Auteur Sujet: nouveau serveurs VPS OVH - pas d'IPv6 !?  (Lu 32064 fois)

0 Membres et 1 Invité sur ce sujet

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #48 le: 11 octobre 2016 à 00:24:49 »
Ben explique moi, ça m'intéresse vraiment tout ça

Déjà pourquoi tu veux utiliser des ACLs ? Pas besoin d'ACLs, côté routeur il y a la table NDP, côté commutateur le filtrage MAC, pourquoi le commutateur devrait faire du NDP ?

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #49 le: 11 octobre 2016 à 00:26:02 »
Déjà pourquoi tu veux utiliser des ACLs ? Pas besoin d'ACLs, côté routeur il y a la table NDP, côté commutateur le filtrage MAC, pourquoi le commutateur devrait faire du NDP ?
Ben heu, comment est-ce que je valide que le NDP provient bien du bon client ?
Et, heu, comment j'empêche l'IP spoofing ? Et le poisonning ?

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #50 le: 11 octobre 2016 à 00:33:25 »
Ben heu, comment est-ce que je valide que le NDP provient bien du bon client ?
Et, heu, comment j'empêche l'IP spoofing ? Et le poisonning ?

Si il y a filtrage MAC sur le commutateur et que le routeur à l'adresse MAC dans sa table NDP, c'est quoi le problème ?

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #51 le: 11 octobre 2016 à 00:34:58 »
Si moi, from ma mac, je dis à tout le monde que j'ai l'IP du voisin, ça pose problème
Parce que tout le monde va m'envoyer, à moi, le trafic destiné au voisin

ARP poisonning en ipv4, j'imagine que tu peux faire pareil en NDP, c'est fascinant et particulièrement amusant

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #52 le: 11 octobre 2016 à 00:37:19 »
Si moi, from ma mac, je dis à tout le monde que j'ai l'IP du voisin, ça pose problème
Parce que tout le monde va m'envoyer, à moi, le trafic destiné au voisin

ARP poisonning en ipv4, j'imagine que tu peux faire pareil en NDP, c'est fascinant et particulièrement amusant

Je comprends pas comment tu fais pour recevoir le trafic du voisin, parce que tu peux pas spoofer son adresse MAC vu que le switch t'autorise pas à le faire et le routeur connait la MAC du voisin...

Anonyme

  • Invité
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #53 le: 11 octobre 2016 à 06:09:28 »
Cela me rappelle une anecdote,ou je me suis fais souffler dans les bronches par OVH,parce qu'un gars de mon équipe avait utilisé un proxyarp avec la MAC du routeur,et que toute la baie était tombée.  ::)

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #54 le: 11 octobre 2016 à 08:49:39 »
N'importe qui faisant ça sur un réseau se fera souffler dans les bronches par le netadmin :D

J'ai coupé des users pour moins que ça.

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #55 le: 11 octobre 2016 à 08:50:48 »
@mirtouf c'est un /128 sur les kimsufi ?
Oui, depuis quelques années...

@mikmak
Les joies du client dibbler qui n'arrivait pas à recevoir de réponse du serveur DHCP... que d'émotions ! Je n'oublierai pas non plus que le client dibbler perdait un peu les pédales si on mettait en place un bridge sur son interface réseau. Depuis que Online est passé sur ISC dhcp, je n'ai plus à me plaindre.
Il reste encore à savoir si du côté de Windows le DUID peut se configurer autrement qu'en bidouillant la base de registre.

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 064
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #56 le: 11 octobre 2016 à 08:53:03 »
Eh sinon, il y a bien longtemps, on avait inventé un protocole qui s'appelait ES-IS (ISO9542). Non, pas IS-IS, mais la version host - routeur.

Ça permettait de multihomer des hosts facilement sans vrrp/hsrp, ou même d'annoncer des routes "service" depuis les serveurs, très similaire à ce qui se fait désormais avec le bgp jusqu'au ToR. 

Ça aurait peut-être été une bonne idée de le ressusciter et de l'adapter, de la même manière qu'IS-IS, à IPv6, plutôt que d'avoir plein de routeurs qui annoncent en ra une gw par exemple...


mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #57 le: 11 octobre 2016 à 09:00:36 »
Quelqu'un dans l'assistance a-t-il déjà testé Kea dhcp (que ce soit côté client ou serveur) ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #58 le: 11 octobre 2016 à 10:32:38 »
Eh sinon, il y a bien longtemps, on avait inventé un protocole qui s'appelait ES-IS (ISO9542). Non, pas IS-IS, mais la version host - routeur.

Ça permettait de multihomer des hosts facilement sans vrrp/hsrp, ou même d'annoncer des routes "service" depuis les serveurs, très similaire à ce qui se fait désormais avec le bgp jusqu'au ToR. 

Ça aurait peut-être été une bonne idée de le ressusciter et de l'adapter, de la même manière qu'IS-IS, à IPv6, plutôt que d'avoir plein de routeurs qui annoncent en ra une gw par exemple...

De base, si un host supporte IPv6 il supporte ra. en plus c'est ultra simple  a configurer coté host.

Pas sur que les os supporteraient ton es-is s'il était adapté a IPv6 et si oui avec quelle complexité supplèmentaire pour l'admin du host ?

et en quoi est-ce gênant qu'un routeur annonce une gw en ra ?


raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
nouveau serveurs VPS OVH - pas d'IPv6 !?
« Réponse #59 le: 11 octobre 2016 à 11:52:42 »
Ce que j'ai besoin, c'est :
- attribuer le même subnet au même "client", de manière fiable, reproductible et connue
- router ce subnet via des IPv6 globalement addressables et globalement routables
Si tu veux faire ca cote access, regarde cote Ericsson/RedBack la fonctionalite appelee CLIPS.
GW via RA, WAN CPE (si tu en as besoin) via SLAAC ou DHCPv6 (selon la conf cote RA), delegation de prefix via DHCPv6. Tout part d'une base RADIUS, configuration minimale (uniquement les ports/circuits d'arrivee) sur le BNG.
Ca marche de la meme facon en PPPoE (avec login/pass classique) et IPoE (login = MAC addr, pass = configure sur le BNG).

Cote hebergement, c'est pas impossible d'utiliser le meme modele, ca semble juste un peu bizarre.
Il y a d'ailleurs d'autres choses qui peuvent etre bizarres meme en mode acces, mais finalement sont des fonctionalites tres utiles.