La Fibre

Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => Orange fibre Actus Orange => Discussion démarrée par: zergflag le 19 janvier 2025 à 19:35:25

Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 19 janvier 2025 à 19:35:25
D'après @LuisBaker certaines Livebox aurait reçu une mise à jour ajoutant un onglet dans les paramètres pour activer ou non la mutualisation de l'adresse IP :

https://x.com/LuiiisBaker/status/1881035022523883814

Titre: Le CG-NAT arrive chez Orange
Posté par: Steph le 19 janvier 2025 à 19:43:13
Oui, déjà signalé

https://lafibre.info/orange-les-news/nouvelle-mise-a-jour-firmware-livebox4/msg1102153/#msg1102153

https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1102381/#msg1102381
Titre: Le CG-NAT arrive chez Orange
Posté par: turold le 22 janvier 2025 à 19:46:30
Bonjour,

Avec ma LiveBox 3, je n'ai pas encore ce paramètre (mais j'ai bien de l'IPv6).
Entre mon cas, et les retours, j'ai l'impression que ce sera que pour les LiveBox 4 et plus récentes.
Pour le reste des critères, on verra avec le temps (il y a des indices dans les liens du message précédent).
Titre: Le CG-NAT arrive chez Orange
Posté par: Stell92 le 22 janvier 2025 à 19:56:07
Bonjour,

Mais dans le cas où plusieurs clients Orange partagent la même adresse IPv4, ça se passe comment si l'un d'entre eux commet un acte illégal (téléchargement P2P)?
Comment Orange pourra dénoncer le contrevenant à l'ARCOM (anciennement HADOPI) si plusieurs clients partagent la même IP?

Et il me semble avoir lu que dans le cas d'un partage d'IPv4 entre plusieurs clients, chacun a le droit à une plage de ports limitée.

Donc, pour celui qui veut ouvrir un port sur sa Livebox, pour, par exempl, accéder à son NAS depuis l'extérieur, ça se passe comment si le port ne fait pas partie de la plage qui lui a été attribuée?

Message d'erreur sur la Livebox? Autre?

Merci.


EDIT:

Un abonné accusé à tort...Voir ci-dessous.

(https://lafibre.info/images/doc/201806_arcep_rapport_etat_internet_2018_IPv6_cgnat_nice.png)

A cause de son fournisseur d'accès internet, il est accusé à tort de télécharger des fichiers pédopornographiques

La cellule de lutte contre la cybercriminalité de la section financière de la PJ de Nice avait repéré un internaute du quartier Saint-Sylvestre, à Nice, qui téléchargeait des centaines de films pédopornographiques.

Les enquêteurs se sont rapprochés du fournisseur d'accès qui leur a fourni le nom du titulaire de l'adresse IP.

Le suspect, un informaticien, a été interpellé et placé en garde à vue.

Ce père de famille niait farouchement tout comportement déviant. Et il avait raison.

Les policiers se sont aperçus que le "cyberpédophile" était en réalité l'un de ses voisins, un étudiant de 28 ans, déféré ce jeudi après-midi devant le parquet de Nice.

Le fournisseur d'accès a reconnu qu'en raison d'un manque d'adresses dans ce secteur, quatre abonnés partageaient la même adresse IP!

Pourquoi n'a-t-il fourni qu'un nom sur les quatre aux policiers? Mystère. Mais un innocent a été injustement soupçonné pendant quelques heures.


Source : Nice Matin (https://www.nicematin.com/faits-divers/a-cause-de-son-fournisseur-dacces-internet-il-est-accuse-a-tort-de-telecharger-des-fichiers-pedopornographiques-232864), le 24 mai 2018 par CH.P
Titre: Le CG-NAT arrive chez Orange
Posté par: fred_mgnt le 22 janvier 2025 à 20:07:12
Bonjour,

Mais dans le cas où plusieurs clients Orange partagent la même adresse IPv4, ça se passe comment si l'un d'entre eux commet un acte illégal (téléchargement P2P)?
Comment Orange pourra dénoncer le contrevenant à l'ARCOM (anciennement HADOPI) si plusieurs clients partagent la même IP?

Et il me semble avoir lu que dans le cas d'un partage d'IPv4 entre plusieurs clients, chacun a le droit à une plage de ports limitée.

Donc, pour celui qui veut ouvrir un port sur sa Livebox, pour, par exempl, accéder à son NAS depuis l'extérieur, ça se passe comment si le port ne fait pas partie de la plage qui lui a été attribuée?

Message d'erreur sur la Livebox? Autre?

Merci.

Ben ça se passera de la même manière qu’avec les autres opérateurs opérant un CG-NAT. Et il faudra une adresse FullStack pour forwarder les ports. Rien de neuf sous le soleil, y a des tonnes de sujets sur ça ici et ailleurs
Titre: Le CG-NAT arrive chez Orange
Posté par: Stell92 le 22 janvier 2025 à 20:09:13
Bonjour @fre_mgnt.

Regarde l'article que j'ai partagé.

Full-stack?
C'est-à-dire obtenir une adresse IPV4 non partagée?
Titre: Le CG-NAT arrive chez Orange
Posté par: fred_mgnt le 22 janvier 2025 à 20:16:21
Bonjour @fre_mgnt.

Regarde l'article que j'ai partagé.

Full-stack?
C'est-à-dire obtenir une adresse IPV4 non partagée?

Oui l’histoire est connue, et n’a rien de neuf, la problématique du CG-NAT est connue de longue date, et est souvent gérée correctement (ces histoires sont des exceptions pour faire les choux gras des journaleux). Bref, je le répète rien de neuf, une recherche sur ce forum te donnera de la lecture sur le sujet. Idem pour le fullstack (spoiler : oui).

PS : les citations d’articles ne se font pas avec des copies d’écran mais avec quote et couleur marine.
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 22 janvier 2025 à 20:34:15
IPv6 permettra de ne plus avoir de confusion sur les utilisateurs derrière une adresse IP (dans le cas où elle est partagée), chaque client aura son /56 et basta, le mieux est de migrer les infrastructures only-IPv4 dans un premier temps peux-être en dual-stack puis en only-IPv6 (même chez les particuliers) car je ne sais pas si l'option est apparue sur les Livebox Pro
Titre: Le CG-NAT arrive chez Orange
Posté par: hj67 le 22 janvier 2025 à 20:37:22
Le CGNAT, ce n'est pas un partage de l'adresse IPv4 entre "quelques clients", c'est entre 1000 ou plus clients (comme sur le mobile en fait).
(Ce n'est pas le même système que Free qui partage une adresse IPv4 entre 4 clients.)
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 22 janvier 2025 à 22:24:57
Le CGNAT, ce n'est pas un partage de l'adresse IPv4 entre "quelques clients", c'est entre 1000 ou plus clients (comme sur le mobile en fait).
(Ce n'est pas le même système que Free qui partage une adresse IPv4 entre 4 clients.)

Dans le cas d'Orange ça sera pas du CG-NAT mais du DS-Lite, même si Orange le formule de cette manière
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 23 janvier 2025 à 02:25:53
Le CGNAT, ce n'est pas un partage de l'adresse IPv4 entre "quelques clients", c'est entre 1000 ou plus clients (comme sur le mobile en fait).
(Ce n'est pas le même système que Free qui partage une adresse IPv4 entre 4 clients.)

On en sait juste rien pour l'instant. 1000 clients derrière une ipv4 pour du fixe, j'ai beaucoup de mal à y croire (ou alors dans un temps très lointain). Surtout qu'orange peut se permettre d'être généreux, vu le nombre d'IPv4 en stock.

Si on prend une base de 9 millions de clients d'après les derniers chiffres (un peu plus dans la réalité), en admettant qu'ils mettent 16 box pour une IP (ce qui est déjà beaucoup), le tout tient sur 9 /16 soit 589824 adresses. C'est peanuts.
Titre: Le CG-NAT arrive chez Orange
Posté par: buddy le 23 janvier 2025 à 08:27:26
peut être pas des milliers, mais quand un opérateur déploie du CG-NAT ce n'est pas pour mettre 4 personnes derrière une IP, il y a d'autres solutions plus simple à mettre en œuvre dans ce cas là (comme avec Free, Bouygues).
Titre: Le CG-NAT arrive chez Orange
Posté par: thsdrd le 23 janvier 2025 à 13:37:49
Pour le fixe, si on se base sur les données du comparatif des offres :
Bouygues T. : 8 clients par IP (8 064 ports / client)
Free : 4 clients par IP (16 384 ports / client)
SFR : 32 clients par IP (2 015 ports / client)
Titre: Le CG-NAT arrive chez Orange
Posté par: alain_p le 23 janvier 2025 à 14:01:51
Bonjour,

Mais dans le cas où plusieurs clients Orange partagent la même adresse IPv4, ça se passe comment si l'un d'entre eux commet un acte illégal (téléchargement P2P)?
Comment Orange pourra dénoncer le contrevenant à l'ARCOM (anciennement HADOPI) si plusieurs clients partagent la même IP?

Et il me semble avoir lu que dans le cas d'un partage d'IPv4 entre plusieurs clients, chacun a le droit à une plage de ports limitée.

Donc, pour celui qui veut ouvrir un port sur sa Livebox, pour, par exempl, accéder à son NAS depuis l'extérieur, ça se passe comment si le port ne fait pas partie de la plage qui lui a été attribuée?

Message d'erreur sur la Livebox? Autre?

Merci.


EDIT:

Un abonné accusé à tort...Voir ci-dessous.

https://www.nicematin.com/faits-divers/a-cause-de-son-fournisseur-dacces-internet-il-est-accuse-a-tort-de-telecharger-des-fichiers-pedopornographiques-232864

4 abonnés sur une même adresse, ce n'est pas du CGNAT, c'est du partage d'IP chez Free. Chez Free, une adresse utilise les ports 0-16000, l'autre 16000-32000, le 3eme 32000-48000, et le dernier 48000-64000.

En fait, pour pouvoir indiquer aux forces de l'ordre quel abonné était sur telle adresse partagée, il faut conserver les logs des ports utilisés. Ce que Free ne faisait pas. Je pense que cela a changé depuis ? Et la police doit donner le port utilisé sur telle url.

Sinon, pas besoin de mettre une balise url pointant sur l'image dans le message, En dessous, dans Ajouter Photos, Fichiers..., tu peux directement ajouter ta copie d'écran.
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 23 janvier 2025 à 15:56:36
peut être pas des milliers, mais quand un opérateur déploie du CG-NAT ce n'est pas pour mettre 4 personnes derrière une IP, il y a d'autres solutions plus simple à mettre en œuvre dans ce cas là (comme avec Free, Bouygues).

Je ne suis pas sûr que MAP soit bien plus simple à mettre en place. Et même avec, tu peux faire du partage sur 500 ou 1000 users... C'est surtout un choix propre à l'opérateur je pense, cf le message de thsdrd avec SFR et ses 32 clients par IP.
Titre: Le CG-NAT arrive chez Orange
Posté par: Djokt le 24 janvier 2025 à 10:35:42
Toujours pas l'option de disponible chez moi sur un forfait fibre Sosh livebox 4
Titre: Le CG-NAT arrive chez Orange
Posté par: Kana-chan le 24 janvier 2025 à 16:19:35
Bonjour,
Je n'ai pas non plus l'option dans ma Livebox 7.
Titre: Le CG-NAT arrive chez Orange
Posté par: Mastah le 25 janvier 2025 à 03:28:49
C'est pas une bonne nouvelle d'avoir l'option de toute manière... C'est clairement une regression de
Citer
j'ai une vrai connexion internet où des utilisateurs externes peuvent venir récupéré du contenu chez moi
à
Citer
je ne peux que faire du traffic egress (sortant) car plus personnes ne peut être router vers MA machine.

Et tous ceux qui disent le contraire ne savent pas ce qu'est internet :)
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 25 janvier 2025 à 04:11:03
Et encore, pour avoir un vrai accès, on devrait tous exiger à minima un /24 public  :P
Titre: Le CG-NAT arrive chez Orange
Posté par: Optix le 25 janvier 2025 à 11:51:34
C'est pas une bonne nouvelle d'avoir l'option de toute manière... C'est clairement une regression (...)
Et tous ceux qui disent le contraire ne savent pas ce qu'est internet :)

Tu ne sais pas ce qu'est IPv6 :)
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 25 janvier 2025 à 13:28:01
C'est pas une bonne nouvelle d'avoir l'option de toute manière... C'est clairement une regression deà
Et tous ceux qui disent le contraire ne savent pas ce qu'est internet :)

Si tu souhaite rendre accessible une machine en particulier sur Internet, il est quand même mieux d'utiliser une adresse IPv6 qui est unique et propre à la machine non ?
Titre: Le CG-NAT arrive chez Orange
Posté par: Mastah le 25 janvier 2025 à 16:50:29
Si tu souhaite rendre accessible une machine en particulier sur Internet, il est quand même mieux d'utiliser une adresse IPv6 qui est unique et propre à la machine non ?

Non car très peu de personnes ont une connexion ipv6 fonctionnel au final.
Effectivement étant en fullstack IPV6 le problème ne se pose pas en IPV6. Mais en IPV4 (ce que 90% des personnes lambda utilisent) le CG-NAT fait passer ta connexion de "internet" à "minitel".
Titre: Le CG-NAT arrive chez Orange
Posté par: turold le 25 janvier 2025 à 17:12:19
Non car très peu de personnes ont une connexion ipv6 fonctionnel au final.
Correction, vécu autour de moi: très peu de personnes savent s'ils ont une connexion IPv6 ou pas.

Par contre, les serveurs internet dual stasck voient en moyenne 67% de leurs clients de France être en IPv6 en décembre 2024: 2eme graphique dans https://lafibre.info/ipv6/ipv6-pays/

Mais je rejoins quand même le fait que même quand j’héberge chez moi un serveur, l'IPv4 est encore obligatoire par rapport au marché que je vise:
- si je veux que ce soit accessible à partir d'un réseau d'entreprise, 99% sont IPv4 only.
- je connais également une personne, chez elle, qui coupe exprès l'IPv6 sur son PC, alors qu'elle a une Freebox avec une IPv6.
Titre: Le CG-NAT arrive chez Orange
Posté par: Optix le 25 janvier 2025 à 17:22:17
Non car très peu de personnes ont une connexion ipv6 fonctionnel au final.
Effectivement étant en fullstack IPV6 le problème ne se pose pas en IPV6. Mais en IPV4 (ce que 90% des personnes lambda utilisent) le CG-NAT fait passer ta connexion de "internet" à "minitel".

D'où sortent tes chiffres ?

On est au-delà de 80% d'IPv6 actif sur la partie FAI.
(et ça, c'est le baromètre ipv6 officiel de l'arcep) ;)
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 25 janvier 2025 à 18:02:05
- je connais également une personne, chez elle, qui coupe exprès l'IPv6 sur son PC, alors qu'elle a une Freebox avec une IPv6.

Pour quelle raison ?
Titre: Le CG-NAT arrive chez Orange
Posté par: turold le 25 janvier 2025 à 18:21:07
Pour quelle raison ?
Malgré que nous ayons fait à peu près le même cursus de formation post-bac en réseau informatique, contrairement à moi, cette personne n'a pas voulu sauter le pas d'une auto-formation sur l'IPv6 (je lui ai quand même indiqué quelques bases).
Je lui ai conseillé ce forum, entre autres.
Maintenant, c'est à cette personne de faire le reste pour apprendre IPv6.

Et vu l'état de ses finances, je ne peux même pas lui proposer une prestation payante de ma part. :P

Cette personne personnalise tout côté réseau (ports, pare-feu, etc).
Titre: Le CG-NAT arrive chez Orange
Posté par: Paul le 25 janvier 2025 à 20:30:23
Hormis pour travailler dans le réseau opérateur ou dans l'administration réseau d'une entreprise qui voudrait déployer IPv6, il n'y a pas besoin d'apprendre comment ça fonctionne pour le laisser activé. Excuse refusée.
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 25 janvier 2025 à 20:45:26
Cette personne personnalise tout côté réseau (ports, pare-feu, etc).

Je crois avoir la réponse : Le fait que le pare-feu de la freebox en v6 soit du tout ou rien ? Je me demande comment c'est encore possible qu'on ne puisse pas personnaliser ses règles de pare-feu en 2025 sur LA box qui était destinée aux geeks à la base.

Même Orange le fait, c'est dire.
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 25 janvier 2025 à 20:57:13
Je rejoins Paul, il n'y a pas grand-chose à réapprendre, le plus "dur" serait d'apprendre le nouveau mécanisme d'attribution d'adresse (SLAAC) et revoir DHCPv6

Pour les ports, avec des adresses globales, le NAT et le PAT ne servent plus à rien, le trafic est envoyé directement à la machine concernée

IPv4 à la base n'a pas été conçu avec le NAT/PAT. Ils ont été conçus à cause de la pénurie d'IPv4 en... 1994 ! 13 ans après IPv4...
C'est dire qu'aujourd'hui IPv4 est largement vétuste... À part les charlatans ou les (re)vendeurs d'IPv4, personne peut prétendre le contraire...
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 26 janvier 2025 à 14:27:06
Et dire qu'il y a probablement encore des boites où tout le LAN est adressé publiquement...
Titre: Le CG-NAT arrive chez Orange
Posté par: seianec le 28 janvier 2025 à 20:14:05
Correction, vécu autour de moi: très peu de personnes savent s'ils ont une connexion IPv6 ou pas.

Par contre, les serveurs internet dual stasck voient en moyenne 67% de leurs clients de France être en IPv6 en décembre 2024: 2eme graphique dans https://lafibre.info/ipv6/ipv6-pays/

Mais je rejoins quand même le fait que même quand j’héberge chez moi un serveur, l'IPv4 est encore obligatoire par rapport au marché que je vise:
- si je veux que ce soit accessible à partir d'un réseau d'entreprise, 99% sont IPv4 only.
- je connais également une personne, chez elle, qui coupe exprès l'IPv6 sur son PC, alors qu'elle a une Freebox avec une IPv6.

Ca rentre en résonnance avec le Linky et la 5G du vaccin Covid sûrement !
Titre: Le CG-NAT arrive chez Orange
Posté par: basilix le 28 janvier 2025 à 20:38:47
IPv6 a été conçu dans les années 90. Il serait temps de se mettre à la page !  8)
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 28 janvier 2025 à 21:20:22
IPv6 a été conçu dans les années 90. Il serait temps de se mettre à la page !  8)

La standardisation date de 2017  ;)
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 29 janvier 2025 à 02:41:40
Oui enfin... Entre la RFC de 1998 et celle de 2017 rien n'a réellement changé, tout au plus quelques ajustements et enfin un truc officiel.
Titre: Le CG-NAT arrive chez Orange
Posté par: Mastah le 29 janvier 2025 à 03:28:33
Le problème d'IPV6 c'est que c'est ultra over engineer... Le seul souci d'IPV4 (en tout cas le souci principale) c'est le nombre total d'IP (2^32).
C'est pour ça que ça ne perce pas vite.
Titre: Le CG-NAT arrive chez Orange
Posté par: basilix le 29 janvier 2025 à 08:10:31
IPv6 est une évolution du protocole IP. Les choses se complexifient mais sont simplifiées, je ne pense pas que IPv6 soit sur-optimisé.
La théorie sur laquelle est basée IP est similaire en IPv4 et IPv6. IPv6 a été élaboré car IPv4 ne passe pas la mise à l'échelle et ne
pourra pas répondre aux évolutions. Les conceptions IPv4 et IPv6 ne se déroulent pas dans le même contexte, ne suivent pas les
même voies (interconnexions, sécurité, extensibilité...). Il ne faut pas oublier que IPv4 a été remodelé il y a déjà longtemps, à
contre-courant du modèle initial (disparition de principe), afin de pouvoir s'adapter à l'expansion du réseau Internet.

Les entreprises peuvent techniquement se mettre à niveau en IPv6.

Que se passera t'il si les entreprises restent en IPv4 ? Leurs services seront dégradés voire ne fonctionneront plus correctement.
Elles ne seront plus en phase avec les autres dans le monde (étant cloisonné dans l'Internet v4).

De nos jours (dans la société actuelle), IPv4 devient une source de nuisance pour faire de l'innovation.
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 29 janvier 2025 à 09:34:39
De nos jours (dans la société actuelle), IPv4 devient une source de nuisance pour faire de l'innovation.

Hm, pas besoin d'aller jusqu'à faire des choses très innovantes... Mes tunnels wireguard qui passent par le CGNAT mobile d'Orange subissent beaucoup de perte de connectivité/timeouts, probablement du fait de saturations des tables du CGNAT.

La solution habituelle est de reconfigurer la connexion mobile en IPv6 afin que le tunnel soit v6 de bout en bout, mais en fonction de l'abonnement et de l'IMEI du modem, l'APN ne fournit pas toujours d'IPv6.
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 29 janvier 2025 à 09:45:55
Le problème d'IPV6 c'est que c'est ultra over engineer...

Que trouves-tu d'over-engineered? À mon sens, SLAAC rend l'auto-configuration super simple (plus besoin de DHCP) sur le LAN. NAT64 permet de migrer des réseaux d'accès entiers vers single stack.
On a remplacé ARP par ND, ce qui n'est pas une mauvaise chose sur les grands réseaux wifi, même si je concède que les contrôleurs wifi actuels gèrent bien le problème des ARP storms... mais de facon propriétaire.
Le reste, c'est de l'IP. Adresse source, adresse destination, routage simple, basta. On s'évite les NAT, on remet le réseau à plat.

Le seul souci d'IPV4 (en tout cas le souci principale) c'est le nombre total d'IP (2^32).
D'où découlent de nombreux problèmes de perf et de qualité de service, du fait de l'empilement des NAT.

C'est pour ça que ça ne perce pas vite.

Le démarrage a été lent, mais on ne peut plus dire que ca n'a pas percé en 2025. Et ca fonctionne sans souci, en tout cas mieux que la qualité de service offerte par le réseau v4, selon moi.

À mon sens, si le déploiement n'est pas plus rapide, c'est surtout de la résistance au changement.
Titre: Le CG-NAT arrive chez Orange
Posté par: zergflag le 29 janvier 2025 à 18:13:17
Oui enfin... Entre la RFC de 1998 et celle de 2017 rien n'a réellement changé, tout au plus quelques ajustements et enfin un truc officiel.

Oui donc plus d'excuse depuis 2017 (au moins) pour migrer !
Titre: Le CG-NAT arrive chez Orange
Posté par: Mastah le 30 janvier 2025 à 02:06:18
IPv6 est une évolution du protocole IP. Les choses se complexifient mais sont simplifiées, je ne pense pas que IPv6 soit sur-optimisé.

J'ai dit over engineer, pas trop optimisé.
https://en.wikipedia.org/wiki/Overengineering
https://medium.com/just-tech-it-now/les-sympt%C3%B4mes-de-lover-engineering-78ebd963a81

Je maintient ce que j'ai dit. L'IPV6 est over engineer.
Titre: Le CG-NAT arrive chez Orange
Posté par: basilix le 30 janvier 2025 à 07:53:14
Overengineered?

Le terme « suroptimiser » est dérivé d'un mot français courant (sur- et optimiser) et cela a le mérite de ne pas encastrer les superlatifs.

Titre: Le CG-NAT arrive chez Orange
Posté par: MaxLebled le 30 janvier 2025 à 08:17:37
J'ai aussi déjà vu le terme « surdéveloppé » utilisé : https://www.reddit.com/r/surdev/top/?sort=top&t=all
Titre: Le CG-NAT arrive chez Orange
Posté par: tutosfaciles48 le 30 janvier 2025 à 10:22:09
Citer
J'ai dit over engineer, pas trop optimisé.
https://en.wikipedia.org/wiki/Overengineering
https://medium.com/just-tech-it-now/les-sympt%C3%B4mes-de-lover-engineering-78ebd963a81

Je maintient ce que j'ai dit. L'IPV6 est over engineer.

On pourrais dire que c'est aussi le cas pour l'ipv4, car étant donné qu'à la base c'était une IP par machine, avec toute les bidouilles que l'on doit faire de nos jours pour faire fonctionner la stack v4, j'appelle ça aussi de l'overengineering :
- NAT
- CGNAT
- RFC1918 (ranges d'ip "privées")
- RFC ...

Toutes ces actions pour combler une faiblesses de cette version du protocol, je trouve que ça fait beaucoup pour continuer dans cette voie ...
Titre: Le CG-NAT arrive chez Orange
Posté par: Optix le 30 janvier 2025 à 10:31:55
Je maintient ce que j'ai dit. L'IPV6 est over engineer.

Je comprends qu'entre IPv4 et IPv6 il peut y avoir un "gap" important pour certains pour migrer.

Mais de l'autre côté, en restant dans l'IPv4 et ajouter au fur et à mesure des besoins des systèmes de CGNAT & cie, ça a complexifié à petit feu le protocole jusqu'à devenir plus complexe qu'IPv6 en réalité.

Je le vois clairement aujourd'hui : les jeunes qui sortent de l'école sont largués avec ces notions.
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 30 janvier 2025 à 10:49:19

Je le vois clairement aujourd'hui : les jeunes qui sortent de l'école sont largués avec ces notions.
Ils sont largués sur v4 ou sur v6? Les promos 2023-2024 (ou même celles à venir) que j'ai pu rencontrer galèrent avec v4, mais n'ont eu "qu'une slide sur v6 dans leur cours de réseau".

en restant dans l'IPv4 et ajouter au fur et à mesure des besoins des systèmes de CGNAT & cie, ça a complexifié à petit feu le protocole jusqu'à devenir plus complexe qu'IPv6 en réalité.
C'est même pire que cela, car la qualité de service d'IPv4 diminue au fur et à mesure que les *autres* participants déploient ces équipements. Donc même si on maitrise les empilements de NAT sur son propre réseau, on va subir la dégradation liée aux autres réseaux.
Titre: Le CG-NAT arrive chez Orange
Posté par: MoXxXoM le 30 janvier 2025 à 14:44:35
Ils sont largués sur v4 ou sur v6? Les promos 2023-2024 (ou même celles à venir) que j'ai pu rencontrer galèrent avec v4, mais n'ont eu "qu'une slide sur v6 dans leur cours de réseau".
Après il n'est pas rare que des profs enseignent encore les classes d'IP sans préciser que c'est un concept dépassé et sans expliquer CIDR, perso j'ai eu des cours sur ATM qui présentait ça comme le truc du futur a une époque ou il était déjà clair que ça n'avait pas d'avenir.

Après je suis assez sidéré de lire qu'IPv6 est suroptimisé/overengineered/etc. quand on voit la complexité des grosses infrastructures mises en place pour palier au manque d'IPv4, il faut quand même réaliser que sur de gros réseaux mobile les infras de CGN sont loin d'être négligeables. Et puis cette lubie au nom de la simplicité prétendue d'IPv4 ça a quand même poussé des infras horribles avec du NAT partout, les horreurs sous k8s avec du NAT de partout qui finissent par planter parce que les tables de NAT sont remplies c'est pas de la suroptimisation ou de la suringéinierie, c'est juste de la ***de parce que c'est pensé pour de l'IPv4 sans absolument aucune raison valable de ne pas avoir fait de l'IPv6 dès de le début.

Après je veux bien entendre qu'effectivement il y a certains trucs bien précis qui peuvent poser des vrais problème (typiquement du MPLS avec un underlay IPv6-only il y a même eu une RFC qui détaillait la situation https://datatracker.ietf.org/doc/html/rfc7439 (https://datatracker.ietf.org/doc/html/rfc7439)), par contre pour du lan de base ça fait 20ans+ que c'est fonctionnel, il fut un temps ou même Wanadoo offrait une béta avec de l'IPv6 sur inscription (bon après ils ont fermé la beta et ça a été un peu la traversée du désert...).
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 30 janvier 2025 à 20:31:40
Après il n'est pas rare que des profs enseignent encore les classes d'IP sans préciser que c'est un concept dépassé et sans expliquer CIDR, perso j'ai eu des cours sur ATM qui présentait ça comme le truc du futur a une époque ou il était déjà clair que ça n'avait pas d'avenir.
Je confirme, j'ai eu droit à ca. C'était en ~2008-2010, mais le classful état déjà mort et ATM, je t'en parle pas.

les horreurs sous k8s avec du NAT de partout [...], c'est juste de la ***de parce que c'est pensé pour de l'IPv4 sans absolument aucune raison valable de ne pas avoir fait de l'IPv6 dès de le début.

À mon sens, la raison, c'est que les devs ne connaissaient pas IPv6. Voir aussi : docker jusqu'à il y a encore... quelques mois ?

C'est pour cela que certains disent que c'est over engineered, trop complexe, ou autre. Méconnaissance, résistance au changement, tout ca. On a ca dans toutes les industries. J'ai croisé un chauffagiste l'autre jour qui m'a dit "les pompes à chaleur, c'est de la sorcellerie. moi je fais gaz et fioul et c'est tout".
Titre: Le CG-NAT arrive chez Orange
Posté par: Mastah le 31 janvier 2025 à 02:43:02
Le problème d'IPV6 c'est qu'ils auraient du faire un base 64 et non 128.

Jamais avant plusieurs millénaire on utilisera la plage complète. La preuve que c'est totalement oversize, une délégation c'est /64. C'est juste n'importe quoi ...

Idem la lecture ... Plutôt que de faire 0000 - ffff, ils auraient pu faire 0 - 65355, ça aurait été plus simple pour la compréhension, la lisibilité, la création des masque, etc... Oui ce n'est pas à terme un système design pour l'homme, ok. Mais c'est bien un humain qui doit lire, analyser, comprendre ...

Et SLAAC qu'elle mauvaise idée. Impossibilité dans le principe d'obtenir une IP connu à l'avance, c'est juste complètement con. C'est tellement con, qu'il y a une spec en parallèle pour faire du DHCPv6 classique.
Puis tu as le local link, le global link... Ca complexifie la compréhension et l'usage pour pas grand chose en avantage.


IPV6 aurait été bien et rapidement mis en place si :
- la plage était sur 64 (au lieu de 128)
- le système type SLAAC soit mi sous un protocole DHCPv6 qui permet de faire à la fois une attribution auto et prédéfini (lease)
- plutôt que d'utiliser hexa, utiliser décimal
Titre: Le CG-NAT arrive chez Orange
Posté par: basilix le 31 janvier 2025 à 09:24:30
@Mastah

On peut facilement faire des conversions hexadécimal en binaire. Un chiffre hexadécimal est équivalent à 4 chiffres binaires (1 quartet).

Créer des masques binaires puis convertir en notation CIDR ne me semble pas ardu. Le décalage correspond à une multiplication ou à une division par deux suivant le sens.
Cela forme des blocs d'adresses (ou plages) potentiellement imbriqués les uns dans les autres.

SLAAC décompose l'IP en deux. L'identifiant d'interface peut être fixé en choisissant parmis plusieurs techniques. Le préfixe réseau est annoncé par le routeur. On peut presque
obtenir l'équivalent d'une adresse statique avec un identifiant stable opaque (recommandé, car auparavant c'était EUI-64), lorsque le préfixe change peu souvent. Pouvoir utiliser
plusieurs adresses IP en parallèle est astucieux. DHCPv6, c'est selon les besoins. Je suis parti de zéro dans « ma formation » en réseautique sans rien connaître et je n'ai pas eu
l'impression que IPv6 soit plus difficile à assimiler que IPv4. Après avoir acquis des bases fondamentales, le MOOC « Objectif IPv6 » a fortement comblé ma méconnaissance sur
le sujet : avant de suivre le MOOC, je n'avais que des notions sur IP et ensuite cela m'a permis de percevoir comment configurer mon réseau. Ce n'est pas tellement réussi ou
vraiment satisfaisant dans l'ensemble pour moi (pénible), mais cela peut être gratifiant au final. Donc, je rejoins les autres : c'est la résistance au changement qui influe sur la
perception par rapport à IPv6.
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 31 janvier 2025 à 10:55:12
Le problème d'IPV6 c'est qu'ils auraient du faire un base 64 et non 128.

Jamais avant plusieurs millénaire on utilisera la plage complète. La preuve que c'est totalement oversize, une délégation c'est /64. C'est juste n'importe quoi ...
Je crois qu'ils ont été échaudés d'avoir pensé à peu près la même chose pour v4 et que du coup, ils ont un peu surcorrigé.

On aurait en effet pu avoir une taille standard de subnet sur 32 bits, mais du coup, on se retrouve avec seulement 32 bits de prefixe si on veut rester sur 64 bits, ce qui n'est pas si grand que cela.
Si on garde 64 bits de préfixe pour avoir de la marge et ne pas se retaper des NAT et un marché de transfert dans 20-30 ans, on se retrouve avec 96 bits d'adresse. C'est un peu étrange comme longueur, mais ca aurait probablement fait le job.

Mais est-ce que ca change réellement quelque chose à l'utilisation? Que tu copies/colle 128 bits, 32 ou 64 en configurant des équipements, c'est un peu pareil selon moi.

Idem la lecture ... Plutôt que de faire 0000 - ffff, ils auraient pu faire 0 - 65355, ça aurait été plus simple pour la compréhension, la lisibilité, la création des masque, etc... Oui ce n'est pas à terme un système design pour l'homme, ok. Mais c'est bien un humain qui doit lire, analyser, comprendre ...
Préférence personnelle, je pense. Personnellement, je préfère l'hexa car ca permet d'appliquer le masque visuellement dans la majorité des cas (i.e. si le masque s'arrête sur un nibble, ce qui est quasiment toujours le cas étant donné qu'on a un espace d'adressage énorme).

Avec une représentation décimale, les adresses seraient encore plus longues, d'ailleurs, donc probablement moins lisibles si on suit ton chemin de pensée.

Et SLAAC qu'elle mauvaise idée. Impossibilité dans le principe d'obtenir une IP connu à l'avance, c'est juste complètement con. C'est tellement con, qu'il y a une spec en parallèle pour faire du DHCPv6 classique.
Pour ma part, à chaque fois que je rencontre DHCPv6 sur un LAN (sans qu'il soit utilisé pour faire de la délégation de préfixe ou pour des cas spécifiques tels que netboot) c'est parce que l'admin essaye de raisonner comme si v6 était v4 avec plus de bits d'adresse.

J'apprécie SLAAC car je n'ai pas besoin de serveur DHCP. Tout se configure à un seul endroit (le routeur), pus besoin de relais DHCP, etc. Et pour corréler une machine avec une adresse IP, je dump les tables NDP sur les routeurs.

Puis tu as le local link, le global link... Ca complexifie la compréhension et l'usage pour pas grand chose en avantage.
On pourrait discuter des avantages que cela apporte, mais au dela de ca, si tu pars du principe que les adresses link-local ne sont utilisées que pour RA et ND, on avait la même chose en IPv4. C'est juste qu'ARP n'était pas visible sur la config de l'interface (car il ne nécessite pas de conf, ou très peu), que les router advertisements en IPv4 (sur ICMP, donc) n'ont jamais été déployés faute de vrai besoin, et que la majorité des utilisateurs ignorent IGMP. Mais la complexité est bien là en v4, à mon sens.

Si les OS avaient caché les link-local, on ne les verrait pas, mais la fonctionnalité serait bien là... invisible, ce qui est pire à mon sens. Un peu comme en v4, quoi.
Titre: Le CG-NAT arrive chez Orange
Posté par: MoXxXoM le 31 janvier 2025 à 11:01:19
Le choix du suffixe en SLAAC est possible coté client sinon... Ca permet d'avoir des IPv6 très raccourcies sur des réseaux simples, avec un préfixe ULA bien choisi ça permet d'avoir un adressage local, y compris en SLAAC, plus court qu'en IPv4 (fd00::42 par exemple...)
Titre: Le CG-NAT arrive chez Orange
Posté par: stanthewizzard le 31 janvier 2025 à 11:03:02
suis en ipv6 de mon coté
mais effectivement pas mal de chose en mode serveur ca va poser problème

Et je n'ai toujours pas l'option sur ma livebox en plus
Titre: Le CG-NAT arrive chez Orange
Posté par: MaxLebled le 31 janvier 2025 à 12:52:57
Idem la lecture ... Plutôt que de faire 0000 - ffff, ils auraient pu faire 0 - 65355, ça aurait été plus simple pour la compréhension, la lisibilité, la création des masque, etc... Oui ce n'est pas à terme un système design pour l'homme, ok. Mais c'est bien un humain qui doit lire, analyser, comprendre ...

(...)
- plutôt que d'utiliser hexa, utiliser décimal

En soi, est-ce qu'il y a quelque chose qui nous empêche d'utiliser ipv6 seulement en base 10 ? :)

Qui peut le plus peut le moins... mais en effet, ça pourrait être une option standardisée pour faciliter la lecture dans les réseaux locaux... pouvoir demander à son routeur de donner des ipv6 sans ABCDEF
Titre: Le CG-NAT arrive chez Orange
Posté par: basilix le 31 janvier 2025 à 13:22:25
@simon:

DHCPv6 sert à gérer dynamiquement la configuration des hôtes (c'est dans le nom  ;)) et déléguer des préfixes. SLAAC sert essentiellement à attribuer une adresse IP.

@MoXxXoM:

Cela augmente la probabilité que les hôtes soient ciblés lors d'un balayage automatique d'une liste contenant des IID prédéfinis. Ce n'est pas tellement préconisé à ce
qu'il me semble.
Titre: Le CG-NAT arrive chez Orange
Posté par: MoXxXoM le 31 janvier 2025 à 14:38:33
@MoXxXoM:

Cela augmente la probabilité que les hôtes soient ciblés lors d'un balayage automatique d'une liste contenant des IID prédéfinis. Ce n'est pas tellement préconisé à ce
qu'il me semble.
Ça dépend des perspectives, pour un poste client c'est très dispensable en effet, en revanche pouvoir avoir un suffixe stable c'est quand même intéressant, et officiellement documenté par plusieurs RFC, dont la RFC7217 et la RFC8064.

Et le suffixe n'est donc pas nécessairement court ou facilement déterminable, il y a une petite discussion concernant linux ici https://lafibre.info/serveur-linux/fixer-une-ipv6-sur-un-serveur/ (https://lafibre.info/serveur-linux/fixer-une-ipv6-sur-un-serveur/) qui présente deux possibilités (suffixe choisi complètement à la mano, possiblement court mais pas forcément, avec ip token [...], et le fait d'avoir un suffixe stable dont le calcul dépend d'une valeur secrète mais qui reste donc déterministe avec stable_secret). Le fd00::42 c'était essentiellement pour illustrer le fait qu'à petite échelle on peut garder son NAS avec une IPv6 facile à retenir et donc que l'argument "une ipv6 c'est trop long" peut être mis en défaut ; après sur certaines choses comme les IP des DNS publics du genre Google, Quad9 ou Cloudflare le motif IPv6 ne sera jamais aussi simple qu'en IPv4.
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 31 janvier 2025 à 14:55:41
DHCPv6 sert à gérer dynamiquement la configuration des hôtes (c'est dans le nom  ;)) et déléguer des préfixes. SLAAC sert essentiellement à attribuer une adresse IP.

SLAAC permet effectivement de configurer des adresses et une route par défaut. En plus de cela, il courament utilisé pour annoncer des serveurs DNS + une "search list" et, de plus en plus, annoncer un préfixe de NAT64 (option PREF64).
Il peut aussi distribuer des routes plus spécifiques, annoncer/retirer des préfixes, etc.
C'est beaucoup plus évolué qu'une simple configuration d'adresse, et donc il y a doublon sur pas mal de fonctionnalités avec DHCPv6. D'où le fait que DHCPv6 n'est que très peu utilisé sur les LAN.
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 31 janvier 2025 à 15:02:53
Cela augmente la probabilité que les hôtes soient ciblés lors d'un balayage automatique d'une liste contenant des IID prédéfinis. Ce n'est pas tellement préconisé à ce
qu'il me semble.

Si il y a crainte d'une attaque sur les machines, les bonnes pratiques suggestent la configuration d'ACL, de règles de filtrage ou firewalling au niveau du routeur ou plus en amont dans le réseau.

Personnellement, je ne filtre pas grand chose sur les routeurs. J'ai tendance à gerder le réseau neutre et sans filtrage, y compris pour ce qui vient d'internet, et laisse les stations se protéger d'elles-même.
Cela fait plusieurs années que les PC clients se protègent relativement bien de ce qui vient d'internet, même Windows. Ils ont tous un firewall activé par défaut, ou activable très facilement.

Il peut y avoir des problèmes de sécurité sur des clients IOT qui sont mal ou pas protégés, mais 1) je n'en déploie pas et n'en conseille pas et 2) si de tels clients il y a, je recommande de les placer sur un VLAN à part, qui lui, va filtrer.

Pour tous les réseaux de gestion de bâtiment ou industriels, ma recommendation est de les isoler d'internet, et à priori l'ANSSI va dans ce sens.

Après, chacun a sa politique de sécurité, bien sûr.
Titre: Le CG-NAT arrive chez Orange
Posté par: levieuxatorange le 31 janvier 2025 à 16:54:39
En soi, est-ce qu'il y a quelque chose qui nous empêche d'utiliser ipv6 seulement en base 10 ? :)

Qui peut le plus peut le moins... mais en effet, ça pourrait être une option standardisée pour faciliter la lecture dans les réseaux locaux... pouvoir demander à son routeur de donner des ipv6 sans ABCDEF

Dans les truc drole j'avais vu cela : IPv6 en mots anglais.

https://s.sami-lehtinen.net/say-ipv6/

On peut même faire de l'IPv6 en pure anglais.

LeVieux
Titre: Le CG-NAT arrive chez Orange
Posté par: renaud07 le 31 janvier 2025 à 17:42:23
SLAAC permet effectivement de configurer des adresses et une route par défaut. En plus de cela, il courament utilisé pour annoncer des serveurs DNS + une "search list" et, de plus en plus, annoncer un préfixe de NAT64 (option PREF64).
Il peut aussi distribuer des routes plus spécifiques, annoncer/retirer des préfixes, etc.
C'est beaucoup plus évolué qu'une simple configuration d'adresse, et donc il y a doublon sur pas mal de fonctionnalités avec DHCPv6. D'où le fait que DHCPv6 n'est que très peu utilisé sur les LAN.

En parlant des routes, ce que je trouve dommage c'est qu'on soit obligé de passer par SLAAC et donc avoir un radvd par ex qui tourne (et ne pas se tromper dans la config au risque de se faire router les paquets au mauvais endroit). J'aurais préféré  les annoncer par DHCPv6. Dommage que ça ne soit resté qu'à l'état de draft, même s'il semble que dhclient le prend toujours en charge : https://www.isc.org/blogs/routing-configuration-over-dhcpv6-2/
Titre: Le CG-NAT arrive chez Orange
Posté par: simon le 31 janvier 2025 à 19:27:44
Oui, on aurait pu penser que DHCP offre la même possibilité.

À mon sens, la raison pour laquelle ils ne l'ont pas fait est simple: seuls les routeurs en capacité de router s'annoncent par émission de RA. Si le routeur tombe, le RA n'est plus annoncé, la/les routes non plus, et elles finissent par expirer automatiquement. On a un réseau beaucoup plus dynamique, où l'on peut ajouter/retirer des routeurs aisément.

C'est aussi la raison pour laquelle on ne peut pas spécifier un next hop dans les annonces de routes du RA : c'est forcément l'émetteur du RA qui est le routeur. Ce n'est pas le cas pour l'option RDNSS, par exemple.

Et dans tous les cas, comme il te faut un RA avec le flag M pour qu'une station fasse une requete DHCPv6, autant que les routes soient annoncées par le RA. Ca te permet d'avoir plusieurs routeurs sur le lien et qu'ils aillent et viennent sans avoir besoin d'en informer le serveur DHCP.
Titre: Le CG-NAT arrive chez Orange
Posté par: thsdrd le 19 février 2025 à 13:58:53
On a déjà eu des retours de clients basculés en CG-NAT ?
Titre: Le CG-NAT arrive chez Orange
Posté par: yussef961 le 20 mai 2025 à 12:12:41
tient c'est rigolo souvent un truc je disais...
au niveau de Free c'est carré : y'a option full stack dans espace client. sinon partage de ports, jouable en modifiant les ports dans les parametres serveur etc
au niveau de Sfr c'est carré : on vous fout le cgnat forcé par defaut ben la coin coin ya rien à faire et appeler le sévice client reputé pour sa qualité
au niveau de Bouygues : dans 95% des cas ya une ip non partagée, mais facilement demandable dans espace client sinon ou qui s'active l'option en cas d'ouverture de port (malin)
au niveau d'Orange justement : c'etait le moins clair finalement. A priori y'avait aucun client en cgnat mais je me disais ils pourraient y passer aussi comme ca... sans prévenir trop
Titre: Le CG-NAT arrive chez Orange
Posté par: yussef961 le 20 mai 2025 à 12:14:47
Je comprends qu'entre IPv4 et IPv6 il peut y avoir un "gap" important pour certains pour migrer.

Mais de l'autre côté, en restant dans l'IPv4 et ajouter au fur et à mesure des besoins des systèmes de CGNAT & cie, ça a complexifié à petit feu le protocole jusqu'à devenir plus complexe qu'IPv6 en réalité.

Je le vois clairement aujourd'hui : les jeunes qui sortent de l'école sont largués avec ces notions.

mouai jai un bac+4 en info systemes automatisé , j'ai 52 ans j'ai connu le minitel pourtant jai migré simplement mes serveur en dual stack...
le plus penible etant les regle de pare feu etc mais ca marche.
Apres j'aime mon ipv4 car l'habitude etc mais si y'a plus d'ipv4 je m'en sortirai
Titre: Le CG-NAT arrive chez Orange
Posté par: yussef961 le 20 mai 2025 à 12:17:21
ah dernier point : j'avais essaye de passer en full ipv6 , sans ipv4 donc. ben depuis ma sim lebara en 5g impossible d'acceder a mon site...
Titre: Le CG-NAT arrive chez Orange
Posté par: Paul le 26 mai 2025 à 19:12:01
Avais-tu bien mis à jour tous tes enregistrements DNS ? Ton site a peut-être des dépendances à des CDN ou contenus disponibles uniquement en IPv4, ce qui pourrait le faire sembler « cassé ». Mais dans ce cas, tu devrais quand même avoir le principal du style et du contenu qui charge.

J’ai quelques services comme Mastodon et Home Assistant avec un enregistrement IPv6 seul, mais les machines ont accès à l’IPv4. Aucun problème depuis tous les endroits qui disposent de l’IPv6.

L’IPv6 seul sur un réseau est encore trop castrateur. Il faut au moins déployer un DNS64/NAT64 (et c’est un peu complexe).
Titre: Le CG-NAT arrive chez Orange
Posté par: yussef961 le 26 mai 2025 à 19:15:24
non tout simplement lebara offre pas de connectivite ipv6...
Titre: Le CG-NAT arrive chez Orange
Posté par: Paul le 26 mai 2025 à 19:23:34
En effet, c’est vite réglé.

Ma culture des MVNO n’est pas très étendue, je pensais qu’ils avaient tous fait en sorte de rendre disponible l’IPv6 du réseau partenaire maintenant que c’est activé sur tous.
Titre: Le CG-NAT arrive chez Orange
Posté par: yussef961 le 26 mai 2025 à 19:40:33
apres j'avoue je gere pas les dns au niveau de mon serveur... j'utilise un registrar no ip sur lequel je fais pointer ma box en ipv4 en A et l'ipv6 de la carte reseau en AAAA et avec le nat donc sur la box pour l'ipv4
actuellement chez Bouygues ca marche tres bien le faisait chez Free et chez Orange avant sans probleme