IPv6 : Orange commencera ses tests en 2015

IPv6 : Orange commencera ses tests en 2015

Bientôt une IP fixe et la fin du loopback ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

26/12/2014 3 minutes
92

IPv6 : Orange commencera ses tests en 2015

Orange vient de nous confirmer que l'IPv6 sera bien disponible en 2015, mais seulement à l'occasion d'une série de tests sur certains de ses clients. La Livebox Play sera la première concernée lorsque cette fonctionnalité sera ouverte à tous.

Depuis plusieurs années maintenant, le nombre d'adresses IPv4 disponible est en chute libre. Depuis 2011, l'AFNIC parle même d'une pénurie. Récemment questionné sur la question, le Gouvernement a décidé de botter en touche pour le moment.

Quoi qu'il en soit, pour que l'IPv6 se développe plus rapidement, il faudrait déjà que cette technologie soit passivement disponible chez les fournisseurs d'accès à internet. Or, comme le rappelait récemment l'ARCEP sur son baromètre controversé de la qualité de service fixe, « seuls Free et SFR offrant une connectivité IPv6 à leurs clients grands publics parmi les 5 opérateurs testés ». Pour rappel, cette étude comprenait les FAI suivants : Bouygues Telecom, Free, Numericable, Orange et SFR.

Une réponse précise sur Twitter...

Mais les choses sont enfin en train de bouger et, via l'un de ses comptes Twitter officiel, Orange annonce que « l'IPv6 sera effectivement disponible en janvier 2015 pour les clients VDSL et fibre, sur livebox play ». Aucun détail supplémentaire n'a par contre été dévoilé. Il sera effectivement intéressant de savoir si les clients ADSL non éligibles au VDSL seront également concernés, si cette option sera gratuite et réversible et, par exemple, si elle sera assortie d'une adresse  IP fixe. 

... mais un discours plus flou lorsqu'il faut confirmer les détails

Contactée, la société nous a confirmé avoir « mis en place un programme IPv6 dès 2008. Ce programme a permis de définir la stratégie IPv6 d’Orange et accompagne la mise en place de l’IPv6 dans les différents pays Orange. » La LiveBox Play est donc bien compatible et « pourra bénéficier du service IPv6 dès son ouverture ». Mais ce n'est pas la seule puisque « la LiveBox blanche bénéficiera également de cette compatibilité. » 

Des tests sont bien « prévus courant 2015 pour en éprouver sa fiabilité et sa robustesse », notamment sur un nombre limité de clients (comme évoqué dans le tweet), mais sans plus de précisions pour ce qui est du calendrier, alors qu'Orange nous précise faire « évoluer son réseau notamment en France pour le rendre compatible avec IPv6. » Sur les autres points évoqués, nous n'avons pas eu non plus de réponses plus précises pour le moment. Nous tenterons d'en savoir plus rapidement. 

Notez enfin que du côté de Bouygues Telecom, l'IPv6 est également en préparation... depuis presque un an maintenant. En effet, sur le forum de Lafibre.info, Boris, un « expert Bouygues Telecom », indiquait en avril 2014 : « aujourd'hui tout est prêt pour un IPv6  natif pour toutes les Bbox Sensation ADSL dégroupés sur nos DSLAM. Il ne manque que le go... ». Depuis, force est de constater que rien n'a bougé sur ce point.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une réponse précise sur Twitter...

... mais un discours plus flou lorsqu'il faut confirmer les détails

Commentaires (92)


Orange, pachiderme…



‘fin bon, c’est pas tout neuf leurs expérimentations (depuis 2006) :https://lafibre.info/ipv6/ipv6-chez-orange-en-test/msg157166/#msg157166



Ça intéresse des gens de se cotiser pour leur offrir de la vitamine C et gagner en dynamisme ? ;)


Il n’y a pas déjà de la vitamine C dans l’Orange ?








EMegamanu a écrit :



Ça intéresse des gens de se cotiser pour leur offrir de la vitamine C et gagner en dynamisme ? ;)





<img data-src=" />



on voit de suite la qualité de certains dans l’informatique…

&nbsp;« mis en place un programme IPv6 dès 2008.”



ils ont mis en place un progromme il y a quasi 7 ans…. et toujours rien…. lamentable.

et bientot la livebox supportera le son stéréo….


30% des connexions se font déjà en IPV6 en Belgique, pour une fois qu’on n’est pas à la traîne…


C’est l’hadopi qui freine le développement de l’ip v6. Ils savent pas lire ce format. <img data-src=" />


Il y a certes de l’IPv6 chez SFR mais bonjour les problèmes.

Pour moi, impossible de recevoir ou d’envoyer de mail… des problèmes de stabilité sur la connexion et des services qui ne fonctionne plus.



Au final je reste sur l’IPv4 et c’est pas plus mal.


Bon, quand ils veulent. Surtout à Grenoble en FTTH !



Tout ce qui est réseau chez moi supporte l’IPv6 car acheté en conséquence. Sauf le branchement FTTH…



J’ai un serveur chez moi et ça m’aiderait pas mal l’IPv6, surtout avec la fibre au cul. REVEIL, BORDAK !








Commentaire_supprime a écrit :



Bon, quand ils veulent. Surtout à Grenoble en FTTH !



Tout ce qui est réseau chez moi supporte l’IPv6 car acheté en conséquence. Sauf le branchement FTTH…



J’ai un serveur chez moi et ça m’aiderait pas mal l’IPv6, surtout avec la fibre au cul. REVEIL, BORDAK !





ca aiderait en quoi???



accéder a sa machine depuis l’exterieur sans avoir a configurer les redirections de ports sur la bobox? feignasse power, tout ça… XD



sinon, chez free, ça fait des plombes qu’on est en IPv6, et c’est stable…








Albirew a écrit :



accéder a sa machine depuis l’exterieur sans avoir a configurer les redirections de ports sur la bobox? feignasse power, tout ça… XD



sinon, chez free, ça fait des plombes qu’on est en IPv6, et c’est stable…







Effectivement, ça fait au moins 7 ans. Et aucun soucis.



rien ne t’empêche de faire coexister les deux.

&nbsp;De toutes façons même si l’IPv6 décollait vraiment demain, on n’est pas près de voir disparaître l’IPv4








Albirew a écrit :



accéder a sa machine depuis l’exterieur sans avoir a configurer les redirections de ports sur la bobox? feignasse power, tout ça… XD







J’ai des doute sur le fait que ce soit une bonne idée, où que ce soit moins ‘pénible’. <img data-src=" />



Etant j’ai Free, j’avais décidé il y a quelque temps de basculer ma box en IPV6, juste pour tester.



Mais, le sentiment de savoir tous mes équipements IP accessibles en direct sur le net (sauf ceux qui ont un firewall intégré, encore faut-il prendre le temps de les configurer un par un) ma laissé un sentiment mitigé.



J’ai fini par&nbsp;retourner en arrière pour le moment, par frilosité.








Albirew a écrit :



accéder a sa machine depuis l’exterieur sans avoir a configurer les redirections de ports sur la bobox? feignasse power, tout ça… XD&nbsp;







&nbsp;D’où l’importance d’avoir un pare-feu activé sur chaque appareil : les adresses IPv6 sont des adresses publiques…



Next INpact est joignable en IPv6 ?


<img data-src=" />



Sur le moment je m’étais senti seul ( en plus j’ai la fibre)








Fantassin a écrit :



C’est l’hadopi qui freine le développement de l’ip v6. Ils savent pas lire ce format. <img data-src=" />





J’y avais jamais pensé, mais est ce qu’un torrent ipv6 only permettrais de télécharger une œuvre surveillé sans se faire flashé ( si ils contrôlent que les ipv4 )&nbsp;



johan.cb a écrit :



Next INpact est joignable en IPv6 ?



depuis un moment il me semble :)



Il y a des plages d’adresses en Ipv6 qui sont réservées pour les accès en LAN exclusivement, et rien n’empêche de mettre le matériel que l’on veut voir accéder exclusivement en local sur ces adresses.


“Souvenez-vous, c’était il y a un peu plus d’un an (avant que le gouvernement ne vante les mérites de la concertation et de la consultation des citoyens&nbsp;pour élaborer par exemple son futur projet de loi numérique)”



ah ..que de souvenirs : lol !!!

mais ça –&gt; “ça …c’était AVANT” ! (Pub.) <img data-src=" />


Même en IPv6, on peut continuer à activer le pare-feu sur le router : toutes les requêtes entrantes sur le préfixe public sont analysés et entrent selon les règles de forwarding du même type que celles en IPv4.



L’avantage en IPv6 c’est qu’il n’y a plus besoin de nater et de tenir une table de ports ce qui allège le router (lui permettant de faire d’autres tâches plus rapidement). Mais encore faut-il que l’IPv6 soit en natif.



Et pour les plus frileux, il existe également un préfixe privé comme en IPv4.


Merci pour l’info, je n’avais pas moyen de vérifier ça.



Où en est la situation pour les restes des sites plus ou moins beaucoup visités ?




Bon, quand ils veulent. Surtout à Grenoble en FTTH !



Tout ce qui est réseau chez moi supporte l’IPv6 car acheté en conséquence. Sauf le branchement FTTH…



J’ai un serveur chez moi et ça m’aiderait pas mal l’IPv6, surtout avec la fibre au cul. REVEIL, BORDAK !



ca aiderait en quoi???





&nbsp;à ça


C’est une catastrophe ce systeme d’edition.








Paulo Paulo a écrit :



D’où l’importance d’avoir un pare-feu activé sur chaque appareil : les adresses IPv6 sont des adresses publiques…





Il me semble bien que non, une partie des adresses est réservée pour les réseau locaux (fc00::/7). Rien n’interdit d’utiliser un firewall sur chaque équipement mais il me semble tout de même capitale d’avoir un équipement filtant entre son LAN et le reste du monde (que l’on utilise des adresses publiques ou privées).



Je trouve ridicule d’avoir deux systèmes de citations. J’ai eu un peu de mal à m’habituer à la nouvelle version du “répondre”, mais je trouve l’idée bonne a améliorer.&nbsp; Mais diable! pourquoi alors ce trainer le “citer” qui est une horreur. Par manque de volonté de faire un choix ? J’ai le sentiment qu’on a le cul entre deux chaises sur NextInpact.



Enfin bref on peut en discuter sur le forum quoiqu’il en soit.

&nbsp;

Le rapport est aux objets connectés via ipv6 :)


<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> <img data-src=" />








TaigaIV a écrit :



J’ai des doute sur le fait que ce soit une bonne idée, où que ce soit moins ‘pénible’. <img data-src=" />



parce que tu penses sincèrement que le NAT apporte une quelconque protection? c’est une redirection de ports, pas un pare-feu…



oui, entre autres à l’adresse suivante: 2400:cb00:2048:1::a29f:f941



&nbsp;Sinon, c’est pour quand pour les smartphones en France? Sur les téléphones, même free ne s’y est pas mis alors que cela présente pas mal d’intérêts. Je pense à la fragmentation des paquets par exemple qui est éliminée en ipv6.


J’viens de découvrir qu’on avait accès au post auquel on répond en passant la souris au-dessus de la flèche avec le pseudo.



Bon après sur mobile c’est moins pratique. <img data-src=" />








Paulo Paulo a écrit :



&nbsp;D’où l’importance d’avoir un pare-feu activé sur chaque appareil : les adresses IPv6 sont des adresses publiques…



Non, pas toutes.



Les seules adresses ipv6 routables sur Internet sont celles qui commencent par un 2 ou un 3 (exemple avec www.nextinpact.com : 2400:cb00…).

&nbsp;

Avec IPv6, Windows XP et 7 configurent toujours une adresse de liaison locale qui débute par fe80 et qui permet de communiquer entre ordinateurs du réseau local. Si le lien réseau peu accéder à Internet une ou plusieurs adresses publiques sont ajoutées.



Il est donc très simple pour un périphérique local de n’accepter que les paquets locaux. Plus simple qu’en IPv4 en fait.









Patch a écrit :



parce que tu penses sincèrement que le NAT apporte une quelconque protection? c’est une redirection de ports, pas un pare-feu…





Par rapport à un truc complètement ouvert où tous tes ports et toutes tes machines sont accessibles je pense que ça apporte un minimum de protection. Dans le cas évoqué, la personne qui veut en faire le moins possible, il me semble préférable de faire du NAT que de n’avoir rien à faire du tout et que les accès à distance fonctionnent.



Encore la confusion NAT/firewall.



En IPv6 un NAT n’a aucun sens. Un firewall par contre, si, et les routeurs domestiques IPv6 devraient normalement intégrer un firewall (il y a un bug d’ouvert pour la Freebox).



C’est le firewall qui fait que le réseau local est inaccessible depuis l’extérieur (les packets entrants sont bloqués). Un NAT ne fait que convertir des adresse/port locales en adresse/port public, comme son nom l’indique (Network Address Translation).


Y serait temps…









EMegamanu a écrit :





Ça intéresse des gens de se cotiser pour leur offrir de la vitamine C et gagner en dynamisme ? ;)







Enfin outre la blague si bonne soit elle ;),

elle est un peu décalée car c’est pas comme si c’était l’héritier de l’opérateur historique, et l’un des premiers opérateurs télécoms du pays depuis des lustres, donc j’aurais tendance à croire, à tort ou à raison, que Orange a toujours eu les moyens de se moderniser si ils le voudraient vraiment, donc moins y reçoivent d’argent de ma part mieux ça m’ira, même si c’est pour aller à la pharmacie pour des vitamines…









wagaf a écrit :



Encore la confusion NAT/firewall.



En IPv6 un NAT n’a aucun sens. Un firewall par contre, si, et les routeurs domestiques IPv6 devraient normalement intégrer un firewall (il y a un bug d’ouvert pour la Freebox).



C’est le firewall qui fait que le réseau local est inaccessible depuis l’extérieur (les packets entrants sont bloqués). Un NAT ne fait que convertir des adresse/port locales en adresse/port public, comme son nom l’indique (Network Address Translation).





Où est ce que je dis qu’il faut faire du NAT en ipv6 ? ou est ce que je dis que le nat est un firewall ? Je dis juste qu’il est préférable de rester en IPv4 avec l’obligation de faire du NAT pour ouvrir l’accès à une machine que de passer en ipv6 pour n’avoir rien à faire pour que ça marche (ce qui implique que tout est ouvert au 4 vents). Si on est parti pour couper les cheveux en quatre, le NAT se fiche que les adresses soit public ou privées, il fait les transformations que tu lui demande.









johan.cb a écrit :



Next INpact est joignable en IPv6 ?





$ ping6 nextinpact.com

connect: Network is unreachable



Pardon j’ai mal interprété tes propos.



Cela dit, même en IPv4 c’est le firewall qui protège, pas le NAT.




Il sera effectivement intéressant de savoir si les clients ADSL non éligibles au VDSL seront également concernés, si cette option sera gratuite et réversible et, par exemple, si elle sera assortie d’une adresse IP fixe.



Je suppose qu’il y a très peu voir aucun espoir qu’Orange permette ça également pour les abonnés des FAI tiers en ND <img data-src=" />


A NXI: l’ipv6 ne se résume pas à “plus d’adresses que l’ipv4”. Et donc l’intérêt de l’IPv6 ne se résume pas à faire face à la pénurie d’ipv4 comme vous le laissez entendre à chaque article. Un site comme le vôtre ferait bien de creuser le sujet un minimum.



De deux, quand on parle d’ipv6, on parle non pas d’UNE adresse fournie par le FAI à l’abonné mais d’une PLAGE d’adresseS.

Un FAI comme Free fournit par exemple à chacun de ses abonnés plus d’ipv6 que l’ensemble des ipv4 disponibles dans le monde.







Quant à la nième discussion en comm à propos du nat/firewall/ipv6, on tourne en rond à chaque article qui traite du sujet <img data-src=" />








Red-Balls a écrit :



on voit de suite la qualité de certains dans l’informatique…

 « mis en place un programme IPv6 dès 2008.”



ils ont mis en place un progromme il y a quasi 7 ans…. et toujours rien…. lamentable.

et bientot la livebox supportera le son stéréo….







Personnellement je ne suis pas expert réseau et je ne saurais dire quelle est la complexité de mettre en place l’IPV6 pour un réseau au niveau de celui d’Orange et qu’est-ce qui peut faire que c’est aussi long (il doit y avoir de nombreux facteurs : topologie d’origine pas adaptée, nombreux éléments “historiques” bloquants, gestion de projet catastrophique, budgets sabrés…).



A titre de comparaison, j’ai connu des clients qui ont mis 4 ans pour pondre une infra de 12 serveurs pour remplacer un vieux produit et qu’au final elle s’avère complètement instable malgré toutes les alertes lancées qui ont été purement ignorées. Avec la superbe impression que tout a été fait à la dernière seconde et qu’on se demandait ce qu’ils ont foutu en 4 ans. Donc au final rien de choquant…



Il faut aller plus vite dans le déploiement de l’IPv6, c’est une question essentielle pour maintenir une neutralité du réseau InterNet effective …



<img data-src=" />








pamputt a écrit :



$ ping6 nextinpact.com

connect: Network is unreachable





Perso, je n’y accède qu’en IPv6 (c’est mon plugin ShowIP qui me le dit).



&nbsp;Et c’est facile à vérifier sous windows:

&nbsp;nslookup www.nextinpact.com



Nom: nextinpact.com

Adresses:





  • 2400:cb00:2048:1::a29f:f941

  • 2400:cb00:2048:1::a29f:fa41

  • 162.159.249.65

  • 162.159.250.65&nbsp;



    …&nbsp;Je te laisse vérifier avec dig si tu es sur linux.



    &nbsp;









TaigaIV a écrit :



Par rapport à un truc complètement ouvert où tous tes ports et toutes tes machines sont accessibles je pense que ça apporte un minimum de protection. Dans le cas évoqué, la personne qui veut en faire le moins possible, il me semble préférable de faire du NAT que de n’avoir rien à faire du tout et que les accès à distance fonctionnent.



mais un NAT ne bloque rien, ce n’est pas un firewall!

d’ailleurs même sur les ports non reroutés, les données passent. lentement, avec beaucoup de pertes au passage, mais ca passe.

en gros, le NAT apporte une protection encore plus basse qu’une MAC, et pourtant elle est déjà pas bien folichonne avec ca… mais c’est normal, puisque ce n’est pas le rôle du NAT, mais du pare-feu.









TaigaIV a écrit :



Où est ce que je dis qu’il faut faire du NAT en ipv6 ? ou est ce que je dis que le nat est un firewall ?



quand tu dis que ca bloque les accès extérieurs.



IPv6. Un “test”. En 2015. 20 ans après la spécification de cette techno.

Bravo Orange, un opérateur avec son temps.


ORANGE = FAI grand public. 95% de ses clients sont des utilisateurs moyens et des pas des geeks avec des NAS….

Donc pour 95% des clients l’IPV6 n’apporte rien de chez rien… donc pourquoi Orange se casserai la tète la dessus… Et pour les 5% qui restent ils font très bien bien sans car au final ca n’apporte que peut de chose en terme d’usage.

Sérieux quel pourcentage de clients free l’utilisent ?


C’est une bonne idée, enfin j’suis pas concerné pour cette première phase…



Par contre l’IP fixe j’en veut surtout pas !!!!!




IPv6. Un “test”. En 2015. 20 ans après la spécification de cette techno.

Bravo Orange, un opérateur avec son temps.





oui et IPV6 une techno mal maîtrisée par les fournisseurs d’infra réseau (alors que ipv6 est sensée rendre la commutation/routage encore plus rapide), des comportements encore aléatoires au niveau des OS alors que Ipv6 est la stack par défaut de ces os (et non, microsoft n’est pas le pire, en lab ipv6, c’est linux qui jusque là a eu le plus de “wtf”).



IpV6 une techno qui offrent des failles si faciles à exploiter, encore plus facile qu’un ARP poisoning.



Free utilise la techno de “Fast Deployment” pour mettre de l’IPv6, mais derrière c’est un réseau ipv4 qui tourne. Rêvez pas, si Orange et Bouygues, qui ont des réseaux plus denses que SFR et Free ne l’ont pas encore mis c’est pour une raison : faire de l’ipv6 ça demande de former les équipes, de changer tous les équipements réseau…



En attendant, il est largement conseillé de mettre un deny all sur toutes les entêtes ipv6 qui passent par votre parfeu (ou celui de votre dédié/VPS) si vous ne maîtrisez pas totalement la techno.


a proprement parler, on ne te donne pas une ip fixe mais un préfix fixe qui te donne accès à un nombre d’ip supérieur au nombre d’ipv4 qui existent dans le monde. Et si tu es sur windows et que tu n’as pas bidouillé ta stack réseau, à chaque nouvelle connexion l’ip est générée aléatoirement donc l’ip en elle même n’est pas fixe, sauf si tu la mets manuellement ou que le routeur est réglé pour associer ton adresse mac à une IP particulière.








Red-Balls a écrit :



on voit de suite la qualité de certains dans l’informatique…

&nbsp;« mis en place un programme IPv6 dès 2008.”

ils ont mis en place un progromme il y a quasi 7 ans…. et toujours rien…. lamentable.





C’est pas tout à fait vrai, car l’IPv6 est disponible via OBS depuis quelques années. Par contre l’expérimentation était payante pour les premiers clients :o



Ah orange c’est le plus gros escroc filou notoire qui s’y met le dernier…<img data-src=" />

avec tout le fric ponctionner a ses abonnées l’ipv6 aurait pu etre en place beaucoup plus tôt…<img data-src=" />



<img data-src=" />



&nbsp;


J’ai eu l’occasion de bosser sur la LiveBox puis sur la BBox et enfin chez Sagemcom sur les boxes pour changer…

chez Orange et Bytel l’ajour du support de l’IPv6 (sur la box) est assez récente et le niveau de configurabilité reste assez simpliste à mon goût en effet…

ça se limite en général à:

* un préfix en autoconf voir dhcpv6

* firewall ipv6



Je suis chez SFR et je trouve que la conf IPv6 sur la dernière beta du firmware est plutôt bien foutue et présentée même pour un débutant par rapport à ce qui est proposé en règle générale :

Allocation d’un /56 fixe pour un abonné où :

* un /64 protégé par un firewall qui empêche une connexion initiée de l’extérieur qui regroupe les équipements en règle générale (autoconf+DHCPv6)

* un autre /64 activable via la fonctionnalité DMZ (menu ipv6) pour mettre mon NAS et autres équipements. on peut même spécifier une passerelle



il manque plus que la délégation de préfixe (DHCPv6) :) , pratique si on veut mettre un router perso



je pense que dire que l’IPv6 est moins secure que l’IPv4 n’est pas vrais (derrière un parfeu en tt cas) et même si il y en a pas à raison de 1ms par ip dans un /64 il faudrait plus de 213 milliards d’années pour scanner un préfix donc aucune chance de trouver une ip valide dans un prefix. Vivement la mort de l’IPv4 et le scan par la même occasion donc :p



Un PC (i.e.: Windows, Ubuntu, etc.) propose en mode autoconf par défaut trois adresses IPv6:

* une IP de type Link local fe80… qui sert en local uniquement

* une IP généré à partir du préfix founi par le routeur + suffix associé à la MAC

* une IP généré à partir du préfix founi par le routeur + suffix aléatoire



Concernant le support de l’IPv6 sur les os, j’utilise du linux avec IPv6 et à moins qu’il soit configuré avec les pieds ça marche très bien y compris avec une config avancée


En ce qui me concerne j’ai monté un tunnel IPv6 sur mon serveur et je récupère un préfixe /48. J’ai ensuite un daemon de découverte qui permet à toutes mes machines du réseau de récupérer leur propre IPv6. Côté serveur j’ai configuré iptables pour protéger l’intégralité du réseau. Et en prime j’ai passé ma certification IPv6 administrator sur le site qui me fourni le tunnel.



Et ça m’a permis de me rendre compte qu’il y a énormément de FUD sur l’IPv6 et qu’on en lit encore pas mal dans les commentaires de nextinpact. Comme quoi l’IPv6 ça sert à rien, c’est pas sécurisé, ça fonctionne mal, etc etc alors que tout est faux. Exactement les mêmes discours quand les CPU 64 bits sont arrivés.








Patch a écrit :



mais un NAT ne bloque rien, ce n’est pas un firewall!

d’ailleurs même sur les ports non reroutés, les données passent. lentement, avec beaucoup de pertes au passage, mais ca passe.

en gros, le NAT apporte une protection encore plus basse qu’une MAC, et pourtant elle est déjà pas bien folichonne avec ca… mais c’est normal, puisque ce n’est pas le rôle du NAT, mais du pare-feu.





quand tu dis que ca bloque les accès extérieurs.





Le NAT est encore plus vicieux que ce que tu dis, non content de ne pas bloquer les choses, il leur permet de passer avec les régles définies. Pour le reste, pourrais tu donner des sources et des précisons, j’ai un gros doute sur la valeur universelle de ton affirmation sur la porosité des autres ports à cause du NAT.









wagaf a écrit :



Pardon j’ai mal interprété tes propos.



Cela dit, même en IPv4 c’est le firewall qui protège, pas le NAT.





C’est le fait de maitriser les paquets qui protège, après qu’il soit acceptés, refusés, transformés ou autres n’a que peu d’importance.









ebioz a écrit :



ORANGE = FAI grand public. 95% de ses clients sont des utilisateurs moyens et des pas des geeks avec des NAS….







lol….. 95%&nbsp; des clients de TOUS les FAI sont des utilisateurs moyens….



Il semblerait que cela soit pas pour janvier:

https://lafibre.info/ipv6/ipv6-chez-orange-en-test/msg190025/#msg190025



<img data-src=" />








TaigaIV a écrit :



Le NAT est encore plus vicieux que ce que tu dis, non content de ne pas bloquer les choses, il leur permet de passer avec les régles définies. Pour le reste, pourrais tu donner des sources et des précisons, j’ai un gros doute sur la valeur universelle de ton affirmation sur la porosité des autres ports à cause du NAT.



avant que je ne fasse quoique ce soit, vérifie comment un NAT fonctionne avant de balancer des énormités comme quoi ca protège quoique ce soit, puisque ca protège autant qu’un t-shirt dans un blizzard…









Patch a écrit :



avant que je ne fasse quoique ce soit, vérifie comment un NAT fonctionne avant de balancer des énormités comme quoi ca protège quoique ce soit, puisque ca protège autant qu’un t-shirt dans un blizzard…





En gros tu ne retrouves pas tes sources et tu ne veux pas faire l’effort d’expliquer quoique que ce soit à un pauvre crétin dont tu déformes les propos (disons que tu les simplifies pour leur faire passer comme stupide). Je ne pense pas que ce soit le NAT en tant que tel qui sécurise, pas plus que je pense qu’il serve à bloquer quoi que soit bien au contraire.









Patch a écrit :



avant que je ne fasse quoique ce soit, vérifie comment un NAT fonctionne avant de balancer des énormités comme quoi ca protège quoique ce soit, puisque ca protège autant qu’un t-shirt dans un blizzard…





Arrête de faire genre le gars qui s’y connait trop, une personne qui a la connaissance sait garder son calme lorsqu’elle explique à une personne qui ne l’a pas. Or ici de toute façon c’est toi qui a tort, il est FAUX d’affirmer qu’un NAT apporte zéro protection, puisque le NAT se charge de rediriger les paquets vers les bonnes adresses. Or, il suffit de réfléchir trois secondes : prend un ordinateur chez toi, qui fait office de serveur FTP. Il est réglé pour accepter les requêtes d’absolument toutes les adresses. Sans NAT et sans firewall, le serveur est accessible par n’importe qui. Maintenant, met un NAT devant, bah même sans firewall, si le NAT ne redirige pas le traffic entrant vers ce serveur, personne de l’extérieur ne pourra y accéder, firewall présent ou non. Alors après c’est peut être pas la protection idéale, c’est pas “propre” on va dire. Mais il reste impossible d’accéder à l’intérieur d’un réseau couvert par un NAT qui ne redirige pas le traffic entrant.



Je vais aussi dans ton sens, merci d’avoir précisé ça <img data-src=" />








paul161 a écrit :



Arrête de faire genre le gars qui s’y connait trop, une personne qui a la connaissance sait garder son calme lorsqu’elle explique à une personne qui ne l’a pas. Or ici de toute façon c’est toi qui a tort, il est FAUX d’affirmer qu’un NAT apporte zéro protection, puisque le NAT se charge de rediriger les paquets vers les bonnes adresses. Or, il suffit de réfléchir trois secondes : prend un ordinateur chez toi, qui fait office de serveur FTP. Il est réglé pour accepter les requêtes d’absolument toutes les adresses. Sans NAT et sans firewall, le serveur est accessible par n’importe qui. Maintenant, met un NAT devant, bah même sans firewall, si le NAT ne redirige pas le traffic entrant vers ce serveur, personne de l’extérieur ne pourra y accéder, firewall présent ou non. Alors après c’est peut être pas la protection idéale, c’est pas “propre” on va dire. Mais il reste impossible d’accéder à l’intérieur d’un réseau couvert par un NAT qui ne redirige pas le traffic entrant.





Un NAT n’apporte aucune protection, ton FAUX n’y changera rien.









psn00ps a écrit :



Un NAT n’apporte aucune protection, ton FAUX n’y changera rien.





En ce qui me concerne je n’ai pas dis (ou voulu dire) que c’était le NAT en tant que tel qui apportait de la sécurité. Et je reste persuadé qu’il est préférable que l’utilisateur soit obligé de configurer sa box pour que l’on puisse accéder au machines de son réseau locale plutôt que sa fonctionne par ce que toutes ses machines sont publiquement joignable (exemple dont je parlais avant que l’on me dise que je ne sais pas ce qu’est du NAT).



Tfaçon l’intégration de la sécurité utilisateur sans qu’il ne soit obligé de passer une certification IPV6 + sécurité des réseaux dans les box doit être un des éléments les plus complexes à mettre en place je pense.



Ca doit pas mal peser sur la balance des délais de mise en place.


humm je me suis pas intéresser plus ça&nbsp; à “comment ça marche”… pis je suis en ADSL (ligne trop longue et la fibre c’est pour cette année mais pour qui ??? )



mais en lisant les coms, je vois pas trop l’intéret pour un particulier. C’est ?? des appilcation spécifique….

enfin si c’est offert&nbsp; je prend ^^



&nbsp;








TaigaIV a écrit :



En gros tu ne retrouves pas tes sources et tu ne veux pas faire l’effort d’expliquer quoique que ce soit à un pauvre crétin dont tu déformes les propos (disons que tu les simplifies pour leur faire passer comme stupide). Je ne pense pas que ce soit le NAT en tant que tel qui sécurise, pas plus que je pense qu’il serve à bloquer quoi que soit bien au contraire.



en fait tu as entièrement raison, un NAT c’est un pare-feu. d’ailleurs on se demande pquoi il y a un pare-feu dans les routeurs, puisqu’il y a déjà le NAT qui est la protection ultime <img data-src=" />

et je ne retrouve pas mes sources parce que je ne les cherche pas et que je ne compte pas le faire. même si je te les montrais, tu affirmerais encore tes conneries.









paul161 a écrit :



Arrête de faire genre le gars qui s’y connait trop



genre toi tu y connais quoique ce soit? <img data-src=" />

ton pavé inutile prouve juste l’inverse en affirmant que ca protège.









psn00ps a écrit :



Un NAT n’apporte aucune protection, ton FAUX n’y changera rien.



non mais on ne peut pas comprendre, eux sont protégés contre 100% des attaques avec une bête clé WEP, on peut pas test!



Et donc comment tu arrives à communiquer avec un PC derrière un NAT sans que ce ne soit lui qui cherche à communiquer ?



Le but d’un NAT n’est, certes, pas de sécuriser un réseau, mais il y joue un rôle. De manière générale, les seuls paquets que peut recevoir un PC derrière un NAT sont uniquement les réponses à une communication initiée depuis l’intérieur. Sans ça, le NAT n’a aucun mapping qui lui permette de rediriger un message à l’intérieur du réseau.



Les comportements varient évidemment en fonction du type de NAT selon si le mapping lie uniquement l’IP privée + port à l’IP publique + port, où si l’adresse IP de destination appartient aussi au mapping.

Toutes les méthodes qui consistent à traverser un NAT demande à ce que le client soit initiateur de la connexion.



Mais de toute façon, ce comportement est juste un effet de bord du NAT, mais il a l’avantage de bloquer toutes les connexion entrantes non liées à un mapping.




Et donc comment tu arrives à communiquer avec un PC derrière un NAT sans que ce ne soit lui qui cherche à communiquer ?



bit torrent marche bien à travers un NAT.


Parce que ton client P2P est lancé depuis l’intérieur du NAT et que celui ci informe justement le NAT de créer le mapping à l’avance.



Désactive UPnP sur ton routeur, et tu verras que ça marche beaucoup moins bien sans faire le mapping manuellement. Les seules connexions qui s’établiront sont celles que ton client aura initié vers une source. Tandis que personne ne pourra initier une connexion vers toi.








Patch a écrit :



en fait tu as entièrement raison, un NAT c’est un pare-feu. d’ailleurs on se demande pquoi il y a un pare-feu dans les routeurs, puisqu’il y a déjà le NAT qui est la protection ultime <img data-src=" />

et je ne retrouve pas mes sources parce que je ne les cherche pas et que je ne compte pas le faire. même si je te les montrais, tu affirmerais encore tes conneries.





Ce n’es pas ce que je dis et boucler en disant que NAT n’est pas un élément de sécurité (ce que je ne remets pas en cause) tout en évitant de partager ton immense savoir ce n’est pas bien grave.









artragis a écrit :



bit torrent marche bien à travers un NAT.





Hole punching ?









Strimy a écrit :



Mais de toute façon, ce comportement est juste un effet de bord du NAT, mais il a l’avantage de bloquer toutes les connexion entrantes non liées à un mapping.





Il me semble que c’est la partie qui pose problème, le NAT en tant que tel ne bloquera rien, c’est le reste de la conf qui le fera éventuellement. Si ta box reçoit sur son interface publique un paquet avec une adresse de ton lan il n’est pas garantie qu’elle ne le faille pas arriver à destination.



C’est très probable en effet que la Box route correctement le paquet à destination du LAN vu qu’il ne passera pas du tout par le NAT (et techniquement, c’est ce qu’on attend d’un routeur).

Mais dans ce cas, y’a un gros problème quelque part. Comment un paquet ayant pour destination un IP privée peut se retrouver sur le réseau public. Seul ton FAI en serait capable.








Strimy a écrit :



C’est très probable en effet que la Box route correctement le paquet à destination du LAN vu qu’il ne passera pas du tout par le NAT (et techniquement, c’est ce qu’on attend d’un routeur).

Mais dans ce cas, y’a un gros problème quelque part. Comment un paquet ayant pour destination un IP privée peut se retrouver sur le réseau public. Seul ton FAI en serait capable.





Il me semble qu’il devrait plutôt les considérés comme martien et ne pas les faire passer sur ton LAN mais il n’est pas évident de savoir comment la box va réagir. C’était juste un exemple.



ces derniers temps y avait plus d ipv4 chez orange qu’ils en ont rapatrier d’une filiale d’orange domtom, sauf qu’ils ont tardés a les faire declarer et les refaire geolocalisé ! prob c’est netflix les voyaient en martinique, et hop j ai choper netflix Etats unis ! sans langue FR sous titre FR, la loose :p

ben non comme disais si bien orange y a pas le feu on a plein ipv4 !!!!!!


Question du boulet du jour : c’est quoi l’ipv6?^^


Regardes sur wikipédia:&nbsp;https://fr.wikipedia.org/wiki/IPv6

C’est l’évolution de la norme IP (équivalent des plaques d’immatriculation ou des adresses postales sur Internet).








Mithrill a écrit :



Et ce sera du natif, pas de l’encapsulé visiblement.





Ça va être le gros plus. À ma connaissance cela sera le premier&nbsp; FAI grand public à proposer cette technique (je ne sais pas si l’IPv6 de FDN est du natif ou pas).









Soriatane a écrit :



Regardes sur wikipédia:&nbsp;https://fr.wikipedia.org/wiki/IPv6

C’est l’évolution de la norme IP (équivalent des plaques d’immatriculation ou des adresses postales sur Internet).





Merci, j’avais regardé google mais j’avais pas tout compris^^



J’ai configuré un mac mini en v6 juste pour voir (je suis chez Free). Je ne sais pas si c’est un problème de configuration quelque part, mais de la centaine de marque-pages enregistrés, seuls 3 fonctionnent :

www.apple.com (mais pas le store.apple.com, c’est économique, l’IPv6)

www.nextinpact.com <img data-src=" />

www.rue89.com



Aucun accès au reste, même pas à ipv6pourtous.free.fr (c’est ballot !).

&nbsp;


En fait via nslookup on peut vite voir quels sites ne sont que IPv4, et “ipv6pourtous.free.fr” en fait partie visiblement.



A l’heure actuelle il y a très peu de sites IPv6 mais ça augmente tout doucement…








Strimy a écrit :



Et donc comment tu arrives à communiquer avec un PC derrière un NAT sans que ce ne soit lui qui cherche à communiquer ?

Toutes les méthodes qui consistent à traverser un NAT demande à ce que le client soit initiateur de la connexion.





http://fr.wikipedia.org/wiki/Network_address_translation#NAT_statique



Concernant le hors-sujet NAT - Sécurité :

S’il vous plaie, apprenez à relativiser vos propos avant de tomber sur quelqu’un.

De ma compréhension des commentaires que j’ai lu, personne n’a affirmé que l’usage d’un NAT* était une sécurité absolue (bien que certains ont indiquer l’inverse).

Chaque mécanisme apporte un élément supplémentaire de sécurité c’est tout.

un NAT* versus un rien, et bien c’est mieux.

un pare-feu versus un NAT* et bien c’est également mieux, etc.

(Une porte c’est mieux qu’une simple ouverture ; Une porte avec une gâche c’est mieux qu’une porte sans ; une porte avec un verrou c’est mieux qu’une porte avec seulement une gâche etc. )

&nbsp;En poussant le raisonnement, un des&nbsp; stades supérieurs voudrait que la machine ayant des données sensible ne soit pas physiquement accessible de l’extérieur. (Etc.)





Concernant l’IPv6, c’est un protocole qui apporte bien d’amélioration mais qui n’est pas compatible nativement avec l’IPV4 ( A contrario du RIP V2 qui support le RIP V1). Déjà ne serait-ce que du point vue des opérateurs ça complique un peu la tâche attendu.



Pour le grand publique, au niveau de l’IP V4, rien que pour faire comprendre la différence en adresses Ip publiques et adresses Ip privée, il vaut y mettre du temps et c’est encore plus monstrueux quand il s’agit de faire comprendre justement la redirection de port, les VPN etc.



Rien que lire une adresse IPv6 n’est pas simple.



Donc la démocratisation prendra encore quelques années.



* : (d’ailleurs on devrait plus parler de PAT+NAT que simplement de NAT)

: (Je sais qu’il y a des technologies pour la transition mais elle n’ont rien de transparente ou d’universelle )



Merci de m’avoir lu ;-)








RuMaRoCO a écrit :



Chaque mécanisme apporte un élément supplémentaire de sécurité c’est tout.

un NAT* versus un rien, et bien c’est mieux.

(…)

(Une porte c’est mieux qu’une simple ouverture )





Oui mais non. Ton NAT c’est l’ouverture justement. Sans NAT tous les paquets s’arrêtent à ton équipement indiqué par l’adresse publique, donc pas de problème de sécurité puisque pas de pont entre l’extérieur et le réseau interne (enfin ça peut sortir, mais ça ne reviendra jamais puisque l’adresse de retour est une adresse sur le réseau local).

Après certains NAT inclus une porte, mais d’autres sont juste de grandes ouvertures.



<img data-src=" />

Bien entendu qu’un NAT statique laissera forcément tout passer. Mais la discussion étant lié au grand public, ce n’est pas ce genre de NAT qu’on retrouvera.








CoooolRaoul a écrit :



Etant j’ai Free, j’avais décidé il y a quelque temps de basculer ma box en IPV6, juste pour tester.



Mais, le sentiment de savoir tous mes équipements IP accessibles en direct sur le net (sauf ceux qui ont un firewall intégré, encore faut-il prendre le temps de les configurer un par un) ma laissé un sentiment mitigé.



J’ai fini par&nbsp;retourner en arrière pour le moment, par frilosité.









Paulo Paulo a écrit :



&nbsp;D’où l’importance d’avoir un pare-feu activé sur chaque appareil : les adresses IPv6 sont des adresses publiques…





Un pare-feu, pour bloquer quoi ?

Pour ma part, sur ma box j’ai activé le NAT de tous les ports, histoire que mon PC (que je n’éteins quasiment jamais) soit accessible de l’extérieur (précision, il est sous Linux). Certes, je ne pourrais laisser que le port 22 d’ouvert (avec le 443 où j’ai aussi SSH en écoute), mais vu que je n’ai rien à bloquer je préfère laisser tout ouvert, ça facilite l’activation temporaire d’autres serveurs, comme parfois du FTP pour des amis.

Si l’IPV6 pouvait signifier la fin des firewalls, en tous cas ceux qui servent juste à faire du NAT, ça serait top, mais je n’y crois pas. Avec les OS MS on a pris l’habitude de mettre des firewalls, sans lesquels ils ne tiennent pas le coup sinon.









Patch a écrit :



mais un NAT ne bloque rien, ce n’est pas un firewall!

d’ailleurs même sur les ports non reroutés, les données passent. lentement, avec beaucoup de pertes au passage, mais ca passe.





Heu, hein ? Les données passent “lentement avec beaucoup de pertes” ? Mais vers où ?



Oo



Bien sûr que non l’ipv6 ne signe pas la fin des firewall, au contraire elle signe une augmentation de leur performance car l’IPv6 permet une accélération matérielle bien supérieur puisque les entêtes sont de longueur fixe contrairement à l’ipv4 !



Le firewall c’est quelque chose qui sert à bloquer. Le Nat c’est une frontière entre un réseau A potentiellement public et un réseau B potentiellement privé, la pratique la plus répendue c’est le NAT qui donne une adresse ip publique dans A et qui fait penser au réseau A qu’il n’y a qu’une machine dans B.



En ipv6, cela est inutile. Chaque ordinateur peut posséder sur une même carte réseau un nombre infini d’adresse Ipv6.

De base on retient la configuration j’ai une “link local” pour mon réseau proche (c’est à dire sans aucun routeur), une adresse globale publique pour aller sur internet.



Cette adresse globale publique est plus ou moins assignée par un routeur. Je dis “plus ou moins” car le processus d’assignation est plus complexe. Le routeur dit “voici les plage d’ip que tu peux occuper” et ton poste répond “je veux prendre cette ip ci, que quelqu’un crie s’il l’a déjà prise”.&nbsp;



Grâce à ce phénomène tu n’as plus besoin de NAT mais juste d’un routeur. En vérité tu as aussi besoin d’un DHCPv6 pour te distribuer l’adresse des serveurs DNS primaire et secondaire. Par contre à la frontière entre ton réseau privé, ta DMZ et internet, tu auras TOUJOURS un firewall pour empêcher les méchants d’entrer.