Auteur Sujet: Le forum est temporairement accessible uniquement en IPv6  (Lu 15716 fois)

0 Membres et 1 Invité sur ce sujet

MrGears

  • Abonné SFR fibre FttH
  • *
  • Messages: 407
  • 95
Le forum est temporairement accessible uniquement en IPv6
« Réponse #12 le: 06 septembre 2020 à 14:30:49 »
J’ai une question à la con.

En activant l’ipv6 sur ma box NB6V SFR j’ai bien accès au site.

Donc si je comprends bien, si l’ipv4 est pas dispo, ça bascule en ipv6 tout seul.

Par contre, si les 2 sont dispos lequel est prioritaire ?

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #13 le: 06 septembre 2020 à 14:41:49 »
Bloqué il y a 10mn en IpV6 avec cette image, Ip différente de celle constatée par Stilnox
Pareil, et ip.lafibre.info qui indique la connectivité IPv4 littérale comme hors service car il utilise 46.227.16.8, et non pas 89.84.1.194 comme retourné par le DNS.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #14 le: 06 septembre 2020 à 14:55:05 »
Donc si je comprends bien, si l’ipv4 est pas dispo, ça bascule en ipv6 tout seul.

Par contre, si les 2 sont dispos lequel est prioritaire ?
Les programmes implémentent Happy Eyeballs en général : IPv4 et IPv6 sont tentées en même temps (ou avec un léger décalage), et la première qui répond est utilisée. Le résultat est ensuite mis en cache.

Le problème, c'est que l'IPv4 peut répondre plus vite que l'IPv6, ce qui peut arriver ici parce qu'on peut avoir une latence vers Volterra (IPv4) plus faible que vers Adeli (IPv6), même si la priorité devrait être donnée à celle ci.

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
Le forum est temporairement accessible uniquement en IPv6
« Réponse #15 le: 06 septembre 2020 à 15:05:47 »
Par contre, si les 2 sont dispos lequel est prioritaire ?

L'IPv6.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #16 le: 06 septembre 2020 à 15:27:28 »
Les programmes implémentent Happy Eyeballs en général : IPv4 et IPv6 sont tentées en même temps (ou avec un léger décalage), et la première qui répond est utilisée. Le résultat est ensuite mis en cache.

Le problème, c'est que l'IPv4 peut répondre plus vite que l'IPv6, ce qui peut arriver ici parce qu'on peut avoir une latence vers Volterra (IPv4) plus faible que vers Adeli (IPv6), même si la priorité devrait être donnée à celle ci.
L'IPv6 est prioritaire. Il y a un fall back IPv4 qu’après expiration du timeout qui varie selon les clients.

Sinon bonne nouvelle, la protection Volterra est bien active et le forum est de nouveau accessible en IPv4.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #17 le: 06 septembre 2020 à 15:33:39 »
L'IPv6 est prioritaire. Il y a un fall back IPv4 qu’après expiration du timeout qui varie selon les clients.

Sinon bonne nouvelle, la protection Volterra est bien active et le forum est de nouveau accessible en IPv4.
Bizarrement, j'utilise l'IPv4 de temps en temps. Aussi bien avec Firefox sur PC que Chrome sur Android. La prochaine fois j'essayerai de faire une capture réseau pour voir si l'IPv6 n'a pas répondu, ou a été trop lente (ensuite le navigateur a mis le résultat dans le cache, et donc ne retente pas l'IPv6 avant un certain temps).

Sinon, ip.lafibre.info utilise toujours l'ancienne IPv4 pour le test d'IP littérale.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #18 le: 06 septembre 2020 à 16:20:07 »
Sinon, ip.lafibre.info utilise toujours l'ancienne IPv4 pour le test d'IP littérale.
C'est corrigé. Merci.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #19 le: 06 septembre 2020 à 16:46:32 »
Pourquoi:

Volterra: client ipv4 -> Volterra -> ipv4 lafibre

du coup cette ipv4 lafibre est toujours exposée sur le Net

Et pas:

Cloudflare: client ipv4 -> Cloudflare-> ipv6 lafibre

comme cela tu peux complètement dégager ipv4 de ton serveur.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #20 le: 06 septembre 2020 à 16:58:57 »
L'IPv4 est exposé si mon serveur ne répond pas sur la page Volterra, c'est une erreur, il vont rapidement patcher ce comportement.

Il faut expliquer que je suis sur une nouvelle plateforme Volterra mise en prod cette semaine, il y a quelques bugs.

Volterra ne gère pas l'IPv6 pour le moment, cela complique bien les choses pour le certificat Lets-Encrypt. Le renouvellement sera compliqué pour valider le challenge et je dois ensuite le recopier le certificat obtenu dans l'interface Volterra. C'est la seule solution pour laisser le forum en IPv6 (sans protection mais ce ne semble pas problématique) et l'IPv4 qui va passer par Volterra qui lui aussi termine la connexion https (et c'est re-chiffré entre Volterra et mon serveur).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #21 le: 06 septembre 2020 à 17:22:28 »
L'IPv4 est exposé si mon serveur ne répond pas sur la page Volterra, c'est une erreur, il vont rapidement patcher ce comportement.


je disais 'exposé' au sens toujours joignable donc DDoSable.

Pas le fait que le Volterra affiche l'IP sur sa page en cas de non réponse.

Apres Volterra ou Cloudflare ce n'est pas l'idéal il est vrai.

Le mieux serait ton propre reverse proxy IPv4 -> IPv6 chez OVH par exemple... ils ont la protection  DDoS incluse dans les VPS. 
Et au pire si le VPS explose sous les DDoS y'a que IPv4 qui ne marche plus.

C'est quoi la répartition ipv4/ipv6 des accès a lafibre.info ?


hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #22 le: 06 septembre 2020 à 17:51:52 »
Aucun risque que les attaques passent en IPv6 ?
Je suppose qu'il y a moins de botnets, et peut-être des outils qui ne sont pas adaptés, mais est-ce qu'il faut compter sur ça pour la protection ?

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #23 le: 06 septembre 2020 à 18:11:08 »
C'est quoi la répartition ipv4/ipv6 des accès a lafibre.info ?

En France, c'est de l'ordre de 40% des requêtes qui sont en IPv6 quand le serveur propose IPv6. Il y a plus d'IPv4 en semaine avec les PC d'entreprise et plus d'IPv6 le week-end avec une proportion plus grande de grand public.

Voici les stats du forum réparti au prorata des octets transférés et non des hits :


Aucun risque que les attaques passent en IPv6 ?
J'ai déjà eu de nombreuses attaques, souvent dans des périodes où d'autres sites  / réseaux se font DDOS, donc je ne suis pas sur que le forum soit visé en tant que tel.

Je n'ai jamais eu le moindre problème sur IPv6. Cela arrivera un jour, c'est sur, mais aujourd'hui le DDOS est bien plus IPv4 que IPv6.

La problématique n'est pas le forum en tant que tel mais les effets de bords qui sont montueux : Les autres clients Adeli et Milkiwan ont été impactées, Cogent à coupé par deux fois intégralement le transit d'Adeli pour se protéger. A partir de là, la protection anti-DDOS est obligatoire sur l'IPv4.