La transition vers IPv6 progresse (trop) doucement… elle régresse même chez SFR

La transition vers IPv6 progresse (trop) doucement… elle régresse même chez SFR

Retour vers le futur

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

04/12/2020 12 minutes
68

La transition vers IPv6 progresse (trop) doucement… elle régresse même chez SFR

Le déploiement d’IPv6 ne décolle toujours pas en France, même si on note des progrès chez les FAI, sauf chez SFR qui arrive à faire moins bien que l’année dernière. Nouveauté de cette année, l’Arcep se penche sur les offres « Pro » et plus de 200 sites gouvernementaux, qui ne montrent pas vraiment l’exemple de la transition vers IPv6.

En guise de préliminaire, l’Arcep rappelle que l’Europe connaît une pénurie d’adresses IPv4, annoncée officiellement par le RIPE NCC (Europe et Moyen-Orient) le 25 novembre 2019. Internet continuera évidemment de fonctionner, mais si cette pénurie perdure, elle « l’empêchera de grandir ». La solution existe depuis 20 ans : IPv6.

La pénurie entraine des risques

Il faut également prendre en compte les « risques que présentent les solutions permettant de continuer le fonctionnement d’Internet sur IPv4 malgré le manque d’adresses ». Le régulateur cite deux exemples : le partage d’adresses IPv4 entre plusieurs clients (partage de ports) pouvant provoquer des dysfonctionnements pour certains services, et le prix de revente des IPv4 sur le marché secondaire qui « est susceptible d’ériger une barrière à l’entrée significative à l’encontre des nouveaux acteurs ».

Depuis plusieurs années, l’Arcep milite pour le passage à IPv6. Une synthèse des principales embuches et des pistes d’actions a notamment été mise en ligne en 2019, avec la création d’une Task Force dédiée. Le nombre de clients en IPv6 des quatre FAI nationaux était très faible, mais les scores se sont légèrement améliorés au cours de l’année. 

Qu’en est-il en 2020 ? Le gendarme des télécoms répond à cette question avec son nouvel observatoire. Il ne s’intéresse pas qu’aux FAI, car il faut que l’ensemble des maillons de la chaîne permettant d’accéder à Internet supporte ce protocole.

99 % des clients Free activés en IPv6, 1,6 % de ceux de SFR

Avant d’entrer dans le vif du sujet, un rappel sur deux termes utilisés par le gendarme des télécoms : 

  • IPv6-ready : un client est en mesure d’activer lui-même IPv6 (le réseau et la box sont compatibles).
  • IPv6 activé : la box émet et reçoit effectivement du trafic en IPv6, via une activation manuelle ou automatique.

En termes de clients activés sur le fixe, Free est largement en tête avec 99 %, soit 19 points de plus par rapport au précédent observatoire (il y a un an). Orange grimpe de 7 points pour arriver à 75 % et Bouygues Telecom de 8 points à 28 %. SFR est par contre largement à la traine avec 1,6 % seulement… soit une baisse de 5,1 points.

Alors que la marque au carré rouge était déjà en dernière position fin 2019, elle réalise « l’exploit » de baisser significativement son score, à contre-courant donc des autres opérateurs et de la tendance mondiale. « Cette régression, principalement liée à la diminution des clients activés en FTTH, est préoccupante en raison de la pénurie d’IPv4 », note le gendarme. Il ne donne pas d’explications, mais plusieurs témoignages sur les forums de lafibre.info font état de clients FTTH qui avaient de l'IPv6 et qui l’ont perdu « subitement ».

De plus, les prévisions des activations à venir sont insuffisantes pour le régulateur : entre 5 % et 15 % mi-2022 et 10 % à 20 % mi-2023. Dans trois ans, la marque au carré rouge ne prévoit donc même pas de rattraper l’actuel score de Bouygues Telecom.

  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020

Bouygues Telecom et SFR doivent revoir leur copie

L’Arcep invite la société à « accélérer fortement sa transition vers IPv6 sur son réseau fixe, en particulier sur le FTTH, et a entamé cette transition sur le câble ». De plus, « une grande majorité des clients n’activant pas IPv6 manuellement, SFR est encouragée à réaliser cette activation par défaut de façon systématique ».

Le bilan de Bouygues Telecom est également « insuffisant pour faire face à la pénurie », l’opérateur est donc « à nouveau encouragé à poursuivre et accélérer les efforts ». Par contre, elle est satisfaite des taux actuels de clients activés chez Free et Orange, qui « sont relativement élevés ».

Le désert de la 4G fixe et des petits opérateurs

Sur la 4G fixe, c’est le désert chez Bouygues Telecom, Free et SFR : 0 pointé aussi bien sur les indicateurs IPv6-ready et activé. Orange est à 100 % de « ready »… pour seulement 1 % d‘activé.

Chez les petits opérateurs, ayant entre 5 000 et 3 000 000 de clients, le constat est amer : « Les prévisions de la plupart des opérateurs […] restent inexistantes ou nettement insuffisantes en termes d’objectif et de rythme, bien que certains de ces acteurs soient bien avancés dans leurs déploiements ».

C’est le cas d’Orne THD à 100 % de clients activés, de Coriolis à 76 %, de K-Net à 24 % et d’OVH Telecom à 21 %. Ils sont par contre plus d’une dizaine à 0 %.

Arcep IPv6 décembre 2020Arcep IPv6 décembre 2020

Moins de 1 % des clients Pro d’Orange et SFR en IPv6

Le régulateur indique avoir reçu plusieurs signalements sur sa plateforme J’alerte l’Arcep concernant des difficultés de certaines entreprises pour obtenir des adresses en IPv6 sur le fixe. L’observatoire s’intéresse donc aux offres « Pro », et c’est la cata : 30 % des clients sont en IPv6 chez Bouygues Telecom, qui arrive très largement en tête. Orange et SFR sont à égalité avec 0,9 % seulement. 

Pourtant, 100 % des clients de SFR en xDSL sont IPv6-ready, mais avec seulement 1,8 % d’activés. Les prévisions pour l’année prochaine sont peu ambitieuses et aucun des trois opérateurs n’arrive ne serait-ce qu’à 50 % de clients activés sur l’une des technologies du fixe : xDSL, FTTH, FTTLA (terminaison coaxiale) et 4G.

Arcep IPv6 décembre 2020Arcep IPv6 décembre 2020

Bouygues au taquet sur le mobile, Orange se réveille

Vous ne trouvez pas la situation du fixe spécialement reluisante ? Attendez de voir le mobile…

Bouygues Telecom se démarque très fortement de la concurrence avec 87 % des terminaux Android activés en IPv6 et 98 % des iPhone, mais seulement 23 % des offres data uniquement.

Orange est second avec 35 % des smartphones Android (15 % seulement en partage de connexion), 60 % des iPhone (0 % en partage de connexion) et 0 % en offre data. Free Mobile et SFR sont à 0 % dans quasiment toutes les situations, seul 0,2 % des terminaux Android sont activés en IPv6 chez la marque au carré rouge.

L’Arcep indique que « SFR a revu à la hausse ses prévisions et envisage 100 % de clients IPv6-ready à mi-2021 »., mais les chiffres en activés sont bien plus faible : 10 à 20 % sur Android, 85 à 95 % sur iPhone. Concernant Free Mobile, c’est une autre chanson : « Il est particulièrement regrettable que [l’opérateur] n’ait pas encore entamé la transition de son réseau mobile à ce jour et n’ait pas été en mesure de transmettre des prévisions ».

  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020

SFR à 0 % sur les offres mobiles Pro

Comme sur le fixe, l’observatoire s’intéresse aussi aux offres mobiles Pro. Bouygues Telecom domine encore largement les débats avec 87 % des terminaux Android activés en IPv6 et 96 % des iPhone, suivi par Orange avec respectivement 25 et 60 %, tandis que SFR est encore au ras des pâquerettes avec 0,2 et 0 %. Les offres data uniquement sont encore à la traine : 20 % seulement chez Bouygues Telecom, 0 % chez les autres.

SFR prévoit de redresser fortement la barre l’année prochaine avec 10 à 20 % des Android et surtout 85 à 95 % des produits Apple, des estimations identiques à celles des offres grand public.

Sur les petits opérateurs mobiles (5 000 à 3 000 000 de clients), c’est toujours un 0 pointé pour dix d’entre eux. Seul le Réunionnais Zeop a commencé les activations, avec 23 %, soit 10 points de plus en un an.

Les hébergeurs sont « l’un des principaux goulots d’étranglement »

Après le réseau de votre FAI, encore faut-il que le service distant et les services intermédiaires soient compatibles IPv6. Ce n’est malheureusement pas toujours le cas, car « les hébergeurs de sites web représentent encore l’un des principaux goulots d’étranglement dans la migration vers IPv6. Sur les principaux sites visités par les Français selon le classement Alexa, seuls 26 % sont accessibles en IPv6 », soit une baisse d’un point en un an.

Par contre, le taux de pages accessibles en IPv6 « est significativement plus élevé (61 %) ». Cette situation s’explique facilement : « les petits fournisseurs de contenu proposent souvent des sites web (au nombre de pages consultées généralement faible) non compatibles avec IPv6 ».

Sur les 3,62 millions de sites web en .fr, .re, .pm, .yt, .tf et .wf, 17,9 % sont accessibles en IPv6, contre 15,5 % l’année dernière. C’est en progression certes, mais il reste encore beaucoup de travail.

Dans le détail, CloudFlare est le meilleur élève avec 98 % de sites accessibles en IPv6, suivi par Ionos 1&1 à 78,3 %. On change complètement de dimension avec les suivants : 11.1 % pour Amazon, 10,3 % pour Scaleway, 6,7 % pour OVHcloud, 5,4 % pour Google, 2,2 % pour Gandi, etc.

  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020
  • Arcep IPv6 décembre 2020

6 % des hébergeurs mails en IPv6, le DNS reste un bon élève

Sur les mails, c’est encore pire : « La transition des hébergeurs mail connaît également un très fort retard : seuls 6 % [en hausse de 0,2 point sur un an, ndlr] des serveurs mail sont à ce jour adressé en IPv6 sur l’intégralité des .fr, .re, .pm, .yt, .tf et .wf ».

Autre problème : certains hébergeurs mails « comportent un niveau de redondance en IPv6 inférieur à celui atteint en IPv4, et est donc susceptible de poser des problèmes de résilience ». Cette fois-ci Google est seul en tête avec 95,4 %, tandis que le second est Scaleway à 10,6 % et Adista troisième à 2,5 %.

Le DNS est le bon élève de la classe : « C’est aujourd’hui le secteur le plus en avance dans la transition vers IPv6 avec environ 75 % des serveurs faisant autorité supportant IPv6. Environ 67 % des serveurs DNS garantissent une résilience d’IPv6 équivalente à celle d’IPv4 (niveau de redondance identique) ». Ionos 1&1, Gandi est Adista dépassent les 95 %, OVHcloud est à 84,2 %. CloudFlare ne dépasse pas les 70 %, Amazon 50 % et Google 40 %.

Arcep IPv6Arcep IPv6
La situation fin 2019 à gauche, celle fin 2020 à droite

Un déploiement « très insuffisant » sur les sites .gouv.fr

Dans son observatoire, l’Arcep s’est penché sur le cas de 243 sites avec le suffixe « .gouv.fr ». L'État montre-t-il l’exemple sur IPv6 ? Cela ne devrait pas surprendre grand monde, mais la réponse est non : « La transition vers IPv6 des serveurs DNS est relativement avancée, avec 45,5 % des serveurs en IPv6. L’hébergement mail est par contre uniquement réalisé en IPv4 et le taux de sites web en IPv6 est seulement de 2,1 % pour les sites principaux et 1,6 % pour les sites secondaires ».

L’Autorité enfonce le clou : « il est regrettable que la grande majorité ne soit encore accessible qu’en IPv4. Le déploiement en IPv6 des sites web et services en ligne de l’État apparaît donc encore très insuffisant, en particulier pour répondre à l'objectif d’exemplarité de l'État en matière de transition vers IPv6 ».

Arcep IPv6 décembre 2020

Équipementiers, transitaires et OS : les bons élèves

Chez les équipementiers, les voyants sont au vert depuis longtemps et les principaux fabricants (Cisco, Juniper et Nokia) affirment que toutes leurs solutions réseau commercialisées (routeurs, etc.) sont systématiquement compatibles IPv6.

Du côté des transitaires, on passe à 45 %, soit une hausse de 16 points par rapport à 2019. Si on pondère ce score avec le nombre de clients de chacun, on grimpe à 75 %, contre 72 % il y a un an. Ce résultat indique que les transitaires de grande taille passent plus rapidement à IPv6.

Par contre, tous les systèmes d’exploitation grand public encore maintenus pour les ordinateurs, tablettes et smartphone « sont compatibles avec IPv6 qui est activé par défaut depuis de nombreuses années ». Sous Windows par exemple, c’est le cas depuis Vista en 2007. 

Enfin le dernier point concerne les terminaux et ne réserve pas de grande surprise : « Sur de nombreux objets connectés (système d’alarme, télévisions, etc.), IPv6 est intégré dans l’OS mais n’est pas activé par le constructeur de l’objet connecté ». 

La France dernière du Top 10 mondial sur l’utilisation d’IPv6

Le taux d’utilisation d’IPv6 en France – tel que vu par Google – est de 42 %, soit six points de plus qu’au dernier observatoire. La crise sanitaire et le premier confinement ont eu un effet non négligeable : « le taux d’IPv6 est passé d’environ 37 % à 43 % entre mi-mars et fin avril 2020 », puis il a légèrement baissé après le confinement. « Cela pourrait notamment s’expliquer par l’augmentation du trafic issu des accès grand public, plus fréquemment activés en IPv6 que les accès entreprise », explique le gendarme des télécoms.

Au niveau européen, la France est en cinquième position derrière la Belgique (2e mondial), l’Allemagne, la Grèce et la Suisse. Elle est sur la dernière marche du Top 10, selon les données de quatre sources (Google, Akamai, Facebook et Apnic) publiquement disponibles pour évaluer et comparer l’utilisation d’IPv6.

L’Inde arrive largement en tête avec 63,6 %, suivie par la Belgique à 51,9 % et les États-Unis à 49 %. 

Arcep IPv6 décembre 2020
68

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La pénurie entraine des risques

99 % des clients Free activés en IPv6, 1,6 % de ceux de SFR

Bouygues Telecom et SFR doivent revoir leur copie

Le désert de la 4G fixe et des petits opérateurs

Moins de 1 % des clients Pro d’Orange et SFR en IPv6

Bouygues au taquet sur le mobile, Orange se réveille

SFR à 0 % sur les offres mobiles Pro

Les hébergeurs sont « l’un des principaux goulots d’étranglement »

6 % des hébergeurs mails en IPv6, le DNS reste un bon élève

Un déploiement « très insuffisant » sur les sites .gouv.fr

Équipementiers, transitaires et OS : les bons élèves

La France dernière du Top 10 mondial sur l’utilisation d’IPv6

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (68)


Autant je pense pouvoir dire que je touche ma bille en IPv4, autant je suis une ouiche en IPv6. J’ai essayé … Un peu …
Et j’en ai très peur !



C’était il y a une dizaine d’année. 3 Freebox chez des particuliers, IPv6 activé, 3 LAN derrière ces Freebox, au moins une machine Linux sur chacun des LAN.
De chez moi, LAN-A, je me connecte en IPv4 sur le LAN-B. Normal, en v4, j’ai fais les forwards qui vont bien.
Du LAN-B, je me connecte en IPv6 au LAN-C.
Buh ???
Direct, sans avoir besoin de créer une règle de forward, une machine du LAN-B peut contacter une machine du LAN-C.
Je sais pas vous, mais moi, ça m’a foutu les jetons …



Vous allez me dire que c’est normal, IPv6 est fait pour, toussa. OK. Why not.
Mais quand même, Mme Michu a déjà du mal à surfer en sécurité en IPv4, alors en IPv6, c’est open bar !


Il y a toujours un pare-feu, il n’y a juste plus besoin de NAT


L’ipv6 me fait peur pour les objets connectés… Comment Mme Michou peut savoir si ça caméra IP est directement accessible en dehors de son réseau local ?



Impossible de configurer le pare-feu IPv6 sur la box orange, free semble rendre toutes les adresses IPv6 accessible depuis l’extérieur…



Il reste pas mal de boulot à faire sur les box des FAI pour sécuriser tout ça 😟


20 ans d’annonce de « pénurie » pour une adoption aussi lente amène 2 réflexions :



1/ ce narratif est une fiction malthusienne,
2/ le marché l’a compris/intégré en fonctionnant normalement.


En fait free a activé l’IPv6 sur ses box, mais de base n’a pas activé le pare feu IPv6, du coup c’est open bar par défaut sur ton lan via l’extérieur.


Pour moi c’est une grave erreur de Free en terme de sécurité (par défaut), et peut-être que Orange fait pareil (à voir)… vous vous rappelez des vers de type sasser à l’époque Windows XP ?



A l’époque pas de routeur, que des modems simple avec IPv4 publique sur l’ordinateur, une vraie passoire.



Avec IPv6, quasiment le même problème : des IP publiques directement sur des ordinateurs, et même s’il y a le pare-feu Windows par défaut, les utilisateurs ne savent pas désactiver les règles ouvrant inutilement des ports sur Internet (donc par défaut plein de ports sont ouverts), en sécurité c’est zéro pointé.


C’est clair. Je commençais à me pencher sur l’IPV6 lors du déploiement de mon piHole et j’ai vu ça :ooo:


Il y a bien un pare feu depuis un moment (très rudimentaire).



Après le problème ne se pose que si me matériel en local est déclaré en IPV6 (ce qui n’a aucun intérêt à part se former à l’IPV6 en bidouillant).
Si vos machines locales sont déclarée en IPV4, aucun soucis à se faire.



Je pense que ça ne concerne que les utilisateurs avancés (et je doute qu’ils se reposent sur le pare feu de la freebox)


20 ans qu’on sait que IPv4 est mort. Une école d’ingé en télécom de 2010 à 2013 : pas un seul cours sur IPv6. Par contre des cours sur le support de stockage de l’avenir : la disquette ZIP (non, non, ce n’est pas une blague…).



Avant mon école d’ingé j’ai fait un DUT R&T : pareil. D’ailleurs le niveau des profs de réseau était assez cata :fou:



Comment se fait-il que des structures qui devraient préparer les techs & ingés de demain parlent plus du passé que du futur ? :(


La disquette ZIP c’est collector dis donc, là l’école a vraiment un gros souci si elle ose encore utiliser ce genre de vieillerie… même à l’époque indiquée.



C’est comme si aujourd’hui j’apprenais à mes stagiaires d’installer Windows depuis un DVD, oh wait c’est juste plus utilisé ;)
Merci les clés USB, et en entreprise le déploiement avec boot PXE ^^



tibubu257 a dit:


20 ans qu’on sait que IPv4 est mort. Une école d’ingé en télécom de 2010 à 2013 : pas un seul cours sur IPv6. Par contre des cours sur le support de stockage de l’avenir : la disquette ZIP (non, non, ce n’est pas une blague…).



Avant mon école d’ingé j’ai fait un DUT R&T : pareil. D’ailleurs le niveau des profs de réseau était assez cata :fou:



Comment se fait-il que des structures qui devraient préparer les techs & ingés de demain parlent plus du passé que du futur ? :(




Parce que personne ne se forme (zone de confort, blasé, pas/plus de motivation et que ils seraient payé pareil qu’ils fassent ce cours ou un meilleur ?) et que c’est plus simple/prend moins de temps de juste recycler ses vieux cours que d’en préparer de nouveau ?
Mais j’ai le même sentiment, quand j’ai fait mon école, le niveau était très (mais vraiment beaucoup) hétérogène, les meilleurs ont passé d’eux-même des certifications et ont fini architecte/référent, certains (qui ont eu le diplôme aussi) avaient à peine le niveau technicien (et encore).


Je partage à 100 %.



De même, le niveau entre les enseignants (surtout en DUT) était très hétérogène. Math, Info & Télécom : profs très au fait de l’actualité, à essayer de trouver des trucs nouveaux et à refaire leurs cours.



Réseau & Élec : deux vieux profs qui, pour le réseau, n’y pigeaient rien et, pour les 2, ne voulaient pas se casser la tête…



Aujourd’hui je découvre IPv6 sur le tas, et je me rends compte que c’est pas de la tarte xD


Bruno dans le R|Métro

Je partage à 100 %.



De même, le niveau entre les enseignants (surtout en DUT) était très hétérogène. Math, Info & Télécom : profs très au fait de l’actualité, à essayer de trouver des trucs nouveaux et à refaire leurs cours.



Réseau & Élec : deux vieux profs qui, pour le réseau, n’y pigeaient rien et, pour les 2, ne voulaient pas se casser la tête…



Aujourd’hui je découvre IPv6 sur le tas, et je me rends compte que c’est pas de la tarte xD


le mooc ipv6 vient d’ouvrir sa 6e session. TB pour tous les concepts et avec des TP pratiques.
cf https://www.fun-mooc.fr/courses/course-v1:MinesTelecom+04012+session06/about



lansing a dit:


En fait free a activé l’IPv6 sur ses box, mais de base n’a pas activé le pare feu IPv6, du coup c’est open bar par défaut sur ton lan via l’extérieur.




Tu peux soucer s’il te plaît.
Car ça me paraît étrange de la part de ce FAI que je n’aime pas.
Il y a peut être eu un bug sur un firmware ou alors si la description du firewall juste pour l’ipv6, l’opérateur ce repose sur le firewall de l’os qui est majoritairement windows donc activé dans le cas où la box t’offre une ip v6 pour le lan.



Si la box fournit du v4 pour le lan et du v6 uniquement pour le Wan, sûrement dans le firewall v4. La box gère ensuite juste le routage voir Nat.


Courant fin 20192020, mise à jour du firmware de la FB Révolution et activation de l’IPv6. Elle n’est pas désactivable, mais j’ai du manuellement activer le firewall IPv6.


lansing

Courant fin 20192020, mise à jour du firmware de la FB Révolution et activation de l’IPv6. Elle n’est pas désactivable, mais j’ai du manuellement activer le firewall IPv6.


Idem chez plusieurs clients, c’est le comportement par défaut chez Free…



Norde a dit:


Il y a bien un pare feu depuis un moment (très rudimentaire).



Après le problème ne se pose que si me matériel en local est déclaré en IPV6 (ce qui n’a aucun intérêt à part se former à l’IPV6 en bidouillant). Si vos machines locales sont déclarée en IPV4, aucun soucis à se faire.



Je pense que ça ne concerne que les utilisateurs avancés (et je doute qu’ils se reposent sur le pare feu de la freebox)




Attention quand même, sous Windows il me semble que la stack IPv6 est activé par défaut, donc si ta box fourni un DHCP IPv6, tu récupères bien une IPv6 sur ta machine (et ton poste est en double-stack : Par défaut en IPv6 et il passe en IPv4 si ça ne répond pas).



AncalagonTotof a dit:


Autant je pense pouvoir dire que je touche ma bille en IPv4, autant je suis une ouiche en IPv6. J’ai essayé … Un peu … Et j’en ai très peur !




[SNIP]




Vous allez me dire que c’est normal, IPv6 est fait pour, toussa. OK. Why not. Mais quand même, Mme Michu a déjà du mal à surfer en sécurité en IPv4, alors en IPv6, c’est open bar !




Oui. Effectivement. C’est normal. C’est fait pour. Comme IPv4 d’ailleurs, sauf qu’on n’avait pas assez d’adresses et trop d’intermédiaires voyous. Alors on a fait de la NAT et menti sur la sécurité du procédé pour faire croire que c’était une bonne chose. Et ça a encouragé la fainéantise consistant à mettre tous les réseaux, même ceux qui ne doivent pas se voir entre eux, dans une seule instance de routage. Alors oui, forcément, quand le routage marche bien, surprise ! Ils se voient ! Si vous voulez segmenter vous réseau, ne les reliez pas. Si vous avez besoin qu’ils communiquent de façon sécurisée, mettez cette sécurité en place explicitement. Il n’y a que comme ça que vous aurez véritablement la maîtrise de vos réseaux. Et vous cesserez d’avoir peur des bonnes choses.


Je pense que les besoins ont beaucoup changé depuis les débuts d’IPv6. A cette époque il y avait encore beaucoup de communications Pair à Pair. Aujourd’hui nous sommes plus dans un modèle “Eyeballs - Serveurs”. L’impératif d’@IP publiques n’existe plus que pour ces seconds.



D’ailleurs, notez que pour l’IPV6 chez le particulier, Orange fait tourner régulièrement le préfixe, ce qui revient à recréér artificiellement un défaut de l’ipv4 pour entretenir cette séparation “ceux qui accedent vs ceux qui produisent”.


De toute façon ce n’est pas comme si les NAT étaient à toute épreuve. Ce n’est simplement pas conçu pour sécuriser. Les pare-feu sont mieux, mais encore une fois, ce n’est qu’une couche de défense, à empiler avec d’autres.



L’apathie des opérateurs me met hors de moi. J’ai déjà déployé certains services en IPv6 parce que c’était beaucoup plus simple (pas de reverse proxy ni MITM HTTPS ou SNI, en plus certains protocoles autres que HTTP n’ont pas forcément de reverse proxy, et c’est plus facilement migrable d’une machine à l’autre). Pour l’un d’entre eux (serveur mumble) j’ai dû me résoudre à n’héberger qu’un seul serveur sur le port par défaut, car l’une des personnes était chez SFR…



Mais les chiffres s’améliorent suffisamment pour me permettre d’envisager de publier mon blog en IPv6-only. Je pense qu’il faudrait des carottes pour le consommateur: Rendre la bêta d’un gros jeu ou service disponible en IPv6 uniquement, par exemple.



J’aimerais vraiment que le p2p revienne, c’est beaucoup plus optimal sur un grand nombre de points. Et il y a des protocoles intéressants qui arrivent (hypercore, anciennement dat, + beaker browser dessus, pour n’en citer qu’un).


J’ai lu quelque part (quelqu’un avait posté un document de l’ARCEP) que le droit à la 5G était asservi à un réseau 4G 100% IPv6 au 31 décembre 2020.



Quelqu’un aurait des infos là-dessus ?


Je n’ai pas souvenir d’une date de fin 2020 mais j’avais retenu aussi une contrainte d’avoir de l’IPv6. Je pense que cela aurait pu être rappelé dans l’article au niveau du chapitre mobile.


Il semble qu’il existe une contrainte IPv6 pour obtenir des licence pour la 5G:
https://lafibre.info/ipv6/ipv6-barometre-2020/msg817102/#msg817102
https://lafibre.info/ipv6/ipv6-barometre-2020/msg817174/#msg817174



Après si c’est juste avoir un réseau mobile IPv6 compatible, ce n’est pas difficile (tous les matériels réseaux récent le sont). L’ARCEP devrait rendre l’IPv6 obligatoire sur les réseaux en 5G et activé par défaut (désactivable par l’utilisateur). Par ruissellement, l’IPv6 progresserait les réseaux 4G.


Je pense que le problème d’IPv6 (hormis les adresses horribles :D) c’est la cohabitation IPv4 qui va rester pour un moment en local (surtout en entreprise, on ne va pas migrer sur IPv6 en un claquement de doigt) et un WAN en IPv6.
ça rame car tous les utilisateurs finaux (en entreprise) ne vont pas migrer en IPv6 en local, donc il n’y a aucune dynamique pour passer Internet en IPv6.


Pourtant ce n’est pas si complexe à déployer en local, 90% des postes utilisent déjà des adresses IPv6 link-local.



Il faut juste publier quelques paquets RADV (router advertisement) qui indiquent où se situe le routeur, et quel préfixe utiliser. Tout s’effectue via SLAAC, c’est même plus simple qu’en IPv4. DHCPv6 est également une option pour certains réseaux.


@tibubu57
La faute aux profs, c’est gentil, mais la réalité, c’est qu’il faut faire comprendre à des étudiants, qui démarrent souvent de 0 ou presque, les principes réseau de base en IPv4, la couche OSI, et les entraîner sur des routages/filtrages simples - et ce en un temps limité. Dans le monde réel, on ne peut passer à IPv6 qu’un fois IPv4 bien assimilé et maîtrisé.
Pour élargir le débat, les entreprises n’en ont rien à foutre d’IPv6 en interne : elles n’en ont pas besoin, tout simplement. La plupart des administrateurs avertis ne se gêneront d’ailleurs pas pour fermer IPv6 en tête de réseau par sécurité. Bref, il ne faut pas confondre les besoins des FAI, qui sont à court d’IP, avec ceux des PME/PMI, qui emploieront la majeure partie des administrateurs de métier…
IPv6 est utile pour certain, mais pas pour tous. Et de toute façon un informaticien est amené à évoluer de lui même. S’il a réellement besoin d’IPv6, il fera ce qu’il faut pour l’apprendre !



MayeulC a dit:


Pourtant ce n’est pas si complexe à déployer en local, 90% des postes utilisent déjà des adresses IPv6 link-local.



Il faut juste publier quelques paquets RADV (router advertisement) qui indiquent où se situe le routeur, et quel préfixe utiliser. Tout s’effectue via SLAAC, c’est même plus simple qu’en IPv4. DHCPv6 est également une option pour certains réseaux.




Oui, enfin, quand tu as pleins de VLAN, des centaines de serveurs, des DNS pour les applications web et accès divers, etc, c’est pas une affaire de une semaine pour tout migrer, ça a un certain coût en temps et en argent.



hansi a dit:


IPv6 est utile pour certain, mais pas pour tous.




Non, non, non. Ça c’est archifaux à mon avis car internet c’est du réseau, et IP est vraiment une brique de base. Donc les besoins des uns concernent également les autres.



J’aimerais bien pouvoir profiter de 1024 et plus IPs par VPS, mais à quoi ça sert si ce n’est pas accessible pour > 50% des utilisateurs?



Je ne sais pas si les gens se formeront proactivement sur IPv6. La fainéantise est généralement un avantage compétitif dans les métiers de l’information :mdr:



De ce que j’en vois, les gens apprennent IPv4 avec l’attitude “c’est comme ça, point” (à l’école), et pinaillent sur les points moins évidents de IPv6.



Mais je suis d’accord. Lorsque ce sera indispensable, ça viendra. C’est juste que ça va faire bientôt 30 ans que l’on planche sur la transition et que ça n’avance pas à cause d’un “catch-22”: pas déployé, pas d’utilisateurs. Pas d’utilisateurs, pas déployé.



C’est vrai ça. Mais ça peut être fait progressivement, et il n’y a pas forcément d’excuse pour les nouveaux déploiements.



hansi a dit:


@tibubu57 La faute aux profs, c’est gentil, mais la réalité, c’est qu’il faut faire comprendre à des étudiants, qui démarrent souvent de 0 ou presque, les principes réseau de base en IPv4, la couche OSI, et les entraîner sur des routages/filtrages simples - et ce en un temps limité. Dans le monde réel, on ne peut passer à IPv6 qu’un fois IPv4 bien assimilé et maîtrisé. Pour élargir le débat, les entreprises n’en ont rien à foutre d’IPv6 en interne : elles n’en ont pas besoin, tout simplement. La plupart des administrateurs avertis ne se gêneront d’ailleurs pas pour fermer IPv6 en tête de réseau par sécurité. Bref, il ne faut pas confondre les besoins des FAI, qui sont à court d’IP, avec ceux des PME/PMI, qui emploieront la majeure partie des administrateurs de métier… IPv6 est utile pour certain, mais pas pour tous. Et de toute façon un informaticien est amené à évoluer de lui même. S’il a réellement besoin d’IPv6, il fera ce qu’il faut pour l’apprendre !




En fait c’est juste faux : IPv6 apporte ENORMEMENT d’avantage par rapport à IPv4, surtout en entreprise.
Sans même parler de la sécurité qui est intégré dans le protocole (chiffrement…), le fait de pouvoir attribuer nativement, selon des préfix, différentes IP pour différents usage à des mêmes postes c’est juste le paradis en sécurité. Ou juste de créer des segmentations (selon emplacement phydique, type de machine, type d’accès etc.) à base de préfix plutôt que de subnet, ça change la vie.



Pour de la sécurité applicative, tu peux juste te permettre d’autoriser ou non le prefix “et voila”.
Quand tu fais du zero-trust, avoir également des IP qui ne changent pas ou uniquement attribué par le réseau par un prefix/suffix, c’est vraiment la joie.
IPv4 c’est la foire à la saucisse dans les entreprises souvent, avec des subnets dans tous les sens et des découpages de découpages et qui partent ensuite en CIDR, ou alors avec des jonctions entre réseau privé (fusion, rachat etc.) avec des IP identiques de chaque côté et du NAT bien bourrin entre les deux…).
Et puis juste, avec l’IoT en IPv4 ça passera jamais, dès que la boite va être un peu grosse/industrie, si tu commences à vouloir x centaines de capteurs par site, tu vas vite saturer.


Tout à fait le pb de nombreux “admin réseau” est qu’ils pensent que la sécurité consiste à tout laisser passer en clair pour pouvoir surveiller au cas où (genre le réseau interne est totalement sûr).



Dans ma boite (une grosse SSII), j’avais fait un petit site interne de gestion, j’ai voulu avoir un certificat signé par le domaine : mission quasi impossible personne sait faire, personne ne veut faire. La raison pas besoin de sécurisé un site interne (qui est accessible à quelques 10aines de milliers d’employés et qui traite de données assez sensible -financière-). Le niveau de nos RSSI est abyssale ils font l’opposé de la sécurité et raisonnent en sanction : Pas besoin de sécurité l’article x de la charte nous permettra de virer le gus.
Plusieurs ransomwares ont attaqué nos concurrents cet été : la comm’ de nos RSSI ? Vous avez eu une formation sécurité, vous serez responsable de l’entrée d’un ransomware par phising.



MayeulC a dit:


Pourtant ce n’est pas si complexe à déployer en local, 90% des postes utilisent déjà des adresses IPv6 link-local.



Il faut juste publier quelques paquets RADV (router advertisement) qui indiquent où se situe le routeur, et quel préfixe utiliser. Tout s’effectue via SLAAC, c’est même plus simple qu’en IPv4. DHCPv6 est également une option pour certains réseaux.




Alors justement le SLAAC est pour moi un problème car il n’est utilisable que sur le LAN (vu que broadcasté).
Derrière un routeur en SLAAC, c’est compliqué de sous-segmenter le réseau , quel que soit la raison (partage de connexion ou mise en place d’un routeur intermédiaire).
Dans un routeur “normal” - genre OpenWRT, linux, …. , tu peux faire autrement: routage statique, DHCPv6-PD, … Mais dans une box opérateur, ben tu peux pas : coté LAN c’est SLAAC et c’est tout (alors que les PC savent utiliser du DHCPv6 par exemple).



En IPv4 t’a pas ce problème grâce au NAT / DMZ, notion inexistante en IPv6.



Ce problème est très con , car cette raison conduit bien souvent à la désactivation d’IPv6 chez les pro (lorsque par exemple un prestataire info pose “son” routeur derrière la box opérateur en marque blanche).



(Si qqun a des idées contre ça , je suis preneur)


Une solution possible à ton souci (je crois que tu es plus ou moins dans le même cas que moi) serait d’utiliser un proxy pour les paquets ICMP, histoire d’annoncer les routes et de vérifier que les IP choisies sont uniques. J’en ai vu plusieurs, comme celui-ci ou celui-là. Peut-être également ce projet? Ça manque un peu de maturité en tout cas…



Les préfixes ne seraient pas déterministes par réseau, à moins de faire croire que les IP existent déjà? Ce serait bien que orange propose du PD. J’ai aussi une box bouygues qui le propose dans sa configuration, mais qui n’a pas du tout d’IPv6…



Une autre solution est de mettre ton propre routeur en amont de la livebox, et de lui faire copier la config de la livebox, pour te récupérer un autre préfixe via PD qui est lui disponible en amont. Je ne l’ai pas fait car il me faudrait un modem ADSL (pas encore de fibre sur ce réseau orange).


Il y a aussi un point à prendre en compte concernant la sécurité en IPv6. Quelqu’un qui ferait un scan de ports avec des adresses aléatoires pour trouver une machine et les éventuelles failles de sécurité qui vont avec pourrait attendre longtemps. En effet, avec une adresse sur 16 octets, il doit y avoir une adresse sur quelques centaines de millions de milliards de milliards qui est attribuée effectivement à une machine. Ça limite les risques et l’on n’est plus vraiment dans la même situation que lors de l’épisode Sasser, même sans pare-feu activé au niveau de la box. Du coup, la box, sur laquelle la sécurité reposait en ip v4 (blocage des connexions entrantes sauf configuration spécifique du NAT) est un peu moins importante et ce n’est pas plus mal car, même s’il n’y a pas eu de grosses catastrophes récemment, les box ne sont pas infaillibles.
D’ailleurs, quand on configure son nat pour rendre une adresse accessible sur un port genre 22 ou 443, voire même avec des numéros de ports non standards, on a souvent pleins de tentatives de connexions dessus avec des identifiants et mots de passe plus ou moins farfelus. En IPv6, plus de nat mais en raison du grand nombre d’adresses potentielles, ça n’arrive plus, ce genre de tentatives pathétiques.


Ouais heu attends que les bot s’adapte et on en verra en IPV6. ce n’est qu’une question de temps. Vu la puissance de calcul maintenant, ce n’est pas dérangeant de scan des milliards d’adresses.



En tout cas j’attends Bouygues de pied ferme pour l’IPV6 à Lille :dors:



tibubu257 a dit:


20 ans qu’on sait que IPv4 est mort. Une école d’ingé en télécom de 2010 à 2013 : pas un seul cours sur IPv6. Par contre des cours sur le support de stockage de l’avenir : la disquette ZIP (non, non, ce n’est pas une blague…).



Avant mon école d’ingé j’ai fait un DUT R&T : pareil. D’ailleurs le niveau des profs de réseau était assez cata :fou:



Comment se fait-il que des structures qui devraient préparer les techs & ingés de demain parlent plus du passé que du futur ? :(




Je viens de me renseigner sur wikipedia, apparemment les lecteurs ZIP ont cessé d’être commercialisés en 2005.


Sérieusement j’ai demandé au prof si c’était une plaisanterie et s’il attendais qu’on réagisse (ne serait ce que pour montrer l’évolution de l’informatique en 15 ans).



Il l’a très mal pris. Je me suis barré de son cours à l’interclasse, comme beaucoup…


Bruno dans le R|Métro

Sérieusement j’ai demandé au prof si c’était une plaisanterie et s’il attendais qu’on réagisse (ne serait ce que pour montrer l’évolution de l’informatique en 15 ans).



Il l’a très mal pris. Je me suis barré de son cours à l’interclasse, comme beaucoup…


C’est un délice que de passer pour un idiot aux yeux d’un con.



Contrairement à ce que tu laisses penser de lui, le prof en question n’avait vraisemblablement pas l’intention de promouvoir l’usage des ZIP en 2020, simplement de vous offrir une rétrospective utile pour comprendre les mémoires de masse du présent. Comme tu t’es “barré de son cours à l’interclasse”, ça tu ne l’as pas vu.



Il faut arrêter de croire que les cons, c’est toujours les autres.


Golffies

C’est un délice que de passer pour un idiot aux yeux d’un con.



Contrairement à ce que tu laisses penser de lui, le prof en question n’avait vraisemblablement pas l’intention de promouvoir l’usage des ZIP en 2020, simplement de vous offrir une rétrospective utile pour comprendre les mémoires de masse du présent. Comme tu t’es “barré de son cours à l’interclasse”, ça tu ne l’as pas vu.



Il faut arrêter de croire que les cons, c’est toujours les autres.


Non non, je confirme, il ne s’agissait pas d’une rétrospective, mais lire entièrement un commentaire avant d’y répondre d’un ton condescendant est visiblement trop compliqué pour ton égo.



Aller va te coucher et la prochaine fois tourne 7 fois ta langue dans ta bouche avant d’ouvrir ton clac-merde et de me traiter de con !


100% d’IPv6 en 4G fixe chez Orange ? Je n’ai pas trouvé pour l’activer sur leur routeur (obligatoire , on est bloqué si on utilise un autre routeur).
Ça me permettrait d’avoir une IP qui n’est pas derrière un NAT d’orange !
Pour le moment IPV6 inconnu et ipv4 en 10.144….



tibubu257 a dit:


20 ans qu’on sait que IPv4 est mort. Une école d’ingé en télécom de 2010 à 2013 : pas un seul cours sur IPv6. Par contre des cours sur le support de stockage de l’avenir : la disquette ZIP (non, non, ce n’est pas une blague…).




Bah moi j’ai fait une fac d’info (un IUP puis master 2) 10ans plus tôt en 2001-2005 et on a eu notre lot de cours réseau : routage, ATM, IPv6, unicast/multicast… Faut juste arrêter de payer pour aller dans des écoles pourries !


École d’Ingé publique et IUT, rien de payant ici (au delà des droits universitaires évidemment) ;-)



Au delà de ces anecdotes je recommanderais sans problème mon IUT, mon école d’ingénieur, faite en alternance, ça dépend du profil.


Bruno dans le R|Métro

École d’Ingé publique et IUT, rien de payant ici (au delà des droits universitaires évidemment) ;-)



Au delà de ces anecdotes je recommanderais sans problème mon IUT, mon école d’ingénieur, faite en alternance, ça dépend du profil.


J’ai fait un DUT et une école, dans la même période que toi.
Je me rappelle très clairement avoir vu IPv6 en école d’ingé, d’ailleurs mon prof est l’un de ceux du MOOC FUN “Objectif IPv6”, ça explique peut-être cela :D



Je pense que j’ai du également le voir vite fait en DUT de manière théorique…



Pour le coup tu as vraiment eu des profs de merde :fou:



Pour en revenir à l’article, je suis assez surpris des chiffres pour le mail chez Gandi, pourtant leur MX est compatible v6 :keskidit:



Niveau box …. perso j’avoue avoir désactivé IPv6, le temps de me pencher niveau pare-feu sur mon réseau et ça tarde :transpi: (pourtant ça résoudrait des soucis que j’ai de loopback ipv4 …)


Un moment, certain site ne seront plus qu’IPv6 et SFR ne pourra plus vendre d’accès à Internet puisque certain site ne seront plus accessible. Les clients partiront. Fin de l’histoire.



Plein de site chinois ne sont d’ailleurs plus accessible qu’en IPv6. C’est parfois par la force des choses qu’on avance. En France, on se contente de patcher IPv4 pour tenir le plus longtemps possible, tout en prenant un magnifique retard en terme de technologie.



tibubu257 a dit:


Sérieusement j’ai demandé au prof si c’était une plaisanterie et s’il attendais qu’on réagisse (ne serait ce que pour montrer l’évolution de l’informatique en 15 ans).



Il l’a très mal pris. Je me suis barré de son cours à l’interclasse, comme beaucoup…




Bah , bcp de prof en fin de carrière ne cherchent pas à se remettre en question pour le peu de temps qu’il reste. J’ai bien eu des heures de cours sur le protocole exact (jusqu’aux signaux oscillo) du fax à l’époque (Du coup je peux comprendre pourquoi ça marche pas ou mal sur du SIP)



ForceRouge a dit:


Un moment, certain site ne seront plus qu’IPv6 et SFR ne pourra plus vendre d’accès à Internet puisque certain site ne seront plus accessible. Les clients partiront. Fin de l’histoire.




Je ne suis pas sur que ce soit la “vision” d’un FAI comme SFR (ou d’autres).
Pour eux, la vision c’est encore le minitel : Il fournissent des “services” , provenant de leur groupe ou en partenariat avec d’autres, et t’en garantissent l’accès. Le fait que 3 gugus veulent accéder à un site en chinois ne les bougent pas. Si par contre Netflix décide de passer lundi en IPv6-only, mercredi matin 100% des clients de SFR sont en IPv6 par défaut, j’en suis convaincu.



Aujourd’hui, en 3G/4G l’IPv6 marche pas ou mal et ya du CGNAT, ça ne les empêche pas ni de faire leur beurre (les gens regardent pas ce genre de chose) ni de vendre ça comme “accès internet” - ça reste du marketing.


C’est exactement ce que je dis :mad2:



Le jour ou certain site (Netflix dans ton exemple) ne fonctionneront qu’en IPv6, où plus vicieux, la 4K ne sera fourni qu’en IPv6 par exemple. Ce que SFR ne fournira pas. Les clients partiront, ou SFR s’adaptera. Malheureusement aujourd’hui (et ca me désole vraiment qu’encore une fois le marketing lead le technique) on peut clairement se passer d’IPv6 et très bien dormir.


En tant que particulier, rien que pou un accès à mon NAS sans passer par un redirecteur d’adresse, ça me botte l’IPv6.



Je crois qu’il va falloir en passer un jour par la mauvaise solution qui est de fixer une date d’extinction de l’IPv6 à l’échelle de la planète si on veut que la transition se fasse.


Ce qui n’arrivera jamais, puisque cela a un coût. Et si le rapport coûts/revenus est trop élevé ce sera toujours niet pour les entreprises. USA / Canada par exemple.
Et la fibre à un prix décent (<$60/mois) ? Hahahahahahah même pas sûr que je l’aurai de mon vivant non plus.


Faudrait que les navigateurs puissent accéder en ipV6 aussi, pour des accès admin sur un port quelconque par exemple. Mais non, donc ça n’aide pas à la propagation non plus.


“Orange est à 100 % de « ready »… pour seulement 1 % d‘activé.”



C’est effectivement ce que dit le rapport de l’ARCEP, en revanche, impossible de trouver une option pour activer l’IPv6 sur la box 4G d’Orange et le support dit que l’IPv6 n’est pas pris en charge, voir cet échange :



https://community.orange.be/t5/Internet-et-Fixed-Phone/Ipv6-pr%C3%A9vu/m-p/85451#M2409



Concernant les hébergeur, Amen ne fournit pas d’Ipv6 pour les petis sites hébergés, super pour le référencement…



OB a dit:


Alors justement le SLAAC est pour moi un problème car il n’est utilisable que sur le LAN (vu que broadcasté). Derrière un routeur en SLAAC, c’est compliqué de sous-segmenter le réseau , quel que soit la raison (partage de connexion ou mise en place d’un routeur intermédiaire). Dans un routeur “normal” - genre OpenWRT, linux, …. , tu peux faire autrement: routage statique, DHCPv6-PD, … Mais dans une box opérateur, ben tu peux pas : coté LAN c’est SLAAC et c’est tout (alors que les PC savent utiliser du DHCPv6 par exemple).



En IPv4 t’a pas ce problème grâce au NAT / DMZ, notion inexistante en IPv6.



Ce problème est très con , car cette raison conduit bien souvent à la désactivation d’IPv6 chez les pro (lorsque par exemple un prestataire info pose “son” routeur derrière la box opérateur en marque blanche).



(Si qqun a des idées contre ça , je suis preneur)




En effet DHCPv6 Prefix Delegation sert justement à ça, en domestique seul free le propose…



SLAAC est une horreur en entreprise, comment suivre les terminaux sur un wifi par exemple ? et comme Android ne gère pas DHCPv6 bah c’est la m


Mais comment fais-tu pour suivre les terminaux Wi-Fi habituellement? Via l’adresse MAC? Elle est sélectionnée aléatoirement par réseau Wi-Fi en général, et peut-être par BSSID ou connexion en fonction des OS. Il faudrait mieux utiliser une authentification RADIUS. Mais je comprends un peu le principe.



Aaah, le hairpining sur les box orange notamment… Une longue histoire, IPv6 me complexifie la tâche également.



Par contre il ne route pas le reste du /56 dans le réseau interne. Si tu remplaces la livebox par ton propre routeur par contre, tu peux récupérer du PD et le /56 complet.



Le réseau local reste d’actualité avec les adresses fe80:: :)



Orange a ses soucis, mais au moins les livebox ont un firewall activé par défaut, et désactivable pour certaines IPv6 sur certains ports ou plages de ports. Mais comme les livebox ont tendance à “oublier” le réglage (1-65535 devient magiquement 1 au bout de deux semaines, WTF), je l’ai juste désactivé. Les appareils sensibles (imprimante, IoT…) sont juste dans un autre VLAN, et ne sont pas reliés à internet.




JCLB a dit:


C’est vrai pour les petites entreprises qui n’ont pas leur préfixe. L’idéal serait de pouvoir descendre la délégation jusqu’au bout. Par exemple j’apprends un /48 ou 56 de mon ISP et je hard code les autres bits ou DHCPv6. Mais aucun OS ne propose de hard coder seulement la partie “host” de l’IP.




Hmm, ça ne fonctionnerait pas pour toi de partager ton /56 en 256 zones de SLAAC différentes?




ForceRouge a dit:


Ouais mais non en faite, l’adressage d’un LAN ne doit pas dépendre de ton FAI. Quand ca bascule, t’attend la fin du lease DHCP? ou tu fais un truc bien crado à base de RA pour tout changer? Mais du coup, tu coupe toutes les connexions des services 100% interne le temps que tout le monde ait basculé?




En IPv6, on n’est pas censé garder l’ancienne adresse un certain temps en plus de la nouvelle, pour faciliter les transitions? Il y a aussi des choses prévues spécialement pour le roaming, que je ne maîtrise pas.


Même des boites comme OVH ne sont pas bonnes sur l’IPv6. Par exemple chez OVH pas d’IPv6 sur le vRack qui est quand même assez bien utilisé quand on monte une infra un peu sérieuse. Chez Online je ne sais pas si ça fonctionne dans leur équivalent du vRack. Donc il vaut mieux héberger chez des américains pour pouvoir fournir du contenu IPv6 :-)



JCLB a dit:


En effet DHCPv6 Prefix Delegation sert justement à ça, en domestique seul free le propose…



SLAAC est une horreur en entreprise, comment suivre les terminaux sur un wifi par exemple ? et comme Android ne gère pas DHCPv6 bah c’est la m




J’en suis à me dire que je vais me développer un démon qui va écouter en SLAAC et redistribuer en DHCPv6-PD sur une autre interface.



Je pense que c’est délibéré : Typiquement Orange réserve un /56 par client (affiché dans la GUI de la box) mais diffuse un /64 en SLAAC.
https://x0r.fr/blog/58


Quand on lit les commentaires, on se rend compte de la complexité du problème.
Même un public technique comme celui de NextInpact essaye absolument de transposer les fonctionnalités d’IPv4 en IPv6 alors que ça ne fonctionne pas pareil.



Le concept de réseau local a été supprimé dans ses très grandes largeurs d’IPv6, le concept de NAT à été supprimé complètement il me semble, donc vouloir transposer un réseau local IPv4 en IPv6 ne sert à rien : ça n’est pas possible.
En soit ça ne pose pas de soucis si les routeur qui connectent à internet ne vont que dans un sens (en gardant en mémoire les ip/port sources lors d’une connexion interne vers externe pour que la réponse soit possible).



Je me rappelle ne rien comprendre à ce sujet il y a quelques mois, du coup je me suis penché dessus… et ça prend du temps, beaucoup de temps pour vraiment comprendre comment ça fonctionne. Une énorme partie des connaissances IPv4 et à ranger au coté des connaissances sur la disquette (et bientôt le disque dur) et le soucis c’est que l’IPv6 demande un niveau beaucoup plus technique que l’IPv4 (en tout cas c’est mon avis, je sais qu’il y a d’autres avis sur ce point).



L’IPv4 était géré par des techniciens, l’IPv6 devra être géré pas des admins.


Détrompe toi sur le NAT, c’est loin d’être supprimé en IPv6, et ca s’appelle du NPT (Network prefix translation). Ce qui n’a plus d’intérêt en IPv6, c’est le PAT uniquement.



Sans NPT, tu peux pas faire de multi-wan ou bien simplement gérer un réseau local avec IPv6 sans avoir un AS, un range d’IP publiques, et un FAI qui accepte de peer avec toi. Sinon, à chaque changement de préfix de la part de ton FAI, ou changement de FAI, ou bascule du FAI 1 => FAI 2, tu dois re-ip tous tes serveurs.



AncalagonTotof a dit:


Autant je pense pouvoir dire que je touche ma bille en IPv4, autant je suis une ouiche en IPv6. J’ai essayé … Un peu … Et j’en ai très peur !



C’était il y a une dizaine d’année. 3 Freebox chez des particuliers, IPv6 activé, 3 LAN derrière ces Freebox, au moins une machine Linux sur chacun des LAN. De chez moi, LAN-A, je me connecte en IPv4 sur le LAN-B. Normal, en v4, j’ai fais les forwards qui vont bien. Du LAN-B, je me connecte en IPv6 au LAN-C. Buh ??? Direct, sans avoir besoin de créer une règle de forward, une machine du LAN-B peut contacter une machine du LAN-C. Je sais pas vous, mais moi, ça m’a foutu les jetons …



Vous allez me dire que c’est normal, IPv6 est fait pour, toussa. OK. Why not. Mais quand même, Mme Michu a déjà du mal à surfer en sécurité en IPv4, alors en IPv6, c’est open bar !




Le gros souci c’est qu’il n’y avait pas de firewall en ipv6 par défaut.



Maintenant, il y a, uniquement sur les nouvelles freebox. Et il faut l’activer à la main (par activé par défaut).
Cela bloque en entrant les ports usuels. Par contre du coup, il n’y a pas la possibilité “d’ouvrir” les ports comme en ipv4.



Mais ouais, en reprenant free, par défaut, tous les ports sont ouvert, sur chaque machine connectée au réseau local, en ipv6.



tibubu257 a dit:


Sérieusement j’ai demandé au prof si c’était une plaisanterie et s’il attendais qu’on réagisse (ne serait ce que pour montrer l’évolution de l’informatique en 15 ans).



Il l’a très mal pris. Je me suis barré de son cours à l’interclasse, comme beaucoup…




Ne vous inquiétez pas, c’est encore le cas dans les écoles aujourd’hui. DUT 2016-2018 puis la suite jusqu’à maintenant: l’ipv6,on s’en fou un peu. On fait de l’ipv4 et “on verra” quand ce sera “massivement déployé”.



ForceRouge a dit:



Sans NPT, tu peux pas faire de multi-wan ou bien simplement gérer un réseau local avec IPv6 sans avoir un AS, un range d’IP publiques, et un FAI qui accepte de peer avec toi. Sinon, à chaque changement de préfix de la part de ton FAI, ou changement de FAI, ou bascule du FAI 1 => FAI 2, tu dois re-ip tous tes serveurs.




Certes mais bon, c’est aussi pour ça que le DNS existe…. T’est rarement censé hardcoder les IP des machines.



OB a dit:


J’en suis à me dire que je vais me développer un démon qui va écouter en SLAAC et redistribuer en DHCPv6-PD sur une autre interface.



Je pense que c’est délibéré : Typiquement Orange réserve un /56 par client (affiché dans la GUI de la box) mais diffuse un /64 en SLAAC. https://x0r.fr/blog/58




Sans DHCPv6-PD pas de préfixe et surtout pas de routage, ce que tu veux faire revient à un bridge




ForceRouge a dit:


Détrompe toi sur le NAT, c’est loin d’être supprimé en IPv6, et ca s’appelle du NPT (Network prefix translation). Ce qui n’a plus d’intérêt en IPv6, c’est le PAT uniquement.



Sans NPT, tu peux pas faire de multi-wan ou bien simplement gérer un réseau local avec IPv6 sans avoir un AS, un range d’IP publiques, et un FAI qui accepte de peer avec toi. Sinon, à chaque changement de préfix de la part de ton FAI, ou changement de FAI, ou bascule du FAI 1 => FAI 2, tu dois re-ip tous tes serveurs.




C’est vrai pour les petites entreprises qui n’ont pas leur préfixe. L’idéal serait de pouvoir descendre la délégation jusqu’au bout. Par exemple j’apprends un /48 ou 56 de mon ISP et je hard code les autres bits ou DHCPv6.
Mais aucun OS ne propose de hard coder seulement la partie “host” de l’IP.



On va y venir aux serveurs avec IP affectée en DHCP, c’est déjà une réalité chez scaleway par exemple.


Même pas, sans NPT, si le prefix change (failover entre deux FAI), toutes les IP internes changent vu que lié au prefix.



Sans même parler de cout, il n’est techniquement pas possible de fournir un AS et un prefix à chaque connexion internet, donc ouais, la translation d’adresse n’est pas prête de disparaitre,



Pour les IP des serveurs scaleway en DHCP, y a pas trop de rapport vu que l’AS est géré par scaleway, le prefix ne change jamais.



OB a dit:


Certes mais bon, c’est aussi pour ça que le DNS existe…. T’est rarement censé hardcoder les IP des machines.




Ouais mais non en faite, l’adressage d’un LAN ne doit pas dépendre de ton FAI. Quand ca bascule, t’attend la fin du lease DHCP? ou tu fais un truc bien crado à base de RA pour tout changer? Mais du coup, tu coupe toutes les connexions des services 100% interne le temps que tout le monde ait basculé?



JCLB a dit:


Sans DHCPv6-PD pas de préfixe et surtout pas de routage, ce que tu veux faire revient à un bridge




Bah je suis bien d’accord - Moi ce que je voudrait c’est 2 choses :




  1. Sous-segmenter le /56 en 256 sous réseaux /64 , chacun attribué à un usage (que ce soit en adressage plat ou en VLAN)

  2. Dans l’idéal j’aimerais que ces /64 soit attribué en DHCPv6 plutôt qu’en SLAAC , en particulier pour être en mesure de mettre à jour des pointeurs DNS



La façon “normale” de faire, ce serait (chez orange) de se passer de la livebox, et de faire tout le routage soit même, avec la complexité de garder le téléphone & la vidéo le cas échéant.
La solution reste compliquée et surtout fragile : Si orange change un truc sans prévenir , tout pète, et c’est déjà arrivé. Quand ca pète pas chez toi, bah ça devient pénible.
C’est la raison pour laquelle je veux garder cette livebox que j’exècre.
Chez les autres opérateurs qui utilisent encore le vieux PPP , c’est plus simple, mais un mode bridge avec du SLAAC me convient pas non plus dans ce contexte.



ForceRouge a dit:


Même pas, sans NPT, si le prefix change (failover entre deux FAI), toutes les IP internes changent vu que lié au prefix.



Sans même parler de cout, il n’est techniquement pas possible de fournir un AS et un prefix à chaque connexion internet, donc ouais, la translation d’adresse n’est pas prête de disparaitre,



Pour les IP des serveurs scaleway en DHCP, y a pas trop de rapport vu que l’AS est géré par scaleway, le prefix ne change jamais.




le rapport est justement que tu peux apprendre le préfixe, et fixer le reste des bits via DHCP.




OB a dit:


Bah je suis bien d’accord - Moi ce que je voudrait c’est 2 choses :




  1. Sous-segmenter le /56 en 256 sous réseaux /64 , chacun attribué à un usage (que ce soit en adressage plat ou en VLAN)

  2. Dans l’idéal j’aimerais que ces /64 soit attribué en DHCPv6 plutôt qu’en SLAAC , en particulier pour être en mesure de mettre à jour des pointeurs DNS



La façon “normale” de faire, ce serait (chez orange) de se passer de la livebox, et de faire tout le routage soit même, avec la complexité de garder le téléphone & la vidéo le cas échéant. La solution reste compliquée et surtout fragile : Si orange change un truc sans prévenir , tout pète, et c’est déjà arrivé. Quand ca pète pas chez toi, bah ça devient pénible. C’est la raison pour laquelle je veux garder cette livebox que j’exècre. Chez les autres opérateurs qui utilisent encore le vieux PPP , c’est plus simple, mais un mode bridge avec du SLAAC me convient pas non plus dans ce contexte.




La livebox ne fournissant qu’un /64 en SLAAC il faudrait mapper des plages de ce /64 vers d’autres /64 avec du NPTv6, laisser le routeur intermédiaire “pré-réserver” des IP via SLAAC et DAD dans le range /64 de la livebox, et ensuite s’assurer que le DHCPv6 dans les réseaux clients filent des IP dont la correspondance après NPTv6 retombe sur une IP que la livebox connaît.



C’est tordu, mais avec openwrt et un week end devant soit ça me parait faisable.



D’ailleurs avec ce mode uPnP PCP devrait continuer à fonctionner.
Par contre l’ouverture de port en IPv6 sur la livebox 4 est toujours buggué… 9 mois qu’ils sont au courant et que le support dit que c’est pour la prochaine release…



JCLB a dit:


le rapport est justement que tu peux apprendre le préfixe, et fixer le reste des bits via DHCP.




Donc toi ca te vas si les IPs de tous tes serveurs changent plusieurs fois par jour? La base de donnée, ton serveur AD, tes serveur DNS… ? Evidement, pas en même temps hein sinon c’est trop facile, et avec un TTL 0 dans ton DNS ? Non, c’est juste pas possible.



ForceRouge a dit:


Donc toi ca te vas si les IPs de tous tes serveurs changent plusieurs fois par jour? La base de donnée, ton serveur AD, tes serveur DNS… ? Evidement, pas en même temps hein sinon c’est trop facile, et avec un TTL 0 dans ton DNS ? Non, c’est juste pas possible.




Le grand reset, comme disent les complotistes.
Non on ne peut pas se passer de NPTv6 quand on est un petit, c’est clair. Mais qui sait, au train où vont les choses peut-être que 10 ans on pourra faire porter son préfixe par son ISP en le délégant. On a bien réussi à mettre en œuvre un routage des n° de téléphone pour offrir la portabilité.



Je ne dis pas que ça serait accessible à toutes les PME, mais pourquoi pas imaginer que les offres pro l’intègrent d’office sans avoir besoin de faire un vrai peering.



Par contre, ce qui est vrai, c’est que plus le temps passe, plus les architectures modernes à base de containers et micro services permettent de basculer des clusters entier d’applications en quelques minutes, de les ré instancier ailleurs, avec d’autres IP, etc…
Une entreprise jeune qui n’a pas de dette technique, utilise du MDM et messagerie en cloud peut dès aujourd’hui sérieusement envisager de ne rien avoir à faire de son adressage local de campus utilisateur. les solutions dites “zero trust” vont également dans cette voie.
Demain l’usage des TAG dans SRv6 comme il a été démontré avec “SERA” permettra de standardiser tout ceci.
RDV en 2026



MayeulC a dit:


Aaah, le hairpining sur les box orange notamment… Une longue histoire, IPv6 me complexifie la tâche également.




Je ne sais pas quelle est la limite du temps d’édition, ça me semble beaucoup trop court. Je voulais rajouter des détails, les péripéties sont intéressantes:




  1. Mon serveur sur le réseau local, impossible de le contacter avec son IPv4 externe.

  2. “Pas de souci, je vais juste utiliser mon DNS sur le réseau local avec l’IP locale” – Famous last words

  3. La livebox ne me propose pas de changer ses serveurs DNS

  4. “Oh, je vais mettre en place mon DHCP”

  5. Cela supprime le décodeur TV


  6. OK, ça marche, mais la livebox diffuse encore ses DNS par router advertisement IPv6, du coup:




  • Ça marche:


    • Sur les postes qui n’utilisent que IPv6

    • Sur les postes qui n’utilisent que IPv4


  • Ça ne marche pas:


    • Sur les postes qui se connectent avec l’IPv4 fournie par les paquets ICMPv6 du SLAAC de la livebox





  1. Impossible de désactiver cela sur la livebox -> je réfléchis à mettre un routeur derrière

  2. Pas d’IPv6-PD; je pense changer complètement le routeur. ou alors mettre en place le proxy sus-cité.

  3. Je crois que je vais juste changer de FAI four un de la ffdn si ça continue…



Je ne sais pas si je peux filtrer les paquets IPv6 qui proposent un DNS? Ça me semble un peu bizarre que n’importe quel poste connecté au réseau puisse suggérer un DNS?



MayeulC a dit:


Mais comment fais-tu pour suivre les terminaux Wi-Fi habituellement? Via l’adresse MAC? Elle est sélectionnée aléatoirement par réseau Wi-Fi en général, et peut-être par BSSID ou connexion en fonction des OS. Il faudrait mieux utiliser une authentification RADIUS. Mais je comprends un peu le principe.



Aaah, le hairpining sur les box orange notamment… Une longue histoire, IPv6 me complexifie la tâche également.



Par contre il ne route pas le reste du /56 dans le réseau interne. Si tu remplaces la livebox par ton propre routeur par contre, tu peux récupérer du PD et le /56 complet.



Le réseau local reste d’actualité avec les adresses fe80:: :)



Orange a ses soucis, mais au moins les livebox ont un firewall activé par défaut, et désactivable pour certaines IPv6 sur certains ports ou plages de ports. Mais comme les livebox ont tendance à “oublier” le réglage (1-65535 devient magiquement 1 au bout de deux semaines, WTF), je l’ai juste désactivé. Les appareils sensibles (imprimante, IoT…) sont juste dans un autre VLAN, et ne sont pas reliés à internet.



Hmm, ça ne fonctionnerait pas pour toi de partager ton /56 en 256 zones de SLAAC différentes?



En IPv6, on n’est pas censé garder l’ancienne adresse un certain temps en plus de la nouvelle, pour faciliter les transitions? Il y a aussi des choses prévues spécialement pour le roaming, que je ne maîtrise pas.




NPTv6 est conçu pour échanger 2 préfixes de même taille, pas pour mapper un bout de /56 à plusieurs /64 (mais uniquement à leur /56 parent)
Maintenant, le NAT a toujours été quelque chose de RFCisé dans la douleur après que les fabricants aient commencé à partir dans toutes les directions et il n’est pas impossible que des routeurs ou FW se mettent à proposer des mappings sélectifs.



Pour le Wifi, justement on se fiche de la mac sauf pour les accès guests en mode radius mab. On trace bien ton IP sur le proxy transparent pour savoir qui a fait quoi. Maintenant si ton IPv6 est auto générée via SLAAC, impossible de te tracer sauf à remonter la table ND de chaque élément du réseau, lourd…. Alors qu’avec DHCPv6 c’est aussi simple qu’avant en v4. Merci Android et Lorenzo Colitti :cartonrouge: