Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 4 juil. 2011 à 16:38, Rémy Sanchez a écrit : On Monday 04 July 2011 11:35:50 Alain RICHARD wrote: Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Cf le mail de Yves-Alexis Perez qui renvoie à la RFC kivabien http://www.mail-archive.com/frnog@frnog.org/msg15322.html -- Rémy Sanchez Oui, mais je suppose que ça dépend également de la capacité ou volonté du fabriquant de l'ampoule de lire les RFCs jusqu'au bout. De toute façon, même si la RFC est respectée, je subodore que l'OS restreint de mon ampoule soit dur à paramétrer pour lui permettre de renvoyer sa consommation instantanée à la centrale électrique via le bon accès internet. Si il faut prendre en comptes tous les périphériques IP, chacun de leurs OS et spécificités éventuels, cela va être comique ! Il me semble que reporter toute l'intelligence du policy routing en ipv6 sur chaque noeud ne soit pas la meilleure solution pour rendre un réseau gérable... Le NPT, permet justement de reporter la policy-routing sur les éléments de routages, qui sont incidemment justement fait pour faire du routage et le cas échéant du policy-routing, et permettra donc enfin de déployer IPv6 en utilisant des adresses ULA en interne sans trop de soucis. Avoir appeler cette fonction NPT, en la dissociant d'une éventuelle fonction de sécurisation, est également une très bonne idée car ces deux fonctions sont complètement dissociable en ipv6 (on peut faire du NPT sans aucun filtrage par exemple). Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 20:57:58 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: MPPP est une option (nous l'offrons), mais il faut faire attention car si les paires de cuivre ne prennent pas les même ducts, la différence cause des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop de cout du cote debugging ... Et a ce moment-la on se pose la question : pourquoi une aggregation sauvage des liens chez different opperateurs marchera mieux ? Ou alors il y a quelqu'un qui oublie de dire a ces braves gens qu'en effet ca ne marche pas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Et a ce moment-la on se pose la question : pourquoi une aggregation sauvage des liens chez different opperateurs marchera mieux ? Ou alors il y a quelqu'un qui oublie de dire a ces braves gens qu'en effet ca ne marche pas MPPP (lier les lignes pour une faire une seule virtuelle) != Load balancing (une connexion par ici, une connexion par la). L'avantage de MPPP est d'améliorer l'upload, le LB de permettre de passer bcp de connexions (marche tres bien pour le web avec bcp de gens) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 02/07/2011 21:37, Jérôme Nicolle a écrit : Le 2 juillet 2011 21:16, Rémy Sanchezremy.sanc...@hyperthese.net a écrit : Sauf que, à ma connaissance on a : * De la fibre pro à 1500€+ Non, 100€ l'offre de base, avec 2k€ de FAS étalés et négociables (à l'époque) Je signe où ? Parceque moi en bout de ligne (à Toulouse) je suis plutot à 1,6KE + 2.5KE de FAS pour 10M en fibre ce qui est totalement hors budget. Je pense que jusqu'a 0.5kE je pourrais arriver à faire passer mais pas plus. Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 2 juil. 2011 à 23:03, Guillaume Leclanche a écrit : Avoir naturellement plusieurs adresses sur la même iface est une différence essentielle entre IPv6 et IPv4 et je suis d'accord avec cette approche du multihoming pour internet. Les deux préfixes sont valables et routés proprement, donc peu importe lequel on utilise. D'ailleurs, il n'y aurait éventuellement même pas besoin de 2 vlans (faut juste éviter que chaque routeur écoute les RAs de l'autre :) En outre, pour la communication LAN-LAN locale, il est recommandé d'utiliser des ULAs. Guillaume Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? A+ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juil. 2011 à 10:01, Yoann Gini a écrit : Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de monde… et oui, c'est bien pourquoi ce NPT me semble intéressant. La solution idéale serait des adresses PI et du multi-homming, sauf que je vois mal les FAI accepter ça sur de l’ADSL grand publique d’une part, et d’autre part les clients ne comprendront pas pourquoi IPv6 fait « moins bien » qu’IPv4 et ne voudront pas faire la migration. et puis ça va être dur d'expliquer à M. Michu (pas de sexisme primaire !) qu'il faut payer pour un routeur BPG et une journée d'ingériéring pour le mettre en place correctement ! À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load balacing / traffic selection entre les deux sans pour autant ruiner le client. Chez un même FAI, y'a pas de problème, je te le propose quand tu veux (en BGP). Même pas besoin d'adresses PI. Mais bon la redondance ADSL + SDSL est quand même bien illusoire quand on sait que l'on passe par le même chemin de cuivre... Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Monday 04 July 2011 11:35:50 Alain RICHARD wrote: Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Cf le mail de Yves-Alexis Perez qui renvoie à la RFC kivabien http://www.mail-archive.com/frnog@frnog.org/msg15322.html -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 4 Jul 2011, at 15:38, Rémy Sanchez wrote: On Monday 04 July 2011 11:35:50 Alain RICHARD wrote: Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Cf le mail de Yves-Alexis Perez qui renvoie à la RFC kivabien http://www.mail-archive.com/frnog@frnog.org/msg15322.html C'est “longest prefix match” (rule 8) a moins que l'OS ait une meilleure idée ... Donc le comportement n'est pas vraiment défini mais laissé aux implémentations. Très bonne nouvelle pour notre gateway qui peux décider d'utiliser le lien avec le moins de congestion :D Pour l'OS cependant, décider de la meilleure route va être plus dur.. mais cela veut aussi dire que le comportement peux être défini par l'utilisateur. Thomas - --- Rule 8: Use longest matching prefix. If CommonPrefixLen(SA, D) CommonPrefixLen(SB, D), then prefer SA. Similarly, if CommonPrefixLen(SB, D) CommonPrefixLen(SA, D), then prefer SB. Rule 8 may be superseded if the implementation has other means of choosing among source addresses. For example, if the implementation somehow knows which source address will result in the best communications performance. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4R00UACgkQA/52wvuLgaHoFgCfbbXBweu7ZCtmCb+4UixE9g5f 7WMAoPPjEOCOjd1KcQTkYMaHhPEKTV2r =kN9v -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On lun., 2011-07-04 at 15:50 +0100, Thomas Mangin wrote: C'est “longest prefix match” (rule 8) a moins que l'OS ait une meilleure idée ... Donc le comportement n'est pas vraiment défini mais laissé aux implémentations. Non, le comportement est défini. C'est longest prefix match, mais si l'OS a de bonnes raisons il peut faire autrement et on lui en voudra pas (du moment qu'il a respecté les règles précédentes). Très bonne nouvelle pour notre gateway qui peux décider d'utiliser le lien avec le moins de congestion :D Ceci dit, on rappelle que c'est uniquement le “source address selection”, donc pour le endpoint. Pour l'OS cependant, décider de la meilleure route va être plus dur.. mais cela veut aussi dire que le comportement peux être défini par l'utilisateur. Non c'est pas plus dur, il a une règle toute prête. Mais ça laisse de la place aux autres décisions. Quand on arrive à la règle 8, il n'y a pas plus vraiment de mauvaise décision, au moins en théorie, et donc ça dépend surtout du déploiement, de l'environnement, du jour de la semaine etc. -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Mon, 04 Jul 2011 20:24:16 +0200, Yves-Alexis Perez cor...@corsac.net said: Non, le comportement est défini. C'est longest prefix match, mais si Entre un /64 et un autre /64, lequel gagne selon le longest prefix match ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Non, le comportement est défini. C'est longest prefix match, mais si l'OS a de bonnes raisons il peut faire autrement et on lui en voudra pas (du moment qu'il a respecté les règles précédentes). Nous sommes d'accord c'est assez flou pour permettre ce qu'on veut :) Très bonne nouvelle pour notre gateway qui peux décider d'utiliser le lien avec le moins de congestion :D Ceci dit, on rappelle que c'est uniquement le “source address selection”, donc pour le endpoint. Avec deux gateways, choisir sa source IP c'est choisir sa gateway, sinon le routeur risque de ne pas laisser passer le paquet (voir RPF / RFC 2827) Non c'est pas plus dur, il a une règle toute prête. Mais ça laisse de la place aux autres décisions. Quand on arrive à la règle 8, il n'y a pas plus vraiment de mauvaise décision, au moins en théorie, et donc ça dépend surtout du déploiement, de l'environnement, du jour de la semaine La regle 8 est juste la pour fournir une solution - un peu bête mais qui marche. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Monday 04 July 2011 21:11:42 Radu-Adrian Feurdean wrote: Entre un /64 et un autre /64, lequel gagne selon le longest prefix match ? Ça veut pas plutôt dire que ça choisit en fonction du nombre de bits en commun dans le début du préfixe ? Genre :::ddde::/64 gagnerait contre :::::/64 pour joindre :::::/64 -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 04/07/2011 21:53, Rémy Sanchez a écrit : On Monday 04 July 2011 21:11:42 Radu-Adrian Feurdean wrote: Entre un /64 et un autre /64, lequel gagne selon le longest prefix match ? Ça veut pas plutôt dire que ça choisit en fonction du nombre de bits en commun dans le début du préfixe ? Genre :::ddde::/64 gagnerait contre :::::/64 pour joindre :::::/64 Oui c'est ce que dit la règle 8, mais je pense que la question de Radu-Adrian était pour le cas où le nombre de bits est le même. Le RFC laisse le choix à l'implémentation : If the eight rules fail to choose a single address, some unspecified tie-breaker should be used. Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Salut, On Mon, Jul 04, 2011 at 11:35:50AM +0200, Alain RICHARD wrote: Le 2 juil. 2011 à 23:03, Guillaume Leclanche a écrit : Avoir naturellement plusieurs adresses sur la même iface est une différence essentielle entre IPv6 et IPv4 et je suis d'accord avec cette approche du multihoming pour internet. Les deux préfixes sont valables et routés proprement, donc peu importe lequel on utilise. D'ailleurs, il n'y aurait éventuellement même pas besoin de 2 vlans (faut juste éviter que chaque routeur écoute les RAs de l'autre :) En outre, pour la communication LAN-LAN locale, il est recommandé d'utiliser des ULAs. Guillaume Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Les OS dignes de ce noms possèdent une IPv6 address selection policy table : http://www.davidc.net/networking/ipv6-source-address-selection-linux http://www.freebsd.org/cgi/man.cgi?query=ip6addrctlapropos=0sektion=0manpath=FreeBSD+8.2-RELEASEformat=html http://dlc.sun.com/osol/docs/content/SYSADV3/ipv6-admintasks-43.html -- Jeremie Le Hen Humans are born free and equal. But some are more equal than others. Coluche --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juil. 2011 à 03:04, Jérôme Nicolle a écrit : Le 3 juillet 2011 01:58, Yoann Gini yoann.g...@gmail.com a écrit : Le 2 juil. 2011 à 20:19, Michel Py a écrit : Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois S’ils veulent ouvrir en France, je connais quelques clients qui seraient intéressés… Pour info, on est plus à 1 600 € / mois pour du 50 M symétrique chez nous… Heu Michel parlait de produits grand-public il me semble, le genre avec une cretinbox derrière et aucune garantie. En gros, c'est ce que tu as sur des offres FTTx à 30 - 50€ dans quelques endroits précis en France. Au temps pour moi alors, j’ai cru que Michel parlait des offres pro ! 50Mbps symétrique garanti, en offre entreprise, c'est bien vendu entre 1200 et 2000€ par mois en France. C'est pas que ça coûte autant à produire, c'est juste qu'à part sur des zones bien définies, personne ne fait mieux. Alors à quoi bon detruire la valeur du réseau ? Comme je disais, bien que n’ayant jamais bossé côté FAI, je comprends bien la problématique de cout. Mais il ne faut pas oublier le côté client qui lui voit ça : ADSL / Fibre débit Max : entre 30 et 50 € / mois SDSL 2 M : 160 € SDSL 3 M : 240 € et ainsi de suite jusqu’à avoir la SDSL 20 M (même débit descendant que l’ADSL en gros) à 1 000 € / mois Avec une telle grille de tarif, il ne faut pas s’étonner de se retrouver avec des config type ADSL, ADSLx2 ou ADSL + SDSL 1 ou 2 M. La dernière config est justement celle qui intéresse le plus les clients qui comprenne à quoi sert une SDSL, sauf que prendre une SDSL pour l’usage standard de navigation Internet coute très cher, du coup on fini en double avec une ADSL et un routeur mutli-FAI pour arriver à en faire quelque chose d’intéressant. smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juil. 2011 à 05:59, Pierre Lagoutte a écrit : Le 03/07/2011 01:58, Yoann Gini a écrit : les clients standard seront plus orientés sur l’ADSL. ?? pas mal. Excellent projet.!! Mais tu fais ça comment sans NAT+load-balancing ? le client route à l'inspiration du moment ? Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de monde… La solution idéale serait des adresses PI et du multi-homming, sauf que je vois mal les FAI accepter ça sur de l’ADSL grand publique d’une part, et d’autre part les clients ne comprendront pas pourquoi IPv6 fait « moins bien » qu’IPv4 et ne voudront pas faire la migration. À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load balacing / traffic selection entre les deux sans pour autant ruiner le client. smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 2 Jul 2011, at 23:10, Rémy Sanchez wrote: On Saturday 02 July 2011 23:23:13 Thomas Mangin wrote: C'es plutot pour la gateway avec deux uplinks qui peut faire du balancing facilement. Et tu fais ça avec 2 uplinks qui ont des préfixes différents sans NAT66 ? Oui, chaque machine a alors deux IP. Les deux IP sont toutes le deux globales, comme une machine avec deux interfaces et deux IP publiques mais avec une seule interface pour v6. Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail de Yoann explique bien la limite de cette technique. Si c'est un hash par flux, pour les cas simple c'est tout bon, sinon, pas autant. Dans le cas du DC, tu peux alors router créer deux sessions BGP avec routeurs 1 et 2, annoncer des IP de services (installe sur lo0). Si le routeur tombe en rade, tu as alors toujours l'autre. Ca peut remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6) Thomas PGP.sig Description: This is a digitally signed message part
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sat, 2 Jul 2011 11:19:02 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois Si ça c'est trop cher pour une petite société ou un troupeau de 150 étudiants C'est un peu moins evident en France. Je ne parle pas des autres pays europeens, mais de le France. Et entre 100M/10M a 200$/mo et internet jusqu'a 100M a 30$/mo, Jaques Michu, PDG d'une TPE de 19 personnes a vite choisi. Surtout qu'en matiere de FAI il connait pas beaucoup (en regle generale ils sont 5 : les 3, bbox et le cableur). Thomas Mangin a écrit: Le problème est d'expliquer ce que veut dire le 1:1 et 50:1 de contention en bas de la page :D .. Pas difficile c'est ecrit nullepart Encore une fois, ca c'est en France Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Non. Pas envisageable. Il faut que ca marche meme en absence du guru local (le seul capable de demarrer un cmd.exe). Et tout ca sans surcout --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Avant que j'oublie, je pense à ouvrir un MacDo juste en face de l'immeuble à Rémy, est-ce qu'il y a des investisseurs potentiels sur la liste? :-D Yoann Gini a écrit: Pour info, on est plus à 1 600 € / mois pour du 50 M symétrique chez nous… Jérôme Nicolle a écrit: Heu Michel parlait de produits grand-public il me semble, le genre avec une cretinbox derrière et aucune garantie. Tout à fait. Ceci dit nous avons parfois aussi des offres sans crétinbox et avec du débit garanti, dans les même zones de couverture (10Mbps/2Mbps pour environ $100, garanti); en général disons que c'est 2+ fois le prix du non-garanti, et que ça dépasse rarement 20Mbps, pour les raisons que tu décris plus bas. Et en aucun cas ce n'est un prix public listé, dont faut parler au commercial, et le prix et en fonction de la distance, de la gueule du client, de l'âge du capitaine, etc. En gros, c'est ce que tu as sur des offres FTTx à 30 - 50€ dans quelques endroits précis en France. En gros, je suis d'accord. 50Mbps symétrique garanti, en offre entreprise, c'est bien vendu entre 1200 et 2000€ par mois en France. C'est pas que ça coûte autant à produire, Non, mais faut pas rêver non plus, 50Mbps symétrique entreprise pour ça coûte nettement plus que 200€ par mois. c'est juste qu'à part sur des zones bien définies, personne ne fait mieux. Alors à quoi bon detruire la valeur du réseau ? En effet, pourquoi tuer la poule aux oeufs d'or? Comme Thomas le faisait remarquer: Thomas Mangin a écrit: Mais c'est vrai que tout serai mieux si une ligne DSL coutait €300 par mois ... ou pas ! L'accès à l'Internet, c'est un peu comme les automobiles: la marge est dans le haut de gamme. Donc c'est vrai que Mme Michu paie en partie la facture du power user, mais elle n'est pas la seule et l'accès entreprise paie aussi. Donc ne pas oublier que si l'accès grand public à 30€ (que la plupart des lecteurs utilisent et souvent abusent) est dispo, c'est parce que quelqu'un d'autre paie. Michel Py a écrit: Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Radu-Adrian Feurdean a écrit: Non. Pas envisageable. Il faut que ca marche meme en absence du guru local (le seul capable de demarrer un cmd.exe). Et tout ca sans surcout Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si difficile.. Michel Py a écrit : Je ne vois pas ou est ton problème; un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI (dans le préfixe fourni par le FAI ou le tunnel broker). Yoann Gini a écrit: Problème déjà débattu dans le passé. Effectivement, c’est un début de solution, le seul défaut ici (sauf mauvaise compréhension de ma part) c’est que c’est le client qui choisit sa route. Or on aimerait plus que ce soit sur le routeur. Généralement sur le routeur je vais ajouter certaines règles pour que le serveur interne passe toujours par la SDSL ainsi que le SIP par exemple tandis que les clients standard seront plus orientés sur l’ADSL. Ça permet de prendre une SDSL pas trop cher et de contrôler son usage. Je suis complètement d'accord avec toi, tu as le même raisonnement que la plupart des opérateurs d'entreprise. Mais ces décisions on été prises il y a 15 ans et je ne vois pas comment aujourd'hui on pourrait changer ça, surtout qu'il y en a encore plein surtout à L'IETF qui n'ont jamais configuré un routeur ou maintenu un réseau d'entreprise qui continuent à croire qu'ils ont raison. Plus de 1 adresse par PC, ça devient rapidement une usine à gaz et c'est une des raisons primordiales derrière le non-déploiement de v6. Remarque, si IPv6 ne te plait pas, tu peux toujours faire comme moi et la majorité silencieuse: ne pas t'en servir :P Michel.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 10:01:15 +0200, Yoann Gini yoann.g...@gmail.com said: Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de monde… ... et qui reste foireuse ... Je comprends bien que les utilisateurs aiment des telles merdes, mais en tant que profesionnel faudra un bon jour commencer a leur expliquer ce qu'un ADSL grand-public represente vraiment: un produit pour la maison, dont les utilisateurs vont jouer au foot en bas de l'immeuble ou encore boire une biere au bar du coin quand ca ne marche pas. Si leur business depend d'une facon ou autre d'internet (e-mail, interco avec filiales/partenaire, la myriade d'applis SAAS - RH, compta, ERP, CRM, .)faut serieusement penser a un produit pro (a condition que ces produits le sont vraiment !!!). À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load balacing / traffic selection entre les deux sans pour autant Il me semble que ca existe mais pas forcement chez les grands. Hint: chez certains les produits sont crees par des gens techniques, chez d'autres par des chefs de produits rattaches au marketing. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 3 Jul 2011, at 19:54, Michel Py wrote: Plus de 1 adresse par PC, ça devient rapidement une usine à gaz et c'est une des raisons primordiales derrière le non-déploiement de v6. Je ne suis pas d'accord sur les deux points. Ce n'est pas une usine a gaz d'avoir plus d'une IP par machine. Je suis un grand fan de site-local (que j'ai appelé scope-local avant - duh ! mais j'aurai du dire unique local address). http://en.wikipedia.org/wiki/Unique_local_address - RFC 4193 Est ce n'est pas la raison pour le non-deployment de IPv6 non plus, sur cette liste je mettrai : - pas de connaissance - pas de besoin - pas de temps - inertie de v4 Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 09:31:23 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles que sur IPv4 s'appliquent: - connexion existante : l'addresse utilise a l'ouverture de la connexion est gardee - nouvelle connexion ou protocole connectionless : l'addresse est initialement :: , le noyau decide selon le default gateway utilise pour envoyer le premier SYN. - dans des cas plus rares, l'application peut simuler le comportement statefull sur un protocole stateless. Resume : chaque host fait quasiment le meme boulot que le routeur NAT/NPT, sauf pour la partie detecter un lien down, ou la cooperation avec le routeur concerne est essentielle. Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail Meme probleme sur IPv4, sauf que la les vendeurs de solutions merdique font un exceptionnel boulot de packaging remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6) Ah, comme je suis content de ne pas etre dans ce cas-la. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 11:54:55 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: Radu-Adrian Feurdean a écrit: Non. Pas envisageable. Il faut que ca marche meme en absence du guru local (le seul capable de demarrer un cmd.exe). Et tout ca sans surcout Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si difficile.. Si tu fais ca, le serveur finit comme poste de travail du stagiaire. Donc tu fais en sorte qu'il n'a pas d'ecran et clavier branche par default, donc besoin du guru local (Jaques Michu ne sait pas comment brancher un ecran) . --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Bah tu mets un raccourci sur le bureau du serveur, c'est quand même pas si difficile.. Radu-Adrian Feurdean Si tu fais ca, le serveur finit comme poste de travail du stagiaire. Donc tu fais en sorte qu'il n'a pas d'ecran et clavier branche par default, donc besoin du guru local (Jaques Michu ne sait pas comment brancher un ecran) . MDR :-) mais pour ça j'ai l'arme absolue: l'écran su serveur est à 1,30m de haut dans le rack dans le placard, ça décourage les plus coriaces. En plus, c'est un deal bien clair avec le client: toi yen a pas toucher ça. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 12:38:15 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: plus, c'est un deal bien clair avec le client: toi yen a pas toucher ça. Donc, il clique pas sur l'icon sur le desktop :P Donc besoin de guru :P QED (??? CQFD ???) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sunday 03 July 2011 10:31:23 Thomas Mangin wrote: On 2 Jul 2011, at 23:10, Rémy Sanchez wrote: On Saturday 02 July 2011 23:23:13 Thomas Mangin wrote: C'es plutot pour la gateway avec deux uplinks qui peut faire du balancing facilement. Et tu fais ça avec 2 uplinks qui ont des préfixes différents sans NAT66 ? Oui, chaque machine a alors deux IP. Les deux IP sont toutes le deux globales, comme une machine avec deux interfaces et deux IP publiques mais avec une seule interface pour v6. Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Donc je suis sur que cela peut aider pour la résilience, maintenant pour le LB cela dépend de comment l'OS gère ses connexions sortantes. le mail de Yoann explique bien la limite de cette technique. Si c'est un hash par flux, pour les cas simple c'est tout bon, sinon, pas autant. Dans le cas du DC, tu peux alors router créer deux sessions BGP avec routeurs 1 et 2, annoncer des IP de services (installe sur lo0). Si le routeur tombe en rade, tu as alors toujours l'autre. Ca peut remplacer HSRP/VRRP pour les équipements sans RFC 5798 (VRRP pour IPv6) Thomas C'est sûr ça aide pour la résilience, mais quand comme moi tu cherches à grapiller le moindre bit/s que tu peux trouver, ça marche moins bien. Retour à la case NAT66, malheureusement. Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui vend des « dual-adsl aggrégés côté opérateur » (attention, terme marketing inventé à l'instant)... Y'a des protocoles pour faire ça proprement (au moins la RFC 1717), et ça élimine tout besoin de NATxx. Je suppose que c'est lié au fait que y'a qu'une seule prise téléphonique chez les gens normaux. -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Rémy Sanchez a écrit: Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui vend des « dual-adsl aggrégés côté opérateur » (attention, terme marketing inventé à l'instant Faudrait inventer un routeur WiFi triple radio, avec 2 radios dehors comme ça tu peux load-balancer le WiFi du MacDo et celui du Quick :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 20:38:26 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Avec deux IPv6 apprise via RA, tu as deux default gateway ... C'est la que l'OS doit en choisir une .. toujours la meme ? round robin ? Pas oublier position de la lune .. Assez longtemps qu'il a 2 default GW, faut pas compter sur ca. Oui mais l'application connait son IP, est ce la que le routeur blesse Mais tres souvent s'en fout completement. D'ou je me posais il y a quelques temps la question des addresses v6 prefixless : on configure et utilise juste les derniers 64 bits de l'addresse ( ::dead:f00d:cafe:b055 ), au noyau de remplir le reste. Ca a aussi l'avantage d'epargner les pires cauchemards : la re-numerotation. Bref, quasiment du autoconf, mais sans les joies des il faut utiliser 2a00:xxx:yyy:zzz:7d9b:6961:f495:b95d comme serveur DNS... Et avec un petit boost cote noyau pour la partie address correction. Ca fait beaucoup plus user-friendly que beaucoup d'horreurs qui se sont bien glisses dans les specs officiels --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sunday 03 July 2011 21:50:11 Michel Py wrote: Faudrait inventer un routeur WiFi triple radio, avec 2 radios dehors comme ça tu peux load-balancer le WiFi du MacDo et celui du Quick :P Ah, moi j'pensais plutôt au cluster de clef 3G, on a une BS Orange sur la tête. Remarque, on pourrait directement détourner la connexion de la BS... J'suis sûr, ils s'en rendraient même pas compte :3 -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Enfin un truc qui m'étonne dans cette histoire, c'est pourquoi y'a personne qui vend des « dual-adsl aggrégés côté opérateur » Une raison est surement que les FAI ne veulent pas que le client le fasse :p MPPP est une option (nous l'offrons), mais il faut faire attention car si les paires de cuivre ne prennent pas les même ducts, la différence cause des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop de cout du cote debugging ... Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4QyccACgkQA/52wvuLgaEgpwCfbpxL8cXMCCTuEvedxj4R9InX UQ0AoPmH0PxLrj6ipaEcOUSeRgrODcPB =BLYo -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sunday 03 July 2011 21:57:58 Thomas Mangin wrote: MPPP est une option (nous l'offrons), mais il faut faire attention car si les paires de cuivre ne prennent pas les même ducts, la différence cause des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop de cout du cote debugging ... Les mêmes ducts ? C'est quoi cette chose ? -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Les mêmes ducts ? C'est quoi cette chose ? Un anglicisme ... http://en.wikipedia.org/wiki/Duct_(HVAC) C'est ce qui se passe quand j'écris des email en regardant la tele .. (ca et les pluriels, etc.) Le chemin pris par la paire de cuivre entre une résidence et l'échange. Le problème est souvent quand la seconde ligne téléphonique est installe et qu'il n'y a plus de paires libre sur le cuivre installe précédemment dans ce cas l faut mieux installer une troisième ligne et annuler la première après (du mois sur mon ile :P) Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4Q0CgACgkQA/52wvuLgaF8BgCg3pFYFS1T04mocEGBZrIwda// Ev4AmQFuQ5RihP9H91LVdCYZme4lt4t2 =75jC -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On dim., 2011-07-03 at 21:28 +0200, Radu-Adrian Feurdean wrote: On Sun, 3 Jul 2011 09:31:23 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: Le seul truc est que je ne sais pas comment la machine va choisir son IP pour les connections sortantes .. Il me semble (corrigez-moi si je n'ai pas raison) que les memes regles que sur IPv4 s'appliquent: - connexion existante : l'addresse utilise a l'ouverture de la connexion est gardee - nouvelle connexion ou protocole connectionless : l'addresse est initialement :: , le noyau decide selon le default gateway utilise pour envoyer le premier SYN. En l'occurrence la question qui était posée c'était « quand on a plusieurs gateway », si j'ai bien compris. C'est la RFC 3484 qui répond à ça : http://tools.ietf.org/html/rfc3484#section-5 En gros quand les deux adresses sont de même portée et de même type, au final, c'est “longest prefix match” (rule 8). Cdt, -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 2 juil. 2011 à 06:06, Michel Py a écrit : Yoann Gini a écrit: Le problème pour l’accès Internet. C’est qu’en France aujourd’hui c’est juste du grand n’importe quoi. Personne ne t'empêche de devenir FAI. Les lignes SDSL sont facturées une fortune par les FAI et ne parlons même pas des fibres Ben tu n'as qu'à poser la tienne et on reparle de combien ça t'a coûté quand tu as fini Sur ce point je suis tout à fait d’accord, même si je n’ai jamais travaillé coté FAI j’ai quand même une bonne idée de ce que ça coute. Cela étant, avec des offres ADSL à 30 € /mois, voir même la fibre ou le câble « 100 Mb/s » il ne faut pas s’étonner qu’aujourd’hui toutes les petites structures refusent de prendre des offres pros et préfère agréger de l’ADSL. Il faut se placer côté client, quand tu as des offres fibre pour les particuliers qui ne coutent rien, ils ne comprennent pas que pour les pros tu as des services moindres (téléphone non compris, pas de TV, sur les SDSL ils ne comprennent pas que le débit soit plus faible) et plus chers. D’autant que les FAI dans leur discourt sont incapable de vendre correctement ces offres, car au final lorsqu’on compare les plaquettes commerciales d’une fibre grand publique et d’une SDSL, la plus lente est la plus chère, et comme seule différence il y a le terme pro et la GTR. Pour le reste, j’ai plusieurs réseaux utilisant justement du multi FAI et les routeurs en place gère ça très bien ! Qu’ils soient configurés pour faire du failover ou du loadbalacing, ça marche très bien et ça évite toute intervention humaine en cas de problème. Car il ne faut pas non plus oublier que ces mêmes clients n’ont jamais d’informaticien en interne, mais ils font appel à des consultants comme moi qui travaillent pour plusieurs clients. Impossible donc d’aller jouer avec le DHCP à chaque connerie d’Orange ou de Free, il faut que ce soit automatique, et en cela les routeurs que j’utilise répondent très bien au besoin. Dans tout ça reste toujours un problème, sans NPT impossible de les migrer avec le même niveau de service en IPv6, et le NPT casse la connectivité bout en bout, donc perte des avantages qui pousse à migrer vers l'IPv6 smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Les lignes SDSL sont facturées une fortune par les FAI et ne parlons même pas des fibres Le problème est d'expliquer ce que veut dire le 1:1 et 50:1 de contention en bas de la page :D .. Ce qui amène énormément de petits clients à disposer de plusieurs accès Internet ADSL chez différent FAI en priant pour que les deux ne tombent pas en rade en même temps. Les chances de pannes sont plus ou moins les mêmes. Le plus gros risque est la/les paire(s) de cuivre entre la résidence et l'échange. L'ADSL est bien plus stable maintenant qu'il y a 5 ans. Souvent, la détection si le lien est opérationnel ou pas c'est un ping de l'autre coté, si le lien est saturé le ping se perd, toutes des sessions se plantent, etc. C'est une solution de merde, et ce n'est pas le fait de l'implémenter avec NPT au lieu de NAT44 qui va changer çà. Tu peux essayer deux tunnels GRE avec deux sessions BGP mais tu ne garderas pas ton MTU de 1500 :p J'ai plusieurs petits clients qui ont 2 liens: en général un T1 partagé avec la voix ou il y a rarement plus de 500kb/s, et un câble/fibre parfois avec une IP dynamique. Généralement je mets le serveur de mail sur le T1, et les postes sur le câble. En plus comme ça si un poste récupère un merdiciel qui envoie du spam, c'est l'adresse du câble qui se fait blacklister et pas celle du serveur (vaut mieux bloquer 25 mais c'est pas toujours possible). Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Tant que tu n'as pas de services publique derrière l'ADSL tu peux NATer sur la sortie des interface du routeur, jouer correctement avec le routage et faire changer le traffc automatiquement en cas de panne. La config cisco pour ca n'est pas tres dure ... Pour le port 25, tu peux tout bloquer a part le smarthost du FAI et leur laisser filter la merde (mes client me font souvent le coup :p) Rémy Sanchez a écrit: mes 150 humains à déservir La quand même faudrait arrêter de rêver un peu; 150 gugusses sur 1 aDSL pourri et tu t'étonnes que ça rame? 150, c'est une blague ?? !! Plus de 10 personnes par ligne, c'est une blague. La ligne ADSL a une limite sur le nombre de packets par secondes aussi !!. Quand tu comptes le nombre de paquet par machine que ne fait rien (DNS, anti-virus, twitter checks, ...) avoir plus de 20 personnes derrière une ligne DSL c'est se chercher des problèmes. Maintenant avec deux lignes, et avec un bon filtrage, NBAR ou ACL, du QOS, un cache et DNS interne, un grosse liste noire des sites populaires, ca peut marcher mais je préfère être alors etre sur une connexion 3G ! Maintenant ces solutions c'est du bricolage du client pour ne pas payer ce qu'il utilise et passer la facture au FAI. C'est comme pour les taxes, il y a des spécialistes pour vous réduire la facture mais quelqu'un doit toujours payer pour les services publiques Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Rémy Sanchez a écrit: La seule et unique solution, c'est du multi-homing du pauvre, Appelles ça du load-balancing du pauvre, pas du multihoming. Tant que j'ai pas le même en IPv6, il m'est impossible de déployer IPv6. Je ne vois pas ou est ton problème; un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI (dans le préfixe fourni par le FAI ou le tunnel broker). Si tu paies 2 ADSL à 20 mégas qui en pratique te sortent du 6 mégas, à priori t'a le droit d'utiliser les 2x6 mégas à fond. Si c'était pas rentable fallait pas le vendre, je vois pas où est ton problème là dessus... C'est quand même pas un scoop que Mme Michu paie la bande passante des power-users, non ? Ca fait partie du jeu; attention quand même, à force de jouer au con des fois on finit par gagnervoir plus bas. Bien sûr, je ne dis pas que tout le monde devrait faire comme ça, il y a tout un tas de gens qui ont besoin d'autre chose un poil plus sérieux et qui seront tout à fait prêt à payer ce que ça coûte. Il faut des solutions pour tous les besoins et tous les moyens ! Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois Si ça c'est trop cher pour une petite société ou un troupeau de 150 étudiants Yoann Gini a écrit: Cela étant, avec des offres ADSL à 30 € /mois, voir même la fibre ou le câble « 100 Mb/s » il ne faut pas s’étonner qu’aujourd’hui toutes les petites structures refusent de prendre des offres pros et préfère agréger de l’ADSL. Chez nous les FAI refusent de délivrer de l'aDSL résidentiel aux sociétés. A moins d'avoir ta boite dans une maison, négatif. Impossible donc d’aller jouer avec le DHCP à chaque connerie d’Orange ou de Free, il faut que ce soit automatique, et en cela les routeurs que j’utilise répondent très bien au besoin. Quel(s) modèles(s) utilises-tu? Les lignes SDSL sont facturées une fortune par les FAI et ne parlons même pas des fibres Thomas Mangin a écrit: Le problème est d'expliquer ce que veut dire le 1:1 et 50:1 de contention en bas de la page :D .. :-D Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Tant que tu n'as pas de services publique derrière l'ADSL tu peux NATer sur la sortie des interface du routeur, jouer correctement avec le routage et faire changer le traffc automatiquement en cas de panne. La config cisco pour ca n'est pas tres dure ... Oui je sais, NAT avec route-map c'est un sujet que je connais bien. Mais mes clients ils on le même problème que ceux de Rémy: ils ont un portefeuille en peau de hérisson. Donc je leur délivre ce pour quoi ils ont payé: rien. 150, c'est une blague ?? !! Ah non c'est très sérieux, Rémy il a 150 étudiants sur 2 aDSL. Plus de 10 personnes par ligne, c'est une blague. On est bien d'accord. Michel.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Saturday 02 July 2011 20:19:02 Michel Py wrote: Rémy Sanchez a écrit: La seule et unique solution, c'est du multi-homing du pauvre, Appelles ça du load-balancing du pauvre, pas du multihoming. Admettons Tant que j'ai pas le même en IPv6, il m'est impossible de déployer IPv6. Je ne vois pas ou est ton problème; un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI (dans le préfixe fourni par le FAI ou le tunnel broker). Je me suis toujours dit que c'était trop beau pour fonctionner, mais est-ce que quelqu'un a testé ? À priori les clients ne sont pas capables de balancer la charge 50/50 sur les deux routeurs, je me trompe ? Si tu paies 2 ADSL à 20 mégas qui en pratique te sortent du 6 mégas, à priori t'a le droit d'utiliser les 2x6 mégas à fond. Si c'était pas rentable fallait pas le vendre, je vois pas où est ton problème là dessus... C'est quand même pas un scoop que Mme Michu paie la bande passante des power-users, non ? Ca fait partie du jeu; attention quand même, à force de jouer au con des fois on finit par gagnervoir plus bas. Bien sûr, je ne dis pas que tout le monde devrait faire comme ça, il y a tout un tas de gens qui ont besoin d'autre chose un poil plus sérieux et qui seront tout à fait prêt à payer ce que ça coûte. Il faut des solutions pour tous les besoins et tous les moyens ! Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois Si ça c'est trop cher pour une petite société ou un troupeau de 150 étudiants La même en France, je signe tout de suite. Sauf que, à ma connaissance on a : * De l'ADSL à 15~40€/mois * De la SDSL à 100~500€/mois * De la fibre résidentielle à 30€/mois mais si t'es un power user tu te la met dans le cul (et ça se comprend !) * De la fibre pro à 1500€+ Sachant que plus t'es loin du réseau plus tu douilles, et que je suis loin du réseau... Bon et j'ai déjà eu l'aide de différentes personne de la liste pour tenter de trouver une meilleure connexion, mais on n'a jamais réussi à faire une proposition qui soit acceptée. [snip] 150, c'est une blague ?? !! Ah non c'est très sérieux, Rémy il a 150 étudiants sur 2 aDSL. Non mais j'exagère en disant 150, c'est plutôt 120 en temps normal. Ha-ha-ha. Plus de 10 personnes par ligne, c'est une blague. On est bien d'accord. J'ai envie de dire, on fait avec ce qu'on a :/ -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 2 juillet 2011 21:16, Rémy Sanchez remy.sanc...@hyperthese.net a écrit : Sauf que, à ma connaissance on a : * De la fibre pro à 1500€+ Non, 100€ l'offre de base, avec 2k€ de FAS étalés et négociables (à l'époque) Sachant que plus t'es loin du réseau plus tu douilles, et que je suis loin du réseau... Non, 200m du cabinet de brassage optique le plus proche Bon et j'ai déjà eu l'aide de différentes personne de la liste pour tenter de trouver une meilleure connexion, mais on n'a jamais réussi à faire une proposition qui soit acceptée. Ah ben on a fait les propales que vous avez demandé, vous n'avez pas réussi à la faire passer à l'administration, vous ne pouvez vous en prendre qu'à Orange/TL1. Non mais j'exagère en disant 150, c'est plutôt 120 en temps normal. Ha-ha-ha. Faut préciser : le pr0n est bloqué. J'ai envie de dire, on fait avec ce qu'on a :/ Et on se sort pas les doigts du c** pour régler le problème, surtout. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Saturday 02 July 2011 21:37:02 Jérôme Nicolle wrote: Le 2 juillet 2011 21:16, Rémy Sanchez remy.sanc...@hyperthese.net a écrit : Sauf que, à ma connaissance on a : * De la fibre pro à 1500€+ Non, 100€ l'offre de base, avec 2k€ de FAS étalés et négociables (à l'époque) Sachant que plus t'es loin du réseau plus tu douilles, et que je suis loin du réseau... Non, 200m du cabinet de brassage optique le plus proche Bon et j'ai déjà eu l'aide de différentes personne de la liste pour tenter de trouver une meilleure connexion, mais on n'a jamais réussi à faire une proposition qui soit acceptée. Ah ben on a fait les propales que vous avez demandé, vous n'avez pas réussi à la faire passer à l'administration, vous ne pouvez vous en prendre qu'à Orange/TL1. Non mais j'exagère en disant 150, c'est plutôt 120 en temps normal. Ha-ha-ha. Faut préciser : le pr0n est bloqué. Plus maintenant J'ai envie de dire, on fait avec ce qu'on a :/ Et on se sort pas les doigts du c** pour régler le problème, surtout. C'est pas toi qui a passé des mois à faire un dossier comparatif pour répondre à toutes les contraintes administratives, et que finalement tes utilisateurs t'envoient te faire bip parce que 8€/mois c'est trop cher pour eux. Donc oui, j'ai besoin d'une bricole infâme pour la survie de mon réseau. Et ça m'étonnerait que je sois le seul. -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Voici ce que je peux avoir: Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois UP TO veut dire : une prise qui peut passer plus de 100 Mb, on te donne dessus ce qu'on veut bien :D Oui je sais, NAT avec route-map c'est un sujet que je connais bien. Mais mes clients ils on le même problème que ceux de Rémy: ils ont un portefeuille en peau de hérisson. Donc je leur délivre ce pour quoi ils ont payé: rien. MDR :) 150, c'est une blague ?? !! Ah non c'est très sérieux, Rémy il a 150 étudiants sur 2 aDSL. Ah ! Des gens que l'on peut envoyer balader quand la qualité n'est pas la :D Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Je me suis toujours dit que c'était trop beau pour fonctionner, mais est-ce que quelqu'un a testé ? À priori les clients ne sont pas capables de balancer la charge 50/50 sur les deux routeurs, je me trompe ? Par flux ( hash source ip, source port , destination ip, destination port) ca passera surement tres bien. Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4PiYAACgkQA/52wvuLgaH5TwCdG/NUY3V1aPbPbtCARJYhGVPf qUkAn2vjdHvh/oOnsFZbqAgYF33rpb/E =crtT -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Saturday 02 July 2011 23:11:28 Thomas Mangin wrote: Par flux ( hash source ip, source port , destination ip, destination port) ca passera surement tres bien. Tu veux dire que tous les OS et en particulier Windows Vista/7 font ça tout seul au simple fait de se voir attribuer 2 adresses globales ? -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Tu veux dire que tous les OS et en particulier Windows Vista/7 font ça tout seul au simple fait de se voir attribuer 2 adresses globales ? Avec IPv6 une machine va avoir au moins deux IP (link-local , link-global) et peut-etre meme une troisieme (site-local). Une machine v6 peut accepter deux IP de deux routeurs avec RA, et avoir deux gateway. Par contre je ne sais pas comment le routing va se passer, je n'ai pas essaye .. C'es plutot pour la gateway avec deux uplinks qui peut faire du balancing facilement. Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4PjEEACgkQA/52wvuLgaEtuQCgw3NIIC2jTqfUvsRW0pJmzCc8 mtsAoNfyUyX0UTXh3Mhuj+v3pHB9MVba =cuB4 -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Bonjour, Le 02/07/2011 23:06, Thomas Mangin a écrit : Ah ! Des gens que l'on peut envoyer balader quand la qualité n'est pas la :D Mauvais client, changer client! Heu... Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juillet 2011 01:58, Yoann Gini yoann.g...@gmail.com a écrit : Le 2 juil. 2011 à 20:19, Michel Py a écrit : Voici ce que je peux avoir: Comcast Extreme 105 Downloads up to 105Mbps, uploads up to 10Mbps. $199.95 par mois Surewest Downloads Up to 50 Mbps / Uploads up to 50 Mbps 261.99 par mois S’ils veulent ouvrir en France, je connais quelques clients qui seraient intéressés… Pour info, on est plus à 1 600 € / mois pour du 50 M symétrique chez nous… Heu Michel parlait de produits grand-public il me semble, le genre avec une cretinbox derrière et aucune garantie. En gros, c'est ce que tu as sur des offres FTTx à 30 - 50€ dans quelques endroits précis en France. 50Mbps symétrique garanti, en offre entreprise, c'est bien vendu entre 1200 et 2000€ par mois en France. C'est pas que ça coûte autant à produire, c'est juste qu'à part sur des zones bien définies, personne ne fait mieux. Alors à quoi bon detruire la valeur du réseau ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 03/07/2011 01:58, Yoann Gini a écrit : les clients standard seront plus orientés sur l’ADSL. ?? pas mal. Excellent projet.!! Mais tu fais ça comment sans NAT+load-balancing ? le client route à l'inspiration du moment ? Pierre attachment: pierre.vcf
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Pourquoi diable tant d'animosité vis-à-vis cette solution simple ? qui bouche un gros trou dans la raquette (il en reste d'autres rassurez-vous) après tant d'échecs, les NATs auraient-ils encore une si mauvaise odeur dans le monde v6 ? et en plus pratiquement sans inconvénients majeurs (voir le blog de stephane) Pierre (enthousiaste de NAT66) PS: quand on commence de faire de la politique dans une assemblée technique, c'est que la fin en est proche = Le 01/07/2011 07:52, Michel Py a écrit : Raphaël Jacquot a écrit: chez moi ca s'appelle du routage... Non; le terme prefix translation est correct. A l'origine, MHAP s'appellait MHTP (Multi Homing Translation Protocol); j'ai remplacé translation par aliasing pour des raisons uniquement politiques: ça sonnait trop comme NAT, qui à l'époque n'était pas envisageable pour v6. C'est du NAT de subnet, dont les avantages sont assez bien expliqués. Ca existe pour v4 depuis 15 ans, même si personne ou presque ne s'en sert. ils ont sorti leur truc pour le 1er avril ? En Anglais on dit re-arrange desk chairs on the Titanic; c'est bien plus politiquement correct que pisser dans un violon et tout aussi efficace. Quand à moi, comme tous les vieux rats qui se respectent, j'ai vu monter l'eau et quitté le navire il y a longtemps. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ attachment: pierre.vcf
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
De mon cote je comprends bien le gain de telles solutions mais je ne comprends pas ce que ca rajoute comme fonctionnalite par rapport a un truc comme lisp (lui aussi en draft) avec comme interet de ne pas rajouter l'eternel probleme des ALG SIP. Ca a l'air plus simple a implementer et ca doit probablement avoir un impact faible sur les perfs des routeurs (ca a l'air codable en asic sans trop de soucis, non). Vous voyez d'autres arguments ? Bossant dans un des derniers bastions du 3GPP, si on pouvait se passer de la partie ALG Sip et ne garder sur les sbc que le filtrage des messages L7 (un proxy transparent quoi) ce serait la fete dans les chaumieres ! Le 1 juil. 2011 08:12, Pierre Lagoutte pie...@dratech.com a écrit :
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Guillaume Barrot a écrit: De mon cote je comprends bien le gain de telles solutions Je ne suis pas sûr que tu aies saisi le sarcasme de Pierre, ceci dit. mais je ne comprends pas ce que ca rajoute comme fonctionnalite par rapport a un truc comme lisp (lui aussi en draft) avec comme interet de ne pas rajouter l'eternel probleme des ALG SIP. Précisément: pas de fonctionnalité supplémentaires, juste moins d'ennuis. Ca a l'air plus simple a implementer et ca doit probablement avoir un impact faible sur les perfs des routeurs (ca a l'air codable en asic sans trop de soucis, non). Vous voyez d'autres arguments ? En théorie, ça ouvre la porte à un système ID/LOC. NPT c'est la moitié de la solution; dans 1 seul sens, ça reste du NAT; pour en faire un système qui soit transparent de bout-en-bout, il faut faire l'opération inverse de l'autre coté. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Je ne suis pas sûr que tu aies saisi le sarcasme de Pierre, ceci dit. you have a sarcasm sign ? (Sheldon Cooper) :) Je pensais plus a l'analyse de Stephane sur les gains d'une telle solution, notamment le multihoming.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, 2011-07-01 at 08:11 +0200, Pierre Lagoutte wrote: Pourquoi diable tant d'animosité vis-à-vis cette solution simple ? qui bouche un gros trou dans la raquette (il en reste d'autres rassurez-vous) après tant d'échecs, les NATs auraient-ils encore une si mauvaise odeur dans le monde v6 ? et en plus pratiquement sans inconvénients majeurs (voir le blog de stephane) Pierre (enthousiaste de NAT66) PS: quand on commence de faire de la politique dans une assemblée technique, c'est que la fin en est proche j'ai un peu de mal a voir ce que ce genre de bricolages apporte par rapport a du routage entre les 2 sous réseaux. j'y vois au moins trois inconvénients * ca casse la transparence de bout en bout * ca bouffe éminemment plus de ressources dans le CPE * ca ne sécurise pas mieux que le NAT en v4 bref, c'est totalement inutile... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
* ca ne sécurise pas mieux que le NAT en v4 bref, c'est totalement inutile... Ça sécurise mieux que du rien du tout (routage) en V6. Ça me rappelle une certaines époque où on m'avait refilé un PC non patché (et sans firewall logiciel), à brancher sur un CPE non natté pour le mettre à jour - c'était sympa (et pour activer le NAT, il fallait aller sur une console web). OK, les systèmes supportant v6 sont récents, et auront tous un firewall (je pense aux particuliers hein) - mais ça peut éviter pas mal de bordel si le CPE fait un minimum pour que les réseaux domestiques fuitent, non ? PS : je n'ai pas lu le rfc ;) Mathieu--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, 2011-07-01 at 09:59 +0200, MM wrote: * ca ne sécurise pas mieux que le NAT en v4 bref, c'est totalement inutile... Ça sécurise mieux que du rien du tout (routage) en V6. Ça me rappelle une certaines époque où on m'avait refilé un PC non patché (et sans firewall logiciel), à brancher sur un CPE non natté pour le mettre à jour - c'était sympa (et pour activer le NAT, il fallait aller sur une console web). OK, les systèmes supportant v6 sont récents, et auront tous un firewall (je pense aux particuliers hein) - mais ça peut éviter pas mal de bordel si le CPE fait un minimum pour que les réseaux domestiques fuitent, non ? PS : je n'ai pas lu le rfc ;) auquel cas, c'est un firewall configurable par l'utilisateur qu'il faut mettre dans le CPE, et pas ce bricolage de NAT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Je crois qu'on est tous d'accord pour dire que le nat securise est un oxymore mais reste le sujet du multihoming sur lequel le nat66 apporte une reponse (certes pas terrible mais bon). De mon cote, hors de question de mettre en place du nat66 sur les cpe, aucun interet. Un bon firewall sur le cpe, ca fait plus serieux. Le 1 juil. 2011 10:17, Raphaël Jacquot sxp...@sxpert.org a écrit :
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Friday 01 July 2011 09:53:49 Raphaël Jacquot wrote: j'ai un peu de mal a voir ce que ce genre de bricolages apporte par rapport a du routage entre les 2 sous réseaux. j'y vois au moins trois inconvénients * ca casse la transparence de bout en bout * ca bouffe éminemment plus de ressources dans le CPE * ca ne sécurise pas mieux que le NAT en v4 bref, c'est totalement inutile... T'a 2 box Orange forfait spécial Michu, un PC de bureau recyclé en routeur, et pas la moindre trace de sousous dans la popoche. Comment tu fais ton multi- homing ? -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 30 juin 2011 à 22:34, Stephane Bortzmeyer a écrit : Personne ne veut mettre du NAT66 sur ses boxes ? :-) http://www.bortzmeyer.org/6296.html Ces problèmes d'adressage me semble un gros frein au déploiement d'IPv6. Si j'ai bien compris les concepts d'IPv6 (je mets pas les :-) de rigueur, ne pas prendre au 1er degré !) : 1 - IPv6 a été conçu dans l'idée que la moindre ampoule électrique peut avoir sa propre adresse IP 2 - NAT44 et RFC1918 sont des technologies ayant été inventée en IPv4 uniquement pour adresser le manque d'adresses IPv4 3 - NAT66 est donc une technologie inutile 4 - en IPv6, tout doit être routé et c'est les firewalls qui assurent la sécurité 5 - le prefix réseau est fourni par le(s) routeur(s) (par exemple le CPE internet) 6 - l'autoconfiguration s'occupe de tout : le routeur donne le prefix aux postes du réseau La réalité des usages actuels d'IPv4 : a - IPv4 est déployé en interne en RFC1918 et un NAT44 est utilisé pour l'accès internet b - Beaucoup d'entreprises, y compris de petite taille, ont plusieurs accès internet c - Beaucoup d'entreprises, y compris de petite taille, ont un VPN IP pour gérer le multi-site (VPN IP, pas forcément IPSec) d - Dans les entreprises multi-sites, il n'est rare de sortir par l'accès internet centralisé e - Des utilisateurs mobiles remontent sur l'intranet via une connexion internet quelconque et une tech +/- sécurisée (ipsec, L2TP, PPTP, ...) f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour sécuriser leur accès On rencontre pratiquement tous ces usages chez tous les utilisateurs : - particuliers via sa DSL BOX - petite entreprise - PME - grosses entreprises Le problème est le manque de visibilité sur la démarche recommandée pour un déploiement IPv6. Par exemple, pour le particulier : - l'activation d'IPv6 est une option de certains fournisseurs, dois-je le faire ou non ? - dois-je m'inquiéter que mon adresse est trackable ou pas ? (les windows récents utilisent des adresses temporaires, mais les anciens windows ? Mac OS X ne le fait pas, un iPhone ? un android phone ? ) - j'ai l'habitude que mon abonnement IPv4 est +/- sécurisé par défaut (via le NAT44, d'ou les +/-), c'est normal docteur que depuis que j'ai activé mon IPv6 je pollue toute la planète (je trouve particulièrement stupide et dangereux de la part de free que la box ne fasse pas au minimum du firewalling statfull). Pour l'entreprise : - est-ce normal docteur que mes postes aient une adresse publique ? - si je change de provider sur un site, je dois revoir tout mon routage VPN inter sites et/ou avec les nomades ? - si j'utilise des adresses ULA, mes postes doivent avoir en sus les adresses du prefix internet ? - si j'ai plusieurs adresses sur un poste, c'est donc le poste qui décide de la meilleure adresse source à utiliser ? avec quel critère ? - si j'ai plusieurs accès internets, comment gérer du policy routing sans NAT ou NPT ? dois-je forcément alors mettre en oeuvre une usine à gaz de multi-homing et/ou faire du BGP ? Le monde IPv6 serait tellement plus simple si on avait un consensus pour adresser notamment : - l'adressage de base (ULA ou prefix internet ?) - la sécurité de base, surtout pour la TPE et le particulier - le multi-homing simple (genre qu'ai un SDSL pour le VPN et une ADSL pour le surf) sans BGP ou autre technoligie inaccessible pour la PME - une technologie permettant d'utiliser Internet IPv4 à partir d'un accès IPV6 (NAT64 +DNS 64 semblent prometteurs) Ces questions de bases sont le vrai frein au déploiement d'IPv6 actuellement. Qu'en pensez-vous ? Alain -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 1 juil. 2011 à 13:30, Mathieu Goessens a écrit : On Fri, 01 Jul 2011 09:53:49 +0200, Raphaël Jacquot sxp...@sxpert.org wrote: j'ai un peu de mal a voir ce que ce genre de bricolages apporte par rapport a du routage entre les 2 sous réseaux. Fallait lire le RFC ou l'article de Stéphane :-) Cela peut permettre de faire du multihoming du pauvre, d'avoir un réseau avec un adressage privé (ULA) en interne et un adressage publique en externe que l'on change très facilement, typiquement, si on change d'ISP, ou à la volée si on fait du policy routing. Ainsi tu peux avoir: Réseau +- ISP1 2001:0db8:1::/64 Interne--[ Routeur + NAT66 ]---+ fdxx:xx... +- ISP2 2001:0db8:2::/64 oui, c'est ce qui me semble très positif dans cette RFC 6296 : on peut faire du multi-homing sans avoir besoin de BGP et/ou d'adresses PI. Reste plus qu'à trouver un CPE pas trop cher ou un linux implémentant ce RFC. Plus que 2-3 ans à attendre :-( j'y vois au moins trois inconvénients * ca casse la transparence de bout en bout * ca bouffe éminemment plus de ressources dans le CPE * ca ne sécurise pas mieux que le NAT en v4 * Ça ne casse pas la transparence de bout en bout, sauf pour les protocoles qui embarques l'adresse IP (SIP, FTP..) * Ça ne bouffe quasiment pas de ressource. Pas d'état sur le CPE. Juste un préfixe à recalculer (ou un checksum si on veut avoir PRFX1::1 PRFX2::1 mais cela diverge du RFC). * Ça n'a pas pour but d'apporter de la sécu. Oui, c'est une très bonne idée de ne pas appeler ça NAT66 mais NPT car il s'agit bien que d'une moitié du problème (l'adressage), l'autre moitié étant évidement un firewall statfull permettant d'implémenter une sécurité de base (genre je laisse tout sortir et j'empeche de rentrer tout trafic n'ayant pas été initié depuis l'intérieur). Pour ce qui est des protocoles nécessitant un ALG, on sait depuis bientôt 20 ans qu'ils sont défaillants par conception et qu'il serait temps de les rendre obsolètes. A propos, qu'en est-il de ftp sur ipv6 : le mode actif est-il supporté ? A+ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, 2011-07-01 at 14:17 +0200, Alain Richard wrote: Pour ce qui est des protocoles nécessitant un ALG, on sait depuis bientôt 20 ans qu'ils sont défaillants par conception et qu'il serait temps de les rendre obsolètes. tu nous proposes des remplacants pour SIP est RTSP qui ne soient pas brevetés ? Amicalement Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
j'y vois au moins trois inconvénients ca bouffe éminemment plus de ressources dans le CPE Cela casse bien the end to end principle - PAT ou NAT. http://en.wikipedia.org/wiki/End-to-end_principle * Ça ne bouffe quasiment pas de ressource. Pas d'état sur le CPE. Juste un préfixe à recalculer (ou un checksum si on veut avoir PRFX1::1 PRFX2::1 mais cela diverge du RFC). Oui, avec une relation 1:1 c'est vraiment pas dur a coder, c'est du packet mangling. Cela ne bouffera de memoire comme NAT avec PAT - ce qui est le probleme avec NAT. Thomas
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, 1 Jul 2011 13:42:43 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk wrote: j'y vois au moins trois inconvénients Cela casse bien the end to end principle - PAT ou NAT. http://en.wikipedia.org/wiki/End-to-end_principle Heu, en quoi cela casse ce principe ? Tu as lu le RFC ? Ou ne serait ce que les 5 lignes d'intro ? :) C'est juste une traduction d'adresse 1:1. Il n'y a aucun mécanisme de filtrage qui casserait ce principe. -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 1 juil. 2011 à 14:49, Mathieu Goessens a écrit : On Fri, 1 Jul 2011 13:42:43 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk wrote: j'y vois au moins trois inconvénients Cela casse bien the end to end principle - PAT ou NAT. http://en.wikipedia.org/wiki/End-to-end_principle Heu, en quoi cela casse ce principe ? Tu as lu le RFC ? Ou ne serait ce que les 5 lignes d'intro ? :) C'est juste une traduction d'adresse 1:1. Il n'y a aucun mécanisme de filtrage qui casserait ce principe. Un réseau simplifié pour des applications intelligentes dis la version française de Wikipedia, chose qui pose bel et bien problème ici avec le NAT 1:1 en IPv6, tu casses la connectivité bout en bout. Le client ne sait pas quelle IP il utilise sur Internet, ce qui pose problème pour le SIP mais aussi pour la sécurité du système, exit IPSec, exit le kerberos avec identification sur les IP, etc. smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 1 juil. 2011 à 16:20, Michel Py a écrit : Rémy Sanchez a écrit: T'a 2 box Orange forfait spécial Michu, un PC de bureau recyclé en routeur, et pas la moindre trace de sousous dans la popoche. Comment tu fais ton multi-homing ? Mauvais argument. Si tu as une raison valable d'être multihomé, tu as quelques sous dans des poches. Avant le multihoming, tu vas commencer par des disques en miroir, une carte raid, une alim redondante, un onduleur... Et puis quand tu as besoin du multihoming, tu ne fais pas ça avec de l'aDSL à la Michu. Tu mets ton serveur 1U dans une colo. Faux Michel. Pour mémoire (vu le peu de fois où je parle ici), je suis admin sys freelance, je bosse en consultant pour les TPE et PME dans le monde Mac. La plupart de mes clients ont effectivement du bon matos sur la partie serveur, mais c’est un investissement fixe pour des services hébergés et une qualité contrôlée. Le problème pour l’accès Internet. C’est qu’en France aujourd’hui c’est juste du grand n’importe quoi. Les lignes SDSL sont facturées une fortune par les FAI et ne parlons même pas des fibres. Pour autant les entreprises sont dépendantes du net. Ce qui amène énormément de petits clients à disposer de plusieurs accès Internet ADSL chez différent FAI en priant pour que les deux ne tombent pas en rade en même temps. Certes ce n’est pas le must have de la redondance, mais il serait très faux de croire que le multihoming n’est destiné qu’aux gros pleins de fric. Et surtout les FAI ne font rien pour facilité le multihoming, car ce n’est pas à leur avantage quand il est de client pro (bah ouais, comment tu vends l’option VPN au mois, l’antivirus…) de plus faire du mutli-FAI sur un bloc PI oblige une certaine procédure, que peu de commerciaux connaissent, et du coup des offres de transite IP qui n’ont plus du tout le même prix… my 2 cents smime.p7s Description: S/MIME cryptographic signature
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, 1 Jul 2011 07:20:33 -0700, Michel Py mic...@arneill-py.sacramento.ca.us said: Mauvais argument. Si tu as une raison valable d'être multihomé, tu as quelques sous dans des poches. Avant le multihoming, tu vas commencer par des disques en miroir, une carte raid, une alim redondante, un onduleur... Et puis quand tu as besoin du multihoming, tu ne fais pas ça avec de l'aDSL à la Michu. Tu mets ton serveur 1U dans une colo. Pas forcement. Enfin, ca depend ce qu'on entend par multihome. Tres souvent ca cache juste le fait d'avoir deux liens internet, et c'est de plus en plus courant de nos jours. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Fri, 1 Jul 2011 16:53:27 +0200, Yoann Gini yoann.g...@gmail.com said: Le problème pour l’accès Internet. C’est qu’en France aujourd’hui c’est juste du grand n’importe quoi. Les lignes SDSL sont facturées une fortune par les FAI et ne parlons même pas des fibres. Pour autant les entreprises sont dépendantes du net. Ce qui amène énormément de petits clients à disposer de plusieurs accès Internet ADSL chez différent FAI en priant pour que les deux ne tombent pas en rade en même temps. Voila le resume de la situation. Pas la peine de s'attaquer aux causes reels de cette situation; c'est quelque-chose qui existe, qui se resoud de facon asses standard, et sur laquelle certains se font des c* en or (souvent avec du kk bien package). Toute solution (meme bonne) qui risque de boulverser cet eco-systeme riqsue de deranger les parties impliques (les clients compris). --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Yoann Gini a écrit: Le problème pour l’accès Internet. C’est qu’en France aujourd’hui c’est juste du grand n’importe quoi. Personne ne t'empêche de devenir FAI. Les lignes SDSL sont facturées une fortune par les FAI et ne parlons même pas des fibres Ben tu n'as qu'à poser la tienne et on reparle de combien ça t'a coûté quand tu as fini Ce qui amène énormément de petits clients à disposer de plusieurs accès Internet ADSL chez différent FAI en priant pour que les deux ne tombent pas en rade en même temps. Faut pas appeler ça du multihoming, je suis désolé. Google Dual Wan Router tu en trouveras plusieurs; ça n'a jamais été un succès et pour cause: ça load-balance quand c'est de bonne humeur et ça détecte les problèmes seulement 3 jours par semaine s'il ne pleut pas. Souvent, la détection si le lien est opérationnel ou pas c'est un ping de l'autre coté, si le lien est saturé le ping se perd, toutes des sessions se plantent, etc. C'est une solution de merde, et ce n'est pas le fait de l'implémenter avec NPT au lieu de NAT44 qui va changer çà. J'ai plusieurs petits clients qui ont 2 liens: en général un T1 partagé avec la voix ou il y a rarement plus de 500kb/s, et un câble/fibre parfois avec une IP dynamique. Généralement je mets le serveur de mail sur le T1, et les postes sur le câble. En plus comme ça si un poste récupère un merdiciel qui envoie du spam, c'est l'adresse du câble qui se fait blacklister et pas celle du serveur (vaut mieux bloquer 25 mais c'est pas toujours possible). Si le câble est en rade (ça arrive quand même pas tous les jours), je change le Default Gateway dans DHCP, tout le monde fait un release/renew et rame sur le T1 en attendant que le câble revienne. Rémy Sanchez a écrit: mes 150 humains à déservir La quand même faudrait arrêter de rêver un peu; 150 gugusses sur 1 aDSL pourri et tu t'étonnes que ça rame? C'est comme d'essayer de faire du QOS. Bon je vais te la donner la solution: 150 x €10/mois ça fait €1500 par mois, à ce prix là tu peux avoir un bon tuyau. Une ligne aDSL, ce n'est pas fait pour connecter 150 étudiants. Toi tu es en train de demander une connexion pour 150 personnes pour gratos ou presque. Faudrait de temps en temps se mettre dans les pompes du FAI aussi; tu veux le beurre, l'argent du beurre, et le cul de la crémière. Michel.
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Stephane Bortzmeyer a écrit: Personne ne veut mettre du NAT66 sur ses boxes ? :-) http://www.bortzmeyer.org/6296.html Ah mais c'est trolldi! Ben ça va (très) bientôt faire 10 ans (le 6 Août) que j'ai décrit en détail ce mécanisme (soumis draft-py-multi6-mhtp-00.txt, qui a évolué en draft-py-mhap-01a.txt). Ce texte est une version simplifiée, pour ne pas dire simpliste. Mais la partie qui m'a fait rire, c'est: URI: http://www.painless-security.com Painless Security. Voyons voir, ça ne serait pas un oxymore, des fois? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 30 juin 2011, at 22:34, Stephane Bortzmeyer wrote: Personne ne veut mettre du NAT66 sur ses boxes ? :-) http://www.bortzmeyer.org/6296.html Auteur(s) du RFC: M. Wasserman (Painless Security), F. Baker (Cisco Systems) chez moi ca s'appelle du routage... ils ont sorti leur truc pour le 1er avril ?--- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Raphaël Jacquot a écrit: chez moi ca s'appelle du routage... Non; le terme prefix translation est correct. A l'origine, MHAP s'appellait MHTP (Multi Homing Translation Protocol); j'ai remplacé translation par aliasing pour des raisons uniquement politiques: ça sonnait trop comme NAT, qui à l'époque n'était pas envisageable pour v6. C'est du NAT de subnet, dont les avantages sont assez bien expliqués. Ca existe pour v4 depuis 15 ans, même si personne ou presque ne s'en sert. ils ont sorti leur truc pour le 1er avril ? En Anglais on dit re-arrange desk chairs on the Titanic; c'est bien plus politiquement correct que pisser dans un violon et tout aussi efficace. Quand à moi, comme tous les vieux rats qui se respectent, j'ai vu monter l'eau et quitté le navire il y a longtemps. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/