On 17/01/2013 15:48, Rémi Bouhl wrote:

Quand on interdit aussi les ports 80, 443, 22 et compagnie, c'est
qu'on a une autre idée derrière la tête (du genre, empêcher les
clients-du-FAI-Google de porter atteinte au business de
l'hébergeur-Google, ou comment l'intégration verticale est une menace
pour la neutralité du réseau).


Oui c'est intéressant de voir comment petit à petit le masque tombe alors
que d'un côté Google lance une pétition pour la neutralité du net, de
l'autre ils répriment leurs propres abonnés.

https://www.google.com/intl/fr/takeaction/

« Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..]
 Unissons nos forces pour qu'Internet reste libre et ouvert. »

WTF !?





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Rémi Bouhl]

Le 17/01/13, Solarus a écrit :

> C'est plus probabalement un problème lié à la réputation de l'AS et des
> IP Google face au reste de l'Internet.(SMTP port 25, toussa toussa).
>

Bof, non, ça ça se résout habituellement à coup de blocages du port
25, éventuellement non désactivable si on est féroce.

Quand on interdit aussi les ports 80, 443, 22 et compagnie, c'est
qu'on a une autre idée derrière la tête (du genre, empêcher les
clients-du-FAI-Google de porter atteinte au business de
l'hébergeur-Google, ou comment l'intégration verticale est une menace
pour la neutralité du réseau).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Thu, 17 Jan 2013 14:36:47 +0100, sxpert  wrote:

>> "Unless you have a written agreement with Google Fiber permitting you
>> do so, you should not host any type of server using your Google Fiber
>> connection"
> 
> ca se voit que c'est pas des tech qui ont écrit les clauses d'utilisations,
> par natures abusives...
> 
Clauses abusives ou pas, elles sont écrites.

La seule volonté de Google à travers ses accès est de capter des
clients pour ses propres serveurs et services, d'où l'interdiction
d'héberger soit même des serveurs. Si cette restriction était mise en
oeuvre, ce ne serait effctivement pas un vrai accès Internet, mais un
accès data.

C'est plus probabalement un problème lié à la réputation de l'AS et des
IP Google face au reste de l'Internet.(SMTP port 25, toussa toussa).

Donc non à mon avis ce n'est pas qu'un simple caprice de commercial.

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Julien Escario]

Le 17/01/2013 14:26, Stephen a écrit :

Tu es sûr de vouloir absolument de l'accès avec IP dynamique où il est interdit
d'y héberger un serveur ?

http://support.google.com/fiber/bin/answer.py?hl=en&answer=2659981&topic=2440874&ctx=topic


"Unless you have a written agreement with Google Fiber permitting you do so, you
should not host any type of server using your Google Fiber connection"


En même temps, ils vont pas fournir 1Gbps pour que tu les utilises en plus !
Monde de bisounours ...

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-17 14:26, Stephen wrote:

Tu es sûr de vouloir absolument de l'accès avec IP dynamique où il
est interdit d'y héberger un serveur ?


http://support.google.com/fiber/bin/answer.py?hl=en&answer=2659981&topic=2440874&ctx=topic

"Unless you have a written agreement with Google Fiber permitting you
do so, you should not host any type of server using your Google Fiber
connection"


ca se voit que c'est pas des tech qui ont écrit les clauses 
d'utilisations,

par natures abusives...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Xavier Beaudouin]

>> Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc
>> orchestré par Google et Facebook pour embeter les providers français
>> (source
>> )
> 
> Elle a progressé en 6 mois hein  :-)
> 
> Maintenant elle quitte la table *avant* de dire quelque chose.

Et après elle fait une commission pour enterrer proprement les choses :)

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Xavier Beaudouin]

Hello,
Le 16 janv. 2013 à 22:22, Guillaume Barrot  a écrit 
:

> Le 16 janvier 2013 16:43, Manuel Martinez  a
> écrit :
> 
>> Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce
>> qui reste aux opérateurs qui ne font pas partie des gros (et encore même
>> pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes
>> d'IPv4 pour espérer recruter encore des clients...
> 
> 
> Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le
> rachat d'un bloc IPv4 au marché noir.
> De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et
> certains opérateurs jouent même la rétention dans ce sens...

Y a mieux, créer une pseudo boite en afrique (choose your country) et la 
rattacher à la maison mère en France.

Une fois que tu as ton joli subnet (pleiiin d'ip, vu que l'afrique a "moins 
besoin" de l'internet que les pays du nord) tu monte ton subnet sur ton AS 
europeen et tu l'utilise en France par exemple.

Voici quelques nouveautés qui emmergent depuis 2012...

Pas besoin de racheter au marché noir, il suffit de faire comme toutes les 
ressources des pays qui en cours de développement : les utiliser pour un besoin 
que le pays en question n'as pas (ou tout simplement se servir sans 
concessions).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Rémi Bouhl]

(Attention, vous avez positionné le reply-to en dehors de la liste)

Le 17/01/13, Guillaume Barrot a écrit :
> Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus
> logique.
> Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6
> conservee.

Neutralité du net legacy entravée pour des impératifs techniques, mais
neutralité du net du futur conservée, et c'est ça qui compte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus
logique.
Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6
conservee.
Le 16 janv. 2013 15:39, "Jérôme Nicolle"  a écrit :

> Le 15/01/2013 17:45, Guillaume Barrot a écrit :
> > Par contre pour le CGN vu qu'il y aura surement un impact juridique
> > (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui
> > marchaient avant qui marchent plus apres), voire economique (nouveau
> > forfaits "premium" pour conserver une ip publique dediee), la clairement
> y
> > aura atteinte a la neutralite du net...
>
> Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
> public routé) mais, par compatibilité et malgré la pénurie, le maintient
> d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
> entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
> veut sur l'IPv6.
>
> Tant que tous les paquets d'au moins un des protocoles sont transportés
> sans discrimination, et que les quelques dégradations de service sur
> l'autre ne sont pas clairement ciblés pour discriminer certains
> services, c'est plutôt positif comme démarche...
>
> --
> Jérôme Nicolle
> 06 19 31 27 14
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Manuel Martinez]

Le 16 janv. 2013 à 18:21, "Rémi Bouhl"  a écrit :
> Au sujet de la transparence : les opérateurs avec lesquels vous
> travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine
> de mentionner cette particularité dans leur CGU, AVANT achat ?
Ça dépend, malheureusement pas tous
La plupart de ceux que je connais sont aux US et au Japon. Ils vendent cela 
comme une offre IPv6 avant tout, et ne rentrent pas dans des débats 
d'architecture ou de protocole. La plupart des utilisateurs sont agréablement 
surpris de constater que manifestement il est toujours possible d'accéder à une 
grande partie de l'Internet IPv4...
Enfin de nombreux CGN 44 sont déployés sur les nouvelles architectures LTE. 
Pour le coup peu de gens se plaignent puisque la SNAT se fait de manière 
courante sur les réseaux mobiles, et que seule la performance les intéresse...

Manuel

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Manuel Martinez]

Le 16 janv. 2013 à 22:22, "Guillaume Barrot" 
mailto:guillaume.bar...@gmail.com>> a écrit :


Le 16 janvier 2013 16:43, Manuel Martinez 
mailto:mmarti...@a10networks.com>> a écrit :
Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui 
reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux 
ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour 
espérer recruter encore des clients...

Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat 
d'un bloc IPv4 au marché noir.
De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et 
certains opérateurs jouent même la rétention dans ce sens...

Ouh là ben il me semble qu'un bon CGN ça coûte dans les 200k$... donc bien 
moins que des blocs d'IPv4
Par contre, c'est sûr que s'il vous faut du €isco, c'est pas le même prix ;-)

Manuel

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sebastien Lesimple]

Le 16/01/2013 22:20, Guillaume Barrot a écrit :

Le 16 janvier 2013 16:20, Refuznikster  a écrit :


Ce que je trouverais extraordinairement fair, ca serait de faire un

système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
peu importe) juste sur demande (et désactivée par défaut), gratuitement.



Naaain. Erreur systeme.
Les gens du marketing passe par là et dise "quoi un truc gratuit alors
qu'on pourrait marketer ça en 'offre premium', et faire payer à
l'outrecuidant la monopolisation d'une ressource".
Et paf.

C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une
ressource tellement abondante que tu peux en donner des paquets de
publiques aux MIT pour que tous les postes, les badgeuses et les
imprimantes soient dans le /8 public, à une situation où c'est devenu
tellement rare que plusieurs abonnées vont devoir en partager une. Du coup,
qui dit rareté, dit économie qui va avec : et vas y que je te revends des
scopes, et vas y que je fais payer l'IP publique dédiée.

Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci
les écoles de marketing.


Ben c'est pas trop les marketeux qui sont responsable de cet état de fait.
(enfin presque)
C'est le marché qui veut ça. Ressource rares = prix en hausse.

Si un client veut absolument du v4, vu qu'on à droit qu'à un /22, ben 
c'est payant, voir même payant à un niveau dissuasif.
v6 c'est la norme, v4 c'est de la rustine pour bras cassés et on 
préfèrera accompagner dans une migration (payante) que de patcher dans 
tous les sens.
Personne ne s'offusque des incompatibilités (ou des usines à gaz à 
monter) engendrées par des versions disparates de Windaube dans un même 
domaine...


Sinon le client peut toujours aller voir du coté de chez Octave ou 
d'autres, mais nous ne pouvons pas jouer à ce jeu là.

Ressources limitées =  décisions de gestion brutus...
Tough luck


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sylvain Vallerot]

On 16/01/2013 22:31, Guillaume Barrot wrote:

Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc
orchestré par Google et Facebook pour embeter les providers français
(source
)


Elle a progressé en 6 mois hein  :-)

Maintenant elle quitte la table *avant* de dire quelque chose.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

Le 16 janvier 2013 16:43, Manuel Martinez  a
écrit :

> Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce
> qui reste aux opérateurs qui ne font pas partie des gros (et encore même
> pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes
> d'IPv4 pour espérer recruter encore des clients...


Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le
rachat d'un bloc IPv4 au marché noir.
De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et
certains opérateurs jouent même la rétention dans ce sens...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

Le 16 janvier 2013 16:20, Refuznikster  a écrit :

> Ce que je trouverais extraordinairement fair, ca serait de faire un
>> système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
>> peu importe) juste sur demande (et désactivée par défaut), gratuitement.
>
>
Naaain. Erreur systeme.
Les gens du marketing passe par là et dise "quoi un truc gratuit alors
qu'on pourrait marketer ça en 'offre premium', et faire payer à
l'outrecuidant la monopolisation d'une ressource".
Et paf.

C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une
ressource tellement abondante que tu peux en donner des paquets de
publiques aux MIT pour que tous les postes, les badgeuses et les
imprimantes soient dans le /8 public, à une situation où c'est devenu
tellement rare que plusieurs abonnées vont devoir en partager une. Du coup,
qui dit rareté, dit économie qui va avec : et vas y que je te revends des
scopes, et vas y que je fais payer l'IP publique dédiée.

Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci
les écoles de marketing.



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Jacquot]

On 16 janv. 2013, at 21:08, Sylvain Vallerot  wrote:

> 
> 
> On 16/01/2013 10:31, sxpert wrote:
>> deux choses:
>> * comme disait qqun plus tot, les fournisseurs de routeurs qui réclament
>> des sous en plus pour avoir un vrai support ipv6
>> * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...
> 
> Et les transitaires qui demander 1500 €HT de FAS pour configurer
> une session en v6 sur la livraison BGP ?
> 

ca se justifie, pour payer les licences ipv6 pour leur routeurs extorquées par 
les fabricants cités au 1.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Yves Rougy]

Le 16 janvier 2013 21:02, Sylvain Vallerot  a écrit :

>
>
> On 16/01/2013 20:52, Sylvain Vallerot wrote:
>
>> C'est gravissime d'envisager de réduire internet à quelques protocoles.
>>
>
> Hum, je me suis un peu emporté il est clair que dans une stratégie
> de survie (genre on a pas le choix y'a plus de v4) MAIS que le v6
> est déployé derrière pour du full internet il faut bien envisager ce
> genre de possibilité.
>
> Reste que considérer comme admissible la disparition de pans entiers
> d'internet en supprimant la possibilité d'héberger des serveurs ou de
> mettre en place des protocols p2p me choque complètement.


Sans aller jusqu'à supprimer des protocoles comme le P2P (gourmand en terme
de ports), le fait qu'il soit beaucoup moins utilisé devrait au contraire
permettre de ne pas le supprimer en passant dans un CGN, où le nombre de
ports par client est limité. C'est comme ça que j'ai interprété la remarque
en tous cas.

Y. (plus lecteur que participant ici...)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sylvain Vallerot]

On 15/01/2013 17:25, Guillaume Barrot wrote:

Et ben tout ça c'est GENIAL.


Hé hé, doux rêveur ou adepte de la stratégie du choc ?

http://fr.wikipedia.org/wiki/La_Strat%C3%A9gie_du_choc



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sylvain Vallerot]

On 16/01/2013 10:31, sxpert wrote:

deux choses:
* comme disait qqun plus tot, les fournisseurs de routeurs qui réclament
des sous en plus pour avoir un vrai support ipv6
* la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...


Et les transitaires qui demander 1500 €HT de FAS pour configurer
une session en v6 sur la livraison BGP ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sylvain Vallerot]

On 16/01/2013 20:52, Sylvain Vallerot wrote:

C'est gravissime d'envisager de réduire internet à quelques protocoles.


Hum, je me suis un peu emporté il est clair que dans une stratégie
de survie (genre on a pas le choix y'a plus de v4) MAIS que le v6
est déployé derrière pour du full internet il faut bien envisager ce
genre de possibilité.

Reste que considérer comme admissible la disparition de pans entiers
d'internet en supprimant la possibilité d'héberger des serveurs ou de
mettre en place des protocols p2p me choque complètement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Sylvain Vallerot]

On 16/01/2013 01:49, Pierre-Yves Maunier wrote:

Après, le peer-to-peer ne représente plus grand chose en terme de trafic
d'après les dernières stats que j'ai vues.


Et alors !?



Si un réseau eyeball peut confirmer mais je suis sûr que la majorité de
leur trafic c'est http, https, nntp et nntps.


Et le reste quoi, c'est pas grand public alors on réutilise les ports ?
Il va être beau l'internet de demain si les FAI raisonnent tous comme ça.
C'est gravissime d'envisager de réduire internet à quelques protocoles.



Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en
entrant pour faire tourner son serveur web à la maison.
Donc du moment qu'elle peut aller sur voici.fr, regarder des vidéos de
chats qui dansent et envoyer des photos par mail.


Mme Michu et son fils utiliseront demain des protocoles dont personne n'a
idée, et s'ils ne peuvent plus le faire normalement ils le feront via des
VPN chiffrés, et les FAI deviendront de simples vendeurs de tuyaux adieu
la valeur ajoutée et l'internet selon Clémentine.

Autrement dit les FAI peuvent essayer de réduire internet au minimum mais
internet c'est le peuple et le peuple leur marchera dessus c'est tout
bonnement le sens de l'histoire.

Les politiques ne sont pas capables encore de prendre le recul pour
comprendre ça, mais ici tout de même...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Rémi Bouhl]

Le 16/01/13, Manuel Martinez a écrit :

> C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels
> la société pour laquelle je bosse a pu participer, jusqu'à présent.
> Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès
> IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à
> Facebook, Youtube, son email, etc.
> Plus elle achètera du matériel et des applications IPv6 ready, pour peu
> qu'il y'en ait, plus elle migrera sans même sans rendre compte.
>
> Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur
> suffit d'en faire la demande.
> Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP
> pour les CGN, dès que la RFC sera disponible
> (http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06).
> Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose
> la question...
> Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir
> technique de rédiger des RFC, ou encore pour "contrôler" tout ce que font
> leurs clients,  mais pour éviter les complaintes que l'on peut lire tout aux
> long de ce thread

Heureux de vous lire !
Pour ma part, mes derniers contacts avec deux opérateurs proposant des
solutions alternatives (WiFi et satellite) en "zone blanche" m'ont
donné la vision d'un monde affreux où :
- IPv6 n'existe pas,
- le CGN est tellement acceptable qu'il n'est mentionné dans aucun
document public, il faut contacter le service commercial et poser des
questions précises pour espérer savoir ce qu'on achète,
- il est normal que des ports soient bloqués,
- il faut gentiment demander pour se faire rediriger le port X ou Y
(sans pour autant disposer d'une IPv4 publique, donc faire la demande
pour CHAQUE redirection).

D'où ma tentation de "hurler de rage" quand le CGN est évoqué :)

Au sujet de la transparence : les opérateurs avec lesquels vous
travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine
de mentionner cette particularité dans leur CGU, AVANT achat ?

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Manuel Martinez]

-Message d'origine-
>De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
>Clement Cavadore
>
>Ce que je trouverais extraordinairement fair, ca serait de faire un système 
>qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) 
>juste sur demande (et désactivée par défaut), gratuitement.
>
>Ainsi, toutes les madame michu auraient leur acces a fesseplouc et autres 
>youtube, et tous les geeks seraient contents.
>Et les FAI auraient plein de pool IP disponibles pour leurs CGN...
>
>Mais bon, on peut rêver... :)
>--
>Clément Cavadore
---


C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels la 
société pour laquelle je bosse a pu participer, jusqu'à présent.
Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès 
IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à Facebook, 
Youtube, son email, etc. 
Plus elle achètera du matériel et des applications IPv6 ready, pour peu qu'il 
y'en ait, plus elle migrera sans même sans rendre compte.

Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur suffit 
d'en faire la demande.
Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP pour 
les CGN, dès que la RFC sera disponible 
(http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06). 
Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose la 
question...
Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir technique 
de rédiger des RFC, ou encore pour "contrôler" tout ce que font leurs clients,  
mais pour éviter les complaintes que l'on peut lire tout aux long de ce 
thread
Sachant qu'en plus faire du CGN/DS-Lite/6rd/NAT64/etc. en soi est une tache 
couteuse en termes de ressources techniques (HW, CPU, etc). Donc l'aspect 
"contrôle" est fait bien ailleurs par d'autres solutions dites DPI 
(http://fr.wikipedia.org/wiki/Deep_packet_inspection) rendues obligatoires par 
notre cher gouvernement, mais aussi utilisées bien souvent pour tout ce qui est 
ciblage publicitaire
Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui 
reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux 
ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour 
espérer recruter encore des clients...

Manuel MARTINEZ


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Refuznikster]

On avait pas un ou deux FAI qui proposait ça à l'époque ?

Le Wed, 16 Jan 2013 15:46:04 +0100, Clement Cavadore  
 a écrit:



Hello,

On 01/16/2013 03:36 PM, Jérôme Nicolle wrote:

Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
public routé) mais, par compatibilité et malgré la pénurie, le maintient
d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
veut sur l'IPv6.

Tant que tous les paquets d'au moins un des protocoles sont transportés
sans discrimination, et que les quelques dégradations de service sur
l'autre ne sont pas clairement ciblés pour discriminer certains
services, c'est plutôt positif comme démarche...


Ce que je trouverais extraordinairement fair, ca serait de faire un
système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
peu importe) juste sur demande (et désactivée par défaut), gratuitement.

Ainsi, toutes les madame michu auraient leur acces a fesseplouc et
autres youtube, et tous les geeks seraient contents.
Et les FAI auraient plein de pool IP disponibles pour leurs CGN...

Mais bon, on peut rêver... :)



--
---
Refuznik


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérôme Nicolle]

Le 16/01/2013 10:31, sxpert a écrit :
> * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...

des noms !

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Wed, Jan 16, 2013, at 15:30, Jérôme Nicolle wrote:

> Avec une stack IPv6 et surtout ICMPv6 tellement mal codée qu'elle
> s'effondre avec des trucs aussi cons que du RA-flood.

On parle d'un systeme lance il y a 10 ans, donc ..

> vu l'intérêt quasi nul d'IPv6 sur un LAN d'entreprise)

J'entendais le meme chose sur l'IP (v4) il y a moins de 15 ans (avec des
irresistibles qui le faisait encore debut 2001).
Il y avait les reseaux d'entreprise avec des fileservers Novell
(IPX/SPX) et l'Internet etait vu comme un outil a perdre du temps et
rien faire.

Autrement, vu la securite de beaucoup de reseaux d'entreprise (proche de
0), activer IPv6 a fonctionalite egale (toujours zero securite) est
super-simple et sans effet secondaire.

Sinon, j'ai vu aussi des "auditeurs securite" qui n'etait meme pas
capable de se rendre compte qu'il y a du v6 sur un reseau d'entreprise.
De ce point de vue, on peut meme dire que le deployer augmente la
securite (par obscurite).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Pascal Rullier]

Le 16 janvier 2013 14:48, Rémi Bouhl  a écrit :
> Le 16/01/13, Xavier Beaudouin a écrit :
>
>> Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres
>> opérateurs... c'est un peu autre chose. Dommage.
>
> Peut-être que les autres opérateurs ont une infra plus complexe ?
> Tant qu'on fait "juste de l'Internet", ce n'est effectivement pas si
> galère de passer en dual-stack.
>
> Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains
> ports, de bricoler le réseau pour en faire autre chose que de
> l'Internet, IPv6 complique les choses.
>

donc si je lis bien, + le fai priorise les paquets, filtre, bricole,
cela devient
difficile de mettre en place ipv6 avec le même niveau de "services"

Donc ceux qui se plaignent le + pour déployé ipv6, sont ceux qui bricolent le +

Intéressant... :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Clement Cavadore]

Hello,

On 01/16/2013 03:36 PM, Jérôme Nicolle wrote:
> Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
> public routé) mais, par compatibilité et malgré la pénurie, le maintient
> d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
> entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
> veut sur l'IPv6.
> 
> Tant que tous les paquets d'au moins un des protocoles sont transportés
> sans discrimination, et que les quelques dégradations de service sur
> l'autre ne sont pas clairement ciblés pour discriminer certains
> services, c'est plutôt positif comme démarche...

Ce que je trouverais extraordinairement fair, ca serait de faire un
système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
peu importe) juste sur demande (et désactivée par défaut), gratuitement.

Ainsi, toutes les madame michu auraient leur acces a fesseplouc et
autres youtube, et tous les geeks seraient contents.
Et les FAI auraient plein de pool IP disponibles pour leurs CGN...

Mais bon, on peut rêver... :)
-- 
Clément Cavadore



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérôme Nicolle]

Le 15/01/2013 17:45, Guillaume Barrot a écrit :
> Par contre pour le CGN vu qu'il y aura surement un impact juridique
> (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui
> marchaient avant qui marchent plus apres), voire economique (nouveau
> forfaits "premium" pour conserver une ip publique dediee), la clairement y
> aura atteinte a la neutralite du net...

Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
public routé) mais, par compatibilité et malgré la pénurie, le maintient
d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
veut sur l'IPv6.

Tant que tous les paquets d'au moins un des protocoles sont transportés
sans discrimination, et que les quelques dégradations de service sur
l'autre ne sont pas clairement ciblés pour discriminer certains
services, c'est plutôt positif comme démarche...

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-16 15:23, Fabien Delmotte wrote:

Bonjour,

Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, 
le

CGN permet au contraire de les brider un peu plus. Économiquement et
politiquement, le vent souffle dans la direction du CGN



Cela est complètement faux, le CGN n'est pas un choix contre IPv6
mais un moyen de gagner du temps pour passer en IPv6.


ca aussi c'est faux
c'est une solution bancale pour pérenniser l'usage d'ipv4, histoire de

* pas s'emmerder a remplacer les vieux equipements hors d'age dans les
réseaux existants

* faire en sorte de continuer a conserver des consommateurs, et non
des citoyens à meme de participer.

d'ailleurs, il en est de meme du déploiement de solutions fibre optique
dont les débits sont assymétriques.

c'etait peut etre valable quand on avait que du cuivre avec une bande
passante limitée, et le choix commercial qui a été fait à l'époque de
privilégier le débit descendant, mais ca ne justifie plus du tout pour
la fibre optique.

http://www.mail-archive.com/ip@v2.listbox.com/msg08608.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérôme Nicolle]

Le 16/01/2013 08:56, Radu-Adrian Feurdean a écrit :
> C'est un peu moins evident, mais IPv6 sous XP ca existe bel et bien.

Avec une stack IPv6 et surtout ICMPv6 tellement mal codée qu'elle
s'effondre avec des trucs aussi cons que du RA-flood.

Je persiste à refuser de déployer IPv6 sur des OS aussi vieux, c'est
trop dangereux pour les équipes en charge de supporter la bureautique.

(En fait sur des parcs installés aussi vieux, les switchs sont rarement
à même de supporter une politique de sécurité qui permettrait de
colmater les brèches. Les chantiers sont donc trop gros et coûteux pour
la plupart des clients, vu l'intérêt quasi nul d'IPv6 sur un LAN
d'entreprise)

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Fabien Delmotte]

Bonjour,

> Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le
> CGN permet au contraire de les brider un peu plus. Économiquement et
> politiquement, le vent souffle dans la direction du CGN


Cela est complètement faux, le CGN n'est pas un choix contre IPv6 mais un moyen 
de gagner du temps pour passer en IPv6.
Les investissements en temps et argent pour passer en v6 sont important, de ce 
fait certains opérateurs veulent gagner du temps. Mais la finalité est v6.

Fabien

Le 16 janv. 2013 à 14:48, Rémi Bouhl  a écrit :

> Le 16/01/13, Xavier Beaudouin a écrit :
> 
>> Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres
>> opérateurs... c'est un peu autre chose. Dommage.
> 
> Peut-être que les autres opérateurs ont une infra plus complexe ?
> Tant qu'on fait "juste de l'Internet", ce n'est effectivement pas si
> galère de passer en dual-stack.
> 
> Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains
> ports, de bricoler le réseau pour en faire autre chose que de
> l'Internet, IPv6 complique les choses.
> 
> Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le
> CGN permet au contraire de les brider un peu plus. Économiquement et
> politiquement, le vent souffle dans la direction du CGN, pas du retour
> à un vrai Internet (une machine = une adresse publique) permis par
> IPv6.
> 
> Rémi.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Rémi Bouhl]

Le 16/01/13, Xavier Beaudouin a écrit :

> Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres
> opérateurs... c'est un peu autre chose. Dommage.

Peut-être que les autres opérateurs ont une infra plus complexe ?
Tant qu'on fait "juste de l'Internet", ce n'est effectivement pas si
galère de passer en dual-stack.

Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains
ports, de bricoler le réseau pour en faire autre chose que de
l'Internet, IPv6 complique les choses.

Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le
CGN permet au contraire de les brider un peu plus. Économiquement et
politiquement, le vent souffle dans la direction du CGN, pas du retour
à un vrai Internet (une machine = une adresse publique) permis par
IPv6.

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Wed, Jan 16, 2013, at 9:39, Frédéric GANDER wrote:
> Si ton problème c'est de peerer tu peux toujours prendre un paid peering
> heim, mais non tu n'en as pas besoin vu que tu bosses chez un tier 1
> revendeur exclusif de level3 dans un monde mineral sans chaise désuette.

Je ne parle pas uniquement de la situation dans ma boite d'aujourd'hui.
(apart la reference "tier-1", tu decris pas mal l'environnement).

Chez $job[-1], si en v4 la situation etait "pas facile mais
maitrisable", il n'y avait pas de moyen de garder le traffic IPv6 vers
Free en France.
J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free
avait resorti comme la premiere destination (mieux que Renater, HE.net
ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route
"potable" qui ne sortait pas de la France. Et ca, malgre 4 transitaires
+ He.net (meilleure route, mais +16ms via Amsterdam). A l'epoque Free
n'etait pas joignable en v6 via Cogent. On voyait a l'epoque juste du
transit TATA (generalement sature), transit Level3-IPv6 a Londres,
peering HE.net a Amsterdam et du ?? IIJ a New-York (tout le traffic
vers Tinet etait force par la-bas).
Dans des telles conditions, ca donnait pas envie de laisser le v6 active
sur la partie contenu. IPv6 c'est bien, mais pas quand ca degrade le
service de facon systematique.

D'ailleurs, ton pay-peering c'est dans quel range de prix pour des
"petits debits" (maxi 1G) ?

> Commence donc par mettre le site web de ta boite en v6 ca augmentera le 
> traffic ipv6.

Pas possible de toucher au "monde mineral" :)
C'est prevu pour la prochaine boite (si tout se passe bien et sans
avancer des dates).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Wed, 16 Jan 2013 11:31:50 +0100, "Radu-Adrian Feurdean"
 wrote:

> De memoire, tous les CDN fonctionnent comme ca. Et si tu veux que ton
> site soit accessible sans le "www." tu fais pointer le "A" en question
> vers quelque-chose qui fait un HTTP redirect. C'est comme ca que bing
> fonctionne, et c'est comme ca que je faisais quand j'etais client Akamai
> (chez qui tu as un forfait sur le nombre de "hostnames" sur lesquels tu
> exposes ton site - wildcard pas accepte).

Rien n'empêche le double adressage vers la redirection donc ?
Je suis peut-être utopiste mais c'est important de penser aux clients
en IPv6-only, parce que sinon je vais manquer d'adresses pour mon frigo
connecté. ;)

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Wed, Jan 16, 2013, at 9:52, Xavier Beaudouin wrote:

> Maintenant, reprenons le coup des serveurs de mails.

Des "solutions" qui permettent de faire plusieurs millions d'emails par
jour, il n'y a pa tant que ca, et ils ont commence a supporter l'IPv6
que recemment. 
Et meme avec du support IPv6, il reste la question des blacklists qui
est nettement moins simple en v6.
OK, j'avait une vue claire que sur la partie envoi, mais d'autres qui
gerent des volumes similaires (voir superieures) en entree doivent avoir
quasiment les memes problemes.

Par contre, 100% d'accord sur la partie DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Wed, Jan 16, 2013, at 9:42, Solarus wrote:

> A ce propos on peut critiquer les clients d'Akamai qui lui achetent de
> l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est 
> réglé.
> 
> On se retrouve par exemple avec www.bing.com qui possède des entrées
>  sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A
> pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie
> les www n'a pas accès à Bing. C'est bête hein ? ;)

De memoire, tous les CDN fonctionnent comme ca. Et si tu veux que ton
site soit accessible sans le "www." tu fais pointer le "A" en question
vers quelque-chose qui fait un HTTP redirect. C'est comme ca que bing
fonctionne, et c'est comme ca que je faisais quand j'etais client Akamai
(chez qui tu as un forfait sur le nombre de "hostnames" sur lesquels tu
exposes ton site - wildcard pas accepte).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Wed, Jan 16, 2013, at 9:31, Guillaume Barrot wrote:
> C'est de notoriete publique que la ligne conductrice d'Akamai est "tant
> qu'il y a des cons pour acheter, moi je vends", non ?

Et malhereusement les cons achetent parce-que la concurrence n'est pas
toujours au niveau.
Il y a environ un an, on avais essaye de voir des alternatives moins
cheres a Akamai. Dans le cahier de charges il y avait "SSL service,
available in LatAm and APAC regions. Option for China appreciated". Le
nettoyage des candidats commencait avec ca, et il etait tres rapide.
Meme si on a pas arrive a voir tout le monde, les resultats etait
quand-meme decevants.

On peut ne pas aimer la politique commerciale d'Akamai, mais cote
service on peut pas leur reprocher beaucoup de choses (probablement rien
si on a un buget tres large).
Ils offrent des bons services, ils n'ont pas beaucoup de concurrence, et
en consequence ils le font payer tres tres cher (et de que tu commences
a parler tu payes encore).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alexandre Archambault]

Le 16 janv. 2013 à 08:14, Raphaël Jacquot  a écrit :

> depuis le temps qu'on leur dit qu'une adresse ip ne represente pas un abonné.
> on peut aussi prendre en compte 
> 
> http://ec.europa.eu/taxation_customs/resources/documents/taxation/vat/how_vat_works/e-services/com_2012_763_fr.pdf

Sauf que cette disposition vise avant tout les fournisseurs de services 
commerciaux en ligne opérant sur plusieurs marchés nationaux et non 
spécifiquement les fournisseurs d'accès.

Et qu'il n'est nullement imposé de conserver l'IP en tant que telle. Juste à 
minima 2 éléments parmi ceux mentionnés à l'article 24 octies.

--
Alec,





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Emmanuel Thierry]

Le 16 janv. 2013 à 10:06, Raphaël Maunier - Jaguar Network a écrit :

> 
> Donc clairement, ce n'est pas un pb technique. Ça fait des années qu'on vous 
> le répète tous. C'est pour cela qu'il faut les land comme Fred a organisé 
> avec Telecom ParisTech et il faut encore et encore des ppt avec des chiffres 
> et des $$$ !

D'ailleurs je pense qu'on en proposera d'autres !

Cordialement
Emmanuel Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Wed, Jan 16, 2013, at 1:49, Pierre-Yves Maunier wrote:
> Si ça passe derrière du NAT, je vois pas pourquoi ça passerait pas derrière
> du CGN tant que tu bouffes pas 40 000 ports.

UPNP / ouverture de ports a la demande ?

> Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en

Mme Michu a souvent un mari ou un fils qui peut vouloir utiliser le
NAT/PAT ou des serveurs de je ne sais pas quoi en local.

Meme si aujourd'hui les choses ont du avancer (dans la mauvaise
direction), j'entendais le meme discours avec la fameuse Mme Michu il y
a plusieurs annees, quand les solutions VPN etait nettement moins
NAT-friendly (et le SSL-VPN nettement moins deploye), et les "corporate
users" (dont certains *TRES* mobiles) ralaient nettement plus souvent
qu'aujourd'hui a cause du "VPN qui ne passe pas ici ou la".


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-16 09:52, Xavier Beaudouin wrote:


Allez pas me dire que je dis n'importe quoi. N'importe quel linux /
bsd / windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est
depuis pas loin de 10 ans), et les serveurs de noms même en bind 8
sait faire de l'IPv6.


j'espere que t'as upgrade ton bind depuis, parce que sinon, tu risques 
quelques soucis ;-)



Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur
du réseau, et "c'est plus compliqué en Edge sur les CPE".


deux choses:
* comme disait qqun plus tot, les fournisseurs de routeurs qui 
réclament des sous en plus pour avoir un vrai support ipv6

* la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Maunier - Jaguar Network]

Beau discours d'une personne technique qui ne gère pas des budgets de x 
millions d'euros ( sans vouloir être condescendant ).

Les grosses boites ont bien plus de problématiques à gérer que ça.
La technique pour la technique osef, la technique pour ce que ça apporte en $$$ 
ou en économie sur son budget sur x années ok!

De plus, pour recruter des ingénieurs en ce moment c'est la misère, soit on 
voit des mecs complètements incompétents, soit des mecs sans exp qui demandent 
des salaires délirants !
Ça fait 2 ans que c'est comme ça, et a priori, c'est pas demain que ça va se 
résoudre.

Donc clairement, ce n'est pas un pb technique. Ça fait des années qu'on vous le 
répète tous. C'est pour cela qu'il faut les land comme Fred a organisé avec 
Telecom ParisTech et il faut encore et encore des ppt avec des chiffres et des 
$$$ !

Raphael

Envoyé de mon iPhone

Le 16 janv. 2013 à 09:52, Xavier Beaudouin  a écrit :

> (plein de choses sur CGN, etc...)
> 
> Enfin ce qui me fait marrer avec "nous y voilà", c'est quand même le concept 
> d'attentisme de tous les acteurs.
> 
> Dans un certain job, j'ai entendu : "on n'as pas migré les serveurs de mails 
> en IPv6 car la solution  n'est pas 
> compatible IPv6 et n'as pas encore de projet pour sortir un  
> IPv6 compliant".
> 
> Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une 
> complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui 
> écoute le port 53 (tcp/udp) elle est ou la complexité ?
> 
> Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / 
> windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas 
> loin de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6.
> 
> Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ?
> 
> Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du 
> réseau, et "c'est plus compliqué en Edge sur les CPE".
> 
> Quand on voit que l'évolution des requêtes DNS a "un peu" poussé... Et qu'il 
> n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on 
> peux quand même se dire que "la stratégie de l'échec" est la.
> 
> Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6.
> 
> Maintenant, reprenons le coup des serveurs de mails.
> Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont 
> pas compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté 
> les solutions non IPv6 compliant par la fenêtre pour prendre des outils 
> opensource (qui en passant sont _aussi_ utilisé dans des boites noires, comme 
> Barracuda, et encore c'est un exemple), histoire de ne pas se compliquer 
> l'existence.
> 
> Quand on voit le "world ipv6 launch" qui parle de mettre les eyeballs en 
> ipv6, je suis franchement septique, vu la complexité en terme de changement 
> d'une infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y 
> arrive pas sur des services _simples_ ?
> 
> Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne 
> se sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le 
> monde se regarde et attendent que les autres bougent.
> 
> Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres 
> opérateurs... c'est un peu autre chose. Dommage.
> 
> Xavier
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Xavier Beaudouin]

(plein de choses sur CGN, etc...)

Enfin ce qui me fait marrer avec "nous y voilà", c'est quand même le concept 
d'attentisme de tous les acteurs.

Dans un certain job, j'ai entendu : "on n'as pas migré les serveurs de mails en 
IPv6 car la solution  n'est pas compatible 
IPv6 et n'as pas encore de projet pour sortir un  IPv6 compliant".

Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une 
complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui écoute 
le port 53 (tcp/udp) elle est ou la complexité ?

Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / 
windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas loin 
de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6.

Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ?

Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du réseau, 
et "c'est plus compliqué en Edge sur les CPE".

Quand on voit que l'évolution des requêtes DNS a "un peu" poussé... Et qu'il 
n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on 
peux quand même se dire que "la stratégie de l'échec" est la.

Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6.

Maintenant, reprenons le coup des serveurs de mails.
Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont pas 
compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté les 
solutions non IPv6 compliant par la fenêtre pour prendre des outils opensource 
(qui en passant sont _aussi_ utilisé dans des boites noires, comme Barracuda, 
et encore c'est un exemple), histoire de ne pas se compliquer l'existence.

Quand on voit le "world ipv6 launch" qui parle de mettre les eyeballs en ipv6, 
je suis franchement septique, vu la complexité en terme de changement d'une 
infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y arrive pas 
sur des services _simples_ ?

Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne se 
sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le monde se 
regarde et attendent que les autres bougent.

Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres 
opérateurs... c'est un peu autre chose. Dommage.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Maunier - Jaguar Network]

De toute façon, il aura pas accès à grand chose donc, bing ou pas , comment 
dire :)

Envoyé de mon iPhone

Le 16 janv. 2013 à 09:42, Solarus  a écrit :

> On Wed, 16 Jan 2013 09:20:37 +0100, "Radu-Adrian Feurdean"
>  wrote:
> 
> 
>> 
>> Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
>> mais en plus est une option (produit apart) payante.
>> Pire encore, dans le service standard ils disent "nous pouvons attaquer
>> une origine en v6, mais on l'expose cote client uniquement en v4. Si
>> vous voulez une exposition client en v6, il faut acheter le produit
>> ZXZXZXZXZX en plus."
>> Je m'attendais a mieux pour le prix que ca coute...
>> 
> 
> A ce propos on peut critiquer les clients d'Akamai qui lui achetent de
> l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est
> réglé.
> 
> On se retrouve par exemple avec www.bing.com qui possède des entrées
>  sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A
> pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie
> les www n'a pas accès à Bing. C'est bête hein ? ;)
> 
> --
> Solarus
> www.ultrawaves.fr
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Wed, 16 Jan 2013 09:20:37 +0100, "Radu-Adrian Feurdean"
 wrote:


> 
> Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
> mais en plus est une option (produit apart) payante.
> Pire encore, dans le service standard ils disent "nous pouvons attaquer
> une origine en v6, mais on l'expose cote client uniquement en v4. Si
> vous voulez une exposition client en v6, il faut acheter le produit
> ZXZXZXZXZX en plus."
> Je m'attendais a mieux pour le prix que ca coute...
> 

A ce propos on peut critiquer les clients d'Akamai qui lui achetent de
l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est
réglé.

On se retrouve par exemple avec www.bing.com qui possède des entrées
 sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A
pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie
les www n'a pas accès à Bing. C'est bête hein ? ;)

--
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frédéric GANDER]

- Mail original -
> De: "Radu-Adrian Feurdean" 
> À: "Frédéric GANDER" 
> Cc: "Liste FRnoG" 
> Envoyé: Mercredi 16 Janvier 2013 08:47:35
> Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
> 
> On Tue, Jan 15, 2013, at 17:14, Frédéric GANDER wrote:
> 
> > quand tu as  plus de 2 millions de mec qui ont du v6
> > potentiellement à la
> > maison et que tu fais 20gbit/s de v6
> > j'appel pas ca un succès foudroyant au niveau du contenu
> 
> Augmente ta capa vers Google (Youtube). Ils doivent une conne source
> de
> contenu en v6, et ca marche super-mal de chez vous (en v4 comme en
> v6).
> Ameliore aussi ta collectivité v6 *EN FRANCE*.

dit pas n'importe quoi, augmenter la capa vers youtube n'impacte pas le ratio 
v4/v6
et augmenter la connectivité v6 en france par rapport au v4, n'augmentera pas 
l'usage du v6 par rapport au v4.

Si ton problème c'est de peerer tu peux toujours prendre un paid peering heim, 
mais non tu n'en as pas besoin vu que tu bosses chez un tier 1
revendeur exclusif de level3 dans un monde mineral sans chaise désuette.


> 
> Tu vas quand-meme pas commencer a te plaindre que ton traffic
> n'augmente
> pas au-dela de 100% de ta capacite, hein ?
> 
> 

je me plains pas, je constate que l'evolution de l'ipv6 les 6 dernières années 
se fait plus doucement que le v4 
son %tage dans le réseau ne progresse pas.

Commence donc par mettre le site web de ta boite en v6 ca augmentera le traffic 
ipv6.

A+


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Clement Cavadore]

On Wed, 2013-01-16 at 09:20 +0100, Radu-Adrian Feurdean wrote:
> 
> Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
> mais en plus est une option (produit apart) payante.
> Pire encore, dans le service standard ils disent "nous pouvons attaquer
> une origine en v6, mais on l'expose cote client uniquement en v4. Si
> vous voulez une exposition client en v6, il faut acheter le produit
> ZXZXZXZXZX en plus."
> Je m'attendais a mieux pour le prix que ca coute...
> 

Sérieusement ?!?

Mais comment on peut être aussi #@%! 


-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

C'est de notoriete publique que la ligne conductrice d'Akamai est "tant
qu'il y a des cons pour acheter, moi je vends", non ?
Le 16 janv. 2013 09:20, "Radu-Adrian Feurdean" <
fr...@radu-adrian.feurdean.net> a écrit :

> On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote:
>
> > Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse
> > le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une
> > volonté de l'hébergeur.
>
> 
> Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
> mais en plus est une option (produit apart) payante.
> Pire encore, dans le service standard ils disent "nous pouvons attaquer
> une origine en v6, mais on l'expose cote client uniquement en v4. Si
> vous voulez une exposition client en v6, il faut acheter le produit
> ZXZXZXZXZX en plus."
> Je m'attendais a mieux pour le prix que ca coute...
> 
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote:

> Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse 
> le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une 
> volonté de l'hébergeur.


Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
mais en plus est une option (produit apart) payante.
Pire encore, dans le service standard ils disent "nous pouvons attaquer
une origine en v6, mais on l'expose cote client uniquement en v4. Si
vous voulez une exposition client en v6, il faut acheter le produit
ZXZXZXZXZX en plus."
Je m'attendais a mieux pour le prix que ca coute...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Jacquot]

On 16 janv. 2013, at 08:56, "Radu-Adrian Feurdean" 
 wrote:
> 
>> c'est sur avec la stratégie d'ouvrir les domaines ipv6 en fonction des ip
>> source des dns recursif on est un peut entrain de refaire le fichier hosts 
>> ca va pas favoriser le déploiement 
> 
> Ca c'est fini depuis 6 mois deja. Ce qui me faite penser : test stats
> IPv6 ne datent pas d'il y a 1-2 ans par hasard ?

le CCC annonce qu'il est possible qu'il n'y ait pas d'IPV4 dans le réseau pour 
le congres de l'an prochain...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Tue, Jan 15, 2013, at 17:25, Frédéric GANDER wrote:

> avec xp ca va pas marcher des masse

C'est un peu moins evident, mais IPv6 sous XP ca existe bel et bien.

> ni en utilisant 8.8.8.8 (tien google ne fait pas de v6 pour lui meme ? )

Depuis *TON* reseau (enfin, box DSL), j'ai d'autres resultats (sur
8.8.8.8).

> c'est sur avec la stratégie d'ouvrir les domaines ipv6 en fonction des ip
> source des dns recursif on est un peut entrain de refaire le fichier hosts 
> ca va pas favoriser le déploiement 

Ca c'est fini depuis 6 mois deja. Ce qui me faite penser : test stats
IPv6 ne datent pas d'il y a 1-2 ans par hasard ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Tue, Jan 15, 2013, at 17:14, Frédéric GANDER wrote:

> quand tu as  plus de 2 millions de mec qui ont du v6 potentiellement à la
> maison et que tu fais 20gbit/s de v6
> j'appel pas ca un succès foudroyant au niveau du contenu

Augmente ta capa vers Google (Youtube). Ils doivent une conne source de
contenu en v6, et ca marche super-mal de chez vous (en v4 comme en v6).
Ameliore aussi ta connectivite v6 *EN FRANCE*.

Tu vas quand-meme pas commencer a te plaindre que ton traffic n'augmente
pas au-dela de 100% de ta capacite, hein ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Jacquot]

On 16 janv. 2013, at 00:22, Guillaume Barrot  wrote:

> Sauf que ALG = niveau 7, donc en general traitement en CPU, donc tres
> difficilement scalable, et hyper cher.
> 
> Deuxio, niveau 7 = porte ouverte a une non neutralite puisque le FAI
> travaille dans des couches autre que reseau/transport, donc pourquoi ne pas
> en profiter pour inserer en prime du dpi, du filtrage d'applis ou autres
> joyeusetees ?

tu peux aussi ajouter que ALG ne fonctionne plus trop bien si l'utilisateur 
ajoute une couche crypto... SIPS et SRTP, et ton ALG il voit plus que de la 
purée...

> Et le fait de partager une IP publique entre de nombreux abonnes est encore
> un concept juridique tres flou, surtout en France, pays de l'hadopi.

depuis le temps qu'on leur dit qu'une adresse ip ne represente pas un abonné.
on peut aussi prendre en compte 

http://ec.europa.eu/taxation_customs/resources/documents/taxation/vat/how_vat_works/e-services/com_2012_763_fr.pdf

voir page 17 que je cite ici

1. Aux fins de l’application des règles régissant le lieu de prestation prévu à 
l’article 
56, paragraphe 2, premier alinéa, et à l’article 58 de la directive 
2006/112/CE, les 
éléments suivants font notamment office de preuve:

(...)

b) l’adresse IP (protocole internet) du dispositif utilisé par  le preneur ou 
toute 
autre méthode de géolocalisation; 

> De plus le fait de ne pouvoir rediriger des flux entrants est une perte de
> fonctionnalite par rapport aux solutions actuelles. Difficile a faire
> passer au meme prix qu'un forfait "standard". Si en plus ca devient plus
> cher sous pretexte qu'il faut investir la, honnetement j'ai un gros gros
> doute sur le retour client...

ca ne réponds tout simplement plus a la définition d'internet, réseau dans 
lequel les machines sont normalement accessible directement par n'importe 
quelle autre machine


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Pierre-Yves Maunier]

Le 16 janvier 2013 00:22, Guillaume Barrot  a
écrit :

>
> Et au dela du CGN, c'est l'aspect nat 444 qui risque de poser probleme a de
> nombreuses applis, par exemple le peer to peer (qui, dois je le rappeler,
> n'est pas illegal en soit, tant que le contenu est libre de droit). Donc
> oubliez la notion "on peut couper le peer to peer, c'est illegal" ca aura
> du mal a passer.
>

Si ça passe derrière du NAT, je vois pas pourquoi ça passerait pas derrière
du CGN tant que tu bouffes pas 40 000 ports.
Après, le peer-to-peer ne représente plus grand chose en terme de trafic
d'après les dernières stats que j'ai vues.
Si un réseau eyeball peut confirmer mais je suis sûr que la majorité de
leur trafic c'est http, https, nntp et nntps.


>
> De plus le fait de ne pouvoir rediriger des flux entrants est une perte de
> fonctionnalite par rapport aux solutions actuelles. Difficile a faire
> passer au meme prix qu'un forfait "standard". Si en plus ca devient plus
> cher sous pretexte qu'il faut investir la, honnetement j'ai un gros gros
> doute sur le retour client...
>

Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en
entrant pour faire tourner son serveur web à la maison.
Donc du moment qu'elle peut aller sur voici.fr, regarder des vidéos de
chats qui dansent et envoyer des photos par mail.

Des solutions type logmein ou autre tunnels continueront à fonctionner pour
les gens (les 0.1% qui restent) qui veulent accéder à chez eux depuis
l'extérieur.


-- 
Pierre-Yves Maunier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

Sauf que ALG = niveau 7, donc en general traitement en CPU, donc tres
difficilement scalable, et hyper cher.

Deuxio, niveau 7 = porte ouverte a une non neutralite puisque le FAI
travaille dans des couches autre que reseau/transport, donc pourquoi ne pas
en profiter pour inserer en prime du dpi, du filtrage d'applis ou autres
joyeusetees ?

Et au dela du CGN, c'est l'aspect nat 444 qui risque de poser probleme a de
nombreuses applis, par exemple le peer to peer (qui, dois je le rappeler,
n'est pas illegal en soit, tant que le contenu est libre de droit). Donc
oubliez la notion "on peut couper le peer to peer, c'est illegal" ca aura
du mal a passer.

Et le fait de partager une IP publique entre de nombreux abonnes est encore
un concept juridique tres flou, surtout en France, pays de l'hadopi.

De plus le fait de ne pouvoir rediriger des flux entrants est une perte de
fonctionnalite par rapport aux solutions actuelles. Difficile a faire
passer au meme prix qu'un forfait "standard". Si en plus ca devient plus
cher sous pretexte qu'il faut investir la, honnetement j'ai un gros gros
doute sur le retour client...
Le 15 janv. 2013 23:54, "Fabien Delmotte"  a écrit :

> Bonsoir,
>
> N'oublions pas que derrière une box, il y autre chose qu'un PC (console de
> jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec
> double NAT ? J'ai un doute...
> Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a
> priori selon les trials fait aux US...
>
>
> Dans le cas ou le NAT ne casse pas la liaison le CGN n'entraine aucun
> problème. ALG et EIM/EIF sont tes amis.
> J'ai fait des tests avec Netflix, SIP, et la XBOX (dernier patch de
> Microsoft) derrière un CPE et il n'y a aucun problème...
> Je sais que CableLabs indique que le CGN induit de la latence mais cela
> est faux.
>
> Cordialement
>
> Fabien
>
> Le 15 janv. 2013 à 19:59, Guillaume Barrot  a
> écrit :
>
> Voilà des slides bien marrant sur le sujet au Nanog
>
> Un slide d'analyse sur le cout :
>
> http://www.nanog.org/meetings/nanog56/presentations/Wednesday/wed.general.howard.24.pdf
>
> Un slide sur un draft RFC pour simplifier l'analyse des logs
>
> http://www.nanog.org/meetings/nanog54/presentations/Tuesday/GrundemannLT.pdf
>
> N'oublions pas que derrière une box, il y autre chose qu'un PC (console de
> jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec
> double NAT ? J'ai un doute...
> Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a
> priori selon les trials fait aux US...
>
> Du coup, faudrait changer l'acronyme, les FAI deviendront des FAPI :
> Fournisseur d'Accès à Presque Internet...
>
>
>
> Le 15 janvier 2013 19:52, Fabien Delmotte  a écrit :
>
>> Bonsoir,
>>
>> Il va falloir arrêter un peu avec le CGN. J'ai déployer a travers
>> l'Europe et la Turquie (3 millions de users pour ce projet) des solutions
>> pour des opérateurs et nous n'avons pas eu de problème, même sur la
>> fonction de log.
>>
>> Ou sinon il faut passer tout en IPv6, mais .il faut du NAT64 / DNS64
>> et donc 
>>
>> Donc si la neutralité passe par en autre une adresse IP publique pour le
>> end-user, alors nous allons attendre longtemps avant que cette neutralité
>> revienne.
>>
>> Fabien
>>
>> Le 15 janv. 2013 à 19:26, Frédéric GANDER  a écrit
>> :
>>
>> >
>> >
>> >>
>> >> Rien a redire niveau neutralite du coup.
>> >> Par contre pour le CGN vu qu'il y aura surement un impact juridique
>> >> (partage d'ip publique entre plusieurs abonnes), et technique (trucs
>> >> qui marchaient avant qui marchent plus apres), voire economique
>> >> (nouveau forfaits "premium" pour conserver une ip publique dediee),
>> >> la clairement y aura atteinte a la neutralite du net...
>> >
>> >
>> > port block allocation
>> > les hebergeur vons devoir logger le port source ;)
>> >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>
>
> --
> Cordialement,
>
> Guillaume BARROT
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Fabien Delmotte]

Bonsoir,

> N'oublions pas que derrière une box, il y autre chose qu'un PC (console de 
> jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec 
> double NAT ? J'ai un doute...
> Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a priori 
> selon les trials fait aux US...

Dans le cas ou le NAT ne casse pas la liaison le CGN n'entraine aucun problème. 
ALG et EIM/EIF sont tes amis.
J'ai fait des tests avec Netflix, SIP, et la XBOX (dernier patch de Microsoft) 
derrière un CPE et il n'y a aucun problème...
Je sais que CableLabs indique que le CGN induit de la latence mais cela est 
faux.

Cordialement

Fabien

Le 15 janv. 2013 à 19:59, Guillaume Barrot  a écrit 
:

> Voilà des slides bien marrant sur le sujet au Nanog
> 
> Un slide d'analyse sur le cout :
> http://www.nanog.org/meetings/nanog56/presentations/Wednesday/wed.general.howard.24.pdf
> 
> Un slide sur un draft RFC pour simplifier l'analyse des logs
> http://www.nanog.org/meetings/nanog54/presentations/Tuesday/GrundemannLT.pdf
> 
> N'oublions pas que derrière une box, il y autre chose qu'un PC (console de 
> jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec 
> double NAT ? J'ai un doute...
> Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a priori 
> selon les trials fait aux US...
> 
> Du coup, faudrait changer l'acronyme, les FAI deviendront des FAPI : 
> Fournisseur d'Accès à Presque Internet...
> 
> 
> 
> Le 15 janvier 2013 19:52, Fabien Delmotte  a écrit :
> Bonsoir,
> 
> Il va falloir arrêter un peu avec le CGN. J'ai déployer a travers l'Europe et 
> la Turquie (3 millions de users pour ce projet) des solutions pour des 
> opérateurs et nous n'avons pas eu de problème, même sur la fonction de log.
> 
> Ou sinon il faut passer tout en IPv6, mais .il faut du NAT64 / DNS64 et 
> donc 
> 
> Donc si la neutralité passe par en autre une adresse IP publique pour le 
> end-user, alors nous allons attendre longtemps avant que cette neutralité 
> revienne.
> 
> Fabien
> 
> Le 15 janv. 2013 à 19:26, Frédéric GANDER  a écrit :
> 
> >
> >
> >>
> >> Rien a redire niveau neutralite du coup.
> >> Par contre pour le CGN vu qu'il y aura surement un impact juridique
> >> (partage d'ip publique entre plusieurs abonnes), et technique (trucs
> >> qui marchaient avant qui marchent plus apres), voire economique
> >> (nouveau forfaits "premium" pour conserver une ip publique dediee),
> >> la clairement y aura atteinte a la neutralite du net...
> >
> >
> > port block allocation
> > les hebergeur vons devoir logger le port source ;)
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> 
> 
> -- 
> Cordialement,
> 
> Guillaume BARROT


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

Voilà des slides bien marrant sur le sujet au Nanog

Un slide d'analyse sur le cout :
http://www.nanog.org/meetings/nanog56/presentations/Wednesday/wed.general.howard.24.pdf

Un slide sur un draft RFC pour simplifier l'analyse des logs
http://www.nanog.org/meetings/nanog54/presentations/Tuesday/GrundemannLT.pdf

N'oublions pas que derrière une box, il y autre chose qu'un PC (console de
jeu, télé connectée, etc.). Tiens par exemple, Xbox Live, compatible avec
double NAT ? J'ai un doute...
Tout ce qui est SIP déjà, le NAT 444 on peut oublier. Netflix aussi a
priori selon les trials fait aux US...

Du coup, faudrait changer l'acronyme, les FAI deviendront des FAPI :
Fournisseur d'Accès à Presque Internet...



Le 15 janvier 2013 19:52, Fabien Delmotte  a écrit :

> Bonsoir,
>
> Il va falloir arrêter un peu avec le CGN. J'ai déployer a travers l'Europe
> et la Turquie (3 millions de users pour ce projet) des solutions pour des
> opérateurs et nous n'avons pas eu de problème, même sur la fonction de log.
>
> Ou sinon il faut passer tout en IPv6, mais .il faut du NAT64 / DNS64
> et donc 
>
> Donc si la neutralité passe par en autre une adresse IP publique pour le
> end-user, alors nous allons attendre longtemps avant que cette neutralité
> revienne.
>
> Fabien
>
> Le 15 janv. 2013 à 19:26, Frédéric GANDER  a écrit :
>
> >
> >
> >>
> >> Rien a redire niveau neutralite du coup.
> >> Par contre pour le CGN vu qu'il y aura surement un impact juridique
> >> (partage d'ip publique entre plusieurs abonnes), et technique (trucs
> >> qui marchaient avant qui marchent plus apres), voire economique
> >> (nouveau forfaits "premium" pour conserver une ip publique dediee),
> >> la clairement y aura atteinte a la neutralite du net...
> >
> >
> > port block allocation
> > les hebergeur vons devoir logger le port source ;)
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>


-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Fabien Delmotte]

Bonsoir,

Il va falloir arrêter un peu avec le CGN. J'ai déployer a travers l'Europe et 
la Turquie (3 millions de users pour ce projet) des solutions pour des 
opérateurs et nous n'avons pas eu de problème, même sur la fonction de log.

Ou sinon il faut passer tout en IPv6, mais .il faut du NAT64 / DNS64 et 
donc 

Donc si la neutralité passe par en autre une adresse IP publique pour le 
end-user, alors nous allons attendre longtemps avant que cette neutralité 
revienne.

Fabien
 
Le 15 janv. 2013 à 19:26, Frédéric GANDER  a écrit :

> 
> 
>> 
>> Rien a redire niveau neutralite du coup.
>> Par contre pour le CGN vu qu'il y aura surement un impact juridique
>> (partage d'ip publique entre plusieurs abonnes), et technique (trucs
>> qui marchaient avant qui marchent plus apres), voire economique
>> (nouveau forfaits "premium" pour conserver une ip publique dediee),
>> la clairement y aura atteinte a la neutralite du net...
> 
> 
> port block allocation 
> les hebergeur vons devoir logger le port source ;)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Christophe]

Raphaël Jacquot a écrit :

j'ai vu 2 soucis.

* il manque toujours l'interface pour affecter les blocs 1 à 7 supposés
etre disponibles pour l'utilisateur


Parles-tu ici de l'hypothétique /60 que j'ai vu trainer ca et la sur les 
forums ?


D'ailleurs en parlant de ca , et ne serait-ce que du /64, on le fait 
tourner comment sans la box ? (J'ai un cisco 877 donc avec ADSL Intégré, 
et un IOS en Advanced IP Services mais en version 12.4).



* les RA de la box fonctionnent un temps, et soudainement ne fonctionnent
plus, apres, ca marche moins bien


Tout de suite, c'est moins pratique, en effet ;) .





---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Raphaël Jacquot]

On 15 janv. 2013, at 18:09, Steven Le Roux  wrote:

> le client peut avoir activé v6 mais met un routeur derriere la fbx qui ne
> fait que du v4... donc activé vu de chez free, pas utilisé côté client.

j'ai vu 2 soucis.

* il manque toujours l'interface pour affecter les blocs 1 à 7 supposés
etre disponibles pour l'utilisateur
* les RA de la box fonctionnent un temps, et soudainement ne fonctionnent
plus, apres, ca marche moins bien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frédéric GANDER]

> 
> Rien a redire niveau neutralite du coup.
> Par contre pour le CGN vu qu'il y aura surement un impact juridique
> (partage d'ip publique entre plusieurs abonnes), et technique (trucs
> qui marchaient avant qui marchent plus apres), voire economique
> (nouveau forfaits "premium" pour conserver une ip publique dediee),
> la clairement y aura atteinte a la neutralite du net...


port block allocation 
les hebergeur vons devoir logger le port source ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Steven Le Roux]

le client peut avoir activé v6 mais met un routeur derriere la fbx qui ne
fait que du v4... donc activé vu de chez free, pas utilisé côté client.


2013/1/15 Simon Perreault 

> Le 2013-01-15 17:14, Frédéric GANDER a écrit :
>
>  quand tu as  plus de 2 millions de mec qui ont du v6 potentiellement à la
>> maison et que tu fais 20gbit/s de v6
>> j'appel pas ca un succès foudroyant au niveau du contenu
>>
>
> Le "potentiellement" est suspect.
>
> Simon
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Steven Le Roux]

Ce n'est pas parce que www.youtube.com est dispo en v6 que les videos le
sont... :

exemple avec un des serveurs de cache video de youtube :
tc.v20.cache5.c.youtube.com

v4 :
tc.v20.cache5.c.youtube.com. 300 IN A   208.65.155.99

v6 :  ANSWER: 0

donc frédéric a raison... youtube peut paraître un trafic énorme, il ne
sera vu qu'en v4 ...



2013/1/15 Simon Perreault 

> Le 2013-01-15 16:20, Frédéric GANDER a écrit :
>
>  il n'y a pas de contenu ipv6
>>
>
> Google?
> Facebook?
> YouTube?
> etc. etc. etc.
>
> C'est pas du contenu ça?
>
> En mettant IPv6 à on, tu peux très bien te retrouver avec >50% de ton
> trafic sur IPv6 du jour au lendemain.
>
> Simon
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Cyprien Nicolas]

Pascal Rullier wrote:

Le 15 janvier 2013 16:20, Frédéric GANDER  a écrit :

il n'y a pas de contenu ipv6
c'est la faute à la pub
coupons la pub


ah voila la justification...

couper la pub pour développer les contenus ipv6...
même la pub n'est pas en ipv6


Donc on aura toujours pas de contenu over IPv6 tant que les régies de 
pub seront pas IPv6 ready ?


Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse 
le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une 
volonté de l'hébergeur.


--
Cyprien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Emmanuel Thierry]

Le 15 janv. 2013 à 17:25, Guillaume Barrot a écrit :

> Le 15 janvier 2013 15:32, Jimmy Thrasibule  a
> écrit :
> 
>> Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau
>> des opérateurs ? Le manque de services accessibles ?
>> 
> 
> Bref, les premiers à en pâtir seront les plateformes de contenus qui
> n'auront pas évoluées, et on peut là aussi parier que si on se prend des
> pannes en cascade, 50 ms de latence, ou des rupture capacitaires chez les
> opérateurs, eh ben beaucoup de contenus évolueront en v6, y compris la pub.
> 
> Enfin, vu le bordel à mettre en place une plateforme de CGN (cout de la
> plateforme, dimensionnement, positionnement, dimensionnement des scopes
> etc), et les couts cachés (monstre infernal à mettre en place juste pour
> gérer les logs, et pouvoir répondre à la Gendarmerie en cas de requisition
> judiciaire "c'est telle personne qui a fait ça" et non, "ça fait partie de
> la liste des 200 personnes là"), on peut aussi parier que comme par hasard,
> il coutera à peine plus cher de déployer CGN pour v4 et IPv6 en parallèle,
> donc beaucoup de FAI franchiront le cap à ce moment là.

Mieux encore, si un FAI se contente de fournir du CGN et refuse de migrer vers 
IPv6, ce sera l'occasion ou jamais de le poursuivre en justice pour publicité 
mensongère. S'il ne fournit qu'un CGN, il ne peut plus réellement appeler son 
offre une "Offre d'accès à Internet". Il pourra potentiellement être contraint 
de mentionner explicitement les limites techniques de son offre.

Cordialement
Emmanuel Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Ludovic LACOSTE]

L'objet de three degrees, au delà d'installer une stack IPv6, c'est surtout 
d'installer une stack P2P en IPv6 over IPv4, c'était dans la version 7 de 
messenger si tu voulait pas l'installer à la mano :-)
 > From: mic...@luczak.fr
> Date: Tue, 15 Jan 2013 17:30:42 +0100
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
> 
> 
> On Jan 15, 2013, at 5:25 PM, Guillaume Barrot  
> wrote:
> 
> > Skype marche pas en CGN ? On parie qu'on aura une release IPv6 ready en
> > quelques mois ?
> 
> Le plus marrant c'est qu'il y a longtemps (windows xp genre) il y avait un 
> projet chez MS appelé 3º (three degrees) qui était un messenger full ipv6 
> (nécessitait à l'époque l'installation de la stack beta à la mano etc...)
> 
> C'est rapidement tombé à l'eau mais prouve l'existence d'un SDK IPv6 chez MS 
> depuis TRES longtemps.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/