[FRnOG] Re: IPV6 day

[Stephane Bortzmeyer]

On Wed, Jun 15, 2011 at 10:40:13AM +0200,
 Jérôme Nicolle  wrote 
 a message of 38 lines which said:

> PMTUD ne pose de problème que si l'ICMP est bidouillé en cours de
> route, non ?

Oui, c'est-à-dire que 5 % des réseaux sérieux (ce qui est suffisant
pour créer pas mal d'ennuis) et sur 50 % des autres, ceux où
l'administrateur est certifié et où il y a un processus Qualité.

Et je parle d'expérience, le déploiement de DNSSEC dans .FR ayant
révélé pas mal de problèmes. Voir mon exposé à l'OARC


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: IPV6 day

[Jérôme Nicolle]

Le 12 juin 2011 18:50, Stephane Bortzmeyer  a écrit :

> Je suggère un critère simple : si la MTU est de 1500 octets, c'est
> natif, sinon, c'est tunnelé.

Pas d'accord : je dirais que le critère est plutôt d'avoir le même
nombre de HOPs (si tous les intermédiaires sont dualstack et que les
routes sont similaires), peu importe le MTU, vu la diversité des
transports possibles et que des pans entiers d'Internet sont salopées
par du MPLS.

Dans le cas de Free, comme on traverse toute la collecte nationale
pour ressortir en v6 à Paris, il y a bien 3 ou 4 hops qui
disparaissent de la route à chaque fois. Mais il y a un contre exemple
: sur _certains_ réseaux, on a le même nombre d'encapsulations (oui
oui, au pluriel*) que ce soit en v4 ou v6. Tout le jeu est d'en
shunter quelques unes quand on peut :D

* IP > PPP > ATM dans le meilleur des cas, IP > GRE > IP > PPP >
Ethernet > ATM > MPLS > Ethernet dans le pire que j'ai vu

> D'accord, ce n'est pas d'une grande
> rigueur technique (on peut trouver des tas de contre-exemples), mais,
> du point de vue pratique, c'est ce qui compte vue l'ampleur des
> problèmes créés par le PMTUD. Donc, oui, Free fournit du trafic
> tunnelé.

PMTUD ne pose de problème que si l'ICMP est bidouillé en cours de route, non ?

-- 
Jérôme Nicolle
06 19 31 27 14
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: IPV6 day

[Stephane Bortzmeyer]

On Sun, Jun 12, 2011 at 06:01:46PM +0200,
 Frédéric GANDER  wrote 
 a message of 33 lines which said:

> ralala on y est, l'éternelle rengaine du "mon ipv6 est plus natif
> que le tiens" ce qui me fait rire c'est que ca vient souvent
> d'operateur qui font de l'ipv6 sur du ppp sur du l2tp sur de l'ipv4
> sur du mpls au jeu de l'encapsulation, le 6rd dans un réseau ipv4
> n'est pas trop mauvais ;)

Je suggère un critère simple : si la MTU est de 1500 octets, c'est
natif, sinon, c'est tunnelé. D'accord, ce n'est pas d'une grande
rigueur technique (on peut trouver des tas de contre-exemples), mais,
du point de vue pratique, c'est ce qui compte vue l'ampleur des
problèmes créés par le PMTUD. Donc, oui, Free fournit du trafic
tunnelé.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: IPV6 day

[Stephane Bortzmeyer]

On Sun, Jun 12, 2011 at 05:01:24PM +0200,
 Patrick Maigron  wrote 
 a message of 36 lines which said:

> Normalement les routeurs ne fragmentent plus en v6, seul l'émetteur
> le fait. Le destinataire doit quand même ré-assembler les fragments
> de l'émetteur il me semble ?

Exact. Et donc, ce que « on » a dit à SDL est bête.

> Ceci étant, il semblerait que les OS soient moins vulnérables à ce
> type d'attaques maintenant ?

J'espère... 

http://tools.ietf.org/html/draft-ietf-opsec-ip-security-01#section-4.1

(Actuellement en AUTH48 donc RFC dans une ou deux semaines.)
---
Liste de diffusion du FRnOG
http://www.frnog.org/