Auteur Sujet: nouveau serveurs VPS OVH - pas d'IPv6 !?  (Lu 32060 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #24 le: 10 octobre 2016 à 21:49:41 »
@mirtouf c'est un /128 sur leskimsufi ?

@mikmak
IPSG = ?
Chez Online, DHCP et DHCPv6 distribuent les IP aux serveurs ?
C'est le switch l'option permettant d'identifier le client ?

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #25 le: 10 octobre 2016 à 21:50:43 »
IPSG = ?
IP source guard

De l'anti IP spoofing basé sur le dhcp snooping, si je ne m'abuse

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #26 le: 10 octobre 2016 à 21:59:24 »
Chez Ikoula, l'IPv4 est dans l'IPv6 et chaque client à un /112 :

Comment calculer mon IPv6 avec mon IP actuelle

Ceci est applicable pour tous les serveur dédié physiques ou virtuelles.
L'ipv6 se calcul de la manière suivante :

2a00 :c70 :1 :XXX :XXX :XXX :XXX : YYYY /96 où
- « XXX:XXX:XXX:XXX : » sera l’adresse IPv4 actuelle de votre serveur
- « YYYY » sont vos adresses disponibles allant de 0000 à FFFF

L’adresse de votre passerelle sera 2a00:c70:1:XXX:XXX:XXX::1

Source : https://support.ikoula.com/index-1-2-219-2564-IPV6-serveur-d%C3%A9di%C3%A9%20calcule.html

Concrètement, comme c'est pas super intuitif, un exemple est plus parlant :

# The primary network interface
auto p4p1
iface p4p1 inet static
        address 213.246.163.115
        netmask 255.255.255.0
        gateway 213.246.163.1
        dns-nameservers 213.246.33.144 213.246.36.14 80.93.83.11 80.93.83.25

iface p4p1 inet6 static
        address 2a00:c70:1:213:246:163:115:2
        netmask 96
        gateway 2a00:c70:1:213:246:163::1

mikmak

  • AS12876 Expert Scaleway
  • Expert
  • *
  • Messages: 177
    • @mmarcha
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #27 le: 10 octobre 2016 à 22:15:54 »
@mirtouf c'est un /128 sur leskimsufi ?

@mikmak
IPSG = ?
Chez Online, DHCP et DHCPv6 distribuent les IP aux serveurs ?
C'est le switch l'option permettant d'identifier le client ?

IPSG = IP source guard, c'est en gros comme une ACL "dynamique" sur le port qui check l'IP source des paquets
DAI = dynamic ARP inspection, le process qui vérifie les paquets ARP et qui matchent que la MAC + IP ca colle bien avec l'entrée DHCP

en IPv4 l'ID c'est la mac address pour du DHCP oui, couplé à un port-security sur le port pour bloquer les MACs non validées par notre SI.
c'est un ptit peu moins vrai depuis qu'on a fait nos propres switchs qui nous permettent de (bcp) simplifier la sécurisation :
sur un switch constructeur, dans 99% des cas, ils sont basés sur du learning dynamique (apprendre les MACs qui poppent sur les ports de switchs, associés les IPs grace au DHCP, etc etc) (et pour passer ca en statique, c'est juste galère et pas prévu pour <= non les "learning disable" des switchs, c'est une grosse blaque hein ;)

quand on maitrise 100% du switch, dans un environnement maitrisé (VLANs/serveurs), on s'en fout à 200% du learning auto, on préfère pousser une conf et donc par exemple dire "tel port = tel mac + telle IP + tel VLAN", pas besoin de l'apprendre quand le serveur/OS démarre, on le sait d'avance, ca évite des broadcasts inutiles "ou quelle est la MAC machine" ou des comportemtents de switchs foireux du type "ha j'ai pas trouvé la mac de telle IP, bon ben je vais balancer partout, au cas où ca interesse qq'un" (très bonne idée quand une IP se fait DDoS par ex et que l'OS a crashé ;)

en IPv6, l'ID enfin "DUID" est de type LLT (iirc), donc un truc non basé sur la MAC ce qui permet à un client de déplacer son subnet sur le serveur/VM de son choix
il y a pas mal d'avantages au DHCPv6-PD, personnellement je vois la chose comme suit :
on alloue un /48 par client
le client découpe en /56 par serveurs
il devrait en théorie faire une requete DHCPv6-PD par serveur pour récupérer son /56
à sa charge de router ses sous-subnets (/64 par ex) dans ses VMs, tunnels whatever depuis ce serveur

en cas de besoin, il peut basculer une VM ailleurs, et y refaire un DHCPv6-PD pour récupérer le(s) /64 qui vont bien sur le nouveau serveur (pour moi c'est un mode "secours", sinon il déplace le /56 directement), il peut meme faire une requete DHCPv6 pour son /48 complet et avoir un serveur dédié a des bascules de backup par exemple, bref, on peut désigner de plusieurs manières son réseau sans polluer de routes statiques les routeurs et gérer une infra de déploiement

l'objectif est de limiter la segmentation IPv6, c'est sans doute pas parfait, mais c'est quand meme franchement plus clean d'un point de vue techo que des "ipv6 route xxxx/64" sur tous les routeurs, on a un protocole fait pour ca autant l'utiliser (bon les clients ont été loooongtemps bien buggés comme il faut mais bon ...)

après pour ceux qui ralent des /128 sur les VPS , je pense qu'ils oublient un peu vite qu'il faut une base pour router des subnets, donc déjà avoir un endpoint qui ping, c'est un pas en avant ;)

Mik

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #28 le: 10 octobre 2016 à 22:18:08 »
chez Vultr, c'est un /64 par serveur: libre a l'admin de le configurer comme il souhaite et la gateway  s'obtient par discovery:



(on peut avoir le prefix via leur API si besoin)

A comparer a l'interface d'OVH qui fait penser au début du l'Internet... :P

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #29 le: 10 octobre 2016 à 22:23:08 »

après pour ceux qui ralent des /128 sur les VPS , je pense qu'ils oublient un peu vite qu'il faut une base pour router des subnets, donc déjà avoir un endpoint qui ping, c'est un pas en avant ;)


pas besoin de 'base' avec IPv6 tu peux utiliser les link-local entre la gw et le vps pour router.

vu de l'ISP, il y a une seule route le /64 (ou le /56) vers la link-local du serveur. point. exactement comme fait Orange en IPv6 pour ses box.

c'est plus simple et  l'ISP ne connait même pas le plan d'adressage du client (quelle IP du /64 ou /56  est son entrypoint/endpoint) : il s'en tape en fait.


mikmak

  • AS12876 Expert Scaleway
  • Expert
  • *
  • Messages: 177
    • @mmarcha
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #30 le: 10 octobre 2016 à 22:28:15 »
le truc qui conf en RA c'est loin d'etre la panacée pour les fournisseurs de VPS et de serveurs ...

déjà en tant qu'hébergeur tu as la *responsabilité* de savoir qui utilise telle IP à un instant donné.
c'est loin d'etre simple avec de l'autodynamique-a-la-volée ...
perso, je prefere pousser une conf depuis mon SI ;)

Mik

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #31 le: 10 octobre 2016 à 22:31:28 »
déjà en tant qu'hébergeur tu as la *responsabilité* de savoir qui utilise telle IP à un instant donné.
C'est pour ça que les RA, sauf dans ton LAN chez toi, non merci

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #32 le: 10 octobre 2016 à 22:41:19 »
bon les clients ont été loooongtemps bien buggés comme il faut mais bon ...
Vous utilisez quoi, comme serveur ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #33 le: 10 octobre 2016 à 22:42:20 »
on conf pas l'adresse en RA mais juste la gateway.

Encore une fois il faut vraiment que les gens approfondissent plus leur connaissances d'IPv6 au dela de l'intro en 1 heure sur autoconf/ra/rs... :P




mikmak

  • AS12876 Expert Scaleway
  • Expert
  • *
  • Messages: 177
    • @mmarcha
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #34 le: 10 octobre 2016 à 22:47:42 »
oue enfin router sur une link local, d'un point de vue clareté , on a vu mieux ...

@jack: ISC depuis 1 ou 2 ans (dibbler avant mais plus trop maintenu de nos jours parce qu'on dev un truc pas plus maintenu/dev ... l'opensource, la joie ;)

Mik

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #35 le: 10 octobre 2016 à 22:48:39 »
Encore une fois il faut vraiment que les gens approfondissent plus leur connaissances d'IPv6 au dela de l'intro en 1 heure sur autoconf/ra/rs... :P
Tu peux faire des l'allocation de ressources via SLAAC ?
Si tu as des docs, ça m'intéresse

C'est rigolo, je croyais que c'était pour ça que, finalement, dhcpv6 a été fait :)