IPV6 / IPV4 avantages et inconvénients - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 13-03-2014 à 17:49:30
Bah suffit de configurer ton firewall (sur ton routeur si tu veux mimer ton comportement actuel) pour ne pas accepter les connexions à destination de ton lan ipv6 ...
Le VPN c'est juste une surcouche inutile. Si tu veux faire de la sécurité, tu fais de l'IPSEC sur tes paquets et zou.
Marsh Posté le 13-03-2014 à 17:54:16
Dans ce cas, pourquoi donner des IP publiques à chaque machines du "LAN" ? Autant faire comme maintenant, des IP locales ?
Merci pour ta réponse
Marsh Posté le 13-03-2014 à 18:31:41
Parce que la philosophie d'Internet c'est une connectivité de bout en bout
Marsh Posté le 13-03-2014 à 18:46:36
les IP publiques permettent (si on le souhaite) d'être joignable depuis internet, les ip privées ne le permettent pas. Les ip privées n'ont donc aucun intérêt face aux IP publiques, elles ne sont qu'une mesure technique pour contourner un problème (la pénurie d'adresses) qui n'existe pas en ipv6.
Marsh Posté le 13-03-2014 à 18:48:59
Je comprends bien .
Ma question repose en fait sur l'abandon du NAT et le fait que chaque périphérique chez moi aura de ce fait une IP publique directement joignable sur Internet.
Je ne comprends pas l'utilité de donner une IP publique à tout, c'est sans doute plus simple pour connecter les périphériques entre eux à travers Internet, mais au niveau de la sécurité ça me semble un peu léger non ?
En gros en IPV4, par défaut, il n'y a que mon routeur de visible depuis Internet via son adresse publique, si je veux joindre mon serveur je dois rediriger des ports.
En IPV6, par défaut tout sera visible et joignable ?
Ou alors on pourra encore faire du NAT avec de l'IPV6.
Si je veux accéder à la totalité de mon LAN, je passe par un VPN et ça fonctionne très bien. L'argument du "c'est plus simple pour bobonne, plus besoin de faire des règles iptables, des redirections de ports" je la trouve un peu nul
Sérieusement, je n'ai jamais eu de problème de connectivité en IPV4 avec du NAT
J'ai du mal a comprendrez l'utilité de donner une adresse publique à tous les périphériques privés.
Marsh Posté le 13-03-2014 à 18:57:45
tu confonds routable et joignable. Ce n'est pas parce qu'une adresse IP est routable sur internet que tous les services hébergés dessus sont accessibles à tout le monde. Ca vaut pour IPv4 exactement comme pour IPv6 d'ailleurs.
non d'un point de vue sécurité ça ne change strictement rien.
ça dépend du défaut. si par défaut ton routeur laisse tout passer alors oui, si par défaut ton routeur bloque tout, ou bloque les tentatives de connexion entrantes (connexion au sens connexion TCP), alors non.
un peu de lecture à ce sujet : http://www.bortzmeyer.org/6204.html
oui on peut mais pas dans un but de sécurité puisque ça n'a rien à voir.
en ipv4 comme en ipv6 tu auras de toute façon à gérer un firewall (ou au minimum un routeur avec des acl), ça ne change rien de ce point de vue.
Marsh Posté le 13-03-2014 à 19:14:10
Misssardonik a écrit :
|
D'accord, je comprends mieux
Misssardonik a écrit :
|
Bah, si, il suffit de connecter une machine directement en PPOE sur Internet pour se rendre compte des dégâts. Donc être visible avec une IP publique est bien plus risqué qu'être derrière un NAT.
Moi ça me semble logique. Après je me trompe peut-être mais j'ai l'impression que le fait de passer par un NAT ajoute un "maillon", le fait de ne pas être directement en front sur Internet avec un IP Publique.
Misssardonik a écrit :
|
Merci
Misssardonik a écrit :
|
Si, juste histoire de ne pas avoir d'IP publique sur chacun de ses périphériques par exemple. Je n'ai pas envie que certains de mes périphériques soient visibles sur Internet.
Misssardonik a écrit :
|
Oui, c'est vrais.
En tout cas merci pour tes réponses
Marsh Posté le 13-03-2014 à 19:35:31
Mais la sécurité là-dedans ne réside pas dans le NAT, elle réside dans le fait que les connexions entrantes soient bloquées. Ce qu'on peut tout aussi bien faire en IPv6 sans NAT.
Marsh Posté le 13-03-2014 à 19:42:35
Misssardonik a écrit : |
Oui, c'est très bien expliqué dans ton lien plus haut .
En fait si j'ai bien compris, en IPV4, les connexions entrantes sont de toute façon bloquées par défaut.
En IPV6 il faudra le faire soi même ou que se soit mis en place par défaut par les FAI (dans la config par défaut des bbox, freebox et co).
J'ai toujours considéré le NAT comme un maillon supplémentaire dans la chaîne de sécurité.
J'apprends pleins de choses, merci
Marsh Posté le 14-03-2014 à 19:20:46
Au pire tu colles des ULA aux équipements qui n'ont pas à aller sur internet et tu autorises l'adressage en GUA pour les autres et voila (google les termes)
Enfin bref, +1 avec le fait ça ne change rien. Firewall en entrée et voila. Ca n'empechera jamais l'être humain derrière le PC de cliquer dans tous les sens et installer n'importe quoi sur son PC...
Marsh Posté le 01-04-2014 à 21:10:11
Hum,
question bete : faut il activer ipv6 sur une freebox (la crystal dans mon cas) pour une utilisation lambda de sa ligne ? j'essaye de comprendre les subitilité et les différences avec l ipv4 mais cest un chouilla compliqué
Marsh Posté le 01-04-2014 à 21:28:02
tu peux mais c'est pas obligatoire.
Marsh Posté le 01-04-2014 à 21:33:12
Misssardonik a écrit : tu peux mais c'est pas obligatoire. |
mais est ce que ca améliore certaines choses ? ou rien de rien ?genre la tv par l'adsl, le ping, que sais je
Marsh Posté le 02-04-2014 à 10:33:04
la tv par l'adsl je ne pense pas que tu aies la main dessus, le ping ça dépendra probablement des destinations.
Marsh Posté le 02-04-2014 à 11:00:58
ReplyMarsh Posté le 02-04-2014 à 11:42:18
yoyo778 a écrit : ok,donc pour une utilisation standard il n'y a pas d'intéret à activer l'ipv6 |
Il n'y a pas d’intérêt à ne pas l'activer non plus.
Marsh Posté le 02-04-2014 à 12:08:08
b0ugie a écrit : |
mouais,t'es breton ! enfin,je n'en vois pas l'intéret à l'heure actuelle, je laisse le truc de coté donc
Marsh Posté le 02-04-2014 à 12:42:24
Le pb est que le routage en ipv6 est en général plus mauvais qu'en ipv4 ou au mieux égal, du coup ton accès ipv6 peut être plus lent/plus de latence car plus de sauts
Marsh Posté le 02-04-2014 à 13:20:26
yoyo778 a écrit : |
L’intérêt est plus un intérêt "militant".
J'essais personnellement de générer le plus de traffic IPv6 possible. Effectivement, si personne n'active l'IPv6, il n'y aura pas de trafic, donc les FAI/hébergeurs/etc ne déploieront pas l'IPv6 rapidement, donc personne de ne l'activera, donc il n'y aura pas de trafic, etc, etc, etc.
Je@nb a écrit : Le pb est que le routage en ipv6 est en général plus mauvais qu'en ipv4 ou au mieux égal, du coup ton accès ipv6 peut être plus lent/plus de latence car plus de sauts |
Pour exemple concret, tout mon trafic youtube passe en IPv6 et c'est juste
Marsh Posté le 02-04-2014 à 14:23:55
alors, autant faire simple : tous les FAI passent à l'ipv6 d'office.mais je ne pense pas que cela soit aussi simple
Marsh Posté le 02-04-2014 à 15:45:22
yoyo778 a écrit : alors, autant faire simple : tous les FAI passent à l'ipv6 d'office.mais je ne pense pas que cela soit aussi simple |
C'est pas aussi simple que pousser un bouton pour migrer au même instant toute la planète.
Mais c'est clair que si personne n'utilise IPv6 chez les fournisseurs qui le mettent à disposition on va se retrouver avec du triple nat dans tous les sens, après les gens viendront gueuler "beuh marche pas, c'est tout lent"... Ben ouai, on a proposé un truc tu l'as pas voulu...
Ca te coute quoi de l'activer et voir si t'as des soucis avec ou non ?
+1 pour bougieskater
Et je ne vois pas le rapport avec "mouais,t'es breton !" ??
Marsh Posté le 02-04-2014 à 16:07:12
Je@nb a écrit : Le pb est que le routage en ipv6 est en général plus mauvais qu'en ipv4 ou au mieux égal, du coup ton accès ipv6 peut être plus lent/plus de latence car plus de sauts |
couillon ça
o'gure a écrit : |
breton,parce que sa réponse me faisait penser au p"tetre bin que oui ptetre bin que non".c'était de l'
& je ne pensais pas que l ipv6 etait un truc aussi "geek" , quasi passé inaperçu pour les utilisateurs ,enfin pour une partie d entre eux pour l'instant je laisse donc le truc de coté , jusqu au prochain changement de FAI
Marsh Posté le 02-04-2014 à 16:15:01
Ce sont les normands qui disent ça
L'IPv6 n'a rien de "Geek".
Et si ce n'est pas activé par defauit chez certains FAI c'est parce que c'est encore en "beta" (bah oui, la stack v6 peu potentiellement plus bugger que la stack v4). Donc je pense qu'ils (les FAIs) préfèrent laisser le choix de l'activation ou non en tout état de cause. Maintenant, ça marche bien (bon chez free, ça marchotte et ce n'est meme pas du vrai IPv6 et en plus c'est un /128 )
Marsh Posté le 02-04-2014 à 16:28:18
c'est pas la stack qui est buggée, c'est juste qu'il peut y avoir des problèmes de routage / résolution inhérents à la mise en place d'ipv6 mais indépendants du FAI.
Bon en tout cas perso ça fait des années que je l'ai activé, jamais eu de problème à cause de ça.
Marsh Posté le 02-04-2014 à 16:51:15
b0ugie a écrit : Ce sont les normands qui disent ça |
exact
Marsh Posté le 02-04-2014 à 17:01:49
Je@nb a écrit : non c'est pas un /128 chez free |
Ha ? Il me semblait
Misssardonik a écrit : c'est pas la stack qui est buggée |
J'ai pas de bug précis sous la main pour justifier.
Mais y'en a "forcement" des bugs d’implémentations V6 qui traînent de toute façon (je sais qu'un pote à trouver un problème dans le kernel linux lié à la detection des next hop en v6 par exemple).
C'est bien pour ça que j'essais de générer le plus de traffic V6 possible pour "aider" à détecter des bugs de routages / tailles des tables de routages / etc / etc.
D'ailleurs, fin pour l'instant c'est pas un problèmes, mais des routeur BGP en full view, ça doit bien consommer niveau RAM.
Marsh Posté le 02-04-2014 à 18:59:55
yoyo778 a écrit : couillon ça |
Rome ne s'est pas fait en jour, ni internet IPv4. Il faut un peu de temps pour avoir des meshings correct
yoyo778 a écrit : |
Ca c'est normand, pas breton.
yoyo778 a écrit : |
IPv6 est un protocole réseau, les utilisateurs n'en ont jamais rien eu à carrer. Que ce soit IPv4, IPv6, X.25, etc... L'utilisateur veut juste que ça fonctionne et que ce soit confortable pour regarder des chats faire des galipettes.En dessous, il s'en carre le fondement.
Marsh Posté le 02-04-2014 à 19:03:01
b0ugie a écrit : Ce sont les normands qui disent ça L'IPv6 n'a rien de "Geek". |
Les stacks IPv6 des routeurs sont déjà depuis quelques temps assez stables (c'est une partie de mon taf). Ca fait un bail que la plupart des grands fournisseurs ont développer leur stack v6 et testée (je parle routeur, pas box dsl ). Ce qui est super chiant pour les FAI et qui fait trainer le bordel c'est :
- revoir l'architecture/configuration réseau dans certains cas. Ce n'est pas juste rajouter des adresses v6 ici où là.
- s'assurer de la qualité du "service"
- et surtout adapter leur système d'information et les services autours à IPv6
Sans oublier la volonté de certains décideur à lancer ce genre de projet... Stricto sensus, ça fait dépenser du pognon, c'est pas intéressant pour le commun des mortels => pour du rendement $$$ y a mieux...
Marsh Posté le 02-04-2014 à 20:33:06
o'gure a écrit : Les stacks IPv6 des routeurs sont déjà depuis quelques temps assez stables (c'est une partie de mon taf). Ca fait un bail que la plupart des grands fournisseurs ont développer leur stack v6 et testée (je parle routeur, pas box dsl ). Ce qui est super chiant pour les FAI et qui fait trainer le bordel c'est : |
intéressant d'avoir un avis d'un utilisateur réellement de la partie comme d'hab donc l' est roi
Marsh Posté le 03-04-2014 à 10:23:39
Je suis d'accord avec tout ce qui est dit dans le sujet seulement j'ai juste une ou deux questions sur la chose :
Les ipv6 sont accessibles étant donné qu'il n'y a pas de limite d'adresse, donc disparition du nat qui n'avait aucune vocation à la sécurité seulement à prolonger la durée de l'ipv4, ok pour tout ça.
Seulement en ipv6 il y a la global unicast, la link local etc.
Si une interface possède seulement une ip avec une link local elle n'est donc pas joignable depuis internet MAIS est-elle en mesure d'aller sur internet ?
Marsh Posté le 03-04-2014 à 10:28:35
non, link local c'est communication avec le réseau local uniquement.
c'est comme une adresse IP en 192.168, sans nat tu ne peux pas communiquer avec le reste d'internet.
Marsh Posté le 03-04-2014 à 10:59:33
Avec une adresse link local ton paquet devrait se faire dropper au premier routeur correctement configuré.
En fonctionnement normal, une adresse link local ne peut pas être utilisé pour envoyer du trafic à une destination hors de ce scope.
Marsh Posté le 03-04-2014 à 11:05:29
D'accord, je sais que les protocoles de routage l'utilise justement mais je n'avais vu d'explications sur la possibilité de se promener via ce type d'adresse je savais juste qu'elle n'était pas routable bien entendu.
Nous en restons donc au Global Unicast, une question tout de même, prenons le cas de la freebox qui propose le passage en ipv6 elle est dhcp statefull ou stateless ?
De même a elle une règle par défaut pour dropper tout le traffic en direction des postes du réseau pour protéger le client lambda ?
Marsh Posté le 03-04-2014 à 11:38:29
le dhcp c'est forcément stateful ! mais tu veux peut-être parler de RA.
Marsh Posté le 06-04-2014 à 09:06:11
Je@nb a écrit : Le pb est que le routage en ipv6 est en général plus mauvais qu'en ipv4 ou au mieux égal, du coup ton accès ipv6 peut être plus lent/plus de latence car plus de sauts |
T'es sûr de ton coup ?
Lors de la relflexion autour de v6, l'un des prérequis était de simplifier et mieux hiérarchie la topology de routage, ce qui fait qu'au final, le routage devrait être plus simple, et le transit plus rapide.
Marsh Posté le 06-04-2014 à 09:18:52
trictrac a écrit :
|
Oui il a raison. Dans certains cas, le routage IPv6 n'est pas aussi optimum que le v4 simplement car tout les réseaux/transitaires ne l'ont pas déployé. Au final, on a parfois des chemins aberrant
Entre la théorie et le déploiement réel, y a quelques différences... En théorie,l'allocation des addresses v6 fait que les tables devraient être mieux utilisées et moins fragmentées. Mais le problème est différent là.c'est topogique le problème.
Marsh Posté le 06-04-2014 à 10:27:00
suffit de faire des traceroute vers une même destination en ipv4 et ipv6 pour voir que des fois tu fais des sauts assez ouf en v6
Marsh Posté le 10-04-2014 à 16:54:49
Misssardonik a écrit : le dhcp c'est forcément stateful ! mais tu veux peut-être parler de RA. |
Oui toute mes excuses pour cet abus de language, mauvais raccourçi =
Donc oui Freebox IPV6 en statefull ? Ou elle laisse le client se débrouiller avec le SLAAC ?
De même j'ai vu que l'IPV6 était dispo en me promenant chez des proches mais je ne sais pas quelle est la politique adoptée par la freebox, on protège en droppant le traffic entrant à destination des machines ou bien rien n'est filtré et madame michu doit faire attention ?
Sinon j'avais lu un article sur l'IPV6 datant de 2012 qui disait que l'infra de Orange ne supportait pas du tout l'IPV6 est-ce toujours d'actualité ? Sachant que depuis le 6 Juin 2012 (IPV6 Day) la mise en place de l'ipv6 avance bien plus vite..
Marsh Posté le 13-03-2014 à 17:44:35
Hello,
J'ouvre ce sujet car je n'ai pas trouvé de réponse sur le forum ni de poste déjà existant traitant de l'IPV6.
Voilà, je me pose une série de questions, sachant que je vais être prochainement migré en IPV6 chez mon FAI.
Si j'ai bien compris, l'IPV6 permet l'adressage publique d'une "infinité" d'adresse, donc de machines sur me même réseau (Internet) ?
J'ai aussi lu que chaque machine de notre "réseau privé" allait avoir une adresse publique ce qui fera que notre LAN ne sera plus un vraiment LAN derrière un NAT mais bien un petit morceau de l'Internet ?
En IPV4, ma configuration actuelle, j'ai un router qui à un pied dans L'Internet et l'autre dans mon LAN, quand j'ai besoin de rendre certains services accessible depuis l'internet, je fais une redirection de ports avec les iptables ou je créé un VPN, simple et sécurisé car par défaut aucun de mes périphériques n'est accessible depuis l'Internet.
Mais alors en IPV6, par défaut, tous mes périphériques seront visibles depuis l'Internet ? Moi ça ne me plait pas du tout, je préfère de loin passer par un router et configurer manuellement ce que j'ai envie de rendre accessible ?
De plus, entre nous, à quoi cela peut bien service de rendre mon imprimante réseau accessible depuis Internet ? Si je veux m'y connecter, je le fais via un VPN que j'ai créé par exemple, c'est bien plus sécure non ?
Bref, c'est très flou et je me pose pas mal de questions
Message édité par Profil supprimé le 13-03-2014 à 17:48:56