Je veux me lancer dans ipv6 , je commence par quoi?

#1

lol.
Quel livre, quel tutoriel …
bien sur avoir les bases (j’ai un peu lu à ce sujet mais jamais pratiqué !)

#2

c’est parti …
Déjà QoS natif … donc pour la neutralité du web c’est mal barré !
Nativement il y a moyen de prioriser le trafic.

#3

un type dont j’apprécié la pédagogie, on peut dire que j’ai appris ipv4 et ses briques avec lui, Christian Caleca !!!

Et celui-ci

http://livre.g6.asso.fr/index.php/Table_des_matières

#4

moi qui fait des tests (ipv6) avec mon isp “FREE” … je suis assez heureux !
samedi 29 février 2020 22:13

En production : 14 668 DSLAMs et 1106 switchs optique
En test : 54 DSLAMs et 134 switchs optique

207 incidents détectés aujourd’hui

6 DSLAMs et 144 switchs optique ne sont pas joignables actuellement

#5

Pénurie en ipv6 “publique” …
Le compteur :
https://samsclass.info/ipv6/exhaustion-p.htm
lol …

1 Like
#6

Free SAS : pare-feu IPV6 par défaut désactivé ou c’est moi qui rêve sur les Freebox ?
… si c’est la réalité c’est assez dingue ce truc vu qu’ensuite chaque ipv6 est … publique.
Je me trompe ?

(ensuite il y a un paquet de sites qui ne sont pas compatibles ipv6 )
…ben voilà une partie de la réponse jusqu’à 2019 … il n’y en avait tout simplement pas !!!
https://dev.freebox.fr/bugs/task/4110
Et pire il n’est PAS activé par défaut … donc un pauvre gars qui fout un pc etc derrière une fbox : si par malheur’il est en ipv6 … il navigue carrément à poil.

#7

Ceci dit il faut trouver l’ipv6 en question et c’est moins simple de scanner ipv6 qu’ipv4 même le range d’ipv6 de free je pense.

L’ancienne freebox des offres ADSL était configurée en switch par défaut seul un ordinateur recevait l’ipv4 publique. C’est ce que j’avais il y a 2 ans (évidement j’avais revu la config, mais j’avais été étonné d’avoir l’ip publique sur mon pc direct…).

#8

alors la c’est sacrément étrange. je lis je lis … les évangélistes de l’ipv6 disent "utiliser les ULA c’est pas bien " (en gros nos bonnes vieilles ipv4 privées non routables) “vous DEVEZ prendre des GUA” (ip publiques) … ok , mais il se passe quoi si mon entreprise de 50.000 ordinateurs changent d’opérateur , donc de préfixe ?
on renumerote tout, c’est ça ?

Et pour le cas prévu , demander un PI (provider indépendant), quelqu’un a déjà fait la démarche ?
que se passe t-il si on change de fai ?

#9

Je ne crois pas avoir lu que les pro IPv6 soient contre les ULA (cette association de lettre est très évocatrice pour les natifs d’avant 1995…), ils sont contre le NAT et pas n’importe quel NAT : le NAPT…

Je trouve idiot que les ULAs soient peu employés, surtout dans le monde qui arrive de l’IOT… Quel est l’intérêt que mon frigo est une IPv6 publique ? Aucun, il peut très bien avoir accès à un NAT (un vrai NAT IPpriv<->IPpub, qui n’est pas si mauvais que le NAPT), surtout pour faire de la MAJ et du Web.
note : je vous vois venir, oui il n’y a aucun intérêt que mon frigo soit connecté point-barre. Mais bon c’est pas moi qui décide du déploiement de l’IOT.

Mais bon c’est toujours pareil : manque de formation, les IPv6 sont longues et donc les cerveaux s’éteignent devant 96 bits supplémentaires et une nouvelle notation… C’est triste.

Se former à IPv6 c’est pas dingue, seul avec internet et des bonnes bases IPv4 ça se fait en quelques jours. En utilisant Kathara (le remplaçant du vénérable netkit) pour les ateliers.
Il ne manquera que les commandes du niveau 2 (ra guard, access-group…) qui sont vraiment des commandes de haut niveau de compétences.

#10


chap. 4.1.3 ula

ensuite ici
http://g6.asso.fr/wp-content/uploads/2019/03/sequence-4-v20180406-01.pdf#page27

page 35

je ne juge pas pour l’instant, je constate.
je découvre ipv6.

#11

Ils parlent des CPE, les box si tu préfères…

Some operators use ULAs for numbering the WAN link to the end-user CPE

C’est clair que si ta box à sur son lien WAN une ULA, c’est quand même mal barré…

1 Like
#12

ipv6 en 3 jours … :joy:
va dire ça à un newbie, déjà t’as 3 adresses par interface.
easy !
je suis en train de réfléchir à un possible plan d’adressage interne à une boîte : pas simple.
je lis ça aussi …

#13

Pour la page 35 du PDF, c’est à peu près ce que je dis :

  • Utile en interne, si pas ou peu d’accès externe
  • Complètement con en dehors de ces cas
  • Très peu utilisé car les gens savent pas lire une doc
#14

je viens de lire ça, sur un forum :
“Il est toutefois recommandé de choisir ses réseaux privés dans fd00::/8 en cas de changement futur.”
vu que je trouve des générateurs d’ULA, ça me semble être la bonne piste.(y’a même un algorithme se basant sur la date pour pondre l’adresse fd : c’est cool)

Et donc à contrario des fantasmes des pro ipv6 “tout le monde y voient tout le monde, et c’est beau” …ben on va rester avec des réseaux privés , non ?
oui tu sembles avoir raison pour l’usage des GUA sur des utilisations type webhosting.

source de la discussion :
https://lafibre.info/ipv6/difference-entre-adresse-locale-uniquereseau-local-et-adresse-local-lien/12/

#15

donc en interne, gua ou ula (post 1995 si tu veux … pouahhhh) ?

#16

Tu te places de ton point de vue ! (que je partage et tu le sais)
MAIS moi je suis un commercial, vendeur de tout et de rien : mon intérêt suprême EST que chaque iBidule (iot) soit directement joignable pour les stats, traçage , démarchage etc.
En plus cela facilitera et abrutira encore plus ce cher consommateur , qui n’aura qu’a regarder un séance de unboxing sur yourtube (deja en ipv6 , full stack no prob!) puis brancher non que dis-je allumer son précieux pour être pisté . Donc oui le NAT (et NATP , ne jouons pas sur les mots) m’emmerde , moi le commercial / marchand !

Mais ce que je trouve étrange c’est que Stéphane BortzMeyer défende cette vue du web. Je suis un peu surpris … (ou alors je l’ai mal lu ! : Note son site est vraiment cool pour les RFC ipv6 … quoique un peu engagé … donc pas que technique in finé)

D’ailleur je n’ai pas encore compris les arguments que je trouve vraiment pas bon concernant le fait que NON le NAT (ou NTAP) n’est pas un mécanisme de sécurité.
Pour moi, si, il en est un , c’est une couche de plus pour bloquer les accès non désirés.

Mes 30 mn en ipv6 openbar de hier (heureusement dans des VM aussitôt cramer) m’ont bien fait comprendre où je foutais les pieds ! (même avec le firewall activé sur 2 noeuds en amont, freebox, firewall … et celui du poste : ca tabasse déjà bien dur déjà malgré les milliards de milliards de milliards de possibilité d’adresse !)

Mais bon, fin de la parenthèse idéologique, place à la technique pour bien comprendre cette nouvelle version … et j’ai encore bcp de travail !

Go !

#17

purée mon test fonctionne mais un “ip a” me sort …
4 adresses IPV6 !
(j’ai viré l’ipv4)
Et visiblement je suis en SLAAC , car l’ip n’est pas celle que j’ai foutu dans le DHCPv6 …
J’ai pris un RA (Router Advertisement ) Assisted = Stateful DHCPv6 et SLAAC , M+O+A+Flags))
https://pastebin.com/WBRcKMsb

#18

Ip doit être de public vers public, par défaut.
Le fait de mettre 10 machines derrière une IP c’est de la pornographie sado-masochiste, et ça ne protège de rien : le NAPT n’a jamais empêché un ordinateur de se faire véroler, ça se saurait.

Regarde bien les différence entre NAT et NAPT c’est là que tout le monde se fait des illusions (https://www.securiteinfo.com/conseils/nat.shtml, https://www.bortzmeyer.org/nat-et-securite.html), le diable se cache “toujours” dans les détails.

Le CGNAT c’est du fétichisme pour FAI… Une autre manière de nous envoyer du diamètre 35 dans nos diamètre 15…
Une fois de plus ça protège de que dalle, et ça te met dans une bonne petite position de con-sommateur…

Ton analyse n’est pas bonne ce n’est pas le vendeur qui merde, une fois de plus c’est le FAI. Que tu distribue des ULA ou des UGA, c’est pas le problème de ton IOT, c’est le problème de ta box qui devrait te donner des outils simples pour décider si tu reste en UGA ou en ULA.

#19
    inet6 2a01:e0a:117:5301:f40b:60b2:f07d:440a/64 scope global temporary dynamic
   valid_lft 86275sec preferred_lft 14275sec
inet6 2a01:e0a:117:5301:7c3d:35ff:fe7f:ceca/64 scope global mngtmpaddr noprefixroute dynamic
   valid_lft 86275sec preferred_lft 14275sec

Tu as 2 ip car tu as demandé d’en avoir une temporaire (la première) et une basée sur EUI64 (avec ff:fe dedans)

Tu sors avec la temporaire, mais la eui64 te permet d’être joint

#20

je lis ça sur le premier doc …:

Un des avantages du NAT est de protéger les machines du réseau privé d’attaques directes puiqu’elles ne sont en fait pas accessibles de l’extérieur. De plus dans la majorité des cas, les requêtes de connexion ne peuvent provenir que de ces machines privées. Cela permet également de se prémunir contre un monitoring du traffic qui viserait à scruter les communications entre 2 machines particulières, un serveur sur Internet par exemple et une machine du réseau privé. Comme cette dernière n’est plus identifiable, l’opération devient impossible à moins de remonter au niveau applicatif (d’où l’utilité d’utiliser une protection/chiffrement à ce niveau également).

Moi ça, ça me va déjà , bien sure que je sais qu’on passe tout par les ports etc.
La sécurité c’est un empilement de barrière pour ralentir l’assaillant … le nat en est une.
Après c’est sur le NAt pété le bou t en bout, aucun doute (donc ipsec etc ) …

Je sais pas , faudra voir à l’utilisation.
Tu as peut etre raison.