IPv6 pour tous : première étape franchie

La pétition IPv6PourTous avait déjà été évoqué lors d’une précédente news.

Son but ? Prendre au pied de la lettre une boutade du directeur technique de Free et en profiter pour faire la promotion de l’IPv6, qui malgré quelques expérimentations / mises en place chez Wanadoo ou Nérim, n’est pas accessible au grand public.

Le 23 février 2006, soit grosso-modo 6 mois après l’ouverture de la pétition, une premiére étape a été franchie puisque la barre des 10 000 abonnés de Free, prêts à payer 1 euro par mois avoir un accès natif IPv6 a été atteinte. Si le directeur technique d’Illiad tient sa parole, on risque donc peut-être de voir prochainement une extension de l’offre de Free

Allez ! Plus que 77 000 signatures pour avoir un accès natif gratuit à l’IPv6 chez Free. Maintenant, pour tous !

Avant de mettre du natif, s’ils nous mettaient rien qu’un relay 6to4 un peu plus proche… et éventuellement des tunnels brokers dans un premier temps…

Je ne vois vraiment pas le but de passer en IPv6

Actuellement l’IPv4 ne survit que grâce au NAT.

L’IPV6 permettrait un réel gain en sécurité (grâce à ses fonctionalités supplémentaires) et en simplicité de gestion du réseau.

Chaque machine aurait une adresse unique, ce serait tellement plus simple !

J’ai quand même une question : un des avantages de l’IPv6 semble être que chaque ordinateur a une adresse unique, accessible de n’importe quel réseau (en gros qui inclue l’adresse “publique” et celle du réseau local, je me trompe ?).

Mais d’une part, n’est ce pas dangereux au niveau de la sécurité et d’autre part, les FAI n’en profiteraient-ils pas pour bloquer l’accès à plus d’un ordinateur déclaré ? (la grande majorité des contrats de FAI pour particuliers n’est valable que pour UN ordinateur, non ? Certains FAI tolèrent plusieurs PCs branchés en même temps avec un routeur et du NAT mais c’est rare et si l’abus est “autorisé” c’est simplement qu’ils ne peuvent pas empêcher techniquement le branchement de plusieurs PCs).

Si les pros d’IPv6 peuvent m’éclairer, ça sera bien aimable…

Pour la question de la « tolérance » des FAI pour plusieurs ordi, chez Free (le FAI en question donc dans la news) la question ne se pose pas puisque Free propose lui-même le mode « routeur » dans sa Freebox…

Pour la question « sécurité », disons que… oui et non.
Le routage (hors NAT) en lui même n’apporte aucune sécurité.
Le NAT n’est pas un élement de sécurité, même si, certes, il apporte une sécurité du simple fait que s’il voit arriver une connexion entrante et qu’on lui a pas dit quoi en faire, il jete… mais c’est plus une contrainte technique qui apporte cette sécurité, c’est pas la fonction d’un NAT.

Donc Oui, l’IPv6 ouvre des portes, mais on compte sur Free pour ajouter un mode « mini-FW » pour compenser le « mini-NAT » :stuck_out_tongue:

Edit :

En gros, oui c’est ça, mais y’a un peu abus de langage. Disons qu’il y a une partie « internet », une partie « intranet » (pour les entreprises qui veulent faire des sous-réseaux IPv6), et une partie « physique ». Il se trouve que la partie « physique », pour les réseaux IPv6 sur réseau 802.x (Ethernet, Wifi) sera, par défaut, l’adresse MAC, ce qui aura le bon gout de virer cette saloperie de table ARP.
Je crois pas dire de conneries… j’aurais du verifier sur wikipedia quand même, par acquis de conscience :stuck_out_tongue:

Je suis pas un pro de l’IPV6, mais euh… On peut faire du NAT avec de l’IPV6 au besoin si certains FAI font chier, ça empechera pas d’utiliser les autres fonctionnalités IPV6, c’pas un frein.

Mais bon, avec la DS et la PSP, sans parler des consoles de salon, qui passeront forcément en IPV6 à moyen terme, je vois mal un FAI ne permettre qu’une seule machine, càd demander un abonnement pour le PC, un abonnement pour la DS et un abo pour la gamecube.

'tout cas moi j’ai un switch 16 ports quasi plein au cul de la freebox alors que je vis seul, et je doute d’être le seul dans ce cas.

Oh, un dernier truc, pourquoi la Freebox est un routeur qui fait du NAT NATivement et serveur DHCP si Free voulait pas qu’on connecte plus d’une machine ?

Ce sera même necessaire pendant encore bien longtemps, à mon avis. Même Free n’est pas encore près, les autres opérateur pas plus, tonton michel non plus, et maurice avec son routeur wifi IPv4 acheté avant hier encore moins.
Evidemment, je ne parle même pas des applications, parcequ’alors là, on peut rigoler un moment parce que moi j’ai pas envie de monter des tunnels IPv4 sur IPv6 à chaque partie d’UT.

IPv4 est trèèèès loin de disparaitre

Allez, petit historique : Au début était l’arpanet, une poignée d’universités interconnectées. Les gens qui ont concu le bordel IP n’avaient jamais idée que leur protocole serait LE protocole de ce qui allait devenir LE réseau mondial. Bref, pour eux, 4 octets, largement suffisant, et on se distribue ca par paquets de 16millions, 65000 ou 256 addresses. (classes A,B et C) Tant pis pour le gaspillage, on est pas nombreux, on s’en fout. Et tant qu’a faire, on s’attribue ca dans l’ordre.

Premiers soucis en 1993. Les classes C commencent méchament a faire défaut. Et a coté de ca, elles sont réparties n’importe comment (123.12.13.0 et 123.12.14.0 pouvaient alors êtres aux antipodes). Du coup, les tables de routage commencent à exploser.

Première réaction : on vire les classes (raison pour laquelle je m’étrangle quand un cours de réseau parle de classes d’addresses IP :stuck_out_tongue: ) en 1994, et on mets en place le CIDR. En gros, l’IANA récupére les pools d’addresses, et refile des /8 (le premier octet) aux différents registries (par exemple, le 82/2 est européen). Les différents registries découpent ensuite ces bouts de l’espace d’addressage, pour les attribuers aux opérateurs, qui vont ensuite redistribuer a leurs clients. Moins de gaspillage, et des routes aggrégées, permettant de réduire dans un premier temps la taille des tables de routages des core-routers.
Note : certaines classes n’ont pas été rendues à l’IANA (pour la bonne raison que, par exemple, le RIPE propose un /29 à la place d’une classe C à un organisme comme une fac … bref, préfèrent garder leurs acquis).

1999 : bulle internet. La hype : être multihomé, avoir plusieurs liens pour que le serveur (souvent www) soit tout le temps accessible. Gros bonds dans l’attribution des pools, les tables de routage voient aussi leurs taille augmenter.

Depuis 2000, l’accroissance des affectations est stabilisées. C’est pas linéaire, c’est légèrement exponentiel, mais même si l’on continue comme ca, l’IANA n’aura plus rien à donner aux registries d’ici 2008. Et les registries commenceront à être à bout de souffle d’ici 2010-2012. Avec les réserves des opérateurs, ont peu espérer que ca pourrais tenir le coup jusqu’a 2018, mais j’aimerais pas être à la place d’un routeur a ce moment, et les merdes de routages risquent de commencer bien avant.

Ca c’est si on continue comme ca. Mais c’est sans compter l’explosion des marchés asiatiques, (peut-être africains, mais je me fais pas trop d’illusions, malheuresement), et l’arrivée de l’IP mobile (convergence 3G, tout ca).

Après, IPv4 n’est pas près de disparaitre. Mais m’est avis qu’il vaut mieux commencer dès maintenant une migration douce, plutôt que de tomber des nues dans 4-5 ans. Un peu comme pour le passage à l’an 2000 quoi.

[quote=« use-writer, post:5, topic: 27687 »]J’ai quand même une question : un des avantages de l’IPv6 semble être que chaque ordinateur a une adresse unique, accessible de n’importe quel réseau (en gros qui inclue l’adresse « publique » et celle du réseau local, je me trompe ?).

Mais d’une part, n’est ce pas dangereux au niveau de la sécurité et d’autre part, les FAI n’en profiteraient-ils pas pour bloquer l’accès à plus d’un ordinateur déclaré ? (la grande majorité des contrats de FAI pour particuliers n’est valable que pour UN ordinateur, non ? Certains FAI tolèrent plusieurs PCs branchés en même temps avec un routeur et du NAT mais c’est rare et si l’abus est « autorisé » c’est simplement qu’ils ne peuvent pas empêcher techniquement le branchement de plusieurs PCs).

Si les pros d’IPv6 peuvent m’éclairer, ça sera bien aimable…[/quote]

Bon, niveau sécurité, deux points. D’une part comme c’est dit ailleurs tard, le NAT seul est une sécurité par obfuscation. Bref, « tu me vois pas donc tu peux pas m’atteindre ». Personnellement, je ne considère pas le NAT comme dispositif de sécurité, sauf s’il est associé a un filtre de paquets (communément appelé pare-feu :stuck_out_tongue: ).

Deux solutions donc, qui sont d’ailleurs déja utilisées en v4. La première est de filtrer là où l’on nattait et filtrait avant. La deuxième, qui est sans doute la plus viable et la plus probable pour le grand public est de filtrer en bout de chaine. Ca tombe bien, c’est ce que font les pare-feu personnels, que les plus paranos d’entre vous on surement laissé actifs (ou en ont installé) y compris derriere les nats.

Pour ce qui est des FAI, mis a part pour les offres modems en RTC et les premières offres cables, ca fait bien longtemps que sur ADSL, le nombre de PC n’est plus limité (ca serait stupide, vu qu’aujourd’hui, tout le monde distribue son propre modem/routeur vifi).

[quote=« urdle, post:6, topic: 27687 »]En gros, oui c’est ça, mais y’a un peu abus de langage. Disons qu’il y a une partie « internet », une partie « intranet » (pour les entreprises qui veulent faire des sous-réseaux IPv6), et une partie « physique ». Il se trouve que la partie « physique », pour les réseaux IPv6 sur réseau 802.x (Ethernet, Wifi) sera, par défaut, l’adresse MAC, ce qui aura le bon gout de virer cette saloperie de table ARP.
Je crois pas dire de conneries… j’aurais du verifier sur wikipedia quand même, par acquis de conscience :P[/quote]

C’est pas exactement ca. Déja, en v6, t’oublie le ( 1 interface = 1 adresse ). Chaque interface pourra avoir (en fait, dans la pratique aura) plusieurs adresses.
Y’aura effectivement une adresse de Lien-Local (non-routable), dérivée de l’adresse MAC. Généralement, on aura une adresse dite globale, publique (et mondialement-unique, ce qui ne veux pas forcement dire accessible). Et, en entreprise, il y’aura possibilité d’avoir une addresse de site ou interne, pour avoir un plan d’adressage plus local.

Alors, effectivement, c’est bien une histoire d’addresses en plusieures parties. La premiere, qu’on apelle « préfixe », identifie le réseau et le sous réseau. L’addressage global est plus ou moins topologique. Par exemple : 2001:660::/16 => renater 2001:660:7101::/24 => Fac de caen. Le préfixe à une longeur max de 64bits, laissant 64bits pour identifier l’interface.

oui, 64bits; ca peux parraitre long, mais ca a plusieurs avantages : une interface peut ainsi s’auto-configurer, avec des risques minimes de collisions. D’autant que la regle est effectivement de dériver l’adresse MAC. Les routeurs anoncent les prefixes sur le liens, et les interfaces s’autoconfigurent, c’est quasi du plug&play.

A coté de ca, les machines pourront générer des addresses temporaires pour éviter le tracking. Et eventuellement utiliser une adresse différente par service ou logiciel.

L’ARP disparait donc effectivement, mais pour être remplacé par un mécanisme de découverte de voisins. L’avantage est qu’il est plus élégant dans sa spécifs, mais surtout qu’il utilise des groupes multicast ethernet au lieu d’un full broadcast. Le mécanisment en question permet d’ailleurs de détecter le départ d’une interface du réseau…

[quote=« urdle, post:8, topic: 27687 »]Ce sera même necessaire pendant encore bien longtemps, à mon avis. Même Free n’est pas encore près, les autres opérateur pas plus, tonton michel non plus, et maurice avec son routeur wifi IPv4 acheté avant hier encore moins.
Evidemment, je ne parle même pas des applications, parcequ’alors là, on peut rigoler un moment parce que moi j’ai pas envie de monter des tunnels IPv4 sur IPv6 à chaque partie d’UT.

IPv4 est trèèèès loin de disparaitre[/quote]

Les applications, c’est effectivement pas la joie. Raison de plus pour s’y mettre :stuck_out_tongue: Après, je fais confiance a l’armée de tonton bilou pour nous trouver des solutions pour adapter les vieux softs v4 à v6.

Tout ca, c’est sans parler des perspectives d’IPv6.
IPv6, c’est un peu une aubaine pour le client final, pas du tout pour les opérateurs. En effet, la pénurie d’adresses est la bonne excuse des opérateurs pour nous mettre a disposition des boiboites NAT dont ils controlent l’interface publique.
Cette interface publique, c’est un peu la clef des services client à client (téléphonie, messagerie, visioconf), car il est très difficile de mettre en place ce genre de services sans acces à l’interface publique. (C’est encore plus difficile si on veux décentraliser totalement ces services, et faire du point à point complet).
Mais ca, finalement, cela arrange bien les opérateurs. Car en attendant, ils gardent le controle de ces services, et on peux vous les facturer…

Edit : (comme si le post était déja pas assez long…)

D’autres infos là : http://www.tzim.net/?Ipv6

J’ai vraiment pas tout compris, mais merci Môssieur Tzim pour ce cours magistral, je viendrais relire ton post demain l’esprit plus clair, mais je n’ai pu réprouver ce cri du coeur, ça fait vraiment plaisir de voir que des gens sont prêts à expliquer (c’est certainement très clair pour des gens un peu plus doués que moi) des choses ausssi complexes pour la plèbe.
Bonne nuit

Merci Tzim.

Voilà qui est bien complet, merci des explications.

Bon, par contre ce n’est pas tout à fait vrai pour le contrat de FAI permettant l’accès à plusieurs PCs, mes parents ayant pris une livebox récemment (cambrousse = FT only), j’ai eu la surprise de constater que leur contrat ne permet légalement l’accès qu’à un PC, et que s’ils veulent partager leur connexion avec plusieurs ordis, il faudrait qu’ils prennent un contrat “pro” bien évidemment plus cher.

Mais bon, c’est vrai qu’il s’agit de wanadoo donne-moi-tes-thunes-pour-du-rien, donc je sais pas si c’est généralisé à d’autres FAI.

Je croyais que les FAI nous louaient une ligne et rien de plus ?

Non; FT te loue une ligne (ou la loue à ton FAI, c’est selon le dégroupage total ou pas), et eventuellement des services;
Le FAI te loue des services. (C’est tout dans la nuance :stuck_out_tongue: )

[quote=“use-writer, post:12, topic: 27687”]Voilà qui est bien complet, merci des explications.

Bon, par contre ce n’est pas tout à fait vrai pour le contrat de FAI permettant l’accès à plusieurs PCs, mes parents ayant pris une livebox récemment (cambrousse = FT only), j’ai eu la surprise de constater que leur contrat ne permet légalement l’accès qu’à un PC, et que s’ils veulent partager leur connexion avec plusieurs ordis, il faudrait qu’ils prennent un contrat “pro” bien évidemment plus cher.

Mais bon, c’est vrai qu’il s’agit de wanadoo donne-moi-tes-thunes-pour-du-rien, donc je sais pas si c’est généralisé à d’autres FAI.[/quote]

Alors ca c’est complètement débile. Wanadoo, quand tu nous tiens. Résumons:

  • la livebox est configurée comme un routeur par défaut
  • le fait de la passer en bridge c’est super bien planqué
  • il ya un connecteur wifi de base, qui peut fonctionner de base avec le cable ether
  • et après ca ils osent dire que c’est interdit?

C’est pas un peu du foutage de gueule? (note: je ne suis pas chez mamadoo)

oui effectivement ca devient subtil ^^

Non non non.
Je pense pas que wanadoo interdise la connexion de plusieurs PC, mais plutot ne garantie le service que sur un seul.

En effet le partage de connexion se fait grace à du NAT et le nat empêche la possibilité pour les machines derrière le routeur d’être serveur. Ce qui empêche certaines applis de fonctionner (le FTP actif, pour ne citer que le plus connu, mais aussi l’envoi de fichier par MSN).

Dans les faits maintenant il y a l’upnp qui résoud plein de problèmes, mais c’est une solution batarde.
En clair Wanadoo ne veut pas faire la maintenance de ces configurations réseau là (et ils ont bien raison).

On voit ici que le NAT a vraiment beaucoup d’effets secondaires, qu’il faudra traiter lors de sa disparition.

sinon pour revenir à l’ipV6. Dans ce que j’ai compris, il n’y a plus de notion adresse publique/privée, puisque les opérateurs fournissent directement des réseaux (l’utilisation d’ip privées est encore un effet secondaire du nat…). Et le protocole DHCP devrait disparaitre (youpi, encore une fausse sécurité qui saute), si j’ai bien compris, l’arp a aussi du plomb dans l’aile. Cela va vraiment nous simplifier le protocole. Enfin, le DNS va enfin devenir obligatoire (taper directement les ip va devenir décourageant)

Que de bonnes chose cet IPv6

sinon, tzim, grace à toi je me sens moins seul dans la lutte des classes (A,B,C). Je fais aussi partie de ceux qui sautent au plafond lorsque j’entends “c’est une adresse en 10.x.x.x, vous avez un réseau en classe A ?”. Le pire, c’est que ce sont de ‘jeunes’ actifs qui disent ça (juste sorti de l’école)

Un tunnel-broker ou un teredo chez free je dirai pas non en attendant. Après tout il y en a bien chez wanadoo :stuck_out_tongue:

Non, teredo, ca pue :P. Je dis pas ca pasque c’est du MS, hein. Sur le papier, c’est assez propre et plutôt bien concu. En pratique, ca marche tout simplement pas, pasque les routeurs du réseau v6 natifs savent pas quoi faire des paquets a destination des adresses teredo…

Bon moi j’y suis encore à l’ecole et je confirme, tous mes cours de reseau depuis 3 ans parlent bien des differentes classes d’ip. Maintenant, je comprend pas pourquoi toi et tzim “sautez au plafond”. Si l’un de vous veu bien m’expliquer rapidement pourquoi on peu plus parler de classes d’ip je vous en serez reconnaisant.

edit: D’ailleurs je ferais remarqué qu’en 3 ans d’etudes (2 en IUT Genie Telecom et Reseau et 1 en LP Securité et Qualité en Telecom), aucun de nos profs n’a jugé utile de nous parler de l’ip v6, malgré nos demande. Selon eux c’est une sorte de reve de chercheur qui sera jamais mis en place (ou dans tres longtemps). Tout ce que j’ai appris sur l’ip v6, je l’ai fait en bossant de mon coté.