Auteur Sujet: IPV6 actif chez Adeli (Lu 65220 fois)

tontonrobert · « **Réponse #144 le:** 01 avril 2014 à 16:38:32 »

Citer

Je parlais de routeur du client pas celui qu'on fourni et qui fait la passerelle entre le wan et la lan.

Tu veux dire, le routeur du client pour causer dans son réseau ?
Dans le jargon, on appelle ça un switch, non ?

Citer

Donc quel est LE client par plaque qui dispose d'un routeur IPV6 (à lui) et d'au moins un switch administrable qui gère des vlans.

En gros, tous ou presque. Ha non, pas ceux payé 10€ au coin de la rue, au temps pour moi..

Citer

Et si je ne le met pas c'est encore mieux car éviter l'ipv6 publique coté LAN est un bien fait pour la santé du réseau et des ordinateurs connectés.

Ouais, faut conserver le nat, vu que ça augmente la sécurité.
Et puis, ce serait dommage de remettre en question la montagne de cochonneries que tout un chacun achète au supermarché du coin, hein ?
Politique de l'autruche.

Citer

Êtes vous sur de la sécurité de vos périphériques? Avez-vous changé le mot de passe admin de votre superbe Laserjet 100 Multifonction? non il faut l'avouer honte à vous vous l'avez oublié

Ouais, je suis sur, et non, ma super megimprimante ne supporte pas l'IPv6.

Citer

Quid du réseau k-net le jour ou seulement 100 clients enverront 100Mbits/s.

Quid du réseau de Orange si tout les abonnés ADSL bourre au max ?
Comme partout, saturation et perte de paquet.
M'enfin, la dimension d'un réseau ne se fait jamais sur le maximum théorique (modulo débit garanti / client haut de gammes etc), mais sur le débit constaté sur la durée. Comme le dit Knet, la moyenne ne dépasse pas le megabps. Avec 10G, on peut donc mettre 10k client sans problème.
Oui, les télécoms c'est comme partout, le business se base sur le fait que les gens n'utilisent pas ce qu'ils achètent.

Citer

Combien reste-t-il de windows XP (natif en ipv6 il me semble) qui ne seront pas/plus à jour dans 6 mois avec de l'ipv6 public en direct sur la carte réseau?

Oh mon dieu, tu veux dire qu'il faut se prendre la tête pour les gens qui ont windows xp ? Et quid des gens qui ont windows 2000 ? et windows 95 ?
N'est-ce pas un peu fatiguant de couver incessamment les gens ? Y'a une notion de responsabilité, et c'est à chaque personne saine d'esprit de prendre les siennes (ou alors, tu as une vocation de nounou ?).

Citer

Alors mon point de vue
coté FAI : pas cool
coté mainteneur informatique : super.
Il faut choisir son camp

Et en quoi ça te concerne ?
Qu'est-ce que t'en a à foutre si les gens envoyent des photos de chats sur internet, du porn ou des vidéos pédo-nazi ? Ce n'est pas ton problème (modulo la justice évidement). De même que ce n'est pas à toi de filter le trafic à la recherche de virus ou de spam, ce n'est pas à toi de "protéger" contre leurs grés tes abonnés. T'as un boulot de postier, pas d'agent du KGB. Tu prends tes lettres chez ton abonné, et tu les envoyes vers la destination (ou vers un type qui connait un type qui ..).
Tient, un petit lien concernant la neutralité du net (tu sais, ce genre de code éthique que chaque IT devrait signer ?) :

Citation de: https://www.laquadrature.net/fr/neutralite_du_Net

La neutralité du Net est un principe fondateur d'Internet qui garantit que les opérateurs télécoms ne discriminent pas les communications de leurs utilisateurs, mais demeurent de simples transmetteurs d'information. Ce principe permet à tous les utilisateurs, quelles que soient leurs ressources, d'accéder au même réseau dans son entier. Or, la neutralité est aujourd'hui remise en cause à mesure que les opérateurs développent des modèles économiques qui restreignent l'accès à Internet de leurs abonnés, en bridant ou en bloquant l'accès à certains contenus, services ou applications en ligne (protocoles, sites web, etc.), ainsi qu'en limitant leur capacité de publication.
Face à ces velléités de mettre à mal l'architecture décentralisée d'Internet, et la liberté de communication et d'innovation qu'elle rend possible, il est indispensable que le législateur garantisse la neutralité du Net. Les opérateurs doivent être sanctionnés s'ils discriminent de manière illégitime les communications Internet, que ce soit en fonction de la source, du destinataire ou de la nature même de l'information transmise. À défaut, seuls les utilisateurs d'Internet en mesure de payer un accès privilégié pourront bénéficier des pleines capacités du réseau.

Citation de: ldrevon le 01 avril 2014 à 16:35:33

Dans les tests réalisés il supporte largement les 100Mbits/s et l'usage pour lequel il est prévu.( Bon c'est vrai il lui manque l'ipv6 coté lan)

Si je ne m'abuse, la Kbox est un netgear WNR3500Lv2, il y a donc du v6 sur le lan.

arnaud · « **Réponse #145 le:** 01 avril 2014 à 16:39:56 »

Citation de: ldrevon le 01 avril 2014 à 16:11:27

Je parlais de routeur du client pas celui qu'on fourni et qui fait la passerelle entre le wan et la lan.
Donc quel est LE client par plaque qui dispose d'un routeur IPV6 (à lui) et d'au moins un switch administrable qui gère des vlans.

Bah si on en a qq uns des abonnés de ce type là. Et quand bien même la Kbox sait gérer plusieurs LAN et router un subnet spécifique vers un réseau wifi public, privé ou vers le LAN.

Citer

Est-ce qu'il représente l'utilisateur Grand Public? Dans les fait je ne pense pas donc si je mets pour tous les clients un /64 pour leur lan interne ce sera suffisant.

Bah soit c'est la K-Box qui le fait comme je le disais, soit c'est l'abonné qui le fait et là il fait bien comme il veut le monsieur.

Citer

Et si je ne le met pas c'est encore mieux car éviter l'ipv6 publique coté LAN est un bien fait pour la santé du réseau et des ordinateurs connectés.
Êtes vous sur de la sécurité de vos périphériques? Avez-vous changé le mot de passe admin de votre superbe Laserjet 100 Multifonction? non il faut l'avouer honte à vous vous l'avez oublié

Non c'est filtré par défaut par le firewall de la K-box, charge a l'abonné de modifier les rêgles de firewalling s'il le souhaite via son panel. Ca permet a l'abonné lambda de devoir se poser le même niveau de question que quand il branche sa machine sur le LAN en étant rassuré par la grande sécurité induite par le NAT (rire).

Citer

il y a un article qui est paru le mois dernier sur un hackeur qui a uniquement utilisé l'ipv4 et des logins/mot de passe connu pour identifier un maximum de cible, cela c'est sur de l'ipv4 et une grosse proportion est inaccessible car derrière un routeur qui empêche l'utilisation du réseau interne (car rien n'est routé par défaut)

s/rien n'est routé/tout est filtré

La manière dont on a réfléchi la chose est simple. LE routeur entre le coeur de réseau et l'abonné c'est la K-Box. C'est lui qui route entre le réseau d'interco et le^les LAN. C'est donc là qu'on filtre.

Citer

Quid du réseau k-net le jour ou seulement 100 clients enverront 100Mbits/s.
Je connais un fai qui a uniquement eu une petite faille sur un équipement: ce n'est pas grave, juste 2000 boitiers et donc trafic généré> 10G.

Combien reste-t-il de windows XP (natif en ipv6 il me semble) qui ne seront pas/plus à jour dans 6 mois avec de l'ipv6 public en direct sur la carte réseau?
Entre faire plaisir à quelques uns et gérer les conséquences à grande échelle : il y a un pas à franchir qui n'est pas sans conséquence.

voila, donc par défaut on filtre, si l'abonné le souhaite il modifie ses filtres. Après l'abonné qui préfère passer sa box en bridge et gérer lui même sa sécurité, la pour le coup ça deviendra son problème, et s'il se fait
r00ter il y'a de forte chance qu'il se retrouve blackholé.

Citer

Alors mon point de vue
coté FAI : pas cool
coté mainteneur informatique : super.
Il faut choisir son camp

ou son point de vue. Le mien est différent, a moi de m'adapter pour que nos abonnés disposent du choix d'être internet ou spectateur d'internet. tu peux le tourner dans tous les sens de toutes manière, il va bien arriver un moment ou il faudra que tu te soit posé ces questions là pour avancer. Avant de déployer massivement tout ca, il nous faut encore régler la question de transporter du trafic v4 vers des abonnés v6, mais une fois cela fait il n'y aura pas de raison particulière pour ne pas déployer massivement du v6 natif. C'est les opérateurs d'infra qui vont devoir se poser très sérieusement la question et ce de façon urgente bien sur.

ldrevon · « **Réponse #146 le:** 01 avril 2014 à 17:00:30 »

Citation de: tontonrobert le 01 avril 2014 à 16:38:32

Tu veux dire, le routeur du client pour causer dans son réseau ?
Dans le jargon, on appelle ça un switch, non ?

Non un switch cela switch cela ne route pas , donc un routeur ipv6 qui a cela sur son réseau local GP?
On parlait de plusieurs vlans vu que l'on veut délivrer des /56 sur le réseau local du client.
Donc pour en tirer profit il faut qu'il possède plusieurs Vlan avec du routage ipv6 donc un routeur IPV6 ok?
Qui a dans le GP un routeur IPV6 : personne. (Mise à part les informaticiens... mais est-ce qu'on les mets dans la case GP ?)
Qui a donc besoin d'un /56 : personne bon voilà c'est dit, et c'est mon point de vue (actuellement tant que les brosses ne seront pas connectées)

Et si vous êtes si fort que cela (j'aime bien chauffer la salle) donner moi l'exemple de l'utilisation de plusieurs lans ipv6 pour le GP.
Essayer de dépasser votre égo sur la liberté de l'usage.
Trouvez moi du concret

thenico · « **Réponse #147 le:** 01 avril 2014 à 17:07:24 »

Citation de: ldrevon le 01 avril 2014 à 17:00:30

Et si vous êtes si fort que cela (j'aime bien chauffer la salle) donner moi l'exemple de l'utilisation de plusieurs lans ipv6 pour le GP.

J'en ai donné un.

Sinon est-ce que tu considere un Apple Airport comme du matos non GP? Et les CPE D-Link ? Ce n'est pas du GP?

ldrevon · « **Réponse #148 le:** 01 avril 2014 à 17:13:16 »

Citation de: arnaud le 01 avril 2014 à 16:39:56

Etant rassuré par la grande sécurité induite par le NAT (rire).
s/rien n'est routé/tout est filtré

C'est les opérateurs d'infra qui vont devoir se poser très sérieusement la question et ce de façon urgente bien sur.

Et oui donc vous faites pareil .. Tout est filtré

donc vous pouvez faire des stats quel est le % du GP qui a utilisé cette fonctionnalité?

Ce n'est pas le pbm des opérateurs d'infra (qui sont presque tous à jour) mais plus le pbm des fournisseurs de contenu.

ldrevon · « **Réponse #149 le:** 01 avril 2014 à 17:14:16 »

Citation de: thenico le 01 avril 2014 à 17:07:24

J'en ai donné un.

Sinon est-ce que tu considere un Apple Airport comme du matos non GP? Et les CPE D-Link ? Ce n'est pas du GP?

Oui donc plusieurs lan ipv6 (plusieurs subnet ) pas plusieurs équipements ?!

arnaud · « **Réponse #150 le:** 01 avril 2014 à 17:20:03 »

Citation de: ldrevon le 01 avril 2014 à 17:00:30

Et si vous êtes si fort que cela (j'aime bien chauffer la salle) donner moi l'exemple de l'utilisation de plusieurs lans ipv6 pour le GP.

Et qu'est ce que tu chauffe bien

1 WLAN pour le réseau Wifi invité avec un subnet, 1 LAN pour le réseau Wifi privé bridgé sur le LAN ethernet. Ça en fait déjà deux.

Ça n'implique pas que l'abonné soit un g33k à poil dur, ça implique simplement qu'il se dise :

« J'ai pas envie que les gens que je connais peu quand ils viennent chez moi accèdent a toutes les données accessibles en DLNA sans protection particulière, mais je veux leur laisser accès a internet quand même parce que je ne me sent pas de privé des adolescent d'internet toute une après midi pluvieuse »

arnaud · « **Réponse #151 le:** 01 avril 2014 à 17:21:14 »

Citation de: ldrevon le 01 avril 2014 à 17:14:16

Oui donc plusieurs lan ipv6 (plusieurs subnet ) pas plusieurs équipements ?!

Humm je crois bien qu'il n'y a que toi qui ai parlé de plusieurs équipements

ldrevon · « **Réponse #152 le:** 01 avril 2014 à 17:23:00 »

Citation de: arnaud le 01 avril 2014 à 16:39:56

Ca permet a l'abonné lambda de devoir se poser le même niveau de question que quand il branche sa machine sur le LAN en étant rassuré par la grande sécurité induite par le NAT (rire).

Et bien vu que cela te fait rire essaye de passer au travers d'un nat pour atteindre le réseau derrière!
Donc cela enlève les 99.9% des attaques venant d'internet, il reste ceux provenant du poste de l'utilisateur.
Si tu route de l'ipv6 coté lan, tout arrivera coté lan, et tes windows/apple/ou autres équipements seront soumis aux attaques.

arnaud · « **Réponse #153 le:** 01 avril 2014 à 17:23:24 »

Citation de: ldrevon le 01 avril 2014 à 17:13:16

Ce n'est pas le pbm des opérateurs d'infra (qui sont presque tous à jour) mais plus le pbm des fournisseurs de contenu.

J'suis à peu prêt sur que tout ce qu'ils basent sur dhcp-snooping doit joyeusement pas s'occuper d'ipv6. Je ne parle même pas des OI qui ne transportent que du L3 pas compatible v6 en 2014.

arnaud · « **Réponse #154 le:** 01 avril 2014 à 17:25:13 »

Citation de: ldrevon le 01 avril 2014 à 17:23:00

Si tu route de l'ipv6 coté lan, tout arrivera coté lan, et tes windows/apple/ou autres équipements seront soumis aux attaques.

Oui, et donc comme je le disais, c'est pour ça qu'il faut que la box filtre par défaut.

tontonrobert · « **Réponse #155 le:** 01 avril 2014 à 17:28:01 »

Citer

Non un switch cela switch cela ne route pas , donc un routeur ipv6 qui a cela sur son réseau local GP?

Ben, faire causer des équipements "directly connected", c'est pas du routage, c'est du switch. Arp, multicast etc.. ?
Qui a un routeur v6 dans le vaste monde, j'irai jusqu'à dire : tout le monde sauf adeli ?

Citer

Qui a donc besoin d'un /56 : personne bon voilà c'est dit,

Ce n'est pas une question de besoin.

Citer

donner moi l'exemple de l'utilisation de plusieurs lans ipv6 pour le GP.

Réseau wifi ouvert ?

Citer

Essayer de dépasser votre égo sur la liberté de l'usage.

Pouah, tu veux être arrogant ?
C'est quoi ton rôle chez Adeli déjà ? Ne me dit pas que tu es directeur technique ..
Si je relis les 13 premières pages de ce topic, tu as avancés beaucoup d'argument techniquement faux, et moralement discutable.
As-tu un meilleur bagage technique que ça ?
Tu peux écrire un post sans bullshit ? Avec des vrais arguments ?

Pour rappel, ces arguments sont bidons :
- drop ICMP pour protéger les DDOS (quid des flood TCP / UDP ?)
- drop le port 25 pour permettre à plein de gens de ne pas configurer les serveurs SMTP
- faire un gros lan openbar en v6 "parcque l'IPv6 tout le monde s'en fout"
- empêcher l'usage "server" parcque "si tout le monde utilise 100M, ça coute trop cher"
- ne pas respecter les RFC concernant les bloc v6 "parcque personne n'utilise IPv6"
- vive le nat, c'est la seule protection pour les pauvres abonnés contre les monstres de l'internet
- il ne peux pas y avoir de conflits IP sur le mega-LAN "parcque l'autoconfiguration v6 inclue la MAC", mac qui est globalement unique evidement, et puis ip -6 addr add, ça n'existe pas ..

Bon, je suis mauvaise langue, tu peux tout à fait entuber tes abonnés en rajoutant des clauses alacon dans la CGV que personne ne lit.

Mon psychanaliste dirait, je pense, que tu souffres d'un trouble d'acceptation de personnalité. Désolé, tu n'es qu'à la première étape...

Ha, j'oubliais le petit dernier :
"Donc cela enlève les 99.9% des attaques venant d'internet, il reste ceux provenant du poste de l'utilisateur.".
En fait (scoop!), depuis la démocratisation du nat et du "iptables -A INPUT -j DROP && iptables -A OUPUT -j ACCEPT", 99.99% des attaques viennent de l'interieur..
Indice : quelles est la solution la plus viable pour faire un botnet :
- scanner des milliards d'IP en espérant trouver une victime, à condition de passer nat et firewall
- faire causer la victime dès que possible vers un serveur, lequel donne ensuite les ordres sur la session déjà ouverte (qui passe donc les pseudo-securités sus-cités)

Attention, la réponse est difficile à trouver..

EDIT: c'est un peu méchant, mais tellement vrai, et tu le vaux bien, non ?