Pourquoi ne pas plutôt mettre ce message ici (https://lafibre.info/evolution/), et surtout pourquoi vouloir le supprimer ?

Je ne connaissais pas la rubrique "evolution" -- J'ai supprimé le message. Je sais bien qu'il y a pas de CB.. Mais sinon, connaitriez-vous peut-être d'autres sites web ou serveurs des mails, des vos amis, collaborateurs, associés. Vous travaillez dans le réseaux et la sécurité et vous êtes français, c'est tout ce qui m'importe.

Donc, https://internet.nl et on se met en conformité.

Greets,
Romain.

Je crois que Microsoft recommande de ne pas désactiver IPv6 depuis plusieurs années, mais je n'ai jamais utilisé Windows 11.

Je crois que Microsoft recommande de ne pas désactiver IPv6 depuis plusieurs années, mais je n'ai jamais utilisé Windows 11.

çà c'est leur problème. Moi, j'ai une option "désactiver l'IPv6" dans leur OS mais toujours l'IPv6 !!!!

 

Je confirme, ça pète des trucs, notamment dans un AD.

C'est dangereux

Bonne journée.

çà c'est leur problème. Moi, j'ai une option "désactiver l'IPv6" dans leur OS mais toujours l'IPv6 !!!!

 

C'est dangereux

Bonne journée.

l'option que tu montre dans la capture d'écran est pour mettre une adresse fixe !

il y'a pas mal de clics à faire depuis la refonte de la gestion du réseau sous Windows 11 ....

si tu souhaites désactiver l'IPV6 il faut aller ouvrir l'ancien panneau de configuration des carte réseaux elle se situe dans "Paramètre réseau avancés" > Cliquer sur la carte réseau a configurer > "Autres options d'adaptateur" > décocher "Protocole internet Version 6 (TCP/IPv6)

pour aller plus vite > Win+R > ncpa.cpl > double clic sur la carte réseau > Propriété > décocher "Protocole internet Version 6 (TCP/IPv6)

sinon autrement il vaut mieux appréhender et apprendre a utiliser IPv6 ! ( suivez le Mooc Ipv6 ! )

l'option que tu montre dans la capture d'écran est pour mettre une adresse fixe !

Pourtant il y a écrit -> configuration MANUEL -> Désactiver l'IPv6

il y'a pas mal de clics à faire depuis la refonte de la gestion du réseau sous Windows 11 ....

si tu souhaites désactiver l'IPV6 il faut aller ouvrir l'ancien panneau de configuration des carte réseaux elle se situe dans "Paramètre réseau avancés" > Cliquer sur la carte réseau a configurer > "Autres options d'adaptateur" > décocher "Protocole internet Version 6 (TCP/IPv6)

pour aller plus vite > Win+R > ncpa.cpl > double clic sur la carte réseau > Propriété > décocher "Protocole internet Version 6 (TCP/IPv6)

Merci beaucoup.

sinon autrement il vaut mieux appréhender et apprendre a utiliser IPv6 ! ( suivez le Mooc Ipv6 ! )

J'apprend l'Ipv6 toute les jours depuis 2009 .... Quel MOOC (Massive open online course) par exemple ?

Ah ? J'ai un AD chez moi....

Oui je pensais à toi hier soir ^^ (à çà ), et l'IPv6 ... Faudrait tester sur des petit blocs "cafe".

# Site 2  (chez tes parents)
fc00:0000:0000:0000:0002:0000:0000:0adX/64

# Site 1 (chez toi)
fc00:0000:0000:0000:0001:0000:0000:0ad1/64
fc00:0000:0000:0000:0001:0000:0000:0ad2/64

Pour dans l'optique de pouvoir joindre un autre bloc dans ce bloc "fc00:0000:0000:0000::/64" par exemple (toi, tes parents et/ou tes potes vous avez tous le "même réseau", la même configuration réseau en "fc00:0000:0000:0000::/64" pour le local par exemple, mais les routes VPN entre chaque site sont plus basses en réseau IPv6::/80 (de fc00:0000:0000:0000:0001:0000:0000:0000 à fc00:0000:0000:0000:0001:FFFF:FFFF:FFFF) CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

- par accéder à chez toi depuis chez tes parents -> fc00::1:0:0:0/80
- par accéder à chez tes parents depuis chez toi -> fc00::2:0:0:0/80

Pour ajouter tes liens VPN pouraient-être ceux-là :

fe00:eeee:eeee:eeee:eee1:0:0:1/80 et fe00:eeee:eeee:eeee:eee2:0:0:1/7 (network range : fe00:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)

La gateway entre ton PDC (ad1) et BDC (ad2) -> sur ton local.

fc00:0000:0000:0000:0001:0000:0000:cafe/112 ou fc00:0000:0000:0000:0001:0000:00ff:00fe/104 ou fc00:0000:0000:0000:0001:0000:0000:0afe/120

Je t'avoue, je n'sais pas trop, mais normalement tu devrais voir la puissante de l'IPv6 .. en transitant très rapidement sans chercher sur tout le bloc IPv6::/64).

Ton PC pourrait peut-être, avoir l'adresse :

fc00:0000:0000:0000:0001:0000:0000:00c1/120 ou fc00:0000:0000:0000:0001:0000:0000:00c1/64 ou pleins d'autres address IPv6 ; tout dépend des mask ou en ajoutant la route de la passerelle à la main.

----
Tu peut commencer par tout mettre en /64 pour voir se qui transites et si les machines et les DC (contrôleurs de domaines) s'associent.
----

Ce qui est bien avec des Active Directory c'est que le protocole "scann/recherche" dans son masque de sous-réseau son "clone" primaire / secondaire / tertiaire.

Çà m'a l'air parfait pour apprendre/tester l'IPv6, les masques, et sa rapidité à vérifier/trouver/s'accrocher aux machines accessible sur son/ses sous-réseaux.

----
Et une fois que çà fonctionne tu ajoutes là où tu le souhaites des adresses UNICAST GLOBAL de vos blocs IPv6::/64 en laissant la configuration ULA (si par exemple chez tes parents tu ne souhaites pas avoir de domaine contrôleur accessible depuis Internet, sur la machine "ADX" tu n'ajoute aucune UNICAST GLABAL.
----

Romain

Note de Moi-même, bien que "la phrase" soit difficile à lire/comprendre :

Et si par "magie" on arrive à pouvoir gérer le bloc IPv6::/56 chez Orange ; et bien on pourra monter d'un cran, d'un bloc. ":XXFF:" et pouvoir configurer "de 00 à FF" du XXFF pour plusieurs multicast UNICAST GLOBAL IPv6::/64 pour nos 2 machines de notre réseau "local" (mais avec des adresses publiques) et avoir 2 liens "FE80::/64" depuis notre routeur principal.

# Moi
2a01:cb1d:2d4:8800::/56 -> network 2a01:cb1d:2d4:8800-FF::/56 et mon réseau d'administration 2a01:cb1d:2d4:88FF:FFFF:FFFF:FFFF:FFFF

# Orange (son réseau d'administration, sûrement (je ne suis pas FAI, moi ^^)
2a01:cb1d:2fe:80XX::/48 -> pour orange -> fe:80XX: - pour orange je suis -> cX:XFXX: en l'occcurence c8:8FXX:

# Network range IPv6::/48
2a01:cb1d:02fe:0000:0000:0000:0000:0000
2a01:cb1d:02fe:FFFF:FFFF:FFFF:FFFF:FFFF

PS : Orange n'est pas en blocs iPv6::/48 il est plus haut... pour mon addresse 2a01:cb1d:2d4:8800::/56 je suis sur/dans le bloc "2a01:c000::/19" (commande whois/rdap IPv6).
-> mais pour le routeur "2D4" (2a01:cb1d:2d4:CLIENT) qui normalement comme je l'expliqué au dessus doit avoir par exemple une adresse ULA de type fd00:XXXX:2d4::/7 ::/8 ::/16 je n'en sais rien - ce routeur ne gère/gérerai qu'un bloc ::/48

En plus :
Le site 2 d'Orange 2a01:cb1d:2XXXXXXX a le netmask -> 2a01:cb1d:2d0::/44  ->

LE réseau :
2a01:cb1d:02d0:0000:0000:0000:0000:0000
2a01:cb1d:02dF:FFFF:FFFF:FFFF:FFFF:FFFF

à 4 routeurs ou plus... :

2a01:cb1d:2d1:0000:0000:0000:0000:0000/48
2a01:cb1d:2d2:0000:0000:0000:0000:0000/48
2a01:cb1d:2d3:0000:0000:0000:0000:0000/48
2a01:cb1d:2d4:0000:0000:0000:0000:0000/48

Et nous on est client accroché à un de ces routeurs, moi sur le D4 réfléchissons :

Sur :
2a01:cb1d:2d4:0000:0000:0000:0000:0000/48 (routeur D4 orange)
2a01:cb1d:2d4:8800:0000:0000:0000:0000/56 (moi)
donc :
2a01:cb1d:2dF:E800:0000:0000:0000:0000/64 -> F:E8:MACADDR_PC_0 -> "en vrai" -> FC01:cb1d:2FE:80XX:0000:0000:0000:0000/7
2a01:cb1d:2dF:E801:0000:0000:0000:0000/64 -> F:E8:MACADDR_PC_1

Je me trompe de bit -- il faut déplacer de 2 bits vers le haut et non pas 1 seul bit, mais, je fais exprès d'expliquer comme cela.

F == local (routeur)
E == le lien sécurisé (entre le local (routeur) et l'association de ces 2 "sites/réseaux").
8 == association (du local -> et du client) -> qui correpondant à mon 1er F pour moi le client.
0 == tout ce qui en dessous ; le client (enfin les premiers liens-local, ceux accrochés au routeur "livebox), mon 2ème F.

Et mes machines... 1er "F" et 2ème "F" se transforment en "FE" pour moi et mes associations (80)...

PS : Une fois que t'as réussis les blocs "cafe" tu peut passer au bloc "beef"

Le local est au dessus du bloc 112 -> CF XXXX:XXXX:XXXX:XXXX:0000:0000:BEEF:CAFE/LEQUEL ? Sur site B ou A ; encrypté ; ou juste au dessus ; où çà ? dans le bloc mulitcast 104 ou/et 64 ? du "fake bloc" 2a01:cb1d:2d4:8800::8000:0/98.

Exemple en configurant sur le routeur :

ip -6 route add 2a01:cb1d:2d4:8800:0000:0000:8000:0000/98 dev vmbr1

si la machine "2a01:cb1d:2d4:8800:0000:0000:BEEF:CAFE/98" est connectée à VMBR1 elles se pingueront. Même si elle était configurer en ::/128 (mais en ajoutant une route manuellement à la "beef:cafe").





Chaud

PS : Sinon moi je galère à faire voir mes routes clients IPvX (initiateur) par le serveur (recepteur) dans strongSwan :/ table 220

Note de Moi-même 20240221 :

- Le masque 96 (on pourrait dire c'est un 56 en plus petit) - ADMINISTRATION
- Le masque 104 (on pourrait dire c'est un 64 en plus petit) - MULTICAST

Pour expliquer  :

- dans le IPv6::/56 y'a plusieurs multicast IPv6::/64
- dans le IPv6::/96 y'a plusieurs multicast IPv6::/104

cooL

Exemple :
 
- Routeur -> VMBR1 : fc74::1:0:00FF:FFFF/96 (je suis la "livebox" avec mon link-local vers le haut, je suis la passerelle de tout les blocs /64 ^^ /104)

Machines connectée à cette interface (je configure la passerelle manuellement ou j'utilise le lien fe80 de la passerelle si j'ai "accept_ra")

- ETH0 machine : fc74::1:0:FF00:0001/104 qui peut configurer fc74::1:0:FF01:0001/104 ; fc74::1:0:FF02:0001/104 ; fc74::1:0:FF51:0001/104 etc etc..

J'ai déjà un préfixe ULA sur mon LAN, ce n'est pas vraiment la mise en place qui pose problème.

Oui je pourrais utiliser que des ULA et pas de GUA sur les 2 AD, mais il y a surtout le problème des clients qui eux ont une GUA.

OK

Et dans le DNS toutes les adresses remontent (impossible de choisir celles qu'on veut ou non enregistrer), tu vois venir le soucis ? Lorsque je vais essayer d'accéder à un client (au hasard pour une session RDP), je vais avoir la GUA qui va être prioritaire et paf : ça va sortir sur le net et pas par le VPN. D'où mon histoire de précédence à modifier partout (et c'est franchement pas pratique).

Comme tu le dis ce n'est vraiment pas pratique.

Le seule solution que je vois, c'est de ne pas utiliser le premier /64, et de mettre tout le LAN sur un autre et router celui-ci par le VPN, idem de l'autre côté. De cette manière le 1er /64 serait toujours accessible par le net si j'ai besoin de diagnostiquer la connexion. Et plus important encore dans un contexte ipv6 only, pouvoir monter le VPN, ce qui est un peu beaucoup indispensable.

Ouais je comprend.

Je ne pas de donner de conseil, je n'ai pas assez "travailler" avec le/les blocs IPv6 d'Orange.

Bonne journée à toi @renaud07.

Romain

Note de Moi-même 20240221 : J'ajoute un truc dans mon commentaire Réponse #45 du dessus - à la fin.