Auteur Sujet: Questions sur l'IPV6 d'Orange  (Lu 20700 fois)

0 Membres et 1 Invité sur ce sujet

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 095
  • Alpes Maritimes (06)
Questions sur l'IPV6 d'Orange
« Réponse #36 le: 25 juillet 2021 à 17:59:46 »
Il est vrai que plutôt que d'avoir des Gbps de bande passante WAN je préfère déjà avoir un réseau d’accès performant et le plus stable dans le temps avec le moins de point de congestion possible... celui le mieux "raccordé" au différents acteurs constitutif d'Internet. Et je me dis que c'est le réseau d'Orange qui est le meilleur pour cela....
J'ai peut-être tort d'ailleurs... à ton avis ?
Au niveau des interconnexions avec les autres réseaux c'est plutôt
Bouygues > SFR > Orange > Free.

Sur certains RIP Bouygues et SFR rencontrent des saturations de la collecte quand ils passent pas l'opérateur d'infrastructure, mais le Grand Lyon n'est pas concerné.

Tarkok

  • Abonné Orange Fibre
  • *
  • Messages: 209
  • Dunkerque (59)
Questions sur l'IPV6 d'Orange
« Réponse #37 le: 25 juillet 2021 à 18:49:16 »
Au niveau des interconnexions avec les autres réseaux c'est plutôt
Bouygues > SFR > Orange > Free.

Sur certains RIP Bouygues et SFR rencontrent des saturations de la collecte quand ils passent pas l'opérateur d'infrastructure, mais le Grand Lyon n'est pas concerné.

Sur les interco ce qui joue le plus c'est :

-> les fournisseurs de transit
-> la politique de peering

Bouygues est le plus ouvert en peering et a des liens de transit largement dimensionnés vers deux transitaires. Il supervise de très près tous ses liens de transit et de peering pour ajouter de la capa quand le besoin se fait sentir.

Free est historiquement pas très ouvert en peering et a un seul transitaire, dont le réseau n'est pas suffisamment dimensionné pour les usages d'aujourd'hui. Aujourd'hui Free a ouvert un peu plus sa politique de peering et ça aide un peu avec les Netflix/Youtube/... mais on voit toujours passer des soucis en heure de pointe. Enfin, Free ne s'appuie que sur un seul transitaire et niveau supervision des saturations, on a vu mieux.

SFR est un peu comme Bouygues, avec deux transitaires, mais avec une politique de peering un peu plus contraignante quand même et des liens de transit plus chargés que Bouygues.

Orange a une politique de peering très difficile et contraignante car il est transitaire (opérateur tier 1, au même titre que Cogent par exemple, qui fournit Bouygues, SFR et Free). Cependant, comme il est transitaire, il a donc de très bonnes interconnexions avec les autres opérateurs de transit et la plupart des fournisseurs de contenus, donc ce n'est pas vraiment un problème. Un inconvénient cependant : dans le cas ou un lien sature, contrairement à Bouygues et SFR qui pourront "switcher" vers l'autre transitaire, Orange est un peu plus coincé et des saturations occasionnels peuvent se faire ressentir. Souvent les problèmes de ce type sont réglés très rapidement, car l'opérateur supervise de très près tous ses liens, de la collecte jusqu'aux peering avec les autres transitaires.

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #38 le: 25 juillet 2021 à 19:09:54 »
Effectivement,mon questionnement était plus sur ce qui se passe en amont des réseaux de collectes et du status de tier one d’Orange.

Il est vrai que j'aimerai éviter le genre de situation,  que j'ai connu il y a bien des années chez un opérateur : vous avez une maxi ligne ADSL2+ à 200m du central téléphonique à plus 20 Mbps, mais en pratique mon accès au services de Youtube était bien souvent inexploitable...

Merci Tarkok pour toutes ces pertinentes informations :))

Du point de vue qualité de peering/transit,

comment classerais-tu le réseau des différents opérateurs français :

Orange >Bouygues > SFR > FREE ?

thedark

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 667
  • Réseau Covage
Questions sur l'IPV6 d'Orange
« Réponse #39 le: 25 juillet 2021 à 19:31:23 »
SFR est un peu comme Bouygues, avec deux transitaires, mais avec une politique de peering un peu plus contraignante quand même et des liens de transit plus chargés que Bouygues.
Selon https://bgp.he.net/

SFR : 4 transits
Bouygues: 3  transits

Tarkok

  • Abonné Orange Fibre
  • *
  • Messages: 209
  • Dunkerque (59)
Questions sur l'IPV6 d'Orange
« Réponse #40 le: 25 juillet 2021 à 21:31:10 »
Effectivement,mon questionnement était plus sur ce qui se passe en amont des réseaux de collectes et du status de tier one d’Orange.

Il est vrai que j'aimerai éviter le genre de situation,  que j'ai connu il y a bien des années chez un opérateur : vous avez une maxi ligne ADSL2+ à 200m du central téléphonique à plus 20 Mbps, mais en pratique mon accès au services de Youtube était bien souvent inexploitable...

Merci Tarkok pour toutes ces pertinentes informations :))

Du point de vue qualité de peering/transit,

comment classerais-tu le réseau des différents opérateurs français :

Orange >Bouygues > SFR > FREE ?

En évaluant qualité du réseau (du transit à la collecte), qualité du service et réactivité en cas d'incident, sérieux des équipes et du service client, démarche RSE, etc.

Je dirais Orange > Bouygues > SFR > Free

Après Bouygues et Orange sont clairement au coude à coude pour moi, et le prix pourrait clairement me faire basculer chez Bouygues si je n'étais pas éligible à l'offre coup de pouce livebox.

Selon https://bgp.he.net/

SFR : 4 transits
Bouygues: 3  transits


Cela ne montre pas la charge des liens. De plus tous le monde n'est pas d'accord sur le statut de tier one de plusieurs transitaires.

JCLB

  • Abonné Orange Fibre
  • *
  • Messages: 53
  • Orléans (45)
Questions sur l'IPV6 d'Orange
« Réponse #41 le: 25 juillet 2021 à 23:58:10 »
Comme je le dis dans le file de discussion, c 'est pour ne pas rester sans solution de secours (le NAT m'est apriori nécessaire dans mon archi)  une fois que je me serais décider à faire mes achats carte réseau, switch.... (et mettre en place  ma nouvelle solution évoquée) et qu'Orange se déciderai à imposer l'IPv6 sur sa box (bien que manifestement plus qu'improbable...)

je compte m'en passer d'IPv6 (sauf pour l’aspect pédagogique)  puisque pour le moment personne  n'a répondu à ma question :

tu aurais pas des exemples toi ? :)
Si l'opérateur faisait du DHCPv6 Prefix Delegation ça serait tranquille. Malheureusement c'est pas obligatoire. (Tout comme permettre de router un simple /24 RFC 1918 vers un autre routeur depuis une livebox  :-X)

Il faut donc étendre le /64 que file la LB via un proxy NDP. Tu pourras toujours refiler des infos complémentaires via DCHPv6 Stateless aux clients situés dans la partie enfant de ton routeur linux.

Il commence également à exister des méthodes permettant de faire du DHCPv6 stateful côté enfant après avoir vérifié via DAD que l'adresse à filer était dispo côté parent (Livebox)
Capilotracté mais logique.

Tu devras faire tes règles de filtrage en te basant sur l'interface physique, comme un pare-feu L2 en bridge.

Bon courage, on est tous tributaires de ces foutus BOX qui ne savent pas router vers le LAN, qui n'offrent pas de véritable client DDNS à jour (la box coax de SFR contient encore une référence à un service fermé depuis 3 ans..., encore une Drahison  ::) )

Personnellement je rencontre un problème similaire avec wireguard sur un Raspberry pi. Il tourne dans docker donc en IPv4 NAT docker + NAT wireguard. Impossible de simplement faire un ND proxy IPv6 de bout en bout. Ni même un Prefix Delegate, même si la BOX le supportait.

Mais petit à petit des solutions arrivent, cependant il serait bon de pouvoir rendre obligatoire certaines fonctionnalités sur les accès domestiques.

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #42 le: 26 juillet 2021 à 02:07:59 »
Si l'opérateur faisait du DHCPv6 Prefix Delegation ça serait tranquille. Malheureusement c'est pas obligatoire. (Tout comme permettre de router un simple /24 RFC 1918 vers un autre routeur depuis une livebox  :-X)

Il faut donc étendre le /64 que file la LB via un proxy NDP. Tu pourras toujours refiler des infos complémentaires via DCHPv6 Stateless aux clients situés dans la partie enfant de ton routeur linux.

Il commence également à exister des méthodes permettant de faire du DHCPv6 stateful côté enfant après avoir vérifié via DAD que l'adresse à filer était dispo côté parent (Livebox)
Capilotracté mais logique.

Tu devras faire tes règles de filtrage en te basant sur l'interface physique, comme un pare-feu L2 en bridge.

Bon courage, on est tous tributaires de ces foutus BOX qui ne savent pas router vers le LAN, qui n'offrent pas de véritable client DDNS à jour (la box coax de SFR contient encore une référence à un service fermé depuis 3 ans..., encore une Drahison  ::) )

Personnellement je rencontre un problème similaire avec wireguard sur un Raspberry pi. Il tourne dans docker donc en IPv4 NAT docker + NAT wireguard. Impossible de simplement faire un ND proxy IPv6 de bout en bout. Ni même un Prefix Delegate, même si la BOX le supportait.

Mais petit à petit des solutions arrivent, cependant il serait bon de pouvoir rendre obligatoire certaines fonctionnalités sur les accès domestiques.


Merci pour ce retour.

- Ok pour l'usage d'un proxy NDP à l'image un peu de ce qui est présenté sur ce lien :
https://linux-attitude.fr/post/proxy-ndp-ipv6

- Ok pour ta remarque concernant les règles de firewalling à implémenter.

Avec ce que tu proposes, je pourrais continuer à faire de la répartition de charge via un routage statique basé sur ECMP sur mon équipement sous Linux ?

Ce lien ne t'est d'aucune aide dans ta problématique de wireguard sous docker ? :
https://medium.com/@skleeschulte/how-to-enable-ipv6-for-docker-containers-on-ubuntu-18-04-c68394a219a2

JCLB

  • Abonné Orange Fibre
  • *
  • Messages: 53
  • Orléans (45)
Questions sur l'IPV6 d'Orange
« Réponse #43 le: 26 juillet 2021 à 02:34:36 »
Avec ce que tu proposes, je pourrais continuer à faire de la répartition de charge via un routage statique basé sur ECMP sur mon équipement sous Linux ?

Ce lien ne t'est d'aucune aide dans ta problématique de wireguard sous docker ? :
https://medium.com/@skleeschulte/how-to-enable-ipv6-for-docker-containers-on-ubuntu-18-04-c68394a219a2

ECMP fonctionne avec 2 routes qui ont une destination différente, donc un next hop différent.
T'as Livebox n'a qu'une seule IP.

Fut une époque, j'ai utilisé le multiwan d'OpenWRT pour faire du load balancing entre plusieurs modems avec du contracking.

Dans ton cas tu cherches à pallier au fait que la LB5 n'as pas de port LAN mGig ni de support de LACP.

La question est traitée ici
https://lafibre.info/orange-les-news/livebox-5-2-gbs-sur-un-seul-pc/516/
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/

Il faut arriver avec 2 IP et 2 MAC vers la bête.
Ce qui oblige à proxifier les flux (ou à la les nater)  :-[

Au mieux sous ton linux tu peux manuellement pousser les MAC et IP de certains clients via le port uplink A, les autres sur le B.
Le plus simple étant de faire 2 VLAN qui terminent en mode access sur la box. Tu peux même bridger l'inter vlan pour ne pas qu'il repasse par la box mais ça devient technique, et attention au spanning-tree.

Si tu fais un vilain bonding des 2 ports, la box va voir les mêmes MAC sur les 2 ports et elle va permettre de cuire des oeufs au plat en moins de 2 min.

Le régulateur devrait-il demander à ce que le LAN filaire permette d'exploiter l'ensemble du débit de l'offre via un port à débit équivalent ou via le support de 802.3ad ? j'ai envie de dire pourquoi pas   8)

Bref, on ne peut pas tout avoir, où le mettrait-on  ;)


Pour docker, la fin de l'article est intéressant. Pour l'instant je n'avais vu que du NAT v6 ou du NPTv6 (sauf bien sûr à sortir du mode bridge par défaut de docker, ce que fait k8s par exemple, encore faut-il avoir une délégation de préfixe)
Je regarderais ce mode NDPproxy.

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #44 le: 26 juillet 2021 à 03:02:03 »
ECMP fonctionne avec 2 routes qui ont une destination différente, donc un next hop différent.
T'as Livebox n'a qu'une seule IP.

Fut une époque, j'ai utilisé le multiwan d'OpenWRT pour faire du load balancing entre plusieurs modems avec du contracking.

Dans ton cas tu cherches à pallier au fait que la LB5 n'as pas de port LAN mGig ni de support de LACP.

La question est traitée ici
https://lafibre.info/orange-les-news/livebox-5-2-gbs-sur-un-seul-pc/516/
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/

Il faut arriver avec 2 IP et 2 MAC vers la bête.
Ce qui oblige à proxifier les flux (ou à la les nater)  :-[

Au mieux sous ton linux tu peux manuellement pousser les MAC et IP de certains clients via le port uplink A, les autres sur le B.
Le plus simple étant de faire 2 VLAN qui terminent en mode access sur la box. Tu peux même bridger l'inter vlan pour ne pas qu'il repasse par la box mais ça devient technique, et attention au spanning-tree.

Si tu fais un vilain bonding des 2 ports, la box va voir les mêmes MAC sur les 2 ports et elle va permettre de cuire des oeufs au plat en moins de 2 min.

Le régulateur devrait-il demander à ce que le LAN filaire permette d'exploiter l'ensemble du débit de l'offre via un port à débit équivalent ou via le support de 802.3ad ? j'ai envie de dire pourquoi pas   8)

Bref, on ne peut pas tout avoir, où le mettrait-on  ;)


Pour docker, la fin de l'article est intéressant. Pour l'instant je n'avais vu que du NAT v6 ou du NPTv6 (sauf bien sûr à sortir du mode bridge par défaut de docker, ce que fait k8s par exemple, encore faut-il avoir une délégation de préfixe)
Je regarderais ce mode NDPproxy.
mon  archi présenté est opérationnelle en IPv4  je pense (bien que non testé en maquette)
C'est exactement ce qui est présenté sur ce lien d'ailleurs (regarde ses schémas réseaux) :
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/

Ma question était plutôt ça continuera à marche en IPv6 avec ce que tu proposes (il me faut le temps d’assimiler les nouveaux concepts IPv6 pour y voir plus clair....:) )

en IPv4 l'implémentation devrait tourner autour de ça (un exemple imaginaire):

echo 1 >  /proc/sys/net/ipv4/fib_multipath_hash_policy
et
ip route add default  proto static scope global nexthop via 11.11.11.50  dev ens37 weight 1 nexthop  via 11.11.11.50 dev ens38 weight 1

c.à.d. l'implémentation de 2 routes statiques par défaut de même poids pointant le même routeur de prochain saut (d'@ip 11.11.11.50 la livebox) mais via des interfaces réseaux différentes ici ens37 et ens38

il existe qu'un seul subnet d’interco entre le routeur Linux et la livebox par exemple celui-ci : 11.11.11.0/24
   - la livebox à une patte dans ce sous-réseau avec @IP 11.11.11.50 (sa seule patte de niveau 3 disponible)
   - et le routeur Linux a lui 2 pattes dans ce sous-réseau (adressées respectivement par exemple par  11.11.11.1 sur ens37  et .2 sur ens38)
Au niveau 2, ce sous réseau IP peut être porté par un VLAN ou pas, peu importe.

Ps: cool un couche tard comme moi :)) !
« Modifié: 26 juillet 2021 à 08:45:21 par dupp231 »

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #45 le: 26 juillet 2021 à 03:21:26 »
Regarde le schéma réseau niveau IP sur le pdf dans le premier poste.
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/

Son schéma semble plutôt clair....

Et ton maintenant en phase sur mon archi cible en IPv4 ?
« Modifié: 26 juillet 2021 à 09:31:58 par dupp231 »

JCLB

  • Abonné Orange Fibre
  • *
  • Messages: 53
  • Orléans (45)
Questions sur l'IPV6 d'Orange
« Réponse #46 le: 26 juillet 2021 à 10:08:43 »
Ha oui, l'ECMP de même hop via 2 interfaces qu'on utilise pour remplacer un agrégat, effectivement... Il était trop tard pour moi  ::)

Le reste du problème est qu'on est pas ici dans un NAT comme en IPv4, mais que ND proxy oblige à ce que la LB voit les hôtes en L2 de façon unitaire ou simulée via le proxy. Et donc qu'elle associe des @MAC aux @IP.

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #47 le: 26 juillet 2021 à 10:52:27 »
Ha oui, l'ECMP de même hop via 2 interfaces qu'on utilise pour remplacer un agrégat, effectivement... Il était trop tard pour moi  ::)

Le reste du problème est qu'on est pas ici dans un NAT comme en IPv4, mais que ND proxy oblige à ce que la LB voit les hôtes en L2 de façon unitaire ou simulée via le proxy. Et donc qu'elle associe des @MAC aux @IP.

OK :)
Pour migrer mon architecture vers de l'IPv6 ( au cas où orange me l'obligerai s'il déactivait l'IPv4 sur sa box) :

tu me proposes pas d'une part de conserver de la mascarade IP mais en V6 (du NAPTV6....) ? c est pas possible ?
et d'autre part de mettre en place un proxy ND.

Mais tu ne penses pas que cela puisse me permettre de retrouver mon réseau opérationnel (comme il l’était en V4)  ?
Tu ne vois pas de solution pour résoudre ce problème en conservant mon archi (et principalement le mécanisme de répartition de charge via ECMP) donc ?

Mon archi cible IPv4 est en fait, presque exactement, ce qui est décrit sur le .pdf que cela soit au niveau physique ou logique.