IPv6  chez Orange : 100 000 clients concernés avant un déploiement progressif

IPv6 chez Orange : 100 000 clients concernés avant un déploiement progressif

Paré pour 2017 !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

10/11/2015 3 minutes
142

IPv6  chez Orange : 100 000 clients concernés avant un déploiement progressif

Enfin ! Les premiers tests ont commencé chez Orange pour le déploiement de l'IPv6. D'ici la fin de l'année, 100 000 lignes pourront en profiter, avant un déploiement plus large en 2016 et surtout en 2017. 

Depuis maintenant plusieurs années, le nombre d'adresses IPv4 disponible est au plus bas, à tel point que l'AFNIC n'hésite pas à parler de « pénurie » depuis maintenant plus de quatre ans. La relève existe déjà depuis longtemps avec l'IPv6, mais cette technologie n'est pas encore largement proposée par les FAI français, ce qui est évidemment un frein à son adoption.

IPv6 : les tests ont commencé chez Orange...

Un constat d'ailleurs partagé par l'ARCEP dans son dernier bilan de la qualité du service fixe (voir notre analyse) : « À ce stade, seuls Free et SFR offrent une connectivité IPv6 à leurs clients grands publics parmi les 5 opérateurs testés ». Bouygues Telecom, Orange et Numericable restent donc sur la touche pour le moment, même si la transition se prépare depuis plusieurs années en coulisse.

L'année dernière, Orange nous avait notamment confirmé que des tests seraient mis en place en 2015. Si le compte Twitter officiel du fournisseur d'accès évoquait janvier de cette année, force est de constater que cela aura finalement pris un peu plus de temps. Selon nos informations 100 000 clients en VDSL ou Fibre sont en cours de migration « sur la nouvelle technologie permettant le dual stack IPv4/IPv6 ». Cela a commencé en septembre et se terminera courant décembre.

...mais il faudra encore attendre 2017 pour un large déploiement

L'ensemble des clients disposant d'une Livebox Play avec une ligne VDSL2 ou fibre optique (FTTH) pourront en profiter au cours de l’année 2016. Pour les autres il faudra être patient puisque rien ne sera mis en place avant 2017, qui sera l'occasion d'un déploiement plus large. Mais d'ici là, un nouveau modèle sera dévoilé. Pour rappel, le FAI nous avait déjà confirmé que la Livebox blanche était également compatible avec l'IPv6.

Cette transition est également en préparation depuis longtemps chez Bouygues Telecom. Il y a maintenant plus d'un an et demi, Boris, un « expert Bouygues Telecom » sur le forum de Lafibre.info, indiquait que « tout est prêt pour un IPv6 natif pour toutes les Bbox Sensation ADSL dégroupés sur nos DSLAM. Il ne manque que le go... » Rien ne semble avoir bougé depuis. Nous avons contacté l'opérateur afin d'avoir de plus amples informations, sans réponse pour le moment.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

IPv6 : les tests ont commencé chez Orange...

...mais il faudra encore attendre 2017 pour un large déploiement

Commentaires (142)


pendant ce temps là chez Free et OVH… <img data-src=" />


je préfèrerais qu’ils changent leur système d’attribution d’iP qui dure qu’une semaine <img data-src=" />








geekounet85 a écrit :



pendant ce temps là chez Free et OVH… <img data-src=" />





«&nbsp;À ce stade, seuls Free et&nbsp;SFR&nbsp;offrent une connectivité IPv6 à leurs clients grands publics parmi les 5 opérateurs testés&nbsp;»



… et SFR


Ca vient également. Orange profite de l’occasion pour virer PPPoE et passer à DHCP et DHCP6-PD.








sirius35 a écrit :



«&nbsp;À ce stade, seuls Free et&nbsp;SFR&nbsp;offrent une connectivité IPv6 à leurs clients grands publics parmi les 5 opérateurs testés&nbsp;»





OVH offre de l’ipv6 en natif. Et IP fixe.



Ils vont filer un /128 et faire payer le /64 (qui est la recommandation de l’IETF pour les internautes) ?



<img data-src=" /> <img data-src=" />





Depuis maintenant plusieurs années, le nombre d’adresses IPv4 disponible est au plus bas





Ce qui pousse au développement de marchés d’IPs vu que nombre d’opérateurs ne bascule toujours pas sur IPv6.


<img data-src=" /> <img data-src=" />


Gérer l’IPV6 c’est bien, mais même si Free m’a affecté une IPV6, j’ai encore et toujours une IPV4 à disposition… Donc en quoi ça résout le problème de l’IPV4, puisque nous en avons tout de même une qui nous est affectée?


Il vont mettre du NAT derrière une IPv6 ? <img data-src=" />








Krapace a écrit :



OVH offre de l’ipv6 en natif. Et IP fixe.





Mais OVH ne fait pas partie des FAI “grand public”. Leurs offres n’étant disponibles que sur de rares sites, et leur nombre d’abonnés grand public très faible.



Et par curiosité : ouais et ?



Comprendre : et après, ça nous change quoi à nous simples utilisateurs ? Vitesse ? Ping ? Rien ? D : réponse D ?


Ben ça te permets de configurer ta machine et d’échanger en IPv6 avec les serveurs compatibles. Rien ne t’empêches de désactiver ta pile IPv4, à part la perte de compatibilité avec beaucoup de serveurs.



Mais tu peux déjà trainer sur Google, Facebook ou le p2p en full IPv6.


Ils donne un /56 de base sans aucun supplément.



Le problème de l’IPv4 sera résolu quand tout les services et les FAI seront passés à IPv6. En attendant, si t’as pas d’IPv4, tu peux pas accéder aux services IPv4 only, et ils sont nombreux.








MisterDams a écrit :



Ben ça te permets de configurer ta machine et d’échanger en IPv6 avec les serveurs compatibles. Rien ne t’empêches de désactiver ta pile IPv4, à part la perte de compatibilité avec beaucoup de serveurs.



Mais tu peux déjà trainer sur Google, Facebook ou le p2p en full IPv6.





Justement, cette perte de compatibilité oblige à conserver l’IPV4…



pour être précis, même en collecte Orange (en utilisant le réseau d’Orange), un FAI est capable de fournir de l’IPv6 : c’est le FAI qui fourni une adresse IP, pas l’opérateur télécom.


Ca ne résoud pas le problème.

ça permet d’avoir une solution permettant de faire une transition douce.

Tant que les sites internet n’utilisent pas l’ipv6 dans leur majorités et que la majorité des utilisateurs soient compatible ipv6 (me demande si aux USA les FAI ont prévu le coup ) on sera toujours dans cette “transition”



D’ailleurs, les téléphones mobiles ils gerent l’ipv6 ? <img data-src=" />


Ca ne résoud pas le problème de l’IPv4.



Sauf que si on veut un jour faire disparaitre totalement IPv4, il faut vivre un petit moment avec les 2 protocoles en parallèle. Il est impossible de tout basculer du jour au lendemain en un claquement de doigts.


L’ipv6 c’est comme Duke Nuken Forever :) faut suivre mais pas être pressé.


Et orange va pouvoir vendre une option IP fixe à dix euros par mois en IP v6.&nbsp;<img data-src=" />


Pour toi, ça change pas grand chose dans l’immédiat car tu as le luxe d’avoir une ipv4 publique.

Mais pour les abonnés derrière un Carrier-grade NAT ou simplement le NAT de leur box, ça permet d’établir des connections directes avec tes machines.


Cool, en 2047 ils auront aussi de IP fixes! ;p





Edit : grilled par ulhgard…








Keizo a écrit :



D’ailleurs, les téléphones mobiles ils gerent l’ipv6 ? <img data-src=" />







Il serait dommage que les smartphones ne sachent pas le gérer alors que leurs OS sont tous récents et basés sur des technos issues du desktop.







Aricko a écrit :



Et par curiosité : ouais et ?



Comprendre : et après, ça nous change quoi à nous simples utilisateurs ? Vitesse ? Ping ? Rien ? D : réponse D ?







Dans le cas du réseau mobile, ça permettrait d’avoir une vraie adresse pour son portable plutôt que d’avoir un NAT comme c’est le cas chez SFR et Orange (les autres je sais pas).



Donc, on peut avoir un réseau à la fois “NATé” en IPV4 et non “NATé” en IPV6?








apwal a écrit :



Ca ne résoud pas le problème de l’IPv4.



Sauf que si on veut un jour faire disparaitre totalement IPv4, il faut vivre un petit moment avec les 2 protocoles en parallèle. Il est impossible de tout basculer du jour au lendemain en un claquement de doigts.





Ca j’ai bien compris, je me doute qu’on ne peut pas sauter du jour au lendemain de l’IPV4 à l’IPV6 partout dans le monde… Mais à un moment, il va bien falloir commence à supprimer du réseau mondial une partie des IPV4 actuellement attribuées…



c’est un /64 de base apparemment (mais je trouve aucune doc fiable sur le sujet)

chez free, ça doit être un /64 aussi.

chez ovh c’est un /56 de base.


Chez free, c’est de l’opt-in, si tu n’actives pas ipv6 manuellement sur l’interface d’admin, tu n’as pas d’ipv6. Du coup, ça ne règle pas le problème pour les 95% de clients qui ne connaissent pas la différence entre ipv4 et ipv6.

&nbsp;

D’ailleurs free en a rien à br vu les récents incidents sur ipv6 (plusieurs jours de panne sur l’ipv6, trafic non routé, zéro communication, impossible d’expliquer au support client niveau 1 vu que les connections finissent par faire un fallback en ipv4 après un timeout).


Pour l’affectation d’IP tu vas être heureux, mon père n’a pas changé d’IP depuis 15 jours.

A suivre


Sur le forum lafibe.info, il y a un client VDSL Orange faisant partie des premiers activés qui nous a fait des copie d’écran de sa config et qui nous indique que c’est un /56 (il a flouté cette partie donc il faut le croire sur parole).



Par contre comme il n’y a pas moyen de router les /64 individuels dans la config, comme on peut le faire sur la freebox, au final c’est un peu inutile…


Sachant que les mobiles sont cachés derrière un NAT, IPV4 ou V6, ça ne doit pas changer grand chose….


c’est de l’opt-in aussi pour OVH.

et la doc sur la configuration ipv6 est très très loin d’être optimale. (surtout que leur putain de routeur thomson de merde est super chiant à configurer pour la faire fonctionner.)


Oui, tu as les 2 stacks réseaux qui fonctionnent indépendamment en parallèle, ça marche comme ça chez free.

Ca n’a plus de sens de faire du NAT vu que tu peux attribuer une ipv6 publique pour chaque appareil connecté.


tu parlais d’orange? ça on va dire que c’est une bonne chose. je parlais de SFR qui file des /64.

et en passant par un vrai routeur, les /64 sont dispo quand même?

après il y a peut-être des subtilités (genre un /64 dédié à la téléphonie ou la VOD, utilisé un peu comme un VLAN)


72 057 594 037 927 936 ips au lieu de 18 446 744 073 709 551 616 <img data-src=" />



<img data-src=" /> <img data-src=" /> <img data-src=" />








Séphi a écrit :



Sachant que les mobiles sont cachés derrière un NAT, IPV4 ou V6, ça ne doit pas changer grand chose….





justement faire du NAT en IPv6 (même si ça doit rester possible) est juste contre-productif…



Je parlais du fonctionnement actuel.

Si les mobiles finissent par migrer eux aussi le NAT ne sera plus qu’une histoire ancienne à terme.








geekounet85 a écrit :



je parlais de SFR qui file des /64.





Tu as oublié des mots dans ton commentaire alors <img data-src=" />



C’est exactement ce que j’ai dit <img data-src=" />


En wifi chez moi, j’ai bien une ipv6 publique sur les&nbsp; téléphones (cm11/android 4.4.4 et cm12.1/android 5.1) et ma tablette (sony xperia tablet z / android 4.4.4), ça donne bien 1010 sur test-ipv6.com.








Séphi a écrit :



Si les mobiles finissent par migrer eux aussi





Les iBidules sous iOS9 utilisent déjà IPv6 quand c’est disponible.



D’ailleurs début 2016 les développeurs d’apps ont l’obligation de le supporter également dans leur softs:https://developer.apple.com/news/?id=08282015a



Par contre, sur les réseaux mobile, effectivement pas d’IPv6…



Oui bon…. J’suis fatigué, café….








geekounet85 a écrit :



et en passant par un vrai routeur, les /64 sont dispo quand même?





J’aimerais bien pouvoir répondre à ta question <img data-src=" />



Je suis en FTTH chez Orange, j’utilise un EdgeRouter Lite à la place de la Livemachin…, mais je ne fais pas partie des heureux clients ayant la chance de basculer en DHCP/DHCP6-PD dés maintenant…









apwal a écrit :



&nbsp;



Je suis en FTTH chez Orange, j’utilise un EdgeRouter Lite à la place de la Livemachin…, mais je ne fais pas partie des heureux clients ayant la chance de basculer en DHCP/DHCP6-PD dés maintenant…



Sauf que si j’ai bien lu, cela ne marche en IPv6 QUE avec la Livebox.



Vu que ça arrive chez Orange je me sens à la bourre du coup !

Je suis chez Free mais j’ai désactivé l’IPv6 car leur service est naze :

* Pas de parefeu

* Pas possible de changer le DNS diffusé

* Quasi impossible à faire marcher avec du bridge



Il faut que je me remonte mon tunnel IPv6 chez HE qui est bien meilleur, mais j’ai des problèmes de débit encore non identifiés. Donc IPv4 only pour le moment…


heu bêtement, ca va servir a quoi IPV6 en terme d’usage ? car je vois pas bien

&nbsp;

Et sinon perso l’IP fixe j’en veut surtout pas…. les sites de DL qui te suivent a l’IP et te bloquent, tu changes d’IP et c reparti…. et a l’heure du cloud, héberger son serveur chez soi, c’est plus tres approprié… et mm ya dyndns…


<img data-src=" />








ebioz a écrit :



heu bêtement, ca va servir a quoi IPV6 en terme d’usage ? car je vois pas bien

 

Et sinon perso l’IP fixe j’en veut surtout pas…. les sites de DL qui te suivent a l’IP et te bloquent, tu changes d’IP et c reparti…. et a l’heure du cloud, héberger son serveur chez soi, c’est plus tres approprié… et mm ya dyndns…







L’intérêt visible principal, c’est d’avoir beaucoup (très beaucoup) plus d’adresses utilisables car l’IPv4 a atteint la limite. Un peu comme à l’époque où FT a créé les préfixes 01, 02, 03… pour palier au manques de numéro, et l’arrivée du 07 pour les mobiles. Egalement, ça évite les bricolages comme le NAT, mais le revers est que ça demande d’avoir un firewall bien configuré sur les Boites. Donc les FAI ont pas intérêt à se chier là dessus.

Après il me semble qu’il y a des optimisations réseau qui ont été faites pour IPv6 avec de la priorisation de paquets et autres trucs, mais je préfère laisser les experts dans le domaine en parler car je suis pas trop à l’aise là dessus perso.



C’est ptêt déjà fait <img data-src=" />

mais à quand un bonne article sur l’ipv6 chez nextinpact avec une bonne vulgarisation, j’aimerais effacer le brouillard que j’ai devant les yeux <img data-src=" /><img data-src=" /> (rien que sur vos masques /unlimited-machin)








ebioz a écrit :



heu bêtement, ca va servir a quoi IPV6 en terme d’usage ? car je vois pas bien





La possibilité d’avoir une ip unique et fixe sur toute machine du micro-onde connecté au smartphone en passant par l’ordinateur de bureau, la possibilité de discuter avec les ordinateur “locaux” sans aucune configuration nécessaire (si par exemple tu n’a pas de box), l’authentification et le chiffrement des donnée de bout en bout,tout un tas de possibilité pour que les admin puisse gérer mieux les réseaux,etc…



IPV6 n’est pas un bête ipv4 avec un grand nombre d’adresse, tu as vraiment un tas de truc super intéressant qui rendent le protocole plus robuste, mieux conçu et plus universel (bien plus adapté pour les communication mobile par exemple).

 



ebioz a écrit :



Et sinon perso l’IP fixe j’en veut surtout pas…. les sites de DL qui te suivent a l’IP et te bloquent, tu changes d’IP et c reparti….





Passe par un proxy ou un vpn, tu dois bien avoir des services qui te donne accès à des ip “au hasard”.

Les ip dynamique c’est stupide à l’heure ou les box sont connecté h24.







ebioz a écrit :



et a l’heure du cloud, héberger son serveur chez soi, c’est plus tres approprié…





Très bonne idée comme ça tout est centralisé à un seul endroit et si il y à problème, tout tombe.

Je parle même pas des questions de sécurité.







ebioz a écrit :



et mm ya dyndns…





<img data-src=" /> Dyndns c’est juste une dépendance supplémentaire que tu ajoute à ton site web, si dyndns tombe, ton site aussi, pratique !



en ipv6, tu auras au moins un /64, tu peux changer d’ip toutes les 2 secondes si ça te chante.


<img data-src=" /> 18€/mois en IPv4 déjà <img data-src=" />


Je viens de vérifier après avoir lu cet article… &nbsp;y’a bon pour moi! &nbsp;Je ne m’en étais pas rendu compte, étant derrière une UTM avec l’IPv6 désactivé. Ca va m’occuper un peu de configurer tout ça!&nbsp;<img data-src=" />



C’est bien un /56:&nbsp;http://www.imageshost.eu/image/o7m

Détails:&nbsp;http://www.imageshost.eu/image/o7L


Parler de “beta test” en 2015 d’une techno élaborée dans les années 90, on voit bien l’excellent technique de ce FAI en carton..


et même en changeant toutes les secondes, il te faudrait 500 Millions d’années pour épuiser ton stock d’IPv6 sur un /64.



pour infos pour ceux qui se posent encore la question:

sur une adresse ipv6 (par exemple 2001:0db7:0000:75a3:0000:0000:ac1f:7001) le /64 correspond aux adresses qui vont de 2001:0db7:0000:75a3:0000:0000:0000:0000 à 2001:0db7:0000:75a3:ffff:ffff:ffff:ffff

un /56 c’est de 2001:0db7:0000:7500:0000:0000:0000:0000 à 2001:0db7:0000:75ff:ffff:ffff:ffff:ffff



et ça c’est par abonné. donc chaque abonné qui a un bloc en /64 obtient le droit d’utiliser 18.446.744.073.709.551 adresses ipv6 publiques comme ça lui chante. (en IPv4 on a qu’une, et encore…)








Antwan a écrit :



Parler de “beta test” en 2015 d’une techno élaborée dans les années 90, on voit bien l’excellent technique de ce FAI en carton..





Ce n’est pas la techno en elle même qui est en beta, mais son implémentation.

Si on suit ton raisonnement, tout programme développé dans un langage non nouveau ne mérite pas de beta test puisque la techno existe depuis des lustres…. <img data-src=" />









apwal a écrit :



Ca vient également. Orange profite de l’occasion pour virer PPPoE et passer à DHCP et DHCP6-PD.







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







Aricko a écrit :



Et par curiosité : ouais et ?



Comprendre : et après, ça nous change quoi à nous simples utilisateurs ? Vitesse ? Ping ? Rien ? D : réponse D ?







Accéder à tous mes NAS de l’extérieur sans me prendre la tête avec les zinzins genre No-IP.



Et, au passage, me faire mon owncloud perso avec une Debian Stable et un HP Proliant.







apwal a écrit :



J’aimerais bien pouvoir répondre à ta question <img data-src=" />



Je suis en FTTH chez Orange, j’utilise un EdgeRouter Lite à la place de la Livemachin…, mais je ne fais pas partie des heureux clients ayant la chance de basculer en DHCP/DHCP6-PD dés maintenant…









<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Edge Router aussi tellement j’en avait marre des plantages de la LB



Je suis le zinzin aussi parce que le DHCP, ça me permettrait de me passer encore plus du machin.







Sym a écrit :



Sauf que si j’ai bien lu, cela ne marche en IPv6 QUE avec la Livebox.







J’en ai peur…









jb18v a écrit :



je préfèrerais qu’ils changent leur système d’attribution d’iP qui dure qu’une semaine <img data-src=" />



&nbsp;



C’est deja bien , avant c’etait 24h. L’IP fixe était au catalogue, en option via leur portail client, et depuis un bail pour en avoir via un commercial ou un piston c’est mission impossible.

&nbsp;&nbsp;&nbsp;Un jour, on aura le choix de la changer quand on veut chez tous les opérateurs. La garder x&nbsp;années puis un jour paf on change. Histoire de ne pas être emmerder ni par les IP dynamiques, ni statiques :)&nbsp; Une fois que dans leurs têtes ca ne sera plus leurs IP, mais les notres ^^



tu viens de décrire l’ipv6! <img data-src=" />


On pourrait dire c’est pas trop tôt.

&nbsp;D’un autre mis à part les pénuries d’IP, ça sert à quoi d’avoir une IPV6?

&nbsp;Une IP par équipement local? Pour qu’ils soient accessibles de l’extérieur non merci, ça reviendrait à la sécurité des modems il y a 10 ans.

Du coup j’ai du mal à voir l’intérêt, mais je dois rater quelque chose.








jinge a écrit :



On pourrait dire c’est pas trop tôt.

 D’un autre mis à part les pénuries d’IP, ça sert à quoi d’avoir une IPV6?

 Une IP par équipement local? Pour qu’ils soient accessibles de l’extérieur non merci, ça reviendrait à la sécurité des modems il y a 10 ans.

Du coup j’ai du mal à voir l’intérêt, mais je dois rater quelque chose.









  1. C’est le principal intérêt de la chose ;



  2. Tu as des IP v6 utilisables exclusivement en LAN qui sont prévues dans la norme.



Question : à part le nombre d’IP dispo, est-ce que l’IP V6 a un intérêt ?

A part tracer de manière très précise tout jusqu’à ta carte réseau je ne vois pas.

Et j’imagine que les gens ne vont pas abandonner si facilement une configuration avec des ouvertures de ports derrière un pare-feu / dmz etc








jinge a écrit :



On pourrait dire c’est pas trop tôt.

 D’un autre mis à part les pénuries d’IP, ça sert à quoi d’avoir une IPV6?

 Une IP par équipement local? Pour qu’ils soient accessibles de l’extérieur non merci, ça reviendrait à la sécurité des modems il y a 10 ans.

Du coup j’ai du mal à voir l’intérêt, mais je dois rater quelque chose.



Les avantages (non exhaustif)

-Plus de services possibles via IPV6

-Routing et autoconfiguration facilités (il n’y a plus à rentrer la passerelle par défaut, les DNS, etc)

-Intègre de base le chiffrement des données

-Fait un peu de ménage dans le protocole en virant tout ce qui n’est pas utilisé dans IPV4

-La suppression de cette horreur qu’est le NAT (qui n’est PAS une sécurité, c’est juste une bidouille honteuse)

-La possibilité d’accéder en direct aux équipements, ce qui n’est PAS un défaut de sécurité (surtout qu’avec le nombre d’IP qu’on possède chacun, faut vraiment pas avoir de bol si qqu’un tombe dessus par hasard)

Si tu veux éviter qu’on accède à ton équipement en direct, il faut un pare-feu, pas du NAT.



Version courte : gestion beaucoup plus simple.



Le NAT n’est pas une sécurité, c’est juste une galère à configurer.

La vraie sécurité est située dans le firewall dans tous les cas.



Tu veux que 2 machines différentes sur ton réseau local puissent être accessible sur un même port (au hasard, 6667 pour IRC) ? C’est possible en IPv6, pas en IPv4 avec du NAT (il y a des contournements mais c’est en plus lourd à configurer).

Tu veux qu’aucune de tes machines soit accessible depuis l’extérieur ? C’est facile, pas de NAT en IPv4 mais aussi pas de connexion depuis l’extérieur en IPv6 et c’est faisable aussi bien sur le firewall central (routeur, box…) que sur chacune des machines (pour les portables qui changent de réseau comme d’applis).



Et pour ce qui est invisible au grand public, la gestion du réseau par les routeurs est énormément facilité par l’IPv6 qui se contentent de lire les headers qui les concernent (et qui sont toujours au début) avant de passer au suivant. Du coup, les routeurs peuvent être bien plus efficaces pour la même puissance de calcul.



Édith&gt; Grillaid by Patch.








Hipparchia a écrit :



Question : à part le nombre d’IP dispo, est-ce que l’IP V6 a un intérêt ?

A part tracer de manière très précise tout jusqu’à ta carte réseau je ne vois pas.

Et j’imagine que les gens ne vont pas abandonner si facilement une configuration avec des ouvertures de ports derrière un pare-feu / dmz etc







Plus besoin de dmz, de NAT, de redirecteurs d’IP.



Tu veux un appareil accessible de l’extérieur : pare-feu + IP WAN



Tu veux un appareil accessible seulement chez toi : IP LAN, prévue par la norme.



Les configs avec dmz, NAT et autres merdouilles du même genre, je ne demande qu’à les laisser tomber. Ras le cul des accès WAN de mes bécanes au petit bonheur la chance.









Sym a écrit :



Pour l’affectation d’IP tu vas être heureux, mon père n’a pas changé d’IP depuis 15 jours.

A suivre







J’ai déjà eu des synchro de plus de 25 jours donc c’est vraiment aléatoire pour le coup.







SebGF a écrit :



Après il me semble qu’il y a des optimisations réseau qui ont été faites pour IPv6 avec de la priorisation de paquets et autres trucs, mais je préfère laisser les experts dans le domaine en parler car je suis pas trop à l’aise là dessus perso.







Justement, l’IPV6 semble pouvoir utiliser des paquets de plus grande taille. Est-ce que ça ne pourrait pas servir à améliorer la diffusion de television IP par exemple ?



Merci d’avoir confirmé ce que je pensais : pour 99% des particuliers ca a aucun intérêt. ptet pour ca que Orange s’est pas précipité sur le marche grand public. Pour mémoire il y a 10 ans ils avaient deja fait des beta tests.

Ca va permettre de gerer la fin de stock des IP IPV4…. notamment pour les pro.

&nbsp;

Enfin entre héberger son site web sur le cloud et en local je me demande sincèrement ce qui est le moins sécurisé : des serveurs pro, un datacenter avec des tuyaux réseau enormes et redondés, des groupes electrogenes, des controles d’acces au batiment H24, ou alors la chambre de Kevin et son pc ? Quant a la sécurité des données, elle ne passe pas seulement par sa localisation. Ton prestataire cloud te fournira un firewall a jour et pro…. Kevin il aura sa debian mise a jour a la main ou pas…. bref ipv6 ss objet pour kevin aussi… pauvre kevin on ta menti !



PS pour la maman de kevin : les 50 euros par mois d’EDF c’est a cause du serveur de kevin qui tourne tout le temps sous son lit…. un PC nucléaire donc….





&nbsp;








papinse a écrit :



[…]

Et pour ce qui est invisible au grand public, la gestion du réseau par les routeurs est énormément facilité par l’IPv6 qui se contentent de lire les headers qui les concernent (et qui sont toujours au début) avant de passer au suivant. Du coup, les routeurs peuvent être bien plus efficaces pour la même puissance de calcul.



Édith&gt; Grillaid by Patch.&nbsp;





Pas si grillé que ça, car ce dernier paragraphe sur ce quise passe «sous le capot» je ne l’avais pas vu encore.



C’est bien beau vos IPv6 mais c’est vachement moins sexy et facile à retenir qu’un 192.168.x.y <img data-src=" />


Bah en IPv6 au lieu de changer d’IP , changer de prefixe /64 ^^&nbsp; Ou pour certains opérateurs changer de /61



Maintenant qu’on peut vraiment parler de SI familiaux avec plein d’IP utilisées, les operations de renummérotation peuvent s’envisager, plus facile en V6, mais suffisament contraignant pour que changer d’IP/bloc se fasse pas tous les jours, mais reste possible pour la raison de son choix. Juste pro-choice :)








jb18v a écrit :



je préfèrerais qu’ils changent leur système d’attribution d’iP qui dure qu’une semaine <img data-src=" />











apwal a écrit :



Ca vient également. Orange profite de l’occasion pour virer PPPoE et passer à DHCP et DHCP6-PD.







Ben moi quand l’adresse IP change toutes les semaines, j’ai une déconnexion de bien 5 minutes avec la Livebox Plaiey <img data-src=" /> <img data-src=" />



Alors qu’avec un routeur alternatif, c’est à peine 10 secondes <img data-src=" />







ulhgard a écrit :



Et orange va pouvoir vendre une option IP fixe à dix euros par mois en IP v6. <img data-src=" />







Quand tu vois qu’Orange loue encore sa box 3€ par mois, alors que ce sont les derniers à agir ainsi, alors si en plus si tu veux de l’IP fixe, faut payer 5€ de plus par mois, mais de qui se moque t’on ? <img data-src=" />

A croire qu’Orange pense qu’ils ont que des Michu dans leurs clients <img data-src=" />






&nbsp;









ebioz a écrit :



Merci d’avoir confirmé ce que je pensais : pour 99% des particuliers ca a aucun intérêt.&nbsp;

&nbsp;&nbsp;





Un peu comme ton pénis non ? Il te sert pas non plus comme 99% du temps des particuliers ?&nbsp; pourtant tu aimes bien &nbsp;savoir où il est le reste du temps òu il fout rien.

&nbsp;



ebioz a écrit :



&nbsp;

&nbsp;Enfin entre héberger son site web sur le cloud et en local je me demande sincèrement ce qui est le moins sécurisé

&nbsp;&nbsp;





Il faut demander à Hilary Clinton qui avait son serveur de mail avec son domaine pour son métier de secretaire d’Etat (minister des affaires etrangeres)









Commentaire_supprime a écrit :



J’en ai peur…





De ce qu’on m’a dit, pour IPv6 c’est du DHCP6-PD standard (Avec un support de SLAAC avec un peu de chance).



Mais ça ne veut pas dire que ça va marcher tout seul: J’ai commencé à sniffer ce qui passe sur le port WAN quand la Livebox boote, et il y a bien des requêtes DHCP sur le VLAN 832 (Les screenshots des livebox en DHCP semblent montrer que c’est ce VLAN qui est utilisé pour Internet en mode DHCP au lieu de 835 pour PPPoE). Sauf que il semblerait qu’Orange utilise la RFC 3118 pour l’authentification. Au niveau du client DHCP ça consiste à utiliser l’option 90. Problème: En l’état le client DHCP de l’ERL ne sait pas l’utiliser.



Je n’ai bien sur pas pu aller plus loin vu que pour l’instant pas de DHCP chez moi.



Pour DHCP6-PD il est possible qu’on ait un problème similaire. Mais pas vérifiable pour l’instant…










ElRom16 a écrit :



A croire qu’Orange pense qu’ils ont que des Michu dans leurs clients <img data-src=" />



Bah en même temps, en dehors de qques exceptions, c’est justement le cas…









jb18v a écrit :



C’est bien beau vos IPv6 mais c’est vachement moins sexy et facile à retenir qu’un 192.168.x.y <img data-src=" />





DNS !&nbsp;



Ca fait longtemps que je tape plus que “fixe.nomdefamille.fr”, ou encore “portable.nomdefamille.fr” :)&nbsp;



Et le plus beau, c’est quand je suis en local, plus qu’à taper “fixe” <img data-src=" />&nbsp;









Patch a écrit :



Bah en même temps, en dehors de qques exceptions, c’est justement le cas…







Comme chez tous les autres FAI grand public.



mais je pourrai plus râler <img data-src=" />



<img data-src=" />


Quelle bandes de glands. C’est un choix de lenteur purement définis par la direction.&nbsp;

Perso ça affecte beaucoup de geek vu le prix WTF actuel des ipv4 pour ses serveurs perso.&nbsp;

Il y a 10 ans, j’étudiais l’ipv6 et on se demandais pourquoi ça n’avançais pas …&nbsp;&nbsp;



Personne ne se foule aussi avec l’ipv6 sur les réseau mobile alors que ça devrait être interdit (façon de parler) d’utiliser du v4 sur de la 4G.


Excusez mon ignorance, mais si on à pas forcément envie d’avoir chacune de ses machines avec une IP publique, ça sera possible quand même en ipv6 ?








Gundar a écrit :



Excusez mon ignorance, mais si on à pas forcément envie d’avoir chacune de ses machines avec une IP publique, ça sera possible quand même en ipv6 ?







Oui, tu as des IP LAN prévues en IPv6.









Gundar a écrit :



Excusez mon ignorance, mais si on à pas forcément envie d’avoir chacune de ses machines avec une IP publique, ça sera possible quand même en ipv6 ?





Le firewall est là pour ça et sera configuré par défaut pour ne pas que l’extérieur puisse joindre tes IPv6.









Aricko a écrit :



Et par curiosité : ouais et ?



Comprendre : et après, ça nous change quoi à nous simples utilisateurs ? Vitesse ? Ping ? Rien ? D : réponse D ?





Le but c’est justement que ça ne change rien pour l’utilisateur final !



&nbsp;l’IP n’est qu’une des sept couches OSI, l’iPv6 permet certes des trucs sympas (mobilité, pas de NAT, VPN natif…), mais on voit rarement ces détails en tant que simple utilisateur.



Avec teredo sous Windows ou Free des millions d’utilisateurs ont étés connectés en IPv6 sans même s’en rendre compte.





Sinon c’est pas les premiers tests pour Orange, y’a déjà eu une expérimentation vers 20052006 je crois.









Gundar a écrit :



Excusez mon ignorance, mais si on à pas forcément envie d’avoir chacune de ses machines avec une IP publique, ça sera possible quand même en ipv6 ?





Oui, y’a même du NAT pour ceux qui veulent “cacher” plusieurs machines derrière une seule IP, ce n’est plus nécessaire, mais c’est toujours possible.&nbsp;



Un rapide rappel de ce qui se passait avec les modems 56k?&nbsp;

Tu allumais ton ordi, tu te connectais à internet, et en quelque dizaines de secondes tu te choppais blaster.

Ok c’était une faille de sécurité de XP, mais en attendant à l’époque il n’y avait pas tant de PCs que de nos jours connectés à Internet, et donc aujourd’hui la vitesse de propagation serait surement beaucoup plus importante.

L’arrivée des box a énormément aidé à la sécurité. Quand on est en local on a pas besoin d’être exposé à l’extérieur, et mis à part de rares exceptions (serveur, et encore), il me semble que l’exposition totale à l’extérieur est plutôt inutile, voire dangereuse.

Bien sûr il y a des pare feu, mais ceux ci ne sont jamais aussi sûr que la configuration actuelle il me semble.



En réalité je ne vois vraiment pas l’intérêt qu’un équipement ait une adresse publique (mis à part toujours quelques cas spéciaux, et donc aucun intérêt de risquer la sécurité de tout le monde pour quelques exceptions).








jinge a écrit :



[…]



Je le répète : un NAT n’est pas une sécurité. Un NAT est une bidouille honteuse. Un pare-feu est une sécurité.



Cependant pour la configuration réseau à un niveau plus global je suis d’accord que ça simplifie les choses (à partir du moment où il y a un réseau à gérer, cependant ça reste moins de 1% des utilisateurs…)

Je précise: je ne suis pas contre l’IPV6 au contraire ^^


Merci à toi et à tes 2 prédécesseurs ;)



Après c’est l’aspect fonctionnel qui m’échappe (je n’ai jamais été très à l’aise avec le réseau, à part évidemment le p’tit réseau local classique, ayant commencé les LAN en coaxial il y a… plus de 20 ans <img data-src=" /> )








GentooUser a écrit :



Oui, y’a même du NAT pour ceux qui veulent “cacher” plusieurs machines derrière une seule IP, ce n’est plus nécessaire, mais c’est toujours possible.&nbsp;





Du NAT en IPV6, bonjour la torture T_T









jinge a écrit :



&nbsp;

Bien sûr il y a des pare feu, mais ceux ci ne sont jamais aussi sûr que la configuration actuelle il me semble.



&nbsp;







<img data-src=" />



&nbsp;La configuration actuelle c’est du NAT est aussi sécurisé par rapport au firewall que d’enlever sa boite au lettre par rapport à mettre un portail !



Un NAT équivaux à peu près aux régles de firewall suivantes :



iptables &nbsp; -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPTiptables &nbsp; -A OUTPUT -j ACCEPT



Le démon est dans le RELATED !



Un NAT c’est un concierge, il a plusieurs clients à qui il doit distribuer les paquets, mais petite farce y’a pas de nom dessus, juste l’adresse de la réception (l’IP publique).



Pour distribuer ces paquets, il va analyser les courriers envoyés récemment par ses clients et chercher qui a “écrit” à l’expéditeur du colis, pour en déduite que c’est sûrement à lui que s’adresse la réponse.



Malheureusement certaines sociétés n’utilisent pas le même identité pour&nbsp; envoyer et recevoir leur courrier, le concierge à donc plusieurs tables de correspondances qui lui permettront de faire la RELATION entre un courrier envoyé et un paquet reçu.



De plus un client peut donner des consignes que tout paquet livré à un certain numéro est pour lui (UPnP)



On voit bien la différence, un firewall filtre les paquets en se basant sur des règles de sécurités, alors qu’un NAT ne filtre que ce dont il est incapable d’identifier le destinataire.



Un pirate qui veut accéder à une machine derrière un NAT, peut utiliser un malware pour ouvrir des ports via UPnP, ou utiliser une des nombreuses faiblesse introduite par les helpers conçus pour permettre aux protocoles dit sales (genre le FTP) de traverser les NAT (les fameuses connections RELATED)



En même temps bidouille ou pas, ça reste une sécurité en pratique ^^








eglyn a écrit :



Du NAT en IPV6, bonjour la torture T_T





Le support de l’IPv6 NAT est arrivé récemment dans Linux, plus de 10 ans après la finalisation du support de l’IPv6, c’est dire la demande&nbsp;<img data-src=" />









ElRom16 a écrit :



Ben moi quand l’adresse IP change toutes les semaines, j’ai une déconnexion de bien 5 minutes avec la Livebox Plaiey <img data-src=" /> <img data-src=" />



Alors qu’avec un routeur alternatif, c’est à peine 10 secondes <img data-src=" />





Pareil …Merci la Livebouse !









toTOW a écrit :



Pareil …Merci la Livebouse !







Elle met encore plus de temps que si on la reboot, c’est vraiment une cas sans nom cette Livebox Play, et si je te parle de la V3 Pro, c’est encore pire, pleins de fonctions marchent pas, tu peux te connecter dessus l’interface avec IE et Firefox, juste Chrome, les stats sont tous faux …. <img data-src=" />







Patch a écrit :



Bah en même temps, en dehors de qques exceptions, c’est justement le cas…







Parce que tu crois c’est pas le cas ailleurs ? Pourtant c’est bien mieux.

Puis en plus ce que tu dis est de plus en plus faux, vu que tous les geeks qui peuvent avoir la fibre prennent Orange en priorité.









apwal a écrit :



Ca vient également. Orange profite de l’occasion pour virer PPPoE et passer à DHCP et DHCP6-PD.





Hyper intéressant ça. Comment marche l’authentification avec cela (est-ce-qu’il y en a?). En ce moment j’ai configuré mon modem/routeur pour le PPPoE, je n’ai pas trop envie de devoir rebasculer sur la box opérateur ^^’









ElRom16 a écrit :



Parce que tu crois c’est pas le cas ailleurs ? Pourtant c’est bien mieux.

Puis en plus ce que tu dis est de plus en plus faux, vu que tous les geeks qui peuvent avoir la fibre prennent Orange en priorité.







Soit quelques 100 ou 200 000 clients potentiels sur plusieurs millions.



Les “geeks” (parce que tout dépend du sens auquel on veut donner à ce mot de nos jours..) resteront une minorité dans tous les cas. Il est donc parfaitement logique que les FAI grand public s’adressent… Au grand public.









Qruby a écrit :



Hyper intéressant ça. Comment marche l’authentification avec cela (est-ce-qu’il y en a?). En ce moment j’ai configuré mon modem/routeur pour le PPPoE, je n’ai pas trop envie de devoir rebasculer sur la box opérateur ^^’





L’identification se fait pas l’@MAC de la BOX en DHCP, le DHCP6-PD fonctionne avec un identifiant unique (duid)



Chez free le PPPoE reste disponible pour ceux qui utilisent un routeur alternatif, Orange aura t-il la même prévenance ?

&nbsp;









ebioz a écrit :



Enfin entre héberger son site web sur le cloud et en local je me demande sincèrement ce qui est le moins sécurisé :







Kevin va te répondre point par point.







ebioz a écrit :



des serveurs pro,







Du matériel obsolète proposé au rabais. (Ou alors on est dans des choses chères, là je parle d’un Kimsufi)









ebioz a écrit :



un datacenter avec des tuyaux réseau enormes et redondés,







Mais sur lesquels tu passes en dernier.









ebioz a écrit :



des groupes electrogenes,







J’ai une multiprise/onduleur avec batterie : 30 min d’autonomie avec box et serveur dessus.







ebioz a écrit :



des controles d’acces au batiment H24,







Quid de l’intégrité du fournisseur de cloud ?







ebioz a écrit :



Quant a la sécurité des données, elle ne passe pas seulement par sa localisation. Ton prestataire cloud te fournira un firewall a jour et pro…. Kevin il aura sa debian mise a jour a la main ou pas…. bref ipv6 ss objet pour kevin aussi… pauvre kevin on ta menti !







La sécurité dans l’histoire c’est justement d’être anonyme là alors qu’un gros fournisseur de cloud ne l’est pas. Le seul risque pour kevin ce sont les script kiddies qui scannent en permanence les adresses ip sur le net et vont utiliser les failles des logiciels pas à jour comme tu le soulignes justement… et pour le coup l’IPV6 va leur compliquer la vie en multipliant les IP.

Allons plus loin, dans un premier temps les scripts kiddies ne scanneront même pas les IPV6.







ebioz a écrit :



PS pour la maman de kevin : les 50 euros par mois an d’EDF c’est a cause du serveur de kevin qui tourne tout le temps sous son lit…. un PC nucléaire donc….







<img data-src=" />



A noter que l’énergie dépensée sert quand même à chauffer la maison de Maman de Kevin lorsqu’il fait froid alors que cette même énergie est refroidie par l’atmosphère, la rivière ou la source froide locale du datacenter.



Madame Michu n’aime généralement pas la nouveauté et les travaux pour l’installation de la fibre optique.

Or au mois de septembre, il y avait tout de même 827 000 clients VRAI fibre optique…


Moins de 1% ?



Je crois plutôt que le réseau local est aujourd’hui la norme, surtout avec la multiplication des appareils connectés, entre les ordinateurs portables, tablettes et smartphones, même s’ils ne sont pas accessibles depuis l’extérieur, ça reste du réseau local et ça change beaucoup de chose (voir les remarques sur les connexions RELATED citées plus haut).


Avec un bon routeur, il reste possible de spoofer la MAC de la box pour recevoir la bonne IP. <img data-src=" />


Dans ce que j’ai pu sniffer jusqu’à présent (donc le DHCPDISCOVER puisque pas de DHCPOFFER pour l’instant chez moi en réponse), L’authentification ne se fait pas sur l’adresse mac (ou pas que), mais à l’aide de la RFC3118 (option 90): Dans les data contenus dans le paquet DHCP il y a l’identifiant client “fti/xxxxxxxxx”.



En pratique est-il nécessaire ? Je ne sais pas tant que le mode DHCP ne sera pas dispo chez moi.



Pour le PPPoE, “on” m’a assuré qu’il resterait encore un moment.


L’IPv6 est désormais activé par defaut depuis plusieurs années : l’activation manuelle était uniquement au début.

Par contre, j’aimerais bien savoir quand tu as eu plusieurs jours de panne sur IPv6. Je me connecte quasiment tous les jours à mon serveur/NAS et à mes ordinateurs qui sont chez moi depuis l’extérieur, et ça fonctionne sans aucun souci.

Il est par contre vrai qu’il y a eu des pannes, mais c’était il y a maintenant quelque temps, et ça n’a jamais duré plusieurs jours en permanence.


50€ par mois c’est pas un serveur de nain qu’il a le Kevin… C’est la conso d’une grosse machine de joueur utilisée tous les jours (en jeu) pendant 12 à 16 heures.








papinse a écrit :



Moins de 1% ?



Je crois plutôt que le réseau local est aujourd’hui la norme, surtout avec la multiplication des appareils connectés, entre les ordinateurs portables, tablettes et smartphones, même s’ils ne sont pas accessibles depuis l’extérieur, ça reste du réseau local et ça change beaucoup de chose (voir les remarques sur les connexions RELATED citées plus haut).





Il n’y a pas plus de 1% d’administrateur réseau, donc moins de 1% de la population est impacté par des simplifications ^^&nbsp;









Tourner.lapache a écrit :



Du matériel obsolète proposé au rabais. (Ou alors on est dans des choses chères, là je parle d’un Kimsufi)







Pour une utilisation basique, ça suffit largement au début.

Perso j’ai un KS chez OVH depuis deux ans, mais j’envisage par la suite de migrer vers l’offre SYS qui donne accès à des machines beaucoup plus performantes et plutôt abordables. (dans les 40€/mois pour un Xeon 3.2Ghz, 32Go RAM, 2x2To de DD, 250mbps de bande passante)



L’hébergement @home peut vite revenir cher et répondre difficilement au besoin, notamment en terme de bande passante à moins d’avoir accès au câble ou FTTH.

Mais tout dépend de ce qu’on cherche après tout.









Jeanprofite a écrit :



Madame Michu n’aime généralement pas la nouveauté et les travaux pour l’installation de la fibre optique.

Or au mois de septembre, il y avait tout de même 827 000 clients VRAI fibre optique…





+1, je connais une résidence “seniors” équipée en FO par Orange depuis deux ans. Y’a un bon tiers des clients qui ont Internet, tous chez Orange, tous en ADSL. Pas un seul n’a souscrit une offre fibre, même ceux arrivés après l’installation verticale.









TBirdTheYuri a écrit :



+1, je connais une résidence “seniors” équipée en FO par Orange depuis deux ans. Y’a un bon tiers des clients qui ont Internet, tous chez Orange, tous en ADSL. Pas un seul n’a souscrit une offre fibre, même ceux arrivés après l’installation verticale.





Le commercial Orange a mal fait son boulot <img data-src=" />



Dans mon immeuble (batiment de 12 logements, 15 batiments dans la résidence), 11 propriétaires sur 12 (8 sont retraités) sont passés à la FTTH Orange, même la mamie du dessous qui n’a pas d’équipement informatique (Elle l’a pris juste pour la TV et le téléphone). Et ça dans les 3 mois qui ont suivi le fibrage.



Il ne reste qu’un propriétaire qui résiste car il a appelé Free qui lui a dit qu’il y aurait bientôt une offre fibre. En ce qui me concerne, j’ai été appelé par Free quand j’ai résilié et ils m’ont assuré qu’aucun plan de fibrage n’était prévu à court terme.



sinon après avoir lus tout les com’, je comprend un peu mieux l’intérêt de l’IP V6 autre que le nombre d’adresse dispo, mais je serais pas contre un petit récapitulatif de NI accessible au demie-noob qui sont encore en étude ^^ (on va voir la V6 plus tard dans l’année dans ma licence :) )


sachant que ce n’est peut-être pas l’@ MAC mais le noeud réseau qui est utilisé. (à voir quelle RFC est utilisée pour l’auth)







apwal a écrit :



Dans ce que j’ai pu sniffer jusqu’à présent (donc le DHCPDISCOVER puisque pas de DHCPOFFER pour l’instant chez moi en réponse), L’authentification ne se fait pas sur l’adresse mac (ou pas que), mais à l’aide de la RFC3118 (option 90): Dans les data contenus dans le paquet DHCP il y a l’identifiant client “fti/xxxxxxxxx”.



En pratique est-il nécessaire ? Je ne sais pas tant que le mode DHCP ne sera pas dispo chez moi.



Pour le PPPoE, “on” m’a assuré qu’il resterait encore un moment.





ha bah voilà! <img data-src=" />



Orange nous annonçait déjà IPv6 disponible dans 4 ou 5 ans il yu a plus de 10 ans. Avec une expérimentation qui en fait se contentait de créer des tunnels IPv6 sur IPv4 vers quelques serveurs sous-diemensionnés, bref ça n’a jamais marché. Ensuite il a voulu ne proposer qu’une seule adresse IPv6 par abonné, ce qui ne répondait pas au besoin et nécessitait encore d’utiliser du NAT (on le sait, le NAT actuel sur IPv4 pose déjà plein de problèmes dès qu’on a plusieurs utilisateurs pour la même connexion, et c’est le cas dans les familles)



&nbsp;Non, pas de NAT!&nbsp; IPv6 demande réellement que chaque abonné dispose au minimum d’un bloc de 48-bits d’adresses IPv6, pour permettre une installation SANS aucune configuration d’adresse, sans aucun NAT avec un simple mapping des adresses MAC (48-bits) dans le bloc alloué. Sachant aussi qu’on a un nombre d’adresses MAC quasi illimité et qu’il n’est même pas nécessaire de contrôler (en cas de conflit, chaque interface peut se voir allouée une nouvelle adresse MAC aléatoirement et la conserver, le conflit n’aura lieu qu’une seule fois au premier branchement, et en pratique ce conflit n’arrive quasiment jamais nulle part).



Et puis on n’a pas le choix en Asie, IPv6 est maintenant la seule option possible et IPv4 ne marche déjà plus correctement (les abonnés sont derrière des NAT dont les tables débordent partout et où les mappings cessent de fonctionner après quelques minutes, voire quelques secondes). Les FAI chinois qont maintenant obligés de racheter ou louer à prix d’or des sous-blocs d’adresses IPv4 à d’autres sociétés ailleurs dans le monde et ce marché des adresses IPv4 en fait une ressource de plus en plus couteuse, que même les FAI européens ne voudront plus supporter. Ce marché a aussi un impact : le routage IPv4 devient de plus en plus complexe car il est extrèmement fragmenté et trop volatile, les erreurs de routage, et pertes de données augmentent de façon dramatique.



De plus on vient de passer le cap où maintenant le routage natif en IPv6 est plus rapide qu’en IPv4. Il est aussi extrêmement fiable avec peu de pertes. Certes les datagrammes sont un peu plus gros en IPv6, mais cette légère augmentation de taille est sans comparaison avec le gains en débit obtenus et l’augmentation de taille des datagrammes et des fenêtres TCP nécessaires pour les transferts en haut débit.



IPv6 est très efficace et les derniers réfractaires sont ceux qui croient encore (complètement à tord) qu’un NAT est un parefeu qui protège mieux leur réseau privé. IPv6 est aussi natrivement mieux sécurisé qu’IPv4, il supporte nativement l’authentification, sans nécessiter de connexion ou protocole annexe comme IPSec sur IPv4. IPv6 permet une détection bien plus aisée des tentatives d’intrusion. Les besoins en sécurité, confidentialité, authentification sur Internet n’ont jamais été aussi grands. Les besoins en performance aussi. Le NAT n’aura été qu’une solution intérimaire pour prolonger la vie d’IPv4.



Mais nous tous on attend encore depuis plus de 10 ans que les opérateurs nous fournisse une connectivité IPv6 native, sans NAT, avec un bloc large d’au moins 48 bits par abonné (la taille des adresses IPv6 a justement été augmenté à 128-bits et non 64-bits justement pour assurer que tout le monde disposerait d’un bloc d’adresses très large, permettant aussi de résoudre la pénurie du nombre de ports TCP ou UDP, limités à 16 bits, puisqu’une même interface locale peut se voir allouée un sous-bloc d’adresses IPv6: plus besoin alors de PAT non plus !). Plus aucune difficulté pour augmenter le nombre d’objets connectés par foyer, enfin le Plug-‘n-Play partout.



Cela ne veut pas dire qu’on n’a plus besoin de parefeux, mais les parefeux seront aussi bien plus faciles à configurer, et plus besoin non plus d’UPNP pour configurer tant bien que mal les applications pour qu’elles traversent correctement le NAT.



Avec IPv6 natif, plus besoin des verrues ajoutées sur IPv4 comme NAT, PAT, UPNP, et même DHCP, plus de DMZ non plus (limitée à une seule en IPv4). moins de “hops” et temps de ping amélioré sur les backbones Internet et des opérateurs, beaucoup plsu de facilité pour déployer dfes liens de peering dans les datacenters et faire jouer la concurrence des fournisseurs d’accès sans même avoir à reconfigurer tout son parc local : ajouter un autre FAI ou d’autres liens ne nécessitera que de brancher un autre routeur à son réseau local, et il est possible de les associer pour qu’ils puissent travailler ensemble ou servir de liens de secours mutuel, ou de les utiliser différement selon les classes de trafic à véhiculer ou importances de données. On n’est plus lié non plus à un seul opérateur, on peut optimiser aussi les couts (par exemple entre connexion ADSL, fibre ou réseau mobile, selon aussi leur disponibilité et performances ou qualité de service et débits ou volumes de données nécessaires).



QoS est aussi géré nativement sur IPv6 (sur IPv4, il marche mal, le “trafic shaping” est devenu ingérable et même pas laissé configurable par les utilisateurs finaux sur leurs réseaux locaux et appareils connectés, les performances attendues sont en fait très mauvaises, le système connait de fréquentes pannes, et il n’est même pas possible de gérer correctement l’utilisation de la bande passante entre les appareils connectés localement, les routeurs fournis par les FAI sont d’ailleurs pas assez performant pour suivre efficacement les reconfigurations dynamiques nécessaires, les tables de routage interne pour IPv4 débordent sans prévenir au poiçnt qu’on est obligé de redémarrer le routeru tous les jours ou plusieurs fois par jour, et le changement des règles NAT a des effets de bord sur les applications connectées et sur le trafic entrant qui n’est plus routé correctement après le redémarrage mais continue longtemps à polluer la bande passante descendante avec des tonnes de connexions entrantes non routables).



Sur les réseaux mobiles, IPv4 est une catastrophe, il est très peu fiable, en plus de couter cher avec trop de trafic inutile (qui en plus génère des pannes ou surchargent les logiciels des routeurs au point de les faire planter faute de mémoire suffisante).



Vive IPv6. Il coute moins cher. C’est d’ailleurs ce qui aurait déjà du le faire décoller depuis longtemps. Mais on voit que les FAI ont tout fait pour nous faire croire qu’on avait besoin de payer l’internet plus cher (après la période de réduction dramatique des couts d’accès, les prix sont repartis à la hausse, en même temps que les marges commerciales demandées par les opérateurs qui exploitent et abusent leur monopole)



IPv4 est condamné à mourir totalement sur l’Internet, IPv4 restera alors uniquement un protocole pour les réseaux locaux avec tout son espace 32-bit d’adressage devenu privé et une grande facilité d’administration locale, et plsu de facilité pour protéger le réseau local puisqu’il suffira alors de bloquer le trafic IPv4 natif venant d’Internet (ou sinon utiliser un tunnel IPv4 sur IPv6 qui sera soit peu performant soit cher de toute façon pour peu de bénéfices quand le gros des services Internet sera accessible directement en IPv6 natif.



Les opérateurs français ont pris de gros retard ou pas fait les efforts nécessaires. Bientôt la France sera à nouveau à la traine et on en souffrira quand on devrait acheter à prix d’or les solutions déployées massivement par les autres (et notamment les industriels chinois qui investissent massivement dans les technologies IPv6 et déposent des tonnes de brevets pour empêcher d’autres constructeurs de matériels de vendre des produits compatibles à l’avenir avec leurs technologies… Même les industriels américains voient le contrpole leur échapper avec tout ce qui est transféré en Chine; pourtant IPv6 n’a pas été conçu spécifiquement pour et par la Chine). Mais on a assisté à l’immobilisme des FAI en place qui croient encore qu’ils n’ont pas besoin d’investir et peuvent tout contrôler en refusant les évolutions.

&nbsp;








SebGF a écrit :



Pour une utilisation basique, ça suffit largement au début.

Perso j’ai un KS chez OVH depuis deux ans, mais j’envisage par la suite de migrer vers l’offre SYS qui donne accès à des machines beaucoup plus performantes et plutôt abordables. (dans les 40€/mois pour un Xeon 3.2Ghz, 32Go RAM, 2x2To de DD, 250mbps de bande passante)



L’hébergement @home peut vite revenir cher et répondre difficilement au besoin, notamment en terme de bande passante à moins d’avoir accès au câble ou FTTH.

Mais tout dépend de ce qu’on cherche après tout.





J’en ai un chez eux (partagé avec deux amis), ça a pas mal d’avantages par rapport à un serveur maison. Je le paye 436€/an tout compris. L’équivalent chez moi c’est 1000€ de matos au départ, 100€ d’électricité par an, je dois m’assurer de la maintenance en cas de pépin… Et dans 3 ans si je veux une config plus grosse, je devrai lâcher à nouveau quelques billets de 100€.

Le dédié, si dans 3 ans il est devenu trop faible, je change de modèle pour pas très cher (voire le même tarif avec l’évolution du matériel et des gammes…)









apwal a écrit :



Le commercial Orange a mal fait son boulot <img data-src=" />



Dans mon immeuble (batiment de 12 logements, 15 batiments dans la résidence), 11 propriétaires sur 12 (8 sont retraités) sont passés à la FTTH Orange, même la mamie du dessous qui n’a pas d’équipement informatique (Elle l’a pris juste pour la TV et le téléphone). Et ça dans les 3 mois qui ont suivi le fibrage.



Il ne reste qu’un propriétaire qui résiste car il a appelé Free qui lui a dit qu’il y aurait bientôt une offre fibre. En ce qui me concerne, j’ai été appelé par Free quand j’ai résilié et ils m’ont assuré qu’aucun plan de fibrage n’était prévu à court terme.





Quand on leur a dit qu’il fallait faire des trous et poser des goulottes dans les appartements pour passer la fibre, ça en a refroidi plus d’un… surtout pour leur usage&nbsp; : taper “google” dans google, recevoir et envoyer des photos du chat aux petits enfants et lire les articles de Le Point et du Figaro ; regarder TF1 et Julien le Pers ; et téléphoner. Usage qui est déjà parfaitement fonctionnel avec leur connexion DSL.



J’imagine en effet que les conditions de pose influent sur le choix des clients.



Dans notre cas tout passe dans les gaines téléphone ou tv existantes (immeuble des années 70 pourtant, c’était pas gagné). Pas de travaux “lourds”, ça doit bien aider.








SebGF a écrit :



Pour une utilisation basique, ça suffit largement au début.

Perso j’ai un KS chez OVH depuis deux ans, mais j’envisage par la suite de migrer vers l’offre SYS qui donne accès à des machines beaucoup plus performantes et plutôt abordables. (dans les 40€/mois pour un Xeon 3.2Ghz, 32Go RAM, 2x2To de DD, 250mbps de bande passante)



L’hébergement @home peut vite revenir cher et répondre difficilement au besoin, notamment en terme de bande passante à moins d’avoir accès au câble ou FTTH.

Mais tout dépend de ce qu’on cherche après tout.







Non mais d’accord pour la première partie. Mais dans son commentaire c’était du matériel pro chez le presta et de la merde chez kevin.

Sinon d’accord aussi pour la deuxième partie j’ai du VDSL chez moi pour m’auto héberger et si j’avais eu une mauvaise connexion j’aurais pris du Kimsufi. Et puis j’avais la volonté de mettre les mains dans le cambouis.



Après il en faut pour tout le monde c’est juste son message un peu extrême disant que ceux qui s’autohébergent sont des kevins et que ça sert à rien qui m’a énervé.



Du 18 mars au 23 mars, presque 5 jours consécutif de panne sans communication:



http://dev.freebox.fr/bugs/task/16541

http://www.aduf.org/viewtopic.php?t=274301

http://forum.universfreebox.com/viewtopic.php?t=53970&postdays=0&amp…



Il me semble qu’il y a eu d’autres petits incidents mais je me souviens surtout de celui là. 5 jours pour réagir sur une panne nationale, aucune info pour les clients, donc en gros free s’en bat, l’ipv6 est considéré comme un service pour les geeks en best effort et sans support officiel.


Je parlais aussi simplification du point de vue matériel donc le même matériel (la même box) peut gérer plus de machines avec le même hard. (Mais pour l’administration, je suis d’accord, la plupart des gens laissent la conf par défaut de la box.)








apwal a écrit :



Dans ce que j’ai pu sniffer jusqu’à présent (donc le DHCPDISCOVER puisque pas de DHCPOFFER pour l’instant chez moi en réponse), L’authentification ne se fait pas sur l’adresse mac (ou pas que), mais à l’aide de la RFC3118 (option 90): Dans les data contenus dans le paquet DHCP il y a l’identifiant client “fti/xxxxxxxxx”.



En pratique est-il nécessaire ? Je ne sais pas tant que le mode DHCP ne sera pas dispo chez moi.



Pour le PPPoE, “on” m’a assuré qu’il resterait encore un moment.





Merci pour la précision, du coup ça serait possible de configurer son modem perso en utilisant cela. En plus l’adresse MAC ça doit être facilement spoofable, donc ça parait pas super fiable.



On peut m’expliquer le rapport entre le DHCP et PPP ? Ca veut dire qu’il y a plus de tunnel en IPv6 entre la box et la FAI ? j’ai un peu de mal à comprendre…








jinge a écrit :



En même temps bidouille ou pas, ça reste une sécurité en pratique ^^



Heu… Non.

GentooUser a donné un exemple parfait d’ailleurs : le NAT, c’est juste le fait de virer sa BAL pour éviter de se faire cambrioler, quand le pare-feu c’est la fermeture du portail.



Concrètement, pour un utilisateur “de base” comme moi (jeux, un nas, un petit réseau wifi)… Ca change quoi ? (avec des mots simples !) (sinon je tape, comme les trois frères tapent le juriste) <img data-src=" />








Martinlaueffer a écrit :



Concrètement, pour un utilisateur “de base” comme moi (jeux, un nas, un petit réseau wifi)… Ca change quoi ? (avec des mots simples !) (sinon je tape, comme les trois frères tapent le juriste) <img data-src=" />







Pour ton NAS, tu pourras y accéder depuis n’importe quel point hors de ton domicile en le mettant avec une Ipv6 publique, par exemple. Ce qui signifie que si tu veux en faire ton cloud perso, ça sera nettement plus simple qu’à l’heure actuelle (redirecteur d’adresse + NAT a minima, en plus du pare-feu, obligatoire dans les deux cas).









Antwan a écrit :



Parler de “beta test” en 2015 d’une techno élaborée dans les années 90, on voit bien l’excellent technique de ce FAI en carton..





On voit bien le fanboy chantre de technos non abouties balancées a la bonne franquette?&nbsp;<img data-src=" />



Le disque rayé c’est d’un has-been









ElRom16 a écrit :



Quand tu vois qu’Orange loue encore sa box 3€ par mois, alors que ce sont les derniers à agir ainsi, alors si en plus si tu veux de l’IP fixe, faut payer 5€ de plus par mois, mais de qui se moque t’on ? <img data-src=" />

A croire qu’Orange pense qu’ils ont que des Michu dans leurs clients <img data-src=" />





D’autres préfèrent se ruiner avec un abo a 38.90€/mois?



J’ai tout compris (mais pour tout ce que tu as dit entre parenthèses -&gt; je tape !)








Patch a écrit :



Heu… Non.

GentooUser a donné un exemple parfait d’ailleurs : le NAT, c’est juste le fait de virer sa BAL pour éviter de se faire cambrioler, quand le pare-feu c’est la fermeture du portail.





 

Et encore, un pare-feu, ça serait plutôt un portail fermée devant un portail (dont l’ouverture peut varier).

Si les machines et logiciel sont bien configuré, normalement si tu ne veut pas qu’une information sorte du réseau local, tu peut le faire sans pare-feu. Un paquet non désiré qui arrive devant le portail normal d’une machine sera automatiquement rejeter, ou dit autrement, si personne n’écoute sur le port x, tu peut envoyer autant de paquet malfaisants sur le port x que tu veux, tu n’arrivera à rien.



Après effectivement, pour des raison de sécurité, ça à du sens de placer ce genre de portail sur un routeur, il ne faut pas trop faire confiance aux utilisateurs : mauvaise configuration, utilisation de logiciels bugués,etc…









renaud07 a écrit :



On peut m’expliquer le rapport entre le DHCP et PPP ? Ca veut dire qu’il y a plus de tunnel en IPv6 entre la box et la FAI ? j’ai un peu de mal à comprendre…





Même en IPv4 le tunnel n’a rien d’obligatoire en ADSL dégroupé, on peut faire directement de l’IPoA, le protocole PPP n’est utilisé que pour sa couche d’authentification (et pour ça d’autres solutions existent) et pour raison historique (faire pareil qu’en RTC).



Ah d’accord, après avoir cherché, j’avais compris à peu près la même chose.



Donc la session PPPoE sera toujours nécessaire en cas de ligne non dégroupée, c’est ça ?



Dans tous les autres cas : ADSL/VDSL dégroupé, fibre on peut faire directement de l’IPoA/IPoE.



J’ai bon ?








renaud07 a écrit :



Donc la session PPPoE sera toujours nécessaire en cas de ligne non dégroupée, c’est ça ?



Disons que c’est pratique dans ce cas. Et comme l’infrastructure non-dégroupé actuelle est basé dessus…



Dans tous les autres cas : ADSL/VDSL dégroupé, fibre on peut faire directement de l’IPoA/IPoE. J’ai bon ?



&nbsp;Oui, à condition de trouver autre-chose pour l’authentification (mais y’a pléthore de solutions)



PPP n’a été vraiment utile qu’en RTC où une grande-partie de ses fonctionnalités ont étés utilisés (dialup, authentification, compression…)



Des bisous ! <img data-src=" />



<img data-src=" />



Autre problème sérieux lié au maintien d’IPv4 et la fragmentation des préfixes (du entre autre à la revente de blocs, mais pas que), l’explosion des tables de routages BGP (on a dépassé les 500000 l’an dernier de mémoire).



La hausse du nombre de préfixes annoncés reste d’ailleurs soutenue, quand bien même les RIR ne doivent plus distribuer grand chose.


a suppr


Merci pour les précisions <img data-src=" />


À priori je pense qu’il serait suicidaire pour Orange de supprimer la connexion en PPPoE à court/moyen terme vu que certains de leurs clients utilisent des routeurs alternatifs, y compris pro (ex : moi avec un pfSense qui au passage marche très bien pour remplacer la Livebox). Donc je ne me fait pas trop de souci là-dessus.



Ma seule crainte concerne le firewall de la Livebox, j’espère que l’interface de configuration change quand on active l’IPv6 car franchement l’interface actuelle a été créée par le fils de Satan. Après m’être battu avec plusieurs heures j’ai laissé tomber et j’ai repris le preset par défaut :(

(c’est d’ailleurs pour ça que j’ai toujours envie de passer sur pfSense à la maison aussi)


En IPoA ou IPoE je ne vois pas l’intérêt d’une authentification, ça rend l’usage d’un modem alternatif plus lourd…



Par exemple chez Free dégroupé : IPoA sans authentification

OVH dégroupé (en propre) : IPoE sans authentification


On est quand-même authentifié par le numéro de port sur le DSLAM ou l’adresse @MAC (pour de l’IPoE), faut bien identifier l’abonné d’une façon ou d’une autre.&nbsp;








ebioz a écrit :



Merci d’avoir confirmé ce que je pensais : pour 99% des particuliers ca a aucun intérêt.



 &nbsp;









  1. Si ton équipement peut tout à coup passer d’un réseau (WiFi) à un autre (4G) sans la moindre coupure dans les communications en cours, sans avoir quoi que ce soit à reconfigurer pour que la machine puisse continuer à être joignable en direct (P2P), etc… ça n’a aucun intérêt ? Ce sont juste quelques exemples d’applications concrètes, et bien visibles pour “99% des particuliers”, que permettent les “détails techniques inutiles à tes yeux” sous-jacents qui composent l’IPv6.





    1. Au delà, permettre enfin une décentralisation effective des communications sur le net, proposer des autres architectures pour les services qui auront un impact fort sur la scalabilité, les possibilités, et les coûts inhérents, qui à leur tour se réprecuteront sur les prix proposés au clients, ça n’a aucune visibilité non plus pour 99% des particuliers ?

      &nbsp;




Oui ça bien sûr c’est normal, mais ce que je veux dire c’est que côté client c’est plus pratique sans authentification, et dont pour l’IPoE (utilisé par OVH, et ne nécessite pas une adresse MAC précise).








GentooUser a écrit :



Oui, à condition de trouver autre-chose pour l’authentification (mais y’a pléthore de solutions)





Apparemment les identifiants client (fti/xxxxxx) sont également voués à disparaitre à moyen terme, ce qui veut dire qu’à priori il restera l’adresse Mac (ou le port coté DSLAM / OLT).



l’adresse mac, c’est débile. le port côté DSLAM est plus logique.


Vaut mieux lire cela que d’être aveugle….

&nbsp;