La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: val0308 le 19 février 2021 à 12:56:14
-
Bonjour à tous,
je vous sollicite pour avoir des conseils et un retour d'expérience
Au sein de mon entreprise je suis actuellement le seul à sortir sur internet en IPv6 et j'aimerais bien que ce soit le cas pour nos +600 postes clients.
Notre FAI (OBS) nous fournit des adresses IPv6, le plus simple serait d'utiliser une partie de ces IPv6 pour adresser nos postes clients au travers de notre DHCP.
Néamoins je me pose certaines questions, notamment pour nos serveurs qui sont adressés statiquement, si demain nous changeons de FAI, le travail sur le DHCP va être rapide mais ce n'est pas le cas de nos +80 VMs.
J'ai pu voir qu'il existait des adresses privées en IPv6 mais je me vois mal devoir NATer pour sortir sur internet avec une adresse publique distribuée par notre FAI, je ne trouve pas ça propre.
J'ai aussi pensé au fait que l'on pouvait obtenir nos propres IPv6 au travers de l'obtention de ressources auprès d'un LIR ou directement depuis OBS, si il le propose.
Suite aux questions que je me pose j'aimerais savoir comment vous avez procédé dans vos entreprises ou chez vos clients ?
Merci par avance pour vos retours :)
-
Je pense que la bonne pratique est d'utiliser la plage fc00::/7 pour ton réseau interne et d'utiliser la plage que t'alloue OBS pour sortir sur internet.
C'est en tout cas ce que j'ai fait sur mon réseau personnel. Curieux de savoir ce que les pros recomandent.
Chaque poste a donc au minimum 3 IPV6, une link-local fe80::/10, une ULA fc00::/7 et une global unicast 2000::/3
-
Force-pc a très bien résumé, c'est clair, net précis :)
-
Je pense que la bonne pratique est d'utiliser la plage fc00::/7 pour ton réseau interne et d'utiliser la plage que t'alloue OBS pour sortir sur internet.
C'est en tout cas ce que j'ai fait sur mon réseau personnel. Curieux de savoir ce que les pros recomandent.
Chaque poste a donc au minimum 3 IPV6, une link-local fe80::/10, une ULA fc00::/7 et une global unicast 2000::/3
Tout pareil.
Le seul truc que j'ai envie d'ajouter, c'est que si les VM ne doivent pas être accédées de l'extérieur et que seul du trafic HTTP/FTP vers l'extérieur est nécessaire (pour les mises à jour via apt par exemple), on peut se permettre de ne pas mettre de GUA, et donc de n'attribuer que des ULA. Ensuite, il faut passer par un proxy qui lui aura une adresse ULA et une adresse GUA.
Ça fait un peu usine à gaz, mais ça permet de ne jamais toucher la conf des VM en cas du changement d'opérateur (sauf le proxy évidemment).
-
Les ULA sont pas désuètes / déconseillées ?
-
Les ULA sont pas désuètes / déconseillées ?
Par qui ?
En tout cas, la RFC 4193 est toujours active : https://tools.ietf.org/html/rfc4193
Il existe même un registre non officiel qui recense les préfixes utilisés (pour éviter d'utiliser les mêmes) : https://ula.ungleich.ch/
-
Les ULA sont pas désuètes / déconseillées ?
Tu dois confondre avec les addresses « site-local » (fec0::/10), qui, elles, sont effectivement officiellement dépréciées.
Sinon pour revenir au sujet, j’ai aussi un double adressage (ULA + GUA) sur mon réseau (perso) pour pallier aux possibles changements de préfixe fourni par Orange, mes VM récupèrent leur préfixe GUA par SLAAC et je publie automatiquement si nécessaire les enregistrements AAAA pour les adresses GUA sur mon DNS autoritaire externe (chez cloudflare).
Dans mon DNS interne j’enregistre uniquement les adresses ULA, qui sont fixes du coup. D’ailleurs je ne publie même plus d’enregistrement A dans mon DNS interne, la quasi totalité de mon trafic interne est uniquement en IPv6.
Tout ça est sans doute applicable dans un contexte d’entreprise, avec l’avantage non négligeable que le préfixe ne change que si on change d’opérateur.
-
:-*
Et bien merci les gas, en quelques posts, j'ai l'impression qu'en avoir + appris sur l'IPv6 "comment faire chez soi" qu'avec les guides que j'avais regardés, et qui étaient un peu... soit trop théorique simpliste, ou à l'inverse dédiés à l'administrateur réseau et système en 450 pages.
Dit un peu autrement, lorsque j'avais une connectivité IPv6 dans mon ancien appart, j'aurai bien aimé avoir un guide pour expliquer comment configurer un lan d'appartement, qui peut ressembler à celui d'une PME parfois, avec un plan d'adressage de base, avec:
- Ce qu'il faut faire pour les machines non exposés sur internet (avoir une link-local fe80::/10 et une ULA fc00::/7 )
- Ce qu'il faut faire pour les machines exposés sur internet (ajouter en + une global unicast 2000::/3 avec l'utilisation du préfix du FAI? ou un GUA?)
- Ce qu'il faut faire pour les conf de communication à l'intérieur de son LAN (utiliser les fe80 ou fc00 pour se prémunir des changements de FAI ?)
- Peut-être les problèmes de compatibilité liés aux box, et limites imposés par les FAI, qui empêchent peut-être certaines choses, comme un GUA indépendant ?
etc etc...
Je n'ai pas vraiment d'urgence vu que ma box SFR ne supporte même pas un ping6 sur mon LAN ::), mais ça serait bien que le niveau "application chez soi" se répande vers les non spécialistes réseaux, mais vrai techniciens du dimanche chez les copains, amis, famille, etc... sinon le NAT IPV4 aura la vie dure.
-
- Ce qu'il faut faire pour les machines exposés sur internet (ajouter en + une global unicast 2000::/3 avec l'utilisation du préfix du FAI? ou un GUA?)
Une GUA, ou Global Unicast Address, est une adresse routable sur Internet. Ce n'est pas toi qui va la choisir (du moins son préfixe), car elle dépend de ton opérateur.
Tu ne peux pas utiliser une adresse IPv6 GUA qui n'appartient pas au préfixe que ton opérateur te délègue.
Exemple fictif :
A une époque, Orange m'avait attribué le préfixe suivant 2001:DB8:1234:5600::/56.
Ça voulait donc dire que sur mes appareils avaient au plus 3 adresses IPv6 :
- une link-local, en fe80::/10
- une ULA, pour mes besoins internes, genre FD01:2345:6789:ABCD::1111/64
- une GUA, pour les appareils devant accéder à Internet, piochée parmi le préfixe fourni par Orange. donc une adresse entre 2001:DB8:1234:5600::0 et 2001:DB8:1234:56FF:FFFF:FFFF:FFFF:FFFF
PS : en vrai, c'est un peu plus compliqué que ça, car je ne parle pas des sous-réseaux. Par exemple, Orange t'attribue bien un /56, mais seul le premier sous-réseau de taille /64 est disponible, donc les adresses disponibles se limitent à la plage 2001:DB8:1234:5600::0/64 et 2001:DB8:1234:5600:FFFF:FFFF:FFFF:FFFF/64
-
Orange t'attribue bien un /56, mais seul le premier sous-réseau de taille /64 est disponible
Sauf évidemment si tu vires la box.
-
Sauf évidemment si tu vires la box.
Exact, tu peux PD ton /56 avec un routeur perso, sans souci.
-
Exact, tu peux PD ton /56 avec un routeur perso, sans souci.
Sauf évidemment si tu vires la box.
Yes ;)
D'ailleurs, ça s'applique aussi aux routeurs fournis par OBS ? (Est-ce une Livebox Pro ou autre chose ?)
-
On parle de l'adressage, que j'ai plutôt bien compris.
Par contre quid du DHCP en IPv6.
Il en parle dans son premier post. Dans une entreprise, la philosophie c'est de le garder aussi en IPv6 ou on est plutôt pour ne pas faire de DHCP (SLAAC ?)
Par exemple pour un réseau local de particulier, je suis plutôt sans DHCP. Quels avantages/inconvénient ?
-
DHCP ca fait un service en plus à maintenir, donc une possibilité de failure supplémentaire.
Avec SLAAC, pas besoin d'une machine ou d'un routeur pour gérer l'adressage du segment : les postes eux-mêmes s'arrangent entre eux pour ça.
-
Oui mais tu peux utiliser DHCPv6 en mode stateless pour palier au fait que certains OS ne savent pas tirer partie de la configuration DNS publiée dans les RA.
-
Ne pas chercher a répliquer ce qu'on fait en IPv4. IPv6 n'aurait pas du s'appeler IPv6, ce n'est pas une "évolution" d'IPv4 c'est différent.
Il faut bien 'reset ses réflexes' et "penser" IPv6 et pas transposer IPv4.
600+ postes ... si y'a des sous-réseaux il faut distribuer des préfixes avec du DHCPv6-PD entre routeurs de facon a propager automatiquement tout changement du prefix racine fournit par l'opérateur. Mais dans le cadre d'une entreprise on peut aussi demander un bloc ASSIGNED PI (provider independant) directement pour soi (https://www.ripe.net/publications/ipv6-info-centre/deployment-planning/obtain-and-register-ipv6) et le faire router par un ou plusieurs opérateurs (ce qui permet de la redondance de routage et/ou du load balancing). Comme ça le bloc est lié a jamais a la société et ne changera pas avec l'opérateur. La demande d'un ASSIGNED PI se fait via son opérateur ou dans certains cas directement avec le RIPE. Cela a surtout un intérêt si on héberge des services accessibles de l'extérieur sans utiliser un cloud public ou un service frontal comme Cloudflare (ou solution maison de reverse proxy).
Ensuite on distribue des sous-préfixes de son bloc via DHCPv6-PD.
Ne pas faire de DHCPv6 statefull pour les postes ou sauf si vraiment on n'a pas le choix.
SLAAC + éventuellement DHCPv6 stateless (mais que si besoin des options non supportées par SLAAC, genre des options Active Directory ou de téléphonie).
SLAAC avec "ip token" pour les VMs/serveurs.
Ne pas hésiter à mettre plusieurs GUA ou ULA sur une même machine (on ne manque pas d'IPv6 meme publiques...).
On peut 'bind' chaque service a une IPv6 dédiée plutôt que bind a toutes les IPs de la machine comme on fait souvent par défaut. Cela permet de lier un service a une adresse et déplacer le service sur une autre machine sans changer l'adresse (plus de délai cache dns , mémorisation).
ULA+GUA permet aussi de faire de la sécurité simple: on ouvrira (bind) un serveur intranet que sur sa LUA par exemple et pas sur sa GUA. Avoir 2 GUA, une que pour un service en écoute l'autre pour sortir sur le Net permet aussi d'avoir plus de sécurité (l'adresse d'écoute est offusquée et peut-être géré sur le firewall différemment de l'autre adresse).
Il faut juste 'repenser' le tout avant et faire attention comment on lance les services sensibles qui écoutent sur des ports.
Utiliser des "reverse proxy" en amont simplifient les choses aussi.
Apres rien n'oblige à faire ULA+GUA, on peut tout faire en GUA et gérer la sécurité au(x) 'border(s)' du réseau (firewall & vpn notamment) ou a niveau applicatif. C'est souvent plus simple et sur. Choisir une stratégie de sécurité avant de faire un plan d'adressage.
Bref cela dépend beaucoup du contexte de chaque entreprise.
De plus en plus de sociétés n'ont quasi plus que des postes & imprimantes sur leur LAN donc pas la peine de faire compliquer (ca peut faire peur d'exposer son serveur Intranet en IPv6 public mais avec une bonne authentification 2FA cela n'est pas moins sécurisé qu'un accès VPN sur un serveur intranet avec IP privée comme on voit trop souvent en ce moment- c'est en fait comparable a GDrive ou OneDrive). Internet au début était comme cela, toutes les machines avaient une IPv4 public. C'est l'invention du NAT qui a introduit de la confusion et ce mélange malsain sécurité/ip privées/NAT/plan d'adressage réseau.
Du coup pour le télétravailleur chez lui ou au bureau c'est pareil au niveau de son poste.Y'a pas de session VPN (et de coûts associés) ou autres. Les locaux physiques ou chez soi c'est pareil vu des ressources serveurs.
Franchement la sécurité au niveau 3 (IP) via des cloisonnement d'adresses privées et/ou des access-list c'est un peu le passé vu l'évolution des architectures et des usages. Prendre cela en compte en passant a IPv6 permet de simplifier son déploiement.
Dernier point: le dual stack n'est pas forcement ce qu'il y a de mieux. Passer a IPv6 en gardant IPv4 n'apporte pas grand chose si ce n'est du travail en double a tout les niveaux. Pas mal de sociétés attendent (certaines se lancent déjà même) de faire de l'"IPv6 pur" avec éventuellement un sous LAN 'IPv4 only' pour les équipements & services non compatibles et une passerelle DNS64+NAT64 pour y accéder.
-
Merci pour vos retours, j'y vois désormais plus clair
-
Super réponse kgersen, c'est le genre de post que j'aurais aimé lire avant de devoir trouver tout cela par moi même. Bon, après je n'ai de l'expérience que sur mon réseau local...
Apres rien n'oblige à faire ULA+GUA, on peut tout faire en GUA et gérer la sécurité au(x) 'border(s)' du réseau (firewall & vpn notamment) ou a niveau applicatif. C'est souvent plus simple et sur. Choisir une stratégie de sécurité avant de faire un plan d'adressage.
Oui, moi je voyais plus la chose comme cela, ça évite de retomber dans le cas où on doit choisir des adresses IP locales, et puis ensuite se coordonner via https://ula.ungleich.ch/ pour qu'elles soient globalement uniques :P
Autant utiliser le préfixe opérateur, avec un DNS local si besoin, et bloquer au niveau du pare-feu. Question: le search domain est-il encore d'actualité en IPv6? Je vois mal le donner en SLAAC? À moins que ça ne se fasse?
Ne pas chercher a répliquer ce qu'on fait en IPv4. IPv6 n'aurait pas du s'appeler IPv6, ce n'est pas une "évolution" d'IPv4 c'est différent.
Il faut bien 'reset ses réflexes' et "penser" IPv6 et pas transposer IPv4.
600+ postes ... si y'a des sous-réseaux il faut distribuer des préfixes avec du DHCPv6-PD entre routeurs de facon a propager automatiquement tout changement du prefix racine fournit par l'opérateur.
Quand on fait le plan d'adressage IPv6, on détermine plusieurs préfixes /64, pour chacun des sous-réseaux. Un routeur envoie des paquets "router advertisement" pour le SLAAC sur chacun des sous-réseaux. Chaque routeur demande la délégation de préfixe via IPv6-PD.
Après, j'ai tendance à dire: une IP par service. Personellement, je les mets tous dans le même /64, et l'IP configurée manuellement sur l'interface du serveur. Mais je ne sais pas si c'est la bonne pratique? Par exemple, si on bouge physiquement la machine sur la zone d'un autre /64, je ne saurais pas comment la rendre accessible simplement sans changer L'IP? À moins d'ajouter manuellement une règle de routage en sortie de réseau pour rediriger vers le bon routeur?
Merci pour la mention des assigned PI, je vais regarder cela.
-
Super réponse kgersen, c'est le genre de post que j'aurais aimé lire avant de devoir trouver tout cela par moi même. Bon, après je n'ai de l'expérience que sur mon réseau local...
Entièrement d'accord, IPv6 est encore que trop peu abordé dans les écoles/centres de formations et peu maitrisé par beaucoup de professionnels, entre tout ce qu'on peut lire de bon et mauvais c'est important d'avoir ces précisions qu'ont apportés kgersen ainsi que les autres membres sur ce sujet !
-
Hello tout le monde, je viens poser aussi ma question sur ce sujet fort intéressant :)
Depuis un petit moment je commence à m'intéresser à IPv6 (pour mon réseau local), j'ai bien lu vos conseils et je me pose une question concernant l'assignation des adresses. J'ai bien compris que pour les GUA, outre besoin spécifique il vaut mieux les laisser se configurer automatiquement. Du coup ma question concerne les ULA, qu'est ce que vous conseillez par rapport à celles-ci, les attribuer manuellement à chaque machine ou mettre en place un DHCPv6 ?
Merci d'avance pour les éclaircissements ;)
-
Hello tout le monde, je viens poser aussi ma question sur ce sujet fort intéressant :)
Depuis un petit moment je commence à m'intéresser à IPv6 (pour mon réseau local), j'ai bien lu vos conseils et je me pose une question concernant l'assignation des adresses. J'ai bien compris que pour les GUA, outre besoin spécifique il vaut mieux les laisser se configurer automatiquement. Du coup ma question concerne les ULA, qu'est ce que vous conseillez par rapport à celles-ci, les attribuer manuellement à chaque machine ou mettre en place un DHCPv6 ?
Merci d'avance pour les éclaircissements ;)
Salut,
Personnellement, je laisse les ULA se configurer avec SLAAC, sauf pour mes "services" (NAS par exemple) que je configure en statique, vu que je veux pouvoir y accéder facilement.
-
Un document de plus de 70 pages, dont l'auteur principal est Jean-Charles Bisecco, détaillant les différents points techniques de la mise en place d'IPv6 en entreprise va sortir en novembre 2021.
Il va être partagé dans quelques semaines au sein de la task force IPv6.
Je vous propose donc de vous inscrire (c'est Gratuit, c'est l'Arcep qui anime) à la Task-Force IPv6 en France (https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/suivi-epuisement-adresses-ipv4/appel-a-candidatures-pour-former-une-task-force-ipv6-en-france.html) pour avoir le document en avant première et surtout faire des retours pour l'enrichir avant sa publication.
-
Salut,
Personnellement, je laisse les ULA se configurer avec SLAAC, sauf pour mes "services" (NAS par exemple) que je configure en statique, vu que je veux pouvoir y accéder facilement.
D'accord je vois, je commence à comprendre le mécanisme, du coup il suffit de distribuer notre préfixe ULA dans le réseau visé, et tout le petit monde configure son IP.
Merci des précision ;)
Un document de plus de 70 pages, dont l'auteur principal est Jean-Charles Bisecco, détaillant les différents points techniques de la mise en place d'IPv6 en entreprise va sortir en novembre 2021.
Il va être partagé dans quelques semaines au sein de la task force IPv6.
Je vous propose donc de vous inscrire (c'est Gratuit, c'est l'Arcep qui anime) à la Task-Force IPv6 en France (https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/suivi-epuisement-adresses-ipv4/appel-a-candidatures-pour-former-une-task-force-ipv6-en-france.html) pour avoir le document en avant première et surtout faire des retours pour l'enrichir avant sa publication.
Merci pour le lien :D
-
Hello tout le monde, je viens poser aussi ma question sur ce sujet fort intéressant :)
Depuis un petit moment je commence à m'intéresser à IPv6 (pour mon réseau local), j'ai bien lu vos conseils et je me pose une question concernant l'assignation des adresses. J'ai bien compris que pour les GUA, outre besoin spécifique il vaut mieux les laisser se configurer automatiquement. Du coup ma question concerne les ULA, qu'est ce que vous conseillez par rapport à celles-ci, les attribuer manuellement à chaque machine ou mettre en place un DHCPv6 ?
Merci d'avance pour les éclaircissements ;)
la première question a se poser c'est : quel besoin fait que des ULA sont nécessaires ?
-
Éviter de se coltiner les changements de prefix ? Surtout chez Orange...
-
Éviter de se coltiner les changements de prefix ? Surtout chez Orange...
en quoi est-ce gênant si tout ton réseau se reconfigure automatiquement ?
Tu tapes des IPv6 a la main ?
et les ULA sont moins prioritaires que des IPv4 si on a les noms d'hôtes DNS en dual-stack. Donc mettre des ULA sans avoir des entrées DNS sans IPv4 ca ne sert quasi a rien (a moins qu'un usecase précis m'échappe).
et si on n'a qu'un seul segment lan, les link-local suffisent avec mDNS/LLMNR.
-
en quoi est-ce gênant si tout ton réseau se reconfigure automatiquement ?
Ça existe un truc normalisé qui update le prefix dans le DNS ?
-
la première question a se poser c'est : quel besoin fait que des ULA sont nécessaires ?
Ayant quelques services hébergés sur mon LAN, j'utilise un DNS local, du coup plus sympa d'avoir des ULA fixes pour le DNS. J'utilise aussi un reverse proxy donc pareil que pour le DNS, si les IPs changent il faut update les confs à chaque fois
-
Ça existe un truc normalisé qui update le prefix dans le DNS ?
normalisé non, pas que je sache mais un changement de prefix IPv6 étant rare on peut faire un simple script qui surveille tout changement du préfixe et met a jour des entrées DNS en conséquence.
Certains firewall savent gérer les changement de prefix (openwrt notamment: notation "::1234/-64" pour l'adresse , combiné a un ip token 1234 coté client https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples#dynamic_prefix_forwarding )?
Après y'a pas forcement besoin de mettre a la main en dur des adresses avec prefix dans le DNS. Souvent utiliser 'nomduserveroupc.local' suffit et marche directement...et pas besoin de serveur DNS autre qu'un simple forwarder.
Par exemple sur un scénario mono segment lan , mdns (zeroconf/avahi) peut-être intégré a un serveur DNS pour résoudre les noms du lan (typiquement avec nsswitch.conf ou la conf systemd-resolved pour faire un forward de la zone .local vers dns ou via un plugin si on utilise OpenDNS (https://coredns.io/explugins/mdns/)).
Pour le proxy c'est pareil voir plus simple puisqu'on aussi proxifier IPv6 vers IPv4 ou l'inverse donc des fois il suffit d'utiliser les link-local (soit avec mdns ou en ajoutant des link-local spécifiques qui ne bougeront pas (fe80::1%eth0 par exemple) ou utiliser .local.
bref y'a pas mal de solutions simples qui permettent de palier a un changement de prefix et évitent d'avoir recourt a des ULA , qui a mon avis, en pratique sont vraiment utiles si on a plusieurs segments LAN (ie si on veut router du trafic IPv6 privé entre LANs ou VLANs).
Certain firewall savent utiliser des noms d’hôte de facon dynamique plutôt que des IP (CSF je crois).
Sinon avec ip6tables on peut faire un script avec un ipset pour actualiser un changement de résolution ( => on utilise un "-match-set nomduset ..." dans les regles ip6tables et on actualise le set "nomduset" sur évenement de renouvellement dhcpv6-pd par exemple ou avec une surveillance programmée (genre toutes les minutes)). Mais c'est souvent plus simple d'avoir un script ip6tables qui prend le prefix en parametre et reset les regles et relance le script quand on détecte un changement de prefix.
Apres ce qu'il faut éviter c'est d'avoir ULA + IPv4 pour le même enregistrement DNS, style
nom A 192.168.1.15
nom AAAA fd12:3456:789a:1::15
A cause de la https://tools.ietf.org/html/rfc6724, dans 99% des cas c'est l'IPv4 qui primera du coup on se complique a configurer des ULA pour rien a moins d'avoir un stateless DHCPv6 pour distribuer, aux postes qui le supportent , un mécanisme de sélection différent ( https://tools.ietf.org/html/rfc7078 ).
Du coup faut virer quasi tout les A du DNS et n'avoir que des AAAA quand on a des ULA (ce n'est pas forcement un mal non plus mais faut juste le savoir). Ca peut poser des problèmes si on a encore des appareils qui n'ont pas IPv6.
Bref encore une fois faut chercher a transposer directement les habitudes dhcp+dns+firewall d'IPv4 a IPv6 et mais plutôt se documenter sur les approches différentes qu'on faire avec IPv6.
-
Merci pour les détails kgersen :)
bref y'a pas mal de solutions simples qui permettent de palier a un changement de prefix et évitent d'avoir recourt a des ULA , qui a mon avis, en pratique sont vraiment utiles si on a plusieurs segments LAN (ie si on veut router du trafic IPv6 privé entre LANs ou VLANs).
Effectivement, je suis dans ce cas, donc c'est pour ça que j'utilise des ULA. J'avoue ne pas m'être beaucoup renseigné d'autres alternatives comme mdns dans le cas où tu n'es que sur un seul sous-réseau.
-
Merci pour les détails kgersen :)
+1
Effectivement, je suis dans ce cas, donc c'est pour ça que j'utilise des ULA. J'avoue ne pas m'être beaucoup renseigné d'autres alternatives comme mdns dans le cas où tu n'es que sur un seul sous-réseau.
Idem, avec mon VPN je fais des résolutions/routage sur 2 LANs, bien qu'en pratique y'a un seul LAN de chaque côté.
-
bref y'a pas mal de solutions simples qui permettent de palier a un changement de prefix et évitent d'avoir recourt a des ULA , qui a mon avis, en pratique sont vraiment utiles si on a plusieurs segments LAN (ie si on veut router du trafic IPv6 privé entre LANs ou VLANs).
+1
Sur un LAN unique, des ULAs ne servent pas à grand chose : les link-local sont conçues pour ça, elles sont fixes et connues, autant les utiliser pour contacter une machine en local.
En revanche si on veut router différents VLANs privés, alors des ULA peuvent être une solution pour palier au changement de préfixe GUA du FAI
-
Les ULA sont moins prioritaire qu’IPv4 dans les règles de précédence actuelles (suite aux changement survenus dans la https://tools.ietf.org/html/rfc6724#section-10.3 ). IPv4 sera donc privilégié dans un environnement dual-stack.
L'ordre de priorité est IPv6 GUA, puis IPv4 et enfin IPv6 ULA. Mettre un serveur interne avec IPv4 et IPv6 ULA signifie qui sera utilisé en IPv4 a moins de passer sur tous les postes pour changer les priorités (sur client Linux c'est dans /etc/gai.conf).
Voici la solution recommandée par Jean-Charles Bisecco :
Solution préconisée, demandez votre préfixe PI en /48 auprès d’un LIR. Pas besoin de l’annoncer sur internet etc. Mais il vous permettra d’avoir un LAN avec un adressage unique et de ne pas rencontrer les problématiques de précédence.
Les paquets utilisant cet adressage sur le LAN (ULA ou PI non annoncé sur internet) doivent subir un NAT afin de sortir sur internet. Si en IPv4 on exploite du NAT44 + PAT avec table de session stateful, ici on va exploiter Network Prefix Translation v6 (NPTv6 | RFC 6296).
La Translation de préfixe change les premiers bits de l'adresse afin de faire correspondre un préfixe IPv6 à un autre de même taille. Aucun autre changement n’a lieu, tout est stateless.
Il suffira de mapper son préfixe privé /56 (ou autre taille) à celui public fournit par l’opérateur pour échanger sur internet tout en maitrisant son adressage interne. Il est possible de mapper un /56 interne à un morceau de /48 public routé, mais pas l’inverse évidement (d’où l’importance de ne pas prendre une plage trop grande sur son LAN)
Grâce à NPTv6, l’entreprise peut changer de fournisseur d’accès sans rien toucher en interne, de plus ça ne casse pas la découverte de taille maximale transmissible PMTU-D.
Reste une ombre au tableau, les protocoles encapsulant l’adresse dans le payload comme SIP, H323,… nécessiteront toujours l’emploi d’une Application Layer Gateway (ALG) correspondante sur l’équipement effectuant la translation. Comme en NAT44 les ALG peuvent êtres un vecteur d’attaque, voir notamment les récentes méthodes de slipstreaming qui ont forcé les éditeurs de navigateurs à bloquer certains ports de destination.
Ma question est la suivante : Savez-vous chez quel LIR acheter simple un bloc /48 PI qui ne sera pas annoncés sur Internet ? D’après ce que j'ai compris, c'est très accessible, une centaines d'euros ?
La task-force IPv6 se réunit le mardi 1er juin de 17h00 à 19h00 en visioconférence pour parler de ces sujets et finaliser un guide écrit par Jean-Charles Bisecco. Si vous désirez participer, inscrivez-vous sur le site de l'Arcep (https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/suivi-epuisement-adresses-ipv4/appel-a-candidatures-pour-former-une-task-force-ipv6-en-france.html) et contactez moi par message privé (Si vous êtes déjà inscrits, vous avez du recevoir mon mail, avec le lien GoToMeeting pour y participer).
-
Mettre un serveur interne avec IPv4 et IPv6 ULA signifie qui sera utilisé en IPv4 a moins de passer sur tous les postes pour changer les priorités (sur client Linux c'est dans /etc/gai.conf).
Exact, c’est bien pour ça que mes serveurs internes ne sont qu’en IPv6….
Enfin, pour être exact, ils sont bien en dual stack (surtout ceux aussi accessibles depuis l’extérieur puisqu’ils doivent l’être en IPv4 et IPv6), mais dans mon DNS autoritaire interne ils n’ont que des enregistrements AAAA, et ne sont donc accèdes qu’en IPv6 (hormis utilisation de leur IPv4 littérale par les clients, ce que je ne fais jamais).
Acheter un PI, pourquoi pas, mais pourquoi faire :). D’autant que s’il n’y a pas besoin d’interconnecter son réseau avec d’autres, on peut aussi utiliser la plage dédiée à la documentation (2001:DB8::/32) qui a la meme precedence qu’un préfixe GUA…
-
la reco c'est du NPTv6 ?! ::) on est mal barré pour l'avenir.
-
Article en relation (date de 10 ans) : https://www.bortzmeyer.org/6296.html
-
Ma question est la suivante : Savez-vous chez quel LIR acheter simple un bloc /48 PI qui ne sera pas annoncés sur Internet ? D’après ce que j'ai compris, c'est très accessible, une centaines d'euros ?
MilkyWan, AppliWave ?
Chez nous le prix (qui est relativement le même partout) est de 75€/an + 100€ de FAS
-
si on ne veut pas d'un truc annoncé sur le Net, il suffit de prendre un bloc pas prêt d'être attribué...genre qui commence par 4000: ou meme e000: ... y'a peu de risque pour les 10 ans qui viennent... ;D
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml
-
si on ne veut pas d'un truc annoncé sur le Net, il suffit de prendre un bloc pas prêt d'être attribué...genre qui commence par 4000: ou meme e000: ... y'a peu de risque pour les 10 ans qui viennent... ;D
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml
Pourquoi reproduire les erreurs que l'histoire nous a enseigné avec IPv4 et les blocs DoD ?
Parce que l'histoire c'est comme la mode, un éternel recommencement ::)
Si ça se trouve le préfixe 4000 sera assigné à Mars dans 5 ans ;D
la reco c'est du NPTv6 ?! ::) on est mal barré pour l'avenir.
C'est stateless, adapaté à la sortie locale via n'importe quel FAI sans contrainte, pas de réadressage interne.
C'est encore la meilleure des solutions si on ne peut pas monter un peering BGP
-
Pourquoi reproduire les erreurs que l'histoire nous a enseigné avec IPv4 et les blocs DoD ?
Parce que l'histoire c'est comme la mode, un éternel recommencement ::)
Si ça se trouve le préfixe 4000 sera assigné à Mars dans 5 ans ;D
c'était plus une boutade vu que je recommande pas cette manip.
C'est stateless, adapaté à la sortie locale via n'importe quel FAI sans contrainte, pas de réadressage interne.
C'est encore la meilleure des solutions si on ne peut pas monter un peering BGP
C'est plus que discutable et c'est "reproduire les erreurs que l'histoire nous a enseigné avec IPv4 et NAT" ;D
Faut juste arrêter de vouloir transposer ses habitudes IPv4 a IPv6...Les gens contre les réadressages internes ou autre souhait de n'avoir qu'une IPv6 par machine, etc font juste de la transposition.