[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> Denis, si tu veux te débarrasser de NAT il faut que tu proposes un > système qui apporte ses avantages sans en avoir ses inconvénients. La > sécurité même si elle n'est que basique, et surtout le fait que NAT c'est le > PI du pauvre. A part le marché résidentiel, dès que tu commences à taper > dans la TPE ou la PME, renuméroter c'est un emmerdement de taille; NAT > ça te laisse garder ton réseau interne si tu veux changer de FAI au lieu > d'en être l'otage si tu utilises ses adresses. Et aussi ça te donne la > possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance. > Quand tu es trop petit pour avoir un AS et des PI, c'est bien pratique. > Voila. Une solution acceptée de tous, c'est quelque chose qui peut être mis en place rapidement, n'enlève pas des avantages des ancienne solutions, et peut être comprise rapidement Au lieu de dire "on va faire disparaitre NAT", dire "on va améliorer NAT avec IPV6" aurait sans doute été mieux je pense. Apres, c'est mon avis de non expert. Je suis qu'un développeur apres tout 😊 Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Le 02/02/21 à 07:54, Adrien Rivas a écrit : > Je suis pas certain, déjà ils prennent leur rôle au sérieux et le > remplissent correctement. > > Après, pour le délire sécuritaire, ils fournissent un idéal à atteindre, et > à toi de t'en approcher selon tes besoins / contraintes de temps, de > compétences, de budget, d'équipe. Et surtout du compromis confort / sécurité que tu es prêt à faire, en connaissance de cause c'est mieux. D'où l'intérêt de rapports ANSSI en mode parano pour se faire une liste perso de toutes les recommandations qu'on ne suit pas et voir si ça reste pertinent. -- Daniel Lorsque j'ai été kidnappé, ma mère a réagi tout de suite: elle a sous-loué ma chambre. Woody Allen --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> NAT ça se contourne, mais au moins ça a l'avantage de forcer un pare-feu > "diode" : tout qui sort, rien qui rentre. D'un autre coté, le 'tout qui sort' est /aussi/ un vrai problème. Et serait peut-être même la première chose à surveiller... Chaque dispositif devrait être un tout en terme de sécu. Chaque intranet devrait mater tout ce qui sort. Belles évidences théoriques certes... -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
J'ai mis des étoiles autour de 'certaine' Et j'ai bien précisé en dessous qu'en réalité ça n'en apporte pas tant que ça, avec un exemple. Cependant, entre un réseau ou tout est naté, avec des machines mal sécurisées derrière, et un réseau ou rien n'est naté, avec des machines mal sécurisées, ben je préfère l'option 1. Alors tu vas dire "on a qu'a sécuriser les machines" ! Oui sauf que... - on parle de logiciel, fait par des humains, avec des erreurs - on parle de logiciel et de matériel à tenir à jour, donc avec des couts, que la plupart des entreprises ne veulent pas dépenser - on parle d'acteurs qui profitent de cela en te vendant des mises à jour, des patchs sécu, des outils de monitoring... etc. et qui n'ont AUCUN avantage à ce que ça soit sécurisé. Alors crier sur le NAT tout le temps, je conçois, mais ça n'est pas quelque chose qui va faire avancer le schmilblick. Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Denis Fondras > Envoyé : lundi 1 février 2021 20:21 > À : frnog@frnog.org > Objet : Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous > racontent > > > Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... > > c'est quand même un avantage > > Non, il faut absolument cesser de faire croire ca ! > Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne > pas faire le minimum de sécurité (pas de correctifs de vulnerabilité, > identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et > ca couine... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On Tue, Feb 2, 2021, at 07:54, Adrien Rivas wrote:
> Je suis pas certain, déjà ils prennent leur rôle au sérieux et le
> remplissent correctement.
On peut le voir comme ca quand on fait de la securite pour faire de la securite
et rien d'autre. La securite etant devenue aussi une religion ("tu fais ca et
tout va bien se passer" - errr...).
Pas mon metier, pas ma religion.
Dans mon travail je dois faire pour que la data peut se transmettre d'un point
A a un point B. La securite a pour bout d'empecher ca, base sur des criteres
parfois discutables.
> Après, pour le délire sécuritaire, ils fournissent un idéal à
> atteindre, et à toi de t'en approcher selon tes besoins / contraintes
> de temps, de compétences, de budget, d'équipe.
Encore une fois, pour moi leur delire n'est pas un ideal, mais plutot un
cauchemar qu'on risque de trouver de temps en temps/chez certains.
> Un de leurs derniers guides sur la passerelle internet sécurisée est
> intéressant par exemple, même si tous les clients n'ont pas les moyens
> d'avoir un Stormshield en périphérie et un palo en seconde ligne, et
> que souvent, avoir un UTM type Sophos, c'est déjà bien.
Mais bien-sur. Confirmation a ce que j'ecrivais plus haut.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Je suis pas certain, déjà ils prennent leur rôle au sérieux et le remplissent correctement. Après, pour le délire sécuritaire, ils fournissent un idéal à atteindre, et à toi de t'en approcher selon tes besoins / contraintes de temps, de compétences, de budget, d'équipe. Un de leurs derniers guides sur la passerelle internet sécurisée est intéressant par exemple, même si tous les clients n'ont pas les moyens d'avoir un Stormshield en périphérie et un palo en seconde ligne, et que souvent, avoir un UTM type Sophos, c'est déjà bien. Le mar. 2 févr. 2021 à 07:42, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Mon, Feb 1, 2021, at 09:51, Oliver varenne wrote: > > Pourquoi ? > > Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi. > > Oui, ils le sont. > C'est juste qu'en tant qu'Agence de "securite" (nationale en plus), il > leur arrive d'aller trop loin (au moins a mon gout) dans certains de leurs > delires securitaires. Au moins dans les discussions informelles. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On Mon, Feb 1, 2021, at 12:53, JCLB wrote: > DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones > récents chez les opérateurs en dehors de Free. Free compris. Normalement SFR aussi, mais je ne sais pas comment ca se passe la-bas. Chez Free et chez Orange c'est la variete 464XLAT, et je ne vois pas de raison pour avoir autre chose chez les autres (B et S). Les MVNO on les laisse de cote, ils n'ont pas les memes obligations, et ca depend fortement de ce qu'ils ont signe avec leurs HNO. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On Mon, Feb 1, 2021, at 09:51, Oliver varenne wrote: > Pourquoi ? > Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi. Oui, ils le sont. C'est juste qu'en tant qu'Agence de "securite" (nationale en plus), il leur arrive d'aller trop loin (au moins a mon gout) dans certains de leurs delires securitaires. Au moins dans les discussions informelles. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
>> Denis Fondras a écrit : >> Non, il faut absolument cesser de faire croire ca ! Combien >> d'"""administrateurs systeme""" se >> reposent là-dessus pour ne pas faire le minimum de sécurité (pas de >> correctifs de vulnerabilité, >> identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et >> ca couine... > David Ponzone a écrit : > Hé ho, il avait utilisé le joker guillemets. NAT ça se contourne, mais au moins ça a l'avantage de forcer un pare-feu "diode" : tout qui sort, rien qui rentre. Sans NAT avec la grande majorité des bouses "IOT" ça serait un carnage. Déjà qu'avec NAT c'est pas glop, heureusement que c'est pas à poil sur l'Internet. NAT ou pas, slipstream ça expose aussi les machins qui sont derrière un pare-feu simple exactement de la même façon, pour la même raison : de la même façon que NAT stateful crée une association IP source / Port source / IP destination / Port destination, un pare-feu stateful fait la même chose sauf que l'adresse et le port ne changent pas. S'il y a un ver à l'intérieur qui peut envoyer des paquets avec une IP qui est celle d'un poste qui n'est pas la sienne, dans bien des cas, un pare-feu ce n'est pas mieux que NAT. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Hé ho, il avait utilisé le joker guillemets. > Le 1 févr. 2021 à 20:21, Denis Fondras a écrit : > >> Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est >> quand même un avantage > > Non, il faut absolument cesser de faire croire ca ! > Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne pas > faire > le minimum de sécurité (pas de correctifs de vulnerabilité, identifiants par > defaut, etc) ? Et un jour, NAT slipstream passe par là et ca couine... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est > quand même un avantage Non, il faut absolument cesser de faire croire ca ! Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne pas faire le minimum de sécurité (pas de correctifs de vulnerabilité, identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et ca couine... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
D'ailleurs ceci expliquant cela (le cout des mécanisme de NAT44 est pas nécessairement élevé / user mais il est pas nul, donc tout ce que tu peux passer en IPv6 te fais économiser un pouillème pour chaque subscribers) et des gros opérateurs mobile y ont trouvé un intérêt au. Typiquement, Jio, 300Millions de subscribers en Inde, full IPv6 natif (y compris la VoLTE et ca honnêtement j'aurai pas voulu être le premier à tester...) https://conference.apnic.net/50/assets/files/APCS790/Harnessing-the-power-of-IPv6.pdf Le lun. 1 févr. 2021 à 12:55, JCLB a écrit : > DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones récents > chez les opérateurs en dehors de Free. > Les utilisateurs subissent donc un NAT PAT stateful. > > Il faut toutefois relativiser, auparavant 100% de la data mobile subissait > du NAT PAT 44. > Aujourd'hui le trafic IPv6 natif sort en direct, et on peut supposer que > 20 à 30% du trafic échappe donc à NAT64. > > Sur le fixe les mécanismes sont stateless avec des approches Adress+Port > (4rd, MAP T/E,...) > > Au besoin la précédence des OS se configure si on a besoin de conserver la > priorité IPv4 et d'outrepasser la RFC 6724. > Voir ici pour Windows http://support.microsoft.com/kb/929852 > Et pour Linux GetAddressInfo /etc/gai.conf > > Attention, certaines applications comme les navigateurs implémentent leur > propre priorisation de v6 sur v4, indépendante de la configuration du stack > de l’OS. De plus l’implémentation du mécanisme Happy eyeballs 2 (RFC 8305) > peut également varier. (Délai entre les requête DNS A et , temps > d’attente du retour, délai de timeout du socket distant avec bascule…) > > Jean-Charles BISECCO > > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Daniel Caillibaud > Envoyé : lundi 1 février 2021 12:33 > À : frnog@frnog.org > Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent > > Le 29/01/21 à 22h29, Laurent Barme <5...@barme.fr> a écrit : > > Ce n'est par le client qui est en cause. > > Je parlais du client réseau, au sens client / serveur… > > > Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire, > > demain j'anticipe que ce sera, parfois d'abord et toujours ensuite, la > > seule disponible par défaut... et là, il faudra bien y passer. > > Je pense que ce sera peut-être après-demain, et je serai sûrement à la > retraite avant ;-) > > Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui > devront passer par une translation v6-v4 qui va devenir plus pénalisante > qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront > décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur > accès, mais même ça je pense que c'est pas pour tout de suite, on a le > temps de changer de génération d'infra plusieurs fois avant. > > -- > Daniel > > Si le temps vous semble long, prenez-le dans le sens de la largeur. > Grégoire Lacroix > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On en revient à: Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est quand même un avantage Enfin, jusqu’à ce qu'un vilain pirate s'introduise dans le réseau du client... (arrivé deux fois en un mois, acces PPTP laissé ouvert par un prestataire, sans raison... bien sûr, une fois sur le LAN, tous les mots de passes des périphériques SIP sont "admin/admin") Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > David Ponzone > Envoyé : lundi 1 février 2021 15:30 > À : Radu-Adrian Feurdean > Cc : frnog@frnog.org > Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent > > Tu prêches un convaincu. > > J’aurais dû parler de la manière dont la sécurité d’IPv6 était perçue. > Ici même, j’ai plusieurs fois lu qu’un préfixe IPv6 était trop grand pour > être scanné. > Moi j’y crois pas trop. > Ça fait pourtant plusieurs siècles qu’il explose les limites qu’il se met à > lui-même. > Soit par la force, soit par l’intelligence. > > > > > Le 31 janv. 2021 à 07:36, Radu-Adrian Feurdean adrian.feurdean.net> a écrit : > > > > E, NON. > > La securite de l'IPv6, comme celle de l'IPv4 repose sur le fait qu'il n'y a > pas de de failles/trous/vulnerabilites . ce qui n'est pas exactement la > situation dans la realite. > > D'ailleurs la taille de l'espace d'adressage ne protege pas > completement, ca fait juste augmenter (tres sensiblement) le niveau de > motivation pour un attaque "au hasard". Si en IPv4 tout "skr1pt k1dd13" > pouvait se permettre de scanner l'internet, en v6 faut bien cibler (c'est > meme essentiel) et avoir de la patience pour scanner un /64. > > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones récents chez les opérateurs en dehors de Free. Les utilisateurs subissent donc un NAT PAT stateful. Il faut toutefois relativiser, auparavant 100% de la data mobile subissait du NAT PAT 44. Aujourd'hui le trafic IPv6 natif sort en direct, et on peut supposer que 20 à 30% du trafic échappe donc à NAT64. Sur le fixe les mécanismes sont stateless avec des approches Adress+Port (4rd, MAP T/E,...) Au besoin la précédence des OS se configure si on a besoin de conserver la priorité IPv4 et d'outrepasser la RFC 6724. Voir ici pour Windows http://support.microsoft.com/kb/929852 Et pour Linux GetAddressInfo /etc/gai.conf Attention, certaines applications comme les navigateurs implémentent leur propre priorisation de v6 sur v4, indépendante de la configuration du stack de l’OS. De plus l’implémentation du mécanisme Happy eyeballs 2 (RFC 8305) peut également varier. (Délai entre les requête DNS A et , temps d’attente du retour, délai de timeout du socket distant avec bascule…) Jean-Charles BISECCO -Message d'origine- De : frnog-requ...@frnog.org De la part de Daniel Caillibaud Envoyé : lundi 1 février 2021 12:33 À : frnog@frnog.org Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent Le 29/01/21 à 22h29, Laurent Barme <5...@barme.fr> a écrit : > Ce n'est par le client qui est en cause. Je parlais du client réseau, au sens client / serveur… > Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire, > demain j'anticipe que ce sera, parfois d'abord et toujours ensuite, la > seule disponible par défaut... et là, il faudra bien y passer. Je pense que ce sera peut-être après-demain, et je serai sûrement à la retraite avant ;-) Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui devront passer par une translation v6-v4 qui va devenir plus pénalisante qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur accès, mais même ça je pense que c'est pas pour tout de suite, on a le temps de changer de génération d'infra plusieurs fois avant. -- Daniel Si le temps vous semble long, prenez-le dans le sens de la largeur. Grégoire Lacroix --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Pourquoi ? Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi. Seul bémol: c'est long. Mais bon... l'administration à la française quoi ! Mais y'a pire: faire un dossier de bien à double usage avec le SDBU Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Radu-Adrian Feurdean > Envoyé : dimanche 31 janvier 2021 07:12 > À : frnog@frnog.org > Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent > > On Fri, Jan 29, 2021, at 17:10, Cyrille JERABEK wrote: > > > Une question un peu générale, excusez-moi si elle est trop basique > > et/ou vaste et/ou mal posée : > > comment on fait pour scanner les adresses exposées indûment en IPV6 > et > > les ports ouverts illicitement ? > > Faut demander a l'ANSSI. Par contre prepare le pop-corn pour les > reponses. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Bien sûr, je cite celui qui est probablement le plus répandu. Mais le stateful n'en est pas pour autant nécessaire. Ce qui obligatoire c'est soit d'avoir un mécanisme de traversée de NAT comme il en existe sur les applications grands public. Ou en entreprise d'utiliser des Application Layer Gateway (ALG) qui truandent le payload à la volée à la condition qu'il ne soit pas chiffré. Le stateful ou stateless ne joue que sur la consommation d'adresse VS le besoin de maintenir une table de session. Quand 2 sociétés A et B exploitent le même plan d'adressage interne et que A doit accéder à des serveurs de B il est facile de faire du stateful comme ça on ne se pose plus de question. On peut aussi "publier" les serveurs de B avec des IP du plan de A, du masquerading statique. Dans les 2 cas si le trafic est du SIP il faudra une ALG. On a l'habitude du stateful en raison de l'accès à internet où on est limité en nombre d'IPv4 publiques. L'ALG reste indépendante de ce choix. Jean-Charles BISECCO -Message d'origine- De : frnog-requ...@frnog.org De la part de Erwan David Envoyé : vendredi 29 janvier 2021 20:10 À : frnog@frnog.org Objet : Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent Le 29/01/2021 à 18:22, JCLB a écrit : > Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en > interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment > de problème. Y'a pas que SIP comme protocole qui met des adresses dans la payload : rsh, ftp, h323 par exemple... Et tous ces protocoles demanderont que la traduction soit stateful --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Le 29/01/2021 à 18:22, JCLB a écrit : > Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en > interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment > de problème. Y'a pas que SIP comme protocole qui met des adresses dans la payload : rsh, ftp, h323 par exemple... Et tous ces protocoles demanderont que la traduction soit stateful --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
La Translation de préfixe ne change que les 1ers bits de l'adresse. Le port ne change pas et c'est stateless, quand même autre chose que le NAT44 IPv4 1er cas d'usage Imaginons une PME, elle se donne un adressage privé IPv6 (équivalent RFC 1918 IPv4 car elle est trop petite pour demander ses IP au RIPE et faire du BGP, de plus elle ne veut pas dépendre du /48 que lui fourni son FAI et tout distribuer à coup de DHCPv6-Prefix Delegation car elle veut avoir des assets en fixe. Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment de problème. 2e cas d'usage La multinationale "Bob&Bob a family company" déploie une solution campus permettant la sortie vers internet local pour des applications SaaS comme Office 365 sans repasser par le datacenter. La société annonce en BGP un /32 IPv6 depuis ses datacenter. Ses campus disposent tous d'un accès MPLS vers les DC et d'un accès internet local pro. L'accès internet de chaque campus dispose d'un /48 qui appartient à l'opérateur. Si un client du campus joint un site web "non sûr" il traverse le MPLS puis le proxy datacenter et sort via une IP appartenant à Bob&Bob. Si le client se connecte à MS Teams ou autre SaaS, son IP publique interne se fait NAT PT vers celle de l'opérateur local du site. Il sort donc avec une autre IP publique mais qui est directement routée depuis le site. Jean-Charles BISECCO -Message d'origine- De : frnog-requ...@frnog.org De la part de Stéphane Rivière Envoyé : vendredi 29 janvier 2021 18:13 À : frnog@frnog.org Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent >> Mais cette magie existe déjà (rfc6296) et le pire c'est que c'est > probablement le genre de bazar qui risque d'être utilisé justement > dans la catégorie que tu cible :) Parcouru https://tools.ietf.org/html/rfc6296 D'ailleurs ils appellent ça NPTv6 histoire de pas le nommer NATv6 :) Selon https://tools.ietf.org/html/rfc6296#section-5 on dirait même que c'est à ne pas utiliser sans pince-nez pour l'odeur. Ça semble aller à l'envers de l'esprit ipv6 mais je suis un basique en réseau donc je dois pas comprendre l'intérêt d'un tel bidule. Déjà qu'on a réussi à éviter le NAT sur notre infra ipv4 multi-DC, pas question que d'en avoir en ipv6. -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
