Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-23 Par sujet Alain Richard

Le 22 janv. 2013 à 16:38, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net 
a écrit :

 On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote:
 ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
 l'ensemble des périphériques utilisant le réseau.
 
 Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une
 mauvaise idee
 

heu désolé, mais je crois que tu n'as pas compris que ma remarque était 
ironique : c'est effectivement assez inepte de penser que la securité peut être 
maitrisée sur les feuilles.

 A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
 sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
 photocopieurs, tablettes, téléphones, machines à café, ...) !!!
 
 Your device, your security. Dans un cotexte BYOD c'est meme pas mal
 comme concept. Mais ca reste ingerable/difficilement gerable.
 Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques
 de securite a la con sur *mon* *device* (ma propriete perso). Ils
 veulent de la secu, ils me filent leur device.
 

Ouais, la réalité aujourd'hui en entreprise est qu'un nombre important de 
personnes ont des iBidule ou autres AndroMachin, et qu'ils se connectent au 
réseau via généralement le wifi.

C'est une réalité aujourd'hui en entreprises, poussée au départ par les 
utilisateurs, et parfois même par l'entreprise elle-même pour ses utilisateurs 
non sédentaires.

Je ne parle même pas des imprimantes et photocopieurs qui désormais se payent 
le luxe d'ouvrir des ports en UPNP et de se mettre à jour automatiquement sur 
internet.

Donc le problème n'est pas de savoir si on veut ou pas du BYOD, et si oui 
d'uniformiser celui-ci sur un seul modèle de périphérique. Le BYOD existe déjà, 
et par nature, va continuer à croitre dans la plus parfaite hétérogénéité.

 Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
 obligatoire.
 
 Un firewall pour proteger entre eux des devices sur le meme subnet
 on-link ?!?!?!?!?!?!?!?!
 

Le premier travail d'un firewall est d'empêcher les sessions entrant ou 
sortante non souhaitée entre internet et les LANs. 

Ensuite dans une entreprise avec un firewall, il est rare que toutes les 
machines soit sur le même LAN, donc il y a un possible passage par le firewall 
entre LANs.

Enfin au sein d'un même LAN, il  existe des technologies de limitation 
également  en on-link (Wifi Guest avec isolation des postes entre eux, 
appliance de contrôe Wifi, ou technologies NAC 802.1X).

Je n'ai donc jamais dis qu'il ne fallait pas gérer de la sécurité au niveau du 
device, mais qu'il en faut au niveau de l'accès internet (firewall) +  
politique de sécurité au niveau des devices, compléter par une éventuelle 
politique de sécurité plus poussée (802.1X, VLAN wifi isolé, DMZ, ...).

Mon propos est juste de dire que se basé uniquement sur une politique de 
sécurité au niveau device me semble une inepsie. Le minimum étant plutôt au 
niveau firewall + device.

 
 Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
 je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans 
 l'entreprise...
 
 T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
 non-techniques.
 
 Tu decris exactement le raison pour lequel la securite *par* *device* a
 un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
 l'ai pas dit sufisamment de fois).
 


Ingérable, on est d'accord, donc une politique de sécurité basée sur ce 
principe est également ingérable, ce qui n'est pas loin de signifier 
inexistante...

Cordialement,
 
-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-23 Par sujet Radu-Adrian Feurdean
On Tue, Jan 22, 2013, at 19:10, Fabien Dedenon wrote:

 16ms via ams  avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ?

Si, mais ca reste toujours moins bien que 2ms avec 100% des paquets (ce
qu'on devrait avoir normalement).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Alain Richard
Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à 
l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre 
d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la 
freebox alors même qu'ils seraient content d'utiliser IPv6...

Cordialement,



Le 15 janv. 2013 à 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit :

 ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 
 
 d'ailleurs c'est pas une atteinte à la net neutralité ca ?
 de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ?
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frédéric GANDER
euh car le nat c'est de la securite ?
et bientot on va me dire qu'un firewall regle les pb de securite ?

nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end 
sans passer par des machines qui triturent les paquets
et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du 
nat alors ;)


- Mail original -
 De: Alain Richard alain.rich...@equation.fr
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: Liste FRnoG frnog@frnog.org
 Envoyé: Mardi 22 Janvier 2013 10:33:51
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
 l'utilisateur de faire du firewalling ou de la sécurité de base (
 RFC6092).
 
 
 Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
 nombre d'utilisateurs conscients des enjeux de sécurité désactivent
 donc l'IPv6 de la freebox alors même qu'ils seraient content
 d'utiliser IPv6...
 
 
 Cordialement,
 
 
 
 
 
 
 
 Le 15 janv. 2013 à 17:35, Frédéric GANDER  fgan...@corp.free.fr  a
 écrit :
 
 
 ipv6 activé par défaut sur toute les box v6 depuis janvier 2011
 
 d'ailleurs c'est pas une atteinte à la net neutralité ca ?
 de forcer l'utilisateur un choix de protocol pour surfer sur
 l'int[er|ra]net ?
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 --
 
 
 Alain RICHARD  mailto:alain.rich...@equation.fr 
 EQUATION SA  http://www.equation.fr/ 
 Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
 E-Liance, Opérateur des entreprises et collectivités,
 Liaisons Fibre optique, SDSL et ADSL  http://www.e-liance.fr 
 
 
 
 
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Baptiste Malguy
Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du sujet...


Le 22/01/13 10:39, Frédéric GANDER a écrit :
 euh car le nat c'est de la securite ?
 et bientot on va me dire qu'un firewall regle les pb de securite ?
 
 nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
 end sans passer par des machines qui triturent les paquets
 et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
 du nat alors ;)



-- 
Baptiste MALGUY
NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F 0EA1
OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473 6EC2



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet sxpert

On 2013-01-22 10:33, Alain Richard wrote:

Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
l'utilisateur de faire du firewalling ou de la sécurité de base
(RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
nombre d'utilisateurs conscients des enjeux de sécurité désactivent
donc l'IPv6 de la freebox alors même qu'ils seraient content
d'utiliser IPv6...

Cordialement,



la box n'est qu'un routeur. le firewalling est a faire dans les 
feuilles,

c'est à dire les machines connectées, ou dans un firewall intermédiaire
si vous préférez cette méthode.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Rémi Bouhl
Le 22/01/13, sxpertsxp...@sxpert.org a écrit :

 la box n'est qu'un routeur. le firewalling est a faire dans les
 feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.

Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Guillaume Leclanche
firewall intermédiaire qui peut très bien être dans la box (configurable)

si on considère que la box ne doit rien faire, à la limite on revient au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit :

 On 2013-01-22 10:33, Alain Richard wrote:

 Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
 l'utilisateur de faire du firewalling ou de la sécurité de base
 (RFC6092).

 Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
 nombre d'utilisateurs conscients des enjeux de sécurité désactivent
 donc l'IPv6 de la freebox alors même qu'ils seraient content
 d'utiliser IPv6...

 Cordialement,


 la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet sxpert

On 2013-01-22 11:19, Rémi Bouhl wrote:

Le 22/01/13, sxpertsxp...@sxpert.org a écrit :


la box n'est qu'un routeur. le firewalling est a faire dans les
feuilles,
c'est à dire les machines connectées, ou dans un firewall 
intermédiaire

si vous préférez cette méthode.


Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


si tu avais suivi, t'aurais vu que maxime sait qu'il manque un bout de
GUI pour permettre de router les 7 autres blocs affectés a 
l'utilisateur



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Samuel Thibault
Rémi Bouhl, le Tue 22 Jan 2013 11:19:22 +0100, a écrit :
 Le 22/01/13, sxpertsxp...@sxpert.org a écrit :
 
  la box n'est qu'un routeur. le firewalling est a faire dans les
  feuilles,
  c'est à dire les machines connectées, ou dans un firewall intermédiaire
  si vous préférez cette méthode.
 
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.

J'ai cru lire qu'ils avaient étendu à un /60 (ou du moins commencé à le
faire en 2008).

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Solarus
On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
wrote:

 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 
Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
solution de Free).

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet sxpert

On 2013-01-22 11:21, Guillaume Leclanche wrote:
firewall intermédiaire qui peut très bien être dans la box 
(configurable)


si on considère que la box ne doit rien faire, à la limite on revient 
au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un 
truc

qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


si tu parles de la bidouille utilisée partout pour multiplier les ipv4 
non

disponibles en quantité suffisante, ce n'est pas du NAT, mais du PAT.

de nos jours, vu le fonctionnement des malwares, qui attaquent de 
l'intérieur
en utilisant diverses failles java, flash, navigateur ou humaines 
(cliquez sur
le document machin dans le mail), ca n'amene absolument aucune 
sécurité.


le NAT lui meme, c'est a dire qu'on fait correspondre des addresses 1 
pour 1
n'amene pas plus de sécurité. au mieux, il ne sert qu'a obscurcir 
l'architecture

interne


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frederic Dhieux
On ne se débarrassera donc jamais de la rustine NAT parce que les gens
ne se fatigueront jamais à faire les choses normalement et proprement et
auront toujours en tête que sécu simple = NAT :(

monde de merde

Frederic

Le 1/22/13 11:21 AM, Guillaume Leclanche a écrit :
 firewall intermédiaire qui peut très bien être dans la box (configurable)

 si on considère que la box ne doit rien faire, à la limite on revient au
 bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
 qui fait dhcp + nat44 + RAs derrière.

 Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
 veuille ou non un firewall stateful qui deny toutes les connections
 entrantes qui n'ont pas de state ou de règle pour laisser passer.


 Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit :

 On 2013-01-22 10:33, Alain Richard wrote:

 Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
 l'utilisateur de faire du firewalling ou de la sécurité de base
 (RFC6092).

 Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
 nombre d'utilisateurs conscients des enjeux de sécurité désactivent
 donc l'IPv6 de la freebox alors même qu'ils seraient content
 d'utiliser IPv6...

 Cordialement,


 la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frederic Gabut

Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit :

 On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
 wrote:
 
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
 solution de Free).

6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
Facile quoi :)

-- 
Frederic

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Guillaume Barrot

 si on considère que la box ne doit rien faire, à la limite on revient au
 bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
 qui fait dhcp + nat44 + RAs derrière.


Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread :
la possibilite de mettre son propre equipement a la place de la box.
Bon on peut le faire en mettant son netgear/etc derriere la box en bridge,
ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne
(qos, marge de bruit etc. En meme temps c'est exactement la volonte des
FAI).

Rappelons que la box est dans un contexte grand public ou il est rare de
trouver des vlans et/ou des dmz puisqu'il est interdit par les operateurs
d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire...

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frederic Gabut

Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit :

 
 Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit :
 
 On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
 wrote:
 
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
 solution de Free).
 
 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
 Facile quoi :)

Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
supportés. Bref ! 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Pascal Rullier
Le 22 janvier 2013 12:21, Frederic Gabut fga...@nautile.fr a écrit :

 Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit :


 Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit :

 On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
 wrote:

 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
 solution de Free).

 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
 Facile quoi :)

 Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
 coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
 supportés. Bref !


c'est pas un peu gros un /56 par abonné ?
Juste un /120 suffirait pour son usage domestique.
Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
Quand je vois du /64 juste pour une liaison ptp ... rah...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Solarus
On Tue, 22 Jan 2013 13:10:26 +0100, Pascal Rullier pas...@rullier.net
wrote:

 c'est pas un peu gros un /56 par abonné ?
 Juste un /120 suffirait pour son usage domestique.
 Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
 qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
 à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
 Quand je vois du /64 juste pour une liaison ptp ... rah...

Faire du /120 sur IPv6 nécessite de faire de l'adressage manuel ou du
DHCPv6, mais la plupart des équipements fonctionnent avec de
l'autoconfiguration utilisant sur l'adresse MAC.
Compte tenu de la taille de l'adresse MAC, le préfixe le plus grand
nécessaire à ces méthodes est un /64.

Il y a également un intérêt à pouvoir découper plusieurs /64 dans un
préfixe plus petit (/48,/56) pour pouvoir définir plusieurs zones
d'autoconfiguration.

Quand les plutoniens n'auront plus assez d'IPv6 pour se connecter à
InterPlaNet , on pourra se préoccuper de la pénurie d'IPv6. ;)

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frédéric GANDER


- Mail original -
 De: Baptiste Malguy bapti...@malguy.net
 À: frnog@frnog.org
 Envoyé: Mardi 22 Janvier 2013 11:13:37
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du
 sujet...

pourtant ce c'est que ca voulait dire

je désactive l'ipv6 car j'ai une ip publique non firewaller sur internet alors 
que en ipv4 avec le nat actif par defaut je suis proteger

 
 
 Le 22/01/13 10:39, Frédéric GANDER a écrit :
  euh car le nat c'est de la securite ?
  et bientot on va me dire qu'un firewall regle les pb de securite ?
  
  nb : un des premier but d'ipv6 c'était de garantir une connectivite
  end to end sans passer par des machines qui triturent les paquets
  et la tout le monde veux remettre du statefull firewall ? bon ba on
  va faire du nat alors ;)
 
 
 
 --
 Baptiste MALGUY
 NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F
 0EA1
 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473
 6EC2
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet ポール・ロラン
Bonjour,

On Tue, 22 Jan 2013 15:24:51 +0100
Paul Rolland (ポール・ロラン) rol+fr...@witbe.net wrote:

 Bonjour,
 
 On Tue, 22 Jan 2013 11:15:21 +0100
 sxpert sxp...@sxpert.org wrote:
 
  la box n'est qu'un routeur. le firewalling est a faire dans les 
  feuilles,
 
 Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free
 propose de configurer des filtres sur IPv4.
Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
parametrage de Nat, pas des acls :(
 
 Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait
 quand meme pas etre si complique que ca...
Ca, par contre, ca reste vrai :)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Alain Richard
Il n'est pas question ici de débattre si le NAT est ou n'est pas une 
sécurisation.

Lisez la RFC6092 : Recommended Simple Security Capabilities in Customer 
Premises Equipment (CPE) for Providing Residential IPv6 Internet Service

et arrêter d'incendier le monde avec la position extrême disant qu'IPv6 ne doit 
faire que du routage transparent, c'est une des raisons principales qui a 
freiné l'adoption d'IPv6.

A+


Merci de lire la RFC6092 
Le 22 janv. 2013 à 10:39, Frédéric GANDER fgan...@corp.free.fr a écrit :

 euh car le nat c'est de la securite ?
 et bientot on va me dire qu'un firewall regle les pb de securite ?
 
 nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
 end sans passer par des machines qui triturent les paquets
 et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
 du nat alors ;)

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Alain Richard
ou autrement dit, la sécurité globale d'un site repose sur la sécurité de 
l'ensemble des périphériques utilisant le réseau.

A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité 
faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, 
tablettes, téléphones, machines à café, ...) !!!

Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
obligatoire.

Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je 
vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise...

A+

Le 22 janv. 2013 à 11:15, sxpert sxp...@sxpert.org a écrit :

 la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Jérémie Marguerie
Le 22 janvier 2013 15:38, Paul Rolland rol+fr...@witbe.net a écrit :
 Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
 parametrage de Nat, pas des acls :(

Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT
est somme toute celle d'un firewall stateful avec des règles assez
basiques :

FORWARD accepté de *interne vers externe*.
FORWARD accepté de *externe vers externe* Si *connexion déjà établie*.

Donc en somme, si une box avec ipv6 met en place ce genre de règles de
firewall, l'utilisateur est aussi protégé que via du NAT (on bloque
les connexions entrantes non sollicitées, ça suffit à la plupart des
gens).
Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les
applications le nécessitant ne soient pas bloquées.

Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut
paramètrer son firewall en suivant les demandent de NAT traversal
émisent via UPNP Internet Gateway Device Protocol.
Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du
DNAT, rien n'empêche de changer les règles de firewall insérées.

Du coup :
 * IPv4 + NAT + UPNP
 * IPv6 + Firewall + UPNP

Et le tour est joué, non ?

On peut déjà faire du port forwarding sur le NAT des box avec
l'interface du FAI, rajouter une option ipv4/ipv6 et de toucher soit
au NAT, soit d'ouvrir bêtement le port (vers une destination, un
masque, ou vers tout le sous-réseau) fait l'affaire.

J'ai loupé quelque chose ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Radu-Adrian Feurdean
On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote:
 ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
 l'ensemble des périphériques utilisant le réseau.

Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une
mauvaise idee

 A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
 sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
 photocopieurs, tablettes, téléphones, machines à café, ...) !!!

Your device, your security. Dans un cotexte BYOD c'est meme pas mal
comme concept. Mais ca reste ingerable/difficilement gerable.
Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques
de securite a la con sur *mon* *device* (ma propriete perso). Ils
veulent de la secu, ils me filent leur device.

 Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
 obligatoire.

Un firewall pour proteger entre eux des devices sur le meme subnet
on-link ?!?!?!?!?!?!?!?!

 Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
 je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans 
 l'entreprise...

T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
non-techniques.

Tu decris exactement le raison pour lequel la securite *par* *device* a
un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
l'ai pas dit sufisamment de fois).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Fabien Dedenon

Le 16/01/2013 12:35, Radu-Adrian Feurdean a écrit :

J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free
avait resorti comme la premiere destination (mieux que Renater, HE.net
ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route
potable qui ne sortait pas de la France. Et ca, malgre 4 transitaires
+ He.net (meilleure route, mais +16ms via Amsterdam).


16ms via ams  avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ?

+


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Gunther Ozerito
Il parait evident que
Externe : le mal absolu truffe de virus, de malware, de failles et de
hacker pour les utiliser.
Interne : bien cache derriere son firewall, aucun risque.

Donc on s'ennuie a gerer les ACLs mais on conserve la possibilite de passer
le wifi en wep ou pire.

De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
facilite le developpement de backdoor, les hackerz du monde entier vous
remercie.

De plus avec un message du type avec mon gros firewall je suis bien a
l'abris, pas besoin de mettre a jour mon OS, mon antivirus (mon quoi ?) et
mon firewall personnel, on va pas responsabiliser les internautes.
Mettre a jour Java ? Mais pourquoi donc ?.

De plus dans ce cas, la compromission d'un device dans la zone inside et
hop par rebond je prends la totale, du NAS au frigo magique connecté.
Ca me fait penser a ces serveurs Apache tous ports ouverts derriere un
firewall overkill, la ou une regle iptable locale serait plus efficace.

Aux fans de RFC sur la securite par l'obscurantisme, relisez la vieille BCP
38 / rfc 2827 qui date de 2000.
J'aime a penser qu'on peut la resumer par avant de firewaller dans le
reseau, commencer par firewaller les sources et destinations potentielles
avec un filtrage local.

Moi je dis la box de Madame Michu faut qu'elle embarque un moteur IPS,
antivirus, antispam, et de l'analyse de code java et javascript a la volée.
Juste au cas ou.
Le 22 janv. 2013 15:52, Alain Richard alain.rich...@equation.fr a
écrit :

 ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
 l'ensemble des périphériques utilisant le réseau.

 A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
 sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
 photocopieurs, tablettes, téléphones, machines à café, ...) !!!

 Donc le déploiement d'un firewall en entreprise n'est pas une option,
 c'est obligatoire.

 Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
 je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans
 l'entreprise...

 A+

 Le 22 janv. 2013 à 11:15, sxpert sxp...@sxpert.org a écrit :

  la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
  c'est à dire les machines connectées, ou dans un firewall intermédiaire
  si vous préférez cette méthode.

 --
 Alain RICHARD mailto:alain.rich...@equation.fr
 EQUATION SA http://www.equation.fr/
 Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
 E-Liance, Opérateur des entreprises et collectivités,
 Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Jérémie Marguerie
Le 22 janvier 2013 19:10, Gunther Ozerito gozer...@gmail.com a écrit :
 De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
 facilite le developpement de backdoor, les hackerz du monde entier vous
 remercie.

Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
de devoir faire le port forwarding à la main.
Pense à bien dimensionner ton support client, parce qu'il va morfler
dès les premiers jours.

N'oublions pas que la sécurité est un compromis et que ce que tu peux
mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas
au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur
youtube et facebook.

Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
requêtes ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Gunther Ozerito
 Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
 de devoir faire le port forwarding à la main.

C'est pas parce qu'un protocole est utile qu'il est parfait, sans defaut et
bien implementé.
La preuve, on est oblige de le completer par PCP pour gerer le CGN et
autres. Basé sur du broadcast, donc non routable, pas d'authent,
affectation automatique des ports meme s'ils sont deja utilisés, pas
d'encryption ... Bref du tout bon quoi.
Meme Bonjour est mieux pensé, c'est dire.

Bon donc une nouvelle version d'UPnP serait pas du luxe.

 Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
 requêtes ?


La meilleure des plateforme de DPI, les CGV de l'operateur. Le FAI n'est
pas responsable de la securité des équipements connectés a la box ==
demerden sie et installez un antivirus, firewall et/ou mettez votre OS a
jour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Xavier Beaudouin
Hello,
Le 16 janv. 2013 à 22:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit 
:

 Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.com a
 écrit :
 
 Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce
 qui reste aux opérateurs qui ne font pas partie des gros (et encore même
 pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes
 d'IPv4 pour espérer recruter encore des clients...
 
 
 Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le
 rachat d'un bloc IPv4 au marché noir.
 De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et
 certains opérateurs jouent même la rétention dans ce sens...

Y a mieux, créer une pseudo boite en afrique (choose your country) et la 
rattacher à la maison mère en France.

Une fois que tu as ton joli subnet (pleiiin d'ip, vu que l'afrique a moins 
besoin de l'internet que les pays du nord) tu monte ton subnet sur ton AS 
europeen et tu l'utilise en France par exemple.

Voici quelques nouveautés qui emmergent depuis 2012...

Pas besoin de racheter au marché noir, il suffit de faire comme toutes les 
ressources des pays qui en cours de développement : les utiliser pour un besoin 
que le pays en question n'as pas (ou tout simplement se servir sans 
concessions).

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Xavier Beaudouin
 Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc
 orchestré par Google et Facebook pour embeter les providers français
 (sourcehttp://reflets.info/fleur-pellerin-annonce-la-mise-a-mort-de-la-neutralite-du-net/
 )
 
 Elle a progressé en 6 mois hein  :-)
 
 Maintenant elle quitte la table *avant* de dire quelque chose.

Et après elle fait une commission pour enterrer proprement les choses :)

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet sxpert

On 2013-01-17 14:26, Stephen wrote:

Tu es sûr de vouloir absolument de l'accès avec IP dynamique où il
est interdit d'y héberger un serveur ?


http://support.google.com/fiber/bin/answer.py?hl=enanswer=2659981topic=2440874ctx=topic

Unless you have a written agreement with Google Fiber permitting you
do so, you should not host any type of server using your Google Fiber
connection


ca se voit que c'est pas des tech qui ont écrit les clauses 
d'utilisations,

par natures abusives...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Julien Escario

Le 17/01/2013 14:26, Stephen a écrit :

Tu es sûr de vouloir absolument de l'accès avec IP dynamique où il est interdit
d'y héberger un serveur ?

http://support.google.com/fiber/bin/answer.py?hl=enanswer=2659981topic=2440874ctx=topic


Unless you have a written agreement with Google Fiber permitting you do so, you
should not host any type of server using your Google Fiber connection


En même temps, ils vont pas fournir 1Gbps pour que tu les utilises en plus !
Monde de bisounours ...

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Solarus
On Thu, 17 Jan 2013 14:36:47 +0100, sxpert sxp...@sxpert.org wrote:

 Unless you have a written agreement with Google Fiber permitting you
 do so, you should not host any type of server using your Google Fiber
 connection
 
 ca se voit que c'est pas des tech qui ont écrit les clauses d'utilisations,
 par natures abusives...
 
Clauses abusives ou pas, elles sont écrites.

La seule volonté de Google à travers ses accès est de capter des
clients pour ses propres serveurs et services, d'où l'interdiction
d'héberger soit même des serveurs. Si cette restriction était mise en
oeuvre, ce ne serait effctivement pas un vrai accès Internet, mais un
accès data.

C'est plus probabalement un problème lié à la réputation de l'AS et des
IP Google face au reste de l'Internet.(SMTP port 25, toussa toussa).

Donc non à mon avis ce n'est pas qu'un simple caprice de commercial.

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Rémi Bouhl
Le 17/01/13, Solarussola...@ultrawaves.fr a écrit :

 C'est plus probabalement un problème lié à la réputation de l'AS et des
 IP Google face au reste de l'Internet.(SMTP port 25, toussa toussa).


Bof, non, ça ça se résout habituellement à coup de blocages du port
25, éventuellement non désactivable si on est féroce.

Quand on interdit aussi les ports 80, 443, 22 et compagnie, c'est
qu'on a une autre idée derrière la tête (du genre, empêcher les
clients-du-FAI-Google de porter atteinte au business de
l'hébergeur-Google, ou comment l'intégration verticale est une menace
pour la neutralité du réseau).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Sylvain Vallerot




On 17/01/2013 15:41, Solarus wrote:

Clauses abusives ou pas, elles sont écrites.


Je sais pas comment ça se passe aux states, mais en France une clause
écrite mais abusive devient réputée non écrite. Rien que le terme m'amuse.


On 17/01/2013 15:48, Rémi Bouhl wrote:

Quand on interdit aussi les ports 80, 443, 22 et compagnie, c'est
qu'on a une autre idée derrière la tête (du genre, empêcher les
clients-du-FAI-Google de porter atteinte au business de
l'hébergeur-Google, ou comment l'intégration verticale est une menace
pour la neutralité du réseau).


Oui c'est intéressant de voir comment petit à petit le masque tombe alors
que d'un côté Google lance une pétition pour la neutralité du net, de
l'autre ils répriment leurs propres abonnés.

https://www.google.com/intl/fr/takeaction/

« Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..]
 Unissons nos forces pour qu'Internet reste libre et ouvert. »

WTF !?





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Raphaël Jacquot

On 17 janv. 2013, at 17:44, Sylvain Vallerot sylv...@gixe.net wrote:

 Oui c'est intéressant de voir comment petit à petit le masque tombe alors
 que d'un côté Google lance une pétition pour la neutralité du net, de
 l'autre ils répriment leurs propres abonnés.
 
 https://www.google.com/intl/fr/takeaction/
 
 « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..]
 Unissons nos forces pour qu'Internet reste libre et ouvert. »
 
 WTF !?

le phénomène de la main droite qui sait pas trop ce que fait la main gauche ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Pascal Rullier
Le 17 janvier 2013 18:44, Raphaël Jacquot sxp...@sxpert.org a écrit :

 On 17 janv. 2013, at 17:44, Sylvain Vallerot sylv...@gixe.net wrote:

 Oui c'est intéressant de voir comment petit à petit le masque tombe alors
 que d'un côté Google lance une pétition pour la neutralité du net, de
 l'autre ils répriment leurs propres abonnés.

 https://www.google.com/intl/fr/takeaction/

 « Internet compte aujourd'hui plus de deux milliards d'utilisateurs. [..]
 Unissons nos forces pour qu'Internet reste libre et ouvert. »

 WTF !?

 le phénomène de la main droite qui sait pas trop ce que fait la main gauche ?

Ils ne parlent pas du même Internet, ils parlent sans doute de celui des autres

D'ailleurs pourquoi interdire le hosting @home avec une capa comme cela ?
du simple serveur de jeu, ou mail ou whatever ?
Parce le FAI est aussi un hébergeur de services, donc il se tirerait une balle
dans le pied, par contre, pour pousser des données ou utiliser du
cloud intranet, oui,
mais pour héberger, non...

Cet internet là ressemble, hélas, de plus en plus à une TV
en flux descendant seulement
où le client zappe, choisit de la VOD sélectionnée,
gobe, jete car il ne peut pas stocker, et passe à la caisse en fin de mois
de plus en plus con...sommateur que consomm...acteur...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-17 Par sujet Cyprien Nicolas

Pascal Rullier wrote:

Le 17 janvier 2013 18:44, Raphaël Jacquot a écrit :

le phénomène de la main droite qui sait pas trop ce que fait la
main gauche ?


Surtout que j'ai lu un interview de Vint Cerf qui disait qu'il poussait
le projet Fiber Kansas City. Ce qui ne veut pas dire qu'il ait écrit les
CGU.


Ils ne parlent pas du même Internet, ils parlent sans doute de celui
des autres


L'offre se présente comme « A Different kind of Internet ». En France,
ils pourraient vendre ça comme de l'« Internet par Google ».


D'ailleurs pourquoi interdire le hosting @home avec une capa comme
cela ? du simple serveur de jeu, ou mail ou whatever ?


Pour pouvoir déployer du CGN sans restreindre le service justement. Si
un client demande à ouvrir un port, on peut lui répondre que c'est
interdit par le contrat. Et Hop, pas besoin de changer les CGS en cours
de fonctionnement.

Google a intérêt à interdire les jeux, comme ça tu vas sur Internet et
tu vois leur pubs.


Parce le FAI est aussi un hébergeur de services, donc il se tirerait
une balle dans le pied, par contre, pour pousser des données ou
utiliser du cloud intranet, oui, mais pour héberger, non...


Bah, en dehors de Google, tu n'as besoin de rien. ya le mail, le réseau
social, les vidéos de chatons, les films, les livres. Pour le nouvel
arrivant en Internet, ça fait déjà beaucoup. Sauf s'il veut du pr0n.


Cet internet là ressemble, hélas, de plus en plus à une TV en flux
descendant seulement où le client zappe, choisit de la VOD
sélectionnée, gobe, jete car il ne peut pas stocker, et passe à la
caisse en fin de mois de plus en plus con...sommateur que
consomm...acteur...


Pire, l'offre de base est gratuite (or frais de construction de ligne,
$300 de mémoire). Donc la FCC va ptet pas râler, vu que c'est limite une
offre sociale (genre la collectivité prend en charge les FAS ?), on va
pas demander du service top-niveau non plus.

Pour ceux qui payent le Gigabit+TV à $120/mo, c'est une autre affaire.

--
Cyprien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Raphaël Jacquot

On 16 janv. 2013, at 08:56, Radu-Adrian Feurdean 
fr...@radu-adrian.feurdean.net wrote:
 
 c'est sur avec la stratégie d'ouvrir les domaines ipv6 en fonction des ip
 source des dns recursif on est un peut entrain de refaire le fichier hosts 
 ca va pas favoriser le déploiement 
 
 Ca c'est fini depuis 6 mois deja. Ce qui me faite penser : test stats
 IPv6 ne datent pas d'il y a 1-2 ans par hasard ?

le CCC annonce qu'il est possible qu'il n'y ait pas d'IPV4 dans le réseau pour 
le congres de l'an prochain...

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean
On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote:

 Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse 
 le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une 
 volonté de l'hébergeur.

public bashing
Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
mais en plus est une option (produit apart) payante.
Pire encore, dans le service standard ils disent nous pouvons attaquer
une origine en v6, mais on l'expose cote client uniquement en v4. Si
vous voulez une exposition client en v6, il faut acheter le produit
ZXZXZXZXZX en plus.
Je m'attendais a mieux pour le prix que ca coute...
/public bashing


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Guillaume Barrot
C'est de notoriete publique que la ligne conductrice d'Akamai est tant
qu'il y a des cons pour acheter, moi je vends, non ?
Le 16 janv. 2013 09:20, Radu-Adrian Feurdean 
fr...@radu-adrian.feurdean.net a écrit :

 On Tue, Jan 15, 2013, at 18:00, Cyprien Nicolas wrote:

  Quoique ya ptet des CDN qui se traînent aussi, au pif celui qui propulse
  le blog de Dominique Lacroix sur LeMonde.fr, à moins que ce soit une
  volonté de l'hébergeur.

 public bashing
 Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
 mais en plus est une option (produit apart) payante.
 Pire encore, dans le service standard ils disent nous pouvons attaquer
 une origine en v6, mais on l'expose cote client uniquement en v4. Si
 vous voulez une exposition client en v6, il faut acheter le produit
 ZXZXZXZXZX en plus.
 Je m'attendais a mieux pour le prix que ca coute...
 /public bashing


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Clement Cavadore
On Wed, 2013-01-16 at 09:20 +0100, Radu-Adrian Feurdean wrote:
 public bashing
 Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
 mais en plus est une option (produit apart) payante.
 Pire encore, dans le service standard ils disent nous pouvons attaquer
 une origine en v6, mais on l'expose cote client uniquement en v4. Si
 vous voulez une exposition client en v6, il faut acheter le produit
 ZXZXZXZXZX en plus.
 Je m'attendais a mieux pour le prix que ca coute...
 /public bashing

Sérieusement ?!?

Mais comment on peut être aussi #@%! 


-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Frédéric GANDER


- Mail original -
 De: Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: Liste FRnoG frnog@frnog.org
 Envoyé: Mercredi 16 Janvier 2013 08:47:35
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 On Tue, Jan 15, 2013, at 17:14, Frédéric GANDER wrote:
 
  quand tu as  plus de 2 millions de mec qui ont du v6
  potentiellement à la
  maison et que tu fais 20gbit/s de v6
  j'appel pas ca un succès foudroyant au niveau du contenu
 
 Augmente ta capa vers Google (Youtube). Ils doivent une conne source
 de
 contenu en v6, et ca marche super-mal de chez vous (en v4 comme en
 v6).
 Ameliore aussi ta collectivité v6 *EN FRANCE*.

dit pas n'importe quoi, augmenter la capa vers youtube n'impacte pas le ratio 
v4/v6
et augmenter la connectivité v6 en france par rapport au v4, n'augmentera pas 
l'usage du v6 par rapport au v4.

Si ton problème c'est de peerer tu peux toujours prendre un paid peering heim, 
mais non tu n'en as pas besoin vu que tu bosses chez un tier 1
revendeur exclusif de level3 dans un monde mineral sans chaise désuette.


 
 Tu vas quand-meme pas commencer a te plaindre que ton traffic
 n'augmente
 pas au-dela de 100% de ta capacite, hein ?
 
 

je me plains pas, je constate que l'evolution de l'ipv6 les 6 dernières années 
se fait plus doucement que le v4 
son %tage dans le réseau ne progresse pas.

Commence donc par mettre le site web de ta boite en v6 ca augmentera le traffic 
ipv6.

A+


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Solarus
On Wed, 16 Jan 2013 09:20:37 +0100, Radu-Adrian Feurdean
fr...@radu-adrian.feurdean.net wrote:


 public bashing
 Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
 mais en plus est une option (produit apart) payante.
 Pire encore, dans le service standard ils disent nous pouvons attaquer
 une origine en v6, mais on l'expose cote client uniquement en v4. Si
 vous voulez une exposition client en v6, il faut acheter le produit
 ZXZXZXZXZX en plus.
 Je m'attendais a mieux pour le prix que ca coute...
 /public bashing

A ce propos on peut critiquer les clients d'Akamai qui lui achetent de
l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est
réglé.

On se retrouve par exemple avec www.bing.com qui possède des entrées
 sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A
pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie
les www n'a pas accès à Bing. C'est bête hein ? ;)

--
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Raphaël Maunier - Jaguar Network
De toute façon, il aura pas accès à grand chose donc, bing ou pas , comment 
dire :)

Envoyé de mon iPhone

Le 16 janv. 2013 à 09:42, Solarus sola...@ultrawaves.fr a écrit :

 On Wed, 16 Jan 2013 09:20:37 +0100, Radu-Adrian Feurdean
 fr...@radu-adrian.feurdean.net wrote:
 
 
 public bashing
 Comme Akamai, pour lesquels l'IPv6, pas seulement est arrive assez tard,
 mais en plus est une option (produit apart) payante.
 Pire encore, dans le service standard ils disent nous pouvons attaquer
 une origine en v6, mais on l'expose cote client uniquement en v4. Si
 vous voulez une exposition client en v6, il faut acheter le produit
 ZXZXZXZXZX en plus.
 Je m'attendais a mieux pour le prix que ca coute...
 /public bashing
 
 A ce propos on peut critiquer les clients d'Akamai qui lui achetent de
 l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est
 réglé.
 
 On se retrouve par exemple avec www.bing.com qui possède des entrées
  sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A
 pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie
 les www n'a pas accès à Bing. C'est bête hein ? ;)
 
 --
 Solarus
 www.ultrawaves.fr
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Xavier Beaudouin
(plein de choses sur CGN, etc...)

Enfin ce qui me fait marrer avec nous y voilà, c'est quand même le concept 
d'attentisme de tous les acteurs.

Dans un certain job, j'ai entendu : on n'as pas migré les serveurs de mails en 
IPv6 car la solution insert constructeur propriétaire n'est pas compatible 
IPv6 et n'as pas encore de projet pour sortir un boite noire IPv6 compliant.

Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une 
complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui écoute 
le port 53 (tcp/udp) elle est ou la complexité ?

Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / 
windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas loin 
de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6.

Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ?

Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du réseau, 
et c'est plus compliqué en Edge sur les CPE.

Quand on voit que l'évolution des requêtes DNS a un peu poussé... Et qu'il 
n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on 
peux quand même se dire que la stratégie de l'échec est la.

Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6.

Maintenant, reprenons le coup des serveurs de mails.
Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont pas 
compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté les 
solutions non IPv6 compliant par la fenêtre pour prendre des outils opensource 
(qui en passant sont _aussi_ utilisé dans des boites noires, comme Barracuda, 
et encore c'est un exemple), histoire de ne pas se compliquer l'existence.

Quand on voit le world ipv6 launch qui parle de mettre les eyeballs en ipv6, 
je suis franchement septique, vu la complexité en terme de changement d'une 
infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y arrive pas 
sur des services _simples_ ?

Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne se 
sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le monde se 
regarde et attendent que les autres bougent.

Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres 
opérateurs... c'est un peu autre chose. Dommage.

Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Raphaël Maunier - Jaguar Network
Beau discours d'une personne technique qui ne gère pas des budgets de x 
millions d'euros ( sans vouloir être condescendant ).

Les grosses boites ont bien plus de problématiques à gérer que ça.
La technique pour la technique osef, la technique pour ce que ça apporte en $$$ 
ou en économie sur son budget sur x années ok!

De plus, pour recruter des ingénieurs en ce moment c'est la misère, soit on 
voit des mecs complètements incompétents, soit des mecs sans exp qui demandent 
des salaires délirants !
Ça fait 2 ans que c'est comme ça, et a priori, c'est pas demain que ça va se 
résoudre.

Donc clairement, ce n'est pas un pb technique. Ça fait des années qu'on vous le 
répète tous. C'est pour cela qu'il faut les land comme Fred a organisé avec 
Telecom ParisTech et il faut encore et encore des ppt avec des chiffres et des 
$$$ !

Raphael

Envoyé de mon iPhone

Le 16 janv. 2013 à 09:52, Xavier Beaudouin k...@oav.net a écrit :

 (plein de choses sur CGN, etc...)
 
 Enfin ce qui me fait marrer avec nous y voilà, c'est quand même le concept 
 d'attentisme de tous les acteurs.
 
 Dans un certain job, j'ai entendu : on n'as pas migré les serveurs de mails 
 en IPv6 car la solution insert constructeur propriétaire n'est pas 
 compatible IPv6 et n'as pas encore de projet pour sortir un boite noire 
 IPv6 compliant.
 
 Bref. Si sur le _mail_ je peux éventuellement comprendre qu'il y ait une 
 complexité (enfin bon je ne dirais rien), mais sur un serveur de nom qui 
 écoute le port 53 (tcp/udp) elle est ou la complexité ?
 
 Allez pas me dire que je dis n'importe quoi. N'importe quel linux / bsd / 
 windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est depuis pas 
 loin de 10 ans), et les serveurs de noms même en bind 8 sait faire de l'IPv6.
 
 Quelle est la complexité de mettre 2 /64 au cul de la box qui gère les DNS ?
 
 Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur du 
 réseau, et c'est plus compliqué en Edge sur les CPE.
 
 Quand on voit que l'évolution des requêtes DNS a un peu poussé... Et qu'il 
 n'y pas 100% des serveurs DNS qui sont foutus capable de répondre en IPv6, on 
 peux quand même se dire que la stratégie de l'échec est la.
 
 Surtout que ça fait plus de 10 ans qu'on fait le rabat joie sur l'IPv6.
 
 Maintenant, reprenons le coup des serveurs de mails.
 Le coup des solutions propriétaires (je sors les ISP de ce cas) qui ne sont 
 pas compatible IPv6 c'est encore aussi un fausse histoire, certains ont jeté 
 les solutions non IPv6 compliant par la fenêtre pour prendre des outils 
 opensource (qui en passant sont _aussi_ utilisé dans des boites noires, comme 
 Barracuda, et encore c'est un exemple), histoire de ne pas se compliquer 
 l'existence.
 
 Quand on voit le world ipv6 launch qui parle de mettre les eyeballs en 
 ipv6, je suis franchement septique, vu la complexité en terme de changement 
 d'une infra web (proche de l'usine à gaz) a passer en IPv6 pourquoi on y 
 arrive pas sur des services _simples_ ?
 
 Bref c'est le serpent qui se mort la queue. Vous vous plaignez que l'IPv6 ne 
 se sorte pas les doigts du c.l, mais aussi c'est aussi parce que tout le 
 monde se regarde et attendent que les autres bougent.
 
 Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres 
 opérateurs... c'est un peu autre chose. Dommage.
 
 Xavier
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet sxpert

On 2013-01-16 09:52, Xavier Beaudouin wrote:


Allez pas me dire que je dis n'importe quoi. N'importe quel linux /
bsd / windows sait faire de l'IPv6 (je l'accorde pour les Un*x c'est
depuis pas loin de 10 ans), et les serveurs de noms même en bind 8
sait faire de l'IPv6.


j'espere que t'as upgrade ton bind depuis, parce que sinon, tu risques 
quelques soucis ;-)



Aucune ! Vous l'avez bien dit. On sait coller de l'IPv6 sur le coeur
du réseau, et c'est plus compliqué en Edge sur les CPE.


deux choses:
* comme disait qqun plus tot, les fournisseurs de routeurs qui 
réclament des sous en plus pour avoir un vrai support ipv6

* la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean
On Wed, Jan 16, 2013, at 1:49, Pierre-Yves Maunier wrote:
 Si ça passe derrière du NAT, je vois pas pourquoi ça passerait pas derrière
 du CGN tant que tu bouffes pas 40 000 ports.

UPNP / ouverture de ports a la demande ?

 Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en

Mme Michu a souvent un mari ou un fils qui peut vouloir utiliser le
NAT/PAT ou des serveurs de je ne sais pas quoi en local.

Meme si aujourd'hui les choses ont du avancer (dans la mauvaise
direction), j'entendais le meme discours avec la fameuse Mme Michu il y
a plusieurs annees, quand les solutions VPN etait nettement moins
NAT-friendly (et le SSL-VPN nettement moins deploye), et les corporate
users (dont certains *TRES* mobiles) ralaient nettement plus souvent
qu'aujourd'hui a cause du VPN qui ne passe pas ici ou la.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Emmanuel Thierry

Le 16 janv. 2013 à 10:06, Raphaël Maunier - Jaguar Network a écrit :

 
 Donc clairement, ce n'est pas un pb technique. Ça fait des années qu'on vous 
 le répète tous. C'est pour cela qu'il faut les land comme Fred a organisé 
 avec Telecom ParisTech et il faut encore et encore des ppt avec des chiffres 
 et des $$$ !

D'ailleurs je pense qu'on en proposera d'autres !

Cordialement
Emmanuel Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Alexandre Archambault

Le 16 janv. 2013 à 08:14, Raphaël Jacquot sxp...@sxpert.org a écrit :

 depuis le temps qu'on leur dit qu'une adresse ip ne represente pas un abonné.
 on peut aussi prendre en compte 
 
 http://ec.europa.eu/taxation_customs/resources/documents/taxation/vat/how_vat_works/e-services/com_2012_763_fr.pdf

Sauf que cette disposition vise avant tout les fournisseurs de services 
commerciaux en ligne opérant sur plusieurs marchés nationaux et non 
spécifiquement les fournisseurs d'accès.

Et qu'il n'est nullement imposé de conserver l'IP en tant que telle. Juste à 
minima 2 éléments parmi ceux mentionnés à l'article 24 octies.

--
Alec,





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean


On Wed, Jan 16, 2013, at 9:31, Guillaume Barrot wrote:
 C'est de notoriete publique que la ligne conductrice d'Akamai est tant
 qu'il y a des cons pour acheter, moi je vends, non ?

Et malhereusement les cons achetent parce-que la concurrence n'est pas
toujours au niveau.
Il y a environ un an, on avais essaye de voir des alternatives moins
cheres a Akamai. Dans le cahier de charges il y avait SSL service,
available in LatAm and APAC regions. Option for China appreciated. Le
nettoyage des candidats commencait avec ca, et il etait tres rapide.
Meme si on a pas arrive a voir tout le monde, les resultats etait
quand-meme decevants.

On peut ne pas aimer la politique commerciale d'Akamai, mais cote
service on peut pas leur reprocher beaucoup de choses (probablement rien
si on a un buget tres large).
Ils offrent des bons services, ils n'ont pas beaucoup de concurrence, et
en consequence ils le font payer tres tres cher (et de que tu commences
a parler tu payes encore).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean
On Wed, Jan 16, 2013, at 9:42, Solarus wrote:

 A ce propos on peut critiquer les clients d'Akamai qui lui achetent de
 l'IPv6, mettent un CNAME vers les serveurs d'Akamai et pensent que c'est 
 réglé.
 
 On se retrouve par exemple avec www.bing.com qui possède des entrées
  sur le CDN Akamai, mais bing.com tout court qui a une bête entrée A
 pointant sur l'AS Microsoft. Du coup le client en IPv6-only qui oublie
 les www n'a pas accès à Bing. C'est bête hein ? ;)

De memoire, tous les CDN fonctionnent comme ca. Et si tu veux que ton
site soit accessible sans le www. tu fais pointer le A en question
vers quelque-chose qui fait un HTTP redirect. C'est comme ca que bing
fonctionne, et c'est comme ca que je faisais quand j'etais client Akamai
(chez qui tu as un forfait sur le nombre de hostnames sur lesquels tu
exposes ton site - wildcard pas accepte).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean
On Wed, Jan 16, 2013, at 9:52, Xavier Beaudouin wrote:

 Maintenant, reprenons le coup des serveurs de mails.

Des solutions qui permettent de faire plusieurs millions d'emails par
jour, il n'y a pa tant que ca, et ils ont commence a supporter l'IPv6
que recemment. 
Et meme avec du support IPv6, il reste la question des blacklists qui
est nettement moins simple en v6.
OK, j'avait une vue claire que sur la partie envoi, mais d'autres qui
gerent des volumes similaires (voir superieures) en entree doivent avoir
quasiment les memes problemes.

Par contre, 100% d'accord sur la partie DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Solarus
On Wed, 16 Jan 2013 11:31:50 +0100, Radu-Adrian Feurdean
fr...@radu-adrian.feurdean.net wrote:

 De memoire, tous les CDN fonctionnent comme ca. Et si tu veux que ton
 site soit accessible sans le www. tu fais pointer le A en question
 vers quelque-chose qui fait un HTTP redirect. C'est comme ca que bing
 fonctionne, et c'est comme ca que je faisais quand j'etais client Akamai
 (chez qui tu as un forfait sur le nombre de hostnames sur lesquels tu
 exposes ton site - wildcard pas accepte).

Rien n'empêche le double adressage vers la redirection donc ?
Je suis peut-être utopiste mais c'est important de penser aux clients
en IPv6-only, parce que sinon je vais manquer d'adresses pour mon frigo
connecté. ;)

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean
On Wed, Jan 16, 2013, at 9:39, Frédéric GANDER wrote:
 Si ton problème c'est de peerer tu peux toujours prendre un paid peering
 heim, mais non tu n'en as pas besoin vu que tu bosses chez un tier 1
 revendeur exclusif de level3 dans un monde mineral sans chaise désuette.

Je ne parle pas uniquement de la situation dans ma boite d'aujourd'hui.
(apart la reference tier-1, tu decris pas mal l'environnement).

Chez $job[-1], si en v4 la situation etait pas facile mais
maitrisable, il n'y avait pas de moyen de garder le traffic IPv6 vers
Free en France.
J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free
avait resorti comme la premiere destination (mieux que Renater, HE.net
ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route
potable qui ne sortait pas de la France. Et ca, malgre 4 transitaires
+ He.net (meilleure route, mais +16ms via Amsterdam). A l'epoque Free
n'etait pas joignable en v6 via Cogent. On voyait a l'epoque juste du
transit TATA (generalement sature), transit Level3-IPv6 a Londres,
peering HE.net a Amsterdam et du ?? IIJ a New-York (tout le traffic
vers Tinet etait force par la-bas).
Dans des telles conditions, ca donnait pas envie de laisser le v6 active
sur la partie contenu. IPv6 c'est bien, mais pas quand ca degrade le
service de facon systematique.

D'ailleurs, ton pay-peering c'est dans quel range de prix pour des
petits debits (maxi 1G) ?

 Commence donc par mettre le site web de ta boite en v6 ca augmentera le 
 traffic ipv6.

Pas possible de toucher au monde mineral :)
C'est prevu pour la prochaine boite (si tout se passe bien et sans
avancer des dates).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Rémi Bouhl
Le 16/01/13, Xavier Beaudouink...@oav.net a écrit :

 Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres
 opérateurs... c'est un peu autre chose. Dommage.

Peut-être que les autres opérateurs ont une infra plus complexe ?
Tant qu'on fait juste de l'Internet, ce n'est effectivement pas si
galère de passer en dual-stack.

Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains
ports, de bricoler le réseau pour en faire autre chose que de
l'Internet, IPv6 complique les choses.

Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le
CGN permet au contraire de les brider un peu plus. Économiquement et
politiquement, le vent souffle dans la direction du CGN, pas du retour
à un vrai Internet (une machine = une adresse publique) permis par
IPv6.

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Fabien Delmotte
Bonjour,

 Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le
 CGN permet au contraire de les brider un peu plus. Économiquement et
 politiquement, le vent souffle dans la direction du CGN


Cela est complètement faux, le CGN n'est pas un choix contre IPv6 mais un moyen 
de gagner du temps pour passer en IPv6.
Les investissements en temps et argent pour passer en v6 sont important, de ce 
fait certains opérateurs veulent gagner du temps. Mais la finalité est v6.

Fabien

Le 16 janv. 2013 à 14:48, Rémi Bouhl remibo...@gmail.com a écrit :

 Le 16/01/13, Xavier Beaudouink...@oav.net a écrit :
 
 Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres
 opérateurs... c'est un peu autre chose. Dommage.
 
 Peut-être que les autres opérateurs ont une infra plus complexe ?
 Tant qu'on fait juste de l'Internet, ce n'est effectivement pas si
 galère de passer en dual-stack.
 
 Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains
 ports, de bricoler le réseau pour en faire autre chose que de
 l'Internet, IPv6 complique les choses.
 
 Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, le
 CGN permet au contraire de les brider un peu plus. Économiquement et
 politiquement, le vent souffle dans la direction du CGN, pas du retour
 à un vrai Internet (une machine = une adresse publique) permis par
 IPv6.
 
 Rémi.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Jérôme Nicolle
Le 16/01/2013 08:56, Radu-Adrian Feurdean a écrit :
 C'est un peu moins evident, mais IPv6 sous XP ca existe bel et bien.

Avec une stack IPv6 et surtout ICMPv6 tellement mal codée qu'elle
s'effondre avec des trucs aussi cons que du RA-flood.

Je persiste à refuser de déployer IPv6 sur des OS aussi vieux, c'est
trop dangereux pour les équipes en charge de supporter la bureautique.

(En fait sur des parcs installés aussi vieux, les switchs sont rarement
à même de supporter une politique de sécurité qui permettrait de
colmater les brèches. Les chantiers sont donc trop gros et coûteux pour
la plupart des clients, vu l'intérêt quasi nul d'IPv6 sur un LAN
d'entreprise)

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet sxpert

On 2013-01-16 15:23, Fabien Delmotte wrote:

Bonjour,

Alors qu'IPv6 permet aux Michu de s'héberger facilement eux-mêmes, 
le

CGN permet au contraire de les brider un peu plus. Économiquement et
politiquement, le vent souffle dans la direction du CGN



Cela est complètement faux, le CGN n'est pas un choix contre IPv6
mais un moyen de gagner du temps pour passer en IPv6.


ca aussi c'est faux
c'est une solution bancale pour pérenniser l'usage d'ipv4, histoire de

* pas s'emmerder a remplacer les vieux equipements hors d'age dans les
réseaux existants

* faire en sorte de continuer a conserver des consommateurs, et non
des citoyens à meme de participer.

d'ailleurs, il en est de meme du déploiement de solutions fibre optique
dont les débits sont assymétriques.

c'etait peut etre valable quand on avait que du cuivre avec une bande
passante limitée, et le choix commercial qui a été fait à l'époque de
privilégier le débit descendant, mais ca ne justifie plus du tout pour
la fibre optique.

http://www.mail-archive.com/ip@v2.listbox.com/msg08608.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Jérôme Nicolle
Le 15/01/2013 17:45, Guillaume Barrot a écrit :
 Par contre pour le CGN vu qu'il y aura surement un impact juridique
 (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui
 marchaient avant qui marchent plus apres), voire economique (nouveau
 forfaits premium pour conserver une ip publique dediee), la clairement y
 aura atteinte a la neutralite du net...

Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
public routé) mais, par compatibilité et malgré la pénurie, le maintient
d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
veut sur l'IPv6.

Tant que tous les paquets d'au moins un des protocoles sont transportés
sans discrimination, et que les quelques dégradations de service sur
l'autre ne sont pas clairement ciblés pour discriminer certains
services, c'est plutôt positif comme démarche...

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Pascal Rullier
Le 16 janvier 2013 14:48, Rémi Bouhl remibo...@gmail.com a écrit :
 Le 16/01/13, Xavier Beaudouink...@oav.net a écrit :

 Effectivement y a des précurseurs (Nérim, Free, FDN, ...) mais les autres
 opérateurs... c'est un peu autre chose. Dommage.

 Peut-être que les autres opérateurs ont une infra plus complexe ?
 Tant qu'on fait juste de l'Internet, ce n'est effectivement pas si
 galère de passer en dual-stack.

 Mais dès qu'on se mêle de prioriser les paquets, de filtrer certains
 ports, de bricoler le réseau pour en faire autre chose que de
 l'Internet, IPv6 complique les choses.


donc si je lis bien, + le fai priorise les paquets, filtre, bricole,
cela devient
difficile de mettre en place ipv6 avec le même niveau de services

Donc ceux qui se plaignent le + pour déployé ipv6, sont ceux qui bricolent le +

Intéressant... :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Radu-Adrian Feurdean
On Wed, Jan 16, 2013, at 15:30, Jérôme Nicolle wrote:

 Avec une stack IPv6 et surtout ICMPv6 tellement mal codée qu'elle
 s'effondre avec des trucs aussi cons que du RA-flood.

On parle d'un systeme lance il y a 10 ans, donc ..

 vu l'intérêt quasi nul d'IPv6 sur un LAN d'entreprise)

J'entendais le meme chose sur l'IP (v4) il y a moins de 15 ans (avec des
irresistibles qui le faisait encore debut 2001).
Il y avait les reseaux d'entreprise avec des fileservers Novell
(IPX/SPX) et l'Internet etait vu comme un outil a perdre du temps et
rien faire.

Autrement, vu la securite de beaucoup de reseaux d'entreprise (proche de
0), activer IPv6 a fonctionalite egale (toujours zero securite) est
super-simple et sans effet secondaire.

Sinon, j'ai vu aussi des auditeurs securite qui n'etait meme pas
capable de se rendre compte qu'il y a du v6 sur un reseau d'entreprise.
De ce point de vue, on peut meme dire que le deployer augmente la
securite (par obscurite).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Jérôme Nicolle
Le 16/01/2013 10:31, sxpert a écrit :
 * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...

des noms !

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Refuznikster

On avait pas un ou deux FAI qui proposait ça à l'époque ?

Le Wed, 16 Jan 2013 15:46:04 +0100, Clement Cavadore  
clem...@cavadore.net a écrit:



Hello,

On 01/16/2013 03:36 PM, Jérôme Nicolle wrote:

Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
public routé) mais, par compatibilité et malgré la pénurie, le maintient
d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
veut sur l'IPv6.

Tant que tous les paquets d'au moins un des protocoles sont transportés
sans discrimination, et que les quelques dégradations de service sur
l'autre ne sont pas clairement ciblés pour discriminer certains
services, c'est plutôt positif comme démarche...


Ce que je trouverais extraordinairement fair, ca serait de faire un
système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
peu importe) juste sur demande (et désactivée par défaut), gratuitement.

Ainsi, toutes les madame michu auraient leur acces a fesseplouc et
autres youtube, et tous les geeks seraient contents.
Et les FAI auraient plein de pool IP disponibles pour leurs CGN...

Mais bon, on peut rêver... :)



--
---
Refuznik


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Manuel Martinez



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Clement Cavadore

Ce que je trouverais extraordinairement fair, ca serait de faire un système 
qui permettrait aux gens d'avoir une IP publique (fixe ou non, peu importe) 
juste sur demande (et désactivée par défaut), gratuitement.

Ainsi, toutes les madame michu auraient leur acces a fesseplouc et autres 
youtube, et tous les geeks seraient contents.
Et les FAI auraient plein de pool IP disponibles pour leurs CGN...

Mais bon, on peut rêver... :)
--
Clément Cavadore
---


C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels la 
société pour laquelle je bosse a pu participer, jusqu'à présent.
Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès 
IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à Facebook, 
Youtube, son email, etc. 
Plus elle achètera du matériel et des applications IPv6 ready, pour peu qu'il 
y'en ait, plus elle migrera sans même sans rendre compte.

Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur suffit 
d'en faire la demande.
Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP pour 
les CGN, dès que la RFC sera disponible 
(http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06). 
Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose la 
question...
Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir technique 
de rédiger des RFC, ou encore pour contrôler tout ce que font leurs clients,  
mais pour éviter les complaintes que l'on peut lire tout aux long de ce 
thread
Sachant qu'en plus faire du CGN/DS-Lite/6rd/NAT64/etc. en soi est une tache 
couteuse en termes de ressources techniques (HW, CPU, etc). Donc l'aspect 
contrôle est fait bien ailleurs par d'autres solutions dites DPI 
(http://fr.wikipedia.org/wiki/Deep_packet_inspection) rendues obligatoires par 
notre cher gouvernement, mais aussi utilisées bien souvent pour tout ce qui est 
ciblage publicitaire
Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui 
reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux 
ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour 
espérer recruter encore des clients...

Manuel MARTINEZ


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Rémi Bouhl
Le 16/01/13, Manuel Martinezmmarti...@a10networks.com a écrit :

 C'est bien dans ce sens que sont pensés les déploiements de DS-lite auxquels
 la société pour laquelle je bosse a pu participer, jusqu'à présent.
 Mme Michu dispose de son accès Internet IPv4 en mode CGN, en plus d'un accès
 IPv6 totalement ignoré, et ne se rend compte de rien pour accéder à
 Facebook, Youtube, son email, etc.
 Plus elle achètera du matériel et des applications IPv6 ready, pour peu
 qu'il y'en ait, plus elle migrera sans même sans rendre compte.

 Quant aux geeks hurlants de rage pour retrouver une full IPv4, il leur
 suffit d'en faire la demande.
 Le next step sera l'utilisation de PCP, proposant l' équivalent de l'UPNP
 pour les CGN, dès que la RFC sera disponible
 (http://tools.ietf.org/html/draft-ietf-pcp-upnp-igd-interworking-06).
 Les plus attentifs auront remarqué qu'au moins 1 opérateur français se pose
 la question...
 Et pour avoir pu discuter avec eux, ce n'est pas pour le pur plaisir
 technique de rédiger des RFC, ou encore pour contrôler tout ce que font
 leurs clients,  mais pour éviter les complaintes que l'on peut lire tout aux
 long de ce thread

Heureux de vous lire !
Pour ma part, mes derniers contacts avec deux opérateurs proposant des
solutions alternatives (WiFi et satellite) en zone blanche m'ont
donné la vision d'un monde affreux où :
- IPv6 n'existe pas,
- le CGN est tellement acceptable qu'il n'est mentionné dans aucun
document public, il faut contacter le service commercial et poser des
questions précises pour espérer savoir ce qu'on achète,
- il est normal que des ports soient bloqués,
- il faut gentiment demander pour se faire rediriger le port X ou Y
(sans pour autant disposer d'une IPv4 publique, donc faire la demande
pour CHAQUE redirection).

D'où ma tentation de hurler de rage quand le CGN est évoqué :)

Au sujet de la transparence : les opérateurs avec lesquels vous
travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine
de mentionner cette particularité dans leur CGU, AVANT achat ?

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Sylvain Vallerot



On 16/01/2013 01:49, Pierre-Yves Maunier wrote:

Après, le peer-to-peer ne représente plus grand chose en terme de trafic
d'après les dernières stats que j'ai vues.


Et alors !?



Si un réseau eyeball peut confirmer mais je suis sûr que la majorité de
leur trafic c'est http, https, nntp et nntps.


Et le reste quoi, c'est pas grand public alors on réutilise les ports ?
Il va être beau l'internet de demain si les FAI raisonnent tous comme ça.
C'est gravissime d'envisager de réduire internet à quelques protocoles.



Madame Michu (99.9% des abonnés en France) n'utilise pas de NAT/PAT en
entrant pour faire tourner son serveur web à la maison.
Donc du moment qu'elle peut aller sur voici.fr, regarder des vidéos de
chats qui dansent et envoyer des photos par mail.


Mme Michu et son fils utiliseront demain des protocoles dont personne n'a
idée, et s'ils ne peuvent plus le faire normalement ils le feront via des
VPN chiffrés, et les FAI deviendront de simples vendeurs de tuyaux adieu
la valeur ajoutée et l'internet selon Clémentine.

Autrement dit les FAI peuvent essayer de réduire internet au minimum mais
internet c'est le peuple et le peuple leur marchera dessus c'est tout
bonnement le sens de l'histoire.

Les politiques ne sont pas capables encore de prendre le recul pour
comprendre ça, mais ici tout de même...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Sylvain Vallerot



On 16/01/2013 20:52, Sylvain Vallerot wrote:

C'est gravissime d'envisager de réduire internet à quelques protocoles.


Hum, je me suis un peu emporté il est clair que dans une stratégie
de survie (genre on a pas le choix y'a plus de v4) MAIS que le v6
est déployé derrière pour du full internet il faut bien envisager ce
genre de possibilité.

Reste que considérer comme admissible la disparition de pans entiers
d'internet en supprimant la possibilité d'héberger des serveurs ou de
mettre en place des protocols p2p me choque complètement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Sylvain Vallerot



On 16/01/2013 10:31, sxpert wrote:

deux choses:
* comme disait qqun plus tot, les fournisseurs de routeurs qui réclament
des sous en plus pour avoir un vrai support ipv6
* la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...


Et les transitaires qui demander 1500 €HT de FAS pour configurer
une session en v6 sur la livraison BGP ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Sylvain Vallerot



On 15/01/2013 17:25, Guillaume Barrot wrote:

Et ben tout ça c'est GENIAL.


Hé hé, doux rêveur ou adepte de la stratégie du choc ?

http://fr.wikipedia.org/wiki/La_Strat%C3%A9gie_du_choc



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Yves Rougy
Le 16 janvier 2013 21:02, Sylvain Vallerot sylv...@gixe.net a écrit :



 On 16/01/2013 20:52, Sylvain Vallerot wrote:

 C'est gravissime d'envisager de réduire internet à quelques protocoles.


 Hum, je me suis un peu emporté il est clair que dans une stratégie
 de survie (genre on a pas le choix y'a plus de v4) MAIS que le v6
 est déployé derrière pour du full internet il faut bien envisager ce
 genre de possibilité.

 Reste que considérer comme admissible la disparition de pans entiers
 d'internet en supprimant la possibilité d'héberger des serveurs ou de
 mettre en place des protocols p2p me choque complètement.


Sans aller jusqu'à supprimer des protocoles comme le P2P (gourmand en terme
de ports), le fait qu'il soit beaucoup moins utilisé devrait au contraire
permettre de ne pas le supprimer en passant dans un CGN, où le nombre de
ports par client est limité. C'est comme ça que j'ai interprété la remarque
en tous cas.

Y. (plus lecteur que participant ici...)

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Raphaël Jacquot

On 16 janv. 2013, at 21:08, Sylvain Vallerot sylv...@gixe.net wrote:

 
 
 On 16/01/2013 10:31, sxpert wrote:
 deux choses:
 * comme disait qqun plus tot, les fournisseurs de routeurs qui réclament
 des sous en plus pour avoir un vrai support ipv6
 * la collecte de certaines DSP qui sait meme pas ce qu'est ipv6...
 
 Et les transitaires qui demander 1500 €HT de FAS pour configurer
 une session en v6 sur la livraison BGP ?
 

ca se justifie, pour payer les licences ipv6 pour leur routeurs extorquées par 
les fabricants cités au 1.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Guillaume Barrot
Le 16 janvier 2013 16:20, Refuznikster refuzniks...@gmail.com a écrit :

 Ce que je trouverais extraordinairement fair, ca serait de faire un
 système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
 peu importe) juste sur demande (et désactivée par défaut), gratuitement.


Naaain. Erreur systeme.
Les gens du marketing passe par là et dise quoi un truc gratuit alors
qu'on pourrait marketer ça en 'offre premium', et faire payer à
l'outrecuidant la monopolisation d'une ressource.
Et paf.

C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une
ressource tellement abondante que tu peux en donner des paquets de
publiques aux MIT pour que tous les postes, les badgeuses et les
imprimantes soient dans le /8 public, à une situation où c'est devenu
tellement rare que plusieurs abonnées vont devoir en partager une. Du coup,
qui dit rareté, dit économie qui va avec : et vas y que je te revends des
scopes, et vas y que je fais payer l'IP publique dédiée.

Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci
les écoles de marketing.



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Guillaume Barrot
Le 16 janvier 2013 16:43, Manuel Martinez mmarti...@a10networks.com a
écrit :

 Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce
 qui reste aux opérateurs qui ne font pas partie des gros (et encore même
 pour eux ça va se compliquer) et qui n'ont plus grand-chose en termes
 d'IPv4 pour espérer recruter encore des clients...


Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le
rachat d'un bloc IPv4 au marché noir.
De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et
certains opérateurs jouent même la rétention dans ce sens...

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Sylvain Vallerot



On 16/01/2013 22:31, Guillaume Barrot wrote:

Faut dire ça à Fleur Pellerin, qui repondra surement que c'est un truc
orchestré par Google et Facebook pour embeter les providers français
(sourcehttp://reflets.info/fleur-pellerin-annonce-la-mise-a-mort-de-la-neutralite-du-net/
)


Elle a progressé en 6 mois hein  :-)

Maintenant elle quitte la table *avant* de dire quelque chose.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Sebastien Lesimple


Le 16/01/2013 22:20, Guillaume Barrot a écrit :

Le 16 janvier 2013 16:20, Refuznikster refuzniks...@gmail.com a écrit :


Ce que je trouverais extraordinairement fair, ca serait de faire un

système qui permettrait aux gens d'avoir une IP publique (fixe ou non,
peu importe) juste sur demande (et désactivée par défaut), gratuitement.



Naaain. Erreur systeme.
Les gens du marketing passe par là et dise quoi un truc gratuit alors
qu'on pourrait marketer ça en 'offre premium', et faire payer à
l'outrecuidant la monopolisation d'une ressource.
Et paf.

C'est le problème d'IPv4 : tu passes, entre 1990 et maintenant, d'une
ressource tellement abondante que tu peux en donner des paquets de
publiques aux MIT pour que tous les postes, les badgeuses et les
imprimantes soient dans le /8 public, à une situation où c'est devenu
tellement rare que plusieurs abonnées vont devoir en partager une. Du coup,
qui dit rareté, dit économie qui va avec : et vas y que je te revends des
scopes, et vas y que je fais payer l'IP publique dédiée.

Merci la gestion catastrophique des plages d'IPv4 au début 1990, et merci
les écoles de marketing.


Ben c'est pas trop les marketeux qui sont responsable de cet état de fait.
(enfin presque)
C'est le marché qui veut ça. Ressource rares = prix en hausse.

Si un client veut absolument du v4, vu qu'on à droit qu'à un /22, ben 
c'est payant, voir même payant à un niveau dissuasif.
v6 c'est la norme, v4 c'est de la rustine pour bras cassés et on 
préfèrera accompagner dans une migration (payante) que de patcher dans 
tous les sens.
Personne ne s'offusque des incompatibilités (ou des usines à gaz à 
monter) engendrées par des versions disparates de Windaube dans un même 
domaine...


Sinon le client peut toujours aller voir du coté de chez Octave ou 
d'autres, mais nous ne pouvons pas jouer à ce jeu là.

Ressources limitées =  décisions de gestion brutus...
Tough luck


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Manuel Martinez
Le 16 janv. 2013 à 22:22, Guillaume Barrot 
guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit :


Le 16 janvier 2013 16:43, Manuel Martinez 
mmarti...@a10networks.commailto:mmarti...@a10networks.com a écrit :
Faudrait voir à pas se tromper de cible, les CGNs c'est à peu près tout ce qui 
reste aux opérateurs qui ne font pas partie des gros (et encore même pour eux 
ça va se compliquer) et qui n'ont plus grand-chose en termes d'IPv4 pour 
espérer recruter encore des clients...

Ben disons que sinon pour moins cher qu'une plateforme de CGN, y a le rachat 
d'un bloc IPv4 au marché noir.
De mémoire, Microsoft a racheté un petit bout de Nortel dans ce genre, et 
certains opérateurs jouent même la rétention dans ce sens...

Ouh là ben il me semble qu'un bon CGN ça coûte dans les 200k$... donc bien 
moins que des blocs d'IPv4
Par contre, c'est sûr que s'il vous faut du €isco, c'est pas le même prix ;-)

Manuel

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Manuel Martinez
Le 16 janv. 2013 à 18:21, Rémi Bouhl remibo...@gmail.com a écrit :
 Au sujet de la transparence : les opérateurs avec lesquels vous
 travaillez pour la mise en place de CGN + IPv6 prennent-ils la peine
 de mentionner cette particularité dans leur CGU, AVANT achat ?
Ça dépend, malheureusement pas tous
La plupart de ceux que je connais sont aux US et au Japon. Ils vendent cela 
comme une offre IPv6 avant tout, et ne rentrent pas dans des débats 
d'architecture ou de protocole. La plupart des utilisateurs sont agréablement 
surpris de constater que manifestement il est toujours possible d'accéder à une 
grande partie de l'Internet IPv4...
Enfin de nombreux CGN 44 sont déployés sur les nouvelles architectures LTE. 
Pour le coup peu de gens se plaignent puisque la SNAT se fait de manière 
courante sur les réseaux mobiles, et que seule la performance les intéresse...

Manuel

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Guillaume Barrot
Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus
logique.
Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6
conservee.
Le 16 janv. 2013 15:39, Jérôme Nicolle jer...@ceriz.fr a écrit :

 Le 15/01/2013 17:45, Guillaume Barrot a écrit :
  Par contre pour le CGN vu qu'il y aura surement un impact juridique
  (partage d'ip publique entre plusieurs abonnes), et technique (trucs qui
  marchaient avant qui marchent plus apres), voire economique (nouveau
  forfaits premium pour conserver une ip publique dediee), la clairement
 y
  aura atteinte a la neutralite du net...

 Pas d'accord. A partir du moment ou tu as une connectivité propre (v6
 public routé) mais, par compatibilité et malgré la pénurie, le maintient
 d'un service v4 dégradé, ce n'est certes pas optimal, mais pas une
 entrave aux libertés de l'utilisateur qui peut toujours faire ce qu'il
 veut sur l'IPv6.

 Tant que tous les paquets d'au moins un des protocoles sont transportés
 sans discrimination, et que les quelques dégradations de service sur
 l'autre ne sont pas clairement ciblés pour discriminer certains
 services, c'est plutôt positif comme démarche...

 --
 Jérôme Nicolle
 06 19 31 27 14


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-16 Par sujet Rémi Bouhl
(Attention, vous avez positionné le reply-to en dehors de la liste)

Le 17/01/13, Guillaume Barrotguillaume.bar...@gmail.com a écrit :
 Ok il faudrait juste qu'on splitte neutralite du net en deux pour etre plus
 logique.
 Neutralite du netv4 entravee donc, mais effectivement neutralite du netv6
 conservee.

Neutralité du net legacy entravée pour des impératifs techniques, mais
neutralité du net du futur conservée, et c'est ça qui compte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Jimmy Thrasibule
Et voilà,

Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6,
les opérateurs semblent décidés à mettre en place un gros NAT pour tout
le monde.

L'opération est actuellement en test chez plusnet au Royaume-Uni :

http://community.plus.net/forum/index.php/topic,110652.0.html


Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau
des opérateurs ? Le manque de services accessibles ?

--
Jimmy



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Solarus
On Tue, 15 Jan 2013 15:32:01 +0100, Jimmy Thrasibule
thrasibule.ji...@gmail.com wrote:


 Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau
 des opérateurs ? Le manque de services accessibles ?

1°) Cisco et Juniper n'inclue pas IPv6 dans toutes les licenses
2°) Certains matos, les box notamment ne sont pas toutes compatibles en
IPv6
3°) Ca coute cher en ressources humaines et en efforts (ressource rare
chez les dirigeants).
4°) C'est réclamé par moins de 1% des consommateurs
5°) IPv4 ça marche, même avec du NAT444
and so on...

Le manque de déploiement d'IPv6 est effectivement plus inquiétant que
le CGN. IPv4 est un protocole obsolète qui survit grâce à nombres de
rustines, comptez pas sur moi pour le pleurer.

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Simon Perreault

Le 2013-01-15 15:32, Jimmy Thrasibule a écrit :

Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6,
les opérateurs semblent décidés à mettre en place un gros NAT pour tout
le monde.


SVP expliquez-moi comment déployer IPv6 permettrait d'éviter de déployer 
un CGN.


Merci,
Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Pierre-Yves Maunier
Bonjour,

Le problème n'est pas vraiment au niveau des opérateurs, déployer IPv6 dans
son coeur de réseau c'est relativement simple.
En livrer jusqu'à ses abonnés c'est un peu plus compliqué mais faisable.

Par contre si tu n'as pas assez d'IPv4 pour tes abonnés et que tu ne leur
donnes que de l'IPv6 et pas d'IPv4, il ne pourront pas accéder à +90% de
l'internet.

C'est pas tout d'avoir des eyeball en IPv6, s'il n'y a pas de contenu en
IPv6 ça ne marche pas terrible.

Certains diront, suffit de mettre du NAT64/DNS64 mais ça ne suffit pas, par
exemple skype ne marchera pas dans ce genre de configuration.

Il va falloir donner encore des IPv4 aux abonnés pendant un certain temps
en dual stack (avec des IPv4 CGNisées) avec des IPv6 pour faire face à la
pénurie.

On a eu droit à RFC1918, CIDR, NAT pour retarder cette pénurie.
Et maintenant qu'il n'y plus d'IPv4, il y a CGN. Malheureusement, nous
n'avons pas trop le choix.




Le 15 janvier 2013 15:32, Jimmy Thrasibule thrasibule.ji...@gmail.com a
écrit :

 Et voilà,

 Face à la pénurie des adresses IPv4, plutôt que de déployer de l'IPv6,
 les opérateurs semblent décidés à mettre en place un gros NAT pour tout
 le monde.

 L'opération est actuellement en test chez plusnet au Royaume-Uni :

 http://community.plus.net/forum/index.php/topic,110652.0.html


 Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau
 des opérateurs ? Le manque de services accessibles ?

 --
 Jimmy



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Pierre-Yves Maunier

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Frédéric GANDER
il n'y a pas de contenu ipv6 
c'est la faute à la pub
coupons la pub

A+

- Mail original -
 De: Jimmy Thrasibule thrasibule.ji...@gmail.com
 À: frnog@FRnOG.org frnog@frnog.org
 Envoyé: Mardi 15 Janvier 2013 15:32:01
 Objet: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Et voilà,
 
 Face à la pénurie des adresses IPv4, plutôt que de déployer de
 l'IPv6,
 les opérateurs semblent décidés à mettre en place un gros NAT pour
 tout
 le monde.
 
 L'opération est actuellement en test chez plusnet au Royaume-Uni :
 
 http://community.plus.net/forum/index.php/topic,110652.0.html
 
 
 Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau
 des opérateurs ? Le manque de services accessibles ?
 
 --
 Jimmy
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Simon Perreault

Le 2013-01-15 16:20, Frédéric GANDER a écrit :

il n'y a pas de contenu ipv6


Google?
Facebook?
YouTube?
etc. etc. etc.

C'est pas du contenu ça?

En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton 
trafic sur IPv6 du jour au lendemain.


Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Pascal Rullier
Le 15 janvier 2013 16:20, Frédéric GANDER fgan...@corp.free.fr a écrit :
 il n'y a pas de contenu ipv6
 c'est la faute à la pub
 coupons la pub

ah voila la justification...

couper la pub pour développer les contenus ipv6...
même la pub n'est pas en ipv6


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Emmanuel Thierry

Le 15 janv. 2013 à 16:23, Simon Perreault a écrit :

 Le 2013-01-15 16:20, Frédéric GANDER a écrit :
 il n'y a pas de contenu ipv6
 
 Google?
 Facebook?
 YouTube?
 etc. etc. etc.
 
 C'est pas du contenu ça?
 
 En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton trafic 
 sur IPv6 du jour au lendemain.

Malheureusement:

impots.gouv.fr
service-public.fr
et surtout: www.redressement-productif.gouv.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Guillaume Leclanche
Le 15 janvier 2013 16:23, Simon Perreault simon.perrea...@viagenie.ca a
écrit :

 Google?
 Facebook?
 YouTube?
 etc. etc. etc.

 C'est pas du contenu ça?

 En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton
 trafic sur IPv6 du jour au lendemain.


Là tu prêches un convaincu je crois :)

Cela dit, pour un ISP, activer IPv6 c'est comme faire décoller un avion:
y'a toute une série de petites loupiotes qui doivent passer au vert avant
d'y aller. Et leur nombre dépend de la taille de l'ISP et du matos utilisé.
Une fois que tout est au vert, ce sont presque tous les clients de l'ISP
qui peuvent être activés, ou en tous cas par phases successives.

Le NAT pour IPv4 reste obligatoire pour fournir accès à l'internet IPv4 de
toute façon, en cas de manque d'adresses dans les réserves d'IP publiques
de l'ISP.
Et ne pas croyez que ça fasse plaisir aux ISPs de déployer du CGNAT plutôt
que de se contenter d'IPv6...

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Simon Perreault

Le 2013-01-15 16:37, Guillaume Leclanche a écrit :

En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de
ton trafic sur IPv6 du jour au lendemain.

Là tu prêches un convaincu je crois :)


Ouais, j'étais d'ailleurs très surpris de voir un @corp.free.fr dire 
qu'il n'y a pas de contenu IPv6!



Cela dit, pour un ISP, activer IPv6 c'est comme faire décoller un avion:
y'a toute une série de petites loupiotes qui doivent passer au vert
avant d'y aller. Et leur nombre dépend de la taille de l'ISP et du matos
utilisé. Une fois que tout est au vert, ce sont presque tous les clients
de l'ISP qui peuvent être activés, ou en tous cas par phases successives.


Exact.

Mais l'argument il n'y a pas de contenu IPv6 ne tient plus la route 
depuis quelques temps déjà.



Le NAT pour IPv4 reste obligatoire pour fournir accès à l'internet IPv4
de toute façon, en cas de manque d'adresses dans les réserves d'IP
publiques de l'ISP.
Et ne pas croyez que ça fasse plaisir aux ISPs de déployer du CGNAT
plutôt que de se contenter d'IPv6...


Au moins, en déployant IPv6, ça peut te permettre d'acheter un plus 
petit CGN...


Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Laurent
Le 15/01/2013 16:26, Pascal Rullier a écrit :
 même la pub n'est pas en ipv6

Raison de plus pour y passer... ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Manuel Martinez
-Message d'origine-
De : p...@maunier.fr [mailto:p...@maunier.fr] De la part de Pierre-Yves Maunier

Par contre si tu n'as pas assez d'IPv4 pour tes abonnés et que tu ne leur 
donnes que de l'IPv6 et pas d'IPv4, il ne pourront pas accéder à +90% de 
l'internet.
Un CGN ça permet justement d'éviter ça.

Certains diront, suffit de mettre du NAT64/DNS64 mais ça ne suffit pas, par 
exemple skype ne marchera pas dans ce genre de configuration.
DS-Lite ou 6rd sont compatibles avec (quasiment) tout protocole, et avec skype 
notamment.

Il va falloir donner encore des IPv4 aux abonnés pendant un certain temps en 
dual stack (avec des IPv4 CGNisées) avec des IPv6 pour faire face à la pénurie.
DS-Lite permet de ne plus allouer d'IPv4 publiques directement à chaque 
utilisateur, mais une IPv6 uniquement.

Pierre-Yves Maunier
---

My two cents :-)

Manuel MARTINEZ
pub Vendeur de CGNs /pub


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Frédéric GANDER
ba j'aitester.com (40% du parc avec ipv6 activé) et ba non ca grimpe pas des 
masses ;)

et le motif de certain sites web pour ne pas mettre plus de contenu v6 : 
oui mais les outils de géomarketing et de ciblage ne marche pas en v6


- Mail original -
 De: Simon Perreault simon.perrea...@viagenie.ca
 À: frnog@frnog.org
 Envoyé: Mardi 15 Janvier 2013 16:23:37
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Le 2013-01-15 16:20, Frédéric GANDER a écrit :
  il n'y a pas de contenu ipv6
 
 Google?
 Facebook?
 YouTube?
 etc. etc. etc.
 
 C'est pas du contenu ça?
 
 En mettant IPv6 à on, tu peux très bien te retrouver avec 50% de ton
 trafic sur IPv6 du jour au lendemain.
 
 Simon
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Frédéric GANDER


- Mail original -
 De: Simon Perreault simon.perrea...@viagenie.ca
 À: Guillaume Leclanche guilla...@leclanche.net
 Cc: Liste FRnoG frnog@frnog.org
 Envoyé: Mardi 15 Janvier 2013 16:41:35
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Le 2013-01-15 16:37, Guillaume Leclanche a écrit :
  En mettant IPv6 à on, tu peux très bien te retrouver avec 50%
  de
  ton trafic sur IPv6 du jour au lendemain.
 
  Là tu prêches un convaincu je crois :)
 
 Ouais, j'étais d'ailleurs très surpris de voir un @corp.free.fr dire
 qu'il n'y a pas de contenu IPv6!
 


quand tu as  plus de 2 millions de mec qui ont du v6 potentiellement à la 
maison et que tu fais 20gbit/s de v6
j'appel pas ca un succès foudroyant au niveau du contenu

donc comme depuis 2007 le v6 ne décolle pas et que l'utilisateur / les site web 
/ le cloud fait tout dans une connexion tcp port 80 ou 443 en v4, il va bien 
falloir dans un virage se résigner à faire du nat.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Simon Perreault

Le 2013-01-15 17:08, Frédéric GANDER a écrit :

ba j'aitester.com (40% du parc avec ipv6 activé) et ba non ca grimpe pas des 
masses ;)

et le motif de certain sites web pour ne pas mettre plus de contenu v6 :
oui mais les outils de géomarketing et de ciblage ne marche pas en v6


Mon point ce n'est pas qu'il y a beaucoup de sites en v6.
Mon point c'est que les sites importants sont en v6.

Juste en considérant Google+Facebook+YouTube, ça peut faire une grande 
proportion du trafic d'un ISP.


Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Simon Perreault

Le 2013-01-15 17:14, Frédéric GANDER a écrit :

quand tu as  plus de 2 millions de mec qui ont du v6 potentiellement à la 
maison et que tu fais 20gbit/s de v6
j'appel pas ca un succès foudroyant au niveau du contenu


Le potentiellement est suspect.

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Frédéric GANDER
il faut donc faire un adblock de pub en ipv4 only ça forcera le contenu à 
passer en ipv6 ? ;)

bon j'arrête ;)

- Mail original -
 De: Laurent lpo...@free.fr
 À: frnog@frnog.org
 Envoyé: Mardi 15 Janvier 2013 16:44:24
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Le 15/01/2013 16:26, Pascal Rullier a écrit :
  même la pub n'est pas en ipv6
 
 Raison de plus pour y passer... ;)
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Wallace
Petit exemple de cas bloquant le passage de clients en v6.

Sur une archi on a des reverses proxy en v4/v6 derrière en toute logique
à quoi bon gaspiller des v4, donc les n serveurs web / mysql sont en v6
only et une route pour aller chercher le NAT64 pour les requêtes sur des
serveurs v4 only.

Tout marche très bien, mais on a rencontré des soucis sur des choses
assez communes sur les sites web comme par exemple Wordpress. Le plugins
antispam Akismet cherche des ip v4 alors que le serveur devrait résoudre
une ip nat64 dans ces cas là. Et cela ne se fait pas car Akismet utilise
une ancienne fonction de résolution dns qui ne gère pas les réponses ipv6.
On a prévenu l'équipe du plugin qui nous ont dit qu'ils sont au courant
mais n'envisage pas de changer car c'est soit disant trop sensible, ...
donc on a forké le plugin pour nos clients en changeant la résolution.
Depuis cela fonctionne et les sites ne se font pas spammé de plusieurs
centaines de message par jour.

Bref voilà un exemple parmi tant d'autres qui montre le temps perdu.
Je parle même pas des progiciels où je les refuse à présent si on doit
désactiver l'ipv6 pour que ça marche vu qu'on sauvegarde et on supervise
les composants matériels en ipv6 only (vive les règles de nat en moins).






signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-15 Par sujet Guillaume Barrot
Le 15 janvier 2013 15:32, Jimmy Thrasibule thrasibule.ji...@gmail.com a
écrit :

 Qu'est-ce qui empêche concrètement le déploiement de l'IPv6 au niveau
 des opérateurs ? Le manque de services accessibles ?


Comme dit précédemment, il ne faut pas confondre
- mise en place d'IPv6
- gestion de la pénurie d'IPv4

Pour accéder à du contenu en IPv4, les opérateurs doivent fournir une
connectivité v4 aux clients :
- cas onirique : un bloc v4 par abonné, ce qui lui permet d'avoir une v4
publique / device connecté (ie, la même chose qu'en v6)
- soit une IP publique / personne, et Nat locale sur la box == cas général
des années 2000
- soit un scope privé + CGN, ou une IP privée, nat local sur la box + CGN
(donc plusieurs abonnés partage la même IP publique dans les deux cas)

Maintenant, le CGN est-ce mal ?
Ok, beaucoup de services à la con ne marcheront pas (Skype, des jeux
online).
Ok, plein de contraintes légales géniales, du genre logguer les plateforme
de CGN pour les réquisitions judiciaires (et hop du cout caché)
Ok, cela rajoute un équipement au mieux niveau 4, au pire niveau 7 si on a
des ALG pour certains protocoles, donc un point de rupture capacitaire, un
spof, et probablement de la latence.
Ok, définitivement, plus personne ne pourra héberger de contenu chez lui,
car on ne peut que très difficilement partager un port 80 entre plusieurs
abonnés.

Et ben tout ça c'est GENIAL.
En effet, quel meilleur moyen de pousser IPv6 que de rendre IPv4 tout
pourri ?

Les jeux marchent pas en CGN ? == les plateformes de jeux évolueront du
coup beaucoup plus vite en v6
Skype marche pas en CGN ? On parie qu'on aura une release IPv6 ready en
quelques mois ?
Les grosses plateformes de contenues (youtube, facebook, etc) sont déjà v6
ready, donc pour eux pas de soucis.

Bref, les premiers à en pâtir seront les plateformes de contenus qui
n'auront pas évoluées, et on peut là aussi parier que si on se prend des
pannes en cascade, 50 ms de latence, ou des rupture capacitaires chez les
opérateurs, eh ben beaucoup de contenus évolueront en v6, y compris la pub.

Enfin, vu le bordel à mettre en place une plateforme de CGN (cout de la
plateforme, dimensionnement, positionnement, dimensionnement des scopes
etc), et les couts cachés (monstre infernal à mettre en place juste pour
gérer les logs, et pouvoir répondre à la Gendarmerie en cas de requisition
judiciaire c'est telle personne qui a fait ça et non, ça fait partie de
la liste des 200 personnes là), on peut aussi parier que comme par hasard,
il coutera à peine plus cher de déployer CGN pour v4 et IPv6 en parallèle,
donc beaucoup de FAI franchiront le cap à ce moment là.

Dans certains cas, IPv6 est même un prérequis à la mise en place d'une
plateforme de CGN pour IPv4 (DS-lite).
Que du bonheur quoi !

G.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


  1   2   >