Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 302894 fois)

halesk2k · « **Réponse #1260 le:** 05 mars 2025 à 19:25:22 »

Citation de: levieuxatorange le 17 janvier 2025 à 09:28:36

Pour la co IPv4 entrante (@renaud07) y'a deux choses possibles :
- c'est une co "on the fly" et là y'a un protocole (me souviens jamais de l'acronyme) qui fait parti du lot pour ce genre de truc en DS-LITE => là pas gênant.
Cela marche très bien pour tout un tas de cas.
- c'est une co de type "auto hébergement" avec ouverture d'un port spécifique et là cela pose soucis pour le partage d'@IPv4, y'a pas de raison que ceux avec qui tu pourrais partager ton IP ne veulent pas faire strictement là même chose.

Là je dirais qu'il faut commencer à faire cela en IPv6 (c'est ce que moi je fais)

LeVieux

Je me permets de rebondir la dessus "il faut commencer à faire cela en IPv6 (c'est ce que moi je fais)"

Comment on héberge proprement un service en IPv6 avec un prefix dynamique, comme c'est le cas chez Orange/Sosh?

Un début de solution qui ne serait pas une usine à gaz, c'est d'installer un service qui surveille l'IPv6 de la machine localement et va mettre à jour un DNS quand celle-ci change. Autrement dit, déporter le "dyndns" du routeur sur chacune les machines finales.
Mais:
- comment on gère le moment de changement de prefix? avec des lease DHCPv6 d'une semaine, la machine aura un moment plusieurs IPv6 de plusieurs prefix différents.
- comment on gère un firewall "réseau" (je ne parle pas d'un IPTables local) qui filtre les flux de/vers des machines avec des IPv6 dynamiques "SLAACé", dans des subnet avec des prefixs dynamique?

Avec du scripting d'usine à gaz, y a surement moyen d'arriver à un truc qui tombe en marche, mais alors:
- comment on fait quand l'équipement n'est pas scriptable? une caméra IP par exemple

d0do44i · « **Réponse #1261 le:** 05 mars 2025 à 19:37:00 »

Citation de: lekr le 05 mars 2025 à 19:05:01

c'est une bonne question … je n'ai jamais été dans ce cas, de mémoire. essaye, au pire tu auras perdu 15min sans net ;-)

Pas faux

zoc · « **Réponse #1262 le:** 05 mars 2025 à 20:15:47 »

Citation de: halesk2k le 05 mars 2025 à 19:25:22

Autrement dit, déporter le "dyndns" du routeur sur chacune les machines finales.

Le script sur le routeur c'est quand même le plus simple, même en IPv6, vu que le routeur, lui, il sait quand le préfixe change. Pendant très longtemps j'ai utilisé un script perso sur mon Mikrotik qui construisait une adresse IPv6 complète à partir du préfixe reçu et d'un suffixe "fixe", le tout dans une table (1 ligne par enregistrement DNS à mettre à jour). Mes noms de domaines sont hébergés chez Cloudflare.

Maintenant je n'ai plus ce problème, j'ai un /48 IPv6 fixe (un tunnel L2TP chez Milkywan).

d0do44i · « **Réponse #1263 le:** 05 mars 2025 à 20:25:11 »

Citation de: lekr le 05 mars 2025 à 19:05:01

c'est une bonne question … je n'ai jamais été dans ce cas, de mémoire. essaye, au pire tu auras perdu 15min sans net ;-)

Après 15 minutes ..... Une ipv6 est bound

lekr · « **Réponse #1264 le:** 05 mars 2025 à 20:25:58 »

parfait !

halesk2k · « **Réponse #1265 le:** 06 mars 2025 à 00:40:26 »

Citation de: zoc le 05 mars 2025 à 20:15:47

Le script sur le routeur c'est quand même le plus simple, même en IPv6, vu que le routeur, lui, il sait quand le préfixe change. Pendant très longtemps j'ai utilisé un script perso sur mon Mikrotik qui construisait une adresse IPv6 complète à partir du préfixe reçu et d'un suffixe "fixe", le tout dans une table (1 ligne par enregistrement DNS à mettre à jour). Mes noms de domaines sont hébergés chez Cloudflare.

Ok mais on entre clairement dans de la bidouille.

J'ai beau chercher, je ne trouve aucune solution propre.

Citation de: zoc le 05 mars 2025 à 20:15:47

Maintenant je n'ai plus ce problème, j'ai un /48 IPv6 fixe (un tunnel L2TP chez Milkywan).

J'ai exactement la même chose que toi: Un /48 en L2TP chez Milkywan pour pouvoir faire de l'hébergement en IPv6.

Pour revenir à Orange, aucune RFC ne préconise de donner des prefix dynamiques, et c'est même l'inverse.

RFC 3769: Requirements for IPv6 Prefix Delegation (https://www.rfc-editor.org/rfc/rfc3769.html#section-3.3)

Citer

3.3. Static and Dynamic Assignment

The prefix delegation mechanism should allow for long-lived static
pre-assignment of prefixes and for automated, possibly short-lived,
on-demand, dynamic assignment of prefixes to a customer.

Sur une connexion fibre permanente, ou même xDSL, c'est pas une connexion 4G... on devrait clairement avoir un "long-lived static pre-assignment of prefixes".

Il y a "IPv6" et "IPv6 by Orange".

Pour aller un peu plus loin dans la réflexion. On a plus de 500 millions d'IPv6 au mm² terrestre de notre planète. Et Orange n'assigne pas un prefix fixe par client certainement pour des raisons de segmentation de marché. Il faudrait pas qu'une société héberge son site web sur une connexion "non pro" qui coute 10x moins cher. Et si on veut déléguer de l'IPv6 sur un routeur derrière la box, c'est 1 prefix /64... impressive

Si je fais de l'admin système et réseau aujourd'hui, c'est parce que gamin, j'ai pu jouer avec le 56k, puis l'ADSL, héberger des serveurs falcon4, counter strike, et même héberger une web radio pour 3 pauvres auditeurs. La livebox, on ne peut même pas changer les DNS fournis par la box... L'IPv6 file des prefix dynamique... franchement ca me dépite. Le ticket d'entré pour pouvoir s'amuser, c'est au moins 200€ d'ONT, de media converter, de routeur pro, pour bypass la livebox...
Continuons de niveler par le bas, rendons ces boxs d'accès au web obligatoires (c'est déjà quasiment le cas avec les ONT intégré maintenant), surtout empêchons des vocations de se créer.
Ca, plus ca, plus ca, ... et on s'étonne que nos enfants ne s’intéressent plus à rien.

basilix · « **Réponse #1266 le:** 06 mars 2025 à 05:43:47 »

@halesk2k :

Il paraît que le préfixe IPv6 assigné par Orange sur une connexion fixe est stable. Mais on peut renouveler son préfixe via l'interface Orange de son compte client (vie privée).

Les standards RFC de l'IETF relatifs à IPv6 évoluent au fil du temps. D'ailleurs, le passage mentionné du RFC 3769 contredit clairement ton affirmation : un préfixe peut être
stable ou alors changer fréquemment (possibly, short-lived). Voir le RFC 7368 « Homenet ».

Citation de: RFC 7368

The offered prefix may be stable or change from time to time; it is generally expected that ISPs will offer relatively stable prefixes
to their residential customers. Regardless, the home network needs to be adaptable as far as possible to ISP prefix allocation
policies and assume nothing about the stability of the prefix received from an ISP or the length of the prefix that may be offered.

[...]

(ci-dessous, plus spécifique)

The norm for residential customers of large ISPs may be similar to their single IPv4 address provision; by default it is likely to
remain persistent for some time, but changes in the ISP's own provisioning systems may lead to the customer's IP (and in the
IPv6 case their prefix pool) changing. It is not expected that ISPs will generally support Provider Independent (PI) addressing
for residential homenets.

[...]

There may be cases where local law means some ISPs are required to change IPv6 prefixes (current IPv4 addresses) for
privacy reasons for their customers.

Source : https://www.rfc-editor.org/rfc/rfc7368#page-24

Je ne suis pas certain que ce soit une bonne idée, à notre époque (en 2025), de laisser ses enfants « jouer » avec sa connexion à l'Internet. L'écart de niveau devient
à mon avis très important. À minima il faut comprendre ce que l'on fait, et pouvoir éventuellement (potentiellement) faire face aux risques (agir).

basilix · « **Réponse #1267 le:** 06 mars 2025 à 06:00:01 »

@helesk2k :

Le DNS est probablement mis à jour dynamiquement. Des formateurs du MOOC « Objectif IPv6 » sont membres de l'association G6. Il y a un Wiki
mais je crois qu'il n'est pas très à jour.

Citation de: g6.asso.fr

Dans le cas de l'auto-configuration IPv6 sans état (RFC 4862) (cf. Configuration automatique), le client de mise à jour dynamique du DNS
(nsupdate par exemple) peut s'exécuter sur l'équipement-même concerné par la mise à jour. Dans le cas de l'autoconfiguration avec état
(DHCP) (cf. Configuration avec état :DHCPv6), le client de mise à jour peut soit s'exécuter sur l'équipement concerné soit être couplé au
serveur DHCP.

Source : https://livre.g6.asso.fr/index.php/NommageBis#4.1._Propagation_et_mise_.C3.A0_jour_dynamique_du_DNS

basilix · « **Réponse #1268 le:** 06 mars 2025 à 06:16:18 »

@helesk2k :

L'auto-hébergement est possible. Il faut renseigner les informations dans le fichier de zone DNS fourni par le registraire de nom de domaine.
La mise à jour dynamique peut être proposée comme option du service. On peut l'observer dans l'interface de la Livebox : Réseau > DynDNS.

Citer

Le service DynDNS permet d'attribuer un nom de domaine et d'hôte fixe, facile à mémoriser, à une adresse IP statique ou dynamique ou à une longue URL.

Utile, par exemple, si vous hébergez un site web ou un serveur FTP derrière votre Livebox pour le retrouver facilement (nom de type monserveur.dydns.org).

zoc · « **Réponse #1269 le:** 06 mars 2025 à 08:18:53 »

Citation de: halesk2k le 06 mars 2025 à 00:40:26

on devrait clairement avoir un "long-lived static pre-assignment of prefixes".

Attention, dans les RFC tous les mots sont importants, notamment le "should" dans ce cas qui fait que ce n'est en aucun cas une obligation mais une recommandation.

Paul · « **Réponse #1270 le:** 06 mars 2025 à 14:19:30 »

Citation de: zoc le 05 mars 2025 à 20:15:47

Le script sur le routeur c'est quand même le plus simple, même en IPv6, vu que le routeur, lui, il sait quand le préfixe change. Pendant très longtemps j'ai utilisé un script perso sur mon Mikrotik qui construisait une adresse IPv6 complète à partir du préfixe reçu et d'un suffixe "fixe", le tout dans une table (1 ligne par enregistrement DNS à mettre à jour). Mes noms de domaines sont hébergés chez Cloudflare.

Maintenant je n'ai plus ce problème, j'ai un /48 IPv6 fixe (un tunnel L2TP chez Milkywan).

Et pour le réadressage des machines, elles étaient en dynamique (DHCPv6 ?) et elles prenaient l'adresse mise à jour par ton script ?

renaud07 · « **Réponse #1271 le:** 06 mars 2025 à 15:43:37 »

Je suppose que ses machines sont en SLAAC avec ip token (suffixe fixe, c'est ce que j'ai mis chez moi aussi). Si c'est toujours le cas, le DHCPv6 mikrotik ne supporte pas l'adressage des machines (que la délégation de préfixe).