Auteur Sujet: Hébergeurs: Les solutions pour proposer IPv6 activé par défaut  (Lu 8277 fois)

0 Membres et 1 Invité sur ce sujet

OSCARP

  • Abonné Free fibre
  • *
  • Messages: 52
  • NANTES (44300)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #12 le: 20 février 2019 à 16:46:37 »
Je ferais attention a distinguer FAI grand public et hébergeur comme Scaleway/Online.

Les problématiques ne sont pas les memes. L'impact non plus.

L'IPv6 chez Online est très bien (block /48, découpable en /56 avec distribution du routage par DHCPv6-PD). Techniquement c'est quasi le mieux.

Le souci c'est le manque de compétence et d'informations des clients d'Online. Leur faciliter les choses avec SLAAC peut aider mais ce n'est pas la bonne solution a long terme. Ce qu'il manque c'est une bonne documentation qui explique "comme ca marche" de leur coté et pas l'actuelle qui se contente de survoler la configuration de tel ou tel OS sans expliquer les choses et sans utiliser les bons termes.

Le SLAAC tel que présent dans la console Online c'est juste bon pour avoir un accès 'technique' en IPv6 (= ssh ) a son serveur pour ensuite le configurer correctement avec DHCPv6.

Apres pour un usage simpliste d'un serveur, le SLAAC peut suffire aussi mais a moyen/long terme je ne suis pas convaincu que l'avenir soit la. L'avenir pour ce type d'usage sera plutôt supporté par un serveur managé ou un service managé (web ou autre) par le provider. C'est donc ce dernier qui gérera la conf de l'IPv6.

Maintenant si 99% des clients d'Online ont un usage 'simpliste' de leur serveur l'impact peut-être grand...si c'est le cas, on est dans une situation de 'mauvais ciblage': l'ingénierie a mis au point un beau système IPv6 (/48, /56 et DHCPv6-PD) mais totalement disproportionné par rapport a la cible...

Dans tout les cas, je vois mal les gens continuer a gérer eux meme leur serveur Linux (ou autre) au niveau OS comme une tendance positive du marché, c'est plus un truc du passé. Les efforts d'investissement d'un hébergeur ne doivent plus aller dans ce sens, d'ailleurs ce n'est pas pour rien que Scaleway (Cloud) englobe maintenant Online (plus traditionnel).

De la à dire très bien, je sais pas. Je préfère que l'on me donne un block comme OVH et que je puisse attribuer moi même les IPv6 sur les VM. Chez Online tu essais de mettre une IPv6 sur tes VM derrière un pfsense, c'est un parcours du combattant avec l'ancien système (DHCP IPv6)


kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #13 le: 20 février 2019 à 17:07:39 »
c'est un parcours du combattant avec l'ancien système (DHCP IPv6)

ancien système ?!

OSCARP

  • Abonné Free fibre
  • *
  • Messages: 52
  • NANTES (44300)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #14 le: 20 février 2019 à 17:16:15 »
Oui système toujours actuel. C’était juste historiquement parlant par rapport à SLAAC chez Online.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #15 le: 20 février 2019 à 18:25:52 »
Moi je vois par défaut un /128 sur chaque serveur avec possibilité pour ceux que ont le besoin de demander un /48.

C'est une méthode qui fonctionnera même quand IPv4 n'existera plus.

L'idée est de se limiter à faire ce que fait IPv4 aujourd'hui.

Je note par contre une régression par rapport à IPv4 : pas de reverse-DNS sur ce /128 SLAAC.
Cela pose problème pour envoyer des mails : par défaut les mails vers Gmail partent en IPv6 et seront classés comme du SPAM (j'en ai fait l'expérience avec uniquement un reverse sur l'IPv4 sur ce forum il y a quelques années)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #16 le: 20 février 2019 à 19:32:09 »

C'est une méthode qui fonctionnera même quand IPv4 n'existera plus.

L'idée est de se limiter à faire ce que fait IPv4 aujourd'hui.


sauf qu'IPv6 SLAAC sur un /128 est bien plus limité qu'une seule IPv4. C'est tout le problème. L'equivalent d'une seul IPv4 est au minimum un /64, c'est ce que propose Vultr par exemple ( cf https://www.vultr.com/docs/configuring-ipv6-on-your-vps ) et que devrait proposer n'importe quel hébergeur avec un peu de bon sens...pourquoi OVH et Online limitent a un /128 ?! c'est juste incompréhensible.

Donc a l'arrivée, c'est soit trop compliqué pour l'utilisateur 'qui ne veut pas faire d'effort pour aborder IPv6 proprement' soit c'est trop restrictif.

bref ca n'aide pas la "cause d'IPv6"

xuaeser

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 121
  • Villeurbanne (69)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #17 le: 20 février 2019 à 20:26:18 »
J'étais persuadé que le SLAAC ne fonctionnait que sur des /64. Je vois tout le monde parler de /128 attribué en SLAAC, J'ai loupé qqch ? :)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #18 le: 20 février 2019 à 20:27:12 »
Le masque est en /64, mais tu n'as qu'un /128 qui t'est alloué.

xuaeser

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 121
  • Villeurbanne (69)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #19 le: 20 février 2019 à 21:59:53 »
Le principe du SLAAC c'est que c'est pas une allocation (comment en DHCP), mais une auto-configuration.
Le routeur fournis via les RA les 64 bits de poids fort du subnet. L'hôte choisi/génère les 64 bits de poids faible.
Du coup je comprends pas du tout cette notion "d'allouer" un /128 en SLAAC, y compris donnée dans la doc Scaleway.
Pour moi le SLAAC ne fonctionne qu'en /64, et donc on a forcèment tout un /64 de dispo.... a moins qu'ils ne mettent plusieurs serveurs, appartenant à des clients différents, dans le même /64 ??! (avec un filtre pour n'autoriser que les adresses générés avec comme base l'EUI-64 (dérivées de l'adresse mac) à accéder au réseau (ou entrée ndp en statique)) ?
Si c'est ça, c'est quand même assez triste...

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #20 le: 20 février 2019 à 22:04:05 »
Ils t'allouent la v6 correspondant à ta MAC. Tu ne peux pas en avoir d'autre

Si c'est ça, c'est quand même assez c'est triste...
Nope, c'est exactement comme ça qu'on doit gérer des assignations SLAAC :-)

Si tu veux plus d'IP, tu fais du DHCPv6-PD !

xuaeser

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 121
  • Villeurbanne (69)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #21 le: 20 février 2019 à 22:15:03 »
Ouai, sauf qu'il n'y a pas qu'une seule et unique manière de générer des adresses SLAAC. Il y a des méthodes qui n'utilisent pas l'adresse mac. Privacy extension, toussa. +rfc7217
Mais bon, c'est vrai que pour un serveur, c'est pas bien grave de faire fuiter son adresse MAC, ni d'avoir tout le temps les même 64 bits de poids faible !  Et effectivement, du moment que la méthode propre en DHCPv6-PD est disponible, ça va. Pas de quoi crier au scandale  :-*

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #22 le: 20 février 2019 à 22:28:58 »
Nope, c'est exactement comme ça qu'on doit gérer des assignations SLAAC :-)


euh non pas du tout. D'ailleurs il me semble que leur /128 ne respectent pas les RFC et autres recommendations du SLAAC.

Et en pratique, la meilleur méthode pour SLAAC sur serveur c'est l'ip token...et/ou les privacy extensions.


Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Hébergeurs: Les solutions pour proposer IPv6
« Réponse #23 le: 20 février 2019 à 22:50:58 »
Je voulais parler de SLAAC en utilisant juste EUI-64.

On ne va pas laisser des Privacy Extensions et autres joyeusetés inutiles sur un serveur, dans un LAN partagé. EUI-64 rend les IP prédictibles, c'est facile à implèmenter côté ACL, etc...