Auteur Sujet: Commentaires sur la date d'épuisement des adresses IPv4 (Lu 59722 fois)

vivien · « **Réponse #192 le:** 09 août 2019 à 10:18:48 »

Citation de: Leon le 09 août 2019 à 09:07:50

Perso, je n'ai toujours pas compris comment les spécialistes envisagent la transition vers IPv6. En l'état, la transition me semble vraiment impossible : tant qu'il reste des machines IPv4, il faut maintenir tous les services (côté utilisateur final ou côté serveurs) en IPv4.
Une connexion IPv6 only vraiment utilisable, ça n'est pas pour demain!
Donc l'extinction d'IPv4 et la fin de la transition vers IPv6, ça n'est pas pour après-demain.

Pour profiter de gains d'#IPv6, il faut achever la transition (100% IPv6 coté FAI).
Tant qu'un nombre significatif de clients n'ont pas d'IPv6, les hébergeurs devront fournir des IPv4.

La première étape est de déployer massivement IPv6 :
C'est l'étape actuelle. Coté grand public, les actions sont là pour que tous les clients (fixe + mobile récents) aient des IPv6 dans quelques années.

La seconde étape est de finaliser le déploiement chez tous les FAI, même coté entreprise :
En effet, il y a des blocages, notamment dans les entreprises de plus de 1000 salariés, celles qui ont quelques équipements telecom en propre. Je cite Hugues "On ne peut pas former tous les intégrateurs à utiliser v6, c’est illusoire..."

Deux solutions :
- L'entreprise fait ça proprement : Elle déploie du dual-stack (IPv4+IPv6) sur ses postes ou pour celles qui ont un proxy, connectent le proxy à l'Internet en IPv4 + IPv6.
- L'entreprise n'a pas les compétences, les moyens financiers (mis à jour de matériel obsolète - IPv6 fonctionne sur Windows 2000, mais pas sur Windows 95) ou la volonté de le faire et là c'est le FAI qui prends le relais : il livre l'entreprise uniquement en IPv4 mais avec un DNS46+NAT46. J'explique ci-dessous le fonctionnement du DNS46+NAT46 et ses limites.

La troisième étape ce sont les fournisseurs de contenus :

Il y a deux scénarios possibles :
- Google à réussi, en favorisant le référencement de sites https, à faire que tous les sites utilisent https en 4 ans. Google pourrait faire le même exploit pour IPv6. Dans ce cas là les sites seraient rapidement en dual-stack : IPv4 + IPv6
- Si Google ne fait rien, une foie la seconde étape terminée, les sites passeront d'eux même d'IPv4 only à IPv6 only, pour économiser ces IPv4 qui coutent cher et qui n'apportent rien de plus par rapport à IPv6.

La quatrièmement étape, c'est le retrait d'IPv4 coté FAI :
Il faut déjà finir le trois premières étapes, c'est n'est donc pas avant 15 ans dans un scénario optimiste.

Comment fonctionne le DNS46+NAT46 ?

Son but est d'éviter que des entreprises qui refusent de passer à IPv6 ne bloquent pas la transition de tout l'internet.

Un exemple concret d’utilisation pourrait être un client avec une connectivité IPv4 uniquement, qui souhaite jouer au jeu https://loopsofzen.uk/ ou au jeu https://game.flyingpenguintech.org/rules (Ces deux jeux sont deux exemples de sites hébergés en IPv6 uniquement - demain ce sera des millions de sites qui seront en IPv6 uniquement): Le DNS46 (situé chez le FAI) va renvoyer une IPv4 au terminal, IPv4 qui pointe vers la plateforme NAT46 (également situé chez le FAI). Cette dernière, connecté à l’Internet IPv6 va récupérer le nom de domaine dans la requête https (utilisation du SNI - Server Name Indication) pour envoyer le paquet sur l’adresse IPv6 correspondant.

La plateforme DNS46/NAT46 permet aux clients d’avoir accès à l’intégralité des ressources http / https de l’Internet, sans nécessairement avoir de l’IPv6 sur le terminal.
Tous les protocoles applicatifs ne sont pas supportés par le DNS46/NAT46, il faut du SNI (cas de http/https), mais c’est toujours mieux que rien (aujourd’hui les sites web IPv6 only sont inaccessibles pour les clients sans IPv6).
Si une entreprise a besoin d'autres protocoles en IPv6 ou de DNSSEC, elle devra déployer IPv6. Au moins, elle n’aura pas bloquée la transition pur ses usages basiques.

Mettre du DNS46/NAT46 permet donc de ne pas toucher à l'existant pour un usage de base de l'internet, de garder des routeurs, firewall et autres équipements non compatibles IPv6 tout en ayant accès au web IPv6 (je parle de web, pas d'internet, c'est c'est une partie limitée d'internet).

Optix · « **Réponse #193 le:** 09 août 2019 à 10:34:31 »

Visiblement mon dernier message a heurté la sensibilité de certains confrères. Evidemment, on va pas taper sur le client parce qu'il a refusé son install ipv6 et on ne luii force pas la main. C'est juste qu'il y a un long travail d'accompagnement, d'explications et de respect (car souvent, le mec en face, il sait pas, il sait pas, faut pas le prendre pour un con) et il ya beaucoup d'humain dans le process, et ça c'est toujours très bien passé. Et pas de monopole, vous pouvez venir, y a de la place ! Voilà voilà.

lechercheur123 · « **Réponse #194 le:** 09 août 2019 à 10:44:36 »

Citation de: vivien le 09 août 2019 à 10:18:48

La plateforme DNS46/NAT46 permet aux clients d’avoir accès à l’intégralité des ressources http / https de l’Internet, sans nécessairement avoir de l’IPv6 sur le terminal.
Tous les protocoles applicatifs ne sont pas supportés par le DNS46/NAT46, il faut du SNI (cas de http/https), mais c’est toujours mieux que rien (aujourd’hui les sites web IPv6 only sont inaccessibles pour les clients sans IPv6).

Ça va être sympa avec le Encrypted SNI

Florian · « **Réponse #195 le:** 09 août 2019 à 10:53:00 »

Citation de: Optix le 09 août 2019 à 09:15:41

Franchement pour les entreprises, je ne vois pas le problème. Chez nous, tout le monde a de l'IPv6 au cul, et forcé.

Evidemment, il y a toujours des boites qui ont un firewall au milieu et donc, aucun trafic IPv6 écoulé. Bah on se bouge le derrière, on décroche le téléphone, on écrit des mails et on accompagne le responsable IT de la boite. C'est comme ça qu'on a réussit à basculer même des "gros" professionnels en IPv6, comme des industriels ou des administrations : parce que je me bouge le cul. Parce que faut bien savoir que ça ne se fera pas tout seul et qu'il ne faut pas compter sur les SSII paresseuses et/ou incompétentes. En plus, on le fait gratos. Donc exit les pb de budgets.

Et pour celles qui résistent (juste une, aujourd'hui), on se décharge en lui faisant perdre sa GTR vu qu'elle n'a pas installé son accès Internet suivant nos spécifications. Le jour où il y aura une couille "bah monsieur, l'ipv6 était fonctionnel mais vous ne l'aviez pas installé/activé comme notre tech vous l'a dit dans son rapport du xx/xx/xxxx et que vous avez signé".

Edit: pour info, chez OrneTHD, on a des connexions IPv6-only (sur l'offre téléphonie), car on ne peut pas empêcher un modem de chopper sa /56. Du coup les gens peuvent aller sur Facebook et Youtube

Et comment tu fais quand tu as des équipements qui ont des limitations en IPv6 ? Exemple même en R80.20, pas mal de fonctions sautent en IPv6 sur les firewall Checkpoint... Et faire s'arrêter le flux ipv6 avant n'aurait pas grand sens dans pas mal de cas... Il doit y'avoir pas mal d'autres produits / constructeurs dans la même situation, où l'ipv6 est "supportée", mais d'une manière tellement limité que ce n'est pas exploitable derrière.

Tout ça pour dire que ce n'est pas juste une histoire de volonté ou de budget, parfois les boites / administrations attendent aussi que le reste de l'éco système évolue.

Leon · « **Réponse #196 le:** 09 août 2019 à 11:00:06 »

Citation de: vivien le 09 août 2019 à 10:18:48

Pour profiter de gains d'#IPv6, il faut achever la transition (100% IPv6 coté FAI).
Tant qu'un nombre significatif de clients n'ont pas d'IPv6, les hébergeurs devront fournir des IPv4.

La réciproque est également valable, non?
Tant qu'un nombre significatif de "fournisseurs de contenu/hébergeurs" (petits ou gros) n'ont pas du tout déployé d'IPv6, les FAI doivent maintenir une connectivité IPv4.

Leon.

Hugues · « **Réponse #197 le:** 09 août 2019 à 12:29:07 »

Citation de: vivien le 09 août 2019 à 10:18:48

L'entreprise n'a pas les compétences, les moyens financiers (mis à jour de matériel obsolète - IPv6 fonctionne sur Windows 2000, mais pas sur Windows 95) ou la volonté de le faire et là c'est le FAI qui prends le relais : il livre l'entreprise uniquement en IPv4 mais avec un DNS46+NAT46. J'explique ci-dessous le fonctionnement du DNS46+NAT46 et ses limites.

Ou bien, ce qui va vraiment se passer :

- On va continuer à faire du Dual Stack pendant 15 ans, parce que si c'est pour devoir maintenir de l'IPv4 en bordure, chez le client, et sur des CGN entre les deux, autant la maintenir de bout en bout pour ne pas se prendre la tête avec des mécanismes d'encapsulations.

je ne comprends pas ton acharnement a vouloir éteindre IPv4 dans le backbone. C'est clairement pas le plus compliqué pour nous, FAI.

Optix · « **Réponse #198 le:** 09 août 2019 à 12:35:26 »

Citation de: Florian le 09 août 2019 à 10:53:00

Et comment tu fais quand tu as des équipements qui ont des limitations en IPv6 ? Exemple même en R80.20, pas mal de fonctions sautent en IPv6 sur les firewall Checkpoint... Et faire s'arrêter le flux ipv6 avant n'aurait pas grand sens dans pas mal de cas... Il doit y'avoir pas mal d'autres produits / constructeurs dans la même situation, où l'ipv6 est "supportée", mais d'une manière tellement limité que ce n'est pas exploitable derrière.

Tout ça pour dire que ce n'est pas juste une histoire de volonté ou de budget, parfois les boites / administrations attendent aussi que le reste de l'éco système évolue.

Dans ces cas-là, on propose le nôtre (nos CPE c'est du Mikrotik, ils font aussi firewall) et on leur créé un accès admin à eux pour qu'ils puissent le manipuler. Et comme c'est du matos destiné à rester longtemps, en général ça se passe bien pour profiter de l'installation de la fibre pour faire le ménage dans les équipements.

Florian · « **Réponse #199 le:** 09 août 2019 à 13:26:01 »

Ok, je vois l'idée, vous accompagnez vraiment vos clients, c'est très respectable

(Cela dit, si un client accepte de remplacer du Checkpoint par du Mikrotik, c'est qu'il n'avait pas vraiment besoin de CP en premier lieu IMO. Ouais mikrotik fait aussi pare feu, mais c'est simpliste comparé à ce que permet de faire des checkpoints. Enfin on derive du sujet).

Il restera des cas ou le matos ne suit pas, je reste sur mon exemple de checkpoint car c'est un cas que je "connais" relativement. Et ce n'est pas un petit fabriquant.

vivien · « **Réponse #200 le:** 09 août 2019 à 13:47:14 »

Citation de: Leon le 09 août 2019 à 11:00:06

Citation de: vivien le 09 août 2019 à 10:18:48
Pour profiter de gains d'#IPv6, il faut achever la transition (100% IPv6 coté FAI).
Tant qu'un nombre significatif de clients n'ont pas d'IPv6, les hébergeurs devront fournir des IPv4.
La réciproque est également valable, non?
Tant qu'un nombre significatif de "fournisseurs de contenu/hébergeurs" (petits ou gros) n'ont pas du tout déployé d'IPv6, les FAI doivent maintenir une connectivité IPv4.

Bien sur, en théorie l'inverse est possible (et les FAI préféreraient attendre que tous les sites soient en IPv6 pour proposer de l'IPv6 en remplaçant d'IPv4, sans avoir a passer par du dual-stack).

Maintenant il est plus facile d'avoir tous les FAI qui fournissent de l'IPv6 que d'avoir tous les fournisseurs de contenus (sachant que le fait que hébergeur propose de l'IPv6 n'est pas suffisant, quand il ne gère pas le DNS, il faut convaincre celui qui a la main sur le DNS de mettre une entrée AAAA)

Chaque acteur préfère retarder au maximum la bascule en dual-stack.

"IPv6, c'est à eux de commencer et puis après les autres suivront" :

Leon · « **Réponse #201 le:** 09 août 2019 à 14:29:17 »

Citation de: vivien le 09 août 2019 à 13:47:14

Maintenant il est plus facile d'avoir tous les FAI qui fournissent de l'IPv6 que d'avoir tous les fournisseurs de contenus (sachant que le fait que hébergeur propose de l'IPv6 n'est pas suffisant, quand il ne gère pas le DNS, il faut convaincre celui qui a la main sur le DNS de mettre une entrée AAAA)

Si par "FAI" tu entends les FAI grand public, souvent très gros, alors oui, je suis d'accord avec toi.

Mais ça n'est pas mon analyse, il faut étudier la chose au delà des FAI grand public, car les utilisateurs finaux d'internet ne sont pas tous rattachés à un gros FAI, loin de là.
Pour moi, il faut étudier tous les réseaux d'accès d'utilisateurs finaux : gros FAI, petits FAI, opérateurs mobiles, opérateurs WiFi, PME, grandes entreprises.
Et pour moi, cette catégorie "réseau d'accès d'utilisateurs finaux" n'est pas plus facile à migrer vers IPv6 que l'autre catégorie "hébergeurs/fournisseurs de contenu".
Dans les 2 cas on a une foultitude de réseaux très différent (ne serait-ce qu'en taille) qui n'ont pas tous la même politique, la même volonté, les mêmes moyens (humains et matériels).

Leon.

vivien · « **Réponse #202 le:** 09 août 2019 à 14:56:09 »

Je parle bien de tous les FAI (une centaine en France) vs 3 millions de sites web en .fr

Pour la complexité en entreprise, en cas de non migration vers IPv6, je pense au contournement DNS46+NAT46 coté FAI :

Citation de: vivien le 09 août 2019 à 10:18:48

La seconde étape est de finaliser le déploiement chez tous les FAI, même coté entreprise :
En effet, il y a des blocages, notamment dans les entreprises de plus de 1000 salariés, celles qui ont quelques équipements telecom en propre. Je cite Hugues "On ne peut pas former tous les intégrateurs à utiliser v6, c’est illusoire..."

Deux solutions :
- L'entreprise fait ça proprement : Elle déploie du dual-stack (IPv4+IPv6) sur ses postes ou pour celles qui ont un proxy, connectent le proxy à l'Internet en IPv4 + IPv6.
- L'entreprise n'a pas les compétences, les moyens financiers (mis à jour de matériel obsolète - IPv6 fonctionne sur Windows 2000, mais pas sur Windows 95) ou la volonté de le faire et là c'est le FAI qui prends le relais : il livre l'entreprise uniquement en IPv4 mais avec un DNS46+NAT46. J'explique ci-dessous le fonctionnement du DNS46+NAT46 et ses limites.

Optix · « **Réponse #203 le:** 09 août 2019 à 15:14:04 »

Citer

Maintenant il est plus facile d'avoir tous les FAI qui fournissent de l'IPv6 que d'avoir tous les fournisseurs de contenus (sachant que le fait que hébergeur propose de l'IPv6 n'est pas suffisant, quand il ne gère pas le DNS, il faut convaincre celui qui a la main sur le DNS de mettre une entrée AAAA)

Pas tellement d'accord.

On a bien réussi à faire adopter HTTPS sur une multitude de sites web à une bonne vitesse. J'estime qu'un OVH ou un Online peut très bien faire écouter leurs apache/nginx en IPv6 et créer les AAAA à leur convenance pour convertir d'un coup des millions de sites web.