Face à la pénurie d'IPv4, un bien triste état du déploiement d'IPv6 en France

Face à la pénurie d’IPv4, un bien triste état du déploiement d’IPv6 en France

Je vais bien, tout va bien...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

18/11/2019 14 minutes
114

Face à la pénurie d'IPv4, un bien triste état du déploiement d'IPv6 en France

Le déploiement et surtout les activations d'IPv6 sont très inégaux en France. Free est largement en tête sur le fixe, mais bon dernier sur le mobile (à égalité avec SFR), un domaine où Bouygues Telecom règne en maître. Une bonne partie des prévisions (jusqu'en 2022) transmises par les opérateurs à l'Arcep  ne sont pas spécialement réjouissantes.

L'Arcep vient de mettre en ligne « une version élargie de son baromètre de la transition vers IPv6 » puisqu'elle prend en compte des opérateurs avec au moins 5 000 abonnés (au lieu de 3 millions).

La conclusion est sans appel ni surprise : il y a un « retard de la majeure partie des acteurs ». Le régulateur tire une nouvelle fois la sonnette d'alarme. Pour rappel, l'Internet Protocol version 4 date de 1983 et propose près de 4,3 milliards d'adresses IP. Si c'était suffisant au départ, c'est loin d'être le cas depuis des années. La relève a été pensée dès la fin des années 90 avec l'Internet Protocol version 6, ou IPv6.

Il permet d'adresser 3,4×10^38 adresses, soit une quasi-infinité à l'échelle de la Terre puisque cela correspond à « 667 millions d’IPv6 pour chaque millimètre carré de surface terrestre », explique l'Arcep.

Les problématiques soulevées par la pénurie d'IPv4

La pénurie des adresses IPv4 est un sujet dont on parle depuis des années, sans que les principaux maillons de la machine (au moins en France) ne s'en préoccupent plus que cela, malgré les différents appels du pieds.

Or, cette pénurie peut entraîner plusieurs problèmes importants : « La lenteur de la migration peut d’une part provoquer le dysfonctionnement de certaines catégories de services sur Internet (systèmes de contrôle de maison connectée, jeux en réseau, etc.) du fait de systèmes de partage d’adresse IPv4 entre plusieurs clients mis en place pour faire face à la pénurie. D’autre part, elle est susceptible d’ériger une barrière à l’entrée à l’encontre des nouveaux acteurs du marché ».

« D’ici fin 2019, le stock d’adresses IPv4 disponibles sera épuisé, et Internet "cessera de grandir" : le RIPE-NCC, le registre régional d'adresses IP qui alloue les adresses IPv4 pour l'Europe et le Moyen-Orient, a annoncé que le nombre d’adresses IPv4 en attente d'attribution est supérieur au nombre d’adresses IPv4 restantes », détaille l'Autorité.

Les IPv4 devenant des ressources rares, leurs tarifs augmentent et ceux qui ont du stock les vendent au prix fort.

Arcep IP v6

Presque tous les maillons de la chaîne sont responsables

L'Arcep ne s'est pas contentée de regarder du côté des FAI et des opérateurs, elle s'est aussi penchée sur les hébergeurs de contenus, les infrastructures DNS, les équipementiers, les transitaires et les terminaux. En effet, pour qu'une connexion passe en IPv6 il faut que l'ensemble de la chaîne soit compatible avec ce protocole. 

Un premier bilan global permet de se rendre compte que la migration vers IPv6 des ordinateurs, tablettes et smartphones est « totale ou élevée », alors qu'elle est « faible ou nulle » sur les objets connectés. Côté réseau, ce n'est pas la fête puisque seuls les équipementiers s'en tirent bien, tandis que l'infrastructure DNS et les transitaires affichent une migration partielle, comme l'indique le tableau ci-dessous.

Arcep IPv6 

80 % de clients activés sur les Freebox... 6,7 % chez SFR

Passons maintenant au cas des fournisseurs d'accès sur le fixe. Free fait office de bon élève avec 80 % de l'ensemble de ses clients activés en IPv6, contre 68 % pour Orange. Les deux autres FAI nationaux sont bien loin : 20 % pour Bouygues Telecom et seulement 6,7 % pour SFR. Attention, il s'agit bien des clients activés (soit par une action volontaire de l'utilisateur sur les paramètres de sa box, soit à distance par le FAI), pas de ceux éligibles à IPv6.

L'Arcep explique en effet « qu'un client est dit "IPv6-ready" s’il est en mesure d’activer lui-même IPv6 sur sa box (le réseau et la box sont compatibles) ». Les chiffres sont alors tout autres : 99 % de clients IPv6-ready pour Free (tous les types de réseaux confondus) et 70 % pour Orange (très proche donc de son taux d'activation). SFR grimpe à 64 %, tandis que Bouygues Telecom reste au ras des pâquerettes avec 20 %.

Dans le détail, 100 % des clients Free sont IPv6-ready sur son réseau (en propre) xDSL et FTTH, contre 0 % sur le réseau de collecte xDSL, soit un total de 99 % sur l'intégralité de son parc. 75 % des clients xDSL sont activés, contre 100 % de ceux en FTTH. C'est clairement le FAI le plus avancé. D'ailleurs, l'Arcep « se félicite que Free ait déployé un nouveau firmware sur la très grande majorité de ses box en mai 2019 et supprimé la possibilité de désactiver IPv6, augmentant ainsi significativement l’utilisation d’IPv6 en France ».

20 % du réseau Bouygues Telecom IPv6-ready, 64 % pour SFR

Free est suivi par Orange, dont 60 % du réseau xDSL est IPv6-ready (pour 59 % de clients activés) et 100 % du réseau FTTH IPv6-ready, pour 97 % des clients activés.

Chez SFR, 100 % des clients xDSL sont IPv6-ready sur l'ensemble du réseau (y compris en collecte), mais seulement 1,5 % d'entre eux sont activés. Un contraste très important. Par contre, 0 % des clients sont IPv6-ready sur le câble (réseau hérité de Numericable) et seulement 60 % sur le FTTH, pour 38 % d'activés.

Enfin, Bouygues Telecom est à la traîne avec 35 % seulement de son réseau propre xDSL en IPv6-ready, soit le score le plus faible des quatre FAI. On tombe à seulement 25 % en ajoutant la collecte. Par contre, l'intégralité des clients IPv6-ready est activée sur son réseau xDSL (25 %). Sur le câble c'est le même score que SFR (Bouygues Telecom passe de toute façon par le réseau de la marque au carré rouge), tandis qu'en FTTH seulement 2 % des clients sont IPv6-ready (et autant à être activés) ; un score très faible comparé à la concurrence. 

Bref, Bouygues Telecom est en retard sur ses concurrents niveau déploiement (20 % de l'ensemble de son réseau), mais comme il active le nouveau protocole par défaut à ses clients, il dépasse allégrement SFR sur le taux d'activation d'IPv6.

  • Arcep IP v6
  • Arcep IP v6
  • Arcep IP v6

L'Arcep demande à SFR d'activer IPv6 par défaut

« IPv6 est activé par défaut, quand le client est IPv6-ready, chez Bouygues Telecom, Free et Orange. Pour SFR, l’activation doit être réalisée par le client, via un paramétrage de la box », résume l'Arcep. Néanmoins, « SFR commence progressivement à faire des activations par défaut par lots pour les clients FTTH ».

Il faudra attendre le prochain observatoire pour avoir une idée du rythme. L'ensemble des FAI (sauf Free qui n'avait pas encore lancé son offre au moment de l'analyse) se retrouvent sur un point : 0 % de clients IPv6-ready en 4G fixe.

Pour les années à venir, Free prévoit 100 % de clients activés mi-2022, contre 85 à 95 % pour Orange à cette même date. Bouygues Telecom pense qu'il ne sera qu'à 50/60 %, contre 45/55 % pour SFR.  Dans ces deux derniers cas, c'est insuffisant pour le régulateur. Dans le cas de la marque au carré rouge, l'Arcep demande au FAI de « réaliser cette activation par défaut comme la plupart des autres opérateurs » afin d'accélérer le mouvement. 

Hécatombe chez la majorité des « petits » FAI

Le gendarme des télécoms propose également un suivi des opérateurs ayant entre 5 000 et 3 millions de clients sur le marché grand public fixe. Une quinzaine de FAI sont présents dans l'observatoire, avec de fortes disparités.

Pas moins de 11 d'entre eux ont un taux de clients activés en IPv6 égale à 0 % : Alsatis, Canal+, Comcable, NordNet, Ozone, Tubéo, Vialis, Vidéo Futur, Wibox, Wifirst et Zeop. Orne THD fait office de très bon élève avec 100 %, suivi par Coriolis Telecom (62 %), K-Net (35 %) et OVH Telecom (23 %).

L'Arcep s'intéresse également à la politique de gestion des IPv4 par les « petits » FAI : « Canal+, Comcable, Coriolis Telecom, K-Net, NordNet, Orne THD, OVH Télécom, Ozone, Wibox et Zeop proposent une IPv4 dédiée pour chaque client, tandis qu’Alsatis, Tubéo, Vialis, Vidéo Futur et Wifirst utilisent du partage d’adresse IPv4 pour une partie ou la totalité de leurs clients. Coriolis Telecom, Orne THD et Wibox suivent la bonne pratique qui consiste à activer IPv6 par défaut, sans possibilité de désactiver le protocole ».

Plus problématique : « certains acteurs n’envisagent pas un déploiement d’IPv6 sur leurs réseaux fixes, ce qui, comme indiqué plus haut, apparaît problématique ». Alsatis, Canal+, Comcable, NordNet, Tubéo, Vidéo Futur et Wifirst pensent en effet toujours être à 0 % mi-2020.

Arcep IPv6

Bouygues Telecom quasiment seul sur le mobile (sous Android uniquement)

Sur le mobile, la situation est inversée : Bouygues Telecom est largement en tête avec 79 % de clients activés en IPv6, mais uniquement ceux sous Android. Sur iPhone ou avec une offre data uniquement, le score tombe à... 0 %.

Le second opérateur, Orange, est à... 3 % de clients activés sur Android (et 0 % sur Android avec partage de connexion). Chez Free Mobile et SFR, tous les indicateurs sont à 0 % (Android, partage de connexion, iOS et forfait data seulement). Bref, il est plus qu'urgent de réagir. 

Là encore, des différences importantes apparaissent lorsqu'on regarde les chiffres en IPv6-ready. 100 % du réseau de Bouygues Telecom et d'Orange est d'ores et déjà paré pour activer la nouvelle technologie sur Android (y compris avec partage de connexion, mais pour Bouygues Telecom seulement) et iOS, contre 0 % pour Free Mobile et SFR.

SFR compte se réveiller mi-2022 sur le mobile, Free ne donne aucune prévision

La marque au carré rouge prévoit de passer l'intégralité de ses clients mobile en IPv6-ready mi-2022 (mais avec toujours 0 % à l'échéance mi-2021). Par contre, l'Arcep regrette que Free Mobile n'ai pas été en mesure de donner le moindre chiffre prévisionnel pour les deux prochaines années.

On ne peut également que regretter que le dernier arrivé (en 2012) n'en ait pas profité pour passer directement à IPv6 puisque 0 % de l'ensemble de ses clients sont IPv6-ready. Mi-2022, Bouygues Telecom prévoit que 85/90 % de ses clients sur Android et iOS profiteront d'IPv6, contre seulement 15-25 % de ceux avec une offre data.

Chez Orange, les taux ne seraient que de 45-65 % sur Android et iOS à la même date. L'opérateur ne prévoit par contre que 15-25 % des utilisateurs en partage de connexion sur Android ou avec un forfait data seulement. Enfin, SFR ne prévoit d'activer IPv6 que sur 25-35 % de l'ensemble de ses utilisateurs mi-2020.

« Bouygues Telecom et Orange ont mené un déploiement remarquable sur les iPhone en septembre 2019 (respectivement 68% et 30% fin octobre 2019) », précise tout de même le régulateur. 

  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6

0 pointé pour 12 « petits » opérateurs mobiles sur 13

Là encore, un bilan des opérateurs avec 5 000 à 3 millions de clients est réalisé, avec un bien triste résultat. Sur 13 acteurs, 12 sont à 0 % de clients activés : Coriolis Telecom, Digiciel, Euro-Information Telecom, LycaMobile, Orange Réunion Mayotte, Martinique TVC, Outremer Telecom, SRR Réunion, WS Guadeloupe, Transatel et Vectone Mobile.

Seul Zeop s'en tire mieux que les autres avec 13 % de clients activés en IPv6. « De façon encore plus marquée que sur les réseaux fixes, le rythme des déploiements futurs de l’IPv6 de la part des opérateurs mobiles risque fort de ralentir la transition vers IPv6 », conclut l'Arcep.

Arcep IPv6

Les terminaux IPv6-ready chez les opérateurs mobiles

Sur la question des terminaux, l'Arcep explique que pour « basculer les clients dits "IPv6-ready" en "IPv6 activé", les opérateurs réalisent une modification de la configuration APN, qui habituellement, passe par une mise à jour proposée par le constructeur du terminal mobile ». Un tableau des smartphones éligibles chez les différents opérateurs est disponible par ici (à fin septembre 2019).

Comme nous l'avions noté dans une précédente analyse, l'Arcep pense ajouter une obligation dans les futures licences de la 5G. Dans le projet soumis à consultation publique, il était indiqué : « Le titulaire est tenu de rendre son réseau mobile compatible avec le protocole IPv6 à compter du 31 décembre 2020 ».

Hébergeurs, fournisseurs de contenu, emails : là aussi, du retard

Pour le reste de la chaîne d'Internet, « les hébergeurs de sites web représentent encore l’un des principaux goulots d’étranglement dans la migration vers IPv6 », affirme l'Arcep.

En effet, seuls 27 % des sites les plus visités en France (basé sur le top 730 d'Alexa) sont accessibles en IPv6, contre 62 % des pages.  Le taux tombe à seulement 15,5% lorsque l’on considère les 3,5 millions de sites web en .fr, .re, .pm, .yt, .tf et .wf. « Ce pourcentage est en augmentation depuis 2015, mais le rythme de cette évolution semble loin de pouvoir permettre une transition complète dans les prochaines années ».

L'Arcep continue son tour d'horizon : « Même si plusieurs hébergeurs proposent IPv6 dans leurs offres, le taux de sites web accessibles en IPv6 est très faible pour tous les acteurs du top 10, car il n’est pas activé par défaut. Parmi les acteurs du Top 10, seul 1&1 IONOS a plus des trois quarts des sites avec de l’IPv6, ce qui en fait un exemple à suivre ».

Vous pensiez qu'on était déjà tombé bien bas ? Et bien voici le cas des emails : « La transition des hébergeurs mail connaît également un très fort retard : seuls 5,8 % [+0,6 point en un an, ndlr] des serveurs mail sont à ce jour adressé en IPv6 sur l’intégralité des .fr, .re, .pm, .yt, .tf et .wf ».

« Le taux d’hébergement mail est alarmant puisque le retard sur ce maillon de la chaîne d’Internet, s’il n’est pas comblé dans les prochaines années, pourrait obliger à conserver plus longtemps IPv4, avec des coûts inhérents. Seul Google se démarque avec plus de 95% de noms de domaines en IPv6 pour le mail », ajoute le régulateur.

  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6

DNS, transitaires, équipementiers et systèmes d'exploitation : c'est déjà mieux 

L'infrastructure DNS redonne par contre un peu de couleurs au déploiement d'IPv6 : « C’est aujourd’hui le secteur le plus en avance dans la transition vers IPv6 avec 70 % des serveurs autoritaires supportant IPv6. Environ 67 % d’entre eux garantissent une résilience équivalente à celle d’IPv4 ».

Autre bonne nouvelle (ou pas si mauvaise que cela, selon le point de vue) : « 55 % des transitaires opérant sur le territoire français peuvent gérer du trafic IPv6 (143 transitaires sur 262), contre 27 % à mi 2018 ». Mais attention, cette hausse importante cache une autre réalité : « pondéré par le nombre de clients de chaque transitaire, atteint environ 72%, contre 71% à mi-2018. Ceci indique que plusieurs transitaires de petite taille sont actuellement capables de gérer IPv6 ».

Du côté des équipementiers, les principaux (Cisco, Juniper et Nokia) « ont indiqué que toutes leurs solutions réseau commercialisées (routeurs, etc.) étaient systématiquement compatibles IPv6 »... heureusement serait-on tenté de dire. On retrouve aussi des bons élèves du côté terminaux et des systèmes d'exploitation, avec un bémol toutefois.

« Tous ces systèmes d’exploitation sont compatibles avec IPv6 qui est activé par défaut depuis de nombreuses années (IPv6 a été par exemple activé par défaut sous Windows depuis Windows Vista en 2007). Cependant, certains systèmes d’exploitation ne peuvent pas fonctionner correctement en IPv6 en absence d’IPv4 (i.e. dans le cas où IPv6 est le seul protocole disponible), car ils n’intègrent pas le support de la RFC 8106 Neighbor Discovery Protocol RDNSS », explique l'Arcep.

C'est notamment le cas de Windows 10 Mobile, Windows 7 et 8 sur lesquels « IPv6 est activé par défaut, mais ont besoin d'IPv4 pour fonctionner ».

Taux d'utilisation d'IPv6 en France : 36 % seulement

Au final, le taux d’utilisation d’IPv6 en France n'est que de 36 % (tel qu'observé par Google), contre 24 % un an auparavant. Les deux derniers pics de croissance ont eu lieu début 2016 avec le lancement d'IPv6 chez Orange et début 2019 avec l'activation dans la plupart des Freebox. 

La France est ainsi largement en retard sur la Belgique (50,9 %) et l'Allemagne (43,50 %), mais bien en avance par rapport à l'Espagne (3,10 %), l'Italie (4,10 %) et le Royaume-Uni (24 %). Pour savoir ce qu'il en est dans le cas de votre connexion, Lafibre.info propose un outil dédié accessible sur cette page.

Arcep IPv6

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les problématiques soulevées par la pénurie d'IPv4

Presque tous les maillons de la chaîne sont responsables

80 % de clients activés sur les Freebox... 6,7 % chez SFR

20 % du réseau Bouygues Telecom IPv6-ready, 64 % pour SFR

L'Arcep demande à SFR d'activer IPv6 par défaut

Hécatombe chez la majorité des « petits » FAI

Bouygues Telecom quasiment seul sur le mobile (sous Android uniquement)

SFR compte se réveiller mi-2022 sur le mobile, Free ne donne aucune prévision

0 pointé pour 12 « petits » opérateurs mobiles sur 13

Les terminaux IPv6-ready chez les opérateurs mobiles

Hébergeurs, fournisseurs de contenu, emails : là aussi, du retard

DNS, transitaires, équipementiers et systèmes d'exploitation : c'est déjà mieux 

Taux d'utilisation d'IPv6 en France : 36 % seulement

Commentaires (114)


Si j’ai bonne mémoire, Free avait indiqué qu’ils ne pouvaient pas activer l’IPv6 sur la 4G à cause de l’itinérance Orange.


Je ne suis pas un spécialiste mais il n’est pas possible de faire une infra en IPV6 qui convertit les adresse V4 en V6 ?


GG Orne THD !








Tandhruil a écrit :



Je ne suis pas un spécialiste mais il n’est pas possible de faire une infra en IPV6 qui convertit les adresse V4 en V6 ?





Je ne pourrais pas répondre à ta question, mais est ce que ce serait rentable pour eux ?

Free doit avoir un gros stock d’IPV4 et vu qu’ils ont opéré un gros switch sur l’IPV6 sur les box, ils ont du rab, pourquoi ne pas en “profiter” au lieu de s’embêter la modif.



A priori, il y a pas mal de problème avec les alarmes/caméra IP qui ne supportent pas d’être consultées depuis un client IPv6.

C’est donc déjà problématique pour les opérateur d’activer l’IPv6 sachant qu’ils vont être accusés de rendre obsolète des équipements des clients.


Free partage plusieurs IPV4 par abonnés en fibre et adsl pour les nouveaux abonnés. Je t’assure que si il peuvent économiqer des ipv4 vu la pénurie, ils le feront.








brice.wernet a écrit :



A priori, il y a pas mal de problème avec les alarmes/caméra IP qui ne supportent pas d’être consultées depuis un client IPv6.

C’est donc déjà problématique pour les opérateur d’activer l’IPv6 sachant qu’ils vont être accusés de rendre obsolète des équipements des clients.





Non, aucun pb pour les opérateurs. Je sais de quoi je parle :)



 





Toorist a écrit :



Je ne pourrais pas répondre à ta question, mais est ce que ce serait rentable pour eux ?

Free doit avoir un gros stock d’IPV4 et vu qu’ils ont opéré un gros switch sur l’IPV6 sur les box, ils ont du rab, pourquoi ne pas en “profiter” au lieu de s’embêter la modif.





Le pb n’est pas pour l’opérateur en lui-même, mais pour tout le réseau.



 Dans qq semaines, les nouveaux entrants n’auront que de l’IPv6. Sans connectivité IPv6 de ton côté, tu n’auras donc aucun accès aux nouveaux services en ligne par ex et l’Internet va se fractionner en 2.



Activer l’ipv6 veut dire aussi rendre disponible des équipements ipv4 en ipv6… Il y a certains mécanismes pour ça.


Moi je veux bien passer en ipv6 ( chez free ) mais j’ai trouvé aucun tuto pour faire ce que je veux : que ma box passe en ipv6 mais que mon réseau interne reste en ipv4 et invisible depuis l’extérieur sauf redirection explicite de ma part ….








Optix a écrit :



(…) Dans qq semaines, les nouveaux entrants n’auront que de l’IPv6. Sans connectivité IPv6 de ton côté, tu n’auras donc aucun accès aux nouveaux services en ligne par ex et l’Internet va se fractionner en 2.







La plupart des communications s’initiant via DNS on peut imaginer des passerelles de conversion pour permettre aux IPV4 de communiquer avec des IPV6, non ?



En même temps le passage à l’IPv6 n’est pas sans désagrément pour l’utilisateur.

Perso j’ai du demander une IPv4 Full Stack à Free sur ma Freebox Delta S car plusieurs de mes jeux ne le prennent pas en charge (Mordhau et Star Citizen, déconnexion après 5min in-game).








Tandhruil a écrit :



Je ne suis pas un spécialiste mais il n’est pas possible de faire une infra en IPV6 qui convertit les adresse V4 en V6 ?





Ca ne me semble pas possible. Le problème c’est que la personne recevant un paquet IPv4 (venant d’une personne qui ne connait que IPv6) doit avoir une IPv4 Source. Comme il y a beaucoup plus d’IPv6 que d’IPv4, il me semble impossible de faire un paquet IPv4 à partir d’un paquet IPv6.



L’inverse est possible :&nbsphttps://fr.wikipedia.org/wiki/6to4



Mais ici, on donne juste 1 un range IPv6 à un client IPv4 qui en fait la demande. Et ça demande déjà pas mal de logistique au niveau du réseau, avec la présence de passerelles qui vont faire le lien entre les 2 protocols.



Je ne sais pas trop si je suis clair dans mes explications, n’hésite pas à me dire si je suis trop confus.









coco74 a écrit :



Activer l’ipv6 veut dire aussi rendre disponible des équipements ipv4 en ipv6… Il y a certains mécanismes pour ça.





Bien sûr, mais sur des équipement anciens ou pas cher, cela n’a visiblement pas été correctement testé. Ce n’est pas la faute à l’opérateur, mais surtout à l’implémentation par l’équipement, qui ne gère pas les adresses IPv6



Sur la freebox il suffit d’activer le “firewall IPv6”, qui fera exactement ce que tu veux. Il bloque toutes les connexions entrantes vers le réseau.


Si si très clair, merci <img data-src=" />








Tandhruil a écrit :



La plupart des communications s’initiant via DNS on peut imaginer des passerelles de conversion pour permettre aux IPV4 de communiquer avec des IPV6, non ?





Oui évidemment, ce ne sera pas aussi tout blanc/tout noir.



&nbsp;Simplement que la connectivité IPv4 va perdre en qualité, car le nouvel entrant va avoir une petite poignée d’IPv4 chez un plus gros opérateur, à côté d’une connectivité IPv6 en direct.



Ce qui va motiver les migrations, ce sera le prix : es-tu prêt à mettre 20.000 boules maintenant dans un millier d’IPv4 ou 80.000 euros dans qq mois ?

Alors qu’à côté, tu peux avoir un /48 IPv6 pour… 50€/an. A chacun de faire son choix, moi ma direction préfère injecter ce fric dans du matos plutôt que des IPv4.



NB: je suis le mec qui a fait 100% dans le baromètre.



merci je vais regarder ça&nbsp; ( même si j’avais pas trouvé je me doutait bien que c’était possible de faire un truc aussi basique )


Déployer IPv6 ne permet pas aujourd’hui ou demain d’économiser des IPv4.



C’est pour cette raison que l’IPv6 met tant de temps à se déployer.



L’objectif reste bien à moyen terme / long terme d’éteindre IPv4 (10 / 15 ans): C’est là qu’on verra le gain d’IPv6 et il sera collectif.



Concrètement, une fois que 95% des clients des FAI seront en IPv4+IPv6, on devrait voir arriver de nombreux sites IPv6 only (il y en a déjà quelques un mais c’est rare) qui pourront se passer des IPv4 qui couteront cher à ce moment là.


J’avoue que j’ai toujours pas compris le fonctionnement de l’IPv6…



En l’état j’ai désactivé l’IPv6 et forcé sur l’IPv4… tant que j’aurai pas compris simplement comment fonctionne le filtrage/ouverture de ports (depuis la box ou de tout autre façon)…



OK, initialement les box ne sont pas censé être des firewall, mais c’est avec les années devenu tellement pratique que je ne tiens pas à devoir réinstaller des firewall sur mes bécanes comme à la belle époque des zonealarm et compagnie du 56k…








Orphee a écrit :



J’avoue que j’ai toujours pas compris le fonctionnement de l’IPv6…



En l’état j’ai désactivé l’IPv6 et forcé sur l’IPv4… tant que j’aurai pas compris simplement comment fonctionne le filtrage/ouverture de ports (depuis la box ou de tout autre façon)…



OK, initialement les box ne sont pas censé être des firewall, mais c’est avec les années devenu tellement pratique que je ne tiens pas à devoir réinstaller des firewall sur mes bécanes comme à la belle époque des zonealarm et compagnie du 56k…





Chez quasiment tous les FAI, l’IPv6 a exactement le même filtrage que l’IPv4. Sauf Free, où il faut activer le firewall soit-même.



Cela veut dire que ton device dans ton foyer, il a une IPv6 publique. Sauf que ta box va rejeter les connexions entrantes initiées depuis l’extérieur, comme du NAT.



Au contraire, les box devraient faire firewall par défaut.

Mais vu qu’avec l’IPv4 on était quasiment forcé de natter, les fabricants se sont contentés de ça comme pseudo firewall et n’en ont pas mis de vrai…


Ok, peut être, mais en l’état, avec l’IPv4, je sais facilement faire un DDNS avec mon API gandi vers ma box, et ouvrir/NAT les ports nécessaire dans ma box vers mes services locaux (syno & co)…



Avec l’IPv6, je nage.


Avec IPv6, pas besoin de t’emm… avec du DDNS, et tu filtres et autorises à peu près pareil qu’en v4.








Orphee a écrit :



Ok, peut être, mais en l’état, avec l’IPv4, je sais facilement faire un DDNS avec mon API gandi vers ma box, et ouvrir/NAT les ports nécessaire dans ma box vers mes services locaux (syno & co)…




Avec l'IPv6, je nage.







Ca va venir. Dans l’immédiat, il faut au moins que tous tes devices puissent voir la totalité du réseau (que ça soit en v4 ou en v6, d’où l’intérêt d’avoir les 2 activés).



Ce sera aux devices (notamment ton Syno) d’avoir un service DDNS intégré pour l’atteindre sans connaitre son IPv6. La box ne servira qu’à autoriser/refuser les flux.



Après sortir des équipements ipv4 only en 2019 c’est de la mauvaise volonté mais ça arrive encore (exemple, j’ai un router 3 de xiaomi ipv4 only).








coco74 a écrit :



Après sortir des équipements ipv4 only en 2019 c’est de la mauvaise volonté mais ça arrive encore (exemple, j’ai un router 3 de xiaomi ipv4 only).





C’est un bon exemple :&nbsp; le produit est moins cher en IPv4 only donc ?



Pour le grand publique si, vu qu’on nous fourre des boxs sans autre choix, elles devraient faire firewall.



Parce que je vois mal Mme Michue acheter et configurer un firewall central (reste le firewall de l’OS, mais ça reste moyen).


Il n’y a pas que la longueur des adresses qui change dans IPv6 par rapport à la v4. Le sujet est beaucoup plus compliqué que “simplement” convertir des adresses. Il est possible de faire cohabiter, voire communiquer, IPv4 avec IPv6. Des technologies ont été développées justement pour permettre ces scenarii, et certaines ont même été activées par défaut dans Windows pendant des années. Mais aucune de ces solutions n’est parfaite et toutes sont compliquées, difficiles à maîtriser, coûteuses à exploiter et risquées. Ce manque de maîtrise des risques est justement l’excuse favorite en France pour retarder le passage à IPv6. Au lieu d’être sur le front de vague, la France est sur le mode “partez devant je vous suis”. Elle va donc encore rater une opportunité de progrès créateur d’emploi.


les PC actuels ont tous des firewall intégré, que ce soit avec W10 ou autre chose.

et sur w10, il est déjà paramétré pour limiter la casse même en IPv6.

et c’est finalement plus simple d’ouvrir un port sur son PC (pour son PC) que sur une box pour un PC.


IPv6 et IPv4 sont deux réseaux distincts et séparés. Activer IPv6 ne va rien changer à ce qui existe déjà chez toi en IPv4. Par contre, si tu as chez toi des équipements (PC, caméras…) sur lesquels IPv6 est déjà activé, activer IPv6 sur ta box risque de les rendre instantanément visible et “attaquables” de l’extérieur en IPv6. Il faut -1- vérifier l’état de la configuration IPv6 de tous tes appareils, et -2- vérifier le paramétrage du FW de la box pour IPv6 (et pas seulement IPv4, car un FW IPv4 ne bloquera pas les flux IPv6).


Par contre depuis iOS 13 l’IPv6 est activée sur le réseau cellulaire. Je suis chez Bouygues et avec un iPhone X et 11 Pro je suis tout le temps en IPv6. Les chiffres devraient grimper dès l’année prochaine j’imagine


Pour la partie « hébergeurs et fournisseurs de contenus », la migration se fera en quelques mois le jour où Google annoncera un meilleur référencement des sites accessibles en IPv6.



Ça a bien marché pour le https…


Aucun intérêt d’avoir des objets connectés compatibles ipv6, le routeur est la pour assurer la translation réseau privé / internet

Au contraire, un objet connecté ipv6 sera par défaut atteignable depuis internet, ce qui est problématique vu les problèmes de sécurité de ces bêtes la


C’est très bien qu’il puissent être accessibles depuis internet. Il faut juste que les box se comportent comme n’importe quel pare-feu décent, à savoir bloquent tout ce qui rentre par défaut.

Un utilisateur qui va toucher au paramétrage de son pare-feu, en principe, il sait ce qu’il fait (et sinon, on ne peut plus rien pour lui).


Ce n’est ni facile, ni automatique, et dangereux. N’espère pas que ton FAI prendra à sa charge de rendre tes équipements “ipv4 only” visible sur un réseau IPv6. C’est le problème de l’abonné.


J’ai ipv6 sur mon iPhone + Sosh, du coup je ne comprends pas bien d’où sort ce 0%.


LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique (1), titre II, chapitre 1er, section 1, article 42:

A compter du 1er janvier 2018, tout nouvel équipement terminal, au sens de l’article L. 32 du code des postes et des communications électroniques, destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPV6.

https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=06DCF3CDB899278A…


“Comme du NAT”, mais sans faire de NAT. Ze good, on se débarrasse de cette merde de NAT. Ze bad, la NAT n’est plus là pour protéger à minima le réseau local de Mme Michu. Ze ugly, avant que toutes les configurations par défaut des boxes offrent le même niveau de sécurité de la combinaison FW + NAT des boxes en IPv4, on va constater quelques belles catastrophes sécuritaires.


Avoir une double stack IP implique plus de proc, plus de RAM, plus de flash pour la conf. Alors oui, cela a un coût. Mais en réalité @coco74 a raison: en 2019 il n’y a plus que les rapiats pour vendre de l’IPv4 only en équipement réseau actif.


Pas sur la Freebox. Le fait de simplement activer le firewall dans la configuration IP V6 rend le réseau local invisible et inaccessible depuis l’extérieur. En Revanche, c’est du tout ou rien. Il n’est pas possible de mettre des exceptions pour IPs en particulier.


Ce n’est pas parce que ton iPhone est compatible IPv6 que Sosh lui permet forcément de l’utiliser.


Je suis en train de réaliser que j’ai peut-être fait une bourde en désactivant le pare-feu de ma freebox (même avec une DMZ).

En IPv4, la DMZ m’assurait que les requêtes soit absorbées par mon serveur (qui lui est bien configuré, firewall et fail2ban).

En IPv6, si je comprends ce qui est dit en commentaires, c’est différent ? La DMZ n’aurait plus réellement de sens ?


En IPv4 tu avais des IP privée et une seule IP publique. En IPv6 chaque machine peut avoir sa propre IP publique. Le mode “DMZ” qui consistait à rediriger les flux de ton IP publique vers ton serveur n’est donc plus nécessaire car ton serveur aura directement une IP publique en IPv6. Par contre, il te faut un firewall sur ta box pour interdire le trafic entrant par défaut et n’autoriser le trafic entrant que vers ton serveur.


oui et non. puisque tout matériel avec une IPv6 routée est un matériel avec une ip publique.

la DMZ, c’est un truc à part que même le pare-feu ne gère pas. donc si tu laisse ton pare-feu, le matériel en DMZ n’est pas couvert mais le reste oui, si c’est appliqué logiquement.








Obidoub a écrit :



J’ai ipv6 sur mon iPhone + Sosh, du coup je ne comprends pas bien d’où sort ce 0%.





Ca a été activé après le questionnaire ARCEP.









Salamandar a écrit :



Je suis en train de réaliser que j’ai peut-être fait une bourde en désactivant le pare-feu de ma freebox (même avec une DMZ).

En IPv4, la DMZ m’assurait que les requêtes soit absorbées par mon serveur (qui lui est bien configuré, firewall et fail2ban).

En IPv6, si je comprends ce qui est dit en commentaires, c’est différent ? La DMZ n’aurait plus réellement de sens ?





Ben le principe est qu’en IPv6 chacune de tes machines sur le réseau va avoir une IP publique. Donc non le concept de DMZ n’a plus de sens.



Pour ne pas que toute les machines soient accessible sans contrôle, la box installe un firewall par défaut. Ce firewall ne sert pas de NAT (cad ne change pas l’IP source des paquets qui sortent) mais agit comme un firewall statefull simple, cad refuse les paquets entrants si ils n’y a pas eu de requete en sortie avant de la part d’une des machines. Tu peux bien sur créer une exception sur un port donné.



Désactiver le firewall IPv6 n’est donc pas réellement une bonne idée :-)









Tandhruil a écrit :



La plupart des communications s’initiant via DNS on peut imaginer des passerelles de conversion pour permettre aux IPV4 de communiquer avec des IPV6, non ?





Oui mais c’est pas le problème.



L’IP sert pour 2 choses :



* Si une de tes machines sert de serveur (DMZ ou redirection de port).

Dans ce cas , SI tu veux pouvoir fournir du service à un tiers il faut une IPv4 fixe ou un mécanisme de mise à jour du DNS lorsqu’elle change. Or, comme on en manque, tu va avoir une contention à un moment. Comme chez free qui partage 1 IP avec 4 personnes en divisant par n° de ports.

Dans ce cas si tu hérites de la plage de port de , par exemple, 10000 à 30000 , ben impossible pour toi d’ouvrir le port 443 : Il ne sera pas redirigé sur ta box mais sur celle du voisin.



* Pour l’identification des gens : Si t’est un méchant anarchiste , terroriste et pédophile , voire pire - un adepte du téléchargement illégal, ben l’IP permet de te retrouver.

Si ton IPv4 change sans arrêt ça complique les choses, en IPv6 (comme actuellement en V4) ton préfixe est fixe donc facile de te mettre la main dessus.

&nbsp;



&nbsp;



Je dirais qu’il ne faut pas mélanger adressage et fonctionnalité/pratique réseau.



IPv6 c’est seulement l’adressage.



Une DMZ (en terme de zone pure) c’est fait pour soit faciliter des accès, diriger des flux vers une “poubelle” ou pour “échantillonner” les paquets en mode “Honey pot”. Éventuellement de faire une zone tampon pour permettre des accès par étape. Bref.

&nbsp;

Une DMZ c’est juste un réseau de plus (ou une interface sur un firewall). A la différence qu’en IPv4 ça sentait la pénurie. En IPv6 tu t’en fous totalement. Tu peux même faire plein de zones vu la disponibilité. Les pratiques peuvent donc être un peu différentes entre IPv4 & IPv6 (ex: pas de NAT). Mais ça reste toujours des règles pour extérieur -&gt; DMZ et éventuellement DMZ -&gt; interne et son lot de règles pour le sens inverse.



Donc …

&nbsp;



&nbsp;


Pour ma part, je mets ma pierre à l’édifice, tous mes nouveaux serveurs hébergeant un site web pour un client sont configuré en IPv4 et IPv6 de la zone DNS jusque dans la machine. C’est pas le plus compliqué de renseigner un AAAA et de config apache et tout le tintouin, mais faut se faire chier un peu…


Pfff..même avec des années d’informatique derrière moi, j’y comprends pas grand chose, alors le grand public. Dmz, nat, pat… du moment que ça fonctionne.


C’est donc à ça que cela sert, attraper surement les pirates, les ayants droits vont être content, ne restera plus qu’à tatouer l’adresse ip dès la naissance. <img data-src=" />








vermi a écrit :



Sur la freebox il suffit d’activer le “firewall IPv6”, qui fera exactement ce que tu veux. Il bloque toutes les connexions entrantes vers le réseau.







La question étant, pourquoi sur ma freebox IPV6 était activé mais le pare feu désactivé par défaut? Ca fait pas très secure…









Ayak973 a écrit :



La question étant, pourquoi sur ma freebox IPV6 était activé mais le pare feu désactivé par défaut? Ca fait pas très secure…





La position soutenue par Free est la suivante : si chacun de tes devices a une IPv6, c’est pour apporter de la connectivité de bout en bout.&nbsp; Un firewall entraverait cette connectivité et le bénéfice d’IPv6.



Personnellement, je ne suis ni pour ni contre. Par contre, il faut le faire en 2 temps : d’abord activer le firewall partout par défaut pour recréer la protection offerte par un NAT.

Puis une fois migré, qu’on développe des outils plus fins pour “ouvrir” un port en IPv6.









Optix a écrit :



La position soutenue par Free est la suivante : si chacun de tes devices a une IPv6, c’est pour apporter de la connectivité de bout en bout.&nbsp; Un firewall entraverait cette connectivité et le bénéfice d’IPv6.



Personnellement, je ne suis ni pour ni contre. Par contre, il faut le faire en 2 temps : d’abord activer le firewall partout par défaut pour recréer la protection offerte par un NAT.

Puis une fois migré, qu’on développe des outils plus fins pour “ouvrir” un port en IPv6.







Ah, du coup, Free a rendu tous mes périphériques qui auraient IPV6 visible sur le net (activation d’ipv6,mais pas du pare feu)? Si c’est le cas, bah jvois pas ou est la soutenabilité de la position de free…









spidermoon a écrit :



C’est donc à ça que cela sert, attraper surement les pirates, les ayants droits vont être content, ne restera plus qu’à tatouer l’adresse ip dès la naissance. <img data-src=" />





Pour les ayants droits la graphie c’est “y paie”.









OB a écrit :



* Pour l’identification des gens : Si t’est un méchant anarchiste , terroriste et pédophile , voire pire - un adepte du téléchargement illégal, ben l’IP permet de te retrouver.

Si ton IPv4 change sans arrêt ça complique les choses, en IPv6 (comme actuellement en V4) ton préfixe est fixe donc facile de te mettre la main dessus.





faux

les FAI sont tenus de tenir un registre des IPs correspondant au nom d’abonné avec les dates et heures en ce qui concerne les IP dynamiques.

C’est d’ailleurs ce que demande Hadopi avant de t’envoyer un petit courrier, que tu recevras que tu sois en IP fixe ou dynamique de la même manière.



Après ouais, le produit que je cite, c’est un truc chinois brandé en version internationnale et pas vendu officiellement en France (import par les vendeurs sur amazon par exemple)…


J’ai du mal à imaginer un abonné, lambda avec un vieille équipement ipv4 only ne pas se plaindre à son FAI quand son équipement ne fonctionnera plus.


L’ARCEP a également monté une taskforce autour d’IPv6 lors de cette journée, avec de nombreux axes de travail afin d’aider opérateurs, hébergeurs et entreprises de toute taille à migrer vers IPv6.

&nbsp;

&nbsp;

&nbsp;







Tandhruil a écrit :



Je ne suis pas un spécialiste mais il n’est pas possible de faire une infra en IPV6 qui convertit les adresse V4 en V6 ?









coco74 a écrit :



Activer l’ipv6 veut dire aussi rendre disponible des équipements ipv4 en ipv6… Il y a certains mécanismes pour ça.





&nbsp;Il est facile de se connecter à un serveur IPv4 à partir d’un client IPv6, ceci via une passerelle NAT64 avec l’adjonction de DNS64. reste que si tu veux faire du SIP ou autre trafic P2P, les 2 parties devront avoir v6 (par exemple un PC v6 et un PC dual stack)



Ce mécanisme tourne chez les opérateurs mobiles Orange et Bouygues depuis fin septembre pour te fournir de l’accès internet over IPv6 only sous IOS 13 et Android.

Seule nuance, android émule du v4 locale et exploite XLAT464, IOS force NAT64, même avec un adresse littérale.

Dans les 2 cas, l’IPv6 “forgée” est 64:FF9B::IPv4enHexadécimal







Tandhruil a écrit :



La plupart des communications s’initiant via DNS on peut imaginer des

passerelles de conversion pour permettre aux IPV4 de communiquer avec

des IPV6, non ?



Dans ce sens là c’est plus compliqué, c’est du NAT46, très similaire au NAT44, du 1 pour 1 donc pas de gain d’adresse. Facebook utilise ça en datacenter, l’interne est en IPv6 only, et toi tu peux faire du v4 jusqu’à la porte d’entrée. Voir SIIT-DC RFC 7755 et SIIT-DC-DTM qui ajoute la possibilité d’un ilot IPv4 en DC IPv6

Bien sûr avec de l’HTTP, il suffit de grouper tout le monde derrière une IP et d’exploiter un reverse proxy avec des règles par URL, sauf qu’en pratique si c’est sur TLS et que le client ne supporte pas SNI c’est perdu.

Attention aussi à la MTU avec du NAT46 standard.







coco74 a écrit :



Free partage plusieurs IPV4 par abonnés en fibre et adsl pour les nouveaux abonnés. Je t’assure que si il peuvent économiqer des ipv4 vu la pénurie, ils le feront.



Les FAI ont entre 1 et 23% d’IPv4 publiques dispos, UNE IPv4 coûte entre 18 et 22€.

De fait, SFR partage des ports avec du NAT44 et le préfixe 100.64.0.0/10 prévu à cet effet

Free fait de même mais en encapsulant IPv4 dans 4rd

D’autres opérateurs, nippons principalement, font de même avec MAP-T ou MAP-E qui a notamment l’avantage de permettre du trafic direct inter-client sans repasser par la passerelle centrale mais impose de pousser les règles aux box via une option DHCP à rallonge.

Ces 3 implémentations sont softwares dans les box, d’où la limite de débit IPv4 vs IPv6 chez Free par exemple.



&nbsp;





Dubouchon81 a écrit :



Moi je veux bien passer en ipv6 ( chez free ) mais j’ai trouvé aucun tuto pour faire ce que je veux : que ma box passe en ipv6 mais que mon réseau interne reste en ipv4 et invisible depuis l’extérieur sauf redirection explicite de ma part ….



Free a fini par mettre un pare feu à l’arrache après des pressions et la gueulante des spécialistes, quand ils ont déployé il y’a une dizaine d’année, je m’étais amusé à imprimer à distance et à ouvrir du partage SMB… ça faisait froid dans le dos, mais à l’époque il y’avait moins de 1% de personnes avec IPv6 <img data-src=" />







Minikea a écrit :



faux

les FAI sont tenus de tenir un registre des IPs correspondant au nom d’abonné avec les dates et heures en ce qui concerne les IP dynamiques.

C’est d’ailleurs ce que demande Hadopi avant de t’envoyer un petit courrier, que tu recevras que tu sois en IP fixe ou dynamique de la même manière.



Ils se doivent d’archiver, en fixe ils partagent les IPv4 entre 4 abonnés max, sinon l’identification est complexe si on ne dispose pas du port source du client, la RFC 7768 propose de loguer le port source en plus de l’IP justement pour corriger ça.

En mobile ils faisaient du NAT44, avec IPv6 + NAT64 moins de volume de donnée, le port n’est à archiver qu’en cas de session NAT64 vers un serveur IPv4. Si IPv6 de bout en bout l’IP suffis.

&nbsp;D’ailleurs HADOPI était présent lors de cet aprem IPv6 ARCEP



Pour rester dans les logs, il est recommandé de tout loguer en IPv6 afin de limiter les changements de modélisation de donnée, et d’inscrire les IPv4 sous la forme&nbsp; ::FFFF:IPv4enHexa qui est un préfixe /96 non routable et ne servant que pour représenter une IPv4 sous forme logique IPv6.

Par exemple sous windows, un ping ::FFFF:1.1.1.1 fera bien un ping IPv4 de 1.1.1.1

&nbsp;

Si vous souhaitez des informations sur v6, n’hésitez pas à me PM



Le gros souci chez free c’est que leur option parfeu ipv6 n’est pas activé par défaut…. Donc la petite mamie du cantal avec sa nouvelle freebox a tous ses appareils exposés sur internet…

Et qu’est ce que ça peux faire comme dégats au niveau imprimantes, partages mal configurés, iot mal configuré… (bon, là je parle un peu plus général, pas sûr que la mamie aie un nas avec partage Smb, mais l’imprimante c’est plus plausible oui…).



Il manque aussi une option de leur parfeu pour pouvoir ouvrir un peu ou créer des règles IPV6. Là ça bloque le principal depuis l’extérieur mais il faut toujours un parfeu spécifique si on veux quelque chose de plus poussé. Donc en gros, si on veux héberger quelque chose derrière une freebox, tout en bloquant l’ipv6 en entrée par défaut, on est obligé de tout bloquer.


Le problème, c’est que ça deviens plus compliqué avec les IP partagées (il y avait eut des histoires avec free je crois, je sais plus comment ça c’est terminé).








Minikea a écrit :



faux

les FAI sont tenus de tenir un registre des IPs correspondant au nom d’abonné avec les dates et heures en ce qui concerne les IP dynamiques.

C’est d’ailleurs ce que demande Hadopi avant de t’envoyer un petit courrier, que tu recevras que tu sois en IP fixe ou dynamique de la même manière.





C’est pour ça que j’ai marqué “aujourd’hui”.



Ceci étant dit, justement, aujourd’hui même en IP dynamique un simple horodatage suffit pour trouver la personne.



Ca se gâte pourtant dès que t’a plusieurs personnes qui partage, en même temps, la même IPv4.

C’est le cas chez Free en zone non dense (https://www.nicematin.com/faits-divers/a-cause-de-son-fournisseur-dacces-interne… ) - et encore là au moins c’est que 4 personnes “fixes” - voire chez certains opérateurs mobiles qui font du CGNAT dynamique par connexion.

Donc là, c’est tous les paquets qu’il faut logger si on veux retrouver le coupable …



Comme les services, en face bien souvent ne logguent pas le port source malgré la RFC 6302, ben ça devient impossible de discriminer les utilisateurs, au grand dam des services de police qui voient ainsi une enquête facile leur échapper…

&nbsp;

&nbsp;



être en ipv6 ça signifie que tu l’es de bout en bout. si l’ipv6 s’arrête à ta box, l’intérêt est nul, dans le sens où ça ne sert à rien. après tu peux très bien n’utiliser l’ipv6 que pour le trafic sortant (et ses réponses) et l’interdire pour le trafic entrant, avec un pare-feu logiciel soit sur la box, soit sur les matériels, comme tu le fais actuellement via ta box et le NAT.








coco74 a écrit :



Le gros souci chez free c’est que leur option parfeu ipv6 n’est pas activé par défaut…. Donc la petite mamie du cantal avec sa nouvelle freebox a tous ses appareils exposés sur internet…

Et qu’est ce que ça peux faire comme dégats au niveau imprimantes, partages mal configurés, iot mal configuré… (bon, là je parle un peu plus général, pas sûr que la mamie aie un nas avec partage Smb, mais l’imprimante c’est plus plausible oui…).



Il manque aussi une option de leur parfeu pour pouvoir ouvrir un peu ou créer des règles IPV6. Là ça bloque le principal depuis l’extérieur mais il faut toujours un parfeu spécifique si on veux quelque chose de plus poussé. Donc en gros, si on veux héberger quelque chose derrière une freebox, tout en bloquant l’ipv6 en entrée par défaut, on est obligé de tout bloquer.





ça fait parti des précos ARCEP de la taskforce, et des RFC sur les routeurs résidentiels.

Free n’offre pas d’ouverture de port, orange le fait mais il y’a 2 bugs connus du support et bientôt corrigés. je ne connais pas bien l’état des autres FAI



Et si tu veux qu’une app ouvre son port pour faire du P2P par exemple (torrent, plex, jeu,…) il faut que le routeur supporte UpnP en v6 via Internet Gateway Device (IGD) + PCP



c’est plus compliqué pour les FAI mais ils ont l’obligation légal de devoir avoir cette information, donc ils font en sorte de pouvoir la sortir. y’a peut-être eu des ratés lors de la mise en place du partage d’IP par abonnés car ils “avaient pas prévus” (ou ne voulaient pas prévoir) le cas de figure, et se sont retrouvé un peu comme des imbéciles, mais ça n’en reste pas moins un obligation.


UPNP a été assez décrié en ipv4 pour ne pas l’activer par défaut sur l’IPv6…

si on doit ouvrir un port dans un pare-feu, autant que ça soit manuel, sinon il est quasi inutile.


C’est inutile d’activer le firewall IPv6 de la Freebox pour bloquer les “connexions entrantes “car toutes les IP derrière la Freebox sont inaccessibles de base.

&nbsp;Elles commencent toutes par fe80:


Quelle galère de créer un service VPN IPv6 IPsec IKEv2 qui fonctionne correctement (sous Debian server)… impossible de le configurer correctement. J’ai dû tester 100 configurations, que ce soit le serveur en lui-même ou la configuration du VPN, le pare-feu… Testé sous Kimsufi (OVH) et Dedibox (Online). En IPv4 le service fonctionne au top.


Non, c’est différent. Par défaut les IP alloués derrière la Freebox sont en fe80: ce qui les rends injoignables depuis l’extérieur.

La mamie du Cantal n’a rien à craindre !



Par contre, si tu monte un server chez toi, tu vas devoir paramétrer ta Freebox pour qu’il ait une IP dans le pool 2000::/3 et peut être activer le firewall.


Faux !

De base les IP alloués par la Freebox (et surement tous les autres routeurs) sont privés (fe80:) et encore heureux. Pour avoir une IPv6 publique il faut la configurer manuellement.

https://fr.wikipedia.org/wiki/IPv6#Adresse_IPv6


Chez OVH avec le routeur Zyxel pas d’ipv6 de dispo…

La seule box fibre opérateur qui fait de la qos mais qui n’est pas foutue d’avoir une conf ipv6.

Ca a l’air galère à configurer, c’est clairement pas out-of-the-box, à l’inverse de free par exemple.



J’ai regardé vite fait, j’ai laché l’affaire, j’ai pas envie de passer mon week-end à configurer un truc que les FAI devraient pousser.



edit: chez free, j’avais cliqu” sur activer ipv6 ou un truc du genre et j’avais la conf dispo, pas besoin de configurer manuellement (en adsl en tout cas)


Ce n’est pas parce que l’IPv6 permet à chaque objet d’avoir une IP unique publique que les routeurs/box vont lui en donner une.



Sérieusement, d’où est-ce que vous tenez tous cette intox où par défaut tout les objets auraient une IP publique à partir du moment ou il passent à l’IPv6.


Merci de vos réponses :) Je comprends mieux maintenant.


C’est faux, fait un test, tu n’arriveras pas à ping tes périphériques depuis l’extérieur. Ils ont tous des IP privés par défaut. Ils ne sont pas stupides quand même.

A mon avis, le firewall dois servir pour des cas particuliers avec des serveurs. Je ne suis pas assez calé pour expliquer ce point.








Minikea a écrit :



UPNP a été assez décrié en ipv4 pour ne pas l’activer par défaut sur l’IPv6…

si on doit ouvrir un port dans un pare-feu, autant que ça soit manuel, sinon il est quasi inutile.





En résidentiel pour jouer au dernier jeu à la mode en matchmaking ou lancer une visio grand publique pas le choix, l’UpnP temporaire est plus simple et propre que de bloquer les gens.

L’un des enjeux de l’IETF est de faciliter l’usage des technos, tout le monde n’est pas ingé réseau. Il vaut mieux FW + UPNP que de laisser la personne en plan.



“Ben le principe est qu’en IPv6 chacune de tes machines sur le réseau va avoir une IP publique.”



&nbsp;C’est absolument faux !

&nbsphttps://fr.wikipedia.org/wiki/IPv6#Adresse_IPv6


J’ai apparemment des IPv6 en fe80: pour mes appareils en local d’après le DHCP de ma freebox. Mais d’après mon PC j’ai une IPv6 publique sur Internet (en 2a01: et c’est celle qui s’affiche sur monipv6.org )…


Au passage, on peut noter que NI n’est dispo que en IPv4…








Cqoicebordel a écrit :



Au passage, on peut noter que NI n’est dispo que en IPv4…





On en avais déjà parlé au dernier IPV6 day en 2011 je crois. Ca nous rajeunis pas tout ça.









Mihashi a écrit :



J’ai apparemment des IPv6 en fe80: pour mes appareils en local d’après le DHCP de ma freebox. Mais d’après mon PC j’ai une IPv6 publique sur Internet (en 2a01: et c’est celle qui s’affiche sur monipv6.org )…





Et tu as absolument raison :



En IPv6 , une interface réseau peux avoir plusieurs&nbsp; IPv4.

wgg71 a raison de dire que les IPv6 en fe80::xxxxxxx ne sont pas routable sur internet, ce sont des IP locales (LAN) uniquement. Elles ne sont d’ailleurs pas attribuées par la Freebox (ou n’importe quelle box d’ailleurs) : Tu en aura une dès que tu actives IPv6 sur ton PC en LAN , même sans routeur&nbsp; - c’est le protocole NDP qui gère ça https://fr.wikipedia.org/wiki/Neighbor_Discovery_Protocol , moi aussi je sais chercher sur wikipedia).



Sauf que , en plus, ton PC peux également récupérer une adresse IPv6 via un routeur (le protocole est ici RA - Router Advertisement) . Ce routeur peux être configuré pour déléguer une plage IP reçu depuis l’amont (c’est le protocole IPv6-PD pour Prefix Delegation) , mais peux aussi distribuer des adresse ULA (non , pas le minitel) , non routable sur internet mais qui peuvent l’être au sein d’une entité.



On peux même récupérer plusieurs IP avec plusieurs préfixes, selon un ordre de priorité, et même changer d’IP au cours du temps (mais pas forcément de préfixe)&nbsp; , via la privacy extension (RFC 4941) , qu’on peux heureusement désactiver sur un serveur .



Bref, IPv6 reste un animal assez différent d’IPv4 sur pas mal de sujet.



Au total, oui, un routeur d’un FAI IPv6 , son principe c’est d’attribuer une IPv6 publique à toutes les stations sur le LAN. Sinon c’est pas un routeur , ou alors il distribue des routes non publiques.

Ca veux PAS pour autant dire que les stations sont immédiatement joignable depuis l’extérieur (le firewall de la box va l’empêcher), par contre ça veux dire que oui, par exemple, 3 collocs qui vont sur un site, ben en IPv6 on peux les distinguer via leur adresse IPv6 alors qu’en IPv4 , ben on peux pas.

Et si ces 3 collocs ont la Privacy Extension installé, ils vont régulièrement changer d’IPv6 en gardant le même principe ce qui va peu ou prou nous ramener dans le même cas qu’en ipv4 en terme de tracking (ie ils pourront savoir que ces 3 collocs sont derrière la même connection, c’est tout).



&nbsp;



Le NAT n’est pas du filtrage.


Tu n’es pas plus exposé en IPV6 qu’en IPV4.








Cumbalero a écrit :



Le NAT n’est pas du filtrage.





Je sais, mais il faut s’adapter aux gens qui n’ont pas les connaissances nécessaires pour faire la migration.



C’est pour cela que je dis qu’il faut recréer l’illusion du NAT pour filtrer les connexions entrantes, car ça rassure les abonnés avec qq chose qu’ils connaissent.



Merci pour l’info <img data-src=" />

Justement je me demandais pourquoi IPV6 aurait abandonné les IP Privés.


T’as une IPv6 publique propre à chaque machine et une IPv6 locale privée.

Ils ont mis le parfeu justement pour pas que tu puisse avoir accès avec l’ipv6 “publique” aux devices depuis l’extérieur.



Non?


C’est bien ce TOUT ou RIEN pour l’ENSEMBLE des périphériques qui est casse bonbon chez free. Y’a déjà une demande pour des fonctionnalités de firewall avancé, mais ce n’est pas “prioritaire” chez Free.



Donc en attendant que je me paluche les tutos (pfsense et compagnie) pour me monter un firewall, j’ai paramétré le firewall de l’OS un peu plus violemment (Windows et ufw pour debian).








OB a écrit :



Au total, oui, un routeur d’un FAI IPv6 , son principe c’est d’attribuer une IPv6 publique à toutes les stations sur le LAN. Sinon c’est pas un routeur , ou alors il distribue des routes non publiques.

Ca veux PAS pour autant dire que les stations sont immédiatement joignable depuis l’extérieur (le firewall de la box va l’empêcher)…





Et donc si le firewall de la freebox n’est pas activé (c’est le cas par défaut), c’est openbar ?









Mihashi a écrit :



Et donc si le firewall de la freebox n’est pas activé (c’est le cas par défaut), c’est openbar ?





Alors je connais pas spécifiquement la freebox donc je peux pas dire ( je pourrait en savoir plus cet apres midi, je vais justement en dépanner une).



Mais en toute logique, oui.



Ensuite, c’est aux machines du LAN de se protéger ells-même. Bon nombre d’appliance n’ont pas d’IPv6 de toute manière , ou sont basé sur android, linux, … (ce qui n’est pas un gage de sureté).



Windows et macos ont tous 2 leur firewall “levé” par défaut…. si on choisi “réseau public”. Sinon, ben…



Perso ne pas placer un fw en frontal je trouve ça quand même risqué - même si j’imagine que leur raison doit être lié à la performance ( Si la&nbsp; puce réseau de la box gère pas le filtrage en hardware il faut totu remonter par le CPU , et là les perfs s’effondre).



Les routeurs, c’est comme les chasseurs : ya les bon routeurs et les mauvais routeurs &nbsp;<img data-src=" />

https://www.youtube.com/watch?v=QuGcoOJKXT8

&nbsp;



En IPV4 tes adresses derrière la freebox sont privées.

En IPV6, elles sont publiques. En tout cas avec Free c’etait le cas il y a quelques années quand j’avais testé


Free attribuait des adresse V6 a tout équipement le supportant. Je n’ai pas revérifié depuis.








wgg71 a écrit :



Faux !

De base les IP alloués par la Freebox (et surement tous les autres routeurs) sont privés (fe80:) et encore heureux. Pour avoir une IPv6 publique il faut la configurer manuellement.

https://fr.wikipedia.org/wiki/IPv6#Adresse_IPv6











wgg71 a écrit :



Ce n’est pas parce que l’IPv6 permet à chaque objet d’avoir une IP unique publique que les routeurs/box vont lui en donner une.



Sérieusement, d’où est-ce que vous tenez tous cette intox où par défaut tout les objets auraient une IP publique à partir du moment ou il passent à l’IPv6.











wgg71 a écrit :



C’est faux, fait un test, tu n’arriveras pas à ping tes périphériques depuis l’extérieur. Ils ont tous des IP privés par défaut. Ils ne sont pas stupides quand même.

A mon avis, le firewall dois servir pour des cas particuliers avec des serveurs. Je ne suis pas assez calé pour expliquer ce point.











wgg71 a écrit :



“Ben le principe est qu’en IPv6 chacune de tes machines sur le réseau va avoir une IP publique.”



 C’est absolument faux !

&#160https://fr.wikipedia.org/wiki/IPv6#Adresse_IPv6











OB a écrit :



Et tu as absolument raison :



En IPv6 , une interface réseau peux avoir plusieurs  IPv4.

wgg71 a raison de dire que les IPv6 en fe80::xxxxxxx ne sont pas routable sur internet, ce sont des IP locales (LAN) uniquement. Elles ne sont d’ailleurs pas attribuées par la Freebox (ou n’importe quelle box d’ailleurs) : Tu en aura une dès que tu actives IPv6 sur ton PC en LAN , même sans routeur  - c’est le protocole NDP qui gère ça https://fr.wikipedia.org/wiki/Neighbor_Discovery_Protocol , moi aussi je sais chercher sur wikipedia).



Sauf que , en plus, ton PC peux également récupérer une adresse IPv6 via un routeur (le protocole est ici RA - Router Advertisement) . Ce routeur peux être configuré pour déléguer une plage IP reçu depuis l’amont (c’est le protocole IPv6-PD pour Prefix Delegation) , mais peux aussi distribuer des adresse ULA (non , pas le minitel) , non routable sur internet mais qui peuvent l’être au sein d’une entité.



On peux même récupérer plusieurs IP avec plusieurs préfixes, selon un ordre de priorité, et même changer d’IP au cours du temps (mais pas forcément de préfixe)  , via la privacy extension (RFC 4941) , qu’on peux heureusement désactiver sur un serveur .



Bref, IPv6 reste un animal assez différent d’IPv4 sur pas mal de sujet.



Au total, oui, un routeur d’un FAI IPv6 , son principe c’est d’attribuer une IPv6 publique à toutes les stations sur le LAN. Sinon c’est pas un routeur , ou alors il distribue des routes non publiques.

Ca veux PAS pour autant dire que les stations sont immédiatement joignable depuis l’extérieur (le firewall de la box va l’empêcher), par contre ça veux dire que oui, par exemple, 3 collocs qui vont sur un site, ben en IPv6 on peux les distinguer via leur adresse IPv6 alors qu’en IPv4 , ben on peux pas.

Et si ces 3 collocs ont la Privacy Extension installé, ils vont régulièrement changer d’IPv6 en gardant le même principe ce qui va peu ou prou nous ramener dans le même cas qu’en ipv4 en terme de tracking (ie ils pourront savoir que ces 3 collocs sont derrière la même connection, c’est tout).







Il me semblait bien que ça existait les adresses locales inroutables en IPv6, comme les 192.xxx.xxx.xxx en IPv4.



Merci pour la confirmation.



Au passage, je suis sur une IPv6 inroutable en fe80: sur mon portable en ce moment, je passe par mon 4G pour la connexion internet (Sosh sur Orange).



Boh ducon quel bazar!

&nbsp;

Moi qui avait pour projet de me monter un genre de pare feu personnalisé basé sur pfsense (ou autre truc un minimum user friendly),&nbsp; je me dit que je suis pas sorti de l’auberge.



Je pensais pouvoir garder mes adresses v4 en local (plus simple de se souvenir de X.X.X.X que dsjhfdb4::ffbdh598:dfndjfnd) mais d’après ce que je lis c’est pas si simple.

&nbsp;

Je vais finir par faire un pare feu “physique” à base de débranchement de câbles si ça continue&nbsp;<img data-src=" />


Il y a quelques jours je voulais montrer à mes stagiaires des exemples avec nslookup sous Windows :



ovh.com

www.ovh.com



–&gt; Toujours pas d’IPv6 sur leur site web principal…


Ok, je ne connais pas le fonctionnement des Freebox.

C’est dommage car le but de l’IPv6 est de ne plus s’embêter avec le source NAT.

Les IPs enfe80: ne s’utilisent généralement que pour des liaisons locales sans accès à Internet.


Par contre, le forum est passé depuis peu en IPv6 !








Commentaire_supprime a écrit :



Il me semblait bien que ça existait les adresses locales inroutables en IPv6, comme les 192.xxx.xxx.xxx en IPv4.







192.168.0.0/16 <img data-src=" />

Toute la plage 192.0.0.0/8 n’est pas privée.



Pour les hébergeurs c’est loin d’être gagné…&nbsp;<img data-src=" />



J’ai demandé à mon hébergeur (pas un gros) quand est ce que l’ipv6 serait dispo, la réponse:



Nous ne le proposons pas actuellement. Cela n’apporte rien à condition d’avoir une IPv4 dédiée comme c’est déjà votre cas. L’IPv6 ne sera seulement utile lorsque nous n’aurons plus la possibilité de proposer des IPv4. En effet l’IPv6 n’apporte seulement la possibilité d’avoir davantage d’adresses IP et toutes les connexions Internet sont tous&nbsp;compatibles IPv4.



La situation actuelle est qu’il faut acheter des IPv4 qui étaient gratuits au paravant. Si free partage des IPV4 c’est pour faire des économies et non pas à cause d’une incapacité d’en acheter.L’IPv6 est une étape nécessaire, mais qui ne sera seulement possible lorsque tous les fournisseurs d’accès seront compatible IPv6.A notre niveau, proposer de l’IPv6 en même temps que l’IPv4 n’aurait aucun impact sur les fournisseurs d’accès.Le nouveau matériel des fournisseurs d’accès est compatible IPv6 et tous les fournissuers d’accès passeront à l’IPv6 lorsque tous leurs box et tout leur matériel sera compatible. Une box pouvant durer jusqu’à 8 à 10 ans environ je pense que d’ici 3 ou 4 ans maintenant tous les box seront compatibles IPv6.Je pense qu’il faudra attendre encore quelques années avant que tous les FAI soient totalement&nbsp;compatibles IPv6 et quand ce sera le cas, nous fournirons une IPv6 avec toutes nos formules. Les prestataires de taille important qui militant pour l’IPv6 n’accélérent pas l’adoption de l’IPv6 puisque cette adoption est soit tout ou rien. C’est à dire que cela n’aura seulement un intérêt lorsque tout le monde y sera passé.


et 10.0.0.0/8 et 172.16.0.0/12 aussi. mais oui.


tu as tout retapé à la main ou c’est un copié-collé brut ? (question presque innocente)


Personne bouge, nous non plus, quand les autres bougeront, nous bougerons…



Le serpent qui se mort la queue XD








CryoGen a écrit :



Personne bouge, nous non plus, quand les autres bougeront, nous bougerons…



Le serpent qui se mort la queue XD





C’est pareil avec des mécanismes de sécurité, exemple avec la messagerie:

SMTP over TLS, SPF, DNSSEC, DKIM, MTA-STS VS Dane



Plus il y’a de gens qui implémentent, plus ça avance.



Pareil en routage BGP public avec RPKI + ROA qui commence à se voir pour signer l’origine des routes et permettra à un moment donné de signer tout le chemin BGP afin d’éviter les détournements de trafic.



Mais bon, on peut aussi garder l’écran CRT, Windows 2000 et du token ring, ça marche très bien



Mais je pense sérieusement qu’avec le stock à ZERO, ça va aider à accélérer. Sans compter que des pays réfléchissent à des contraintes légales, certains y sont déjà passés comme Biélorussie et Chine.









JCLB a écrit :



(…)Mais bon, on peut aussi garder l’écran CRT, Windows 2000 et du token ring, ça marche très bien(…)





Il y avait quand même pas mal de problèmes de connexion avec les prises hermaphrodites <img data-src=" />



La contrainte légale ne changera pas énormément les choses ou même l’état du stock en prévision de à mon avis.

C’est quand il n’y aura plus de place pour les nouveaux clients que les FAI commenceront à piocher sérieusement dedans, mode pressons l’agrume sur ON. <img data-src=" />


En IPv6 comme en IPv4, tout dépend de comment tu fais ton adressage, et avec quel équipement. Dans les 2 cas ne pas utiliser un firewall et n’ouvrir que ce dont on a besoin, c’est la même chose.








Optix a écrit :



Je sais, mais il faut s’adapter aux gens qui n’ont pas les connaissances nécessaires pour faire la migration.







En disant n’importe quoi?







Optix a écrit :



C’est pour cela que je dis qu’il faut recréer l’illusion du NAT pour filtrer les connexions entrantes, car ça rassure les abonnés avec qq chose qu’ils connaissent.







Pour filtrer, j’utilise un filtre. Un vocabulaire que tout le monde peut comprendre, et c’est ce que fait un firewall: il filtre. Le NAT, c’est du routage, c’est fait par un routeur. Pour les particuliers, en France, ces 2 fonctionnalités sont réalisées par les boxes fournies par les opérateurs.



L’un des intérêts de l’IPv6 est justement de pouvoir se passer de NAT, pourquoi tu veux embrouiller les esprits en en parlant quand il suffit donc de filtrer?



Il n’y a pas mention des CGN dans l’article.

Le problème avec IPV6 c’est qu’elle est illisible donc fondamentalement les besoins de traduction sont là.



Reste à savoir ce qui doit être traduit et où… un code couleur ou des symboles ce serait pas mal. Plutôt que de filer le boulot aux FAI…<img data-src=" />








CryoGen a écrit :



Personne bouge, nous non plus, quand les autres bougeront, nous bougerons…



Le serpent qui se mort la queue XD





“C’est à dire que cela n’aura seulement un intérêt lorsque tout le monde y sera passé.”



<img data-src=" /> T’ain c’est beau ! Vu que tout le monde n’y est pas passé, alors on ne fait rien. Mais comme cela n’arrivera pas avant que les poules ont des dents, ben la réponse est : on le fait pas.



Avec ce genre de raisonnement, ben on a les chiffres au dessus. Imparable !









CryoGen a écrit :



192.168.0.0/16 <img data-src=" />

Toute la plage 192.0.0.0/8 n’est pas privée.







Merci de la précision, je pensais à tort que tout 192 était réservé pour les LAN.



Non copié collé de 2 réponses à la suite.&nbsp;








Idiogène a écrit :



Il n’y a pas mention des CGN dans l’article.

Le problème avec IPV6 c’est qu’elle est illisible donc fondamentalement les besoins de traduction sont là.







Perso, je trouve ça aussi simple que l’IP v4 depuis le CIDR. C’est juste différent. On ne t’attribue plus une adresse et une plage de ports mais un préfixe et 2^32 fois plus d’adresses que ce que permet l’IPv4 pour toute la planète.



Par exemple, ça a grandement simplifié les tables de routage et de filtrage du VPN que j’ai avec 2 potes. Bien qu’ils arrivent chez moi par des tunnels IPSEC, c’est en utilisant nos IPs publiques. Ils ont accès à un /8 de mon réseau.





Mon routeur ne sert de routeur qu’en IPv4. En IPv6, il pourrait être en bridge et ne servir que de firewall.



On a opéré cette migration suite au passage chez Free de l’un d’entre nous. Il n’était pas en full stack et manque de bol n’avait pas IKE dans sa plage de ports dispos. Il pouvait contacter Free pour avoir du fullstack, aucune idée du délai, ou on pouvait en profiter pour faire ce changement dont on avait déjà parlé.



Vu ce que ça a apporté à un réseau de 3 potes, j’imagine ce que ça peut apporter à une boîte qui aujourd’hui se dit que GRE ça a ses limites et que le AT peut devenir un cauchemar.



Sinon nextinpact ipv6 c’est pour quand ?

(Je demande juste pas tapé :) )








Just1_ a écrit :



Non copié collé de 2 réponses à la suite.





bordel le nombre de fautes de français ! Go investir 40 balles dans une licence Antidote (ou autre) parce que c’est intolérable venant d’un service client <img data-src=" />









Cumbalero a écrit :



Il pouvait contacter Free pour avoir du fullstack, aucune idée du délai, ou on pouvait en profiter pour faire ce changement dont on avait déjà parlé.





Pour info, je l’ai fait récemment, c’est trois clic à faire dans l’espace client puis un reboot de la box 30 minutes plus tard et c’est réglé.



Exact on peut le faire chez Free, ça s’applique très vite l’IPv4 full stack ;)