Auteur Sujet: Diagno6 : Test d'accessibilité en IPv6 (Lu 5455 fois)

Optix · « **le:** 18 septembre 2022 à 14:47:26 »

Bonjour à tous,

Je vous présente un nouvel outil : Diagno6.net
https://diagno6.net/

Il est destiné à tester la bonne accessibilité de vos services en IPv6 avec notamment :
- les DNS ayant autorité, qui gèrent vos noms de domaines
- les MX, qui réceptionnent vos emails
- les serveurs web, qui accueillent vos visiteurs

L'outil se veut plus poussé que ip6.nl dans le sens où il teste si les services sont réellement accessibles, et non juste reporter l'IPv6 si renseignée. Car une erreur est vite arrivée : le service n'écoute pas en IPv6, ou il sert une page blanche, une erreur, etc. Ainsi, votre page d'accueil est téléchargée en IPv4 et IPv6 pour vérifier la cohérence. Et l'outil peut donner des conseils (si l'adressage est présent, comment activer l'écoute en IPv6 par ex).

Techniquement, ça tourne avec du Symfony (PHP), Bootstrap (CSS) et RabbitMQ (pour l'async).
Hébergé chez OrneTHD à Rombas (57) et NDD pris chez Gandi.

C'est en beta pour le moment. Si vous avez des suggestions/remarques/zéééézuper, n'hésitez pas !
Et vive le boeuf bourguignon !

Cédric.

vivien · « **Réponse #1 le:** 18 septembre 2022 à 15:14:46 »

Merci Optix pour tout le travail.

Petite précision (si c'est toujours ok pour Optix) : L'outil a pour vocation à être mis en ligne sur le site de l'Arcep, dans le cadre de la Task Force IPv6 : https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/task-force-ipv6.html (sous réserve de problèmes juridiques).

N'hésitez pas à tester l'outil, à apporter des propositions pour l'améliorer.

kgersen · « **Réponse #2 le:** 18 septembre 2022 à 15:34:27 »

Citation de: Optix le 18 septembre 2022 à 14:47:26

L'outil se veut plus poussé que ip6.nl dans le sens où il teste si les services sont réellement accessibles, et non juste reporter l'IPv6 si renseignée.

plusieurs points:

- ca test une url ou un domaine ? la zone de requête commence par https:// mais on ne peut mettre certaines url complexes et le message d'erreur n'est pas affiché (y'a juste un ! rouge sans explication)..c'est un peu flou. Tout domaine n'a pas forcement un serveur web.

- la boite de saisie présuppose https donc on ne peut tester http et si on coupe/colle une url dedans ca ne marche si on enlève pas "https://" avant (= problème d'ergonomie). par exemple dois-je pouvoir tester un truc comme "https://bouygues.testdebit.info/10G/10G.iso" avec cet outil?

- si je mets une ipv4 dans la zone de saisie ca fait une erreur 500

- Je ferais attention à mettre ce genre d'outil en ligne si ce n'est pas le PC de l'utilisateur qui fait la requête http mais ton serveur. Faire un requête http de façon automatisé sur une adresse inconnu a la requête de n'importe qui sur Internet peut avoir des conséquences. il te faut un "disclaimer " légal , que tu consigne quel ip demande quoi tout en étant en regle avant le RGPD. Je recommanderai aussi d'ajouter un header dans la requête http avec des infos comme quoi ton site 'forward' une requête pour quelqu'un d'autre (comme un proxy fait). Comme ca t'es plus "couvert" et le site final connait l'ip d'origine de "l'humain" qui a fait la requete. Il faut aussi informer l'utilisateur que son IP va être communiqué au site web testé.

- Ce test est 'vu' depuis ton serveur ce qui n'est pas forcement un indicateur que ca marchera pour l'utilisateur aussi (son résolveur dns est différent, sa géoloc, les cdn, etc).

Je pense que la configuration DNS et le bon fonctionnement d'un serveur web sont 2 problématiques différentes. Le fait que le deuxième dépende en partie du 1er n'est qu'un petit aspect des choses. Je ne suis pas convaincu de mélanger les 2 mais c'est que mon avis. Il a déjà plein d'outils pour tester le bon fonctionnement des sites web.

alain_p · « **Réponse #3 le:** 18 septembre 2022 à 15:42:50 »

Effectivement, j'ai été un peu surpris de constater que ce n'est pas votre connectivité IPv6 qui est testée (même si votre IPv6 est affichée en haut à droite), mais celle d'un site que vous rentrez (par défaut indiqué https://arcep.fr).

ARCEP : note 3/5 parce que ses MX n'ont pas de DNS en IPv6.

D'autre part, quand on veut recommencer un autre test, ce n'est pas possible, il me dit que j'ai déjà fait un test il y a moins de 5 mn.

vivien · « **Réponse #4 le:** 18 septembre 2022 à 15:47:08 »

En analysant les 1009 noms de domaines avec un suffixe .gouv.fr je n'en ai trouvé qu'un seul nom de domaine qui propose de l'IPv6 sur le nom de domaine racine et le nom de domaine racine avec le préfixe www.

Il me semble important de rajouter quatrième test supplémentaire, en plus de DNS, MX et domaine racine en https : le nom de domaine racine avec le préfixe www.
On aurait donc une notation sur 7 étoiles et non 5.

Exemples concrets :
- https://outremersolidaires.gouv.fr
- https://ira-lille.gouv.fr
=> IPv6 déclarée uniquement sur la racine, pas sur le www

- https://www.consultation-rua.gouv.fr
- https://www.pacte-entreprises.gouv.fr
=> IPv6 déclarée uniquement sur www, pas sur la racine

Dans le cas où on rentre un sous-domaine à tester, la solution serait de tester le domaine racine.

Tests à faire en fonction de ce qui est rentré dans l'outil :
- domaine.com => test de domaine.com et www.domaine.com
- www.domaine.com => test de www.domaine.com et domaine.com
- forum.domaine.com => test de forum.domaine.com et domaine.com

Par ailleurs l'outil qui vériifie si on a déja testé le domaien les 5 dernéire minutes ne semble pas considérer les sous-domines. Si je test lafibre.info puis ipv6.lafibre.info, il me dit "Vous avez déjà testé un site il y a 5 minutes."

Anonyme · « **Réponse #5 le:** 18 septembre 2022 à 16:09:05 »

C'est un bon début, sujet à améliorations.

Là tu testes un domaine tiers, un préalable serait d'essayer également le client (du type https://test-ipv6.com/ code source ouvert pour implémentation connexe).
En gros, pour l'ARCEP, ce serait, tu es "compliant IPv6" tu es en mesure de tester les autres sites et pas uniquement toutes les 5mn, sinon, t'attends un peu avant de lancer des demandes en cascade constamment.

Je rejoins les analyses précédentes, en ce qui concerne les domaines et sous-domaines, il se trouve que j'ai des domaines qui en https pointent vers certaines adresses et http vers d'autres, et ne sont pas en corrélation entre les domaines et adresses ( cela peu paraitre biscornu, mais il y a une raison).

Paul · « **Réponse #6 le:** 18 septembre 2022 à 16:22:00 »

Merci pour l'outil

En testant mon domaine dont le serveur remplit tous les critères, pas de surprise, tout a été correctement joint.

J'ai décelé un petit bug : quelqu'un a du tester sfr.fr mais sans le TLD, et j'ai cliqué dessus dans les statistiques comme ça m'intriguait. Ça reste indéfiniment là-dessus, il faudrait interdire l'absence de TLD.

Citation de: vivien le 18 septembre 2022 à 15:47:08

En analysant les 1009 noms de domaines avec un suffixe .gouv.fr je n'en ai trouvé qu'un seul nom de domaine qui propose de l'IPv6 sur le nom de domaine racine et le nom de domaine racine avec le préfixe www.

Il me semble important de rajouter quatrième test supplémentaire, en plus de DNS, MX et domaine racine en https : le nom de domaine racine avec le préfixe www.
On aurait donc une notation sur 7 étoiles et non 5.

Exemples concrets :
- https://outremersolidaires.gouv.fr
- https://ira-lille.gouv.fr
=> IPv6 déclarée uniquement sur la racine, pas sur le www

- https://www.consultation-rua.gouv.fr
- https://www.pacte-entreprises.gouv.fr
=> IPv6 déclarée uniquement sur www, pas sur la racine

Ça aurait été une bonne idée de penser à mettre de l'IPv6 sur la racine puis faire des CNAME pour tous les sous-domaines qui se situent sur le meme serveur.

kgersen · « **Réponse #7 le:** 18 septembre 2022 à 16:25:15 »

Je rajouterai que tester un site web ce n'est pas juste faire une requête http GET et vérifier que ca répond 200.
Ca c'est juste un indicateur qu'il y a un 'serveur' qui parle http a cette adresse.
Deja ca peut répondre 404 par exemple et être tout a fait valide aussi.
Et si ca répond 200 ce n'est pas forcement que ca fonctionne correctement, surtout en IPv6 ou il se peut que des sous-parties du site (images, scripts tiers, etc) soient sur d'autres domaines/sous-domaines qui ne fonctionnent pas en IPv6). Et Il est fréquent que le serveur web qui répond en IPv6 ne gere pas le site web en question (probleme de vhost,etc).

Un test simple est juste de faire un HEAD par exemple et indiquer si ca répond (mais 200 ou 500 ou 40x, n'est pas une information forcement utile a remonter). Encore que certains sites ignorent HEAD...

Attention aussi aux redirections (3xx), on peut très bien être redirigé vers un site en IPv4... du coup pour être pertinent, ton 'requêteur' devrait être "IPv6 only".

alain_p · « **Réponse #8 le:** 18 septembre 2022 à 17:29:53 »

Effectivement, je pense qu'il faut enlever le https://. L'outil teste un domaine, pas un site. D'autre part, il faudrait afficher par défaut, comme dans le modèle l'IPv4 et l'IPv6 de celui qui se connecte, et je pense que ce serait une information intéressante de rajouter l'AS auxquelles elles appartiennent, et si possible le FAI qui correspond. Et les DNS et MX de cet AS (qui sont ceux du FAI en général), pour montrer s'ils sont accessibles en IPv6. Puis de donner la possibilité de tester un domaine particulier, et dans ce domaine, voir si www.domaine.tld est un site web, ce qui est souvent le cas par défaut.

vivien · « **Réponse #9 le:** 18 septembre 2022 à 18:47:00 »

La problématique c'est que des sites web ont déclaré un AAAA (IPv6) et l'IPv6 ne fonctionne pas (par exemple car le serveur a changé, ils ont changé la A, mais pas le AAAA)
- Depuis un client fixe, cela ne se voit pas : Le client basculera en IPv4 rapidement (fall back).
- Depuis un réseau mobile Orange, Bouygues ou SFR, il y a une plateforme d'optimisation qui répond à la place du serveur et le fall back IPv4 sera impossible vu que le client aura eu la réponse de la plateforme d'optimisation.
Il y a un sujet dédié : IPv6 fallback to IPv4.

Pour ces raisons, il semble intéressant de tester la connexion et d'attribuer un point en cas de réponse. Par contre, en cas d'absence de réponse en https, le test pourrait se poursuivre par un test http pour couvrir les cas où le site est en http.

Afficher le retour (200, 404, 301,...) est une information intéressant à afficher, même si cela ne change rien aux points. Je pense que même une réponse 404 sur l'IPv6 doit donner un point.

Je pense que c'est une bonne idée de tenter d'améliorer https://ip6.nl/
On pourrait aussi changer le système de points (7 points si ont test les sous-domaines) pour donner une note. Une note /10 ?

kgersen · « **Réponse #10 le:** 18 septembre 2022 à 19:02:41 »

Citation de: vivien le 18 septembre 2022 à 18:47:00

La problématique c'est que des sites web ont déclaré un AAAA (IPv6) et l'IPv6 ne fonctionne pas (par exemple car le serveur a changé, ils ont changé la A, mais pas le AAAA)

J'ai vu le cas souvent. Changement d'hébergeur ou de serveur. L'intervenant est incompétent en réseau. Le A est changé mais pas le AAAA. Du coup l'ipv6 fonctionnait encore sauf qu'elle pointait sur l'ancien serveur donc on avait une page Apache par défaut ou une erreur vhost (ou pire l'ancien site plus a jour...).

Donc attribuer un point par ce que ca répond en http a l'ipv6 ce n'est pas forcement un "bon indicateur" de bon fonctionnement. Un domaine peut avoir plus d'étoiles qu'un domaine qui n'a pas de web en IPv6 mais qui dans les faits il "fonctionne" mieux.

Et comme indiqué déjà, peu de site sont comme lafibre.info : ils ne dépendent pas d'un seul serveur ou d'un seule IPv6. La page principale fait souvent appelle a des ressources situées sur d'autres url.

par exemple (informations affichée par IPvFoo)

tu lui donne une "étoile en plus" pour son site web "compatible IPv6" ?

vivien · « **Réponse #11 le:** 18 septembre 2022 à 19:10:28 »

Comme tu dis, c'est un problème ces enregistrements AAAA non mis à jour. L'outil pourrait peut-être traiter le problème en le signalant ?

En https, la solution à ce problème serait peut-être de vérifier le certificat TLS envoyé : On vérifie en IPv6 le nom de domaine du certificat et le fait qu'il soit valide et identique à celui en IPv4.

En http, vérifier que la taille de la page / est identique entre IPv4 et IPv6 ?

Auteur Sujet: Diagno6 : Test d'accessibilité en IPv6 (Lu 5455 fois)

Anonyme