Auteur Sujet: description synthétique des pièges et des principales subtilités de IPv6  (Lu 8253 fois)

0 Membres et 1 Invité sur ce sujet

tivoli

  • Toulouse (31)
  • Abonné Bbox fibre
  • *
  • Messages: 1 944
  • Toulouse (31)
J'ouvre le sujet vu que la bonne idée a été proposée sur un autre post, a vos contributions ;-)

J'imagine aussi que ce ne sera pas IPv6 pour les nuls donc je me tate a ouvrir un autre post

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #1 le: 21 février 2016 à 13:17:54 »
La premiere subtilité est qu'une adresse IPv6 peut devenir 'obsolete' tout en continuant a fonctionner pour les connexions déjà ouvertes.

On peut donc se retrouver dans une situation ou une machine a 2 IPv6 différentes vers le meme service/serveur.

exemple:

Je lance un gros téléchargement avec Chrome depuis le site S, ca démarre avec l'IPv6 actuelle (IP1) du poste et le restera pendant toute la durée du téléchargement.
Quelques minutes apres, IP1 expire et devient 'obsolete' (deprecated). La machine se configure (ou obtient) une nouvelle IPv6 (IP2).
J'accede au site S avec Chrome: vu du serveur web S, j'utilise IP2 bien que j'ai toujours un téléchargement en cours avec IP1.



raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #2 le: 22 février 2016 à 22:12:50 »
Subtilite aleatoire #1 : utilisation des RA pour s'annoncer en tant que routeur sur le reseau
Subtilite aleatoire #1.1 : DHCPv6 n'envoie pas (ne supporte pas) la passerelle par default. Il faut utiliser les RA.

Subtilite aleatoire #2 : le flag "on-link" (ou plutot sa negation : not on-link). Sur un subnet qui est annonce comme "not on-link", les machines envoyent au(x) routeur(s) les paquets destines aux autres machines dans le meme subnet.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #3 le: 22 février 2016 à 22:24:18 »
oui la grosse subtilité c'est que

 DHCP = RA + DHCPv6
et pas
 DHCP = DHCPv6

(comprendre "=" comme "equivalent" quand on passe d'IPv4 a IPv6)

DHCPv6 est une 'option' de RA: c'est RA qui indique s'il faut ou pas faire une requête DHCPv6. De base, RA configure la gateway et le prefix.
DHCPv6 configure les autres options comme les serveurs DNS par exemple (stateless) et/ou l'IPv6 elle meme (statefull).

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #4 le: 22 février 2016 à 22:30:43 »
Subtilite aleatoire #3 : dans 99.9% des cas, un subnet c'est en /64. Les cas restants (que certains gurus contestent vigoureusement) sont :
 - les point-a-point : on peut configurer un /126 voire meme un/127, mais il est reccomande de provisionner un /64 entier.
 - les loopbacks : si pour un loopback il faut provisionner, voire pire, configurer un /64, alors il faut arreter les drogues dures.

Faut par contre bien se mettre en tete que certains routeurs/switch ne prennent en compte que maximum 64 bits pour un routage "wire-speed".

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #5 le: 22 février 2016 à 22:33:14 »
Subtilite aleatoire #4 : tres mechante d'ailleurs dans certaines conditions : le ND (RA compris) utilise du multicast non pas du broadcast. Il faut de preparer intellectuellement, sinon douleur et souffrance. OK, c'est du multicast niveau 2, mais quand-meme.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #6 le: 22 février 2016 à 22:45:54 »
autre subtilité:

Contrairement a IPv4, toute machine en IPv6 s'auto-configure une adresse IPv6 unique sur le lien local, adresse commancant par "FE80" dit link-local.

Donc 2 machines ou plus, connectées au meme réseau local vont automatiquement pouvoir discuter entre elles en IPv6 sans absolument rien faire. Meme si il n'y a pas de routeur. Un simple cable réseau suffit par exemple.

Conséquence: si on ajoute une machine IPv6 sur un réseau connecté a Internet (via un routeur par exemple), on n'a pas besoin de la configurer plus si on ne veut l'utiliser que localement.
Par exemple une imprimante réseau ou un webcam réseau. Il est meme mieux de désactiver son auto-configuration par RA et elle n'obtiendra pas d'IP public. Elle restera utilisable via son IP link-local et ne pourra être accéder de l’extérieur. Ca bat tout les firewall du monde.

2eme conséquence: si on transite par un ou plusieurs routeurs pour atteindre Internet il n'est pas nécessaire de configurer des IP public a ces routeurs , le routage 'next-hop' et 'default gateway' peut se faire en utilisant les IP link-local des routeurs :

PC (IPv6 public) --- (IPv6 -linklocal)routeur(IPv6-linklocal) --- .... -- Internet IPv6

(en pratique un admin configurera une IP publique dans le routeur pour pouvoir l'administrer a distance mais ca n'a rien d'obligatoire).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #7 le: 22 février 2016 à 23:42:50 »
suite des IP link-local et de la difficulté de taper les adresses IPv6 et donc de l’intérêt d'avoir de la résolution de nom locale.

En l'absence de serveur DNS bien configuré ou meme de routeur et meme d'IP publique, des machines peuvent se joindre en IPv6 via leurs addresses link-local en utilisant leurs noms d'hote directement (bien plus pratique que de saisir une IPv6).

Mais comme ce n'est pas dans la norme d'IPv6 ce n'est donc pas obligatoire dans les OS et bien sur "ils" ne se sont pas mis d'accord sur le meme...

Les machines Windows utilisent LLMNR
Les machines MacOs et Linux mDNS

Donc si, depuis une machine Windows,  vous arrivez a 'ping MachineWindows2' mais pas 'ping MachineLinux' ou 'ping MachineMac' c'est le plus souvent normal ! (ou c'est que votre serveur DNS local est mal foutu cf post suivant).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #8 le: 22 février 2016 à 23:43:41 »
Donc pour pouvoir avoir de la résolution d’hôte entre tout les machines localement il faut:

- que toutes les machines 'parlent' le meme protocol de résolution locale (LLMBR ou mDNS). Les machines peuvent alors se joindre en IPv6 (link-local) via leurs noms d'hote

ou

- qu'un serveur DNS local soit configuré et dynamiquement mis a jour par les machines locales avec leur noms ("Host Registration in DNS").  Les machines peuvent alors se joindre en IPv6 (globale) via leurs noms d'hote.

C'est plus important qu'en IPv4 d'avoir ceci car il est bien plus pratique de taper un nom d'hote qu'une IPv6. Ce n'est donc pas a négliger meme sur un réseau domestique. Une 'box' d'opérateur (CPE) bien concue doit prendre cela en charge. La Livebox d'Orange s'en sort pas trop mal: son serveur DNS est dynamique et couplé avec son serveur DHCPv6 (stateless) (faisable avec "dnsmasq" en configuration "ra-stateless + ra-names"). On peut donc accéder en IPv6 a toutes les machines du LAN en utilisant leurs noms d’hôte.

tivoli

  • Toulouse (31)
  • Abonné Bbox fibre
  • *
  • Messages: 1 944
  • Toulouse (31)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #9 le: 23 février 2016 à 08:38:45 »
Il est meme mieux de désactiver son auto-configuration par RA et elle n'obtiendra pas d'IP public. Elle restera utilisable via son IP link-local et ne pourra être accéder de l’extérieur. Ca bat tout les firewall du monde.

Ca se fait en GUI dans windows ?
J'ai l'impression que non et que ca se fait en netsh, j'ai trouve facilement comment activer le RA pour le windows mais plutot la partie "serveur" que client donc je suis preneur de ta methode

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #10 le: 23 février 2016 à 13:17:49 »
Ca se fait en GUI dans windows ?
J'ai l'impression que non et que ca se fait en netsh, j'ai trouve facilement comment activer le RA pour le windows mais plutot la partie "serveur" que client donc je suis preneur de ta methode

pas en GUI non.

1. afficher les interfaces IPv6:
netsh interface ipv6 show interface
noter le numéro (idx) de l'interface qui t’intéresse (exemple 10)
2. puis
netsh interface ipv6 set interface 10 routerdiscovery=disabled

tivoli

  • Toulouse (31)
  • Abonné Bbox fibre
  • *
  • Messages: 1 944
  • Toulouse (31)
description synthétique des pièges et des principales subtilités de IPv6
« Réponse #11 le: 23 février 2016 à 13:41:40 »
Merci