La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Gergg le 09 juin 2017 à 11:18:02
-
Bonjour,
Savez-vous quel sera l'impacte de la virtualisation de la LB si l'on souhaite mettre sont propre routeur ?
Double NAT obligatoire pour tous ?
Merci pour vos réponses
Greg
-
Salut,
Je me demande si du routage simple ne suffirait pas en fait, vu que toutes les ip sont privées.
Sinon il y aura peut-être une option pour bypasser. Ça serait l'idéal.
-
Il est donc acté que la partie routeur sera également virtualisée ? C-a-d que le subnet privé transitera sur la fibre via l'ONT ?
-
Pour l'instant je pense surtout qu'on en sait pas grand chose.
-
Il est donc acté que la partie routeur sera également virtualisée ? C-a-d que le subnet privé transitera sur la fibre via l'ONT ?
Je pense oui, j'ai du mal à voir l’intérêt de la virtualisation sinon.
On aura sûrement droit à la sortie de l'ONT à une box minimaliste avec un AP wifi qui se connecte sur un VLAN d'un côté et distribue un second subnet côté LAN avec du routage basique. Le reste (firewall, NAT, etc.) se faisant sur la LB virtuelle.
C'est comme ça que j'imagine le truc, mais je peux me tromper.
-
Livebox virtuelle ?
-
C'est le décodeur TV qui sera virtuel pas la Livebox routeur...
-
C'est le décodeur TV qui sera virtuel pas la Livebox routeur...
Ca veut juste dire qu'il sera dans la Livebox ?
-
non ca sera une "app" dans les smarts TV , dans Android TV et Apple TV, etc et probablement aussi un boitier minimaliste fournit pas Orange (de la taille d'un Chromecast par exemple) pour les gens non équipés.
C'est le même principe que le cloud gaming ou un bureau virtuel a distance (rdp, vnc, etc). bref du streaming video.
-
J'ai hâte de péter ça :P
-
Je viens de relire l'article de nextinpact (https://www.nextinpact.com/news/104190-le-plan-dorange-pour-virtualiser-sa-livebox.htm) sur le sujet, et il est dit qu'il y aura un bridge opéré sur la LB et que le routage se fera sur le réseau d'orange.
Donc c'est bien ça, la LB ne servira plus que de point d'accès tout bête. Et le décodeur aura disparu (excepté sous forme de clé). Ça va être chouette pour les vieux qui en sont encore à la péritel :P
-
J'y crois pas, vu le cout d'une box + le fait que le client la paye = aucun intéret à la virer...
-
J'y crois pas, vu le cout d'une box + le fait que le client la paye = aucun intéret à la virer...
C'est pas dit justement qu'ils virent la location de la box après l'avoir passé dans le cloud...
Car il y en aura toujours besoin pour raccorder un tel RTC et pour le wifi. On aura donc un boiter bête, au même prix que la vraie.
-
Donc aucun intéret de la passer dans le cloud, c'est bien ce que je dis ;)
-
Pourquoi le font-ils alors ? C'est bien que ça doit leur faire faire des économies...
-
J'ai lu l'article, si ils veulent ajouter un VPN, c'est pas en simplifiant l'ONU que ça se fera, tenir du VPN avec de bonnes perfs nécéssite des ASIC spécifiques ;)
Après pour moi, c'est la partie NAS/Services annexes qu'ils veulent """virtualiser""", Celle pour laquelle leur box manque clairement de puissance
-
J'y crois pas, vu le cout d'une box + le fait que le client la paye = aucun intéret à la virer...
J'ai pas compris. Tu trouves qu'une box-routeur c'est pas assez cher? Ou alors que c'est trop cher?
Au niveau "vente / marketing", je ne me fais aucun soucis sur le fait qu'Orange arrive à vendre ça au même prix qu'avant (location de box virtuelle? Frais de routage dans le cloud?). Free nous avait bien inventé des "frais d'accès à la boucle locale".
Juste en terme de "puissance de calcul", et consommation électrique, il me semble évident que c'est avantageux de faire une box comme ça. Les processeurs des box-routeur-NAS modernes sont quand même assez puissants, et ça consomme de l'électricité.
Remplacé ça par des routeurs centraux avec énormèment d'accélération matérielle, et une grosse mutualisation de ressources, je suis certain que ça fait un gain de conso électrique, et peut-être un gain sur l'investissement initial.
En terme de maintenance et mises à jour logicielles, là aussi, je vois un gain ENORME:
* faire des box client sans aucune intelligence, donc avec quasi aucun besoin de mise à jour
* faire toutes les fonctions un peu complexes dans le réseau, avec des équipements bien maitrisés
La mise à jour des "box" c'est un gros problème pour un opérateur fixe aujourd'hui.
Bref, je vois de nombreux avantages au concept de "box virtuelle", et en fait je me suis demandé pourquoi on ne faisait pas comme ça quasiment depuis le début de l'ADSL avec Box-routeur (Free).
Leon.
-
Donc, remplacer les Box-Routeur par autre chose, ça serait quoi selon toi ?
Prenons l'hypothèse d'un truc simple : Virer le routage pour passer sur du switch (c'est ce que j'ai compris de ta solution, c'est ça ?)
Coté materiel chez le client :
On passerait d'un routeur+ap-wifi+switch à un AP-Wifi+Switch : Déjà, tu perds le port USB si tu veux réduire l'intelligence au minimum, ensuite, je ne suis pas certain que la différence de conso entre un ASIC pour le routage et une puce de switching soit importante.
Coté backbone :
a) On passerait de plein de routeurs de collecte localisés dans les grandes villes à
1/ une collecte centralisée à paris sur d'énormes routeurs à tout faire (comme sur le mobile) : J'aime pas du tout :D
2/ une collecte régionalisée sur des routeurs plus petits (comme actuellement) : pas convaincu par les économies d'échelle
b) On passerait d'un modèle routé hierarchisé (Dorsale, Collecte, etc etc) à un modèle ou chaque client a un VLAN (sauf à vouloir avoir le même LAN que les voisins) qui serait transporté dans le backbone jusqu'au gros routeur : Pas super propre, pas super scalable, et si Orange a abandonné le PPP qui reposait un petit peu là dessus, y'a p-e des raisons liées à ça (j'en ai aucune idée, mais une infra DHCP me semble plus simple)
Du coup, abandonner cette infra pour économiser quelques watts coté client, je suis dubitatif, mettre toutes les capacités de firewall/nat/dmz dans le cloud, ça risque de couter deux jambes, et centraliser les clients sur d'énormes routeurs dont la conf passe son temps à changer, l'idée m'inquiète un peu vu de mon coté admin réseau, mais pourquoi pas...
Après, il faut raisonner avec les besoins du futur :
Avec IPv6, les capacités de traitement de paquets des box vont tendre à diminuer (à débit égal cela dit) : Plus de translation d'adresses, plus de translation de ports, plus de table de conntrack.
Avec la fibre, les services annexes vont tendre à être dans le Cloud, c'est une des pistes d'Orange d'ailleurs
Bref, avec ces points, j'ai du mal à voir l'intéret d'un combo '[Switch+AP Wifi]+Routeurs multifonctions Carrier Grade+VLANs dans le réseau' Vis à vis de l'architecture actuelle qui va tendre à se simplifier avec IPv6 ;D
My two cents :)
(Hors sujet : Pour les mises à jour des box, Free gère pourtant ça relativement bien avec son check à chaque redémarrage, et peut décider de forcer une MAJ sur tout un parc si besoin, y'a besoin de faire mieux ? )
-
Meme si techniquement virtualisé la partie routage est possible ca reste compliqué à mettre en oeuvre pour peu de gain immédiat.
C'est du NFV/SDN a très grande échelle, qu'Orange pratique déjà dans son réseau et collabore a des projets open source NFV/SDN, notamment https://www.opnfv.org/.
Par ailleurs, dans la livebox routeur actuelle on trouve déjà des éléments de ce type, notamment https://www.opendaylight.org/ (y'a des fichiers qui référencent NEMO et ODL dans la livebox).
Et y'a pas mal de mouvements et de coopération entre FAI a ce niveau depuis quelques années.
Apres , ca n'est pas impossible qu'Orange franchisse le pas si leur backbone derrière est déjà prêt pour ca.
-
IPv6? Le truc dont on parle depuis 15 ans et qui n'a toujours pas vu d'application concrète?
Perso, j'y crois pas...
Leon.
-
IPv6? Le truc dont on parle depuis 15 ans et qui n'a toujours pas vu d'application concrète?
Perso, j'y crois pas...
Leon.
Mais si mais si !
Regarde le nombre de sites Oueb qui possèdent des enregistrements AAAA :D
C'est trop cool !
-
IPv6? Le truc dont on parle depuis 15 ans et qui n'a toujours pas vu d'application concrète?
Perso, j'y crois pas...
Leon.
le but d'IPv6 c'est pas d'avoir une "application concrète".
C'est juste de remplacer progressivement IPv4. ca prend du temps mais ca arrive. C'est déjà 20% du trafic de Google, ce qui n'est pas rien.
-
J'espère juste qu'on pourra garder l'archi traditionnelle à côté, c'est tout ce que je demande.
Au pire je changerais de FAI, par contre faut pas qu'ils se mettent tous à faire ça... :'(
-
le but d'IPv6 c'est pas d'avoir une "application concrète".
C'est juste de remplacer progressivement IPv4. ca prend du temps mais ca arrive. C'est déjà 20% du trafic de Google, ce qui n'est pas rien.
Pas mieux, IPv6 c'est "96 more bits, no magic" :)
(Sinon le théorème de 'Plus la phrase est longue, plus la réponse est courte' s'applique bien :D)
-
Avec IPv6, les capacités de traitement de paquets des box vont tendre à diminuer (à débit égal cela dit) : Plus de translation d'adresses, plus de translation de ports, plus de table de conntrack.
Si on veut toujours un firewall qui bloque les connexions entrantes par défaut, il faut toujours une table de conntrack.
Par ailleurs, dans la livebox routeur actuelle on trouve déjà des éléments de ce type, notamment https://www.opendaylight.org/ (y'a des fichiers qui référencent NEMO et ODL dans la livebox).
Rien à voir :D
Ce sont des éléments SoftAtHome : NeMo est un des composants chargés de la gestion du réseau, et les odl sont des fichiers de description et/ou configuration du datamodel (cf https://github.com/rene-d/sysbus pour voir quelqu'un qui a regardé ce qui était accessible via les webservices utilisés par les pages web de configuration).
-
Si on veut toujours un firewall qui bloque les connexions entrantes par défaut, il faut toujours une table de conntrack.
Non, tu peux faire un firewall stateless sans conntrack ;-) : https://strongarm.io/blog/linux-stateless-firewall/
-
Non, tu peux faire un firewall stateless sans conntrack ;-) : https://strongarm.io/blog/linux-stateless-firewall/
Cette technique fonctionne pour le TCP, mais ce n'est pas 100% équivalent, on laisse potentiellement passer des paquets entrants indésirables (qui sont éliminés par la pile TCP de la machine qui les reçoit, mais attention au wake on lan intempestif).
Je vois mal comment l'appliquer à l'UDP, sauf comme dans l'exemple en restreignant les usages : même si on autorise le DNS (port source 53), QUICK (ports source 80/443), il y a par exemple le WebRTC qui utilise des ports dynamiques.
-
...et si Orange a abandonné le PPP qui reposait un petit peu là dessus, y'a p-e des raisons liées à ça (j'en ai aucune idée, mais une infra DHCP me semble plus simple)
D'autant plus que vu l'ampleur de la migration récente vers DHCP, ce serait étonnant de se relancer aussitôt dans un tel "bond en avant" !
Techniquement c'est surement faisable, économiquement (économies hardware vs dépenses SI) c'est déjà moins clair.
Au passage il faudra alors séparer totalement l'infra Orange Pro.
Et ensuite quel est le bénéfice concret en terme "d'expérience" ?
Chez l'utilisateur lambda la box remplit bien sa fonction, chez le technophile on veut garder la main sur le routage.
Quant à imaginer une sorte de VPN permanent entre le/les mobiles (orange 3/4G) et le domicile (fibré) du titulaire, pourquoi pas, mais plus vraiment d'intérêt si tout les services sont désormais dans le cloud.
Bref, peu réaliste à court terme je pense, pas très utile non plus.
-
Cela va peut-être pouvoir apporter des précisions.
" Le plan d'Orange pour « virtualiser » sa Livebox
Avec la virtualisation de la Livebox, Orange souhaite proposer plus de fonctionnalités à ses clients : magnétoscope numérique en ligne, contrôle parental, pare-feu plus performant, service client renforcé, etc. Reste maintenant à savoir qui pourra en profiter, quand et dans quelles conditions.
Lors de son dernier Show Hello (voir notre compte rendu), Stéphane Richard annonçait la « virtualisation de la box ». Ce service permet, selon les mots de l'opérateur, de « déplacer l’intelligence logicielle et la capacité de calcul de la Livebox vers des serveurs distants dans le réseau d’Orange ». Une annonce floue qui peut correspondre à tout... ou rien.
Nous avons donc contacté le FAI afin d'avoir de plus amples informations. Thibault de la Fresnaye, responsable innovation chez Orange, répond à nos questions.
Cette « virtualisation » qui aurait pu (dû ?) s'appeler Family VPN
Plus que de la virtualisation, le mot juste pour définir cette nouveauté d'Orange serait un VPN (réseau privé virtuel). D'ailleurs, notre interlocuteur nous explique qu'il était pendant un temps question de « Family VPN » pour nommer ce service. Une appellation qui aurait été plus logique comme nous allons le voir, mais certainement jugée moins frappante par les équipes marketing.
L'opérateur n'en est pas à son coup d'essai puisqu'il déjà transformé le Wi-Fi 802.11ac en « Super Wi-Fi ». Thibault de la Fresnaye nous donne sa vision de la virtualisation de la box : « effectuer dans le réseau des fonctions qui sont actuellement, ou qui seraient dans un avenir marketing, effectués à la maison. Le travail est déplacé depuis les différentes box vers nos serveurs ». Dans la pratique, « tout ce qui sera vu par la Livebox pourra être touché, modifié et calibré depuis le réseau, terminal par terminal, à partir du moment où ils sont connectés à la Livebox ».
Il ajoute que « c'est exactement la logique du VPN qu'on décline [...] Sur la Livebox, on effectue un pont (bridge) qui fait que le routage est réalisé dans le réseau d'Orange ».
Connectez-vous à distance à votre réseau local, laissez le service client y accéder
De votre côté, vous pouvez donc utiliser cette « virtualisation », ou plutôt ce VPN, pour vous connecter à distance à votre réseau local (en passant par les serveurs d'Orange évidemment). Pour rappel, cela n'a rien de nouveau : certains NAS et le boîtier Server des Freebox Révolution et mini 4K intègrent nativement un serveur VPN.
Pouvoir se connecter à distance à votre réseau local représente un avantage certain pour le service client qui, avec accord de l'utilisateur, peut avoir une vision de votre installation « beaucoup plus fine et à l'intérieur de la maison, derrière la Livebox ». Les diagnostics devraient ainsi s'en trouver facilités.
Vous pouvez également utiliser ce VPN pour vous connecter au réseau local d'un de vos contacts ou d'un membre de votre famille afin de l'aider à le configurer, transférer des fichiers, ou lancer des vidéos directement sur sa TV, comme si vous étiez chez lui via son réseau Wi-Fi. Pour les professionnels, c'est la gestion des sites multiples qui est simplifiée.
Interrogé sur la question de la sécurité de la connexion et la confidentialité des données, Orange nous précise simplement que le but est d'arriver au même niveau qu'un VPN d'entreprise, mais sans nous en dire d'avantage pour l'instant.
De nombreuses possibilités, vers une place de marché pour services tiers
Pour le FAI, les domaines d'application sont vastes, aussi bien pour le grand public que les professionnels. Pêle-mêle, Orange évoque la mise en place d'un contrôle parental géré depuis ses serveurs, de déployer un antivirus terminal par terminal, de gérer une maison connectée à distance, etc.
Il est aussi question de lancer des jeux avec un GPU dans le cloud, une tendance forte en ce moment sous l'impulsion de services comme GeForce Now de NVIDIA. Pour les professionnels, il est également question d'un commutateur téléphonique privé (PABX) directement hébergé sur les serveurs de l'opérateur.
La virtualisation promet une grande flexibilité : « des actions qu'on faisait à la marge et avec beaucoup de précautions dans la Livebox, car c'est lourd et pas forcèment sécurisé, pourront se faire directement dans le réseau d'Orange ». Ainsi, déployer un service supplèmentaire ne nécessitera plus de passer par une mise à jour du firmware.
Thibault de la Fresnaye nous affirme qu'une ouverture aux services tiers est prévue, et qu'il s'agirait d'un point « important ». Avec la virtualisation, il y a en effet la possibilité d'ouvrir un marketplace, qui pourrait s'appeler le LiveboxStore : « On offrira à des partenaires, de façon sécurisée et agile, tout d'un coup, un parc de clients qui est a minima notre parc Livebox » affirme notre interlocuteur.
Des offres d'essai gratuites seront proposées pour certains services payants. Pour la société, le bénéfice pourrait donc être financier, en prélevant un pourcentage sur les ventes de ses partenaires.
Avec le NPVR, enregistrez vos programmes sur les serveurs d'Orange
Dans tous les cas, la star de la virtualisation pour les équipes marketing est pour le moment le magnétoscope numérique en ligne, ou NPVR (Network Personnal Video Recorder). Au lieu d'être intégré au décodeur multimédia chez le client, il s'agit d'une application : lorsque vous enregistrez un programme, celui-ci n'est plus stocké sur le disque dur de la box, mais sur les serveurs d'Orange.
Une manière de faire qui n'est pas sans rappeler ce que propose déjà Molotov, par exemple. Si la société nous indique regarder de près ce service, dont le fonctionnement est jugé « extrêmement intéressant », elle affirme n'avoir « aucune relation avec eux ».
Avec le NPVR, il sera possible de programmer un enregistrement à distance, même avec sa Livebox éteinte. Autre avantage : on peut « théoriquement » sauvegarder autant de chaines que l'on souhaite en simultané, sans être limité par le débit de sa ligne. Les programmes doivent ensuite être accessibles partout, dans les limites légales évidemment.
Ce service est déjà en place en Roumanie, avant une extension en Espagne puis en France d'ici la fin de l'année, d'abord sous la forme d'un test. Dans l'Hexagone, cette fonctionnalité soulève une question : quid de la redevance copie privée et du barème qui sera appliqué ?
La solution technique fonctionne, reste à définir le cadre législatif
Si la situation en Roumanie et en Espagne est relativement simple, ce n'est pas le cas chez nous puisqu'il faut passer par « des négociations avec les chaines ». La loi Création demande en effet au distributeur qui ouvre un NPVR de passer une convention avec les éditeurs des services de télévision afin de définir les fonctionnalités de ce service de stockage, essentiellement sur la protection des flux et fichiers stockés.
Orange se refuse à faire le moindre pronostic, les discussions étant toujours en cours. Quant à savoir qui de l'opérateur ou du client supportera le coût de cette redevance, cela dépendra des cas : « Il faut qu'on s'y retrouve entre ce que l'on paye aujourd'hui comme disque dur chez les clients, la redevance copie privée qui va avec, l'abonnement intégré dans les offres premium qui prévoient la fonction de NPVR et les économies qu'on peut faire en basculant cette fonction dans le réseau ».
Bref, l'opérateur attend d'avoir toutes les cartes en mains avant de décider de son modèle économique et de la quantité de stockage qui sera proposé à ses clients. L’ensemble de ces opérations est tributaire des avancées réalisées en Commission copie privée. Celle-ci ébauche actuellement le barème provisoire des NPVR valable pour un an. Suivra ensuite un barème définitif, déterminé selon des études d’usages à venir.
Quels sont les délais de mise en place ? Quelles Livebox sont compatibles ?
Dans tous les cas, Orange nous explique que la mise en place de la virtualisation et des services qui vont avec ne sera pas un big bang. Progressivement, certaines fonctionnalités des box seront rapatriées sur les serveurs du FAI, en commençant par un public très ciblé, avant de monter en puissance. Des expérimentations ont d'ores et déjà commencé et elles devraient se renforcer au cours de l'année.
« À partir de mi-2018, on pourrait commencer pour certaines cibles à offrir quelques services clés, en particulier tout ce qui touche au service client », nous affirme Thibault de la Fresnaye. Les fonctionnalités proposées dépendront des choix de chacun des pays où Orange est présent, et rien ne semble arrêté pour le moment.
Le déploiement pourra se faire directement sur les Livebox 4 actuellement en service. Elles sont nativement compatibles avec la virtualisation selon Orange. Si cette box est sa priorité, le FAI ne laisse pas complètement de côté la Play (3e génération). Notre interlocuteur espère que la virtualisation pourra fonctionner dessus, au moins pour le service client.
Quant à savoir quelles offres (Zen, Play, Jet, Open) pourront en profiter et ce qu'il en sera pour les clients Sosh, ce sera aux équipes marketing de trancher le moment venu. Probablement pas avant l'année prochaine.
Les Livebox vont-elles disparaitre avec la virtualisation ?
Bien évidemment, les Livebox ne vont pas complètement disparaitre : il faudra toujours assurer une connexion avec les serveurs d'Orange, proposer du Wi-Fi dans la maison, du DECT pour la téléphonie, une prise USB pour brancher une clé ou un disque dur, etc. La partie modem évoluera certainement, mais « la Livebox restera ».
Même chose pour le décodeur TV (boîtier multimédia) : « Il y a un certain nombre de services qu'il faudra continuer d'assurer, en fonction des négociations avec les ayants droit, au plus près du client. Pour tout ce qui est transcodage, 4K et haute définition, ça serait compliqué et cher de le faire dans le réseau ». Les prochaines générations de box seront pensées pour la virtualisation et devraient donc intégrer une partie matérielle adaptée en conséquence.
La présentation de la Clé TV v2 durant le Show Hello n'est d'ailleurs pas anodine. En effet, celle-ci a été construite dans l'optique d'être un des instruments de la virtualisation : elle est pensée « pour des usages plus délinéarisés et un accès au flux Internet ». Elle sera disponible à la fin de l'année, une période qui correspond aux premières expérimentations du NPVR, selon le planning d'Orange. "
Le lien de l'article : https://www.nextinpact.com/news/104190-le-plan-dorange-pour-virtualiser-sa-livebox.htm (https://www.nextinpact.com/news/104190-le-plan-dorange-pour-virtualiser-sa-livebox.htm)
-
salut,
même lien que la réponse #10 :)
-
Rien à voir :D
Ce sont des éléments SoftAtHome : NeMo est un des composants chargés de la gestion du réseau, et les odl sont des fichiers de description et/ou configuration du datamodel (cf https://github.com/rene-d/sysbus pour voir quelqu'un qui a regardé ce qui était accessible via les webservices utilisés par les pages web de configuration).
Ah bien vu. Marrant quand même la similarité des noms. J'accordais trop d'avance technique a la Livebox ;) c'est un peu décevant tout ca
-
Non, tu peux faire un firewall stateless sans conntrack ;-) : https://strongarm.io/blog/linux-stateless-firewall/
pas mal ça, je ne connaissais pas l'idée d'exploiter le SYN.
Par contre cela veut dire qu'on peut "crafter" des paquets spécifiques pour 'percer' ce stateless firewall ?
-
J'imagine que oui :/
On utilise ça au boulot, conntrack est un gouffre à performances quand tu dépasse un certain trafic !
-
Normalement le firewall ou au pire la pile TCP de la machine de destination va les ignorer, puisqu'ils ne correspondront à aucune connexion TCP connue.
Ça ouvre la voie à quelques "attaques" :
- profiter d’éventuelles failles dans la pile TCP pour faire au moins du DoS
- une surconsommation des téléphones / tablettes connectés au wifi, qui pourraient être la cible d'un flux régulier de paquets IPv6 (y compris vers l'adresse temporaire)
- potentiellement du réveil WoL (à voir si en TCP ça passe) surtout qu'une machine qui n'aurait pas les privacy extensions d'activées va exposer son adresse MAC via l'IPv6