Auteur Sujet: IPv6 sur le LAN d'une entreprise  (Lu 10970 fois)

0 Membres et 1 Invité sur ce sujet

val0308

  • Abonné SFR fibre FttH
  • *
  • Messages: 11
  • Rouen 76
IPv6 sur le LAN d'une entreprise
« le: 19 février 2021 à 12:56:14 »
Bonjour à tous,

je vous sollicite pour avoir des conseils et un retour d'expérience

Au sein de mon entreprise je suis actuellement le seul à sortir sur internet en IPv6 et j'aimerais bien que ce soit le cas pour nos +600 postes clients.

Notre FAI (OBS) nous fournit des adresses IPv6, le plus simple serait d'utiliser une partie de ces IPv6 pour adresser nos postes clients au travers de notre DHCP.
Néamoins je me pose certaines questions, notamment pour nos serveurs qui sont adressés statiquement, si demain nous changeons de FAI, le travail sur le DHCP va être rapide mais ce n'est pas le cas de nos +80 VMs.

J'ai pu voir qu'il existait des adresses privées en IPv6 mais je me vois mal devoir NATer pour sortir sur internet avec une adresse publique distribuée par notre FAI, je ne trouve pas ça propre.
J'ai aussi pensé au fait que l'on pouvait obtenir nos propres IPv6 au travers de l'obtention de ressources auprès d'un LIR ou directement depuis OBS, si il le propose.

Suite aux questions que je me pose j'aimerais savoir comment vous avez procédé dans vos entreprises ou chez vos clients ?

Merci par avance pour vos retours :)

force-pc

  • Abonné FAI autre
  • *
  • Messages: 15
  • + Wimax sur Courchamp (77)
IPv6 sur le LAN d'une entreprise
« Réponse #1 le: 19 février 2021 à 21:30:56 »
Je pense que la bonne pratique est d'utiliser la plage fc00::/7 pour ton réseau interne et d'utiliser la plage que t'alloue OBS pour sortir sur internet.
C'est en tout cas ce que j'ai fait sur mon réseau personnel. Curieux de savoir ce que les pros recomandent.
Chaque poste a donc au minimum 3 IPV6, une link-local fe80::/10, une ULA fc00::/7 et une global unicast 2000::/3

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
IPv6 sur le LAN d'une entreprise
« Réponse #2 le: 19 février 2021 à 21:34:50 »
Force-pc a très bien résumé, c'est clair, net précis :)

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur le LAN d'une entreprise
« Réponse #3 le: 19 février 2021 à 21:43:04 »
Je pense que la bonne pratique est d'utiliser la plage fc00::/7 pour ton réseau interne et d'utiliser la plage que t'alloue OBS pour sortir sur internet.
C'est en tout cas ce que j'ai fait sur mon réseau personnel. Curieux de savoir ce que les pros recomandent.
Chaque poste a donc au minimum 3 IPV6, une link-local fe80::/10, une ULA fc00::/7 et une global unicast 2000::/3

Tout pareil.

Le seul truc que j'ai envie d'ajouter, c'est que si les VM ne doivent pas être accédées de l'extérieur et que seul du trafic HTTP/FTP vers l'extérieur est nécessaire (pour les mises à jour via apt par exemple), on peut se permettre de ne pas mettre de GUA, et donc de n'attribuer que des ULA. Ensuite, il faut passer par un proxy qui lui aura une adresse ULA et une adresse GUA.

Ça fait un peu usine à gaz, mais ça permet de ne jamais toucher la conf des VM en cas du changement d'opérateur (sauf le proxy évidemment).

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
IPv6 sur le LAN d'une entreprise
« Réponse #4 le: 19 février 2021 à 22:18:00 »
Les ULA sont pas désuètes / déconseillées ?

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur le LAN d'une entreprise
« Réponse #5 le: 19 février 2021 à 22:31:15 »
Les ULA sont pas désuètes / déconseillées ?

Par qui ?

En tout cas, la RFC 4193 est toujours active : https://tools.ietf.org/html/rfc4193

Il existe même un registre non officiel qui recense les préfixes utilisés (pour éviter d'utiliser les mêmes) : https://ula.ungleich.ch/

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 260
  • Antibes (06) / Mercury (73)
IPv6 sur le LAN d'une entreprise
« Réponse #6 le: 20 février 2021 à 04:45:36 »
Les ULA sont pas désuètes / déconseillées ?
Tu dois confondre avec les addresses « site-local » (fec0::/10), qui, elles, sont effectivement officiellement dépréciées.

Sinon pour revenir au sujet, j’ai aussi un double adressage (ULA + GUA) sur mon réseau (perso) pour pallier aux possibles changements de préfixe fourni par Orange, mes VM récupèrent leur préfixe GUA par SLAAC et je publie automatiquement si nécessaire les enregistrements AAAA pour les adresses GUA sur mon DNS autoritaire externe (chez cloudflare).

Dans mon DNS interne j’enregistre uniquement les adresses ULA, qui sont fixes du coup. D’ailleurs je ne publie même plus d’enregistrement A dans mon DNS interne, la quasi totalité de mon trafic interne est uniquement en IPv6.

Tout ça est sans doute applicable dans un contexte d’entreprise, avec l’avantage non négligeable que le préfixe ne change que si on change d’opérateur.

Johannol

  • Abonné SFR THD (câble)
  • *
  • Messages: 1 148
  • Nantes 44
IPv6 sur le LAN d'une entreprise
« Réponse #7 le: 20 février 2021 à 14:30:40 »
 :-*
Et bien merci les gas, en quelques posts, j'ai l'impression qu'en avoir + appris sur l'IPv6 "comment faire chez soi" qu'avec les guides que j'avais regardés, et qui étaient un peu... soit trop théorique simpliste, ou à l'inverse dédiés à l'administrateur réseau et système en 450 pages.

Dit un peu autrement, lorsque j'avais une connectivité IPv6 dans mon ancien appart, j'aurai bien aimé avoir un guide pour expliquer comment configurer un lan d'appartement, qui peut ressembler à celui d'une PME parfois, avec un plan d'adressage de base, avec:
- Ce qu'il faut faire pour les machines non exposés sur internet (avoir une link-local fe80::/10 et une ULA fc00::/7 )
- Ce qu'il faut faire pour les machines exposés sur internet (ajouter en + une global unicast 2000::/3 avec l'utilisation du préfix du FAI? ou un GUA?)
- Ce qu'il faut faire pour les conf de communication à l'intérieur de son LAN (utiliser les fe80 ou fc00 pour se prémunir des changements de FAI ?)
- Peut-être les problèmes de compatibilité liés aux box, et limites imposés par les FAI, qui empêchent peut-être certaines choses, comme un GUA indépendant ?
etc etc...

Je n'ai pas vraiment d'urgence vu que ma box SFR ne supporte même pas un ping6 sur mon LAN  ::), mais ça serait bien que le niveau "application chez soi" se répande vers les non spécialistes réseaux, mais vrai techniciens du dimanche chez les copains, amis, famille, etc... sinon le NAT IPV4 aura la vie dure.


lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur le LAN d'une entreprise
« Réponse #8 le: 20 février 2021 à 14:58:27 »
- Ce qu'il faut faire pour les machines exposés sur internet (ajouter en + une global unicast 2000::/3 avec l'utilisation du préfix du FAI? ou un GUA?)

Une GUA, ou Global Unicast Address, est une adresse routable sur Internet. Ce n'est pas toi qui va la choisir (du moins son préfixe), car elle dépend de ton opérateur.

Tu ne peux pas utiliser une adresse IPv6 GUA qui n'appartient pas au préfixe que ton opérateur te délègue.

Exemple fictif :
A une époque, Orange m'avait attribué le préfixe suivant 2001:DB8:1234:5600::/56.

Ça voulait donc dire que sur mes appareils avaient au plus 3 adresses IPv6 :
- une link-local, en fe80::/10
- une ULA, pour mes besoins internes, genre FD01:2345:6789:ABCD::1111/64
- une GUA, pour les appareils devant accéder à Internet, piochée parmi le préfixe fourni par Orange. donc une adresse entre 2001:DB8:1234:5600::0 et 2001:DB8:1234:56FF:FFFF:FFFF:FFFF:FFFF

PS : en vrai, c'est un peu plus compliqué que ça, car je ne parle pas des sous-réseaux. Par exemple, Orange t'attribue bien un /56, mais seul le premier sous-réseau de taille /64 est disponible, donc les adresses disponibles se limitent à la plage 2001:DB8:1234:5600::0/64 et 2001:DB8:1234:5600:FFFF:FFFF:FFFF:FFFF/64

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 260
  • Antibes (06) / Mercury (73)
IPv6 sur le LAN d'une entreprise
« Réponse #9 le: 20 février 2021 à 17:09:34 »
Orange t'attribue bien un /56, mais seul le premier sous-réseau de taille /64 est disponible
Sauf évidemment si tu vires la box.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
IPv6 sur le LAN d'une entreprise
« Réponse #10 le: 20 février 2021 à 22:20:34 »
Sauf évidemment si tu vires la box.

Exact, tu peux PD ton /56 avec un routeur perso, sans souci.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur le LAN d'une entreprise
« Réponse #11 le: 20 février 2021 à 22:26:14 »
Exact, tu peux PD ton /56 avec un routeur perso, sans souci.
Sauf évidemment si tu vires la box.

Yes  ;)

D'ailleurs, ça s'applique aussi aux routeurs fournis par OBS ? (Est-ce une Livebox Pro ou autre chose ?)